در این نشست باقری با اشاره به سه دسته فاکتورهای احراز هویت شامل «فاکتورهای دانستنی» که مهمترین و رایج ترینشان یوزر پسورد است، «فاکتورهای مالکیتی» مانند او.تی.پی و توکن و «فاکتورهای ذاتی» که کاملاً به فرد چسبیده اند مانند پارامترهای بیومتریک صورت، اثر انگشت و یا صدای افراد، از ضرورت پرداختن به مفهوم جدید احراز هویت سخن گفت. حکمت به شروع احراز هویت و ارائه خدمات غیرحضوری در بانک اشاره کرد و یادآور شد که این زنجیره ارزشی در نوع خود تجربه ای موفق بود که پازل آن بهتدریج کامل شد تا در نهایت بتوانیم به مشتری بگوییم که میتواند بدون حضور در بانک تسهیلات دریافت کند و خوشحالیم که این مسیر ادامه پیدا کرد و امروز این اتفاق، به عنوان نیاز و مطالبه خواسته می شود. مافی با اشاره به سرمایهگذاری شرکت پارت در این حوزه، گفت: ما در سال ۱۳۹۶ وقتی خواستیم وارد حوزه هوش مصنوعی شویم، عملاْ در بخش سختافزار هیچ امکانی در کشور برای انجام پردازشهای سنگین مورد نیاز وجود نداشت. در نتیجه تصمیم گرفتیم در این حوزه سرمایهگذاری کنیم و قویترین اپ.پی.سی ایران را به نام شهاب راهاندازی کردیم. پورحسن با بیان تاریخچه امضای الکترونیک و اهمیت آن، از سازمانهای بالادستی خواست مانند مرکز ریشه دولتی موضوع انحصار را کنترل کنند و اجازه دهند شرکتهای دانشمحور فعال در حوزههای مختلف سرمایهگذاری در بازار ریشه غیربانکی نیز حضور داشته باشند و همچنین در تعرفه و سهم بندی این حوزه نیز تجدید نظر کنند. گزارش مشروح این نشست را میخوانید.
باقری: مفهوم جدید احراز هویت
آغاز پاندمی کرونا در همه دنیا مانند کشور ما آمیخته با تحولاتی بود که علاوه بر تغییر سبک زندگی مردم، بخشی از ساختارهای مدیریت اجتماعی هم تحت تاثیر آن قرار گرفت. در کشور ما این اتفاق یک ویژگی خاص هم داشت، یعنی آغاز کرونا با آغاز اوج گیری بورس در کشور همزمان بود. در آن زمان مردم عادی برای گرفتن کد سجام صف های خیلی طویل تشکیل دادند؛ همان چیزی که قبلاً خیلی تجربه نشده بود. از یک طرف دستورالعمل های بهداشتی اجازه نمی داد هیچ صفی تشکیل بشود و تجمعی صورت بگیرد و از طرف دیگر هم دستورالعمل های مالی بانکی اجازه نمی داد که بدون داشتن احراز هویت مطمئن به کاربران اجازه دهیم به سامانه های معاملاتی دسترسی داشته باشند. در اینجا احراز هویت صورت گرفت؛ البته احراز هویت به مفهوم خیلی جدید. چرا این مفهوم را جدید می نامیم؟ آیا ما سابق بر این در کشورمان احراز هویت نداشتیم؟ چرا، ما در کشورمان احراز هویت داشتیم؛ اما اینجا درباره مفهوم جدیدی از احراز هویت صحبت می کنیم. در واقع مسئله جدید، این مفهوم جدید را برای ما به وجود آورد. برای مرور این مفهوم جدید، اجازه می خواهم مقدمه ای عرض کنم و مجدداً به اصل موضوع باز گردم.
احراز هویت به لحاظ فاکتورهای احرازی به سه بخش کلی تقسیم می شود؛ دسته اول فاکتورهای دانستنی هستند که مهمترین و رایج ترینشان یوزر پسورد هستند این بدن معناست که با دانشی در درون ذهن شما هویت احراز می شود. دسته دوم فاکتورهای مالکیتی هستند که همه ما با او.تی.پی و توکن و کارت بانکی آشنا هستیم. ممکن است ما چیزی را تحت مالکیت داشته باشیم که هنگام مالکیت احراز هویت صورت گرفته است و زمانی که آن دستگاه را احراز کنیم، فرض کنیم که فرد را احراز هویت کرده ایم. دسته سوم نیز فاکتورهای ذاتی هستند؛ فاکتورهایی که کاملاً به فرد چسبیده اند مانند پارامترهای بیومتریک صورت، اثر انگشت و یا صدای افراد. موضوع ما این بود که صفی تشکیل شده و نیاز جدیدی برای احراز هویت به وجود آمده بود. این نیاز خیلی جدید و با تعداد خیلی بالا بود؛ نیازی خیلی اساسی که لازم بود کاربر خود را بشناسد. از طرف دیگر کاربر ما به صورت فیزیکی در دسترس ما نبود و مجبور بودیم کاربر را از راه دور احراز کنیم. البته مسئله زمان هم برای ما مسئله ای جدی محسوب می شد، چرا که ما می دانستیم که با کاربران میلیونی طرفیم و این کاربران میلیونی باید در زمان معقول به نتیجه برسند. من می خواهم در اینجا به لحاظ ترمینولوژیک با همدیگر به تفاهمی برسیم. به عنوان کسی که کم و بیش در این چند سال درگیر تجربه تعریف احراز هویت بوده است، به یاد دارم که با مجموع های نسبتاً دولتی صحبت می کردیم و ادعا می کردند ما ۴۰ میلیون احراز هویت در سال انجام می دهیم.
