راه پرداخت
رسانه فناوری‌های مالی ایران

استراتژی‌های ملی در آمريكا برای احراز هویت‌ در فضای مجازی

برخورداری از یک فضای مجازی امن برای آسایش و رفاه همه افراد ضروری است، بنابراین از همه ابزار و لوازم محیط‌های آنلاین ازجمله اینترنت برای افزایش موفقیت و سودآوری، نوآوری و ایجاد کسب‌وکارهای جدید استفاده می‌شود. بر اساس سند «استراتژی‌های ملی برای احراز هویت‌ در فضای مجازی» –National Security Strategy– که به‌اختصار «استراتژی یا NSTIC» نامیده می‌شود، زیرساخت‌های دیجیتال در آمريكا یک دارایی استراتژیک ملی به شمار رفته و محافظت از آن در عین رعایت حریم خصوصی و آزادی‌های مدنی، یکی از اولویت‌های امنیتی ملی و ضرورت‌های اقتصادی است. شناسایی و کنترل تهدیدهای موجود در این فضا، به افراد در حمایت از خود در فضای مجازی کمک کرده و بخش‌های خصوصی و دولتی را قادر مي‌سازد سرویس‌های آنلاین بیشتری ارائه کنند. (+)

National-Security-Strategy-Small-banner-way2pay-94-05-06

یکی از مشکلات فنی و قانونی، نقص در شناسایی افراد و ابزارها در فضای مجازی است. بر اساس یکی از اسناد کاخ سفید به نام «بازنگری قوانین فضای مجازی» ، هویت واقعی و قابل‌اعتماد، سنگ بنای افزایش امنیت در فضای سایبر است.

در وضعیت کنونی، افراد ناگزیرند برای هر تعاملی در وب‌سایت‌های مختلف، نام کاربری و رمز عبور متفاوتی داشته باشند. دشواری این کار به حدی است که افراد را به عکس‌العمل‌هایی مثل استفاده مجدد از یک رمز واداشته و درنتیجه جرائم آنلاین و سرقت اطلاعات را ساده‌تر می‌سازد. در همین حال، کسب‌وکارهای آنلاین با هزینه‌های روبه افزایش مدیریت اکانت مشتریان، پیامدهای جرائم آنلاین و متضرر شدن و ورشکستگی به دليل بی‌میلی افراد به ایجاد اکانت جدید مواجه هستند. علاوه بر همه این‌ها، دولت‌ها و صاحبان کسب‌وکار هم به علت فقدان امکان شناسایی هویت واقعی مشتریان خود، نمی‌توانند خدمات متعدد و متنوعی را به‌صورت آنلاین ارائه کنند. وب‌سایت‌های مورد کلاه‌برداری واقع‌شده، رمزهای سرقت شده و اکانت‌های حک‌شده، نشان‌دهنده ناکارآمدی مکانیزم‌های شناسایی و تائید است.

درحالی‌که استفاده از راهکارهای مختلف برای شناسایی هویت افراد ضروری است، برای بسیاری از تعاملات اینترنتی به شناسایی و تائید نیاز نیست یا وجود حداقل اطلاعات کافی است. همچنین باید ظرفیت، امکان گمنامی ‌یا استفاده از اسامی‌ مستعار در اینترنت به‌منظور ارائه حداکثر امکانات شخصی‌سازی و آزادی‌های مدنی را موردتوجه قرار داد. درعین‌حال، افراد و صاحبان مشاغل باید بتوانند پیش از انجام برخی تراکنش‌های مهم مانند بانکداری آنلاین یا دستیابی الکترونیک به اطلاعات مربوط به‌سلامت، هویت واقعی طرف مقابل را کنترل کنند.

سند «استراتژی‌های ملی برای احراز هویت در فضای مجازی»، زمینه همکاری بین بخش‌های خصوصی و دولتی در جهت افزایش سطح اطمینان نسبت به هویت افراد، سازمان‌ها، شبکه‌ها، خدمات و ابزارهای درگیر در تراکنش‌های آنلاین را فراهم می‌کند.

.

دیدگاه استراتژی این است که:

افراد و سازمان‌ها برای دستیابی به خدمات آنلاین از برنامه‌های احراز هویت قابل‌اعتماد و کارآمدی که به‌راحتی قابل‌استفاده و قابل‌انتقال باشد، استفاده می‌کنند؛ به شیوه‌ای که احساس اطمینان، آزادی انتخاب، نوآوری و شخصی بودن را تقویت کند.

