ICT ایرانی در هفته‌ای که گذشت

امتا یا شاهکار؛ تناقض احراز هویت و تداوم تخلفات سایبری

پریسا خسروداد

KHOSRODAD.NEWS@GMAIL.COM

احراز هویت مشتری، متقاضی، کاربر و یا هر فردی که نیازمند دریافت خدمات یا خرید و فروش کالا است، از آن دسته نیازهای امروزی است که چند وقتی است لزوم توجه به آن بیش از پیش مورد توجه کسب‌و‌کارها، ناجا و حتی عموم مردم قرار گرفته است.

لزوم انجام احراز هویت مشتری توسط بنگاه ارایه‌دهنده خدمات (از هر نوعی) در شرایط عادی امری بسیار ضروری است. اما در جایی به پاشنه آشیل تبدیل می‌‌شود که یک پای خدمت یا تبادل کالا در فضای مجازی باشد.

در چنین موقعیتی است که تبهکاران، مجرمان و افراد سودجو از راه می‌‌رسند و بدون داشتن واهمه از به جا گذاشتن ردپایی به جولان و شکار قربانیان می‌‌پردازند. بهترین مثال برای تبیین این موقعیت، آگهی‌‌هایی است که به‌طور انبوه و فله‌‌ای و بدون هیچ حساب و کتابی در سایت‌‌ها و اپلیکیشن‌‌های خرید و فروش منتشر می‌‌شوند.

در یک فقره از این قبیل آگهی‌‌ها می‌توان از واسطه فروش پرایدی یاد کرد که توانست با یک خط شماره موبایلی که در اختیار داشت، ده‌‌ها دستگاه ماشین را با قیمت‌‌های بسیار بالاتر از قیمت بازار آگهی کند و با این اقدام به گران شدن قیمت خودرو دامن بزند. همچنین می‌‌توان به سامانه‌‌هایی اشاره کرد که کالاهایی مانند لاستیک ماشین، بنزین یا ملزوماتی این‌‌چنین را در اختیار طیفی خاص مانند رانندگان کامیون قرار می‌‌دهند و در این شرایط بحران اقتصادی با هجوم دلالانی مواجه می‌‌شويم که با یک خط تلفن و مدرک‌سازی اقدام به اخذ یارانه‌‌های دولتی می‌‌کنند و در دل خود به تمام سختگیری‌‌های دولتی و در عین حال نقص‌‌های مقرراتی پوزخند می‌‌زنند.

اما از آگهی‌‌های در پوشش خیریه و ارایه خدمات ماساژ نگوییم که تقریبا همه مردم می‌‌دانند کلیدواژه‌‌های انجام چه نوع جرایم و تخلفاتی است که در سایه غفلت احراز هویت مشتریان حتی توسط انبوهی از دستگاه‌های نظارتی نادیده گرفته شده، پاسکاری می‌شود و یا به تذکری بی‌اثر محدود می‌شود، مگر در شرایطی که جرمی مرتکب شود یا شکایتی ثبت شود!؟

با محوریت قرار دادن احراز هویت مشتریان در فضای مجازی به تحلیل و ارزیابی اهم رویدادهای ICT ایرانی در هفته‌‌ای که گذشت می‌پردازیم.

 

امتا یا شاهکار، کدام یک؟

با توافق روی این موضوع که احراز هویت مشتریان، یک امر ضروری هم برای کسب‌و‌کارهای اینترنتی و هم برای مردم است، وجود دو سامانه موازی که هر دو تقریبا یک خدمت را ارایه می‌‌دهند و متولی هر دو دولت است، کار را برای کسب‌و‌کارها دشوار کرده است.

در این میان امتا (احراز مشتریان تجارت الکترونیکی) سامانه‌‌ای که متولی آن وزارت صمت و به‌طور خاص مرکز توسعه تجارت الکترونیکی است که فرد با مراجعه به آن و ثبت اطلاعات هویتی، مکانی، تماسی و اعتباری خود، اطلاعات به‌روز شده‌اش را در اختیار کسب‌‌و‌کارها قرار می‌‌دهد. با استفاده از این سامانه، مشتریان اجازه سطح دسترسی کسب‌وکارها به اطلاعات شخصی‌شان را نیز خود مدیریت می‌کنند که با چالش صحت‌‌سنجی اطلاعات مواجه است.

