الزام استفاده از سامانه امتا؛ ابلاغیه‌ای برای اخلال فضای کسب‌و‌کار

می‌توان به جای الزام یک سامانه، استانداردهای احراز هویت را به کسب‌وکارها الزام کرد و با تعریف سطوح امنیتی مختلف بر اساس نوع خدمات ارائه شده توسط هر کسب‌وکار، رعایت این الزامات و استانداردها را از آن‌ها درخواست کرد

نویسنده: راه پرداخت در تاریخ 9 مهر سال 1399 ساعت 16:50 0

نیما شمساپور، مدیرعامل یوآیدی / باز هم نهاد حاکمیتی و نظارتی و باز هم‌بازی در نقش غلط و باز هم ایجاد مانعی برای کسب‌وکارهای تجارت الکترونیک؛ به تازگی معاون امور فضای مجازی دادستانی کل کشور، برای پیشگیری از جعل هویت و کلاهبرداری در پلتفرم‌های کسب‌وکارهای اینترنتی، این کسب‌وکارها را ملزم کرده است که برای احراز هویت کاربران خود از سامانه امتا استفاده کنند. الزامی که هم از نظر ضعف عملکردی این سامانه و هم از نظر امنیت آن در احراز هویت کاربران، باعث ریزش مشتریان این کسب و کارها و ایجاد اختلال در خدمت‌دهی آن‌ها به مشتریان خود می‌شود.

چرا سامانه امتا برای احراز هویت روشی استاندارد نیست؟

به طور کلی احراز هویت کاربران در فضای دیجیتال را می‌توان با چند روش مختلف انجام داد؛ استفاده از ویژگی‌های بیومتریک (چهره، صوت و غیره)، کارت‌های شناسایی، شبکه‌های اجتماعی و ایمیل، شماره تلفن همراه و پایگاه داده. سامانه امتا از آنجایی که برای احراز هویت کاربران صرفا از پایگاه داده استفاده می‌کند از نظر امنیت و درجه اطمینان نسبت به روش‌های دیگر در سطح پایینی قرار دارد. به عبارتی باید سامانه امتا را استعلام اطلاعات دانست تا احراز هویت.

در دنیا عملکرد سیستم‌های احراز هویت را بر اساس ۴ فاکتور درجه اطمینان، دسترسی، هزینه و تجربه کاربری ارزیابی می‌کنند که با در نظر گرفتن این فاکتور‌ها روش‌های صحت‌سنجی اطلاعات و احراز هویت با هم مقایسه شده است

بنابراین در مقام مقایسه سامانه امتا با راهکارهای احراز هویت نوین که از ویژگی‌های بیومتریک استفاده می‌کنند از منظر چهار فاکتور به صورت زیر است.

حال فارغ از بحث‌های فنی و عملکردی، مسائل متعدد دیگری نیز وجود دارد که باید در طراحی سیستم‌های امنیتی و احراز هویت در نظر گرفته شوند که در طراحی و پیاده‌سازی سامانه امتا نادیده گرفته می‌شود.

بازی احراز هویت و جعل هویت؛ بازی موش و گربه

امنیت یک هدف و مسئله ثابتی نیست بلکه مسیری ممتد است که همواره باید طی شود. سیستم‌های امنیتی باید دائما در حال به‌روزرسانی باشند تا بتوانند موارد جدید هک‌ها و جعل‌ها را تشخیص دهند و از وقوع آن‌ها جلوگیری کنند. هکرها همواره راهی برای دور زدن سیستم‌های امنیتی پیدا می‌کنند به این خاطر همواره باید سیستم‌های امنیتی روش‌ها و ابزارهای جدیدی را برای تشخیص موارد جدید جعل و کلاهبرداری معرفی کنند. احراز هویت که بخش اصلی امنیت است نیز از این قضیه مستثنی نیست. از این جهت بازی طراحان امنیت و هکرها به بازی موش و گربه‌ای شبیه هست که همواره دنبال شکست هم هستند.

