۱۰ اردیبهشت ۱۴۰۱ - ۱۰:۴۱
نبود بلوغ و فرهنگ سازمانی از جمله چالشهای امضای دیجیتال در ایران است
گفتگوی بازار با مشاور فناوری و امنیت اطلاعات

نبود بلوغ و فرهنگ سازمانی از جمله چالشهای امضای دیجیتال در ایران است

نادر ایرانپور، مشاور فناوری و امنیت اطلاعات، می گوید: چالش اصلی عدم استفاده امضای دیجیتال در ساختارهای درون سازمانی، نبود بلوغ و فرهنگ سازمانی مناسب نسبت به این موضوع است.

فرحناز سپهری؛ بازار: امضای دیجیتال بر روش‌های رمزنگاری پایه گذاری شده است و امکان می دهد که درستی پیام‌ها و اسناد با اطمینان کامل تایید شود. این درحالی است با وجودی که در ایران از سال ۱۳۹۱ این روش به صورت قانونی جهت صحت سنجی اسناد تایید شده است؛ اما تاکنون آنطور که باید در سازمانها و ارگانها به کار گرفته نشده است. به طوری که به گفته نادر ایرانپور مشاور فناوری و امنیت اطلاعات، چالش اصلی عدم استفاده امضای دیجیتال در ساختارهای درون سازمانی، برخی دغدغه های امنیتی و سوءاستفاده های احتمالی و نیز نبود بلوغ و فرهنگ سازمانی مناسب نسبت به این موضوع است.

در همین راستا برای آگاهی از چالشها و راهکارهای توسعه در این حوزه گفتگویی با نادر ایرانپور انجام داده ایم که در ادامه از نظرتان می گذرد. نادر ایرانپور متخصص و مشاور فناوری و امنیت اطلاعات و دکترای کسب و کار با بیش از ۳۰ سال تجربه تخصصی در زمینه فناوری اطلاعات و ارتباطات و امنیت اطلاعات و اجرای پروژه‌های متعدد ملی و بین‌المللی است.

*ابتدا درباره فناوری های نوظهور بکار گرفته شده در امضای دیجیتال توضیح دهید.
لازم می‌دانم قبل از اینکه در مورد فناوری‌های نوظهور در این زمینه صحبت کنم، به تعریف امضای دیجیتال بپردازم. امضای دیجیتال یک روش ریاضی است که به گیرندگان اجازه می‌دهد صحت پیام‌ها، اسناد یا تراکنش‌های دیجیتال را تقریباً با اطمینان کامل تأیید کنند.

برای هر سند، ایمیل یا پیام جدیدی که امضا می‌شود،یک امضای دیجیتال جدید ایجاد می‌شود، بنابراین هر امضا منحصربه‌فرد، مقاوم در برابر دستکاری بوده و تقلب در آن عملا غیرممکن است. امروزه امضای دیجیتال به طور گسترده‌ای در جهان، از امضای فایلPDF و ایمیل گرفته تا پروتکل SSL و تراکنش های ارزهای دیجیتال استفاده می شود.بر اساس فناوری مورد استفاده، ۳ نوع امضای دیجیتالی وجود دارد که عبارتند:

نخست. ساده

امضای دیجیتال ساده یک امضای دیجیتال در ساده ترین شکل آن است زیرا با هیچ روش رمزگذاری محافظت نمی شود. رایج ترین مثال، امضای مرطوب است که توسط یک دستگاه الکترونیکی اسکن شده و سپس در یک سند قرار داده می شود. نمونه دیگری از امضای دیجیتال ساده، امضای ایمیلی است که اغلب در انتهای ایمیل اضافه می کنیم و کادر شرایط و ضوابط را در فرآیند نصب نرم افزار بررسی می کنیم.

دوم. پایه

امضای دیجیتال پایه تفاوت چندانی با امضای دیجیتال ساده ندارد. مزایای امضای دیجیتال پایه نسبت به امضای دیجیتال ساده تنها توانایی آنها برای نشان دادن تغییراتی است که پس از امضای سند رخ می دهد. با این حال، این امضا هنوز نمی تواند امنیت هویت شما را تضمین کند زیرا نمی تواند به یک هویت تأیید شده اشاره کند.

