دبیر شورای اجرایی فناوری اطلاعات: دولت و کسب‌وکارها تجربه‌ای از مدیریت ریسک سرویس‌های احراز هویت ندارند

نویسنده: مرضیه شمس انتشار: 3 دی سال 1398 ساعت 16:00 به‌روز‌رسانی: 3 دی سال 1398 ساعت 16:46 0

احراز هویت چهار سطح دارد که سطح اول آن همان نام کاربری و رمز عبور است، سطح دوم کمی پیشرفته‌تر است که شامل سرویس‌هایی مانند شاهکار و OTP می‌شود، سطح سوم جایی است که از یک ابزار مانند کارت ملی هوشمند و توکن استفاده می‌شود. در سطح چهارم ویژگی بیومتریک یا امضای الکترونیکی نیز به آن اضافه می‌شود. برخی کارشناسان معتقد هستند در ایران احراز هویت از طریق کارت ملی هوشمند، برای هر کسب‌وکار و حتی بانک ضروری نیست و می‌توان به سطح پایین‌تری از احراز هویت اکتفا کرد.

اما برخی کشورهای دنیا روش احراز هویت بیومتریک که بالاترین سطح احراز هویت است را بهترین، ساده‌ترین و مطمئن‌ترین روش احراز می‌دانند. نتایج به دست آمده از تحقیقات ویزا در سال ۲۰۱۷ نشان می‌دهد که ۸۶ درصد از مصرف‌کنندگان علاقه‌مند به استفاده از روش‌های بیومتریک برای احراز هویت بوده که ۶۵ درصد از آنها پیش از این با این فناوری آشنا بوده‌اند.

مثالی که می‌توان در این خصوص زد، کشور هند است. ۱۰ سال پیش یعنی سال 2019 در هندوستان بزرگ‌ترین سیستم شناسایی بیومتریک جهان به نام «ادهار» راه‌اندازی شد؛ این پروژه که پاول رومر، اقتصاددان ارشد بانک جهانی از آن با عنوان «پیشرفته‌ترین برنامه آی‌دی جهان» نام برده، یکی از مهم‌ترین پایه‌های هند دیجیتال است و می‌تواند هویتی منحصربه‌فرد برای بیش از ۱.۳ میلیارد نفر جمعیت این کشور ارائه دهد. صدور کارت ملی هوشمند در ایران هم قدمی برای حرکت در مسیر همین موقعیت‌ها محسوب می‌شود؛ با این حال موانع مختلفی وجود دارد که عمده آنها در مهیا نبودن زیرساخت‌های لازم و عدم درک مناسب اهمیت فناوری‌های نوین نهفته است.

پروژه ادهار / پیش درآمدی بر بزرگ‌ترین سیستم شناسایی بیومتریک جهان

هشت سال پیش بود که طرح تعویض کارت ملی‌های کاغذی با کارت ملی هوشمند با عنوان کلید ورود به دولت الکترونیک کلید خورد، اما با گذشت این مدت هنوز ۹ میلیون ایرانی برای کارت ملی هوشمند ثبت نام نکرده‌اند. علاوه‌بر آن بسیاری از کسانی هم که ثبت‌نام کرده‌اند، بعد از گذشت یک سال هنوز کارت خود را دریافت نکرده‌اند.

بانک‌ها هم از خردادماه امسال دیگر کارت‌های ملی قدیمی را برای احراز هویت مشتریان قبول نمی‌کردند و مشتریان فاقد کارت ملی هوشمند باید کارت ملی قدیمی به همراه رسید ثبت‌نام کارت هوشمند خود را ارائه می‌دادند. تا اینکه از آبان‌ماه امسال بانک مرکزی ابلاغیه‌ای صادر کرد که کلیه اشخاص، دیگر نیازی به ارائه کارت ملی ندارند و با استعلام برخط بانک سازمان ثبت احوال شود و دریافت کد رهگیری احراز آنها تایید می‌شود.