«اکوسیستم هویت» که در این استراتژی موردنظر است، محیط آنلاینی است که افراد و سازمان‌ها می‌توانند به یکدیگر اعتماد کنند، چراکه بر اساس استانداردهای توافق شده، از دستورالعمل اخذ و احراز هویت دیجیتال خود و سیستم‌ها استفاده می‌کنند. اکوسیستم هویت برای تأمین امنیت تراکنش‌های ناشناخته تا کاملا تایید‌شده و دارای کمترین ارزش تا بالاترین ارزش، طراحی شده است. اکوسیستم هویت باعث افزایش این موارد خواهد شد:

  • مراقبت از حریم خصوصی افراد جهت اطمینان از اینکه اطلاعاتشان به‌صورت امن نگهداری شده یا جابجا می‌شود.
  • راحتي برای افرادی که مي‌خواهند شناسه كاربري یا رمز کمتری نسبت به وضعیت فعلی خود داشته باشند.
  • كارآمدی برای سازمان‌هایی که از حذف کاغذ در فرآیندهای کاغذ محور و مدیریت اکانت‌ها منتفع می‌شوند.
  • سهولت استفاده از طريق اتوماتیک‌ کردن برنامه‌های مربوط به هویت در هر زمان و با استفاده از فناوری‌هایی که به سهولت قابل اخذ و اجرا باشند.
  • افزایش امنیت با دشوارتر کردن دست‌کاری در تراکنش‌های آنلاین برای مجرمان.
  • افزایش اطمینان نسبت به اینکه هویت‌های دیجیتال کاملا محافظت‌شده هستند و بدین ترتیب میزان استفاده از خدمات آنلاین افزایش خواهد یافت.
  • نوآوری با کاهش ریسک خدمات مهم و توانمندسازی ارائه‌کنندگان خدمات برای توسعه و تقویت حضور آنلاین خود.
  • افزایش قدرت انتخاب، به این معنی که ارائه‌کنندگان خدمات، گواهی هویت و رسانه‌های مختلفی را به افراد پیشنهاد می‌کنند.

بهبود حریم خصوصی و افزایش آزادی‌های مدنی ازجمله اصول اولیه اکوسیستم هویت است. این اکوسیستم از فناوری‌ها و قوانین محافظت از اطلاعات شخصی برای مرتبط ساختن تراکنش‌های افراد استفاده خواهد کرد تا هیچ خدمات‌دهنده‌ای نتواند مجموعه کاملی از اطلاعات فرد در فضای مجازی را به دست آورد. برای مثال کاربر برای یک تراکنش می‌تواند فقط سن خود را اعلام کرده و نیازی به ارائه تاریخ تولد، اسم، آدرس یا سایر اطلاعات هویتی نیست.

اکوسیستم هویت علاوه بر حفاظت از حریم خصوصی آنلاین، از گمنامی‌ یا هویت غیرواقعی افراد نیز حمایت می‌کند. این تلاش‌ها برای افزایش امنیت اطلاعات خصوصی و حمایت از آزادی‌های مدنی بخشی از یک برنامه گسترده سیاست‌گذاری حریم خصوصی است.

دنیایی را تصور کنید که در آن افراد می‌توانند تراکنش‌های مالی مهم خود را به‌صورت آنلاین و بدون نگرانی از سرقت هویت خود یا کلاه‌برداری و بدون نیاز به مدیریت تعداد زیادی شناسه کاربری و رمز عبور انجام دهند.

با اجرای استراتژی‌های ملی برای احراز هویت در فضای مجازی، افراد می‌توانند تراکنش‌های مالی مهم خود را به‌صورت آنلاین و بدون نگرانی از سرقت هویت خود یا کلاه‌برداری و بدون نیاز به مدیریت تعداد زیادی شناسه کاربری و رمز عبور انجام دهند.

.

