احراز هویت غیرحضوری؛ دروازه تشکیل هویت دیجیتال شهروندان / در میز گردی با حضور سه تن از مدیران شرکت‌های فعال در حوزه احراز هویت مطرح شد

ماهنامه عصر تراکنش شماره ۴۳ و ۴۴ / شاید تا دو سال پیش وقتی از احراز هویت غیرحضوری سخن به میان می‌آمد، همگی با تعجب به شما نگاه می‌کردند؛ چراکه چنین چیزی برای بسیاری از مدیران قابل تصور نبود، اما همه‌گیری کرونا باعث شد ذهن‌های سنتی نیز که مقاومت بسیار جدی در برابر این جریان داشتند، بپذیرند که بسیاری از این کارها قابلیت انجام‌شدن را دارد. احراز هویت غیرحضوری اکنون با کمترین میزان خطا در بسیاری از مراکز مهم در حال انجام است.

شرکت‌هایی که وارد گود شده‌اند، روزبه‌روز به اندوخته خود اضافه می‌کنند تا عملکرد قوی‌تری را از خود به نمایش بگذارند و با نیاز روز همراه شوند. اما با گسترده‌شدن این کاربرد احراز هویت دیجیتالی، این سؤال مطرح می‌شود که گستره این احراز هویت تا کجا می‌تواند باشد؟ آیا می‌تواند به ابعاد جدی‌تری از زندگی ما ورود کند. از طرفی دیگر احراز هویت غیرحضوری چه نقشی در تشکیل هویت دیجیتالی شهروندان دارد؟

میثم فقیهی، مدیر پروژه شاکیلید؛ نیما شمساپور، مدیرعامل یوآیدی و مصطفی جاویده، معاون فناوری اطلاعات شرکت کاسپین و مدیر پروژه احراز هویت غیرحضوری بانک پارسیان میهمانان ما در راه پرداخت بودند تا به سؤالات در این خصوص پاسخ دهند.

به‌عنوان اولین سؤال به نظر شما احراز هویت دیجیتال چه تفاوتی با بحث تشکیل هویت دیجیتالی دارد؟

مصطفی جاویده: به‌طور کلی برای احراز هویت دیجیتالی؛ انطباق اطلاعاتی که فرد اعلام کرده با آن چیزی که از فرد می‌دانیم یا  سازمان‌های معتبر مورد قبول ما آنها را تأیید می‌کنند، ضروری است. در واقع هر فردی دارای خصیصه‌هایی در دنیای واقعی است که می‌خواهیم صحت آن خصیصه‌ها را از طریق دنیای مجازی احراز کنیم.

اولین کاری که می‌توان انجام داد، انطباق اطلاعات فرد با سامانه‌هایی همانند شاهکار است، اما چیزی که کمتر به آن پرداخته شده، یکی بحث‌های بیومتریک مانند احراز هویت با اثر انگشت یا عنبیه چشم است که نیازمند بانک اطلاعاتی در این زمینه هستیم و دیگری بهره‌بردن از هویتی است که از رفتار دیجیتالی فرد در فضای مجازی شناسایی کرده‌ایم. این اطلاعات می‌تواند در نهایت به ایجاد ارزش‌افزوده بیشتری برای ما منجر شود.

امروزه در حالت ساده، اطلاعاتی مانند نام و نام خانوادگی، کد ملی، شماره شناسنامه و غیره را از افراد دریافت و آنها را با ثبت احوال چک می‌کنیم. با این کار مطمئن می‌شویم که هویت فرد درست است. فرض کنید برای اینکه دقت افزایش یابد، به ‌جای یک ابزار از چند ابزار استفاده کرده و نتایج را ترکیب کنیم. همچنین می‌توان این ساختار را با رفتار دیجیتالی فرد ترکیب کرد. یعنی آیا خط‌مشی‌ای که از رفتار فرد در فضای مجازی شناسایی شده با اطلاعات هویتی او تطابق دارد؟

در حال حاضر در بانک پارسیان با وجود اینکه بحث یادگیری ماشین را راه‌اندازی کرده‌ایم، اما باز هم به‌دلیل خلاء قانونی که وجود دارد، در نهایت باید فردی وجود داشته باشد تا تأیید نهایی را انجام دهد. اما امروزه تکنیک‌هایی مانند جعل عمیق (Deep Fake) وجود دارد که اگر افراد از آنها استفاده کنند، واقعاً تشخیص جعلی‌بودن چهره توسط انسان سخت می‌شود. این نشان می‌دهد که ما حتماً باید بحث یادگیری ماشین را بهتر بشناسیم و رفتار فرد در فضای مجازی را هم در نظر بگیریم.

آنچه به هویت ما بیشتر معنا می‌بخشد، کارهایی است که در دنیای دیجیتال انجام می‌دهیم و اگر بتوانیم این رفتار را به دیگر اطلاعات هویتی فرد متصل کنیم، برگ برنده‌ای برای آینده به دست خواهیم آورد. دستیابی به این موضوع به بسترهایی مانند بیگ‌دیتا نیاز دارد؛ چراکه باید بستر تحلیل را آماده کنیم و پس از آن احراز هویت فرد فقط به یک بله و خیر ختم نشود و اطلاعات زیادی از فرد مانند شخصیت، نوع نگاه و رفتار فرد داشته باشیم.

با ایجاد این شرایط بحث حریم خصوصی زیر سؤال نمی‌رود؟

جاویده: واقعیت این است که باید حریم خصوصی را ترجمه کنیم. وقتی من در اینستاگرام پستی را لایک می‌کنم، همه آن را می‌بینند. وقتی این کار را انجام می‌دهیم یعنی پذیرفته‌ایم که سایرین از این کار مطلع خواهند شد. اگر نخواهیم شناسایی شویم اطلاعاتی هم در جایی ثبت نمی‌کنیم. پس حریم خصوصی را خودمان تعیین کرده‌ایم. ما اطلاعاتی را که می‌خواهیم، منتشر می‌کنیم و به بقیه هم اجازه می‌دهیم که ما را از این طریق بشناسند. پس شناسایی رفتار دیجیتالی رفتار مشتری مخالف بحث حریم خصوصی نیست.

ممکن است فردی احراز هویت را دور بزند و هویت خود را جعل کند، اما ابزاری مانند یادگیری ماشین این موارد را چک می‌کند و نمی‌گذارد تقلبی اتفاق بیفتد. همان‌طور که ریسک جعل هویت افزایش می‌یابد، توان شناسایی آن نیز در حال رشد است. در حقیقت مسیر مقابله با آن استفاده از فناوری‌های روز است. در بحث حریم خصوصی اگر اطلاعاتی را در گوگل وارد کنیم، همه آن را می‌بینند.

