انتشار پیشنویس سند «طرح تحول و برنامه ملی هویت مرتبط در فضای مجازی»
مجازیست–نسخه اولیه پیش نویس سند «طرح تحول برنامه ملی هویت مرتبط در فضای مجازی» نیمه اول اسفند ماه از سوی دبیرخانه شورای اجرایی فناوری اطلاعات منتشر میشود. در این سند علاوه بر اینکه سطوح احراز هویت تعیین میشود پنجرهای واحدی تعریف خواهد شد که از طریق آن علاوه بر اینکه تمامی وبسرویسهای حاکمیتی احراز هویت در دسترس خواهند بود بخش خصوصی نیز میتواند سرویسهای احراز هویت خود را از آن طریق ارائه کند.
امیر اصغری، مشاور دبیر شورای اجرایی فناوری اطلاعات:
- در نسخه اولیه پیش نویس سند «طرح تحول برنامه ملی هویت مرتبط در فضای مجازی» سعی شده تا تمامی دغدغههای کسب وکارها پوشش داده شود.
- همه به دنبال الکترونیکی کردن سامانهها هستند بدون اینکه تحولی در فرآیندها ایجاد شود.
- باید این سوال را مطرح کنیم که آیا نیازی است که همه احراز هویت شوند.جنس برخی دادهها به گونهای است که باید در دسترس همه قرارگیرد. از سویی گاهی شناسایی هویت کفایت میکند. پس از آن براساس نوع داده که معمولی است یا شخصی یا حساسیت خاصی دارد، نوع و مدل احراز هویت متفاوت میشود. سامانه احراز هویت باید پاسخگوی این نوع سوالات باشد.
- نباید به دنبال سامانه مدیریت هویت باشیم و باید به دنبال سامانه احراز هویت مبتنی بر نوع سرویس و نوع دسترسیها باشیم.
- باید پنجره واحدی ایجاد شود و تمام وبسرویسهای حاکمیتی پشت این پنجره واحد قرار خواهند گرفت. سامانههای امتا، سماوا، هدی، شاهکار و نهاب که در زمینه احراز هویت فعالیت میکنند، در این پنجره واحد قرار میگیرند و این سامانهها را مکلف میکنیم تا api به اشتراک بگذارند و از سوی دیگر اپراتور بخش خصوصی احراز هویت را هم مکلف میکنیم تا api خود را به اشتراک بگذارند.
- برای جلوگیری از این امر مقرر شده تا دیگر صدور سیم کارت برخط و غیرحضوری نباشد بلکه در دفاتری خدماتی باید ریدرهای کارت ملی قرارگیرد و متولیان آنجا کارت ملی افراد را چک کنند. در اصل افراد با مراجعه به آن مکانها در هنگام خرید سیمکارت، کدملی، چهره و اثر انگشتشان تطبیق داده خواهد شد و پس از احراز هویت سیمکارت به آنها تحویل داده میشود.
- ما ۱۴ خوشه داریم. خوشههای مختلف با کاربران مختلف هستند. بدیهی است که خوشه کشاورزی کاربر خود را با روش متفاوتی از خوشه بانکی احراز هویت میکند.
- مدل احراز هویت در تمامی سطوح مختلف مشخص خواهد شد.
- قوهقضاییه در ارائه خدمات خود از سامانه احراز هویت ثنا استفاده میکند و پس مشکلی ندارد.
به نیازهای کسب و کارها توجه شود
در ابتدای این ویبنار کسب و کارهای ارائهدهنده خدمات و کالا چون شیپور و دیوار مشکلات و چالشهای خود را در نبود نظام یکپارچه احراز هویت دیجیتال بیان کردند. در این مورد اشکان آرمندهی،مدیرعامل دیوار:
- پلیس فتا در سال ۹۵ ضربالاجلی را برای این کسب و کارها تعیین کرد تا به کاربرانی که آگهی خود را ثبت میکردند، پیامک تایید ارسال شود و دیوار با وجود هزینههای سنگین، این بخش را راهاندازی کرد، ما باید روزانه برای ثبت بیش از ۵۰۰ هزار آگهی هزینه پیامک پرداخت کنیم. با اینحال درتمام دنیا از همین روش برای احراز هویت کاربران خود استفاده میکنند و احراز هویت دقیقتری وجود ندارد.
