ITanalyze

آسیه فروردین -  بدون اغراق، ما امروز در دنیایی مملو از «نام‌ کاربری»ها و «رمز عبور»های متعدد زندگی می‌کنیم. کمتر روزی است که به عنوان یک کاربر یا مشتری یا به عنوان مالک یک کسب‌وکار، برای بهره‌مندی از اطلاعات، دیتاها، خدمات خرید و فروش‌ اینترنتی و پرداخت الکترونیکی، مدام ID و Password و بسیاری از اطلاعات هویتی‌مان درخواست نشود.

با مراجعه به یک بانک، فروشگاه الکترونیکی و بسیاری از فضاهای کسب‌وکار آنلاین، به‌طور متناوب با فرم‌های عریض و طویل مواجه می‌شویم و مادامی که این هویت، شناسایی و تایید نشود، خدمت یا مبادله تجاری صورت نمی‌پذیرد یا اصلا اجازه ورود نمی‌یابد. اگرچه این موضوع، از منظر مشتریان و کاربران چندان خوشایند نیست اما اتفاقا بسیاری از سازمان‌ها به ویژه بانک‌ها و نهادهای مرتبط پولی و بانکی، به دلیل جلوگیری از اتفاقات ناگواری همچون پولشویی، رشوه‌خواری و فسادهای مالی کلان با استفاده از هویت‌های جعلی، از آن استقبال می‌کنند. جست‌وجوی عبارت احراز هویت و سامانه‌های احراز هویت در فضای وب، این روزها، انواع و اقسام سرویس‌ها را از سوی نهادها و شرکت‌های مختلف با بهترین خدمات، پیش‌روی کاربران و کسب‌وکارها قرار می‌دهد. ظاهرا بازار این سامانه‌ها، داغ داغ است.

ماجرای یک پروتکل
مفهوم KYC (Know You Customer) که از آن به پروتکل‌های شناخت مشتری یا فرایندهای احراز صلاحیت کاربران نیز تعبیر می‌شود، شناسایی و تایید مشتریان یا کاربران، قبل از معامله یا در حین آن را مدنظر قرار می‌دهد؛ مشتریان و کاربران گسترده‌ای که امکان شناسایی آنها به‌طور سنتی وجود ندارد. این فرایند‌ها، اقدامی پیشگیرانه برای پرهیز از اقدامات غیرقانونی در حوزه تبادلات تجاری محسوب می‌شوند و به دولت‌ها، نهادهای پولی و بانکی، پلتفرم‌های پرداخت دیجیتال، اپلیکیشن‌ها و شرکت‌های تجاری کمک می‌کنند تا از سوءاستفاده‌های احتمالی جلوگیری کنند. علاوه بر آن، رشد فزاینده خدمات پرداخت اینترنتی و گوشی‌های هوشمند، حضور فین‌تک‌ها در اکوسیستم بانکی و خطرات امنیتی حاصل از این موارد، به‌خصوص در حوزه محرمانگی اطلاعات مشتریان، احراز هویت دقیق‌ آنها را به عنوان یک سازوکار موثر مطرح ساخته است تا بر اساس آن، آسیب‌های ناشی از این مخاطرات، کاهش و کیفیت خدمات افزایش یابد. 
البته این پروتکل‌ها، برای مشتریان نیز سودمند هستند و به کاربران کمک می‌کنند تا بعد از تایید هویت‌شان، دسترسی آنها به محصولات و خدمات، تسهیل و تسریع شود. هرچند علی‌رغم اهمیت این موضوع، تجربه کاربری ناخوشایندی نیز توسط مشتریان بر اثر ناکارآمدی سازوکارهای صلاحیت‌سنجی مطرح می‌شود؛ تا جایی که برخی افراد به خاطر پروتکل‌های پیچیده و پرریسک، بعضا عطای یک مبادله تجاری را بر لقای آن می‌بخشند. 