اگر نمی‌خواهیم کسی آن را ببیند، نباید از آن استفاده کنیم، ولی اگر استفاده کردیم، پذیرفته‌ایم که دیده شود. البته این کار می‌تواند به کسب‌وکارها کمک کند. به‌طور مثال اگر فردی در کسب‌وکار جدیدی وارد ‌شود، آن کسب‌وکار می‌تواند اطلاعاتی را مانند اینکه علاقه‌مندی فرد چیست، به دست آورد. همین اطلاعات باعث رشد کسب‌وکارها بر مبنای تحلیل داده‌ها می‌شود.

آقای شمساپور در ادامه صحبت‌های آقای جاویده، شما محدوده احراز هویت را چقدر می‌دانید و آیا شناسایی افراد را فراتر از آن چیزی که اکنون وجود دارد، می‌بینید؟

نیما شمساپور:‌ ما حدود دو سال است که در یوآیدی در حوزه احراز هویت کار می‌کنیم. تا دو سال پیش بحث احراز هویت دیجیتالی و غیرحضوری جدی نبود و وقتی این موضوع را مطرح کردیم، اهمیتی به آن داده نشد. در دنیا احراز هویت می‌تواند بر پایه سه چیز اتفاق بیفتد؛ اول مطلبی است که ما می‌دانیم. مانند اینکه کارت ملی ما را می‌بینند و نام پدر را از ما می‌پرسند تا بدانند کارت ملی جعلی نیست. دوم بر اساس مالکیت است. مانند تطبیق کارت ملی یا بانکی با سیم‌کارت تلفن همراه. سوم هم ویژگی‌های بیومتریک است که بر اساس ویژگی‌های ذاتی ماست.

ما اولین فکری که کردیم این بود که این احراز هویت بیومتریک را با امکانات فناورانه‌ای که وجود دارد، انجام دهیم. همه می‌دانیم که اگر با عنبیه احراز هویت کنیم، خطای کمتری وجود دارد. یا اینکه بتوانیم دوقلوها را با اثر انگشت تشخیص دهیم، اما فناوری این امکان را ندارد. به‌طور مثال اکنون نمی‌توانیم با گوشی خود از طریق اثر انگشت احراز هویت شویم و نیاز به اسکنر اثر انگشت داریم که علاوه بر تطبیق اثر انگشت، زنده‌بودن آن اثر انگشت را هم چک کند.

ویژگی بیومتریکی که می‌توان در حال حاضر با توان فناورانه در سطح اطمینان بالایی از آن استفاده کرد، بیومتریک چهره است. در کنار این مورد اگر از سایر موارد مانند استعلام عکس و اطلاعات هویتی از ثبت احوال و استعلام تطبیق شماره تلفن همراه و کد ملی با شاهکار استفاده کنیم، با سطح اعتماد بالاتری می‌توان کاربران را احراز هویت کرد.

به‌عنوان اولین کسی که این کار را انجام داده‌ایم، این سؤال از ما پرسیده می‌شد که چرا با اثر انگشت نمی‌توان احراز هویت را انجام داد؟ پاسخ این است که می‌توان با این روش هم احراز را انجام داد، ولی به سخت‌افزارهایی مانند اسکنر نیاز دارد و هزینه زیادی را تحمیل می‌کند؛ مهم‌تر اینکه فرایند غیرحضوری نمی‌شود. چیزی هم که از ابتدا به آن فکر می‌کردیم، این بود که این فرایند را غیرحضوری کنیم و مردم بتوانند راحت‌تر از آن استفاده کنند.

درباره احراز هویت دو بحث مهم وجود دارد؛ اول اینکه تجربه کاربری چقدر است و بحث دیگر درباره امنیت آن است. در مدلی می‌توان گفت که احراز هویت‌مان شاهکار است که فقط شماره ملی و تماس را وارد می‌کنیم که تجربه کاربری راحت‌تری دارد، اما امنیت آن کم است. در مدلی دیگر آن را با روش‌های بیومتریک ترکیب می‌کنیم و هرچقدر هم امنیت را بیشتر کنیم، تجربه کاربری بیشتر آسیب می‌بیند. یعنی می‌توان گفت که فرد برای احراز هویت به محلی برود که از او فیلم بگیرند و عنبیه را هم چک کنند. این کار امنیت بیشتری دارد، اما تجربه کاربری کمتری دارد. اینها بحث‌هایی بوده که در این چند سال در خصوص احراز هویت انجام شده است.

درباره حریم خصوصی احراز هویت با استفاده از پارامترهای بیومتریک می‌توان گفت که این مورد نسبت به روش‌های دیگر احراز هویت امنیت بسیار بیشتری دارد، چون احراز هویت بیومتریک تنها مدلی است که می‌توانیم مطمئن شویم فرد خودش و با اطلاع خودش اطلاعات حریم خصوصی خود را در اختیار ما قرار می‌دهد؛ چراکه ما با گرفتن فیلم لایو (زنده) و تشخیص زنده‌بودن تصویر و مقایسه عکس فرد با عکس ثبت احوال با اطمینان تقریباً صد درصد متوجه می‌شویم که خود شخص اطلاعات را در اختیار ما قرار داده است.

بحث‌هایی هم از همان ابتدا وجود داشت که اگر احراز هویت بر بستر بلاکچین انجام شود، امنیت بیشتری خواهد داشت. در همه جای دنیا یکی از دلایل مهم شناسایی مشتری، مقابله با پول‌شویی است. یعنی در نهایت افرادی که کار ضدپول‌شویی انجام می‌دهند، هویت را تشخیص می‌دهند و باید به اطلاعات دسترسی داشته باشند. اکنون نیز بانک‌ها به اطلاعات مردم دسترسی دارند. بنابراین اگر زیرساخت به‌درستی فراهم شود، نقض حریم خصوصی نیست و می‌تواند به اتفاقات خوبی منجر شود.

به نظر شما احراز هویت می‌تواند دروازه‌ای برای تشکیل هویت دیجیتالی باشد؟

شمساپور:‌ احراز هویت می‌تواند هویت دیجیتال را تکمیل کند. تشکیل هویت یعنی اینکه تصویری از شما و اثر انگشت گرفته شده و هویت شما تشکیل شده است، اما مشکل اینجاست که این هویت زنده نیست و اگر چند سال بگذرد، عکس شما قدیمی می‌شود. همین مشکل برای آدرس هم وجود دارد. ما همیشه این مشکل را داریم که بعد از ۱۰ سال، ثبت احوال دوباره باید اثر انگشت و تصویر افراد را ثبت کند. تشکیل هویت کمک می‌کند که همیشه عکس زنده داشته باشیم، اما تشکیل هویت همیشه کار حاکمیتی است و یک بخش خصوصی نمی‌تواند برای افراد هویت تشکیل دهد. اما بخش خصوصی می‌تواند احراز هویت کند؛ چراکه نقش خود را دارد، بنابراین بخش خصوصی این موضوع را می‌تواند تسهیل کند.