- وقتی شماره موبایل افراد و اطلاعات هویتی هر سیم کارت را داشته باشیم، چالشی وجود ندارد و مسئله احراز هویت حل شده است؛ اما از سمت اپراتورها مشکلاتی وجود دارد که باعث میشود این روش از سوی نهادهای قضایی به عنوان روش احراز هویت پذیرفته نشود.
- بحث سیم کارت های بیهویت یا با هویت جعلی بزرگترین مشکل احراز هویت است و حتی اگر کسبوکارها از هر سامانهای برای احراز هویت استفاده کنند، این مشکل هویت جعلی حل نخواهد شد.
- ما در سال ۹۷ به عنوان اولین کسبوکار اینترنتی با سامانه شاهکار همکاری خود را آغاز کردیم اما این همکاری نیز مشکل نهادهای قضایی را حل نکرده است. چون نهاد قضایی از ما استعلام میگیرد و ما هم اطلاعات و استعلام سامانه شاهکار را در اختیار آنها قرار میدهیم. با اینحال نهاد قضایی این استعلام را قبول نمیکند چون سامانه شاهکار کد ملی و سیم کارت را تطبیق میدهد و اگر سیمکارت جعلی باشد باز به اپراتورها برمیگردیم.
نیما اشرف زاده، مدیر اجرایی شیپور:
- تمام پلتفرمها در دنیا از طریق موبایل احراز هویت انجام میشود؛ اما مسالهای که داریم و درجلسات هم اعلام کردیم این است که سیمکارتها با هویت جعلی وجود دارند.
- ما در شیپور هم برای احراز هویت به سمت سامانه پیامکی آمدیم با اینکه این سامانه هزینه زیادی برای کسبوکارها دارد. البته ما میتوانیم این هزینه را پرداخت کنیم. من بیشتر نگران کسبوکارهای نوپا هستم چون کسب وکارهای نوپا چگونه میتوانند هزینه را بپردازند.
- ما مطالعهای را در زمینه مشکلات سیمکارتها انجام دادیم و در اختیار پلیس فتا ناجا قرار دادیم. در این زمینه همچنین پیشنهادهایی عرضه کردیم. مانند اینکه پاسپورت افراد تا زمان خاصی مهر خورده است و اپراتورها سیم کارت موردنظر را میتوانند تا تاریخ اقامت فرد فعال کنند.
- یکی از مشکلات دیگر در بحث احراز هویت خرید و فروش کارت ملی در کشور است. در نقاط دورافتاده مرزی کارت ملی فردی که فوت کرده را خریداری میکنند چون اطلاعات آن در ثبت احوال ثبت نشده است و با آن کارت ملی سیم کارت خریداری میکنند.
- بسیاری از اوقات در جلسات به ما میگویند که چرا مقاومت میکنید و از طریق سامانههای حاضر افراد برای خرید خودرو احراز هویت شدند. آنها هیچ وقت به این مساله دقت نمیکنند افرادی که در سامانه برای خودرو ثبتنام کردند برای حاشیه سود ۸۰ میلیونی اطلاعات خود را به درستی وارد میکنند تا به آن مبلغ دست پیدا کنند.
- خارج شدن کاربر از پلتفرم برای احراز هویت، خیلی مهم است و باید تصمیمگیری جدی در این مورد شود. وقتی کاربر میخواهد احراز هویت شود پاپآپ با لوگو سامانه احراز هویت باز میشود و افراد باید اطلاعات خود را وارد کنند.
- ذهنیت مردم عامه این است که در این سامانهها اطلاعات خود را در اختیار حاکمیت قرار میدهند و اکثر کاربران دیوار و شیپور هم مردم عامی هستند. ما از کوچکترین روستاها هم کاربر داریم و به همین خاطر برای آن کاربر پلتفرم را طراحی میکنیم. باید کاری کنیم تا مردم به سمت پلتفرمهای جایگزین چون اینستاگرام و تلگرام نروند.
- وقتی مردم به پلتفرمهای خارجی مراجعه کنند،رهگیری مجرمان برای نهادهای قضایی دشوار میشوند و کنترل از دست حاکمیت خارج میشود.