در این باره بخوانید: آیا کارت ملی هوشمند می‌تواند گزینه مناسبی برای احراز هویت افراد باشد؟ / هشت سال مقاومت در برابر طرح‌هایی که شکست می‌خورند

حالا مهم‌ترین کاربرد کارت ملی هوشمند که قرار بود احراز هویت باشد، دقیقا مشخص نیست در کجا کاربرد دارد و در کجا ندارد. علاوه‌بر آن این سوال پیش می‌آید که بانک‌ها و کسب‌وکارهای آنلاین باید چه سطحی از احراز هویت را فراهم کنند تا هم امنیت کاربران و مشتریان حفظ شود و هم انجام کار آنها تسریع یابد؟

طی گفت‌وگویی که با دبیر شورای اجرایی فناوری اطلاعات داشتیم، به این نتیجه رسیدیم که ارائه سرویس‌های احراز هویت برای کسب‌وکارها و بانک‌ها در آغاز راه قرار دارد و سرویس‌هایی هم که تاکنون ارائه شده در مرحله آزمایش و پایلوت قرار دارند. همچنین کسب‌وکارها هنوز نتوانسته‌اند ریسک مبتنی بر این سرویس‌ها را مدیریت کنند. حتی دولت نیز تجربه‌ای از مدیریت ریسک آنها در استفاده از سرویس‌های احراز هویت ندارد. در ادامه گفت‌وگوی راه پرداخت را با رضا باقری اصل را درباره چالش‌هایی که احراز هویت آنلاین با آن درگیر است، می‌خوانید.

سال‌هاست که با مساله احراز هویت درگیریم و طرح‌هایی مانند کارت ملی هوشمند نتوانستند مشکل احراز هویت را حل کنند. با این حال چند سالی است که برخی کسب‌وکارهای آنلاین به احراز هویت آنلاین رو آورده‌اند. با توجه به اینکه راهکارهایی که قبلاً ارائه شده چندان موفقیت‌آمیز نبوده، فکر می‌کنید کسب‌وکارها آمادگی ارائه این نوع احراز هویت را دارند؟

در ابتدا باید تعریف دقیقی از احراز هویت داشته باشیم. بخشی از موضوع بحث ما KYC و شناخت مشتری است و هر کسب‌وکاری باید مشتریان خود را بشناسد. این یک مقوله کلی است و تنها محدود به دولت نیست. معمولاً هر کسب‌وکاری در هر جای دنیا تلاش می‌کند که با برخی پروتکل‌ها و داده‌کاوی‌ها به شناخت کامل مشتری خود برسد. به این دلیل که کسب‌وکارها وفاداری خود را با مشتریان بسنجند و سرویس‌های ویژه یا سرویس‌های ارزش افزوده را برای مشتریان خرد تکمیل کرده و ریسک ناشی از تقلب یا هر نوع سواستفاده را مدیریت کنند. بنابراین تکلیفی برای همه کسب‌وکارها است که با روش‌های مختلف این کار را انجام دهند.

اما KYC در سمت دولت به احراز ختم می‌شود، در حقیقت پروتکل شناسایی خدمت‌گیرنده در بخش دولت، احراز کامل هویت است. در ماده 40 قانون مدیریت خدمات کشوری که سال 1387 برای احراز هویت بر اساس شماره ملی و کد پستی تصویب شد، آورده شده که شناسه اشخاص حقیقی کلیه پایگاه داده‌های کشور باید شماره ملی باشد. این فرایند در قانون برنامه پنجم توسعه ماده 46 و قانون برنامه ششم توسعه نیز تاکید شد. بنابراین در بخش خصوصی KYC معنی خودش را دارد و در بخش دولتی نیز کمی مساله پیچیده‌تر و مبتنی بر یک قواعد حقوقی است.

