بیتا صالحی
بیتا صالحی
خواندن ۶ دقیقه·۴ سال پیش

احراز هویت دیجیتال به قانون بالادستی و رگولاتوری متحد نیاز دارد

مطلب زیر به گزارش ماهنامه پیوست بازنشر میشود:

احراز هویت دیجیتال مهم‌ترین دغدغه مسئولان در حوزه‌های مختلفی چون بانکداری و بیمه و بورس بوده است، به خصوص در ماه‌های اخیر که استقبال مردم برای سرمایه‌گذاری در بورس افزایش یافته و به خاطر شیوع کرونا حضور مردم در شعبه‌های بانک یا دفاتر پیش‌خوان برای احراز هویت پرریسک‌تر از گذشته شده است، اهمیتش دو چندان شده است. حالا حاضران در پنل گفت‌وگوی سیزدهمین رویداد فیناپ که به بررسی همین موضوع پرداخته است معتقد هستند باید قانونی مدون و کامل در حوزه احراز هویت تهیه و تدوین شود و سپس سامانه‌ای واحد منابع مرجع حوزه احراز هویت را به هم متصل کند تا به این صورت هزینه‌های مردم هم کاهش یابد.

به گزارش پیوست، محمد گرکانی نژاد، کارشناس پرداخت و بانکداری الکترونیکی در این میزگرد با بیان اینکه در بحث مقررات‌گذاری باید دو موضوع احراز هویت (Authentication) و شناسایی افراد (IDENTIFICARTION) را از هم جدا کنیم، روند احراز هویت و شناسایی افراد در طول زمان را توضیح داد: «شناسایی افراد، به مقوله‌ای گفته می‌شود که شخص برای نخستین بار به بانک مراجعه می‌کند و اطلاعات خود را می‌دهد و اطلاعات او با دیتابیس‌های مختلف سنجیده می‌شود. پس از شناسایی کاربر، هرزمان که می‌خواهد از بانک سرویسی دریافت کند باید هویتش احراز شود. البته باید توجه کنیم که پیشتر هم بحث احراز هویت انجام می‌شد. اینکه فردی با کارت خود از حسابش پولی بردارد، نوعی احراز هویت است. حتی در بورس هم به صورتی احراز هویت انجام می‌شد.»

او ادامه داد: «بعدها برای دریافت سرویس‌هایی چون دسترسی به حساب بدون محدودیت strong customer authentication یا SDA به وجود آمد. پس در حوزه احراز هویت مجموعه قوانینی ایجاد شد که با این مجموعه قوانین حتی شرکت‌های مالی غیربانکی (non-bank) هم می‌توانند مشابه بانک‌ها سرویس عرضه کنند. در مقررات اروپا به این صورت است که یک شرکت‌ مالی غیربانکی می‌تواند به یک NTT ارائه دهنده سرویس تبدیل شود.»

او در صحبت‌های خود به قانون eIDAS اشاره کرد و گفت: «در بحث شناسایی افراد یکی از بهترین مقررات که توسط اتحادیه اروپا تصویب شد، eIDASیا electronic Identification ,Authentication and trust service است. یکی از مهم‌ترین بخش این مقررات این است که برای تمام شهروندان اروپا یک هویت دیجیتال تعریف شد. البته در بحث احراز هویت، بحث تجربه کاربری هم پیش می‌آید.»

گرکانی‌نژاد همچین بیان کرد: «یکی از مشکلات بانک‌ها این بود که می‌خواستند به کاربران امکانات متفاوت عرضه کنند تا به راحتی از خدمات بانک بهره‌ ببرند؛ اما هردفعه باید احراز هویت شوند. به همین خاطر  risk based authentication یا RBA مطرح شد. یعنی سرویس‌دهندگان می‌توانند گاه تحت شرایطی از این SDA عبور کنند و به تجربه کاربری توجه کنند. این مقررات به صورتی به هم متصل هستند و در هم تنیدگی‌هایی دارند.»

