پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
الزام استفاده از سامانه امتا؛ ابلاغیهای برای اخلال فضای کسبوکار
میتوان به جای الزام یک سامانه، استانداردهای احراز هویت را به کسبوکارها الزام کرد و با تعریف سطوح امنیتی مختلف بر اساس نوع خدمات ارائه شده توسط هر کسبوکار، رعایت این الزامات و استانداردها را از آنها درخواست کرد
نیما شمساپور، مدیرعامل یوآیدی / باز هم نهاد حاکمیتی و نظارتی و باز همبازی در نقش غلط و باز هم ایجاد مانعی برای کسبوکارهای تجارت الکترونیک؛ به تازگی معاون امور فضای مجازی دادستانی کل کشور، برای پیشگیری از جعل هویت و کلاهبرداری در پلتفرمهای کسبوکارهای اینترنتی، این کسبوکارها را ملزم کرده است که برای احراز هویت کاربران خود از سامانه امتا استفاده کنند. الزامی که هم از نظر ضعف عملکردی این سامانه و هم از نظر امنیت آن در احراز هویت کاربران، باعث ریزش مشتریان این کسب و کارها و ایجاد اختلال در خدمتدهی آنها به مشتریان خود میشود.
چرا سامانه امتا برای احراز هویت روشی استاندارد نیست؟
به طور کلی احراز هویت کاربران در فضای دیجیتال را میتوان با چند روش مختلف انجام داد؛ استفاده از ویژگیهای بیومتریک (چهره، صوت و غیره)، کارتهای شناسایی، شبکههای اجتماعی و ایمیل، شماره تلفن همراه و پایگاه داده. سامانه امتا از آنجایی که برای احراز هویت کاربران صرفا از پایگاه داده استفاده میکند از نظر امنیت و درجه اطمینان نسبت به روشهای دیگر در سطح پایینی قرار دارد. به عبارتی باید سامانه امتا را استعلام اطلاعات دانست تا احراز هویت.
در دنیا عملکرد سیستمهای احراز هویت را بر اساس ۴ فاکتور درجه اطمینان، دسترسی، هزینه و تجربه کاربری ارزیابی میکنند که با در نظر گرفتن این فاکتورها روشهای صحتسنجی اطلاعات و احراز هویت با هم مقایسه شده است
بنابراین در مقام مقایسه سامانه امتا با راهکارهای احراز هویت نوین که از ویژگیهای بیومتریک استفاده میکنند از منظر چهار فاکتور به صورت زیر است.
حال فارغ از بحثهای فنی و عملکردی، مسائل متعدد دیگری نیز وجود دارد که باید در طراحی سیستمهای امنیتی و احراز هویت در نظر گرفته شوند که در طراحی و پیادهسازی سامانه امتا نادیده گرفته میشود.
بازی احراز هویت و جعل هویت؛ بازی موش و گربه
امنیت یک هدف و مسئله ثابتی نیست بلکه مسیری ممتد است که همواره باید طی شود. سیستمهای امنیتی باید دائما در حال بهروزرسانی باشند تا بتوانند موارد جدید هکها و جعلها را تشخیص دهند و از وقوع آنها جلوگیری کنند. هکرها همواره راهی برای دور زدن سیستمهای امنیتی پیدا میکنند به این خاطر همواره باید سیستمهای امنیتی روشها و ابزارهای جدیدی را برای تشخیص موارد جدید جعل و کلاهبرداری معرفی کنند. احراز هویت که بخش اصلی امنیت است نیز از این قضیه مستثنی نیست. از این جهت بازی طراحان امنیت و هکرها به بازی موش و گربهای شبیه هست که همواره دنبال شکست هم هستند.
مثال عینی عدم رعایت این مورد و تاثیر سوء آن در داخل کشور، رمز دوم پویا است که برای جلوگیری از فیشینگ به بانکها تحمیل شد گرچه در ابتدای اجرای آن، تعداد فیشینگها و کلاهبرداریهای اینترنتی کاهش پیدا کرد ولی با کشف روشهای جدید، هکرها توانستند با وجود این سیستم نیز عملیات خرابکارنه خود را ادامه دهند.
امنیت کاربردی؛ توازن بین امنیت و تجربه کاربری
اینکه کسبوکارها نیاز دارند و خواهان این هستند که نسبت به سطح امنیتی ارائه خدمات خود، کاربران خود را با روش مناسبی احراز هویت کرده و امنیت سیستم خود را حفظ کنند یک مسئله ثابت شده است اما امنیت صرف هم به درد هیچ کسبوکاری نمیخورد و سیستم امنیتی که باعث نابودی تجربه کاربری شود را هیچ کسبوکاری نمیخواهد. امنیت باید امنیت کاربردی باشد به این معنا که یک سیستم در عین حال که امنیت را افزایش میدهد باید به تجربه کاربری آسیبی وارد نکند یا حتی باید بتواند آن را بهبود بخشد.
اکثر کسبوکارها برای حفظ تجربه کاربری و یا بهبود آن با توجه به سیاستهای خود، حد معقولی از ریسک امنیتی را قبول میکنند ممکن است کسب و کارها بخواهند بخشی از ریسک احراز هویت مشتریان خود را به خاطر حفظ یا بهبود تجربه کاربری به عهده بگیرند. از این رو کسب و کارها زیر بار اجرای سیستم امنیتی که تجربه کاربری آنها را کاهش میدهد نمیروند.
الزام به امتا رقابت را نابود میکند
در حال حاضر راهکارهای متعددی در داخل کشور برای احراز هویت دیجیتال و غیرحضوری وجود دارند که میتوان از آنها در سطوح مختلف امنیتی استفاده کرد و این راهکارها نیز روز به روز در حال به روز رسانی سیستمهای خود هستند. نهاد حاکمیتی به جای استانداردسازی و نظارت اگر کسب و کارها را الزام کند که از یک روش مشخص استفاده کنند باعث ایجاد انحصار شده و مشخصا در فضای انحصاری فرصت ایجاد سیستمی با استانداردهای کارکردی بالا وجود نخواهد داشت. باز رمز دوم پویا مثال خوبی برای این مورد است.
سخن آخر
در نهایت با توجه به اینکه راهکارهای مختلفی برای احراز هویت غیرحضوری کاربران فضای مجازی در کشور ارائه شده است و به ویژه اینکه این راهکارها قبلا در احراز هویت غیرحضوری سجام پیادهسازی شدهاند و از نظر ریسک عملیاتی، شناخته شده هستند میتوان به جای الزام یک سامانه، استانداردهای احراز هویت را به کسبوکارها الزام کرد و با تعریف سطوح امنیتی مختلف بر اساس نوع خدمات ارائه شده توسط هر کسبوکار، رعایت این الزامات و استانداردها را از آنها درخواست کرد.
با این رویکرد کسبوکارها در انتخاب راهکار احراز هویت خود درجه آزادی خواهند داشت و نسبت به سطوح امنیتی که تعریف شده است از راهکار احراز هویت مناسبی استفاده خواهند کرد. از مزایای دیگر این رویکرد، حفظ امکان رقابت بین ارائهدهندگان راهکار احراز هویت در کشور است که باعث پویایی و به روزرسانی دائمی این راهکارها میشود.