آقای فقیهی نظر شما درباره ماهیت هویت دیجیتال و تشکیل هویت چیست؟

میثم فقیهی: ابتدا کمی درباره مجموعه شاکیلید می‌گویم. این مجموعه‌ با رویکرد ارائه سرویس در دو حوزه احراز هویت و امضای دیجیتال راه‌اندازی شد. همان‌طور که می‌دانید، اولین راه‌اندازی احراز هویت الکترونیکی توسط سجام انجام شد. البته اگر به موضوع احراز به‌صورت عمومی نگاه ‌کنیم، می‌توان سرویس‌هایی را ایجاد کرد که هر کسب‌وکاری بتواند ماژول‌های خود را ارائه دهد. همچنین ما بر حوزه امضای دیجیتال که به‌عنوان یکی از عوامل مؤثر در تعیین هویت وجود دارد، تمرکز کرده‌ایم.

به نظرم واژه تشکیل هویت دیجیتال واژه کاملی نیست. اکنون هویت دیجیتال وجود دارد و نیازی نیست که آن را تشکیل دهیم. چون هم فرد و هم رفتار و اطلاعات و ثبت احوال وجود دارد. اگر بخواهیم به‌دنبال تشکیل هویت باشیم، مانند این است که چرخ را از ابتدا اختراع کنیم. ما صرفاً باید این موضوع را در نظر داشته باشیم که برای هر کاری به چه بخش‌هایی نیاز داریم و آنها را تعریف کنیم و کمک بگیریم.

باید به این موضوع آگاه باشیم که تشکیل هویت چیزی نیست که خلق شود؛ بلکه وجود دارد. بنابراین باید کاربرد آن را مشخص کنیم و بر اساس آن داده‌ها را جمع، تأیید و استفاده کنیم. اکنون نیز هیچ داده‌ای نداریم که برای آن ابزاری وجود نداشته باشد. لزوماً هر داده‌ای هم یک ابزار ندارد و با چندین ابزار قابل استفاده است. اگر درباره هویت فیزیکی فرد مانند تصویر چهره، اثر انگشت و غیره صحبت می‌کنیم، تقریباً همه می‌دانند که چه ابزاری برای احراز هویت آنها نیاز است. اگر درباره رفتار آن می‌خواهیم حرف بزنیم، بخشی از آن را می‌دانیم و بخشی را هم نمی‌دانیم؛ چراکه هنوز با آن مواجه نشده‌ایم.

سؤالی که اینجا مطرح می‌شود این است که به نظر شما آیا ما به هویت واحد دیجیتالی رسیده‌ایم؟ اکنون برای هر بخش به یک احراز هویت جدید نیاز داریم و هیچ فردی دارای یک هویت مستقل نیست تا همه او را بشناسند.

فقیهی: ما به جای اینکه به هویت یکتای دیجیتالی نگاه کنیم، بهتر است سازمان‌ها، کسب‌وکارها و حاکمیت را به سمت این موضوع سوق دهیم که در عین تکثر، وحدت داشته باشد. اکنون احراز هویت بانک‌ها، ثبت احوال و شاهکار وجود دارد. ترکیب اینها می‌تواند ما را به آن چیزی که می‌خواهیم، برساند. به موضوع احراز هویت نباید صفر و یکی نگاه کرد. هر فرد در هر موقعیتی به سطحی از احراز هویت نیاز دارد که باید کاملاً به این موضوع دقت کنیم. برای بانک رفتارهای مالی فرد و برای کسب‌وکارها رفتارهای اجتماعی فرد مهم است. ترکیب این موضوع با بانک‌های مختلف هویتی می‌تواند کار را راحت‌تر کند.

نکته کلیدی این است که به نظر می‌رسد گاهی برخی بانک‌ها را دوباره ایجاد می‌کنیم تا مرکز احراز هویت شوند. همین موضوع باعث تکثر می‌شود. در عین اینکه موضوع نقض‌شدنی نیست، اما می‌توان با استفاده از مراکز موجود و با روش‌هایی مانند بلاکچین و ایجاد اعتماد این موضوع را پوشش داد. کمااینکه اکنون در بانک‌ها، احراز هویت به‌صورت خاصی وجود دارد و ویژگی آن هم این است که احراز هویت افراد به‌صورت روزانه کنترل و روزآمد می‌شود.

ما هر روز در بانک پول را برداشت، پرداخت و دریافت می‌کنیم. هر تراکنش ما نوعی احراز محسوب می‌شود. در کشور کمتر سامانه‌ای داریم که به این سرعت و در این تعداد احراز هویت کند. حالا اگر بخواهیم از احراز هویت خود مطمئن‌تر شویم، ثبت احوال را هم به آن اضافه می‌کنیم. با وجود بانک‌های حاکمیتی، اشتباه است که به سمت ایجاد مرکز دیگری برویم.

آقای جاویده! با توجه به اینکه بانک‌ها، ثبت احوال، سامانه شاهکار، قوه قضائیه و غیره احراز هویت را انجام می‌دهند، آیا اکنون با مجمع‌الجزایر از هم دورافتاده‌ای از داده‌ها در خصوص احراز هویت مواجه نیستیم؟

جاویده: واقعیت این است که اکنون تقریباً همین‌گونه است که می‌فرمایید. اما دلیل اصلی آن یکی سکوت قانون در این زمینه است و دیگری عدم اعتماد بین‌سازمانی است که به فرهنگ‌سازی نیاز دارد. اینکه شما اطمینان پیدا کنید که آن شخص مد نظر شما همان شخصی است که احراز هویت انجام داده، موضوع مهمی است. در رابطه با احراز هویت بین‌سازمانی چند راهکار وجود دارد. روش اول روش متمرکز است، یعنی یک ارگان یا سازمان متولی امر شده و سایرین همگی به آن استناد کنند که در ادامه به مشکلات آن پرداخته می‌شود.

روش دیگر روش توزیع‌شده است، یعنی چندین سازمان با یکدیگر توافق کرده و بر بستری امن تبادل اطلاعات کنند که برای این کار می‌توان از بستر بلاکچین استفاده کرد. اکنون معضل اصلی این است که ارگان‌های متفاوت به یکدیگر اعتماد ندارند. ممکن است اطلاعات ما در سازمانی هک شود یا لو برود. بنابراین باید درصدی از ریسک آن را هم بپذیریم. بدین ترتیب اگر بستری مانند بلاکچین فراهم شود که امنیت بالایی دارد و همه اطلاعات و سرویس‌های لازم در آن فراهم شود، کم‌کم اعتماد نیز شکل می‌گیرد.