تعریف ما از اختصار احراز یا احراز هویت، کلمه ای نیست جز احراز هویت بیومتریک از راه دور مبتنی بر هوش مصنوعی است. ما هر جا از کلمه احراز هویت صحبت می کنیم، قطعاً منظور ما این عبارت است و البته به روش های دیگر احراز چندان کاری نداریم. مفهوم جدید احراز هویت در کشور، که اوایل سال ۱۳۹۹ شکل می گرفت، زیست بومی را تشکیل می داد که باید هم می توانست مسئله احراز هویت را با زیست بوم جدید در کشور راه اندازی کند و هم شکل زیست بوم متضمن این موضوع باشد که این زیست بوم رشد و توسعه خواهد یافت. در گام اول شکل گیری این زیست بوم، نقش اول را بخش خصوصی با آوردن فناوری، زیرساخت، تعریف مسئله و البته تعریف راهکار ایفا کرد. در حال حاضر هم این وظیفه اساسی برعهده بخش خصوصی است که بتواند سامانه خوب با پارامترهای قابل اعتماد تولید و البته پشتیبانی کند. مشخصاً دومین رکن این زیست بوم، حاکمیت در نقش تنظیم گر است که امیدواریم این اتفاق جدی تر رخ دهد. ما توقع داریم حاکمیت در نقش رگولاتور کار تعریف قانون، تدوین دستورالعمل و البته تامین داده ایفا کند که خدا را شکر تا حدی این اتفاق ها افتاده است و این توقع هست که حاکمیت نقش رگولاتوری را جدی تر برعهده بگیرد. البته بخش آخر که در همه فناوری ها نقش پُررنگی دارد، صنعت است. صنعت باید بتواند با آوردن تمام ظرفیت های خود از فناوری به نفع مردم و مشتریان خود استفاده کند. این اجزای زیست بوم احراز است.
حکمت: طی کردن مسیر با کمک فناوری
باتوجه به اینکه ما نماینده بانکی هستیم که احراز هویت و خدمات غیرحضوری را در بعضی از حوزه ها شروع کرده و در بخش هایی هم پیشرو بوده است. البته از ابتدا نمی خواستیم احراز هویت کنیم، بلکه می خواستیم شمولیت مالی داشته باشیم و قرار هم نبود مانند تمام بانک های سنتی همه جا شعبه بزنیم، با همان مدل سنتی کار کنیم و خدمات را به شکل حضوری ارائه دهیم. عملاْ از احراز هویت، افتتاح حساب و یک سری خدمات بانکداری مجازی شروع کردیم. شبکه بانکی تا قبل از این، خدمات بانکداری مجازی را به نوعی در حد یک سری خدمات روتین شده ارائه می داد، ولی حلقه مفقوده ارتباط غیرحضوری مشتری با بانک ها احراز هویت بود که آن هم به فرآیند غیرحضوری تبدیل بشود. در روزهای ابتدایی بعد از جلسات سنگین با بانک ها و قانونگذاران توانستیم این مسیر را با ایرادهایی که به آن وارد بود، پیش ببریم و تا حدودی فکر می کنیم موفق بودیم. به تبع هم بانک ها و هم نئوبانک ها تقریباً این مسیر را تا امروز ادامه دادند و فضای جدیدی را در بحث بانکداری در کشور توانسته این موضوع ایجاد کند. ما در مجموعه خودمان این مسیر را ادامه دادیم تا مشتریان با برخورداری از خدمات بانکداری مرکزی، احراز هویت و افتتاح حساب، در انتها بتوانند از صفر تا صد کار دریافت تسهیلات را غیرحضوری در سیستم بانکی به انجام برسانند. این زنجیره ارزشی بود که در نوع خود تبدیل به تجربه ای موفق شد. پازل این تجربه تکه تکه کامل شد، تا به این نقطه رسیدیم که توانستیم در نهایت بگوییم که بعد از احراز هویت و افتتاح حساب و کار با حساب، به مشتری بگوییم که بدون حضور در بانک می تواند تسهیلات دریافت کند. البته خوشحالیم که این مسیر در خیلی از بانک ها ادامه پیدا کرده است و امروز شاهدیم وقتی در بعضی جاها این اتفاق نمی افتد، به عنوان نیاز درخواست می شود. اگر از دید بانک بخواهیم به موضوع خدمات بانکی علی الخصوص در فضای سایبری نگاه کنیم، مشتری همه چیز است، یعنی از دید بانک ها به عنوان سرویس فرووایدر، مشتری همه چیز بانک است و عملاْ چالش هایی که علی الخصوص در این روزها مقداری هم پُر رنگتر شده، بحث امنیت سایبری است.
بخشی از خدماتی که ارائه می دهیم متناسب با دانش افراد در سطح جامعه متفاوت است و کاربران استفاده کننده از این خدمات در بستر عمومی، ممکن است با ریسک های بزرگی مواجه باشند. مثلاً امکان کلاهبرداری، جعل هویت و نقض حریم خصوصی وجود دارد و این امر می تواند چالش بزرگی برای بهره برداران و کاربران نهایی ایجاد کند. چالش دیگر هم فارغ از اینکه بخواهیم از دید کاربران نگاه کنیم ذاتاً خدماتی که در عرصه عمومی بر روی بسترهای عمومی ارائه می شود، آسیب پذیرند و اگر این آسیب پذیری احصا نشود، می تواند باعث سرقت اطلاعات شود. مسئله جدی و از مواردی است که هنوز هم مجموع های نمی تواند ادعا کند که ما در این حوزه خوب و مطمئن هستیم و بدون مشکل می توانیم این مسیر را ادامه دهیم. در این زمینه باید بیشتر کار کنیم و باید از این بعد جدی تر به این موضوع توجه کنیم. ما در این حوزه افق و دورنمای روشنی هم داریم. یعنی هرچند این موضوع در کشور و در روابط بین سازمان هایمان جدید است، ولی اتفاقاتی هم در کشور می افتد که امیدوار کننده هستند. اخیراً دستورالعمل بانک مرکزی آمد و احراز هویت را بازتعریف کرد. همینطور بحث داشتنی ها و دانستنی ها که مطرح شد در تراکنش ها اهمیت دارد. در تعرفه گذاری های ابتدای امسال، رد پذیرش خدمات حضوری دیده می شود و این نشان می دهد که در حوزه بانک مرکزی دوستان و همکاران ما به طور جدی به این حوزه فکر می کنند و حتماً تاثیر خود را می گذارند.