در این میان، راه‌اندازی دو سامانه «شاهکار» (شبکه احراز هویت کاربران ارتباطی) و «امتا» (احراز مشتریان تجارت الکترونیکی) وابسته به نهادهای دولتی و نیز بسیاری از سامانه‌های دیگر مانند سامانه جامع اطلاعات مشتریان یا سجام و نظایر آن، پرسش‌های بسیاری را مطرح کرده است: دلیل وجود این همه پروتکل‌ و فرایند‌های صلاحیت‌سنجی ویژه مشتری یا کاربر با عناوین گوناگون چیست؟ آیا این سامانه‌ها کارکرد لازم را برای پاسخگویی به نیازهای کسب‌وکارها و کاربران دارا هستند؟ اساسا ایجاد سامانه‌های متعدد احراز هویت توسط نهادهای حاکمیتی، چه توجیهی دارد و مکمل یکدیگر هستند یا موازی؟ و بالاخره اینکه نظام رگولاتوری کشور در حوزه کسب‌وکارهای کوچک و بزرگ، چه سازوکار مشخصی برای احراز هویت تعیین کرده است تا از سردرگمی، پراکندگی و ابهامات موجود بکاهد؟ قبل از پاسخ به این پرسش‌ها از دیدگاه کارشناسان این حوزه، مروری بر فلسفه وجودی و سازمانی سامانه‌های شاهکار و امتا ضروری است.

از شاهکار تا امتا
سامانه شاهکار یکی از سامانه‌های سازمان تنظیم مقررات و ارتباطات رادیویی زیرنظر وزارت ارتباطات و فناوری اطلاعات است که وظیفه اصلی آن احراز هویت کاربران تمامی سرویس‌های ارتباطی است. این سامانه با مصوبه شورای‌عالی فضای مجازی به منظور تامین کامل حریم خصوصی و امنیت اطلاعات کاربران در فضای مجازی و حقیقی در سال 94 راه‌اندازی و به تدریج سرویس‌های مختلف به آن، افزوده و در اواخر سال 97 به نرم‌افزار دولت همراه متصل شد. شاهکار، واسط بین اپراتورهای مخابراتی و مراجع تطبیق هویت است. اپراتور پیش از ارایه سرویس به مشترکان، از طریق این سامانه، هویت آنها را از نظر حقیقی یا حقوقی، ایرانی یا خارجی بودن صحت‌سنجی می‌کند و در صورت تایید درستی اطلاعات در سامانه، اجازه ارایه سرویس به آنها را دارد. برای جلوگیری از سوءاستفاده‌ احتمالی از مدارک هویتی مشترکان، پس از ثبت هر سرویس ارتباطی، پیامک‌ اطلاع‌رسانی به سیم‌کارت‌های مشتری ارسال می‌شود و وی را از فعال‌سازی یا تغییرات سرویس آگاه می‌کند. 
از سوی دیگر، سامانه امتا که از سال گذشته زیرنظر مرکز توسعه تجارت الکترونیکی وزارت صمت فعالیتش را آغاز کرده، هدف خود را رفع نیاز کسب‌و‌کارهای الکترونیکی در حوزه شناسایی و احراز مشتریان و نیز تسهیل فرایند تعامل مشتریان با کسب‌و‌کارها در بستری امن معرفی کرده است. مدل‌های ورود مختلف از جمله رمز ایستا، OTP،‌ پیامک ارزش افزوده و امضای الکترونیکی در بستر این سامانه، تعریف و پیاده‌سازی شده است. کسب‌وکارها سطوح دسترسی خود به اطلاعات مشتریان از جمله صلاحیت صنفی، اعتبار مالی، سوابق فعالیت وغیره را اعلام می‌کنند و در صورت تایید، در فهرست دسترسی‌های اطلاعاتی مجاز آنان قرار می‌گیرد. با راه‌اندازی این سامانه، مشتریان نیاز به ثبت‌نام‌های متعدد در سایت‌های مختلف ندارند. کاربران فروشگاه‌های آنلاین پیش از ثبت‌نام در آن فروشگاه‌ها، در این سامانه ثبت‌نام می‌کنند و با توجه به دسترسی سامانه به اطلاعات ثبت‌احوال، سیم‌کارت، شماره کارت بانکی وغیره احراز هویت می‌شوند. این سامانه، با درخواست مشتریان، صحت اطلاعات اظهاری آنها را استعلام کرده و در صورت احراز، با اجازه آنها در پروفایل کاربری خود ثبت می‌کند. امتا‌، همچنین اخیرا همزمان با جهش ناگهانی قیمت خودرو و ساماندهی آن، به عنوان فضایی برای پیش‌ثبت‌نام متقاضیان خرید خودرو و احراز هویت آنها معرفی شده است.

