کلمه عبور معتبر نیست

در هزاره سوم که علوم مختلف هر لحظه به روز می شود، اینترنت و کارکردهای گسترده آن به جزء لاینفک زندگی بشر تبدیل شده است و حفظ اطلاعات شخصی و ایجاد امنیت برای کاربران اهمیت فراوانی یافته است. برای مثال، کاربری که در یک فروشگاه اینترنتی مشغول خرید یک جنس به خصوص است، به طور قطع باید از وجود سیستم های محافظتی به منظور حفظ امنیت و نگهداری از رمز عبور و اطلاعات مربوط به حساب بانکی خود اطمینان داشته باشد. این مسئله در مورد کاربرانی که قصد استفاده از سرویس های پست الکترونیکی و... را دارند نیز وجود دارد. امنیت الکترونیکی که امروزه به نیاز اصلی و اساسی همه ساکنان دنیای مجازی تبدیل شده است، توسط امضای دیجیتال که یک ضمانت کلی برای حفظ و نگهداری از اطلاعات شخصی و محرمانه کاربران در اینترنت است، تامین می شود.
● تعریف امضای دیجیتالی
تاکنون تعریف دقیق و جامعی از امضای دیجیتالی ارائه نشده است، اما تعریفی که امروزه بیشتر مورد استفاده قرار می گیرد و کارشناسان تاکید فراوان بر آن دارند، مربوط به کارکردهای فراوان امضای دیجیتالی می شود که برای روشن تر شدن بحث به یکی از کارکردهای آن اشاره می کنیم:
به طور قطع، کاربرانی که با اینترنت و دنیای مجازی سر و کار دارند نامه های الکترونیکی متعددی دریافت کرده اند که هر کدام از این نامه ها شامل مجموعه ای از حروف و اعداد در انتهای آن ها می شود. در نگاه اول به نظر می آید که این اطلاعات بی فایده است و یا اینکه خطایی را در سیستم نشان می دهد. اما با دقت بیشتر درخواهیم یافت، این علایم نشان دهنده یک امضای دیجیتالی است که نامه الکترونیکی را پشتیبانی می کند و این اطمینان را به کاربر می دهد که نامه الکترونیکی حاضر از امنیت کامل برخوردار است.
به منظور ایجاد یک امضای دیجیتالی، از یک الگوریتم برای ترکیب اطلاعات استفاده می شود که ماحصل این عملیات تولید یک رشته مستقل، محتوی مجموعه ای از اعداد و حروف خواهد بود. امروزه سوءاستفاده از آدرس های الکترونیکی برای مهاجمان، هکرها و هرزنامه نویسان به امری متداول تبدیل شده است و با توجه به نوع عملکرد آن ها، در بیشتر مواقع شناسایی هویت فرد ارسال کننده این برنامه های مخرب بسیار مشکل و حتی در برخی موارد غیرممکن است. در این میان باید توجه داشت که تشخیص غیرجعلی بودن نامه های الکترونیکی در فعالیت های تجاری و بازرگانی نیز در بیشتر مواقع کار دشواری است که می تواند مشکلات فراوانی را به همراه داشته باشد.
یک نامه الکترونیکی به همراه یک امضای دیجیتالی در اصل نشان دهنده این موضوع است که متحوای پیام از زمان ارسال، تا زمانی که به دست مخاطب می رسد دچار تغییر نشده است.
از دیگر کارکردهای امضای دیجیتالی اعتبار بخشیدن به هویت کاربر در فضای مجازی است که بر اساس آن، فرد به راحتی می تواند به صورت الکترونیکی تجارت و معاملات خود را انجام دهد. برای انجام مراوده و مبادله در دنیای واقعی، هر یک از طرفین با استفاده از اعتبار خود نظر دیگری را جلب می کنند و بر اساس این اعتبارات، مورد اطمینان قرار می گیرند. در دنیای سایبر معاملات به همین شکل صورت می گیرد و کاربران به واسطه اعتبارات الکترونیکی خود که مهم ترین آن امضای دیجیتالی است، به یکدیگر اعتماد می کنند و با آسودگی خاطر به معامله می پردازند.
علاوه بر مواردی که ذکر شد، امضای دیجیتالی کلیه مراکز مختلف نظیر سایت های اینترنتی، شرکت ها، کارخانجات، ادارات، بانک ها و... را پشتیبانی می کند و به حفاظت آن ها می پردازد؛ به طوری که نفوذ هکرها و مهاجمان به سیستم الکترونیکی این مراکز و دسترسی آن ها به اطلاعات محرمانه را غیرممکن می کند. به طور قطع از آنجایی که رمز عبور حساب های بانکی افراد از محرمانه ترین مسائل برای آن ها محسوب می شود، ایمن بودن و حفظ سایت های اینترنتی وابسته به بانک ها می توان مهم ترین کارکرد امضای دیجیتالی باشد.