مثال عینی عدم رعایت این مورد و تاثیر سوء آن در داخل کشور، رمز دوم پویا است که برای جلوگیری از فیشینگ به بانک‌ها تحمیل شد گرچه در ابتدای اجرای آن، تعداد فیشینگ‌ها و کلاهبرداری‌های اینترنتی کاهش پیدا کرد ولی با کشف روش‌های جدید، هکرها توانستند با وجود این سیستم نیز عملیات خرابکارنه خود را ادامه دهند.

امنیت کاربردی؛ توازن بین امنیت و تجربه کاربری

اینکه کسب‌وکارها نیاز دارند و خواهان این هستند که نسبت به سطح امنیتی ارائه خدمات خود، کاربران خود را با روش مناسبی احراز هویت کرده و امنیت سیستم خود را حفظ کنند یک مسئله ثابت شده است اما امنیت صرف هم به درد هیچ کسب‌وکاری نمی‌خورد و سیستم امنیتی که باعث نابودی تجربه کاربری شود را هیچ کسب‌وکاری نمی‌خواهد. امنیت باید امنیت کاربردی باشد به این معنا که یک سیستم در عین حال که امنیت را افزایش می‌دهد باید به تجربه کاربری آسیبی وارد نکند یا حتی باید بتواند آن را بهبود بخشد.

اکثر کسب‌وکارها برای حفظ تجربه کاربری و یا بهبود آن با توجه به سیاست‌های خود، حد معقولی از ریسک امنیتی را قبول می‌کنند ممکن است کسب و کارها بخواهند بخشی از ریسک احراز هویت مشتریان خود را به خاطر حفظ یا بهبود تجربه کاربری به عهده بگیرند. از این رو کسب و کارها زیر بار اجرای سیستم امنیتی که تجربه کاربری آن‌ها را کاهش می‌دهد نمی‌روند.

الزام به امتا رقابت را نابود می‌کند

در حال حاضر راهکارهای متعددی در داخل کشور برای احراز هویت دیجیتال و غیرحضوری وجود دارند که می‌توان از آن‌ها در سطوح مختلف امنیتی استفاده کرد و این راهکارها نیز روز به روز در حال به روز رسانی سیستم‌های خود هستند. نهاد حاکمیتی به جای استانداردسازی و نظارت اگر کسب و کارها را الزام کند که از یک روش مشخص استفاده کنند باعث ایجاد انحصار شده و مشخصا در فضای انحصاری فرصت ایجاد سیستمی با استانداردهای کارکردی بالا وجود نخواهد داشت. باز رمز دوم پویا مثال خوبی برای این مورد است.

سخن آخر

در نهایت با توجه به اینکه راهکارهای مختلفی برای احراز هویت غیرحضوری کاربران فضای مجازی در کشور ارائه شده است و به ویژه اینکه این راهکارها قبلا در احراز هویت غیرحضوری سجام پیاده‌سازی شده‌اند و از نظر ریسک عملیاتی، شناخته شده هستند می‌توان به جای الزام یک سامانه، استانداردهای احراز هویت را به کسب‌وکارها الزام کرد و با تعریف سطوح امنیتی مختلف بر اساس نوع خدمات ارائه شده توسط هر کسب‌وکار، رعایت این الزامات و استانداردها را از آن‌ها درخواست کرد.

با این رویکرد کسب‌وکارها در انتخاب راهکار احراز هویت خود درجه آزادی خواهند داشت و نسبت به سطوح امنیتی که تعریف شده است از راهکار احراز هویت مناسبی استفاده خواهند کرد. از مزایای دیگر این رویکرد، حفظ امکان رقابت بین ارائه‌دهندگان راهکار احراز هویت در کشور است که باعث پویایی و به روزرسانی دائمی این راهکارها می‌شود.