اما در سوی دیگر، شاهکار (احراز هویت و بررسی تطبیق شماره تلفن همراه با کد ملی صاحب خط تلفن) قرار دارد. متولی آن در درجه اول وزارت ICT و سپس سازمان تنظیم مقررات و ارتباطات رادیویی است. خاستگاه قانونی شاهکار، مصوبه شورای‌عالی فضای مجازی به منظور تامین کامل حریم خصوصی و امنیت اطلاعات کاربران در فضای مجازی است که با تطبیق شناسه سرویس و شناسه هویتی، ضمن مشخص شدن صاحبان سرویس‌‌های ارتباطی در این سامانه، خدمات از هر سرویس ارتباطی به صاحب همان سرویس ارایه می‌شود. اصلی‌‌ترین چالش شاهکار، سیم‌‌کارت‌هایی با هویت مجهول است که به قول جاویدنیا، معاون دادستان کل کشور در امور فضای مجازی روند شناسایی هویت افراد را در سایت‌ها با مشکل روبه‌رو کرده است.

در این میان علاوه بر سردرگمی کسب‌و‌کارها برای اینکه از کدام یک از این خدمات باید استفاده کنند و به اصطلاح سمبه و کارایی کدام یک پرزورتر است، رویکرد دستگاه‌‌ها و نهادهای دولتی نیز تامل‌‌برانگیز است، به‌طوری که بانک مرکزی که می‌‌بایست اصلی‌‌ترین مشتری احراز هویت مشتریان باشد، مماشات می‌‌کند و در آیین‌نامه اجرایی مواد 56 و 57 قانون تجارت الکترونیکی که به تازگی درسایت enamad.ir به رای و نظر گذاشته شده است، حرف دیگری برای گفتن دارد.

از جمله اینکه ماده 4 این آیین‌‌نامه، رسانه‌‌ها را موظف می‌‌کند که هنگام پذیرش آگهی، فرد را به یکی از دو روش احراز هویت کنند که اولین روش آن مراجعه به امتا و دیگری دریافت مدارک هویتی اشخاص است. به هر حال، آنچه مسلم است شاید وجود طرح‌‌ها و سامانه‌‌های موازی امری رایج در ICT ایرانی باشد، اما این قضیه در عرصه هویت و بلاتکلیفی آن به هیچ وجه پذیرفتنی نیست.

و در نهایت اینکه با وجود انواع سامانه‌ها که شاید در آینده بیشتر هم بشوند، درحالی که احراز هویت در فضای سایبری و حداقل در بخش دریافت کالا و خدمات اجباری و الزامی شده است، همچنان شاهد جولان متخلفان در سایت‌ها و درگاه‌های ارایه خدمات و کالا هستیم و ظاهرا یا در حال عادی‌سازی و جرم‌زدایی از برخی جرایم و تخلفات هستیم یا گره کار را باید در جای دیگری جست.

 

قطعه گمشده پازل رمز پویا

هفته گذشته بالاخره مهلت بانک مرکزی به بانک‌‌ها و موسسات مالی اعتباری بابت باطل کردن رمزهای ایستا و فعال‌سازی رمز دوم پویا یا همان یک بار مصرف به پایان رسید و در حالی که تصور آن می‌‌رفت با توجه به اینکه فرصت بانک مرکزی یک بار در خرداد سال جاری به اتمام رسیده است و به همین منظور فرصت ارایه داده شده به مشتریان و در واقع بانک‌‌ها دیگر تکرار نمی‌‌شود و اول دی ماه آخرین فرصت برای دریافت رمزهای یک بار مصرف خواهد بود، این بخش‌نامه بار دیگر تمدید شد.

اطلاعیه ششم بانک مرکزی در مورد رمز دوم پویا که به شکل دوپهلویی زمان دریافت رمزهای پویا را باز گذاشته است حاکی از آن است که از ابتدای دی‌ماه با اعمال تغییرات لازم در درگاه‌های پرداخت اینترنتی، امکان درخواست رمز دوم پویا و دریافت آن از طریق پیامک به تدریج و طی چند روز برای مشتریان بانک‌های مختلف فراهم خواهد شد.

گرچه رمزهای پویا نقش بسزایی در تامین امنیت تراکنش‌‌های بانکی اینترنتی فراهم می‌‌کنند، اما با چالش‌‌هایی نظیر داشتن اعتبار 60 ثانیه‌‌ای و مسدودی کارت بانکی در صورت سه بار اشتباه وارد کردن رمز، هوشمند نبودن تلفن‌های همراه برخی از مشتریان بانک‌‌ها و ناتوانی بانک‌ها در فراهم کردن زیرساخت‌ها مواجهند.