اگر این درک را داشته باشیم که فرایند احراز چیست، به‌مرور می‌توانیم بحث‌های آنلاین آن را نیز مطرح کنیم. با ارائه کارت ملی، اشخاص حقیقی ایرانی صاحب یک شناسه یکتا شدند و این شماره بعدها به‌عنوان شناسه ملی به اشخاص حقوقی نیز تسری پیدا کرد. متولی بخشی از آن، سازمان ثبت اسناد و املاک و بخشی دیگر سازمان ثبت احوال کشور شد. از این‌رو در فضای مجازی یا فیزیکی احراز هویت کم‌کم به سمت شناسه‌گذاری پیش رفت. به‌عنوان مثال برای کارت خودرو vehicle identification number) VIN) تعریف و برای شماره موبایل نیز در دولت یازدهم پروژه‌ای به نام شاهکار اجرا شد.

این مقوله به‌مرور پیشرفت کرد و به‌جایی رسید که در جلسه پنجاه‌ونهم شورای عالی فضای مجازی که دوماه پیش برگزار شد، بحث شناسایی هویت معتبر به تصویب رسید. این شناسه دارای دو بخش شناسه داده‌های پایه و شناسه احراز هویت از طریق صفات است. به‌طور مثال اگر خانه یا مکان اقامتی وجود داشته باشد، مکان ملک به‌عنوان شناسه پایه و مالک آن خانه به‌عنوان صفت ملکیت درنظر گرفته می‌شود. مثال دیگر این است که حساب‌های بانکی شناسه پایه تلقی می‌شود و کارت‌های بانکی صفت هستند.

تمایل مصرف‌کنندگان به احراز هویت به روش بیومتریک / اینفوگرافیک

مصوبه دیگری هم سال گذشته در جلسه پنجاه‌وچهارم در رابطه با کارگروه تعامل‌پذیری دولت الکترونیک انجام شد که در این کارگروه بر شیوه احراز هویت مبتنی بر داده‌های پایه تاکید شد. پس در این چندسال در مسیر سیاست‌گذاری این موارد را داشتیم. در مسیرهای دیگر نیز در بحث زیرساختی، مرکز ملی تبادل اطلاعات بر اساس قوانین، برنامه‌هایی را تنظیم کرد و دستگاه‌ها نیز شروع به تکمیل کردن پایگاه داده‌های خود کردند. برای مثال ما پایگاه کاملی از شماره کارت‌های بانکی نداشتیم که در پروژه جایگزینی کارت هوشمند سوخت با کارت بانکی این پایگاه تکمیل شد. نمی‌دانم پایگاه اطلاعات شماره حساب‌ها در حال حاضر تکمیل شده یا نه، ولی در این مورد نیز داده‌ها در حال تکمیل شدن است. چالش دیگر ما نیز فقدان پایگاه جامع از مدارک تحصیلی است.

در این باره بخوانید: نقش کارت ملی هوشمند در بهبود فرایندهای اقتصادی و اجتماعی چیست؟ / یک تکه از پازل هزارتکه‌ای

همه اینها به KYC ربط پیدا می‌کند. اگر سرویس‌دهنده‌ای بخواهد آموزش آنلاین را برگزار کند و به احراز هویت مدرک تحصیلی نیاز داشته باشد، احراز نیز باید از طریق سرویسی که دولت یا دانشگاه ایجاد کرده، صورت بگیرد. اگر پایگاه داده‌ای در این زمینه وجود داشته باشد به شیوه‌های مختلف می‌توان احراز هویت را انجام داد و دیگر نیازی به حمل کاغذ یا ارتباط الکترونیک مستقیم ندارد.

ما از سال گذشته با همکاری سازمان فناوری اطلاعات مسیر KYC را به احرازی که سمت دولت انجام می‌شود نزدیک کردیم. یعنی این اجازه را برای بخش خصوصی گرفتیم که از طریق مرکز ملی تبادل اطلاعات بتوانند، احرازی که خود انجام می‌دادند، با استعلامات الکترونیک یا تبادل داده با دولت انجام دهند. طبیعتاً اولین سرویسی که فراهم کردیم سرویس شاهکار بود که در برخی از کسب‌وکارهای آنلاین راه‌اندازی شده است.

راه پرداخت با حمایت کنسرسیوم ققنوس گزارش یوبی‌اس با عنوان «هویت دیجیتال» را به فارسی ترجمه کرده که امکان دانلود فایل و همانطور خلاصه‌ای از این گزارش در این لینک آمده است.

