معضلی به نام امضای دیجیتال در شبکه بانکی/ گره کجاست گره گشا کیست؟
نماد بانکداری الکترونیک در پس کوچه های تردید سرگردان است:
،قانون حاکم بر نظام مدیریت امنیت داده (نماد) بانکی که به منظور ایجاد هویت دیجیتالی برای مشتریان، کارکنان و سامانههای بانکی، توسط بانک مرکزی راه اندازی شده چیست؟/نظر به توسعه صنعت بانکداری و ارائه خدمات بانکی بهصورت الکترونیک، ایجاد اطمینان خاطر در مشتریان از انجام ایمن امور بانکی خارج از شعب نقش بسزایی در پیشبرد اهداف بانکداری الکترونیکی خواهد داشت./در بخشهای مختلف از خط مشی بانک مرکزی، نقشها و مسوولیتهای شورای سیاستگذاری نادیده گرفته و به بانک تفویض شده است که این با قوانین جاری کاملا در تناقض است.
کلیه مراکز صدور گواهی الکترونیکی لازم است برای مدیریت و صدورگواهی نسبت به دریافت مجوز از شورا اقدام کنند. عدم اقدام بانک مرکزی برای دریافت تاییدیه و اخذ مجوز از شورای سیاستگذاری گواهی الکترونیکی، منجر به عدم اعتباربخشی سیاستها و دستورالعمل اجرایی مرکز صدور گواهی راهاندازیشده توسط بانک مرکزی از طریق شورا شده و در نتیجه پیادهسازیهای صورت گرفتهشده بر اساس سیاستها و دستورالعمل مزبور (شامل کلیه سختافزارها، نرمافزارها و فرآیندهای بهکارگرفتهشده) منطبق با روالهای مورد تایید شورا، اعتبارسنجی و اعتباربخشی نشدهاند؛ بنابراین در صورت بروز مشکلات محتمل، گواهیهای صادره فاقد وجاهت قانونی بوده و قابل پیگرد قانونی نیستند.
بر اساس بند ب ماده 49 برنامه پنجم توسعه مصوب سال 1389، بانک مرکزی موظف شد جهت توسعه و تقویت نظام بانکداری و با همکاری مرکز صدور گواهی الکترونیکی کشور (که بر اساس آییننامه ماده 32 قانون تجارت الکترونیکی، مرکز دولتی صدور گواهی الکترونیکی کشور است)، اقدام به ایجاد و بهرهبرداری از مرکز صدور گواهی الکترونیکی بانکی کند. همچنین در ماده20 بسته سیاستی نظارتی بانک مرکزی سال 1390 نیز بر این امر تاکید شده است. بر اساس این ماده:
«بانک مرکزی با استفاده از ریشه الکترونیکی کشور مستقر در وزارت بازرگانی نظام مدیریت امضای دیجیتال (نماد) بانکی و پایگاه داده اطلاعات جامع هویتی را به منظور ایجاد هویت دیجیتالی برای مشتریان، کارکنان و سامانههای بانکی تا پایان خرداد سال1390 راهاندازی خواهد کرد. تمامی موسسات اعتباری کشور مکلفند برنامههای اجرایی برای صدورگواهینامه امضای دیجیتال، تطبیق و ثبتنامه سامانهها و درج اطلاعات مربوط به مشتریان و کارکنان خود را مطابق با زمانبندی بانک مرکزی به اجرا درآورند.»
وزارت صنعت، معدن و تجارت (بازرگانی سابق) از زمان تصویب مصوبات فوق آمادگی خود را جهت همکاریهای لازم با بانک مرکزی طی نامههایی اعلام کرده است. همچنین در هفدهمین جلسه شورای سیاستگذاری گواهی الکترونیکی مورخ 11/05/1391 و با امضای نماینده بانک مرکزی به عنوان عضو شورای سیاستگذاری گواهی الکترونیکی، مقرر شد بانک مرکزی سند دستورالعمل اجرایی مرکز صدور گواهی الکترونیکی شبکه بانکی را جهت تصویب به شورا ارائه کند که تاکنون این اقدام صورت نپذیرفته است.
نماد و چالشهای فنی و فرآیندی
برخی چالشهای فنی و فرآیندی مرتبط با سامانه نماد بانکی، بر اساس مندرجات مستندات «خط مشی گواهی» ویرایش 2.2 اردیبهشتماه 1392 و «دستورالعمل اجرایی مرکز گواهی» ویرایش 2.2.1 اردیبهشتماه 1392منتشرشده توسط بانک مرکزی، به شرح ذیل است:
ارگان تایید و تصویبکننده سند، بانک مرکزی قید شده که این برخلاف آییننامه ماده 32 قانون تجارت الکترونیکی است.
