تصور دقیقی از امضای الکترونیکی وجود ندارد

به گزارش پیوست، امیر اصغری، مشاور دبیر شورای اجرایی فناوری اطلاعات و برگزارکننده رویداد در ابتدا اعلام کرد که فناوری و اطلاعات نیازمند اطلاع‌رسانی و آگاهی‌رسانی است. او در مورد آگاهی کم جامعه در مورد امضاهای الکترونیکی گفت: «بیش از ۹۰ درصد مخاطبان وقتی صحبت از امضای الکترونیکی می‌شود، تصویر امضا را متصور می‌شوند. فرقی هم ندارد که مخاطب وزارت علوم، وزارت صمت یا جهاد کشاورزی یا هر سازمان و ارگان و نهاد دیگری باشد.»

اصغری در خصوص بیگانگی مدیران عالی رتبه با تکنولوژی و استفاده درست از آن، اعلام کرد: «برخی از مدیران وزارت علوم ما را به فشار آوردن روی دانشگاه‌ها و وزارتخانه برای استفاده از تکنولوژی‌های روز دنیا متهم می‌کنند و می‌گویند هضم تکنولوژی‌های روز دنیا برای دستگاه‌ها و دانشگاه‌ها سخت است. درحالی که تکنولوژی امضای الکترونیکی نزدیک به ۱۷ سال فقط در قانون کشور آمده و در مورد آن بحث شده است.»

دولت باید پیشقدم شود

بهنام ولی‌زاده، معاون دولت الکترونیکی سازمان فناوری اطلاعات ایران، در خصوص مشکلات موجود بر سر راه امضای الکترونیکی گفت: «دو دلیل برای فراگیر نشدن امضا وجود دارد. دلیل اول آن که فرهنگ‌سازی درستی در این زمینه نشده و فرهنگ استفاده از امضای الکترونیکی در کشور وجود ندارد. دلیل دوم هم اشکال‌های مرکز صدور گواهی است. به این دلیل که مراکز میانی مختلفی وجود دارد که گواهی امضاهای گوناگونی صادر می‌کنند اما این امضاها در بعضی سازمان‌ها قابل ارائه است ولی در جاهای دیگر اعتبار و ارزش ندارد.»

به گفته ولی‌زاده، نامه‌های عادی مکاتباتی در دستگاه‌های اداری کشور امضای الکتریکی ندارد چه برسد به قراردادها و فرم‌های اشتراک که حساسیت بیشتری دارند. او معتقد است تا زمانی که دولت برای استفاده از امضای الکترونیکی دستگاه‌ها و ادارات را الزام نکند این کار پیش نمی‌رود. او افزود: «قانون امضای دیجیتال ما ۱۷ سال پیش ثبت شده اما تنها کاری که در این مدت کردیم ایجاد مراکز میانی بوده است.»

یا ممنوع یا آزاد

مرتضی ترک تبریزی، دبیر کارگروه احراز هویت بانک مرکزی معتقد است سال ۹۹ به دلیل شیوع کرونا، فرصت مناسبی برای پیشبرد موضوع مهم امضای الکترونیکی به وجود آورد. او اعلام کرد با وجود ایجاد چنین فرصتی، اما متاسفانه با گذشت یک سال، هنوز موفق به این کار نشده‌ایم.

به گفته تبریزی، کارگروه بانکداری دیجیتال بانک مرکزی اردیبهشت ماه امسال تشکیل شد و یکی از زیر کارگروه‌ها مربوط به احراز هویت بود که سعی شد یک سند بالا دستی برای بانک‌ها تنظیم شود تا بانک‌ها بتوانند با خیال راحت به موضوع احراز هویت بپردازند. آنطور که تبریزی توضیح داد برای تنظیم این سند به مراجع مختلفی نظیر قوه‌قضائیه، دادگستری و پلیس فتا مراجعه شده و از فعالان حوزه بانکی، PSPها و کارشناسان مختلفی برای تنظیم این سند استفاده شده است.

تبریزی معتقد است در کشور ما یا به‌طور کل جلوی انجام یک فرآیند گرفته می‌شود و یا به‌طور کامل فرآیند آزاد گذاشته می‌شود اما در این سند احراز هویت Risk-Base تنظیم شده به‌صورتی که برای مشتریان بانک‌ها حساسیت کمتری وجود دارد و برای مشتریانی که اولین بار احراز هویت می‌شوند، مدارک و مشخصات کامل و دقیق دریافت می‌شود. به گفته او یکی از موارد این سند تدوین الزامات و سیاست‌های به کار گیری از امضای الکترونیکی به عنوان یک عنصر احراز هویت و همچنین به منظور استنادپذیر بودن اسناد و قراردادهای بین بانک و مشتری بوده است.