چالش این است که برای کسب‌وکارها سطوح اطمینان از احراز هویت (level of Authentication) هنوز تعریف نشده است. اینکه هر کسب‌وکاری به چه سطحی از احراز هویت نیاز دارد. ما چهار سطح احراز هویت داریم؛ سطح اول که همان نام کاربری و رمز عبور است، سطح دوم کمی پیشرفته‌تر است که شامل سرویس‌هایی مانند شاهکار و OTP می‌شود، سطح سوم جایی است که از یک ابزار مانند کارت ملی هوشمند و توکن استفاده می‌شود. در سطح چهارم ویژگی بیومتریک یا امضای الکترونیکی نیز به آن اضافه می‌شود. این تفکیک سطوح هنوز برای کسب‌وکارها انجام نشده است. علاوه‌بر این، همه کسب‌وکارها به سطح بالاتر یا چهارم برای احراز هویت که همان احراز هویت بیومتریک و امضای الکترونیکی است، نیاز ندارند.

اما گاهی به پدیده‌هایی مانند کلاهبرداری در حوزه ملک یا خودرو برمی‌خوریم که ناچاریم سطح احراز هویت آن کسب‌وکار را افزایش دهیم. با این حال هنوز قاعده‌ای برای تعریف سطوح چهارگانه در کشور احراز هویت در کشور ایجاد نشده است. سرویس‌هایی نیز که فعلاً در حال راه‌اندازی است از نظر معنایی به‌صورت پایلوت است.

چرا این سند برای سطح چهارم احراز هویت تولید نشده است؟ آیا مشکلی از لحاظ فنی وجود دارد؟

به‌هیچ‌وجه مشکل فنی وجود ندارد، بلکه مشکل در شناسایی ریسک است. انتظار این است که بخش خصوصی این ریسک را مدیریت کند و اگر در این مسیر دچار مشکلی شود، بتواند آن مشکل را با فرایندهای دیگر جبران کند. این شناسایی و مدیریت ریسک در حال حاضر نه از سوی دولت و نه کسب‌وکارها صورت نگرفته است.

سرویس شاهکار نیز که ارائه شده برای انجام احراز هویت کفایت نمی‌کند. به‌طور مثال با این سرویس نمی‌توان یک سند ملکی دیجیتال تولید کرد یا برای احراز هویت در افتتاح حساب آنلاین نیاز به سطوح بالاتری از احراز برخط داریم.

همه انتظار دارند که این ریسک در سطح عالی و چهارم انجام شود، درحالی‌که قطعاً همه کسب‌وکارهای آنلاین به این سطح نیاز ندارند. بنابراین شاید نیازی نباشد که تا این حد پیچیده به این موضوع نگاه کنیم. همچنین زیرساخت‌های سطح اصلی ما که احراز هویت دولتی است باید فراهم باشد. قطعاً در نبود این زیرساخت نمی‌توان از ابزاری مانند موبایل استفاده کرد، چراکه ممکن است شناسه‌ای جعلی از این طریق ایجاد شود، همچنین نمی‌توان شماره حساب فرد را برای احراز هویت فرد در نظر بگیریم؛ در این مورد نیز ممکن است مشکلی برای احراز هویت به‌وجود بیاید. حتی برای کد ملی هم امکان مقداری ریسک وجود دارد، مانند خریدوفروشی که در مرزها ممکن است بر روی هویت صورت بگیرد. بنابراین آن سطحی که احراز دولتی باید باشد، به‌طور کامل برقرار نیست.

دراین باره بخوانید: چالش هویت و احراز هویت / بانک‌ها از کجا می‌فهمند شما دقیقا چه کسی هستید؟

در ارتباط با سطوح تعیین یا مدیریت ریسک نیز همین مساله وجود دارد. اگر بخواهیم سرویس فین‌تکی را ارائه دهیم که آن سرویس به حساب بانکی وصل شود، به‌دلیل اینکه احراز در آن شماره حساب صورت گرفته پس در سطح پایین‌تری آن سرویس مدیریت می‌شود، درواقع نیازی به احراز هویت صددرصد ندارد. اما این تقسیم ریسک هنوز توسط بانک مرکزی، فین‌تک‌ها و بانک‌ها صورت نگرفته است.