با عنایت به نقش شورای سیاستگذاری گواهی الکترونیک به عنوان مرجع هماهنگکننده و جهت هماهنگی فعالیت حوزههای مختلف زیرساخت کلید عمومی در کشور، این شورا در خصوص پروفایلهای گواهی الکترونیکی در کشور، سطوح اطمینان زیرساخت کلید عمومی، دستورالعمل ساماندهی گواهی الکترونیکی، استانداردهای زیرساخت کلید عمومی و… مستندات و مصوباتی را از طریق وبسایت مرکز دولتی صدور گواهی الکترونیکی ریشه، منتشر کرده است. به عنوان نمونه، عدم بهکارگیری سند جامع پروفایلهای زیرساخت کلید عمومی کشور3 ، خط مشیهای مرکز صدور گواهی الکترونیکی بانکی را به لحاظ فنی تحتالشعاع خود قرار میدهد و طول کلید در نظر گرفتهشده متناسب با بازه اعتبار گواهی و مدتزمان بایگانی کلید خصوصی نیست.
- بین دوره اعتبار در نظر گرفتهشده برای گواهیهای الکترونیکی با طول کلیدهای رمزنگاری مرتبط، تناظری وجود ندارد که این مورد به لحاظ امنیت، تهدیدات و آسیبپذیریهای متعددی را ایجاد میکند.
- محل انتشار گواهیهای صادرشده نامشخص بوده و نحوه دسترسی به مخزن مرکز صدور گواهی کاملا مبهم است. مخزن گواهیهای الکترونیکی و لیست(های) گواهیهای باطله که جهت پیادهسازی آن، به طور معمول از پروتکل LDAP استفاده میشود، سهولت دسترسی و تعیین آدرس دسترسی به آن در سند دستورالعمل اجرایی مراکز صدور گواهی، در زمره رایجترین قابلیتها و الزامات مربوط به مراکز صدور گواهی قرار میگیرد.
- در بخشهای مختلف خط مشی گواهی الکترونیکی بانک مرکزی بر بهکارگیری و پیادهسازی استانداردهایی تاکید شده اما نام و مرجع آن آورده نشده است. ارجاعاتی مانند استاندارد روند ثبتنام، استانداردهای بینالمللی و… از این دست به شمار میروند و در نهایت اینکه موارد مزبور بر اساس کدام استاندارد پیادهسازی شده است، در هالهای از ابهام قرار دارد.
- بهرغم اشاره به بایگانی کلید خصوصی کاربران توسط مرکز صدور گواهی در سند خط مشی، با توجه به حساسیت بسیار بالای این فرآیند، سیاستها و دستورالعملاجرایی بازیابی کلید جهت ایجاد شفافیت و ابهامزدایی کاربران منتشر نشده یا موجود نیست.
- در بخشهای مرتبط با الزامات دورههای زمانی، از درج تاریخ دقیق و تعیین دورههای زمانی خودداری شده است. بخشهایی مانند زمان پردازش درخواست گواهی، حداکثر زمان درج گواهی در فهرست گواهیهای ابطالشده، تولید زوج کلید و… نمونههایی از این دست هستند.
- در بخشهای مختلف از خط مشی بانک مرکزی، نقشها و مسوولیتهای شورای سیاستگذاری نادیده گرفته و به بانک تفویض شده است که این با قوانین جاری کاملا در تناقض است.
موارد فوقالذکر، برخی از ناهمگونیها و چالشهای فنی و فرآیندی موجود در خط مشی و دستورالعمل اجرایی نماد بانکی هستند و شرح بیشتر در مجال این مقاله نمیگنجد. استفاده و بهکارگیری گواهیها و سیاستهای خارج از چارچوب تعریفشده شورا به عنوان مرجع اعتماد و اطمینان در زیرساخت کلید عمومی کشور، صرف نظر از صرف هزینههای کلان و بیمورد از بیتالمال، منجر به از میان رفتن قابلیت تعاملی میان نرمافزارها و سختافزارهای توسعهیافته زیرساخت کلید عمومی و عدم اعتماد میشود و کاربران زیرساخت کلید عمومی کشور را با یک کلاف سردرگم مواجه میکن
پینوشت:
http://www.cbi.ir/showitem/11321.aspx1-
2- اعضای شورای سیاستگذاری گواهی الکترونیکی به شرح ذیل هستند:
وزیربازگانی یا معاون ذیربط وی (رئیس)، معاون ذیربط وزیردادگستری، معاون ذیربط وزیراطلاعات، معاون ذیربط وزیر ارتباطات و فناوری اطلاعات، معاون ذیربط وزیر امور اقتصاد و دارایی، معاون ذیربط وزیربهداشت، درمان و آموزش پزشکی، معاون ذیربط معاونت برنامهریزی و نظارت راهبردی رئیسجمهور، معاون ذیربط رئیس کل بانک مرکزی، رئیس اتاق بازرگانی و صنایع و معادن ایران، رئیس سازمان ثبت اسناد و املاک کشور، رئیس سازمان نظام صنفی رایانهای، دبیر شورای عالی انفورماتیک، دبیر شورای عالی فناوری اطلاعات، رئیس مرکز توسعه تجارت الکترونیکی وزارت بازرگانی به عنوان دبیر شورا (بدون حق رای)، 1 تا 3 نفر مشاور خبره با پیشنهاد رئیس و تایید اکثریت سایر اعضای شورا.
3- مصوب شورای سیاستگذاری گواهی الکترونیکی
منبع:ماهنامه پیوست