اگر اعتماد نکنیم، در نهایت بیشتر ضرر خواهیم کرد. این مشکلی است که اکنون در کشور ما اتفاق افتاده است. ما به یکدیگر اعتماد نمی‌کنیم و در نهایت همه ما بازنده هستیم. اکنون هر سازمانی به‌دلیل اینکه به سازمان دیگری اعتماد ندارد، برای خود بستری مجزا آماده کرده است. بهتر است سازمان‌ها بتوانند با یکدیگر به اتفاق نظر برسند یا اینکه بستر امنی مانند بستری مبتنی بر بلاکچین راه‌اندازی کنند تا همه با یکدیگر متحد شوند.

این موضوع در پروژه ققنوس که کاسپین هم به‌عنوان بازوی گروه پارسیان در آن درگیر است، مطرح است. در این بستر امنیت بالایی وجود دارد و احتمال دور زدن آن نیز پایین‌ است. اما اصل ماجرا این است که اعتماد در سازمان‌ها به ‌وجود بیاید و آنها بتوانند به همدیگر اطلاعات بدهند. شاید هم باید گفت که این بستر تازه شکل گرفته و برای رسیدن به بلوغ کافی، به سپری‌شدن زمان نیاز دارد.

به هر حال به نظرم سرعت رشد ما در زمان کرونا در زمینه دیجیتالی‌شدن و استفاده از بسترهای غیرحضوری رکورد زد و با اینکه در بسیاری از ارگان‌ها هنوز تفکر سنتی غالب است، اما اعتماد به استفاده از دنیای مجازی ایجاد شد. امید است در ادامه امکان استفاده از بسترهای مشترک بلاکچینی نیز فراهم شود.

آیا اکنون بانک‌ها به یکدیگر اعتماد دارند تا اطلاعات خود را در اختیار هم قرار دهند؟

جاویده: به نظر می‌رسد این فضا تقریباً در حال شکل‌گیری است و این موضوع در پروژه ققنوس برای برخی از بانک‌ها مطرح است و بحث‌های اولیه در مورد آن صورت پذیرفته است.

با توجه به تفکر سنتی که وجود دارد، آیا بانک‌ها تمایل به اشتراک‌گذاری اطلاعات خود دارند؟

جاویده: اکنون شرایط تغییر کرده است. برخی بانک‌ها که به‌روزتر هستند، در حوزه فناوری اطلاعات هم فعالیت بیشتری می‌کنند. برخی دیگر هم که قدیمی‌تر هستند، سکوت می‌کنند و منتظر بازخوردها هستند. هنوز این اعتماد به‌طور کامل به وجود نیامده، اما به نظر بنده اگر از بسترهای دیجیتالی کمک بگیریم، این اعتماد شکل می‌گیرد. اگر بستر مطمئنی ایجاد کنیم، آنها هم علاقه‌مند به اشتراک‌گذاری داده‌های خود هستند، اما باید ریسک‌های این کار را مدیریت کنیم تا اطمینان حاصل شود.

آقای شمساپور! با توجه به اینکه با نهادهای مختلف در خصوص ارائه احراز هویت در ارتباط بودید، فکر می‌کنید این عدم اطمینان در نهادهای مختلف که هر کدام از آنها به شکل‌های مختلف اطلاعات را جمع‌آوری می‌کنند، از کجا نشئت می‌گیرد؟

شمساپور: تحلیل این مسئله بسیار پیچیده است. نهادهایی که به احراز هویت نیاز دارند، دو نوع هستند. برخی از آنها نهادهای دولتی و حاکمیتی و تعدادی هم خصوصی و خصولتی هستند. در بخش خصوصی و خصولتی، مسئله رقابت مهم‌تر است. آنها نمی‌خواهند اطلاعات مشتریان خود را در اختیار رقبایشان قرار دهند.

بخش حاکمیتی هم دغدغه‌های خود را دارد. به هر حال بین سازمان‌هایی که خود را متولی احراز هویت می‌دانند، رقابت وجود دارد. سازمانی مانند وزارت صمت، فناوری اطلاعات، قوه قضائیه و ثبت احوال خود را متولی احراز هویت می‌دانند و بین آنها رقابت وجود دارد. بنابراین وقتی این رقابت وجود داشته باشد، مشکلاتی هم ایجاد می‌شود. تعاملی که ما داشتیم، نشان داد که این وضعیت به نفع بخش خصوصی است.

اگر قرار باشد نهاد یکپارچه‌ای وظیفه احراز هویت را عهده‌دار شود، باز هم مشکلات خود را دارد. فرض کنید نهاد X وجود دارد که می‌تواند همه اطلاعات را داشته باشد و احراز هویت را انجام دهد. در احراز هویت مدیریت ریسک هم داریم. یعنی مدلی که در احراز هویت یک کسب‌وکار خصوصی وجود دارد با مدل دو ماه پیش او تفاوت دارد. آن مدیریت ریسک را بخش چابک خصوصی می‌تواند انجام دهد، اما یک بخش دولتی نمی‌تواند آن را انجام دهد.

بحث ما روی احراز هویت یک نهاد دولتی نیست. بحث این است که باید یک مرکز داده وجود داشته باشد تا دیگر نیازی نباشد که افرادی که یک بار احراز هویت شده‌اند، برای موارد دیگر هم هویت خود را احراز کنند.

شمساپور:‌ موضوع این است که آن فرد که برای بار دوم احراز هویت می‌شود، باید نام کاربری و رمز عبور داشته باشد تا مشخصات فرد به سایر کسب‌وکارها هم انتقال یابد. مشکل این موضوع این است که ممکن است رمز عبور فرد فیشینگ شود و از اطلاعات فرد دزدی شود.

آیا کد ملی نمی‌تواند این مسئله را حل کند؟

شمساپور:‌ ما سه مدل احراز هویت داریم. هر چیزی که شامل دانستنی‌هاست، امکان دزدی و فیشینگ درباره آن وجود دارد. تنها چیزی که امکان دزدی و فیشینگ ندارد، رفتار فرد یا مواردی مانند عنبیه و هر چیزی است که متعلق به فرد است. همه جای دنیا هم این مسئله وجود دارد. من با اینکه فرایند یکسانی برای احراز هویت مطرح شود، موافق هستم، اما اینکه بگوییم یک بار در سجام احراز هویت شده‌ایم و دیگر نیازی نیست که در قوه قضائیه هم احراز شویم، از نظر قانونی و فنی مشکل دارد؛ چراکه ممکن است فردی نام کاربری و رمز عبور ما را بردارد.

بیشتر مثال‌های جهانی که وجود دارد، مربوط به بخش خصوصی است، اما در مراکز دولتی ما، هر نهاد برای خود یک مدل احراز هویت طراحی کرده است. به نظر شما این یک ضعف یا قوت محسوب می‌شود؟

شمساپور: این مدل‌ها اگر یکسان‌سازی شود، مناسب است، اما هر دفعه که فرد تقاضای درخواست خدماتی دارد، باید احراز هویت شود و در بیشتر جاهای دنیا هم همین اتفاق می‌افتد. در برخی کشورها مدلی از اطلاعات در ابتدا طوری دسته‌بندی شده که مشکلات کمتری دارد. به‌طور مثال در آمریکا دیدیم که انتخابات به‌صورت پستی انجام شد. آدرس پستی بیشتر مردم به‌صورت لایو وجود دارد. یعنی اگر فردی خانه خود را تغییر می‌دهد، موظف است اطلاع دهد. این زیرساخت در آنجا وجود دارد.