•بودن یا نبودن؛ کارآمد یا ناکارآمد؟
با وجود قابلیت‌های ذکرشده درخصوص سامانه‌های احراز هویت شاهکار و امتا، فعالان و کارشناسان حوزه کسب‌وکار و نظام بانکی دیدگاه‌های خاص خود را درباره آن دارند. روح‌اله رهبرپور، کارشناس حقوقی و از فعالان کسب‌وکار در حوزه اپلیکیشن‌ها در گفت‌وگو با عصر ارتباط درخصوص فعالیت‌ سامانه‌ شاهکار می‌گوید: این سامانه به عنوان زیرمجموعه وزارت ارتباطات، به صورت جسته گریخته فعالیت‌هایی انجام می‌دهد و سطح محدودی از احراز هویت را داراست که در وضعیت فعلی، وجودش بهتر از نبود آن است! به گفته رهبرپور، در برخی اپلیکیشن‌های حوزه پرداخت الکترونیکی از شاهکار استفاده می‌شود که البته مشکلات اتصال و قطع و وصل را نیز شاهد هستیم. 
این کارشناس حقوقی همچنین با اشاره به امتا و مقایسه کارکردهای آن با شاهکار می‌افزاید: درباره فعالیت مرکز توسعه تجارت الکترونیکی در حوزه سامانه امتا، با حضور در جلسات مختلف، قابلیت‌های آن را چک کردیم. واقعیت این است که سامانه امتا از لحاظ فنی اصلا پاسخگو نبود و علی‌رغم تلاش‌های کارشناسان مرکز، عملا امکان مشاهده پایلوت آن نیز فراهم نشد. به نظرم سامانه‌ای که در ابتدای کار چنین مشکلاتی دارد، با شروع فعالیت جدی روی پلتفرم‌های کوچک‌تر هم پاسخگو نخواهد بود. 
بنا بر اظهارات رهبرپور، حتی سامانه شاهکار نیز جوابگوی نیازهای اپلیکیشن‌هایی با کاربران گسترده مانند دیوار که دلالان نیز ممکن است در آن فعالیت داشته باشند، نیست و حتی اگر همه کاربران را به سمت شاهکار ببریم، چه بسا این سامانه پاسخگوی درخواست‌های اپلیکیشن دیوار در حوزه پلتفرم‌های نیازمندی‌ها نیز نباشد چه برسد به اینکه استارت‌آپ‌های دیگری مانند باما، شیپور وغیره نیز به آن اضافه شوند؛ ضمن اینکه پلتفرم‌های دیگری هم علاوه بر نیازمندی‌ها، در انتظار احراز هویت کاربران هستند. 
این در حالی است که صدرالدین نورالدینی، مدیر پروژه امتا، دی ماه سال گذشته در گفت‌وگو با عصر ارتباط در پاسخ به سوالی مبنی بر تمایزهای شاهکار و امتا گفته بود: شاهکار صرفا سرویس تطبیق شناسه ملی و شماره موبایل است و می‌توان آن را یکی از ابزارهای احراز هویت دانست که تا حدودی نقیصه فضای دیجیتال را جبران کرده اما در امتا، طبق سند شورای‌عالی فضای مجازی، بررسی صلاحیت و احراز هویت به صورت یکپارچه صورت می‌گیرد و هویت، صفات و نیاز مشتریان در آن لحاظ شده است. به گفته مدیر پروژه امتا، سایت‌های فروش آنلاین کالا، با توجه به خوداظهاری مشتریان، اطلاعاتی از آنها دریافت می‌کنند که ابزاری برای بررسی صحت آن وجود ندارد و حتی در صورت صحت، مشخص نیست که آیا متعلق به اظهارکننده است یا خیر. این معضل در امتا از طریق سطح‌بندی‌های انجام‌شده، حل شده زیرا این سامانه صرفا برمبنای خوداظهاری نیست و این موضوع، وجه تمایز آن با شاهکار است. 