در یک فرایند طولی مانند بانکداری، بازیگران هنوز مدیریت ریسک را با همدیگر انجام نداده‌اند و نتوانستند این ریسک را بین خود تقسیم کنند. این باعث می‌شود که بنابر دستورالعمل‌های بانک مرکزی و به نفع بانک‌ها و سامانه‌های متمرکز، فشار کسب‌وکار برای احراز هویت کامل یا ریسک آن برای توسعه بازار افزایش پیدا کند. نظیر اتفاقی که اخیراً با فشار برای حذف رمز دوم و جایگزین با OTP انجام گرفته است. سؤال این است آیا برای همه تراکنش‌ها با هر رقمی این فرایند KYC یا احراز ضروری است؟ به نظر نمی‌رسد اینطور باشد.
رضا باقری اصل، دبیر شورای اجرایی فناوری اطلاعات

اینکه کسب‌وکارها به سطوحی از احراز هویت دست نیافته‌اند، فرایندی دارد که باید به‌مرور به آن دست یافت یا راهکاری برای آن ترتیب داده شده است؟

در کارگروه تعامل‌پذیری شورای عالی فضای مجازی و شورای اجرایی فناوری اطلاعات تصمیم بر این است که داده‌های دولت را به‌عنوان «کالای عمومی» در اختیار مردم قرار دهیم. با این کار به کسب‌وکارها اجازه داده می‌شود سطح احراز هویت خود را ارتقا دهند. نمونه آن همین سرویس شاهکار بود. در کسب‌وکارهای دیگر نیز در حال آزمایش سرویس‌های دیگری هستیم.

همچنین طبق جلسه‌ای که با بیمه مرکزی و کسب‌وکارهای خودرویی داشته‌ایم به این توافق رسیدیم که اگر شخصی خودرویی را در کسب‌وکاری برای فروش گذاشت، می‌تواند درخواست کند که خودرو را با احراز هویت بیمه‌ای به او بدهد. بدین ترتیب با وارد شدن شماره شاسی خودروی فرد، کسب‌وکار خودرویی می‌تواند شناسه فرد، کد ملی، شماره موبایل و شماره شاسی خودرو را برای مرکز تبادل ملی اطلاعات ارسال کند و این مرکز نیز اطلاعات را به بیمه مرکزی دهد. بیمه مرکزی باتوجه به اینکه اطلاعات همه بیمه‌ها را دارد مواردی مانند شروع و پایان بیمه خودرو، میزان تخفیف آن، میزان خسارت داده شده یا تعداد استفاده از بیمه کوپن‌های باطل شده را به آن کسب‌وکار می‌دهد. بدین ترتیب احراز هویت صورت می‌گیرد، پس از آن، خودرویی که در آن کسب‌وکار برای فروش وجود دارد، «تیک آبی» می‌خورد و درواقع اصالت نسبی تأیید می‌شود.

این سرویس قرار است رایگان ارائه شود یا هزینه‌ای برای مشتریان دارد؟

اینکه سرویس بیمه شخص ثالث رایگان ارائه شود یا نه به آن کسب‌وکار مرتبط است. کسب‌وکاری که می‌خواهد مدیریت ریسک را انجام دهد تصمیم می‌گیرد که به چه صورت این سرویس را ارائه دهد.

در سرویس شاهکار تا جایی که اطلاع دارم حدود 87 کسب‌وکار به این سرویس متصل هستند. هزینه این سرویس نیز طبق مصوبه کمیسیون تنظیم مقررات تعیین می‌شود. یک کسب‌وکار به مرکز ملی تبادل اطلاعات متصل می‌شود و از تمامی سرویس‌هایی که دولت ارائه می‌دهد، می‌تواند استفاده کند. درواقع هزینه ساخت و نگهداری زیرساختی که برای بخش خصوصی فراهم شده از طریق تراکنش‌های کسب‌وکارها تأمین می‌شود. بدین ترتیب سودی برای سازمان فناوری اطلاعات و دولت ندارد و این درآمد صرف جبران هزینه‌ای می‌شود که سازمان فناوری اطلاعات انجام داده است.