اگرچه با استفاده از روش رمزنگاری نامتقارن، ارائه دهندگان خدمات امضای دیجیتال پایه هویت کاربر را تأیید نمی کنند. فرآیند امضا نیز از طریق احراز هویت ۲ عاملی انجام نمی شود. در نتیجه اسناد امضا شده با امضای دیجیتالی از این دسته هنوز دارای قدرت قانونی و عواقب قانونی نیستند.

و سوم. پیشرفته و تاییدشده

این نوع امضای دیجیتال، ایمن ترین امضای دیجیتال است و قدرت قانونی معادل امضای روی کاغذ دارد. امضاهای سطح دیجیتال پیشرفته و تاییدشده با فناوری رمزنگاری نامتقارن و زیرساخت کلید عمومی ساخته می شوند. چیزی که این نوع امضای دیجیتال را خاص تر می کند، فرآیند تأیید هویت کاربری است که درخواست نموده است. در واقع در این مدل، احراز هویت دو مرحله ای انجام می‌شود. روش احراز هویت مورد استفاده نیز متفاوت است: از ارسال رمزهای عبور یکبار مصرف از طریق پیام کوتاه تا اسکن بیومتریک در تلفن های همراه از انواع آن است

اما به عنوان مهمترین فناوری در این زمینه می‌توان به بلاکچین اشاره کرد. در دنیای دیجیتال، "بلاک چین" به عنوان یک ویژگی ضروری در امضای دیجیتال مطرح شده است که سه ویژگی زیر را ارائه می دهد:

• احراز هویت: امضاهای الکترونیکی از طریق یک کلید خصوصی به یک کاربر خاص می چسبند. در این حالت، آنها صاحب کلید خصوصی مورد استفاده برای امضای داده های منبع در یک ایمیل یا یک سند را شناسایی می کنند.

• یکپارچگی: امضاهای دیجیتال هر بار از یک الگوریتمHash نوآورانه استفاده می کنند تا اطمینان حاصل شود که پیام دریافتی جعلی نیست.

• عدم انکار: این ویژگی منحصر به فرد است و تضمین می کند که فرستنده ای که اطلاعات منبع را امضا کرده است، بعد از امضای آن نمی تواند آن را انکار کند.

در مورد سایر پیشرفت های اخیر در این زمینه می‌توان به محصول شرکت Videosign اشاره کرد که یک ابزار تشخیص چهره برای قراردادهای شاهد از راه دور و اسناد قانونی ایجاد کرده است. این شرکت سیستمی ساخته که به کاربران اجازه می دهد اسنادی را برای امضای الکترونیکی ضد دستکاری آپلود کنند.

در نوامبر ۲۰۲۱ شرکت RentTango، یک پلتفرم مبتکرانه بازاریابی و لیزینگ املاک راه اندازی کرد و در قالب ادغام signNow با RentTangoمفهومی فراتر از فناوریامضای دیجیتال در گردش‌های کاری خودکاری ارائه می‌کند که با شرایط معامله، الزامات قانونی، و تسریع‌تر آماده‌سازی و اجرای اجاره مطابقت دارد.

محصول قابل اشاره دیگر در این زمینه HelloSign eSignature است که با استفاده از API آن می توانید:

• امضاکنندگان را در صفحه خود با جاسازیeSignatures در جریان های کاغذی آنلاین نگه دارید

• لیست امضاکنندگان مجاز را با لیست سفید سفارشی کنید

• مرحله اضافی ارسال امضاکنندگان به یک سایت شخص ثالث برای امضای اسناد را حذف کنید

• کارهای اداری خود را برای امضای سریعتر اسناد به صورت خودکار انجام دهید

*امضای دیجیتال چگونه می تواند به رونق کسب و کارها و همچنین در بخش تجارت بین الملل کمک کند؟
ما در میانه رونق امضای الکترونیکی در جهان هستیم. با حرکت سریع کسب و کار به سمت فضای ابری و استقرار کارکنان در دفاتر راه دور، امضای الکترونیکی به سرعت به یک ابزار ضروری در فضای کاری دیجیتال جدید تبدیل شده است.

در آینده نزدیک امضای الکترونیکی به یک بخش ضروری و مورد انتظار از فرآیند عقد قرارداد برایتما سازمان‌ها در هر اندازه تبدیل خواهد شد.در دو سال گذشته پس از شیوع کووید ۱۹، کسب‌وکارها برای حفظ تداوم فعالیت و پذیرش مشتریان در شرایط جدید، به‌طور قابل توجهی ساختارهای خود را تغییر داده‌اند. امضای الکترونیکی اولین قدم آسان برای بسیاری از آنهایی بود که به دنبال حرکت به سمت تراکنشهای راه دور بودند.