برای احراز هویت غیرحضوری چارچوب تعیین کنیم
در ادامه این وبینار نمایندگانی از بانکها چالشهای خود را در زمینه احراز هویت دیجیتال مطرح کردند. مرتضی ترک تبریزی، عضو هیات مدیره بانک تجارت:
- از اردیبهشتماه سال جاری در بانک مرکزی کارگروهی به نام احراز هویت الکترونیکی در حوزه بانکی تشکیل شد تا سند بالادستی را تهیه کند و بانکها با استناد به این سند مشتریان خود را به صورت غیرحضوری احراز هویت کنند.
- ما در بانکها اعتقاد داریم که احراز هویت غیرحضوری از احراز هویت حضوری امنتر است. چون در این سالها احراز هویت حضوری سبب شد تا گاه مشتریان ناشناخته که وجود خارجی ندارند، کاربر بانکها شوند. این سند را تهیه کردیم تا بانکها با استناد برآن احراز هویت غیرحضوری داشته باشند.
- ما از اردیبهشت ماه تهیه این سند را آغاز کردیم. در این سند نظر ذینفعان مختلف جمع شده است. از پلیس فتا و قوه قضائیه گرفته تا دادگستری و شرکتهای ارائه دهنده خدمات بانکی و شرکتهایی مانند سجام که پیش ازاین احراز هویت دیجیتالی را در زیرمجموعههای خود پیاده کردهاند.
- در این سند با نگاه ریسک محور، بانکها مختار هستند درمورد اطلاعات پایه حتی از امضای الکترونیکی استفاه کنند. حتی اگر لازم شد برخی از خدمات را به صورت حضوری عرضه کنند.
- تهیه این سند شهریورماه به پایان رسید؛ اما به مانعی چون تبصره سه قانون مبارزه با پولشویی برخورد کرد.
- این سند کاملترین سند بالادستی در حوزه بانکی است و چند بانک چون بانکهای مهر و ملی اعلام کردند که احراز هویت غیرحضوری دارند؛ اما چون سند ابلاغ نشده، نمیتوانند به درستی اجرا کنند.
- بانک مرکزی کار خود را در زمینه احراز هویت انجام داده؛ اما سازمانهای دیگر به خوبی همکاری نمیکنند.مشکل تکنولوژی در کشور وجود ندارد و در کشور مشکل حکمرانی و قانون و همپیمانی داریم.
فرهاد بهمنی، معاون فناوری اطلاعات پست بانک:
- ضعف استاندارد در کشور بیداد میکند، ما با کسب وکارهایی چون دیوار و شیپور هم حرف مشترک داریم. به نظر میرسد کلماتی چون رگولاتور و مفاهیم رگتک و تطبیقپذیری قانون همه کسب و کارها را دربرمیگیرد.
- هر استانداری از نبود استاندارد در کشور بهتر است و حداقل بانکها تکلیف خود را میدانند.اگر تحت شرایطی استاندارد و چارچوب مشخص کنیم به این صورت فردی که یک بار در بانکی احراز هویت میشود، برای دریافت خدمات در بانکهای دیگر نیازی به احراز هویت ندارد.
- بحث فنی در احراز هویت مطرح نیست بلکه بحث قوانین و فرآیندی است. به عنوان مثال برای امضای دیجیتال متولیان بسیاری وجود دارد و هنوز مشخص نیست.وزارت صمت به تازگی امضای دیجیتال راهاندازی کرد؛ اما بانک مرکزی این امضای دیجیتال را قبول ندارد و پروژه دیگری تعریف کرده است و به این صورت مردم سردرگم میشوند. او تاکید کرد که این موضوع قابل حل است و اگر نهادها با بحث احراز هویت غیرحضوری حساسیت دارند، میتوانند احراز هویت را سطح بندی کنند.
ما هم منتقد نظام موجود احراز هویت هستیم
بهنام ولیزاده، معاون دولت الکترونیکی سازمان فناوری اطلاعات به عنوان نماینده بخش حاکمیتی در پاسخ به انتقادهای کسبوکارهای حاضر در این وبینار:
- در بحث امضای الکترونیکی یک مرکز ریشه و یکسری مراکز میانی زیرمجموعه آن راه انداختیم. من از یکی از مراکز میانی برای حضور در جلسات کمیته مناقصه توکن جدید گرفتم و برای یک سیستم دیگر توکن دیگری دریافت کردم. به این صورت برای همه اقدامات باید ۵۰ توکن داشته باشیم. این در حالی است که همه به یک مرکز ریشه متصل هستند.