خیلی ها فکر نمی کردند که قوه قضاییه، راحت احراز هویت غیرحضوری را قبول کند، این کار غیرحضوری شود و بخشی از خدمات را بعد از انجام احراز در بسترهای آنلاین ارائه دهد. در صنعت، بورس اوراق بهادار در شمار پیشروها بود و بخش ریل گذاری بسیار مهمی را انجام داد. در چند سال اخیر، فناوری خیلی به این موضوع کمک کرده است. ذات فناوری باعث شده که ما بتوانیم مسیرمان را راحت تر برویم. ما وقتی که به فرآیند فکر می کنیم، احراز هویت و مراحل سنتی به ذهن ما می آید که سند یا کارتی را ببینم و خود شخص را دقیق نگاه کنیم. روزهای ابتدایی که سیستم احراز هویت را راه انداخته بودیم هوش مصنوعی ابزار کمکی ما بود، اپراتورهای شعبه مجازی ما و همکارانمان دبل چک می کردند و نگاه می کردیم دوستی در هر نقطه ای از کشور لباس خانگی پوشیده است و به راحتی عکس از خود گرفته است و این موارد فضای فان و البته گاهی اوقات چالش به وجود می آورد، چون نمی شد به پارامترهایی برسیم که باید به آن ها می رسیدیم. ولی فناوری و علی الخصوص هوش مصنوعی آنقدر توسعه پیدا کرده که خیلی کارها را می توانیم به آن بسپریم و بنشینیم غلط گیری کنیم و ببینیم کجا بهتر و کم خطاتر از انسان عمل می کند تا راحت تر به آن اتکا کنیم و مسیرمان را ادامه بدهیم. ما یک سری فرایند داریم، در این فرایند یکی از چالش هایمان قوانین، مقررات و حمایت بانک مرکزی است که باید با فرایند روشنی روبه رو باشیم که عملاً خط کش و ریل همه ما در این حوزه باشد. چالش دیگر لزوم دستیابی به بلوغ فرایندی در این زمینه است که برای رسیدن به آن لازم است سازمان های مرتبط کمک کنند.
وحید مافی: نقش بخش خصوصی در احراز هویت غیرحضوری
من سخنم را با طرح یک سوال آغاز می کنم. سه شرکت داریم که می خواهند خدمت یا محصولی را عیناً، ولی به سه طریق مختلف به شما عرضه کنند. یک نفر از آن ها از شما خواهش می کند که لطفاً به دفتر ما در فلان جای شهر تشریف بیاورید تا ما شما را ببینیم، تصویر مدارک تان را بگیریم، آن ها را با اصل مطابقت بدهیم و با شما قرار داد ببندیم و… نفر دوم می گوید لطفاً زحمتی بکشید و بنویسید من می خواهم فلان خدمت را از فلان مؤسسه دریافت کنم و بر روی این کاغذ اثر انگشت و امضا بزنید و مدارک هویتی خود را بچسبانید و به شکل عجیب و غریبی مقابل خودتان بگیرید و از آن عکس سلفی بگیرید. سناریوی سوم این است که شرکت از شما می خواهد که به اپلیکیشن یا وبسایت شرکت مراجعه کنید، احراز هویت آنلاین را در خانه خود انجام دهید و بلافاصله بعد از آن خدمت را دریافت کنید. لطفاً جواب بدهید کدام سناریو برای شما جذابتر است؟
ابتدا باید بگویم داستان شناخت مشتری، همیشه وجود داشته است؛ چه مشتری حقیقی با نام کی.وای.سی و چه مشتری حقوقی با عنوان کی.وای.بی که البته شاید مورد دوم کمتر شناخته شده باشد، چرا که همیشه داستان تجارت و معامله وجود داشته است. شما وقتی می خواهید معامله کنید باید بدانید ترید خود را با چه کسی انجام می دهید و در قبال آن مسئولیت هایی بپذیرید. در این معامله برای شما به عنوان فروشنده و همچنین برای خریدار حقوقی مترتب می شود. در نتیجه برای اینکه ریسک خود را مدیریت کنید باید مشتری خود را دقیق شناسایی کنید. در گذشته مشتری چگونه شناسایی می شد؟ تا سالیان سال، مشتری صرفاً حضوری شناسایی می شد. در تمام دنیا برای اینکه خدمتی دریافت کنید، باید حضوری به دفتر بانک، کارگزاری یا صرافی مراجعه می کردید، همدیگر را می شناختید، مدارک شناسایی همدیگر را بررسی می کردید و خدمت را می گرفتید که با ورود اینترنت و محبوب شدن اینترنت در اواخر دهه ۱۹۹۰ میلادی و اوایل دهه ۲۰۰۰ که دات کام بابل را هم حتماً به یاد دارید. خب، شرکت های اینترنتی عملاْ نمی توانستند با روش قدیمی این کارها را انجام دهند، باید روش جدیدی برای خود پیدا می کردند و آن روش چیزی نبود جز اینکه از شما بخواهند مدرک شناسایی خود را آپلود کنید یا متنی بنویسید و امضا کنید. اما اگر میزان ریسکتان بالاتر بود، یا می خواستید معامله سنگین تری انجام دهید حتی جلسه اسکایپ آنلاین برای شما برگزار می کردند که بتوانند شما را وریفای کنند که چه کسی هستید؟ آیا همان کسی هستید که ادعا می کنید یا خیر؟