مدل احراز هویتی هم که یوآیدی و سایر کسب‌وکارها انجام می‌دهند، بر پایه زیرساختی است که وجود داشته و آن هم زیرساخت ثبت احوال است. اگر ثبت احوال اکنون کارت‌های ملی هوشمند را ارائه نمی‌داد، نمی‌توانستیم با این روش احراز هویت کنیم؛ چراکه عکس‌های مردم قدیمی بود و با آن عکس‌ها تطابق چهره اتفاق نمی‌افتاد. این آمادگی زیرساخت که در ابزارها وجود دارد، بهترین مدل برای احراز هویت است.

جاویده: من از صحبت‌های شما دو رویکرد را برداشت کردم. در رویکرد اول ما داده را در جایی متمرکز جمع‌آوری می‌کنیم و بعد همگی از آن یک بستر مشترک، داده‌ها را بارگذاری می‌کنیم. این مدل از جمع‌آوری داده ممکن است به لو رفتن داده‌ها منجر شود. کشورهای دیگر هم کمتر به این سمت‌وسو حرکت کرده‌اند. طبق گزارش روندهای بانکداری متمرکز در سال 2020، امروزه موضوع KYC مبتنی بر بلاکچین محبوب شده است. شاید دلیل این محبوبیت این است که بانک‌ها فقط در این بستر می‌توانند برای همکاری به همدیگر اعتماد کنند.

این نوع احراز هویت می‌تواند به تجربه کاربری بهتری نیز منجر شود. اکنون این مدل که همه اطلاعات در یک جا جمع‌آوری شود و همه مجبور به استفاده از آن باشند، در حال منسوخ‌شدن است. سازمان‌ها به‌دنبال جمع‌آوری توزیع‌شده داده‌ها هستند؛ زیرا این مدل، علاوه بر امنیت دسته‌جمعی بیشتر، تجربه کاربری بهتری نیز به همراه دارد.

آقای فقیهی آیا موافق این موضوع هستید که اطلاعات در یک مرکز وجود داشته باشد و احراز هویت در همان‌جا انجام شود؟

فقیهی:‌ ما از سال گذشته «نود» بین بانک آینده، شاکیلید و پارسیان را راه‌اندازی کردیم. زمانی ‌که این سرویس بر بستر بلاکچین راه‌اندازی شد، این سؤال برای ارگان‌ها پیش آمد که به چه دلیل این بستر راه‌اندازی شده است؟ اما امروزه بانک خودش تمایل دارد که از این زیرساخت کمک بگیرد. تاکنون بین این دو بانک این بستر فراهم شده است؛ بنابراین تا وقتی‌ که چیزی وجود نداشته باشد، حرف‌زدن درباره آن انتزاعی می‌شود.

آن چیزی که به‌عنوان رسانه وظیفه شماست، اطلاع‌رسانی درباره این است که کسب‌وکارهای فناوری‌محور در این رابطه با همدیگر صحبت کند و موضوع شفاف شود. همچنین نقاط قوت و ضعف آن شناسایی شود. اکنون سجام فضای جدیدی برای احراز هویت ایجاد کرده و موضوع کلیدی مطرح شده است.

موضوع بعدی این است که وقتی ما از جهتی احراز شده‌ایم، چه ربطی بین من و احراز وجود دارد؟ گفته شد که باید تنها یک رمز عبور وجود داشته باشد، اما دنیا به سمتی رفته که این موضوع را پوشش دهد. یکی از مسائل عمومی‌تر موضوع امضای دیجیتال است؛ امضای دیجیتالی که تأیید شده است. بدین ترتیب که احراز انجام شده و گواهی آن در بستری که قابل نشر و ارائه نیست، به پارامترهای انسانی متصل شده باشد. در اینجا می‌توان با استفاده از امضای دیجیتال نشان داد که احراز هویت درست انجام شده است.

نکته بعدی این است که آیا بانک مجاز است که به‌طور مستقیم به داده‌هایی که در ثبت احوال و پست وجود دارد، دسترسی داشته باشد؟ موضوع حریم خصوصی اینجا کلیدی می‌شود. بانک حق ندارد این کار را انجام ندارد. اگر صاحب اطلاعات اجازه دهد، بانک می‌تواند اطلاعات را اخذ کند. زمانی‌ که بانک از ثبت احوال داده فرد را درخواست می‌کند، ثبت احوال باید اجازه دسترسی به اطلاعات را از فرد بگیرد. بهتر است این موضوع در بستر بلاکچین انجام شود؛ چراکه وقتی بانک یک بار داده فرد را دریافت کرده، خودش می‌تواند بانک احراز هویت باشد.

آیا اکنون در کارت ملی هوشمند، امضای دیجیتال طراحی شده است؟ حداقل بالای ۳۰ میلیون کارت ملی ارائه شده که امضای دیجیتال هم در آن تعبیه شده است.

فقیهی:‌ هرچقدر که در این حوزه به سمت تمرکزگرایی رفته­ایم، با شکست مواجه شده‌ایم. اساساً چرا باید تنها یک راه‌حل برای هر کاری وجود داشته باشد. اکنون بیش از ۴۰ میلیون کارت ملی هوشمند وجود دارد، از این تعداد کارت ملی حدود ۳۰ میلیون نفر دارای امکان امضای دیجیتال هستند. ما باید از همین موضوع کمک بگیریم و برای بقیه هم راه‌حل‌های دیگری به کار ببریم. باید ابزارها و درگاه‌های متفاوتی برای احراز هویت در دسترس افراد باشد. اینها همه قابل جمع‌شدن در یک بستر هستند.

سؤالی که در خصوص کارت ملی هوشمند وجود دارد، این است که اساساً این کارت چرا طراحی شده است؟ به ‌نظر می‌رسد که ظرفیت بزرگی ایجاد شده، اما از این ظرفیت استفاده نمی‌شود؟

جاویده: ‌یکی از دلایل طراحی کارت ملی هوشمند، دشوارتر بودن امکان جعل آن نسبت به کارت ملی معمولی است، اما با وجود آماده‌شدن بستر این کار، این سؤال پیش می‌آید که چقدر می‌توان به این بستر اعتماد کرد؟ می‌دانیم که امکان سوءاستفاده از این نوع کارت نیز وجود دارد و در حال حاضر نیاز است باز هم آن را با نهادهایی مانند ثبت احوال چک کنیم. اما با این حال این نوع کارت ملی هوشمند، بستر خوبی برای نگهداری اطلاعاتی مانند اثر انگشت و امضای دیجیتال به وجود آورده است. به نظر من اگر بتوانیم کارت ملی هوشمند را با دیگر اطلاعات در دسترس، مقایسه کنیم، می‌توانیم در آن قابلیت اعتمادسازی به وجود آوریم.