به گفته گرکانی‌نژاد در ایران باید identification،یا هویت دیجیتال توسط قانون مصوب مجلس تعریف شود یا نهادی مانند ثبت احوال که متولی این حوزه است، این هویت را تعریف کند. او همچنین تاکید کرد: «ما مقرراتی چون پروژه eIDASدر کشور نداریم. هویت دیجیتالی نداریم و خلایی است که باید قانون‌گذاری در این زمینه انجام شود. البته طبیعی است که در این فضا دستگاه‌ها بیکار نمی‌نشینند. چون سرعت تحول تکنولوژی بالاست و آنها همراه با این تغییرات سرویس‌هایی در حوزه احراز هویت شبیه‌سازی می‌کنند؛ مانند آنچه در بورس ایجاد شد.»

او اضافه کرد: «در حوزه بانکداری رگولاتور با احتیاط مقررات‌گذاری می‌کند، البته رگولاتور قرار نیست با سرعتی که فناوری تغییر می‌کند عمل کند. در عین حال نباید از حدی عقب‌تر باشد. حتی در سیلیکون‌ولی هم ریسک قانونگذاری وجود دارد.»

ارتباط بین بانک و بازار مالی ایجاد شود

در ادامه این پنل علیرضا ماهیار، معاون فناوری و توسعه نوآوری سمات با تایید صحبت‌های گرکانی‌نژاد تاکید کرد که اصل سجام هم براساس قوانین eIDASاست و گفت: «قوانین مبارزه با پولشویی در دنیا روی این قضیه تاکید می‌کرد که ما باید از کاربر از چند کانال امن داده‌های متفاوت بگیریم و بررسی و صحت‌سنجی کنیم. ما در سجام در بحث احراز هویت هم برای کاربر درگاه یکپارچه ذینعفان بازار سرمایه را راه‌‌اندازی کردیم.»

ماهیار در ادامه به فعالیت سجام و الزامات قانونی در فعالیت این سامانه اشاره کرد و گفت:‌ «برای راه‌اندازی سجام، سه سال و نیم مطالعات دقیق تطبیقی و حقوقی منطبق بر قوانین جاری در کشور انجام شد. اگر چند بانک و کارگزاری بانکی به شبکه سجام متصل شدند و بحث احراز هویت را انجام می‌‌دهند، به خاطر اصل «به اشتراک‌گذاری اطلاعات» است و پشتوانه قانونی که در این زمینه وجود دارد. ما با نهادهای مالی تحت نظارت سازمان بورس، بانک‌ها و مراجعی که قانونگذار مشخص کرده، تبادل اطلاعات را انجام می‌دهیم.»

به گفته ماهیار، سجام و سامانه‌های احراز هویت پلی هستند میان توسعه‌‌دهندگان تکنولوژی و کارگزاران که تکنولوژی گریز بودند. او همچنین تاکید کرد: «کارگزاری‌ها پس از مدتی در این حوزه سرمایه‌گذاری کردند و حساب آنلاین افتتاح کردند و مقدمه‌ای شد برای ارائه خدمات مالی نوین. به نظر من بورس در حوزه احراز هویت الکترونیکی پیشروتر بوده و قوانین به این حوزه بسیار کمک کرده است. قطعا می‌توان ارتباط مکانیزه به لحاظ فنی و حقوقی بین شبکه بانکی و شبکه بازار سرمایه شکل بگیرد.» براساس گفته‌های ماهیار ارتباط مکانیزه کمک می‌کند تا  اگر کاربری در بانک احراز هویت کرد، به مراجعه حضوری نیاز نداشته باشد.