از سوی دیگر، محمدرضا غفوری، کارشناس اقتصادی در حوزه بانکی درباره عملکرد سامانه‌های شاهکار و امتا با بیان اینکه کدملی، کارت هوشمند، موبایل و سیم‌کارت پایه‌های مناسبی برای KYC هستند، درباره عملکرد شاهکار و امتا می‌گوید: باید پذیرفت سامانه‌های موجود، نمی‌توانند عملکرد صددرصدی داشته باشند اما یک الزام وجود دارد که باید سریع‌تر اشکالات این سامانه‌ها مرتفع شود. همچنین اگر ادعای دولت الکترونیک و تحول دیجیتال داریم، توجه به این ساختارها و سامانه‌های احراز هویت، الزام‌آور است. ضمن اینکه یکی از پیامدهای مثبت کرونا، طی ماه‌های اخیر، تغییر نگرش افراد به موضوعات مرتبط با تحول دیجیتال بوده است. 

موازی یا مکمل؟
رهبرپور در پاسخ به این سوال عصر ارتباط که آیا وجود سامانه‌های متعدد احراز هویت از سوی نهادهای حاکمیتی و دو وزارتخانه دولتی، موازی‌کاری محسوب نمی‌شود، معتقد است اتفاقا وجود سامانه‌های مختلف در حوزه احراز هویت، نقش مکمل دارند و محدود بودن آنها همانند موضوع خودرو، انحصار ایجاد می‌کند و کیفیت‌شان ارتقا نمی‌یابد. به همین دلیل شاهکار در غیاب سایر سامانه‌های قدرتمند در این حوزه، در همین اندازه باقی مانده در حالی که با ورود امتا، ممکن است برای پیشرفت خود بیشتر تلاش کند. همچنین از آنجا که استفاده از این سامانه‌ها، هزینه‌های خاص خود را دارد، تعدد آنها موجب ایجاد فضای رقابتی می‌شود و کسب‌وکارها نیز قدرت انتخاب بیشتری در حوزه سرویس‌های احراز هویت خواهند داشت.
 این مشاور کسب‌وکار معتقد است سیستم‌های KYS باید به صورت متعدد توسط نهادهای مختلف ایجاد شود و کسب‌وکارها نیز مختار باشند که از شاهکار، امتا یا سایر سامانه‌ها استفاده کنند.
در این زمینه، اما غفوری که سابقه فعالیت مدیریتی در وزارت صمت را نیز در کارنامه خود دارد، نکته مهم را ارایه سرویس خدمات متنوع در تمام کشور بدون حضور فیزیکی می‌داند و معتقد است آنچه از نظر امنیتی مهم است، سیستم KYC یا احراز هویت است.
 به گفته وی، ممکن است در این زمینه موازی‌کاری‌هایی صورت گیرد که برای پرهیز از این امر، ضمن استانداردسازی لازم، ایجاد سامانه‌های احراز هویت باید در یک ساختار تعریف‌شده مدنظر قرار گیرد. از دیدگاه غفوری، «در آینده، تعاملات سامانه‌ها در حوزه احراز هویت، محور اصلی فعالیت‌ها خواهد بود نه تک‌تک سامانه‌ها.» بنابراین باید فرهنگ‌سازی در سازمان‌ها، فرایندها و مدیریت‌ها انجام شود. این کارشناس بانکی و امور مشتریان در عین حال تصریح می‌کند: البته تعدد سامانه‌ها برای فعالیت در حوزه‌های مختلف وجود دارد اما ریل‌گذاری آن باید مشخص باشد. در این زمینه باید رویه‌های موازی کنار گذاشته شود و نهادهای بالادستی از جمله دستگاه‌های قضایی، اجرایی و قانون‌گذاری ورود کنند و نهادهای فیمابین مانند شورای‌عالی فضای مجازی نیز باید بستر این کار را فراهم و موازی‌کاری‌ها را مرتفع کند. در مجموع، سامانه‌های متعدد، انرژی سازمان‌ها و افراد را می‌گیرد.