در تحقیقاتی که شرکتDocuSign در سال ۲۰۲۱ انجام داد، مشخص گردید که ۹۵٪از سازمانها یا در حال حاضر از امضای الکترونیکی استفاده می کنند یا قصد دارند در آینده نزدیک از آن استفاده کنند. علاوه بر این، دو سوم کسب و کارهایی که در حال حاضر از امضای الکترونیکی استفاده می کنند، تنها در دو سال گذشته از آن استفاده کرده اند.

به طور خلاصه، امضای الکترونیکی در حال رشد انفجاری است. در واقع داشتن یک فرآیند امضای ساده برای همکاری های داخلی و تراکنش های بین‌المللی دیگر یک تمایز نیست.

امضای الکترونیکی از یک ابزار خاص تیمی به یک الزام استراتژیک در سراسر شرکت تبدیل خواهد شد. در بیشتر سازمان‌های مدرن امروزی، فناوری امضای الکترونیکی متعلق به تیم‌هایی است که به احتمال زیاد در قراردادهای دیجیتال مشارکت دارند.

هر چه قراردادهای بیشتری به صورت دیجیتالی تولید، مذاکره، تکمیل و ذخیره می شوند، هر تیم در یک سازمان به بخشی از تصویر بزرگتر امضای الکترونیکی علاقه مند می شود. منابع انسانی می خواهند کارنامه استخدام و پذیرش را ساده کنند (به خصوص اگر آن کارمندان جدید از راه دور باشند). فروش می خواهد ایجاد و تایید قرارداد را ساده کند.

تدارکات می خواهد انعطاف پذیری را در مذاکره با فروشندگان جدید و موجود بهبود بخشد. حقوقی و فناوری اطلاعات همچنان به عنوان مالکان مرکزی درگیر خواهند بود، اما تیم های دیگر بیشتر در موفقیت امضای الکترونیکی سرمایه گذاری خواهند کرد.

قوانین جدید استفاده از خدمات شهادت را برای قراردادهای امضا شده الکترونیکی گسترش خواهد داد. برخی از بخش‌های فرآیند معامله توافق هنوز به صورت حضوری در حال انجام است. این امر در مواردی رایج است که برای تکمیل یا امضای یک توافق به شاهد شخص ثالث نیاز است.

با توجه به اسنادی که باید به طور رسمی توسط یک دفتر اسناد رسمی گواهی شود (مثلاً: سوگندنامه ها، وکالتنامه ها)، امضاکنندگان فردی ممکن است برای امضای قرارداد به طور مناسب نیاز به انجام فرآیندهای حضوری بسیار ناخوشایند داشته باشند.

در پاسخ به نیاز بیشتر به تراکنش‌های چند طرفه که بدون تعاملات رو در رو انجام می‌شوند، در برخی از مناطق جغرافیایی تحرک زیادی برای شناسایی قانونی خدمات شاهد آنلاین از راه دور به عنوان یک جایگزین عملی وجود دارد.

در ایالات متحده، بیش از ۳۵ ایالت اکنون خدمات اسناد رسمی آنلاین از راه دور را مجاز می دانند. در استرالیا، چندین ایالت اجازه استفاده از برنامه های گسترده تر شهادت الکترونیکی از راه دور را داده اند.

این پیشرفت از بین نمی رود روندهایی مانند این فقط در یک جهت حرکت می کنند. ایالت‌ها و کشورهایی که شهادت الکترونیکی از راه دور را پذیرفته‌اند، به تدوین قوانین برای رسیدگی به موارد استفاده اضافی برای بهره‌گیری بیشتر از مزایای زیرساخت دیجیتال مدرن‌تر، کارآمدتر و ایمن‌تر ادامه خواهند داد. ایالت‌ها و کشورهایی که هنوز این حرکت را انجام نداده‌اند، کارهای مناطق دیگر را زیر نظر خواهند داشت و به زودی از آن پیروی می‌کنند.

خدمات شهادت الکترونیکی از راه دور، مانند دفتر اسناد رسمی آنلاین از راه دور، یک تحول واضح است که به چندین طرف اجازه می دهد تا با توافقات مهم تعامل قوی داشته باشند. سازمان هایی که به طور معمول با تراکنش های چند طرفه سر و کار دارند (مخصوصاً در صنایع تحت نظارت شدید) و نیاز به تعامل با شاهدان شخص ثالث دارند، باید مراقب باشند.