اکنون دو موضوع مطرح می‌شود؛ اول اینکه در ایران از فناوری‌های روز کمی عقب مانده‌ایم و بسترها کاملاً آماده نشده‌اند. موضوع دوم این است که هنوز اعتماد و همبستگی شکل نگرفته است. با این حال به نظرم ارائه کارت ملی هوشمند حرکت خوبی بود. هرچند به واسطه مشکلاتی که در واردات آن به وجود آمد، این موضوع ناقص ماند و آن‌گونه که می‌خواستیم پیش نرفت، اما باید اذعان کرد که از نظر زیرساختی حرکت بزرگی بود.

در مقابل برای شکل‌گرفتن اعتماد به سپری‌شدن زمان نیاز است تا بستر و زیرساخت آن هم نهایی شود. البته این ترس هم وجود دارد که اگر همه از یک بستر احراز هویت مشترک استفاده کنند و از آن بستر سوءاستفاده شود، مشکلات فراوان و جبران‌ناپذیری به ‌وجود ‌آید. این نگرانی به‌دلیل عدم آگاهی است. این سطح از آگاهی به مرور زمان به وجود می‌آید و مطمئناً بعد از اینکه ریسک‌های آن را شناسایی کردیم و سطح دانش خود را ارتقا دادیم، بهتر می‌توانیم اعتماد می‌کنیم. به نظر من به‌دلیل این عدم اعتماد نتوانسته‌ایم از آن بستر، به‌خوبی استفاده کنیم که همین اطلاع‌رسانی‌ها و میزگردها درباره آن می‌تواند به جلب اعتماد بیشتر کمک بسزایی کند.

آقای شمساپور موضوع دیگری که مطرح است، اینکه مرکز پژوهش‌های مجلس اخیراً درباره شکست پروژه کارت ملی هوشمند صحبت کرد، اما اکنون گفته شد که اگر کارت ملی هوشمند نبود، بستر احراز هویت شما هم به مشکل برمی‌خورد. به نظر شما آیا پروژه شکست خورده یا توانسته به کسب‌وکار شما کمک کند؟

شمساپور:‌ آقای فقیهی گفتند که امضای دیجیتال مشکل رمز عبور را حل می‌کند. این موضوع درست است، اما امضای دیجیتال هم منقضی می‌شود و بعد از حدود یک سال باید فرایند احراز هویت را دوباره تکرار کنیم. بنابراین امضای دیجیتال اکنون به آن حدی از فناوری نرسیده که بعد از گرفتن امضا دیگر نیازی به تکرار آن نباشد.

درباره کارت ملی هم باید دو مورد را جدا کنیم؛ یک مورد احراز هویت دیجیتال غیرحضوری و یک مورد هم احراز هویت دیجیتال حضوری است. یعنی ما در VTM حضور پیدا می‌کنیم و با کارت خود را احراز می‌کنیم. کارت ملی هوشمند مسئله این نوع احراز هویت را حل کرده است. اکنون چند بانک SDK را دریافت کرده‌اند و با اثر انگشت احراز هویت را انجام می‌دهند، اما کارت ملی هوشمند راهکاری برای احراز هویت دیجیتال غیرحضوری ارائه نداده است.

در رابطه با اینکه این پروژه شکست خورده یا موفق است، چند استدلال وجود دارد. یکی اینکه اکنون ۱۰ میلیون نفر برای کارت ملی هوشمند اقدام نکرده‌اند و تعداد بیشتری هم هنوز کارت ملی هوشمند برای آنها صادر نشده است. کارت ملی هوشمند توفیق‌هایی داشته است؛ اینکه پایگاه داده مردم جدیدتر شده و می‌توان روی آن کارهای جدیدی انجام داد، اما اشکال آن این بوده که وقتی پروژه طولانی شده، از حوصله خارج شده و در کنار آن فناوری هم تغییر کرده؛ بنابراین نمی‌توانیم بگوییم که این پروژه کاملاً شکست خورده است. از ابتدا هم برنامه این پروژه انجام احراز هویت غیرحضوری نبوده است. این پروژه مزایایی داشته، ولی اگر اکنون به آن توجه نکنیم، باز هم نیاز داریم که چند سال دیگر اطلاعات مردم را به‌روز کنیم.

فقیهی: موضوع زنده‌بودن اطلاعات موضوع گیمیفیکیشن است. داده‌ها باید ارزش داشته باشند. اگر بازار فروش داده در بستر بلاکچینی راه بیفتد، می‌تواند به این موضوع که سازمان‌ها روایی و اعتبار داده‌های خود را بالا ببرند و آن را بفروشند، کمک کند.

یعنی می‌گویید باید بستری برای فروش داده شکل بگیرد؟

فقیهی:‌ این یکی از مواردی است که گیمیفیکیشن ایجاد می‌کند. این کار باعث می‌شود داده صحیح بماند و همچنین به‌صورت مرتب چک شود.

در صورت این اتفاق، فکر نمی‌کنید که مراکز دولتی ممکن است نسبت به این مسئله طمع کنند؟

فقیهی: در اینجا نکته ظریفی وجود دارد که به مسئله حریم خصوصی برمی‌گردد. یعنی باید با مکانیسمی صاحب اطلاعات تأیید کند که اطلاعاتش به فروش برسد. این غیرقانونی است که سازمان‌ها کسی را مجبور کنند تا عکس پشت کارت ملی خود را ارائه دهد و فرد هم آگاهانه بپذیرد. این اطلاعات بسیار محرمانه است. با اینکه‌ احراز هویت صحیح انجام شده، اما اگر از پشت کارت ملی عکس گرفته شود، غیرقانونی است. ممکن است بانک با این کار بخواهد که بعداً از این کارت‌ها استفاده کند، ولی همین کار خودش ریسک محسوب می‌شود. این فرایندها باید در طول زمان با سیستم‌هایی که راه‌اندازی می‌شود، حل شود.

سؤالی که اکنون پرسیده می‌شود، بحث قانونی‌بودن احراز هویت است. اینکه هنوز ابزارهای قانونی آن فراهم نیست. آیا واقعاً این کار خلاء قانونی دارد؟

شمساپور: این موضوع بحث‌های مختلفی دارد. در بورس موضوع احراز هویت غیرحضوری پذیرفته شده است. چون شورای عالی بورس آن را تصویب کرده است. برخی کسب‌وکارها هم هستند که به احراز هویت نیاز دارند و باید طبق قانون تجارت کار کنند، اما اکنون راهکار امضای دیجیتال وجود دارد و در حال استفاده است. امضای دیجیتالی وجود دارد که برای سطح دوم قابل استفاده است، اما احراز هویت آن حضوری است.