● امضای دیجیتالی ایرانی
به طور قطع، SSLهایی که مبنای یک امضای دیجیتالی محسوب می شوند و محافظت از پایگاه های اینترنتی را برعهده می گیرند، باید از اعتبار بین المللی برخوردار باشند. به عبارت دیگر، هنگامی که مرکزی اعتبار یک پایگاه اینترنتی را تاکید کرد و به آن امضای دیجیتالی داد، این پایگاه اینترنتی باید بتواند با استناد به آن در فضای سایبر اعتبار کسب کند و به فعالیت های خود بپردازد.
با توجه به تحریم اقتصادی و اعمال محرومیت های بین المللی علیه ایران، مراکز صدور گواهی دیجیتالی داخلی از اعتبار بین المللی برخوردار نیستند و بر این اساس، صدور امضای دیجیتالی از سوی آن ها در فضای سایبر فاقد اعتبار بین المللی است. این مسئله در حالی رخ می دهد که سایر شرکت های بین المللی که در این زمینه دارای اعتبار هستند، از صدور امضای دیجیتالی و حمایت امنیتی از پایگاه های اینترنتی امتناع می کنند.
کارشناسان این حوزه وضعیت پایگاه های امن در ایران را در مقایسه با استنانداردهای جهانی نامساعد می دانند. به طور کلی می توان گفت، تعداد کمی از پایگاه های اینترنتی ایران در فضای سایبر از امنیت پایینی برخوردار هستند و یا SSLهایی که آن ها را حمایت می کند، ضریب اطمینان پایینی دارند. عدم صدور هر نوع گواهی دیجیتالی برای دامنه های ایرانی با پسوند ir و همچنین عدم صدور گواهی دیجیتالی به صورت فراگیر برای پایگاه های اینترنتی ایرانی مشکلاتی عدیده ای را در زمینه امضای دیجیتالی ایجاد کرده است.
علاوه بر این، کاربران ایرانی که صاحب حساب های بانکی در داخل کشور هستند، به دلیل عدم کسب اعتبار لازم و نداشتن امضای دیجیتالی بین المللی قادر به مراوده و تجارت در فضای سایبر نیستند و این مسئله باعث شده که تجارت الکترونیکی ایرانی در این بخش با مشکل مواجه شود. زیرا در عمل، هیچ هویت و شناسنامه دیجیتالی از سوی مراکز بین المللی صدور گواهی دیجیتالی برای کاربر صادر نشده است و در اصل، او در فضای سایبر هویتی ندارد.
● مشکل فنی نداریم!
با توجه به مشکلاتی که دامن گیر تجارت الکترونیکی ما شده است، سید پاشا ناصرآبادی دبیر همایش "امضای الکترونیک" وضعیت فنی مراکز صدور امضای دیجیتالی در ایران را امکان پذیر می داند و در این خصوص می گوید: «مشکل ما در این زمینه برخلاف تصورات گذشته، نقص های فنی نیست. مراکز داخلی که به ارائه خدمات در این زمینه مشغول هستند، از لحاظ فنی می توانند با مراکز فنی رقابت کنند.»
وی اعمال تحریم های اقتصادی علیه ایران را مشکل اصلی در این زمینه می داند و معتقد است که نباید امضای دیجیتالی را فقط محدود به تجارت الکترونیکی دانست که با اعمال محدودیت ها و تحریم های اقتصادی دچار مشکل است تا ما بدون هرگونه تلاش منتظر رفع آن باشیم. وی در توضیح این مسئله می گوید: «امضای دیجیتالی فقط به ارائه هویت در فضای مجازی برای تجارت الکترونیکی ختم نمی شود، از کارکردهای اساسی آن می توان به ایجاد امنیت در سیستم های اتوماسیون اداری اشاره کرد که ما حداقل در داخل کشور می توانیم به این مسئله رسیدگی کنیم.»
طبق گزارش مسؤولان، در حال حاضر چند مرکز ارائه گواهی دیجیتالی داخلی وظیفه اجرای این پروژه را به عهده گرفته اند که از جمله آن ها می توان به وزارت بازرگانی، بانک مرکزی و شرکت راهبر اشاره کرد.
در همین راستا، دکتر محمود زرگر، مدیرکل توسعه تجارت الکترونیک معاونت برنامه ریزی و امور اقتصادی وزارت بازرگانی از پایان یافتن پروژه امضای دیجیتالی خبر داده است و می گوید: «خدمات امنیتی سایت در حال انجام است تا بتوان تست گواهی دیجیتال را عمومی کرد. البته مرحله نخست آزمایش ها روی امضای دیجیتالی انجام شده است و این پروژه هم اکنون در مرحله دوم آزمایش به سر می برد.»