* امضای دیجیتال در بخش دولت الکترونیک و ( خدمات بانکی ومالی) در ایران در چه وضعیتی قرار دارد؟ بیشتر کدام ارگانها در ایران به استفاده از این فناوری روی آورده اند؟ چرا بقیه استقبال نکرده اند؟
امضای الکترونیکی در ایران قدمتی حدودا ۱۰ ساله دارد که با راه‌اندازی ریشه (Root) وزارت صمت آغاز گردید. پس از آن قوه قضاییه هم ریشه خود را راه‌اندازی نمود. بانک مرکزی سومین نهادی بود که به راه‌اندازی ریشه خاص خود پرداخت لیکن بر اساس مصوبه اخیر هیئت دولت موظف گردید زیرمجموعه ریشه وزارت صمت قرار گیرد.

وزارت صمت برای ارائه این خدمت به درخواست‌کنندگان نه تنها پیشخوان RA ایجاد نکرده بلکه این وظیفه به دفاتر پیشخوان دولت هم بخوبی واگذار نگردید. کارکرد فعلی این ساختار عمدتا در صنعت حمل و نقل است.

در سیستم بانکی هم بانک مرکزی تصمیم دارد شعب بانکها را RA کند و متقاضیان موظف به استفاده از نماد هستند، لیکن هیچ اپلیکیشن خاصی برای ذخیره کلید بر روی گوشی‌ها هنوز ارائه نکرده است و علاوه بر این برای متقاضیانی هم که گوشی هوشمند ندارند، تدبیر خاصی هنوز اندیشیده نشده است.

مشکل دیگر سیستم بانکی در راه‌اندازی امضای الکترونیکی عدم وجود آئین‌نامه در این زمینه می‌باشد. در سیستم بانکی کاربرد اصلی امضای دیجیتال در قراردادهای تسهیلاتی است و در تراکنشهای بانکی نقش خاصی برای آن نمی‌توان متصور شد.

در شبکه بانکی چندین بانک شامل بانکهای ملی، صادرات، تجارت، ملت با تهیه HSM و نرم‌افزار مربوطه که بصورت متن باز در اختیار است اقدام به راه‌اندازی Intermediate CA نموده‌اند.

تجربه دیگر امضای الکترونیکی مربوط به وزارت اقتصاد و دارایی در سال ۹۵ است که برای تحویل اظهارنامه‌ها شرکتها موظف شدند با تهیه توکن مخصوص از آن استفاده نمایند لیکن در عمل هیچ وقت اجرایی نگردید.

* مهمترین چالشهای استفاده از امضای دیجیتال در ایران چیست؟راهکار توسعه ای آن را چیست؟ دولت و ارگانهای مربوطه باید چه اقداماتی در زمینه تسهیل سازی این حوزه انجام دهند؟

امضای الکترونیکی در اکثر کشورهای جهان معتبر و قانونی است. اکثر کشورها متوجه شده اند که امضای جوهر در اقتصاد سریع و جهانی ما چقدر سنگین شده است: امضاهای جوهر روند قرارداد را کند می کنند و یک مشکل مدیریت کاغذ ایجاد می کنند.

در ایران از امضای الکترونیکی بیشتر در اتوماسیون اداری سازمان‌ها برای مکاتبات داخلی استفاده شده و برای مکاتبات خارج از سازمان از آن استفاده نمی شود. چالش اصلی عدم استفاده در ساختارهای درون سازمانی، برخی دغدغه های امنیتی و سوءاستفاده های احتمالی و نیز نبوده بلوغ و فرهنگ سازمانی مناسب نسبت به این موضوع است. در روابط بین سازمانی هم فقدان آئین‌نامه‌های مشخص در CA ها و نامعلوم بودن تکلیف ارگانهایی که مجاز به ایجاد ریشه هستند، عدم ایجاد روشهای مناسب نگهداری کلید و نرم‌افزارها و سخت‌افزارهای مربوطه از جمله دلایل اصلی هستند.

اجباری نمودن استفاده از امضای دیجیتال در عقد انواع قرارداد با سازمانهای دولتی و سیستم بانکی باعت تسهیل‌سازی در این حوزه می‌گردد.

