راه پرداخت
رسانه فناوری‌های مالی ایران

کلاف سردرگم احراز هویت در فضای مجازی

جرم‌انگاری «عدم احراز هویت کاربران» در نیمه بهمن ماه سال گذشته، احراز هویت افراد را وارد فاز جدیدی از اجرا کرد. اگر تا پیش از آن احراز هویت برای ارائه خدمات دولتی جزو الزامات به شمار می‌آمد، حال بی‌دقتی در انجام آن؛ متصدی ارائه خدمات دولتی را مجرم می‌کند و او را با مجازات‌هایی مانند انفصال از خدمت، جزای نقدی و پرداخت خسارت روبرو خواهد کرد.
به گزارش پیوست، در ماده ۷ قانون اصلاح قانون مبارزه با پولشویی که لابه‌لای لوایح چهارگانه FATF که مجلس به تصویب رسید، گفته شده کارمندان نهادهای دولتی و مرتبط با موضوع باید به نحو کافی و وافی احراز هویت را انجام دهند و در صورت اجرا نکردن آن به انفصال از خدمت و جزای نقدی و جبران خسارت‌های وارد شده محکوم خواهد شد.

با تصویب این قانون می‌توان پیش‌بینی کرد که امسال موضوع احراز هویت کاربران در فضای مجازی هم  وارد فاز جدیدی از اجرا شود و اگر سال گذشته برای احراز هویت شهروندان در این فضا از سامانه‌هایی مانند نهاب و شاهکار کمک گرفته شده، امسال علاوه براین سامانه‌ها، نهادهای مختلف نیز باید به فکر راهکارهایی باشند تا احرازهویت دقیق‌تری برای ارائه خدمات الکترونیکی خود به کاربران در فضای مجازی انجام دهند.

احراز هویت اولین عمل حقوقی

اولین عمل حقوقی که برای هر فردی پس از به‌ دنیا آمدنش انجام می‌دهند، احراز هویت وی است. از گواهی تولد گرفته که درست لحظه‌ای پس از به‌دنیا آمدن کودک در بیمارستان صادر می‌شود تا صدور شناسنامه توسط سازمان ثبت‌احوال به صورت رسمی‌تر، همه و همه نتیجه‌اش احراز هویت شخصی است که تازه پا به این دنیا گذاشته است. هویتی که معمولا تا روزهای پایانی عمر شخص همراه اوست و از آن راه‌گریزی ندارد.

اما رنگ و بوی احراز هویت در دنیای مجازی کمی‌ متفاوت‌تر است. با وجود اینکه باید تولد ۵۰ سالگی اینترنت را جشن بگیریم (تولد اینترنت ۱۹۶۹ رقم خورده است)؛ اما هنوز احراز هویت در این دنیا یکی از چالش‌های پیش رو به شمار می‌آید. موضوع احراز هویت زمانی برای ما جدی شد که بسیاری از فعالیت‌ها روی شبکه مجازی یا دنیای مجازی قرار گرفتند. حال افراد می‌توانند با یک کلیک، بسیاری از خدمات دولتی را دریافت کنند یا می‌توانند خرید کنند، به مسافرت بروند، پول جابه‌جا کنند و فعالیت‌های بانکی خود را نجام دهند. تمامی این سرویس‌ها در شرایطی به مردم ارائه می‌شود که هنوز امکان احراز هویت دقیق افراد در فضای مجازی وجود ندارد و گسترده شدن هر روزه این خدمات مدیران تصمیم‌گیر کشور را با چالشی جدی مواجه کرده است.

اگر در دنیای واقعی احراز هویت فقط و فقط با شناسنامه و کارت ملی انجام می‌شود؛ اما فناوری اطلاعات امکانی را در اختیار دستگاه‌های مختلف قرار داده‌ که هر کدام بتوانند بخشی از فرایند احراز هویت را به انجام برسانند که یکپارچه نبودن این فرایندها نیز می‌تواند چالش دیگری به شمار آید.

تاکنون برخی سازمان‌ها و نهادها قدم‌های اولیه‌ای را برای احراز هویت کاربران در فضای مجازی برداشته‌اند. برای نمونه سازمان تنظیم مقررات و ارتباطات رادیویی  با سامانه شاهکار به احراز هویت کاربران در فضای مجازی کمک می‌کند و شبکه بانکی نیز در این زمینه سامانه نهاب را برای خود ایجاد کرده است. قوه قضائیه نیز پیشنهاد می‌دهد دستگاه‌های دولتی و غیز دولتی از سرویس احراز هویت سامانه ثنا این قوه برای احراز هویت بهره برند. این سامانه که برپایه امضای الکترونیکی ایجاد شده به کاربران خود این اجازه را می‌دهد که به صورت مجازی شناسایی شوند و اسناد مورد نیاز را امضا کنند. درست همان سازو کاری که برای امضای الکترونیکی از سوی مرکز توسعه تجارت الکترونیکی پیش‌بینی شده بود.