اگر احراز هویت امضای دیجیتال سطح دوم نیز غیرحضوری شود، برای کسب‌وکارهای خصوصی هم قابل استفاده خواهد بود و کسب‌وکارها می‌توانند با فرایندهای غیرحضوری، امور مالی کاربران را انجام دهند. بنابراین قوه قضائیه و سازمان بورس اکنون می‌توانند از احراز هویت غیرحضوری استفاده کنند، اما در حال حاضر قانونی برای بانک‌ها وجود ندارد.

اگر اکنون کسب‌وکارها بخواهند شکایتی انجام دهند، آیا می‌توانند به سامانه شاهکار استناد کنند و قوه قضائیه این سامانه را قبول دارد؟

شمساپور: نه، ولی دادستانی امضای سطح دوم را برای امور مالی قبول دارد.

آن چیزی که مطرح شده، این است که سامانه شاهکار مرجع استعلام است، اما همین سامانه را قوه قضائیه قبول ندارد.

جاویده:‌ از یک سو بحث قانون وجود دارد که در این مورد قانون سکوت کرده است. قانون مسئولیت را بر عهده خود متولیان گذاشته و به خودشان واگذار کرده است. به همین دلیل در بانک‌ها بعد از احراز هویت دیجیتال باز هم فردی آن را چک می‌کند تا خطایی اتفاق نیفتد و منع قانونی نیز وجود نداشته باشد. این موضوع به این دلیل است که هنوز حمایت قانونی از آن وجود ندارد.

فقیهی: من یک پیشنهاد دارم. بهتر است به این مسئله به‌صورت مدیریت ریسک نگاه کنیم. وقتی می‌گوییم قانون یعنی ریسکی وجود ندارد. کسب‌وکارها، سازمان‌ها و نهادها بر اساس درخواستی که دارند، ریسکی را می‌پذیرند. اگر بخواهیم در بانک احراز هویت شویم، باید ریسکش را هم مد نظر قرار دهیم. به همین دلیل است که بانک این ریسک را با حضوری‌کردن فرایند احراز هویت کم می‌کند یا اینکه یک مشتری را هر بار برای افتتاح حساب جدید احراز هویت می‌کند. کسب‌وکارهای دیگر هم این کار را انجام می‌دهند.

اکنون سؤالی که مطرح می‌شود این است که بعد از اینکه ما در کسب‌وکاری احراز هویت شویم، اگر اتفاقی بیفتد، مسئولیت آن با کیست؟ آیا امکان پیگیری قضایی وجود دارد؟

فقیهی: بستگی به این دارد که ما قضیه را چگونه دیده باشیم. اینجا این الزام پیش می‌آید که راه‌حل‌های متعددی در بازار باشد تا فرد بتواند با آنها ریسک خود را انتخاب و با فاکتورهای خود آن را ارزیابی کند. اگر هر کسب‌وکاری تصمیم بگیرد که از شرکت یا راهکاری خدمات احراز هویت دریافت کند، باید بداند که اصلاً احراز چیست و چه پارامترهایی دارد؟

جاویده: به نظر بنده برای اینکه متولیان امر بتوانند ریسک‌های این موضوع را بپذیرند، می‌توان سطوح مختلفی از احراز هویت را تعریف کرد. یعنی مثلاً برای سرویس‌های پرریسک‌تر به سطوح سخت‌گیرانه‌تری از احراز هویت نیاز باشد.

به‌طور مثال برای کارهای ساده تنها به سطوح ساده‌ای از احراز هویت نیاز باشد و هر قدر سرویس مد نظر پرریسک‌تر باشد، به سطح پیچیده‌تر و سخت‌تری از احراز هویت نیاز باشد؛ مثلاً برای برخی کارهای پرریسک، احراز هویت مبتنی بر شاخص‌های بیومتریک الزامی باشد. در این صورت به نظر می‌رسد که نگرانی بابت احراز هویت غیرحضوری کمتر می‌شود.

آقای شمساپور به نظر شما تا چه اندازه احراز هویت می‌تواند امنیت اطلاعات را تأمین کند؟

شمساپور: این موضوع بحث مهمی است و ما از ابتدا که می‌خواستیم سیستم احراز هویت را ارائه دهیم، به این موضوع فکر کردیم که امنیت اطلاعات به چه صورت باشد؟ امنیت اطلاعات هم دو قسمت دارد؛ یکی امنیت اطلاعات برای مردم است که اطلاعات خود را به کسب‌وکارها ارائه می‌دهند. دیگری امنیت اطلاعات برای کسب‌وکارهاست. در آن زمان به این نتیجه رسیدیم که اگر بانک همه اطلاعات مردم را دارد، با روش ما هم بانک اطلاعات را داشته باشد. پس سیستم خود را در زیرساخت بانک می‌آوریم. یعنی تا وقتی سیستم بانک هک نشود، سیستم یوآیدی هم هک نمی‌شود.

از سوی دیگر مسئله حقوقی مسئله مهمی است. ممکن است در نهایت، دادستانی روش احراز هویت کسب‌وکار را نپذیرد. به همین دلیل یکی از کارهایی که در این دو سال انجام دادیم، این بوده که همیشه با بخش‌های دولتی و حقوقی مذاکره داشته باشیم تا این روش را بپذیرند. حالا در جایی این روش پذیرفته شده و در جاهایی هم امکان ارائه آن در حال فراهم‌شدن است. یکی از روش‌ها همین امضای دیجیتال است که اکنون امضا دو سطح دارد. سطح یک آن خوداظهاری است و سطح دو هم روشی است که ما اکنون از آن استفاده می‌کنیم. اگر برای دریافت امضای دیجیتال سطح دو، احراز هویت غیرحضوری پذیرفته شود، مشکل کسب‌وکارها برای انجام امور مالی از لحاظ قانونی حل می‌شود.

فقیهی: این مشکل حل شده است.

شمساپور: اکنون امضای سطح دو به مراجعه حضوری نیاز دارد.

فقیهی:‌ فارغ از اینکه آن امضا چگونه در اختیار من قرار می‌گیرد، کسی که امضای سطح دو را در اختیار داشته باشد، اگر با آن امضایی انجام دهد، قطعاً خودش آن را امضا کرده و زمان امضا و اینکه چه چیزی را امضا کرده، مشخص است و نمی‌توان آن را انکار کرد.

شمساپور: یعنی به شرطی که صدور آن غیرحضوری باشد، می‌تواند مشکل را حل کند.

فقیهی: اگر صدور آن حضوری یا غیرحضوری باشد، گستره عملکرد امضای سطح دو را کم یا زیاد می‌کند.

