کارت ملی که هوشمند استفاده نمی‌شود

ماهنامه عصر تراکنش شماره ۳۵، شاهین نوروزی، کارشناس فناوری اطلاعات و امنیت سایبری / احراز هویت الکترونیکی در ایران از خیلی سال پیش مورد مطالعه قرار گرفته است. در سال ۱۳۸۲ اولین‌بار با تصویب قانون تجارت الکترونیکی روی احراز هویت الکترونیکی کار شد. یکی از اهداف این قانون استفاده از امکانات و ابزارهای احراز هویت الکترونیکی برای تسهیل تجارت بود. پس از آن روی کارت ملی هوشمند کار شد که چند سالی است به کندی انجام می‌شود و امروز یکی از مهم‌ترین و بهترین ابزار احراز هویت الکترونیکی است.

کشورهای اروپایی و کشورهای مترقی حوزه فناوری اطلاعات از این ساختار به همین شکل؛ البته با استانداردهای متفاوت استفاده می‌کنند. این کشورها نیز مبنا را کارت هوشمند در نظر گرفته‌اند و مدل انتشار آنها مانند کشور ماست. با این وجود در ایران نتوانسته‌ایم از اقداماتی که برای احراز هویت الکترونیکی انجام داده‌ایم، بهره‌برداری کنیم.

روش‌های مختلف احراز هویت سطوح اعتماد مختلفی دارد. ما اشتباه بزرگی که در بسیاری از فعالیت‌های الکترونیکی مرتکب می‌شویم، این است که یک روش را برای موضوعی استفاده می‌کنیم و این برداشت را داریم که این روش برای دیگر موضوعات نیز قابل استفاده است، در حالی که با روش تکراری برای تمامی امور خیلی سریع به بن‌بست می‌رسیم. مثلا شاهکار (شبکه احراز هویت کاربران ایران) یک مدل احراز هویت الکترونیکی است.

به‌طور کلی در شاهکار احراز هویت از طریق اطلاعات هویت مالک شماره موبایل انجام می‌شود. این مدل احراز هویت برای یکسری از سطوح اعتمادی که لازم داریم کافی است، ولی برای سطوح دیگر کافی نیست. مثلا وقتی کسی می‌خواهد در اسنپ ثبت‌نام کند و برای احراز هویت او باید ببینیم روش شاهکار که رابطه شماره ملی و شماره موبایل را برقرار می‌کند، کافی است؟! جواب مثبت است. شاهکار برای احراز هویت در اسنپ کافی است، اما این مدل برای انجام معاملات صحیح نیست و قطعا عوارض سنگینی را به کشور تحمیل می‌کند.

برای اینکه ببینیم زیرساخت‌های لازم احراز هویت در کشور وجود دارد، باید جنبه‌های حقوقی، فنی و توسعه‌ای جامعه، سطح آگاهی و دانش مردم و نیز فرهنگ را در نظر بگیریم که همه این موارد در استفاده از روش الکترونیکی احراز هویت بسیار بااهمیت است؛ بنابراین به مفهوم عام (یعنی جنبه‌های مختلف حقوقی، فرهنگی، مهندسی و…) زیرساخت‌های احراز هویت الکترونیکی وجود ندارد؛ چراکه آموزش‌های لازم به مردم داده نشده و بسیاری از مسائل فرهنگی و حقوقی مربوط به این موضوع را حل نکرده‌ایم، اما زیرساخت‌های مهندسی کامل است، شاید صد درصد نباشد، ولی یقینا بیش از۸۰ درصد زیرساخت لازم وجود دارد، اما اینکه در چه سطح و در چه کاری نیازمند احراز هویت الکترونیکی هستیم، متفاوت است.

در همین رابطه باید توجه داشته باشیم که احراز هویت در بورس نیازمند احراز هویت سطح بالای امنیتی است. باید دقیق انجام شود؛ مانند افتتاح حساب بانکی است. کارت ملی هوشمند بهترین ابزار برای احراز هویت افراد از راه دور و به‌طور کاملا الکترونیکی است. البته در هر حوزه مثلا بورس، متخصصان حوزه بورس و کسانی که حقوقدان هستند، در این حوزه باید تصمیم بگیرند؛ چراکه ممکن است آنها ایراداتی به این روش‌ها وارد کنند.