زرگر با تشریح عملکرد وزارت بازرگانی در حوزه توسعه تجارت الکترونیکی توضیح می دهد: «وزارت بازرگانی در سه حوزه زیرساختی، کاربردی و آثار و منافع، برنامه هایی را به مرحله اجرا درآورده است. در حوزه زیرساخت ها عمدتا به بحث های مربوط به شبکه های استاندارد و امنیت، آموزش، قوانین و مقررات و بانکداری الکترونیکی پرداخته شده که بخشی از آن در اختیار وزارت بازرگانی است.»
به طور قطع، با وجود مراکز ارائه دهنده گواهی دیجیتالی که به گفته مسؤولان از لحاظ فنی همگام با استانداردهای بین المللی حرکت می کنند، انتظار می رود سایت های اینترنتی ادارات، بانک ها و سازمان های داخلی دارای امنیت بیشتری باشند و SSL مربوطه را از چنین مراکزی دریافت کنند. با وجود اینکه زمان نسبتا زیادی از راه اندازی پروژه امضای دیجیتالی در کشور می گذرد، اتوماسیون اداری در بیشتر ادارات، بانک ها و سازمان های داخلی و حتی شرکت های معتبر بین المللی توسط SSLهای بین المللی حمایت نمی شوند و مورد حمله هکرها، ویروس ها و هرزنامه ها قرار می گیرند. این در حالی است که در کشورهای پیشرفته، چندین سال از اجرای طرح ایمن سازی سایت های و مراکز اتوماسیون اداری می گذرد.
بنابراین در اینجا یک سوال اساسی مطرح می شود که باوجود صرف هزینه و زمان بسیار برای انجام پروژه امضای دیجیتالی و فاصله زیاد کشور ما در این زمینه با استانداردهای جهانی، چرا تاکنون چاره ای برای ایمن سازی سیستم اتوماسیون اداری اندیشیده نشده است؟ اعمال تحریم و محدودیت ها علیه ایران، فعالیت های ایران را در زمینه تجارت الکترونیکی در حوزه فراملی با مشکل مواجه کرده است، اما باید توجه داشت که این مسئله به صورت مستقیم بر فعالیت های درون مرزی تاثیر نمی گذارد.
مدیران ارشد تجارت الکترونیکی بر ضرورت وجود استانداردهای سایت های تجاری تاکید می کنند و معتقدند که هویت صاحب سایت تجاری که قرار است در قبال انجام خدمات، هزینه ای را دریافت کند و تعهدی داشته باشد، باید شناخته شود و از ضوابط فنی، حقوقی و قانونی تبعیت کند. این در حالی است که امنیت سایت های اینترنتی بانک ها که از اهمیت فوق العاده ای برخوردار هستند، در هاله ای از ابهام قرار داشته و با استانداردهای جهانی فاصله بسیار دارد.
ناصرآبادی در توضیح این مسئله می گوید: «تاکنون تعدادی از شرکت های داخلی در این زمینه اقداماتی را در زمینه ایمن سازی اتوماسیون اداری انجام داده اند. اما مشکل اساسی در این خصوص، مستعد نبودن نرم افزار سایت های اینترنتی بیشتر ادارات و شرکت ها است.»
«بسیاری از نرم افزارهایی که در سیستم کامپیوتری ادارات داخلی به کار گرفته شده است، قابلیت حمایت از SSLها را ندارد. بنابراین باید پیش از آنکه بتوان آن ها را از لحاظ امنیتی حمایت کرد، نرم افزارهایی را که در آن ها به کار رفته تغییر داد تا بتوانند SSL را بپذیرند و به آن پاسخ دهند.»
ناصرآبادی آگاه سازی مدیران IT را برای به روز کردن نرم افزارها و امنیت سازی اتوماسیون اداری از مهم ترین اهداف برگزاری همایش امضای دیجیتالی در سال گذشته و سال جاری می داند.
با توجه به اینکه در سال های اخیر سوءاستفاده و کلاهبرداری اینترنتی در داخل کشور رو به افزایش است، امضای دیجیتالی و طرح امنیت سایت های اینترنتی می تواند مشکلات پیش رو در این زمینه را از میان بردارد. دبیر همایش امضای دیجیتالی ضمن تایید این مطلب ادامه می دهد: «نکته ای که باید به آن توجه داشت، این است که همه مشکلات ناشی از کلاهبرداری های اینترنتی، جعلی بودن سایت ها، ایمیل ها و... توسط امضای دیجیتالی حل و فصل نمی شود. بسیاری از مشکلاتی که در این زمینه وجود دارد، به سواد دیجیتالی کاربران برمی گردد.»