در رابطه با سرویس احراز هویت بیمه شخص ثالث نیز هزینه سرویس از بیمه مرکزی گرفته می‌شود و شاید سازمان فناوری اطلاعات برای زیرساخت‌های بیمه مرکزی نیز هزینه کند تا این سرویس راه‌اندازی شود. این هزینه مدیریت ریسکی است که کسب‌وکارها با مرکز ملی تبادل اطلاعات با سرویس‌دهنده انجام می‌دهند. اگرچه هنوز در مرحله پایلوت هستیم.

هشت سال است که پروژه کارت ملی هوشمند قرار است به‌عنوان یکی از ابزارهای احراز هویت مورد استفاده قرار بگیرد، اما این پروژه هنوز نتوانسته فراگیر شود. به‌نظر شما آیا کارت ملی هوشمند بالاخره می‌تواند به ارائه اطلاعات و احراز هویت افراد کمک کند یا پیچیده‌تر از آن چیزی است که فکر می‌کنیم؟ به‌عبارتی اگر این پروژه به‌طور کامل اجرا شود،دیگر مشکل احراز هویت حل خواهد شد؟

شورای اجرایی فناوری اطلاعات یکی از منتقدین کارت ملی هوشمند بوده است، اما نه اینکه از آن استفاده نشود. به‌دلیل اینکه هوشمندی قابل حمل است. یعنی برای اینکه از کارت هوشمند استفاده کنیم، لازم است که حتماً یک دستگاه کارت‌خوان با سطوحی وجود داشته باشد تا بتوان احراز هویت را در سطح چهارم انجام دهد. یعنی هم قابلیت درج رمز و هم قابلیت اثر انگشت داشته باشد.

طبیعتاً برای همه کسب‌وکارها نمی‌توان سطح چهارم احراز هویت را انجام داد. فرض کنید بخواهیم سرویسی از اینترنت بگیریم، در این صورت باید برای هر کاربر ابزاری (دستگاه کارت‌خوان) تعیین کنیم که با آن بتواند احراز هویت را انجام دهد یا لپ‌تاپی تهیه کند که NFC کارت را تشخیص دهد. در حالی‌که این امر امکان‌پذیر نیست. بنابراین این سطح از احراز هویت برای همه کسب‌وکارها مناسب نیست و کارت ملی هوشمند می‌تواند تنها ابزاری باشد که در پیشخوان‌های دولت از آن استفاده شود. باید کاری انجام دهیم که با هزینه کمتری ریسک را به نفع کسب‌وکارها مدیریت کنیم و آنها دسترسی به اطلاعات احراز شده داشته باشند. در این صورت می‌توانیم KYC قوی را برای آنها ایجاد کنیم.

حتی برای دولت نیز نمی‌توان برای همه سرویس‌ها از سطح چهارم احراز هویت استفاده کرد. برای همه سرویس‌ها هم ضرورتی ندارد که این کار را انجام دهیم؛ فرض کنید فردی درخواست صدور مجوز می‌دهد، برای این کار نیازی نیست که از او اثر انگشت بگیریم، چراکه هویت آن فرد بر اساس اطلاعات سازمان ثبت‌احوال، مکان اقامت، مدارک تحصیلی و موارد دیگر مشخص است. پس ممکن است سرویسی مانند شاهکار برای احراز هویت او کافی باشد؛ چراکه مدیریت ریسکی ندارد. اما در جابه‌جایی یک سند که ریسک بالایی دارد باید از احراز هویت سطح چهارم استفاده کرد. به‌نظر می‌رسد ما می‌توانستیم با داده‌کاوی در لایه پشت به سطحی از اطمینان‌بخشی برسیم و نیازی نبود ابزاری برای کارت‌خوان و پدیده‌ای به نام کارت ملی هوشمند وجود داشته باشد.