در کارت‌های جدید اتاق بازرگانی قرار بود که امضای دیجیتال هم در نظر گرفته شود. اطلاع دارید که چه سطحی از امضای دیجیتال برای آن در نظر گرفته شده است؟

فقیهی: به‌طور کلی امضای دیجیتال چیزی نیست که بخواهد روی کارت ارائه شود. این امضا از جهت سخت‌افزاری امنیت دارد و باید به فرد تحویل داده شود. کارت هوشمند ملی هم با پین و اثر انگشت به امضای دیجیتال دسترسی دارد. پس فرد باید آن را داشته باشد و بداند که چطور از آن استفاده کند. تا امروز یکی از موضوعات جدی این بوده که احراز هویت باید حضوری باشد و روی ابزار و توکن‌های خاص ارائه شود.

این دو مورد مانع گسترش امضای دیجیتال شده است. اما توکن فیزیکی به‌‌مرور حذف شده و ابزاری مانند موبایل جایگزین آن می‌شود. موضوع احراز هویت الکترونیکی باید به سمتی برود که گستره استفاده از امضای دیجیتال همه‌گیر شود و این فراگیری می‌تواند بسیاری از مشکلات را مرتفع سازد.

آقای فقیهی اکنون راهکارهای امنیتی شما برای حفظ اطلاعات چیست؟

فقیهی: من به این قضیه، شرکتی نگاه نمی‌کنم. پیش از این داده‌ها به‌صورت کاغذی جمع‌آوری می‌شد. در این صورت دسترسی به آن راحت بود و هک می‌شد. از سوی دیگر تأمین امنیت هم سخت بود. امروزه داده به سمت دیجیتالی‌شدن رفته است. اگرچه با این کار امنیت بالا رفته، اما در عین حال پایین هم آمده است؛ چراکه امروزه با استفاده از یک فلش می‌توانیم حجم زیادی از داده را جابه‌جا کنیم، اما از سوی دیگر روش‌های ذخیره اطلاعات مانند رمزنگاری هم ایجاد شده است. در موضوع احراز هویت آن چیزی که کلیدی است، فیلم و عکس نیست؛ بلکه باید ارتباط امنی را برای داده‌ها فراهم کنیم. کسب‌وکارها باید بدانند چگونه سرویس خود را ذخیره کنند.

جاویده: اول اینکه احساس من این است که هرچقدر به سمت دیجیتالی‌شدن می‌رویم، نه‌تنها امنیت ما کم نمی‌شود؛ بلکه به واسطه فناوری‌های پیشرفته و علوم تحلیل داده ممکن است امنیت بیشتر هم ‌شود. اما نکته‌ای که می‌تواند کل معادلات را به هم بریزد، سرعت پردازش کوانتومی است. امروزه این نوع از پردازش می‌تواند سیستم‌های رمزنگاری موجود را بشکند که اگر این فناوری به‌صورت عمده و ارزان در اختیار عموم قرار گیرد، ممکن است چالش بزرگی برای کل امنیت بلاکچین و احراز هویت دیجیتال به وجود آورد.

به هر حال این اتفاق در دنیا افتاده و نشان می‌دهد که هر قدر امنیت پیشرفت می‌کند، ریسک‌های جدید امنیتی نیز به وجود می‌آید. برای مقابله با این ریسک باید به روش‌های جدیدی از رمزنگاری بپردازیم. یعنی مثلاً به‌دنبال روش‌هایی از رمزنگاری مبتنی بر فناوری‌های پردازش کوانتومی برویم تا این ریسک مرتفع شود. البته این موضوع در سطح کلان امنیت و برای هر سرویس امنی مطرح است.

لازم به ذکر است در خصوص موضوع امنیت، می‌توان نگرانی‌های متفاوتی داشت. مثلاً یکی لو رفتن اطلاعات کاربران و سوءاستفاده از آن اطلاعات توسط سایرین است و دیگری موضوع هک‌کردن اطلاعات و تغییر آنهاست.

اکنون بیشتر افشای اطلاعات مهم است. عده‌ای اطلاعات را هک می‌کنند و آن را به فروش می‌رسانند.

جاویده: همواره مقداری ریسک سوءاستفاده از داده‌ها وجود دارد. اگر فقط اطلاعات احراز هویت مشتریان بانک‌ها مد نظر باشد، دغدغه این است که آیا اطلاعاتی که در سامانه‌های احراز هویت جمع‌آوری می‌شود، از اطلاعات فعلی بانک مهم‌تر و امنیتی‌تر هستند که لازم باشد آنها را با روش‌های پرهزینه‌تری حفظ و نگهداری کنیم؟ اگر در همان سطح از اهمیت است، روش‌های موجود کفاف بحث امنیت را می‌دهد، اما اگر بانکی تصور کند که این اطلاعات مهم‌تر هستند، باید سراغ روش‌های دیگری برود. اکنون برداشت ما این است که روش‌های امنیتی موجود پاسخگوی نیاز بانک در حوزه امنیت اطلاعات مربوط به احراز هویت هم هست.

آقای شمساپور چه نیازی وجود دارد که بعد از احراز هویت، داده‌هایی مانند عکس و فیلم افراد را نگهداری کنیم؟

شمساپور: در پرونده دیجیتال، نیازی از سمت مشتریان ما مطرح می‌شود. اینکه در آینده اگر دادستانی درخواست کرد که این فرد چگونه احراز شده، پرونده دیجیتال را می‌خواهد. ما اکنون مدل‌هایی داریم که اقدامات احراز هویت در سمت کاربر اتفاق می‌افتد و ما می‌توانیم احراز هویت را سمت کاربر انجام دهیم و داده را ذخیره نکنیم.، اما این موضوع را کسی نمی‌پذیرد و مراجع قضایی از ما داده می‌خواهند.

نکته نهایی اینکه احساس می‌کنم بعد از دو سالی که احراز هویت دیجیتالی راه‌اندازی شده، می‌تواند افق‌های جدیدی را به‌عنوان زیرساخت برای فناوری اطلاعات فراهم کند؛ چراکه قبلاً اگر می‌خواستیم عدم سوءپیشینه بگیریم، باید به پلیس+۱0 درخواست می‌دادیم و بعد از آن باید دو هفته منتظر می‌ماندیم، اما اکنون با اتفاقی که در قوه قضائیه و ارائه سامانه احراز هویت افتاده، می‌توان به‌صورت آنلاین این کار را انجام داد.

وقتی احراز هویت در فضای مجازی به این صورت انجام می‌شود، موجب می‌شود اعتماد در فضای مجازی بیشتر شود و کسب‌وکارهایی که قبلاً به‌دلیل عدم وجود اعتماد شکل نمی‌گرفتند، می‌توانند با ایجاد اعتماد در فضای مجازی، شروع به کار کنند. در واقع این یک فرصت است که امیدواریم بهتر درک شود.