مرکز توسعه تجارت الکترونیکی با تصویب قانون تجارت الکترونیکی ملزم به صدور امضای الکترونیکی شد تا از طریق آن هویت افراد در فضای مجازی شناسایی شود؛ اما اختلاف نظر بر سر مدیریت مرکز ریشه گواهی الکترونیکی موجب شد که این ماده قانونی تا امروز نیز به صورت کامل اجرا نشود. هر چند طبق گفته مسئولان اینن مرکز آنها امسال برنامه خاصی برای اجرایی کردن و صدور امضای الکترونیکی دارند. از سوی دیگر پیشنهاد لایحه تراکنش‌های الکترونیکی که سال گذشته پیش‌نویس آن تهیه شده بود و برای اظهار نظر در اختیار کارشناسان قرار گرفت در صورت تصویب می‌توانست سرانجام امضای الکترونیکی و احراز هویت در فضای مجازی را به صورت کامل تغییر دهد. با وجود اینکه این لایحه هنوز به سرانجام نرسیده است؛ اما بخشی از پیش‌بینی‌های صورت گرفته در این قانون مانند هویت سنجی افراد از طریق سیم‌کارت محقق شده است.

گلایه از ناشناس ماندن

گسترش ارائه خدمات الکترونیکی و به تبع آن انتقال پول به صورت الکترونیکی با توجه به احراز هویت ناقصی که صورت می‌گیرد موجب شده طبق گفته پلیس فتا، جرایم رایانه‌ای  در این زمینه طی ۶ ماه اول سال گذشته نسبت به مدت مشابه‌اش در سال ۹۶ حدود ۵۰ درصد افزایش یابد. همین آمار موجب شد که سال گذشته پلیس فتا در جلسات مختلف از بانک مرکزی بخواهد تا برای انتقال وجه الکترونیکی در بستری امن‌تر تلاش کند یا محدودیت‌هایی برای انجام تراکنش‌های الکترونیکی ایجاد کند.

اما ایجاد محدودیت در بسترهایی که مردم در حال استفاده از آن هستند یا اعمال هر گونه تغییر در آن بسترها کار چندان ساده‌ای نیست و با صدور یک یا چند دستورالعمل اجرایی امکان فراهم کردن این درخواست‌ها وجود ندارد.
بانک مرکزی برای اینکه بسیاری از سرویس‌ها را از خطر تعطیلی نجات دهد جلسات فشرده‌ای را با پلیس فتا از یک‌سو و شرکت‌های ارائه دهنده خدمات پرداخت، بانک‌ها و همچنین استارت‌آپ‌های فعال در این حوزه برگزار کرد تا راهی برای انجام تراکنش امن و در نهایت احراز هویت کاربران در فضای مجازی بیابد. نتیجه این جلسات الزام بانک‌ها به بکارگیری رمزیکبار مصرف و برنامه‌زمان‌بندی شده برای آنان تا اجرای آن است. هرچند بانک‌ها و شرکت‌های ارائه‌دهنده خدمات پرداخت برای اجرای کامل آن تا خردادماه امسال فرصت دارند اما از آذر ماه سال گذشته مسئولیت هر گونه حادثه احتمالی و جبران خسارت ناشی از این حوادت برعهده بانکها گذاشته شده است. طبق گزارش‌های تهیه شده از سوی بانک مرکزی تقریبا تا پیش از پایان سال گذشته فقط ۷ بانک موفق به اجرا وپیاده‌سازی رمزیکبار مصرف(OTP) شده‌اند.

البته این سیاست‌گذاری‌های زمان‌بندی شده نیز نتوانست پلیس فتا را راضی کند و آنان در نامه‌ای به بانک‌ها از آنان خواست تا زمان اجرایی شدن بخشنامه بانک مرکزی در خصوص احراز هویت و تقویت امنیت پرداخت۴ محدودیت را برای اپلیکیشن‌ها پرداختی اعمال کنند.  طبق در خواست فتا شرکت‌های مرتبط با اپلیکیشن‌های پرداخت (آپ، پات، سکه، تاپ و…) باید تنها به شماره همراه دارنده حساب اجازه انجام تراکنش از کارت یا حساب از طریق اپلیکیشن‌های فعال در این زمینه را بدهند. این شرکت‌ها همچنین در میزان و تعداد تراکنش‌ها، حوزه مکانی و جغرافیایی استفاده از اپلیکیشن‌ها باید محدودیت ایجاد کنند. واقعیت این است که اجرایی شدن این درخواست نیز کار ساده‌ای نبود و در نهایت اجرای کامل این طرح به امسال واگذار شده است.