- ما داخل سیستم مرکز توسعه تجارت الکترونیکی این مشکل را داریم. در حوزه بحث احراز هویت شورای عالی فضای مجازی نظام هویت مرتبط با فضای مجازی را تصویب کرده است. در این نظام هویت وزارت ارتباطات را موظف کرده تا پنجره واحدی برای احراز هویت راهاندازی کند. این به این معنا نیست که وزارت ارتباطات خودش این پنجره واحد را تعریف کند.
- همچون کسب و کارهای شیپور و دیوار مخالف این است که کاربران برای احراز هویت ازپلتفرم خارج شوند، روز اولی که وارد این حوزه شدم در جلسات پرسیدم که این پاپآپ چیست و من هم مخالف خروج کاربران از پلتفرم بودم و اگر اطلاعاتی هم میخواهیم کاربر در همان پلتفرم باید اطلاعات خود را وارد کنیم.کاربر نباید حس کند که وارد سایت دیگر میشود و قرار است اتفاق دیگری رخ دهد چون باعث نارضایتی میشود.
- همانطور که در حالت فیزیکی همه مردم یک امضا دارند و در همه نهادها از آن بهره میبرند، امضای دیجیتال هم باید یکی باشد و مراکز ریشه در این مورد باید فکری کند.
در ادامه نیما شمساپور، مدیرعامل یوآیدی نیز همعقیده با صحبتهای دیوار و شیپور :
- جلساتی با کسب وکارها داشتیم و سعی کردیم نیاز کسب و کارها را در بحث احراز هویت در نظر بگیریم. البته درمورد احراز هویت باید به سطوح هویت توجه کنیم وشاید برای بسیاری از کارها احراز هویت الزامی نباشد.
- بیشتر موضوعاتی که در این جلسه مطرح شد از جنس اقتصاد سیاسی است. او تاکید میکند که احراز هویت درست با سطحبندی خیلی به کسب و کارهایی چون شیپور و دیوار کمک میکند.
- این روش احراز هویت میتواند به کسب و کارها کمککننده باشد. ما با توجه به نیاز کسب و کارها مدل API تایید هویت راهاندازی کردیم. در این مدل به عنوان مثال پزشکی یا رانندهای در پلتفرمی ثبت نام میکند و باید آنها احراز هویت شوند.
- مشکلات سمت حاکمیت و رگولاتوری نیست بلکه مدل سازمانها اقتصاد سیاسی است و هرکسی میخواهد در سازمان خود بیشترین فعالیتها را داشته باشد.
کیوان ارج، مدیرعامل شرکت توسعه نوین همراه کیش هم در این وبینار به چرخه مدیریت هویت اشاره میکند:
- در چرخه مدیریت هویت، هویت را براساس خصیصههایش تعریف میکنیم. بخشی اثبات هویت و بخشی احراز هویت داریم.این سوال پیش میآید که چرا باید در چند نهاد اثبات هویت کنیم؟ بلکه در این چرخه باید یک جا اثبات هویت کنیم و پس از اثبات هویت اعتبارنامهای در اختیار ما میگذارند. با این اعتبارنامه میتوانیم سرویس دریافت کنیم.
- به عنوان مثال وقتی هویت خود را به سامانهای اثبات کردیم، برای فعالیتهای بعدی باید درطی فرآیند ساده و تنها با زیرساختهای حاضر در کشور احراز هویت شویم. تنها در این زمینه نهادها باید با هم همکاری و هماهنگ شوند.
- پس از اثبات هویت اینکه افراد در کدام سطح باید احراز هویت شوند، کار سادهای است و به همین دلیل سند احراز هویت دیجیتالی که در حال تهیه است، برای رفع مشکلات بسیار کمک کننده است.
- اگر چرخه مدیریت هویت به درستی بچرخد و استانداردها و چارچوبها به خوبی تعریف شوند، کاربر بدون اینکه از اپلکیشن خارج شود، میتواند احراز هویت کند.
/اکوموتیو/