آی پی شما
معضل امضای دیجیتال در شبکه بانکی
قانون حاکم بر نظام مدیریت امنیت داده (نماد) بانکی که به منظور ایجاد هویت دیجیتالی برای مشتریان، کارکنان و سامانه‌های بانکی، توسط بانک مرکزی راه اندازی شده چیست؟ آیا نماد بانکی می‌تواند تضمین‌کننده امنیت تراکنش‌های بانکی باشد؟ آیا امضاهای دیجیتالی تولیدشده در بستر بانکی رسمیت داشته و غیر قابل انکار خواهند بود؟ آیا پیش‌نیازهای لازم در راه‌اندازی نظام مزبور در نظر گرفته شده است؟ سیاستگذاری، استانداردسازی، اعتبارسنجی و اعتباربخشی در این بستر به چه طریقی صورت می‌پذیرد؟ این سوالات و ده‌ها سوال دیگر در زمره ابهاماتی است که در خصوص نظام مدیریت امضای دیجیتال و گواهی الکترونیکی بانکی که گویا در سال جاری توسط بانک مرکزی راه‌اندازی شده، قابل طرح است و در این مقاله قصد بررسی این ابهامات و چالش‌های پیش‌رو در این خصوص را داریم.

نظر به توسعه صنعت بانکداری و ارائه خدمات بانکی به‌صورت الکترونیکی، ایجاد اطمینان خاطر در مشتریان از انجام ایمن امور بانکی خارج از شعب نقش بسزایی در پیشبرد اهداف بانکداری الکترونیکی خواهد داشت. زیرساخت کلید عمومی، از جمله زیرساخت‌های بسیار ضروری در امنیت بانکداری الکترونیکی است که سرویس‌های امنیتی مختلفی نظیر احراز هویت مشتریان و سرویس‌دهنده‌های بانکی، انکارناپذیری تراکنش‌های مالی، احراز تمامیت و دست‌نخوردگی اطلاعات مختلف نظیر تراکنش‌ها و حساب‌های بانکی و حفظ محرمانگی اطلاعات محرمانه نظیر کلمات عبور را فراهم می‌کند.
در واقع زیرساخت کلید عمومی به بستر فراهم‌شده در کشورها جهت به‌کارگیری فناوری امضای دیجیتال و مدیریت گواهی‌های الکترونیکی متناظر گفته می‏‏شود که می‏تواند شامل مجموعه‏ای از قوانین، سیاست‏ها و دستورالعمل‏ها، استانداردها، سخت‏افزارها، نرم‏افزارها، فرآیندها و اشخاص حقیقی و حقوقی باشد که در کنار یکدیگر امکان مدیریت و به‌کارگیری گواهی‏های الکترونیکی و فناوری امضای دیجیتال را فراهم می‏آورند.
طبق خبر اعلام‌شده در ۲۶ آذرماه ۱۳۹۲ در وب‌سایت بانک مرکزی، نظام مدیریت داد‌ه‌ها (نماد) که در ظاهر مبتنی بر زیرساخت کلید عمومی است، طراحی و راه اندازی شده:«نماد با هدف پیاده‌سازی بستر گواهی امضای دیجیتال در نظام بانکی و به‌کارگیری آن در سامانه‌های مهم و حاکمیتی همچون پورتال ارزی، سنا، سپام، کاشف، ساتنا و پایا تدوین شد که با پیاده‌سازی، نیازمندی‌های آن، اعم از تصدیق اصالت مشتریان حقیقی و حقوقی در ارائه خدمات بانکداری الکترونیکی، رمزنگاری اطلاعات حساس، امضای دیجیتال داده‌ها و انتقال امن آنها محقق شده است.»
در این راستا بانک مرکزی اقدام به انتشار دو مستند «خط مشی گواهی» ویرایش ۲.۲ اردیبهشت‌ماه ۱۳۹۲ و «دستورالعمل اجرایی مرکز گواهی» ویرایش ۲.۲.۱ اردیبهشت‌ماه ۱۳۹۲ کرده و مستندات مزبور به بانک‌ها ابلاغ شده است. در ادامه سعی شده است تا موضوعات و چالش‌های پیرامون نماد بانکی از سه منظر حقوقی، فنی و فرآیندی مورد بررسی قرار گیرد.