قصه پرغصه رگولاتوری
نداشتن سازوکارهای مشخص قانونی در زمینه احراز هویت و ضعف رگولاتوری از دیگر معضلات این عرصه به زعم کارشناسان است.
 به گفته رهبرپور در حوزه احراز هویت و ساماندهی سامانه‌های مرتبط با آن، مشکلات رگولاتوری وجود دارد. از نظر وی، متاسفانه هنوز سطح و میزان دسترسی به اطلاعات افراد در پلتفرم‌ها مشخص نیست. اینکه چه اطلاعاتی را از کاربر دریافت کنیم، کفایت می‌کند و یا اینکه تا چه حد این اطلاعات باید به مرجع قضایی ارایه شود، معلوم نیست؛ هرچند شورای‌عالی فضای مجازی در زمینه قانون‌گذاری و تعیین سطح دسترسی کسب‌وکارها به این اطلاعات، می‌تواند نقش‌آفرین باشد. این کارشناس حقوقی معتقد است اگر قانونی وجود داشته باشد که مشخص کند غیر از کدملی، یک‌سری اطلاعات دیگر را می‌توان از کاربر دریافت و صحت آن را در سامانه‌ها، بررسی کرد، برای کسب‌وکارها نیز منافع خاص خود را به دنبال دارد اما در حال حاضر این اطلاعات هویتی به فراخور هر سازمان، سلیقه‌ای است که باید چاره‌اندیشی لازم از سوی نهادهای رگولاتوری صورت گیرد.
در این زمینه، غفوری، کارشناس بانکی، عقب‌ماندگی سیستم رگولاتوری را در زمینه احراز هویت از مشکلات اساسی می‌داند و معتقد است کسب‌وکارهای ما همواره از رگولاتورها جلوترند و در ایران معمولا روش«راه بینداز، جا بینداز» یعنی کاری را راه بینداز تا جا بیفتد، مرسوم است. وی درخصوص الزامات امنیتی احراز هویت کاربران و مشتریان نیز بر این باور است که اگر بخواهیم امنیت دیتای افراد حفظ شود، روش آن، بستن سیستم و جلوگیری از اشتراک داده نیست بلکه باید اطلاعات را به صورت تاییدشده و امن در اختیار دیگران بگذاریم. ما در ساختارهای بانکداری باز، نیازمند اشتراک داده‌ با فین‌تک‌ها وغیره هستیم و باید تعاملات دیتایی داشته باشیم. 

نقد مدل درآمدزایی سامانه‌های حاکمیتی 
موضوع دیگر در زمینه احراز هویت، پرداخت هزینه‌های استعلام داده به سامانه‌هایی مانند شاهکار است. در این زمینه، امیر ناظمی، معاون وزیر ارتباطات و رییس سازمان فناوری اطلاعات، در میزگرد ارزش‌آفرینی داده‌‌محور که اردیبهشت‌ماه امسال، از سوی عصر ارتباط برگزار شد، درخصوص دریافت هزینه بابت داده‌های استعلامی گفته بود «وقتی دولت، سرویسی را به کسب‌وکارها می‌‌دهد، حق ندارد منابع خود را صرف یک شرکت خاص کند و باید هزینه‌اش را دریافت کند با این حال در مورد سرویس شاهکار ما به دنبال درآمد نیستیم.»
 به گفته وی، هزینه‌های اخذشده از سیستم بانکی و بنگاه‌های اقتصادی، که بابت تامین بخشی از بودجه زیرساخت تجهیزاتی صورت گرفته، «کمترین وجه آن، اقتصادی است و جنبه‌های اجتماعی آن، اعتماد افراد به یکدیگر، برقراری امنیت و صحت‌‌سنجی است.» 