* اقتصادهای پیشرفته در این زمینه چه تسهیلاتی را فراهم میکنند؟ مثلا در زمینه تامین مالی، تحقیق و توسعه یا زیر ساخت های مربوطه، و یا دانش فنی... و سایر موارد؟

نیاز دائمی به امنیت داده ها در حین انتقال اطلاعات حساس همواره وجود داشته است. با توجه به رونق تجارت الکترونیک و بانکداری آنلاین، شرکت ها نیاز به ایمن سازی شبکه های خود برای جلب اعتماد مشتریان را داشتند.

این امر منجر به نرخ پذیرش بیشتر و سریع‌تر امضای دیجیتال شده است که به عنوان مهر اصالت شخصی فرستنده بر روی هر سند الکترونیکی عمل می‌کند.با تکامل تکنولوژی، نحوه اجرای اسناد نیز متحول شده است.

با افزایش تقاضا برای روش های مدرن و راحت برای ورود به تراکنش های الزام آور، قراردادهای الکترونیکی و امضای دیجیتال در سال های اخیر شتاب زیادی به دست آورده اند. چنین تحولاتی به طور قابل توجهی نحوه ورود این تراکنش ها و فرآیندهای اجرا را تغییر داده است.

مصرف کنندگان جوان نیز نیروی محرکه افزایش امضای دیجیتال در صنعت خدمات مالی بوده اند. بانکهای مختلف در سراسر جهان اسناد مالی مانند افتتاح حساب بانکی، قرارداد وام، سرمایه گذاری، مدیریت ثروت، قراردادهای وام مسکن را در طول همه گیری به صورت الکترونیکی امضا کرده اند که منجر به افزایش تقاضای امضای دیجیتال شده است. همچنین، سازمان‌های دولتی، مانند DMV و مهاجرت، پشتیبانی بیشتری از امضای الکترونیکی برای اسناد مهم ارائه کرده‌اند.

اتخاذ راه حلهای امضای دیجیتال به طیف گسترده ای از پردازش اسناد و قابلیت های اتوماسیون برای دولت های فدرال، ایالتی و محلی کمک کرده و دسترسی به داده های حیاتی را بهبود بخشیده است و در عین حال هزینه های مرتبط با آن را کاهش می دهد.

تلاش های مختلفی توسط دولتها برای توسعه یک زیرساخت دیجیتال انجام شده است که نیاز به راه حل های مبتنی بر نرم افزار را برای داده های انباشته شده ایجاد می کند. دولت ایالات متحده در حال حاضر برنامه‌هایی در زمینه فناوری اطلاعات مانند تجربه دیجیتال، هویت، اعتبار، مدیریت دسترسی (ICAM) و استراتژی دیجیتال دارد.

*سخن پایانی در این حوزه که می تواند راهگشا باشد ... .

در دنیای آتی وجود زیرساخت امضای الکترونیکی برای انجام تراکنشهای بین‌المللی یک الزام است ولی انتخاب محصول مناسب و مطمئن از اهمیت ویژای برخوردار است. هنگام انتخاب ارائه‌دهنده امضای الکترونیکی،وجود ویژگیهای زیر را بررسی نمایید:

• احراز هویت امضاکنندگان سند تا بدانید چه کسی اسناد شما را امضا می کند.

• الصاق امضا به سند. از این طریق خواهید دانست چه کسی و چه زمانی یک سند را امضا کرده است.

• صحت قرارداد. از دستکاری قرارداد در حین و بعد از فرآیند امضا جلوگیری می‌کند.

• ارائه مدارک قابل پذیرشدر دادگاه. ایجادیک دنباله تراکنش جامع بین طرفین امضا کننده برای ارائه تاریخچه تراکنش به و اطلاعات مختلفی مانند اطلاعات IP و اطلاعات UserAgent از لحظه ارسال سند برای امضا تا زمانی که به طور کامل امضا و ایمن شده است و قراردادن انکان ردیابی و مهر زمانی

• تهیه سوابق امن و رمزنگاری شده

• امکان امضای هر نوع فایل و هر پلتفرم.

کد خبر: ۱۴۷٬۶۲۰

اخبار مرتبط

برچسب‌ها

نظر شما

شما در حال پاسخ به نظر «» هستید.
  • نظرات حاوی توهین و هرگونه نسبت ناروا به اشخاص حقیقی و حقوقی منتشر نمی‌شود.
  • نظراتی که غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نمی‌شود.
  • captcha