رگولاتور در سیستم بانکی بسیار محتاط است

مرتضی اکبری، مدیرعامل بانک مهر ایران در پنل در پاسخ به سوال مجری که چرا بانک‌ها ریسک‌پذیر نیستند و محتاط عمل می‌کنند، گفت: «از لحاظ ریسک‌پذیری کار بانک‌ها بسیار دشوار است چون با پول سرکار دارند. وجود رگولاتورهای مختلف در کشور و اینکه هرکدام براساس وضعیتی که دارند، تصمیم‌گیری‌هایی انجام می‌دهند یکی دیگر از مشکلات اساسی ما است.»
او ادامه داد: «شاید سازمان بورس راحتت‌تر با شرایط جدید کنار می‌آید یا اگر کنار نمی‌آید، ویروسی به نام کرونا در کشور شیوع پیدا می‌کند و بازار فعال می‌شود و مجبور است، در بسیاری از موارد کوتاه بیاید. در بانک چنین اجباری ایجاد نشده است. رگولاتوری تحث تاثیر محیط باید قرار بگیرد و با تکنولوژی خود را منطبق کند.»

به گفته اکبری رگولاتور در سیستم بانکی بسیار محتاط است، در حالیکه سرعت تغییرات تکنولوژی به شدت بالاست و از طرفی با احراز هویت‌های مختلف هزینه‌های مردم را هم زیاد کردند. او همچنین بیان کرد: «بانک و بیمه و بورس به صورت جداگانه احراز هویت می‌کنند. درصورتی که لزومی ندارد اینطور انجام شود. وقتی سیستم بانکی احراز هویت انجام می‌دهد، نیازی نیست بیمه و بورس احراز هویت انجام دهد. در این حوزه باید قانون بالادستی قوی و رگولاتوری متحد داشته باشیم. نمی‌توان یک رگولاتوری برای بانک، یک رگولاتوری برای بیمه و یک رگولاتوری برای بورس تصمیم‌گیری کند.»

اکبری همچنین عنوان کرد: «می‌توان همه منابع مرجع در حوزه احراز هویت را با یک لینک به هم متصل کنیم.در اینصورت بسیاری از مشکلات ما حل می‌شد. در این زمینه خلا قانونی وجود دارد. رگولاتوری باعث شده تا بانک‌ها داده‌‌های خود را در اختیار نهادهای دیگر قرار ندهند و در بحث احراز هویت توسط بیمه و بورس موازی کاری انجام شود.»

بازار سیستم‌های بانکی بازاری بسته است

محمد مظاهری، مدیرعامل شرکت توسن تکنو همچنین در این پنل با تایید صحبت‌های حاضران تاکید کرد که چارچوب‌های قانونی در حوزه احراز هویت باید مدون و کامل‌تر شود.

البته مظاهری تمام مشکلات حوزه احراز هویت را متوجه رگولاتوری ندانست و گفت: « بخشی از مشکلات به لختی ما در کسب‌وکار خودمان و بخش دیگر به بازارمان بازمی‌گردد. بانک‌های ایران سرویس بین‌المللی ارائه نمی‌دهند تا مجبور شوند راه‌حل‌های نوین عرضه کنند. بازار ما بازاری بسته است. البته اگر نیازی ایجاد شود و مشتری به سرویسی احتیاج داشته باشد، بالاخره راه حل برای آن پیدا می‌کنیم.»

او ادامه داد: «باید توجه کنیم اینکه در چه سطحی احراز هویت انجام شود، به سرویسی که شما ارائه می‌دهید، بستگی دارد به عنوان مثال زراعت بانک در ترکیه در شعبه بحث سرویس موبایل بانک را راه‌اندازی نمی‌کند بلکه با مرکز تماس می‌گیرد و کاربران را راهنمایی می‌کند. بحث احراز هویت و شناسایی افراد هم دورادور انجام می‌دهد.»

هویت دیجیتالاحراز هویتفین تکمدیریت هویت و دسترسیامنیت سایبری
کارشناس امنیت شبکه های کامپیوتری، امنیت سایبری و هویت دیجیتال
شاید از این پست‌ها خوشتان بیاید