مثلا احتمال اینکه کارت ملی هوشمند کسی در اختیار دیگری باشد یا از ابزار زور و اجبار برای احراز هویت الکترونیکی استفاده شود. چالش اختیار و تایید سلامت عقلی و روحی افراد در حین انجام کاری را نمی‌توان به‌صورت الکترونیکی نادیده گرفت. بنابراین باید بر اساس سطح اهمیت هر کسب‌وکاری برای الکترونیکی انجام‌دادن آن تصمیم گرفته شود.

مانند کاربرد اسناد رسمی که با وجود امکان انجام الکترونیکی اما باید یک بار حضور را در دفتر اسناد رسمی داشته باشند. این کار حتی در همه کشورهای دیگر با همه زیرساخت‌های لازم انجام می‌شود. با مراجعه به دفترخانه چند وظیفه  انجام می‌شود که نیازمند حضور فیزیکی افراد است. تایید سلامت عقلی فروشنده، اختیار و آگاهی کامل از معامله و دریافت سمن معامله از جمله مولفه‌هایی است که در صورت حضور در دفتر اسناد رسمی امکان تایید آن وجود دارد، اما در فرایند الکترونیکی این امکان ‌وجود ندارد و در واقع مسئولیت دفاتر اسناد رسمی است که تاکنون در دنیا جایگزینی نداشته است.

شاید در مدل احراز هویت در بورس باید چنین مسائلی را در نظر بگیریم که مثلا فرد ثبت‌نام‌کننده جعل هویت نکرده و اصالت‌سنجی کامل انجام شود. در مدل احراز هویت شاهکار، انکارناپذیری ندارد و ممکن است گوشی در دست هر کسی به‌جز صاحب آن باشد، اما در مدل کارت ملی هوشمند خواص بیومتریک اثر انگشت را داریم که مثلا شاید کسی انکار کند که رمز کارت خودش را وارد کرده است، اما در مورد اثر انگشت نمی‌تواند انکار کند.

موضوع جبر چالش حل‌نشده در احراز هویت الکترونیکی است و نمی‌توان اثبات کرد کسی صد درصد عملیاتی را به اختیار انجام داده است، پس در دنیای الکترونیکی نمی‌‌توان به قطعیت گفت با اختیار انجام شده است. این مساله را باید از ابعاد اجتماعی بررسی کرد و اصلا مساله مهندسی نیست.

در مورد ساختار بورس می‌توان از کارت ملی هوشمند استفاده کرد، اما متاسفانه کارت ملی هوشمند در ایران با کارکرد واقعی آن فاصله دارد؛ چراکه ابعاد حقوقی و اجتماعی استفاده از آن کامل نیست؛ با وجود اینکه جامعه فعال در حوزه اقتصادی کارت ملی هوشمند را دریافت کرده‌اند، اما اغلب کسانی که این کارت را دریافت کرده‌اند، نمی‌دانند این کارت‌ها دو رمز دارد و در واقع رمز مهم‌ترین نکته این کارت‌ها محسوب می‌شود. ولی اغلب شهروندان از آن اطلاع ندارند و این همان خلاء زیرساخت اجتماعی است که در خصوص احراز هویت الکترونیکی وجود دارد.

مشکل دیگر این است که شهروندان بستر استفاده از این کارت‌ها را ندارند و پیش‌بینی نشده که آنها در کجا می‌خواهند از کارت ملی هوشمند استفاده کنند؟ در منازل؟ کارت ملی هوشمند با کارکرد واقعی آن به کارت‌خوان یا گوشی هوشمند نیاز دارد و این نیاز زیرساختی دیگری است که در مورد آن تدبیری اندیشیده نشده است. ما آخرین فناوری به‌روز دنیا را داریم و مهم‌ترین قدم را برداشته‌ایم، اما به نکات فرهنگی، اجتماعی، حقوقی و بهره‌برداری آن بی‌توجه بوده‌ایم و در نتیجه تاکنون ناکارآمد مانده است.