15

نماد و چالش‌های حقوقی

نکته بسیار مهم در خصوص فناوری امضای دیجیتال این است که تراکنش‌های بانکی امضاشده در بستر زیرساخت کلید عمومی تنها در صورتی غیرقابل انکار خواهند بود و امضاهای متناظر دربردارنده سرویس امنیتی انکارناپذیری هستند که در بستر قانونی فراهم‌شده در کشورها صورت پذیرفته شده باشند.
قانون حاکم بر فناوری امضای دیجیتال و زیرساخت کلید عمومی در کشورمان، آیین‌نامه ماده ۳۲ قانون تجارت الکترونیکی مصوب سال ۱۳۸۶ توسط هیات وزیران است. بر اساس این قانون و طی اولین جلسه شورای سیاستگذاری گواهی الکترونیکی کشور در تاریخ ۳۰/۷/۱۳۸۶، مرکز دولتی صدور گواهی الکترونیکی ریشه مجوز ایجاد، امضا و صدور گواهی‌های مراکز میانی را در زیرساختی تحت عنوان زیرساخت کلید عمومی کشور و زیرنظر شورای سیاستگذاری گواهی الکترونیکی که متشکل از نمایندگان وزارتخانه‌ها، نهادها و سازمان‌های مختلف بوده، دریافت کرده است.
لازم به ذکر است مرکز دولتی صدور گواهی الکترونیکی ریشه با بهره‌گیری از تجربه چندین‌ساله و با ارائه استانداردهای ملی و بومی مرتبط و راه‌اندازی آزمایشگاه‌های ارزیابی انواع سخت‌افزارها و نرم‌افزارهای مرتبط با زیرساخت کلید عمومی، بستر فنی لازم را جهت اعمال امنیت، یکپارچگی و تعامل در زیرساخت کلید عمومی کشور به منظور استفاده مطمئن از کاربردهای مختلف گواهی الکترونیکی و امضای دیجیتال فراهم کرده است.
مطابق با آیین‌نامه اجرایی مذکور و به منظور حفظ یکپارچگی و سیاستگذاری درحوزه زیرساخت کلید عمومی کشور، شورای سیاستگذاری گواهی الکترونیکی به عنوان یک نهاد فرابخشی و مرکب از وزارتخانه‌ها، سازمان‌ها و شوراها۲ که معاون ذی‌ربط رئیس کل بانک مرکزی نیز از اعضای شوراست، تشکیل شده است. بر اساس این آیین‌نامه بانک مرکزی موظف به اخذ مجوز از شورای سیاستگذاری گواهی الکترونیکی جهت فعالیت در حوزه زیرساخت کلید عمومی و گواهی الکترونیکی شده است.
این در حالی است که پس از گذشت قریب به شش سال از تصویب آیین‌نامه اجرایی ماده ۳۲ قانون تجارت الکترونیکی، بانک مرکزی همچنان دستورالعمل اجرایی مرکز صدور گواهی الکترونیکی خود را به شورا ارائه نکرده و مجوز شورا را جهت شروع فعالیت قانونی در حوزه زیرساخت کلید عمومی کشور کسب نکرده است. بر این اساس پرسش قابل طرح آن است که در حال حاضر با توجه به راه‌اندازی سامانه نماد امضاهای تولیدشده در بستر این سامانه رسمیت و اعتبار حقوقی دارند؟