آنطور که تبریزی اعلام کرد این سند در حال حاضر برای بررسی در دستور کار شورای عالی مبارزه باپول‌شویی است و پس از تایید توسط بانک مرکزی به عنوان سند بالادستی به بانک‌ها ابلاغ می‌شود.

مشکل امضا یک موضوع تکنولوژیک است

عطالله ملکی‌تبار، رئیس مرکز فناوری اطلاعات، ارتباطات و امنیت نهاد ریاست جمهوری در خصوص اهمیت فراگیری امضای دیجیتال گفت:‌ «امضای دیجیتال باعث ایجاد، شفافیت، عدم نیاز به مراجعات حضوری و در نتیجه کاهش حمل‌ونقل و کاهش بروکراسی اداری می‌شود.»

به گفته ملکی‌تبار بخش دیگری از مشکلات موجود بر سر راه امضای دیجیتال بخش تکنولوژیک است. او در این زمینه توضیح داد: «سازمان توسعه تجارت الکترونیکی همچنان روی توکن پافشاری دارد و  سازمان ثبت احوال روی کارت هوشمند و چیپست پافشاری می‌کند. همچنین M-Government از مدت‌ها پیش باید راه می‌افتاده اما هنوز نمی‌توان یک فرم Json در قالب PDF را با موبایل امضا کرد.»

او افزود: «امضای ابری هم از تکنولوژی‌های جدیدی است که می‌توانیم از آن استفاده کنیم اما هنوز توجهی به آن نکردیم. همه‌گیر شدن امضاهای دیجیتال از هدر رفتن جوهر، کاغذ، پیک و بسیاری موارد دیگر مانند آلودگی هوا جلوگیری می‌کند.»

ملکی‌تبار در پایان صحبت‌هایش اعلام کرد: «سیاستمداران و اعضای شورای عالی فضای مجازی باید نسبت به استنادپذیری امضای الکترونیکی حس پیدا کنند. اگر آن‌ها این حس را پیدا نکرده‌اند ما نتوانستیم درست عمل کنیم و نیاز‌ها را برای آن‌ها تشریح کنیم.» او افزود: «از لحاظ تکنولوژیک باید تصمیم‌گیری و مدیای خود را انتخاب کنیم و باید کاری کنیم که امضاهای مختلف در کشور گواهی بشوند.»

همه دنبال امضای خودشان هستند

مقصود عباسپور، مدیرکل فناوری اطلاعات وزارت علوم، تحقیقات و فناوری، بزرگ‌ترین چالش پیش روی امضاهای الکترونیکی را چالش مدیریتی عنوان کرد و گفت: «طرح‌هایی مانند دولت الکترونیکی و امنیت به دلیل هزینه‌بر بودن، باید به‌صورت متمرکز انجام شود.»

عباسپور معتقد است همانطور که وزارتخانه‌ها هر کدام چندین و چند دیتاسنتر دارند درصورتی که شاید دو دیتاسنتر استاندارد برای همه وزارتخانه‌ها کافی باشد در بخش دولتی نیز در بحث امضای دیجیتال هر کسی می‌خواهد برای خود صدور گواهی کند. به گفته عباسپور در حال حاضر در بخش دولتی فقط از سوی دبیر شورای اجرایی فناوری اطلاعات کشور امضای دیجیتال دریافت می‌شود که آن هم به دلیل نبود زیرساخت لازم، قابل تایید (Verifiable) نیست.

آنطور که عباسپور اعلام کرد، یکی دیگر از مشکلات موجود، عدم شناسایی و دسته‌بندی داده‌ها توسط دولت است. او در این باره توضیح داد: «داده‌ها شناسایی نشده‌اند، داده‌های اصلی و فرعی تفکیک نیست و ارزش‌ آن‌ها مشخص نشده است. بسیاری از داده‌های دولتی در قالب فایل اکسل‌ داخل لپ‌‌تاپ کارمندان است.» او افزود: «نبود سند امنیت اطلاعات مشخص، نبود سیاست‌های امنیتی درست، آنلالیز نشدن ریسک داده‌های طبقه‌بندی نشده و عدم درک درست مدیران ارشد سازمان‌ها از اصلی‌ترین مشکلات موجود بر سر راه فراگیری امضاهای الکترونیکی است.»

