دبیر شورای اجرایی فناوری اطلاعات: دولت و کسبوکارها تجربهای از مدیریت ریسک سرویسهای احراز هویت ندارند
برخی کارشناسان معتقد هستند در ایران احراز هویت از طریق کارت ملی هوشمند، برای هر کسبوکار و حتی بانک ضروری نیست و میتوان به سطح پایینتری از احراز هویت اکتفا کرد. ۱۰ سال پیش یعنی سال ۲۰۱۹ در هندوستان بزرگترین سیستم شناسایی بیومتریک جهان به نام «ادهار» راهاندازی شد؛ این پروژه که پاول رومر، اقتصاددان ارشد بانک جهانی از آن با عنوان «پیشرفتهترین برنامه آیدی جهان» نام برده، یکی از مهمترین پایههای هند دیجیتال است و میتواند هویتی منحصربهفرد برای بیش از ۱. صدور کارت ملی هوشمند در ایران هم قدمی برای حرکت در مسیر همین موقعیتها محسوب میشود؛ با این حال موانع مختلفی وجود دارد که عمده آنها در مهیا نبودن زیرساختهای لازم و عدم درک مناسب اهمیت فناوریهای نوین نهفته است. کلید خورد، اما با گذشت این مدت هنوز ۹ میلیون ایرانی برای کارت ملی هوشمند ثبت نام نکردهاند. بانکها هم از خردادماه امسال دیگر کارتهای ملی قدیمی را برای احراز هویت مشتریان قبول نمیکردند و مشتریان فاقد کارت ملی هوشمند باید کارت ملی قدیمی به همراه رسید ثبتنام کارت هوشمند خود را ارائه میدادند. تا اینکه از آبانماه امسال بانک مرکزی ابلاغیهای صادر کرد که کلیه اشخاص، دیگر نیازی به ارائه کارت ملی ندارند و با استعلام برخط بانک سازمان ثبت احوال شود و دریافت کد رهگیری احراز آنها تایید میشود. آیا کارت ملی هوشمند میتواند گزینه مناسبی برای احراز هویت افراد باشد؟ / هشت سال مقاومت در برابر طرحهایی که شکست میخورند علاوهبر آن این سوال پیش میآید که بانکها و کسبوکارهای آنلاین باید چه سطحی از احراز هویت را فراهم کنند تا هم امنیت کاربران و مشتریان حفظ شود و هم انجام کار آنها تسریع یابد؟ طی گفتوگویی که با دبیر شورای اجرایی فناوری اطلاعات داشتیم، به این نتیجه رسیدیم که ارائه سرویسهای احراز هویت برای کسبوکارها و بانکها در آغاز راه قرار دارد و سرویسهایی هم که تاکنون ارائه شده در مرحله آزمایش و پایلوت قرار دارند. حتی دولت نیز تجربهای از مدیریت ریسک آنها در استفاده از سرویسهای احراز هویت ندارد. با این حال چند سالی است که برخی کسبوکارهای آنلاین به احراز هویت آنلاین رو آوردهاند. بنابراین تکلیفی برای همه کسبوکارها است که با روشهای مختلف این کار را انجام دهند. برای احراز هویت بر اساس شماره ملی و کد پستی تصویب شد، آورده شده که شناسه اشخاص با ارائه کارت ملی، اشخاص حقیقی ایرانی صاحب یک شناسه یکتا شدند و این شماره بعدها بهعنوان شناسه ملی به اشخاص حقوقی نیز تسری پیدا کرد. این شناسه دارای دو بخش شناسه دادههای پایه و شناسه احراز هویت از طریق صفات است. انجام شد که در این کارگروه بر شیوه احراز هویت مبتنی بر دادههای پایه تاکید شد. زمینه وجود داشته باشد به شیوههای مختلف میتوان احراز هویت را انجام داد و دیگر یعنی این اجازه را برای بخش خصوصی گرفتیم که از طریق مرکز ملی تبادل اطلاعات بتوانند، احرازی که خود انجام میدادند، با استعلامات الکترونیک یا تبادل داده با دولت انجام دهند. طبیعتا اولین سرویسی که فراهم کردیم سرویس شاهکار بود که در برخی از کسبوکارهای آنلاین راهاندازی شده است. چالش این است که برای کسبوکارها سطوح اطمینان از احراز سطح سوم جایی است که از یک ابزار مانند کارت ملی هوشمند و توکن استفاده میشود. هنوز برای کسبوکارها انجام نشده است. چرا این سند برای سطح چهارم احراز هویت تولید نشده است؟ آیا مشکلی از لحاظ فنی وجود دارد؟ سرویس شاهکار نیز که ارائه شده برای انجام احراز هویت کفایت نمیکند. بهطور مثال با این سرویس نمیتوان یک سند ملکی دیجیتال تولید کرد یا برای احراز هویت در افتتاح حساب آنلاین نیاز به سطوح بالاتری از احراز برخط داریم. همچنین زیرساختهای سطح اصلی ما که احراز هویت دولتی است باید فراهم باشد. قطعا در نبود این زیرساخت نمیتوان از ابزاری مانند موبایل استفاده کرد، چراکه ممکن است شناسهای جعلی از این طریق ایجاد شود، همچنین نمیتوان شماره حساب فرد را برای احراز هویت فرد در نظر بگیریم؛ در این مورد نیز ممکن است مشکلی برای احراز هویت بهوجود بیاید. حتی برای کد ملی هم امکان مقداری ریسک وجود دارد، مانند خریدوفروشی که در مرزها ممکن است بر روی هویت صورت بگیرد. سرویس مدیریت میشود، درواقع نیازی به احراز هویت صددرصد ندارد. این باعث میشود که بنابر دستورالعملهای بانک مرکزی و به نفع بانکها و سامانههای متمرکز، فشار کسبوکار برای احراز هویت کامل یا ریسک آن برای توسعه بازار افزایش پیدا کند. اینکه کسبوکارها به سطوحی از احراز هویت دست نیافتهاند، فرایندی دارد که باید بهمرور به آن دست یافت یا راهکاری برای آن ترتیب داده شده است؟ فناوری اطلاعات تصمیم بر این است که دادههای دولت را بهعنوان بدین ترتیب احراز هویت صورت میگیرد، پس از آن، خودرویی که در آن کسبوکار برای این سرویس قرار است رایگان ارائه شود یا هزینهای برای مشتریان دارد؟ بدین ترتیب سودی برای سازمان فناوری اطلاعات و دولت ندارد و این درآمد صرف جبران هزینهای میشود که سازمان فناوری اطلاعات انجام داده است. سرویس از بیمه مرکزی گرفته میشود و شاید سازمان فناوری اطلاعات برای زیرساختهای بیمه مرکزی نیز هزینه کند تا این سرویس راهاندازی شود. هشت سال است که پروژه کارت ملی هوشمند قرار است بهعنوان یکی از ابزارهای احراز هویت مورد استفاده قرار بگیرد، اما این پروژه هنوز نتوانسته فراگیر شود. بهنظر شما آیا کارت ملی هوشمند بالاخره میتواند به ارائه اطلاعات و احراز هویت افراد کمک کند یا پیچیدهتر از آن چیزی است که فکر میکنیم؟ بهعبارتی اگر این پروژه بهطور کامل اجرا شود، دیگر مشکل احراز هویت حل خواهد شد؟ یعنی برای اینکه از کارت هوشمند استفاده کنیم، لازم است که حتما یک دستگاه کارتخوان با سطوحی وجود داشته باشد تا بتوان احراز هویت را در سطح چهارم انجام طبیعتا برای همه کسبوکارها نمیتوان سطح چهارم احراز هویت بنابراین این سطح از احراز هویت برای همه کسبوکارها مناسب نیست و کارت ملی هوشمند ریسک بالایی دارد باید از احراز هویت سطح چهارم استفاده کرد. در این صورت بحثی که درباره چندمنظوره کردن کارت ملی هوشمند وجود داشت هم امکانپذیر نیست؟ معماری این کارت دیگر چند منظوره نیست و کاملا برای احراز هویت است. برای اولین بار نیازمند احراز است و پس از آن هم نیازمند تعامل بین بانکها و بانک مرکزی است، اما برای اخذ هر خدمت بانکی بسته به نوع خدمت سطح پایینتری یا احراز باید انجام گیرد. درحال حاضر افتتاح حساب برای اولین بار به صورت آنلاین وجود ندارد، شاید نیازی به این کار نباشد و آنقدر متقاضی برای افتتاح حساب نیست که بخواهد برای آن هزینهای صرف شود. اگر چک الکترونیکی هم به وجود بیاید، در قانون چک نیز آمده که دسته چک در محل گرفتن چک باید احراز هویت شود. با این تفاسیر آیا راهکاری یکپارچه برای احراز هویت ترتیب دادهاید؟ احراز هویت است، اما اجرا شدن آن کمکم صورت میگیرد، نکته کلیدی این است که برای برای کسبوکارها باید مدیریت ریسک با ذینفعان صورت گیرد. حاضر وقتی درباره احراز هویت و KYC صحبت میکنیم، مبتنی بر سرویسهای متمرکز است، اما قطعا تا چهار فکر میکنید چقدر زمان نیاز است تا راهکاری یکپارچه برای احراز هویت ارائه شود و پس از آن به فکر راهاندازی سرویسهایی مبتنی بر سیستم توزیعشدگی باشیم؟ من فکر میکنم باید حداکثر تا چهار سال دیگر در حوزه حاکمیت الکترونیک یا حاکمیت داده، توزیعشدگی و استفاده از زنجیرهبلوک در بخش احراز هویت اجرایی شود. تا آن زمان باید سرویسهای یکپارچه ما تکمیل شود و چهار سال دیگر یا زودتر پایلوتهایی را برای احراز هویت مبتنی بر نظام توزیع شده و زنجیرهبلوکی داشته باشیم. سامانه احراز هویت مشتریان تجارت الکترونیکی و سامانه ثبتنام غیرحضوری امضای الکترونیکی از جمله سامانههایی بودند که با همکاری مرکز توسعه تجارت الکترونیکی برای کسبوکارها راهاندازی شده است. اکنون بانکها برای احراز هویت از سازمان ثبت احوال استعلام میگیرند، آیا راهکار دیگری قرار است ارائه شود؟ چند بانک دیگر نیز بهطور آزمایشی احراز هویت مبتنی بر کارت هوشمند را به سرویسهای
متن کامل خبر در سایت راه پرداخت
نظرات