16

کلیه مراکز صدور گواهی الکترونیکی لازم است برای مدیریت و صدورگواهی نسبت به دریافت مجوز از شورا اقدام کنند. عدم اقدام بانک مرکزی برای دریافت تاییدیه و اخذ مجوز از شورای سیاستگذاری گواهی الکترونیکی، منجر به عدم اعتباربخشی سیاست‌ها و دستورالعمل اجرایی مرکز صدور گواهی راه‌اندازی‌شده توسط بانک مرکزی از طریق شورا شده و در نتیجه پیاده‌سازی‌های صورت گرفته‌شده بر اساس سیاست‌ها و دستورالعمل مزبور (شامل کلیه سخت‌افزار‌ها، نرم‌افزارها و فرآیندهای به‌کارگرفته‌شده) منطبق با روال‌های مورد تایید شورا، اعتبارسنجی و اعتباربخشی نشده‌اند؛ بنابراین در صورت بروز مشکلات محتمل، گواهی‌های صادره فاقد وجاهت قانونی بوده و قابل پیگرد قانونی نیستند.
بر اساس بند ب ماده ۴۹ برنامه پنجم توسعه مصوب سال ۱۳۸۹، بانک مرکزی موظف شد جهت توسعه و تقویت نظام بانکداری و با همکاری مرکز صدور گواهی الکترونیکی کشور (که بر اساس آیین‌نامه ماده ۳۲ قانون تجارت الکترونیکی، مرکز دولتی صدور گواهی الکترونیکی کشور است)، اقدام به ایجاد و بهره‌برداری از مرکز صدور گواهی الکترونیکی بانکی کند. همچنین در ماده۲۰ بسته سیاستی نظارتی بانک مرکزی سال ۱۳۹۰ نیز بر این امر تاکید شده است. بر اساس این ماده:
«بانک مرکزی با استفاده از ریشه الکترونیکی کشور مستقر در وزارت بازرگانی نظام مدیریت امضای دیجیتال (نماد) بانکی و پایگاه داده اطلاعات جامع هویتی را به منظور ایجاد هویت دیجیتالی برای مشتریان، کارکنان و سامانه‌های بانکی تا پایان خرداد سال۱۳۹۰ راه‌اندازی خواهد کرد. تمامی موسسات اعتباری کشور مکلفند برنامه‌های اجرایی برای صدورگواهینامه امضای دیجیتال، تطبیق و ثبت‌نامه سامانه‌ها و درج اطلاعات مربوط به مشتریان و کارکنان خود را مطابق با زمانبندی بانک مرکزی به اجرا درآورند.»
وزارت صنعت، معدن و تجارت (بازرگانی سابق) از زمان تصویب مصوبات فوق آمادگی خود را جهت همکاری‌های لازم با بانک مرکزی طی نامه‌هایی اعلام کرده است. همچنین در هفدهمین جلسه شورای سیاستگذاری گواهی الکترونیکی مورخ ۱۱/۰۵/۱۳۹۱ و با امضای نماینده بانک مرکزی به عنوان عضو شورای سیاستگذاری گواهی الکترونیکی، مقرر شد بانک مرکزی سند دستورالعمل اجرایی مرکز صدور گواهی الکترونیکی شبکه بانکی را جهت تصویب به شورا ارائه کند که تاکنون این اقدام صورت نپذیرفته است.

نماد و چالش‌های فنی و فرآیندی

برخی چالش‌های فنی و فرآیندی مرتبط با سامانه نماد بانکی، بر اساس مندرجات مستندات «خط مشی گواهی» ویرایش ۲.۲ اردیبهشت‌ماه ۱۳۹۲ و «دستورالعمل اجرایی مرکز گواهی» ویرایش ۲.۲.۱ اردیبهشت‌ماه ۱۳۹۲منتشرشده توسط بانک مرکزی، به شرح ذیل است:
ارگان تایید و تصویب‌کننده سند، بانک مرکزی قید شده که این برخلاف آیین‌نامه ماده ۳۲ قانون تجارت الکترونیکی است.
با عنایت به نقش شورای سیاستگذاری گواهی الکترونیکی به عنوان مرجع هماهنگ‌کننده و جهت هماهنگی فعالیت حوزه‌های مختلف زیرساخت کلید عمومی در کشور، این شورا در خصوص پروفایل‌های گواهی الکترونیکی در کشور، سطوح اطمینان زیرساخت کلید عمومی، دستورالعمل ساماندهی گواهی الکترونیکی، استانداردهای زیرساخت کلید عمومی و… مستندات و مصوباتی را از طریق وب‌سایت مرکز دولتی صدور گواهی الکترونیکی ریشه، منتشر کرده است. به عنوان نمونه، عدم به‌کارگیری سند جامع پروفایل‌های زیرساخت کلید عمومی کشور۳ ، خط مشی‌های مرکز صدور گواهی الکترونیکی بانکی را به لحاظ فنی تحت‌الشعاع خود قرار می‌دهد و طول کلید در نظر گرفته‌شده متناسب با بازه اعتبار گواهی و مدت‌زمان بایگانی کلید خصوصی نیست.