همه‌چیز بر سر دیوار خراب شد

نتیجه تمامی این موضع‌گیری‌ها و اجرا نشدن کامل فرایند احراز هویت موجب شد تا همه‌چیز سر پلتفرم نیازمندی‌های آنلاین «دیوار» خراب شود و در نهایت به دلیل به خطر انداختن امنیت کاربرانش تهدید به فیلتر شود. طبق گفته پلیس فتا به عنوان درخواست کننده فیلتر دیوار، این پلتفرم با توجه به عدم احراز هویت کاربرانش موجب بروز جرم و کلاهبرداری از کاربرانش  می‌شود و در نهایت تعداد شکایت‌های صورت گرفته از آن بسیار بالا رفته است. هرچند که بعد از این ادعای پلیس فتا علیه دیوار،  مدیران این پلتفرم  نیز در مقابل اعلام کردند که مسئولیت احرازهویت فقط بر عهده این سرویس نیست؛ چرا که فرایند احراز هویت از کاربران باید با همکاری دولت صورت گیرد. در نهایت سازمان فناوری اطلاعات با ارائه پیشنهاد استفاده از زیرساخت‌های سامانه شاهکار و تعاملاتی که با پلیس فتا صورت گرفت، توانستند جلوی فیلتر شدن این سرویس را تا این لحظه بگیرند. هر چند تعیین تعرفه برای ارائه خدمات این سامانه به کسب‌وکارهای بخش خصوصی حالا به مانعی دیگر پیش روی فعالیت آنها تبدیل شده است .  برای نمونه حسام آرمندهی، هم‌بنیانگذار پلتفرم کافه بازار، در مراسم معرفی نقشه و مسیریاب «بلد» اعلام کرد که در قالب طرح اتصال کسب‌وکارهای بخش‌خصوصی به سامانه شاهکار آنها باید بابت هر استعلام کد ملی از طریق این سامانه ۳۸۵ تومان بپردازند و به این ترتیب برای پلتفرمی مانند دیوار باید رقمی بین ۳ تا ۱۰ میلیارد تومان به دولت برای یک سال پرداخت کند. در مقابل این انتقاد‌ها اما امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات در گفت‌وگو با پیوست اعلام کرد که هدف از تعرفه‌گذاری استعلام کسب‌وکارها از سامانه شاهکار، ارائه یک سرویس پایدار و جلوگیری از به خطر افتادن حریم خصوصی کاربران در فضای مجازی است.

کلاف سر درگم

کش و قوس‌های احراز هویت کاربران در فضای مجازی نه تنها طی سال گذشته به نتیجه نرسید؛ بلکه به نظر می‌رسد زمینه را آماده کرده (این کلاف سردر گم و پیچیده به نظرم اینطوری بهتره)  در سال جاری وارد کارزار جدید شود و به زودی بسیاری از بخش‌های کشور را درگیر کند. چرا که دیگر نه تنها احراز هویت کابران این فضا از اهمیت خاصی برخوردار است بلکه توسعه کسب وکارها موجب شده تا علاوه بر احراز هویت افراد و کاربران موضوع احراز هویت اپلیکیشن‌های ارائه دهنده خدمات نیز مورد توجه قرار گیرد.

ناصر حکیمی معاون فناوری‌های نوین بانک مرکزی در گفت‌‌وگو با پیوست اعلام کرد که امسال علاوه بر احراز هویت کاربران، به دنبال احراز هویت اپلیکیشن‌های پرداختی نیز خواهند بود. راهکاری که اجرایی کردن آن چندان ساده نخواهد بود و به نظر می‌رسد مسئولان این نهاد هنوز برای آن راهکاری مناسبی پیدا نکرده‌اند. به نظر حکیمی یکی از ریسک‌های بزرگ شبکه بانکی در آینده از سوی اپ‌هایی است که باید احراز هویت شوند و اصالت آنان کنترل شود. از این گفته می‌توان اینگونه برداشت کرد که پیچیدگی کلاف سر درگم احراز هویت در فضای مجازی با افزایش تنوع اپ‌های مختلف در این فضا پیچیده‌تر می‌شود و  شناسنامه‌‌ای که در فضای مجازی و دنیای خدمات الکترونیکی هنوز برای کاربران آن صادر نشده قرار است برای اپ‌ها آن نیز صادر شود. فرایندی که چگونگی اجرای آن نه برای مجریان مشخص است و نه ناظران.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.