این عمل طبعاً خیلی هزینه بر و زمان بر است، اما راه حل بینابینی است که اگر بخواهیم صنعت را مثال بزنیم، شرکت هایی مانند ای.بی، پیپَل، آمازون و… این شرکت ها به این شیوه مراجعه و از آن استفاده کردند و بقیه هم فالوو کردند. پیشتر که رفتیم، تکنولوژی پیشرفت کرد، دیفمایند آمد، گوگل سرمایه گذاری سنگینی کرد و همه به پتانسیل هوش مصنوعی پی بردند. واقعه ای هم اتفاق افتاد که اینها باعث ایجاد فضایی شد که بتوان احراز هویت را کاملاً غیرحضوری، متکی بر ماشین، با هزینه کم، سرعت زیاد و دقت بالا انجام داد. این اتفاقات در سطح صنعت اتفاق افتاد. در سطح رگولاتور چه خبر بود؟ رگولاتور استراحت می کند، خیلی به خود زحمت نمی دهد، به کارهایی می پردازد که نان و آب بیشتری دارند و تا مشکل واقعی به وجود نیاید و فرصت خیلی جدی ایجاد نشود، وقت خود را به موضوع اختصاص نمی دهد و دیووت نمی کند، برای اینکه به آن عرصه وارد شود و قانونگذاری انجام دهد. بنابراین همه چیز حالت رها شده دارد تا زمانی که مسئله خاصی پیش بیاید و این کار فقط مربوط به کشور عزیزمان نیست، بلکه در همه جای دنیا به همین شکل است.
ایالات متحده از سال ۱۹۷۰ میلادی قوانین مرتبط با این حوزه شکل می گیرد و در سطح دنیا هم شاهد کنوانسیون های مختلفی هستیم مثلاً در آمریکا سیکریسی اکت می آید و بعد از آن، پس از ۱۱ سپتامبر پتری یوت اکت صادر می شود و نهایتاً چند سال قبل سی.دی.بی.دی رول تصویب می شود و به موازات آن هم اگر بخواهیم کنوانسیون های مختلف را در نظر بگیریم، نهایتاً کنوانسیون ها به چیزی میرسند که اکنون آنها را به نام اف.ای.تی.اف میشناسیم و برای ما خیلی ملموس هستند. کاری که قانونگذار انجام میدهد تبعاتی دارد. یعنی وقتی فضا را خاکستری نگه میدارد و ورود نمیکند، فضای نوآوری باز است و خیلی کارها را می شود انجام داد، اما وقتی ورود می کند و همه چیز را محدود می کند، به تبع آن فضای نوآوری تحت شعاع قرار می گیرد یا بعضاً بسته می شود و هزینههایی مترتب می شود. طبق گزارشهای تامسون رویترز در سال ۲۰۱۶ میلادی، در موسسات مالی آمریکایی، هرکدام از موسسات فایننس آمریکایی برای اداپت کردن خود با اتفاقات حوزه بالا دستی و قانونگذاری، بهطور متوسط سالیانه ۶۰ میلیون دلار هزینه می کنند.
وقتی در کشور خودمان شروع کردیم، فضایی داشتیم که قانونگذاری رگوله شده نبود و این امکان وجود داشت که شما می توانید احراز هویت غیرحضوری انجام دهید و یک سری احراز هویتهای غیرحضوری سناریوی دوم که کمی قبلتر به آن اشاره شد، در اکو سیستم انجام می شد و طبعاً در بازار سرمایه و بازار پول رگوله شده قابل استفاده نبود تا اینکه فضای فرصت ایجاد شد و شاهد اتفاقات بعدی بودیم. در این مدت تنها چیزی که ما داشتیم قوانین بینالمللی بود و یا به صورت خیلی دقیقتر دستورالعمل ماده 10 اف.ای.تی.اف بود که به این حوزه میپردازد.
در سطح شرکتهای فناور که وارد شویم یک مورد از آن ها شرکت پارت است و از این دست شرکتها در ایران کم نداریم. ما وقتی خواستیم با ترند دنیا پیش برویم، در سال ۱۳۹۶ تصمیم گرفتیم به صورت سنگین وارد حوزه هوش مصنوعی شویم. هوش مصنوعی ترکیبی از سختافزار و نرمافزار و علم (ساینس) است و باید به هرکدام از آن ها پرداخت. طبق بررسیها مشاهده کردیم که عملاْ در بخش سختافزار هیچ امکانی در کشور برای انجام پردازشهای سنگین اصلاً وجود ندارد. این امکانات سختافزاری را برای پردازشهای مبتنی بر جی.پی.یو نیاز داشتیم که در هوش مصنوعی برای پردازش تصویر و ویدیو و صوت کاربرد دارد. در نتیجه تصمیم گرفتیم در این حوزه سرمایه گذاری کنیم و قویترین اپ.پی.سی ایران را به نام شهاب در شرکت پارت راهاندازی کردیم که از لحاظ پردازشی با ۱۹هزار پراپبلاس نه تنها نیاز شرکت پارت را تامین کند، بلکه بتوانیم به شرکتهای دیگر هم در اکوسیستم هوش مصنوعی کشور خدمت ارائه کنیم. فضای علمی هوش مصنوعی را هم باید پوشش می دادیم. به هین دلیل آکادمی مربوط به این بخش را هم در شرکت پارت راهاندازی کردیم که اکنون بالغ بر ۱۵۰ نفر متخصص هوش مصنوعی در آنجا استخدام شدهاند و فعالیت میکنند که بر روی مدلها و دقتها و مسائلی از این دست کار می کنند و آر.اند.دی انجام می دهند. شما در محصولات پارت یا اکوسیستم بانکی و بورسی در کشور تعدادی از اینها را دیدهاید و خیلی از آن ها را هم انشاءالله خواهید دید.