در این صورت بحثی که درباره چندمنظوره کردن کارت ملی هوشمند وجود داشت هم امکان‌پذیر نیست؟

کارت ملی هوشمند نمی‌تواند جایگزین کارت‌های چندمنظوره شود، معماری این کارت دیگر چند منظوره نیست و کاملاً برای احراز هویت است. این کارت می‌تواند برای پیشخوان در زمینه احراز هویت ابزار خوبی باشد، اما در بقیه موارد به ویژه سرویس‌های برخط کاربردی ندارد.

درخصوص افتتاح حساب آنلاین چه اقداماتی انجام شده و چه زمانی قرار است اجرا شود؟

فرایند افتتاح حساب برای اولین بار نیازمند احراز است و پس از آن هم نیازمند تعامل بین بانک‌ها و بانک مرکزی است، اما برای اخذ هر خدمت بانکی بسته به نوع خدمت سطح پایین‌تری یا احراز باید انجام گیرد. درحال حاضر افتتاح حساب برای اولین بار به صورت آنلاین وجود ندارد، شاید نیازی به این کار نباشد و آنقدر متقاضی برای افتتاح حساب نیست که بخواهد برای آن هزینه‌ای صرف شود. اگر چک الکترونیکی هم به وجود بیاید، در قانون چک نیز آمده که دسته چک در محل گرفتن چک باید احراز هویت شود. پس درواقع باز هم نمی‌توان به‌صورت کاملاً آنلاین این خدمات را ارائه داد.

با این تفاسیر آیا راهکاری یکپارچه برای احراز هویت ترتیب داده‌اید؟

سبد ابزارهای شناسایی مشتری نسبت به شش سال قبل بسیار فرق کرده و تنوعی از ابزارهایی مانند شاهکار، کد پستی، کارت هوشمند ملی، احراز هویت الکترونیک ثبت احوال، شناسایی اشخاص حقوقی و غیره به‌وجود آمده است.

مرکز ملی تبادل اطلاعات و سند ملی معتبر راهکار یکپارچه برای احراز هویت است، اما اجرا شدن آن کم‌کم صورت می‌گیرد، نکته کلیدی این است که برای دولت اجرای این فرایندها الزامی و مقرراتی است و باید خود این مشکل را حل کند، اما برای کسب‌وکارها باید مدیریت ریسک با ذی‌نفعان صورت گیرد. همچنین این مدیریت ریسک باید تعریف و تجربه شود. به‌طور مثال اگر در زمینه احراز هویت بیمه، داده را تهیه کرده‌ایم، به این معنی نیست که دیگر کلاهبرداری صورت نمی‌گیرد. این کار می‌تواند کاهش‌دهنده ریسک‌هایی باشد، اما ممکن است جنس جدیدی از کلاهبرداری در بیمه اتفاق بیفتد و در آن صورت باید ابزار دیگری را برای آن فراهم کنیم.

قطعاً سرویس‌هایی که از آنها استفاده می‌کنیم، درآینده کاربردی نخواهند داشت و با پیشرفت فناوری سرویس‌های تازه‌ای خلق می‌شوند. در حال حاضر وقتی درباره احراز هویت و KYC صحبت می‌کنیم، مبتنی بر سرویس‌های متمرکز است، اما قطعاً تا چهار یا شش سال دیگر درباره سرویس‌های توزیع‌شده و امنیت آن مبتنی بر زنجیره‌بلوک و اینترنت اشیا صحبت خواهیم کرد. این موضوع جدیدی است که در دنیا استفاده شده و فاصله ما با این فناوری‌ها نیز در برخی از حوزه‌ها چهار سال و در برخی دیگر نیز 10 سال است.