اما اگر دلیل عدم استقبال مردم از رمزهای پویا را آسیب‌‌شناسی کنیم به یک چیز ختم می‌‌شود: فرهنگ‌سازی.

بر اساس این گزارش در سراسر خیابان‌‌ها و بزرگراه‌‌های شهر شاهد بیلبوردهایی از بانک‌‌های مختلف بوده‌‌ایم. حتی مشاهده شده است که برخی از بانک‌‌های دولتی نیز به‌طور جسته و گریخته تبلیغاتی براي کشاندن مردم به شعب به منظور فعال‌سازی رمز دوم کرده‌‌اند. اما غفلت آنها از نقش فرهنگ‌سازی صحیح و ترویج کاربردی استفاده از رمزهای پویا و همچنین پافشاری بر استفاده از روش‌‌های سنتی و استفاده از تبلیغات مستقیم باعث شد تا پروژه رمزهای پویا علی‌‌رغم اینکه می‌‌تواند گامی موثر براي کاهش حملات فیشینگ و تامین امنیت بانکداری الکترونیکی باشد، اما با عدم استقبال مشتریان حساب‌‌های بانکی رو‌‌به‌رو شود. گفتنی است در شهریور ماه 1397، بانک مرکزی بخش‌نامه‌‌ای را با عنوان الزامات رمزهای پویا در تراکنش‌های مبتنی بر کارت صادر کرد که طی آن مقرر شد، از دی ماه سال ۱۳۹۸، رمز‌های دوم ثابت از کارت‌های بانکی حذف شوند و خرید‌های اینترنتی و پرداخت‌های نیازمند رمز دوم، با استفاده از رمز دوم ثابت امکان‌پذیر نباشند. 

 

سایه‌‌های ایرانی اینترنت روسی

کمتر از یک ماه از اجباری شدن نصب اپلیکیشن‌‌های روسی روی محصولات دیجیتال و هوشمند نظیر گوشی‌ها، تلویزیون‌ها و رایانه‌ها می‌‌گذرد. قانونی که توسط پارلمان روسیه تصویب شد و به امضای ولادیمیر پوتین رسید و طی آن مقرر شد فروش گوشی‌های هوشمند، تلویزیون‌ها و رایانه‌هایی که روی آنها فهرستی از اپلیکیشن‌های روسی به‌طور پیش‌فرض نصب نشده باشند، ممنوع شود.

در پی رویداد، هفته گذشته نیز الکسی سوکولوف، وزیر ارتباطات روسیه از آزمایش طرح اینترنت ملی در این کشور خبر داد. به گفته وی، هدف روسیه سرویس اینترنت بدون قطعی در تمام سرزمین و تحت هر شرایطی است. گرچه دولت روسیه هنوز جزییات فنی اینترنت ملی را فاش نکرده است اما تاکنون فقط مشخص شده دولت روسیه چند سناریو قطع اینترنت جهانی را آزمایش کرده که حمله سایبری بزرگ از یک کشور خارجی یکی از این سناریوهاست.

اما چرا به این خبر در ICT ایرانی پرداختیم؟ به دلیل اینکه هفته گذشته مرکز ملی فضای مجازی از تدوین سند جداسازی اینترنت عمومی و اینترنت کودکان خبر داد. گرچه هدف از این سند، ایجاد اینترنت مستقل از اینترنت عمومی برای کودکان عنوان شده است و تولید محتوای گسترده‌ای مخصوص کودکان و نوجوانان در فضای اینترنت را دنبال می‌کند، اما نگرانی‌‌هایی را نیز به همراه دارد. به اعتقاد کارشناسان، ایجاد اینترنت مستقل برای گروه سنی کودکان و نوجوانان طرح پرهزینه‌‌ای است که سال‌‌ها در کشور پیگیری می‌‌شود. طرحی که حتی در موارد موفق پیاده شده در کشورهای پیشرفته نیز با مشکلات بسیاری همراه است. اما با توجه به طرح این موضوع در شرایطی که مردم در ترس و واهمه از قطعی دوباره اینترنت و جداسازی آن از اینترنت جهانی به سر می‌‌برند و در کشور دوست و همسایه روسیه نیز اجرای اینترنت ملی از زمزمه فراتر رفته و به اجرای به ظاهر آزمایشی رسیده است، پیش کشیدن جداسازی اینترنت برای کودکان شاید زمینه‌‌ای برای تفکیک اینترنت و اقدامات ناگفته دیگر، برای همگان باشد.