علی‌رغم این اظهارات، رهبرپور و غفوری به عنوان کارشناسان حوزه کسب‌وکار و بانکی کشور، نگاه درآمدزایی از سوی نهاد حاکمیتی را چندان تایید نمی‌کنند. به گفته رهبرپور، «برای فعالان حوزه کسب‌وکار، ترجیح این است که دیتاهای حاصل از احراز هویت، بدون هزینه باشد و قاعدتا هم نباید این هزینه‌ها باشد چون احراز هویت در حیطه فعالیت‌های نهادهای حاکمیتی است و اگر حاکمیت به دنبال کاهش جرایم سایبری است باید برای این موضوع، هزینه کند.» وی در عین حال تصریح می‌کند: البته به خاطر شرایط اقتصادی کشور، کسب‌وکارها و استارت‌آپ‌ها، به پرداخت هزینه نیز رضایت دارند مشروط بر اینکه معقول باشد و موجب زمین خوردن آنها نشود. 
غفوری نیز معتقد است اگر سرویس‌هایی مانند شاهکار با نگاه درآمدی فعالیت کنند، شاید نتیجه مطلوب عاید نشود. این در حالی است که بسیاری از سامانه‌ها در تعاملات خودشان می‌توانند منجر به بیزینس‌های جدیدی شوند. به گفته وی، در این خصوص، قوه قضاییه، سازمان ثبت اسناد، سازمان ثبت احوال وغیره محمل بسیاری از استعلامات هستند و اگر صرفا با رویکرد درآمدزایی کار شود، چون نهادهای حاکمیتی این احراز هویت را انجام می‌دهند، با مشکلاتی مواجه می‌شویم. ضمن اینکه از رویه‌های مشکل‌دار در کشور ما، تحمیل هزینه به سیستم بانکی است و ما نیازمند تغییرات جدی در نظام کارمزدی هستیم.

ساماندهی در ابهام
در مجموع، اگرچه رهبرپور، سامانه شاهکار را با وجود نقایص آن، موثرتر از سامانه امتا، ارزیابی می‌کند اما غفوری درباره مقایسه مزیت‌های این دو سامانه‌، معتقد است برای پاسخ به این سوال، باید پرسید اساسا آیا شاهکار و امتا کارکردهای یکسانی دارند که بتوانیم یکی را بر دیگری ترجیح دهیم؟ و اصلا آیا احراز هویت، کار وزارت صمت و وزارت ارتباطات است؟ به اعتقاد وی، احراز هویت سازوکار دیگری دارد. مهم این است که این مقوله‌ها و نهادهای دست‌اندرکار چگونه در راستای تعاملات سازمانی با یکدیگر تبادل دیتا داشته باشند و تضمین‌های لازم را مدنظر قرار دهند.
به اعتقاد بسیاری از صاحب‌نظران، احراز هویت دیجیتال، هنوز پاشنه آشیل‌های فراوانی در کشور دارد که مهم‌ترین آنها را می‌توان پیچیده بودن شبکه ارتباطی، چالش‌های رگولاتوری و نداشتن قوانین و مقررات مشخص، عدم توجه به جایگاه رگ‌تک‌ها یا فناوری‌های نظارتی، نداشتن متولی مشخص برای ساماندهی چالش‌های این حوزه و نیز تعدد سامانه‌های شناسایی و تایید هویت کاربران در فضای مجازی و عدم یکپارچگی و تمرکز این سیستم دانست. تفاوت دیدگاه‌ها درخصوص وجود سامانه‌های احراز هویت مشتریان از یکسو و عدم تعیین سازوکارهای مشخص و کارآمدی نه چندان مطلوب این سامانه‌ها، متناسب با نیازهای کسب‌وکارها و مشتریان توسط رگولاتور از سوی دیگر، آینده ساماندهی این سامانه‌ها را در هاله‌ای از ابهام قرار داده است. چاره‌ای جز شتاب بخشیدن و نو شدن، در عصر دگردیسی دیجیتال نیست.