  • بین دوره ‌اعتبار در نظر گرفته‌شده برای گواهی‌های الکترونیکی با طول کلید‌های رمزنگاری مرتبط، تناظری وجود ندارد که این مورد به لحاظ امنیت، تهدیدات و آسیب‌پذیری‌های متعددی را ایجاد می‌کند.
  • محل انتشار گواهی‌های صادرشده نامشخص بوده و نحوه دسترسی به مخزن مرکز صدور گواهی کاملا مبهم است. مخزن گواهی‌های الکترونیکی و لیست(های) گواهی‌های باطله که جهت پیاده‌سازی آن، به طور معمول از پروتکل LDAP استفاده می‌شود، سهولت دسترسی و تعیین آدرس دسترسی به آن در سند دستورالعمل اجرایی مراکز صدور گواهی، در زمره رایج‌ترین قابلیت‌ها و الزامات مربوط به مراکز صدور گواهی قرار می‌گیرد.
  • در بخش‌های مختلف خط مشی گواهی الکترونیکی بانک مرکزی بر به‌کارگیری و پیاده‌سازی استانداردهایی تاکید شده اما نام و مرجع آن آورده نشده است. ارجاعاتی مانند استاندارد روند ثبت‌نام، استانداردهای بین‌المللی و… از این دست به شمار می‌روند و در نهایت اینکه موارد مزبور بر اساس کدام استاندارد پیاده‌سازی شده است، در هاله‌ای از ابهام قرار دارد.
  • به‌رغم اشاره به بایگانی کلید خصوصی کاربران توسط مرکز صدور گواهی در سند خط مشی، با توجه به حساسیت بسیار بالای این فرآیند، سیاست‌ها و دستورالعمل‌اجرایی بازیابی کلید جهت ایجاد شفافیت و ابهام‌زدایی کاربران منتشر نشده یا موجود نیست.
  • در بخش‌های مرتبط با الزامات دوره‌های زمانی، از درج تاریخ دقیق و تعیین دوره‌های زمانی خودداری شده است. بخش‌هایی مانند زمان پردازش درخواست گواهی، حداکثر زمان درج گواهی در فهرست گواهی‌های ابطال‌شده، تولید زوج کلید و… نمونه‌هایی از این دست هستند.
  • در بخش‌های مختلف از خط مشی بانک مرکزی، نقش‌ها و مسوولیت‌های شورای سیاستگذاری نادیده گرفته و به بانک تفویض شده است که این با قوانین جاری کاملا در تناقض است.

موارد فوق‌الذکر، برخی از ناهمگونی‌ها و چالش‌های فنی و فرآیندی موجود در خط مشی و دستورالعمل اجرایی نماد بانکی هستند و شرح بیشتر در مجال این مقاله نمی‌گنجد. استفاده و به‌کارگیری گواهی‌ها و سیاست‌های خارج از چارچوب تعریف‌شده شورا به ‌عنوان مرجع اعتماد و اطمینان در زیرساخت کلید عمومی کشور، صرف نظر از صرف هزینه‌های کلان و بی‌مورد از بیت‌المال، منجر به از میان رفتن قابلیت تعاملی میان نرم‌افزارها و سخت‌افزارهای توسعه‌یافته زیرساخت کلید عمومی و عدم اعتماد می‌شود و کاربران زیرساخت کلید عمومی کشور را با یک کلاف سردرگم مواجه می‌کند.

نویسنده :  ریحانه حسینی    |    1392/12/24