برای مثال، اینکه سایت هایی با نام مشابه سایت های معتبر از جمله سایت یک بانک برای کاربر پست الکترونیکی ارسال می کنند، می تواند مشکلات فراوانی به همراه داشته باشد. در این شرایط کاربر بدون توجه به انتهای نام سایت که توسط یک اسلش به محل دیگری لینک داده شده، فقط به ابتدای لینک که نام درست سایت در آن درج شده است توجه می کند و وارد سایت می شود.
با این کار، اطلاعات محرمانه از جمله رمز عبور حساب بانکی خود را در اختیار سایت مذکور می گذارد و به این ترتیب در دام هکرها و کلاهبرداران اینترنتی گرفتار می شود. به عقیده ناصرآبادی، این مسئله را امضای دیجیتالی و ایمن سازی سیستم های اتوماسیون اداری نمی تواند از میان بردارد.
● ضعف اطلاع رسانی
پایین بودن سواد دیجیتالی در ایران که خسارات جبران ناپذیری را ایجاد کرده، تنها مختص به کاربران عمومی نمی شود. این مشکل حتی برای بسیاری از مدیران IT نیز وجود دارد. عدم آموزش و اطلاع رسانی به موقع از مهم ترین عواملی است که به این مشکلات دامن می زند. تاسف برانگیز است که بسیاری از مدیران ارشد ادارات، شرکت ها و بانک های داخلی با واژه امضای دیجیتالی، امنیت اتوماسیون اداری و... بیگانه هستند. بسیاری از این مسؤولان از سواد دیجیتالی قابل قبولی برخوردار نیستند و این مسئله باعث ایجاد تاخیر در روند به ثمر رسیدن پروژه امضای دیجیتالی شده است.
در ایران نه تنها اطلاعات محرمانه کاربران ساده اینترنتی در خطر است، بلکه مسؤولان و مدیران IT نیز در این زمینه با مشکل مواجه هستند. سایت های اینترنتی بیشتر شرکت ها، اداره ها و بانک ها فاقد ایمنی لازم برای حفظ و نگهداری اطلاعات محرمانه کاربران هستند.
بنابراین، در شرایط کنونی که اطلاع رسانی بسیاری اندک صورت گرفته، آگاهی دادن به مدیران IT برای اجرای پروژه ایمن سازی سیستم های اتوماسیون اداری می تواند تاثیر قابل ملاحظه ای برجا بگذارد.
در این زمینه، آموزش کاربران در سطح پایین تر برای مقابله با هکرها و برنامه های مخرب اینترنتی از مهم ترین اقداماتی است که به طور قطع باید در برنامه های مراکز دولتی و خصوصی مربوطه لحاظ شود.
در راستای همین برنامه، در اردیبهشت ماه سال گذشته اولین همایش امضای دیجیتال با همکاری بخش خصوصی برگزار شد؛ همایشی که در مقابل چشمان متعجب شرکت کنندگان، متولی اصلی امضای دیجیتال در ایران یعنی وزارت بازرگانی در آن حضور نداشت! این همایش که هدف از آن اطلاع رسانی و آگاهی به شهروندان اعلام شده بود، تنها از جانب بخش خصوصی حمایت شد.
نکته جالب توجه اینجاست که مسؤولان ذی ربط در مصاحبه های مطبوعاتی به ضرورت اطلاع رسانی و آگاهی در این خصوص بیش از هر چیز دیگری تاکید می کنند، اما در عمل اقدامی جدی از سوی سازمان ها و وزارتخانه های مربوطه صورت نمی گیرد. به گفته دبیر این همایش که برای دومین سال در تاریخ ۳۱ اردیبهشت ۸۷ برگزار شد، تاکنون هیچ حمایت جدی از سوی نهادهای دولتی برای برگزاری همایش امضای دیجیتال انجام نشده است.
با نگاهی اجمالی به این مسئله می توان گفت، این همایش که برای آگاه سازی و اطلاع رسانی عمومی و همچنین ایمن سازی سیستم های اتوماسیون اداری برگزار می شود، بیش از هر ارگان دیگری به وزارت بازرگانی(متولی امضای دیجیتالی در ایران) و وزارت ارتباطات و فناوری اطلاعات مربوط می شود. مسلما می توان به جای صرف وقت و هزینه برای انجام پروژه هایی که اهمیت کمتری در تحقق دولت الکترونیکی دارند، برای پروژه هایی برنامه ریزی کرد که از اولویت بیشتری برخوردارند.
شاید برای نزدیک شدن به استانداردهای جهانی، بهبود وضعیت IT و فرهنگ سازی در خصوص فعالیت های دیجیتالی به افتتاح حساب های بانکی برای هر دانش آموز و صرف هزینه های فراوان در این زمینه نیاز چندانی نباشد. به طور قطع از همکاری بخش خصوصی و دولتی به منظور فرهنگ سازی و اطلاع رسانی برای فهم بهتر مسائل دیجیتالی در سطح ساده و تخصصی آن نتایج بهتری خواهیم گرفت