و نکته آخر، همانطور که گفته شد در مقطعی که فشار از جهات مختلف به قانونگذار وارد شد، پذیرفت وارد این بازی شود، دستورالعمل و مصوبهای بگذراند که بگوید من این احراز هویت را قبول می کنم، چرا که تا قبل از آن مقطع حساس شما با هر کسی در کشور صحبت می کردید امکان نداشت چنین چیزی را قبول کند تا اینکه به مقطعی رسیدیم که آن را قبول کردند. ولی نکته کلیدی این بود که خود قانونگذار اصلاً به فکر نیست و آیندهنگری نمی کند و نمی بیند اگر می خواهد اتفاقاتی بیفتد و کشور به پیشرفتهای خاص و مایلستونهایی برسد، باید چیزهایی را آماده کند و تنظیمات نهادی داشته باشد. باید سرمایهگذاری کند، شرکتهایی را پشتیبانی کند که در کونومپهای پایین فعالند و چیزهایی را آر.اند.دی می کنند تا آمادگی عرضه محصولی را پیدا کنند. اگر نبود فورد کستی که خود شرکت پارت داشت و از سال ۱۳۹۶ سرمایه گذاری کرده بود، قطعاً زمانی که رگولاتور به آن دوران بحرانی رسید نمی توانست این سرویس را به سرعت بالا بیاورد. این مطالب نه فقط در مورد شرکت پارت بلکه درمورد شرکتهای دیگر هم صدق می کند، یعنی توانمندی بخش خصوصی کمک کرده است که این اتفاق بیفتد و انتظار میرود که رگولاتور در این زمینه بهتر عمل کند. اکنون که این اتفاق افتاده و یوزکیس این داستان را دیده است، در حوزههای دیگر نه فقط حوزههای بانکی و پولی و بورسی، بلکه در حوزه صنعتی هم به فکر باشد؛ حوزهای که کشور در این حوزه ترنوورهای خیلی بالایی دارد و آنجا هم ممکن است اتفاقاتی بی فتد که می تواند از الان توسط هوش مصنوعی و توانمندی اکو سیستم هوش مصنوعی اَدرس شود.
پورحسن: تاثیرگذاری احراز هویت بر فراگیری امضای دیجیتال
بنده می خواهم در ارتباط با امضای دیجیتال یا الکترونیک و تاثیرگذاری احراز هویت بر فراگیری امضای دیجیتال نکاتی عرض کنم. یکی، دو سال است که امضای دیجیتال برآورد زیادی در کشور داشته است و عملاْ کسب و کار موفقی است و رشد بسیار خوبی دارد. البته شروع آن با احراز هویت الکترونیک اتفاق افتاد، سابقه امضای دیجیتال به سال ۱۳۸۰ باز می گردد که کشور تصیم گرفت مرکز ریشه کشور را راهاندازی کند و بعد از آن مراکز میانهای که خدمات را به سازمانها ارائه کردند. ما زمانی که این کار را شروع کردیم عملاْ احراز هویت به صورت فیزیکی و حضوری صورت میگرفت. یعنی دفاتر ثبت نامی به اسم آر.ای داشتیم به نحوی که شخص با مراجعه به آنجا مدارک هویتی خود را ارائه می کرد و بعد از احراز هویت، امضاي الکترونیک برایش صادر می شد. در امضای الکترونیک عملاْ تمام این کارها میتوانست در فضای مجازی به صورت مکانیزه به انجام برسد، ولی قسمتی از آن به صورت دستی اتفاق می افتاد و ما از فضای اصلی خارج بودیم. دلیل هم این بود که تا سال های ۱۳۹۹ و ۱۴۰۰ تعداد گواهی هایی که در کل کشور صادر شده بود به ۲۰۰ تا ۳۰۰ گواهی نمی رسید، آن هم به دلیل کاربردی مانند املاک و مستقلات کل کشور بود که صدور گواهی امضای الکترونیک بر روی توکن های سخت افزاری در اختیار کاربران قرار می گرفت. این اتفاق زمانی بود که دچار همهگیری کرونا شده بودیم، اما همین از جهت دیگری کمک کرد موضوع احراز هویت الکترونیک در کشور راه اندازی شود.