به‌عنوان‌مثال:

«مری» از به خاطر سپردن رمز عبور و اسم کاربری‌های متعدد خسته شده است، بنابراین یک مجوز دیجیتال که روی کارت هوشمند ذخیره‌شده را از شرکت خدمات اینترنتی خود دریافت می‌کند. اکنون با داشتن کارت هوشمند، مي‌تواند تراکنش‌های مهم‌تری مانند کنترل وضعیت سلامت خود را به‌صورت آنلاین انجام دهد. یک روز صبح کارتش را وارد کامپیوتر کرده و از مجوز دیجیتال برای صدور دستورهای زیر استفاده می‌کند:

  • ورود به‌حساب بانکی خود و اخذ اعتبار دیجیتال
  • خرید لباس از یک فروشگاه آنلاین بدون نیاز به باز کردن حساب
  • امضای اسنادی برای تمدید وام خرید مسکن
  • مطالعه یادداشت‌های پزشکش که با توجه به آزمایش قند خون روز قبل در گزارش شخصی وی نوشته شده
  • ارسال یک ایمیل برای تائید رزرو شام با دوستش
  • کنترل و مرور برنامه روزانه‌اش در پورتال اینترنت داخلي محل کار خود

فقط ظرف چند دقیقه مری توانست کارهایش را انجام داده و بقیه وقتش را صرف نوشيدن قهوه در کافی‌شاپ اختصاص دهد.

.

چشم‌انداز استراتژی

اين «استراتژی» بر روی یافتن روش‌هایی برای تثبیت و مراقبت از هویت‌های واقعی دیجیتال که برای ارتقای امنیت تراکنش‌های آنلاین اهمیت اساسی دارد، متمرکز است. تراکنش‌های آنلاین، روابط الکترونیک میان دو یا چند طرف است که از طریق شبکه، سیستم یا کامپیوتر به یکدیگر متصل شده‌اند. فرآیند و فناوری موردنیاز برای ایجاد هویت (ایجاد هویت‌های دیجیتال اختصاصی) و شناسایی (شناسایی هویت یک کاربر، فرآيند یا ابزار) در اولویت این استراتژی است. علاوه بر این، استراتژی در پی یافتن راهکارهای قابل‌اعتماد و کاربردی است که دست سازمان‌ها را در تائید (تائید یا صدور اجازه دسترسی) باز بگذارد.

این سه‌گام یعنی ایجاد هویت دیجیتال، شناسایی و تائید، اطلاعات و امنیت لازم برای طرف‌های یک تراکنش خاص را فراهم می‌آورد به‌گونه‌ای كه اعتماد متقابل تأمین شود.

افراد، سازمان‌ها، سخت‌افزار، شبکه و نرم‌افزار، همه شرکت‌کنندگان در یک تراکنش آنلاین هستند، بنابراین هر یک از طرفین ممکن است به ایجاد هویت دیجیتال، شناسایی و تائید نیاز داشته باشند. از سوی دیگر تهیه‌کنندگان طرح معتقدند که تمام موارد گفته‌شده تنها چندلایه از تأمین امنیت هستند و سایر لایه‌ها باید با آگاهی‌بخشی، همکاری دولت و افزایش تلاش ملی برای ارتقای برنامه‌ها ساخته شوند.

احراز هویت در ایمن‌سازی تراکنش‌های آنلاین، بخشی از فضای کلی مدیریت هویت است. اين استراتژی به‌صورت دقیق، موضوعات مربوط به هویت در فضای آفلاین را مشخص نکرده است، با این وصف برنامه‌های هویت آنلاین و آفلاین می‌توانند و باید یکدیگر را کامل کنند. تشخیص هویت (تشخیص هویت یک فرد) و کیفیت اسناد مربوط به هویت، اثرات عمیقی بر اعتمادسازی نسبت به هویت دیجیتال دارد، اما استراتژی هیچ دستورالعملی برای نحوه استنتاج از این فرآیندها و اسناد ندارد.

.

همکاری بخش‌های عمومی و خصوصی

بخش خصوصی و همه سطوح دولت در همکاری با یکدیگر می‌توانند به موفقیت‌های اقتصادی، تأمین امنیت فضای مجازی و غلبه بر موانعی که دستیابی به هویت‌های واقعی در فضای مجازی را دشوار می‌کند، دست یابند. برخی از اين موانع عبارت‌اند از:

  • نگرانی در مورد حفظ اطلاعات شخصی و حریم خصوصی افراد
  • کمبود گزینه‌های ایمن، مناسب و موردعلاقه کاربران برای شناسایی و تائید
  • عدم اطمینان با توجه به میزان احتمال کلاه‌برداری یا سایر قصور
  • فقدان یک چارچوب مشترک برای کمک به ایجاد هویت‌های قابل‌اعتماد در گستره متنوع تراکنش‌های آنلاین

مریم سبزعلی، سرپرست روابط عمومی شرکت کارت اعتباری ایران کیش

منابع:

www.pcworld.com

www.continuitycompliance.org

www.nist.gov

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.