مدیرکل فناوری اطلاعات وزارت عتف، در مورد سایر مشکلات موجود که از سمت دولت و حاکمیت وجود دارد گفت: «قوانین رگولاتوری در دولت بخصوص در حوزه آموزش عالی وجود ندارد. رمزنگاری جایگاهی در داده‌های دولتی ندارد در صورتی که بسیاری از داده‌های ما اطلاعات جدی و مهم هستند.»

هنوز دعوا بر سر تک ریشه‌ای یا کثرت آن است

عباس خداوردی، معاون فناوری اطلاعات مرکز اسناد هویتی ایران و شرکت متیران اعلام کرد: «قانون امضای الکترونیکی در سال ۸۲ وضع شده و هنوز پس از ۱۷ سال دعوا بر سر یکی بودن یا کثرت مرکز ریشه است.»

خداوردی بزرگ‌ترین چالش بر سر راه فراگیری امضای الکترونیکی را واگرایی عنوان کرد و توضیح داد:‌ «از همان سال‌های ابتدا بحث Trust Domain تجارت الکترونیکی مطرح شد و پس از آن بحث Trust Domain بانکی و چندی بعد بحث Trust Domain Identity پیش آمد.» او افزود: «گذرنامه الکترونیکی با استانداردهای بین‌المللی و کارت ملی هوشمند با استاندارد‌های بومی نمی‌توانستند در بطن قانون تجارت الکترونیکی قرار بگیرند.» او ادامه داد: «همه این‌ها در حالی است که وزرات بازرگانی وقت توان و ظرفیت پاسخگویی نداشت.»

خداوردی معتقد است در این زمینه باید قانون جدیدی تحت عنوان اعتماد الکترونیکی با حضور همه نخبگان و فعالان این حوزه تدوین شود. قانونی مستقل که زیرمجموعه قانون تجارت الکترونیکی و قانون آیین دادرسی الکترونیکی نباشد.

به گفته خداوردی یک مشکل بین‌المللی هم از همان سال ۸۲ وجود دارد که هنوز هم پابرجاست. آن هم اینکه اگر بتوانیم Trusty Cognition را در Trust Domainهای داخلی را بپذیریم خیلی راحت نمی‌توانیم  این کار را با Trust Domainهای خارجی انجام دهیم.

آنطور که خداوردی توضیح داد بخش واگرایی باعث شده تا در بحث بین‌الملل حرفی برای ارائه نداشته باشیم. او در این زمینه گفت: «اگر گوشی اندرویدی را نگاه کنید حدود ۱۵۰ گواهی از پیش تعریف شده روی این گوشی‌ها وجود دارد. جدای از این که که دولت و حاکمیت نظارتی روی آن‌ها ندارند، برخی از آنها متعلق به کشور‌هایی مانند اسرائیل و بخش قابل توجهی حتی متعلق به ترکیه است.»

او در ادامه به بحث امنیت نیز ورود و اعلام کرد: «اگر چه در ارائه خدمات سمت مشتری موفق نبودیم اما در ارائه خدمات به سمت کسب‌وکار‌ها موفق بودیم. نمونه آن‌ هم این همه سایتی که گواهی SSL‌ دارند.» او مشکلی که این گواهی‌های SSL دارند را عدم بررسی گواهی‌ها برای دارا بودن اهداف SSL و عدم بررسی تطبیق این گواهی‌ها با قوانین داخلی و مشخص نبودن مراکز ریشه یا میانی ارائه‌دهنده عنوان کرد که به دلیل نبود متولی در کشور به اینجا رسیده است.

بخش خصوصی نیازمند امضای دیجیتال است

کیوان ارج، مدیرعامل شرکت توسعه نوین همراه کیش با اعلام این که بخش قابل توجهی از پروژه‌های بزرگ، مانند کارت به کارت یا رمز یک بار مصرف، با زیرساخت‌هایی که حاکمیت به وجود آورده با کمک بخش خصوصی انجام شده عنوان کرد: «کسب‌وکار‌ها به زیرساخت کلید عمومی به شدت نیازمندند و اگر این نیاز به درستی درک نشده نیازمند آموزش و فرهنگ‌سازی است که بخش خصوصی هم می‌تواند نقش قابل توجهی در این زمینه ایفا کند.»