اولین موضوع ثبت نام در بورس بود که آن زمان به دلیل مراجعه مردم، متاسفانه تعداد زیادی هم از هموطنان به کرونا مبتلا شدند. کمیته مبارزه با کرونا تصمیم گرفت به برخی از سازمان ها اجازه داده شود که عملیات خود را به صورت الکترونیک انجام دهند و عملاْ احراز هویت الکترونیک در آنجا کاربرد پیدا کرد و به عنوان اولین کاربرد آن در داخل کشور، بورس این کار را شروع کرد. شرکت پارت هم احراز هویت خود را بر روی نرمافزار سیگنال راهاندازی و سرویس خود را ارائه کرد. در اینجا ما هم از این فضا استفاده کردیم و از مرکز ریشه دولتی خواستیم در قوانین بالاسری تغییری ایجاد کند و اجازه دهد ما از احراز هویت الکترونیک برای صدور امضای الکترونیک استفاده کنیم. در پله اول برای گواهیهای سطح یک این اجازه به مراکز میانی داده شد و ما عملاْ توانستیم گواهی سطح یک را با استفاده از احراز هویت الکترونیک صادر کنیم. این کار به توسعه بازار کمک بزرگی کرد. در اولین حرکتمان که اعطای وام کرونایی در بانک ملی بود، تعداد زیادی از وام ها با امضای الکترونیک و احراز هویت الکترونیک پرداخت شد و ما توانستیم از فضایی که داشتیم به فضای جدیدی سوئیچ کنیم و عملاْ کمک کنیم که هم هزینه را کاهش بدهیم و هم زمان را بالا ببریم. چون شما وقتی در زمان قبل درخواست می دادید، عملاْ صدور گواهی الکترونیک بر توکن سختافزاری زمانبر است. یعنی تا زمانی که شما بتوانید احراز هویت انجام دهید و گواهی صادر شود زمانی میبرد و بابت اینها هم باید هزینههای زیادی میپرداختید. همه این اتفاقات کمک کرد که ما کل هزینهها و این هزینه ها را کم کنیم. بعد از اینکه این اتفاقات افتاد کاربردهایی مانند سفته و چک الکترونیک و برات الکترونیکی وارد بازار شد. احراز هویت و در مرحله بعد امضای الکترونیک کمک کرد که این بازار سخت توسعه پیدا کند و ما توانستیم در سال ۱۴۰۱ و ۱۴۰۲ بیش از سه میلیون امضا صادر کنیم.
موضوع دیگر چالشهاست؛ اول اینکه عملاْ قانون تجارت الکترونیکی دو ریشه را پذیرفته است؛ یکی ریشه بانکی و دیگری ریشه غیربانکی که چالشهای زیادی ایجاد می کرد. بهعنوان کسانی که داخل بیزینس هستیم برای ما بد نیست، ولی به لحاظ رویکرد کارکردی در کشور می تواند مشکلاتی پدید آورد. چند ریشهای بودن باعث می شود مثلاْ وقتی می خواهم در کاربرد بانکی از امضای الکترونیک استفاده کنم باید از ریشه بانکی گواهی دریافت کنم که در گواهی بانکی خاص مانند چک الکترونیک از آن استفاده کنم و اگر بخواهم از سفته الکترونیکی استفاده کنم، عملاْ باید از ریشه غیربانکی، آن چیزی که وزارت اقتصاد و قوه قضاییه پذیرفته است استفاده کنم و همین باعث می شود که من برای کاربردهای مختلف چند گواهی مختلف دریافت کنم و بابت هر کاربرد، گواهی مخصوص آن را داشته باشم و آن را باید بر روی توکن سختافزاری یا گوشی نگهداری کنم. اسفند سال گذشته(۱۴۰۱) بانک مرکزی پذیرفت که مرکز سی.ای نماد به جای اینکه ریشه مستقل بانکی شود، عملاْ در ذیل ریشه دولتی کشور قرار بگیرد و یک مرکز میانی بشود که این خبر خیلی خوب و خوشحال کنندهای بود، ولی مسئلهای که وجود داشت این بود که کلمه مستقل به آن اضافه کرد و من از همان روز که کلمه مستقل را دیدم احساس کردم مشکلاتی پیش خواهد آمد و متاسفانه همانطور که پیش میرویم احساس می کنم این باعث ایجاد انحصار شود و امیدوارم این اتفاق نیفتد. از سازمانهای بالادستی انتظار دارم که مانند مرکز ریشه دولتی موضوع انحصار را کنترل کنند و اجازه دهند شرکتهای دانشمحوری که در حوزههای مختلف سرمایهگذاری و فعالیت کردند در این بازار نیز حضور داشته باشند.
موضوع بعدی بحث تعرفه است؛ تعرفهای که اکنون بر روی امضا اتفاق میافتد، البته نمی دانم بگویم خوشبختانه یا به شکل دیگری به آن فکر کنیم، تعرفهگذاری به آن معنا وجود ندارد. اما چون مرکز ریشه دولتی وجود دارد و تعرفهگذاری گواهی امضای الکترونیک توسط این مرکز اتفاق میافتد تعرفهای که اکنون بر روی صدور امضای الکترونیک وجود دارد، مربوط به سال ۱۳۸۸ می شود که هیئت وزیران آن را تصویب و داخل گواهیها را براساس سطوح مختلف قیمتگذاری کرده است. این قیمتها از آن سال تا به الان تغییری پیدا نکردند و همینطور سهمبندی که بر روی این تعرفهها اتفاق افتاده است ۴۰ درصد یا عملاْ حدود نصف درآمد به صندوق دولت باز می گردد و قیمتی که الان برای گواهی سطح یک گذاشته شده است، ۱۳ هزار تومان است که ۴۰ درصد این مبلغ باز می گردد. من فکر می کنم هم باید بر روی قیمتگذاری اتفاق جدیدی بیفتد و هم اینکه سهمبندی که از سمت دولت انجام می شود باید تغییر کند. البته انتظار من این است که دولت برای فرهنگسازی در این حوزه و کمک به توسعه موضوع احراز هویت و امضای الکترونیک تغییراتی ایجاد کند و عملاْ اجازه بدهد که این سهمخواهی از سمت دولت کم شود و یا اینکه بهطور کلی برداشته شود و من امیدوارم این اتفاق بیفتد. در حال حاضر احراز هویت و امضای الکترونیک با توجه به وضعیت موجود برای شرکتهای فعال در این حوزه که خیلی زیاد هم سرمایهگذاری کردهاند، مقداری سخت است و نهادهایی که در این حوزه کار می کنند باید تعامل فنی و قانونی با همدیگر داشته باشند که اجازه بدهند این مسئله همچنان به پیشرفت خود ادامه دهد و کاربردهای جدیدتری برای تسهیل در تجارت الکترونیک ایجاد شود.