فکر می‌کنید چقدر زمان نیاز است تا راهکاری یکپارچه برای احراز هویت ارائه شود و پس از آن به فکر راه‌اندازی سرویس‌هایی مبتنی بر سیستم توزیع‌شدگی باشیم؟

احراز هویت تابع نوع کسب‌وکار، نحوه مدیریت ریسک و زمان است. تابع زمان اهمیت زیادی دارد. شش سال پیش فکر دیگری داشتیم، اکنون برخی سرویس‌ها را راه‌اندازی کردیم و قطعاً شش سال دیگر سرویس‌های ما متفاوت خواهد بود. برخی مصوبات و کارها انجام شده، اما در برخی موارد نیز تصمیم‌گیری نشده است، آن هم سطوح احراز هویت کسب‌وکارهاست. این همان چیزی است که اکنون به‌صورت پایلوت اجرا می‌شود تا هم با بخش خصوصی به توافق نسبی برسیم و هم سرویس‌دهنده توافق کند.

من فکر می‌کنم باید حداکثر تا چهار سال دیگر در حوزه حاکمیت الکترونیک یا حاکمیت داده، توزیع‌شدگی و استفاده از زنجیره‌بلوک در بخش احراز هویت اجرایی شود. تا آن زمان باید سرویس‌های یکپارچه ما تکمیل شود و چهار سال دیگر یا زودتر پایلوت‌هایی را برای احراز هویت مبتنی بر نظام توزیع شده و زنجیره‌بلوکی داشته باشیم.
رضا باقری اصل، دبیر شورای اجرایی فناوری اطلاعات

سامانه احراز هویت مشتریان تجارت الکترونیکی و سامانه ثبت‌نام غیرحضوری امضای الکترونیکی از جمله سامانه‌هایی بودند که با همکاری مرکز توسعه تجارت الکترونیکی برای کسب‌وکارها راه‌اندازی شده است. درباره چگونگی فعالیت این سامانه‌ها در کنار دیگر سامانه‌هایی که دولت ارائه داده، توضیح دهید؟

مصوبه پنجاه‌ونهم شورای عالی فضای مجازی در این خصوص تکلیف کرده که پنجره واحد احراز هویت لازم است توسط وزارت ارتباطات راه‌اندازی شود، چراکه این وزارت ذی‌نفع سرویسی نیست، اما نکته اینجاست که آیا این پنجره واحد را وزارت ارتباطات انجام می‌دهد یا برخی توزیع‌شدگی را به‌طور تخصصی در سطوحی قبول می‌کند؟ درباره مرکز توسعه تجارت الکترونیکی هنوز به این نتیجه نرسیده‌ایم که قرار است چه کاری انجام شود. به‌نظر من مرکز تبادل اطلاعات باید سطحی از توزیع‌شدگی را بپذیرد تا تقسیم مسئولیت با برخی دستگاه‌ها مانند بورس‌ها و بانک‌ها صورت گیرد.

شاید برای حوزه فین‌تکی در سطوحی بتوان با همکاری وزارت ارتباطات و بانک مرکزی سرویسی شبیه به شاهکار ارائه داد، اما قطعاً برای افتتاح حساب نمی‌توان این ریسک را قبول کرد. مدیریت این ریسک طولی است، نه عرضی. به‌همین دلیل نمی‌توان این همکاری را حاصل کرد، چراکه افتتاح حساب فعلاً باید در بانک صورت گیرد تا زمانی که فرایندهای قانونی آن نوع دیگری را به رسمیت بپذیرد.

اکنون بانک‌ها برای احراز هویت از سازمان ثبت‌ احوال استعلام می‌گیرند، آیا راهکار دیگری قرار است ارائه شود؟

سرویس‌هایی که برای بانک‌ها در زمینه استعلام از سازمان ثبت‌احوال فراهم شده نیز قرار است ارتقا پیدا کند. اطلاع دارم که در برخی شعب پین‌پد پذیرش کارت هوشمند وجود دارد. چند بانک دیگر نیز به‌طور آزمایشی احراز هویت مبتنی بر کارت هوشمند را به سرویس‌های خود اضافه کردند تا از طریق پین‌پد، اثر انگشت شناسایی و سرویس ارائه شود.