او معتقد است اگر سازمان‌ها و ارگان‌های بالادستی کشور نظیر بانک‌مرکزی، قوه‌قضائیه، وزارت صمت و سازمان ثبت احوال در یک همگرایی به نتیجه واحدی دست پیدا کنند و اجازه دهند که این زیرساخت در کشور به‌طور محکم و پایدار راه‌اندازی شود، راهکار‌ها و محصولات متنوع و امنی می‌تواند به بازار عرضه شود.

محمد صبری، دبیر علمی رویداد سالیانه FaceCup، با اشاره به این که تا به اینجای کار در مورد اهمیت امضای الکترونیکی در حفاظت از اطلاعات، بحث رگولاتوری حاکمیت و Use-Case Modeling مطرح شده از اهمیت جنبه فرهنگی و آموزشی آن صحبت کرد و گفت: «تا به اینجای کار در مورد اهمیت حافظت اطلاعات سازمان‌ها و نهاد‌های بزرگ صحبت شد اما از اهمیت امضای دیجیتال در کسب‌وکار‌های کوچک صحبتی نشد.» او در این زمینه با استناد به آمار انجمن certified fraud examiner اعلام کرد: «سازمان‌ها به‌طور متوسط ۵ درصد از درآمد خود را به دلایل کلاه‌برداری و جعل داخلی از دست می‌دهند. نصفی از این سازمان‌ها در طول حیات خود متوجه این که مورد سواستفاده قرار گرفته‌اند نمی‌شوند.» او افزود: «نکته بسیار مهم این که سازمان‌های کوچک ۲۸ درصد بیشتر مورد این سواستفاده‌ها قرار می‌گیرند.»

صبری با اعلام این که در حوزه آی‌تی، کل مشاغل دیجیتال درگیر لو رفتن اطلاعات و کلاه‌برداری‌های داده‌محور هستند، وجود Digital Signature Solution برای کمک به این حوزه را الزامی دانست.

اشتراک گذاری حس خوب می‌تواند کمک کننده باشد

نیما شمساپور، مدیرعامل شرکت UID با موضوع اهمیت آموزش و اجبار حاکمیتی برای فراگیری امضای الکترونیکی که توسط دیگر حاضرین مطرح شد مخالفت کرد و توضیح داد: «زمان احراز هویت سجام، از بین ۲۰۰ هزار احراز هویتی که در روز انجام می‌شد، حدود ۱۰۰ هزار مورد غیرحضوری ثبت می‌شد درحالی که خیلی هم آموزش و بودجه دولتی پشت آن نبود.»

شمساپور با اشاره به دلایل فراگیر شدن یک موضوع جدید اعلام کرد:‌ « اشتراک‌گذاری یک حس خوب یکی از مهم‌ترین عوامل در فراگیری هر چیز جدیدی است. اگر امضای الکترونیکی تا به حال فراگیر نشده یکی از علت‌های آن حس بدی بوده که از شکل استفاده از آن به وجود آمده.» شمساپور «نشانه» را به عنوان یکی دیگر از عوامل فراگیری مطرح کرد و گفت: «شاید در ۱۷ سال گذشته نشانه‌ای برای فراگیری امضای دیجیتال وجود نداشته اما امروزه کرونا همان نشانه‌ای است که می‌تواند به این فراگیری کمک کند.»

مدیرعامل شرکت UID پیشنهاد داد که اگر امضای دیجیتال روی گوشی‌های موبایل امکان‌پذیر شود و به لحاظ فنی، اجرایی، رابط کاربری و تجربه کاربری، حس خوبی را برای کاربر به همراه داشته باشد می‌توان به فراگیری آن امیدوار بود.

امیر قاصر، رئیس هیات‌مدیره شرکت گرایش تازه کیش، مشکل اصلی فراگیر نشدن امضای الکترونیکی را وجود نقصان در قوانین کشور عنوان کرد و گفت: «نبود چارچوب قانونی مشخص باعث شده تا دستگاه‌های مختلف هر کدام در نقش یک قانون‌گذار ظاهر شوند و هر کدام تلاش کنند تا قدرت بیشتری را به رخ دیگری بکشند. اولین کاری هم که در این مسیر انجام می‌دهند این است که قانون مصوب را کنار گذاشته و به دنبال ساخت مجدد چرخ هستند.» قاصر ابراز امیدواری کرد که در سال آینده با یک همگرایی، مراکز میانی بتوانند با یکدیگر همپوشانی داشته باشند تا آنچه که به عنوان مرکز ریشه در حال حاضر وجود دارد را به بضاعت و تکامل برسانیم.