در بعد بخش خصوصی میخواهم توضیحات بیشتری بدهم بر این اساس که ما بهعنوان بخش خصوصی چه کارهایی انجام دادهایم. در مرکز تحقیقات هوش مصنوعی پارت ما از سال ۱۳۹۶ آر.اند.دی را شروع کرده بودیم و سرویس های مختلفی را دِوِلآپ کردیم و اکنون 170 میکرو سرویس هوش مصنوعی داریم که از حدود ۱۰درصد اینها در راهکار احراز هویت بیومتریک پارت به نام فراشناسا استفاده می شود. اگر بخواهم به چند مورد در این زمینه اشاره کنم، باید از وب سرویس های مربوط به فیستی تکشن، فیس وری فیکیشن، لایو نیستیتکشن و پردازش گفتار، تشخیص ژستهای حرکتی، چرخش سر و نظایر آن ها نام ببرم که همه در فرآیند احراز هویت به کار گرفته می شوند. نکته این است که در مورد موضوع احراز هویت بیومتریک غیرحضوری شاید مقداری ابهام در این مورد برای برخی ها وجود داشته باشد. بحث های امنیت از دو ساید است، یک ساید اینکه سامانه ها آیا کار خود را به درستی انجام می دهند یا خیر و ساید دیگر این که پرایوسی این دیتا چگونه است؟ در بعد اول برای اینکه مطمئن شویم این سامانه مورد سوء استفاده قرار نمی گیرد و در برابر حمله های مختلف مقاوم است، فیچرهای مختلفی در داخل آن قرار دادیم.
احراز هویت آنلاین به این صورت است که یکسری فیلدهای اطلاعاتی وارد می کنید و یکسری اطلاعات از شما واکشی و دریافت می شود. از شما می خواهند عکس سلفی از خود بگیرید و در این مرحله عکس سلفی با عکس مرجع دریافتی از طریق ثبت احوال چک و مطابقت داده می شود. طبق دستورالعمل بانک مرکزی که حداقل ۹۹ درصدی را لحاظ کرده است، ما این حداقلها را رعایت می کنیم ولی از آنجا که تا الان بیش از ۱۳ میلیون نفر را احراز هویت کردهایم دقتهای سامانه ما فراتر از حداقلهای تنظیم شده است. بحث دیگر مربوط به لایو نس است که ما مطمئن شویم کسی که احراز هویت را انجام می دهد در آن لحظه با آن دیوایس خود آن شخص است، در این موضوع هم ما باید مطمئن شویم که بهطور مثال؛ شما نمی توانید عکس شخصی دیگر را روی دیوایس دیگری بگیرید، پرینت کنید و یا بر روی صورت خود بچسبانید و به جای آن فرد احراز هویت کنید. چرا که فیچرهای مختلفی را در دایوتستیتکشن داریم که اینها را کنترل می کنند و مقابل پرینت اتکها را می گیرند.
نکته دیگر بحث اورنس است، مبنی بر اینکه ما می خواهیم مطمئن شویم کسی که احراز هویت می کند، می داند الان در فرآیند احراز هویت قرار می گیرد و کار خاصی را انجام می دهد به این معنا که شما نمی توانید از شخص دیگری فیلمی بگیرید و به جای او احراز هویت انجام دهید و یا اینکه از فیلم من که بر روی استیج هستم نمی توانید استفاده کنید. چگونه این کار را انجام می دهیم؟ در حال حاضر از سه طریق این کار را انجام می دهیم، ابتدا بحث گفتن جمله تصادفی است و از کاربر می خواهیم جملهای را که کاملاْ رندوم به او می گوییم در فیلمی که از خود ضبط می کند بازخوانی کند و حالت دیگر برای کسی که کمسوادتر باشد یا نخواهد این کار را انجام دهد، این است که می تواند از گست شرهای حرکتی استفاده کند. مثلاْ از کاربر می خواهیم سه گست شر را به صورت حرکتی و رندوم انجام دهد و منظور از گست شر این است که حالتهای مختلف دست را از او می خواهیم که به ترتیب انجام دهد و اگر به همان ترتیب انجام دهد وریفای می شود.
حالت سوم؛ با هدروتیشن است که از کاربر می خواهیم با ترتیبی سر خود را بچرخاند که ما مطمئن شویم کار به درستی انجام می شود. در قسمت دوم در مورد بحث امنیت اطلاعات هم کارهای مختلفی انجام دادهایم. ابتدا اینکه در صورت لزوم با پارتنرهایی که کار احراز هویت را انجام می دهیم، دادهها را کاملاْ به شکل انولیمایز و رمز شده دریافت می کنیم و مطابقت می دهیم و نتیجه مطابقت را اعلام می کنیم. به این معنا که ما بهعنوان اپراتور احراز هویت هیچ اطلاعی از این نداریم که چه کسی را احراز هویت می کنیم. بلکه با اطلاعاتی که از خود فرد دریافت می کنیم، احراز هویت را انجام می دهیم و در حالتهای دیگر هم اگر اطلاعاتی سمت ما بماند و آن سازمان درخواست کننده بخواهد از آن ها در ادامه برداشت کند، اطلاعات را در اختیارشان قرار می دهیم و به کولد استوریج منتقل می کنیم که در این زمینه ریسکی نداشته باشد. در فاکتور پایداری ما در بحث اکوسیستم نرمافزاری و سختافزاری فریم وورک خاصی را در مجموعه استفاده می کنیم که کاملاْ به شکل دانشبنیان در مجموعه توسعه داده شده به نام پارت فریم وورک و در بحثهای زیر ساخت پرازشی هم بزرگترین زیرساخت پردازشی هوش مصنوعی کشور را مبتنی بر جی.پی.یو داریم و از آنجا که توانستیم ۱۳ میلیون احراز هویت را انجام دهیم، ساختار روباست کاملاْ ریسپانسیو ۷×۲۴ تضمین شده می توانیم در خدمت مشتریان و سازمانهایی باشیم که می خواهند از این سرویس استفاده کنند.
در مورد مقیاسپذیری احتمالاْ بهخاطر دارید که در دوران کرونا چه فشاری برای احراز هویت وجود داشت و همه دوست داشتند سریعتر وارد بورس شوند و از فرصت طلایی استفاده کنند. ما در آن مقطع چندصد هزار نفر را در روز احراز هویت کردیم که نشان می دهد چهقدر سوروشنی که پارت ارائه می کند اسکی لول است، ولی نکته مهمتر این است که ما امسال رکوردهای سال بورس را هم شکاندیم و به میزان بالاتری با کان کالنسی بسیار بالاتر این خدمت را به مجموعههای خیلی بیشتری ارائه می دهیم. برای مشتریان نسل زد و آلفا بحث سرعت خیلی مهم است که بتوانند خدمت را به دلایلی مانند حوصله نداشتن خیلی سریع دریافت کنند. راهکاری که ما توسعه دادیم این نکته را هم کاملاْ پوشش می دهد که به سرعت فرآیند آمبوردینگ مشتری از منظر احراز هویت او می تواند انجام شود و فرآیند کاملاْ سیملس و آشنا برای کاربران است. نهایتاْ در مورد پشتیبانی مراکز ۷×۲۴ پشتیبانی پارت آمادهاند که از کاربران و مجموعههای ثالثی که می خواهند از این خدمت استفاده کنند، در کل فرآیند پشتیبانی کنند که اگر در هر جایی در احراز هویت به مشکلی بر می خورند، کمکشان کنند که این کار سریعتر انجام شود.
در مورد فاز رگولاتوری؛ بحث تامین داده است. الان مستحضرید که یا داده خیلی به سختی و با اکراه توسط سازمانهای مختلف داده میشود مانند سازمان ثبت احوال یا مثلاْ فراجا که هنوز داده خاصی را در این زمینه نداده است و یا اگر داده می شود اس.ال.ای خاصی یا اوپ.تایم خاصی را ندارد و یا بهطور مثال ساعت شش بعدازظهر تعطیل می شود و فردا صبح روشن می شود و استانداردهایی که ما برای کسب و کار خوب و اسکی لول سراغ داریم خیلی همخوانی ندارد. مشکل دیگری که وجود دارد این است که بعضاْ خود این سازمانهایی که باید ارائه دهنده داده و خدمت باشند و در جایگاه خودشان قرار داشته باشند می خواهند در جایگاه بخش خصوصی هم قرار بگیرند و رقابت کنند و حتی انحصاراتی در آن حوزه ایجاد کنند که این هم بهعنوان تهدید می تواند شمرده شود. در بعد قوانین هم ما اکنون قانون مصوب مجلس برای بحث احراز و سطوح مختلف و تعاریفی که باید داشته باشد نداریم. یک دستورالعمل بانک مرکزی داریم که بهار ۱۴۰۱ ارائه شده است که خود آن کمک کننده بود و یک مصوبه شورای عالی بورس داریم که در این زمینه هم نیاز است اقداماتی انجام شود. در نهایت اشاره کنم که در بحث صنعت باید به مشتری و سفر مشتری توجه شود. من نسل ایکس، برخی از دوستان وای، و برخی دیگر بیبی بومرزند، ولی الان نسلهای زد و آلفا را میبینیم که اصلاْ نمی خواهند بهطور مثال وحید مافی را حضوری ببینند و می خواهند کارشان را ریموت انجام دهند و در خانه یا هرجایی که راحتند، همانجا باشند. بنابراین چیزی برای شوآف کردن یا لاکچری نیست که بگوییم مشتری را غیرحضوری آنبورد می کنیم. این یک باید است که همه باید به سمت آن برویم.
خاطرنشان می شود که محتوای این نشست به همراه ۱۵ نشست دیگر برگزار شده در نهمین نمایشگاه تراکنش ایران، به زودی در قالب کتاب”گفتگوی متخصصان” تدوین و در اختیار علاقمندان قرار میگیرد.
نهمین نمایشگاه تراکنش ایران به مدت ۳ روز، از ۱۸ تا ۲۰ دیماه ۱۴۰۲ برگزار شد. این دوره با استقبال حدود ۱۲ هزار نفر از مدیران، متخصصان و فعالان فناوری های مالی، ۱۷ نشست تخصصی،۶۰ کارگاه معرفی محصول، دهها نشست گفتگوی B2B، با حدود ۱۰۰ سخنرانی و با همراهی ۲۰۰ عضو کمیته علمی و داوری و ۳ جشنواره تخصصی و ..، میزبان اکوسیستم صنایع مالی، بانکی، پرداخت و فناوری بود.
گفتنی است، دهمین رویداد تراکنش ایران با موضوع محوری “آینده با هوش است” دی ماه ۱۴۰۳ با برنامه های متنوع و مختلفی میزبان اکوسیستم صنایع مالی، بانکی، پرداخت و فناوری ایران و سایر کشورها خواهد بود.
گزارش تصویری نشست تخصصی ”احراز هویت، مرکز ثقل سفر دیجیتالی”
تیزر نشست تخصصی ”احراز هویت، مرکز ثقل سفر دیجیتالی”
گزارش تصویری از تراکنش نهم ایران