استانداردهای مدیریت هویت و دسترسی
استانداردهای مدیریت هویت و دسترسی برای قدرتمندی، پایداری و همکاری متقابل سیستمهای مختلف از جمله سیستمهای Identity and Access Management (IAM) بسیار حیاتی میباشند. استانداردهای فرآیند، استانداردهای داده و استانداردهای فنی سه نوع استاندارد مورد نیاز برای اطمینان از قابلیت همکاری متقابل در لایههای فنی، معنایی و سازمانی به شمار میروند. سری مقالاتی که در این بخش ارائه میشوند به دنبال شناسایی چارچوبها و استانداردهای فنی بینالمللی قابل اعمال در چرخه عمر هویت میباشند. فهرست استانداردهای فنی و ارائهدهندگان این استانداردها میتواند به عنوان مرجعی برای ذینفعان اکوسیستم سیستمهای تعیین هویت مورد استفاده قرار گیرد.
استانداردها با توجه ضبط، ذخیرهسازی، انتقال و استفاده از دادههای هویتی همچنین تعیین فرمت و ویژگیهای اعتبارنامههای هویتی و پروتکلهای احراز هویت باید در ایجاد پروتکلها، روشهای آزمون، ارزیابی کیفی و بهروشهای قابل درک و سازگار مدیریت هویت و دسترسی بکار روند. بنابراین در هر مرحله از چرخه عمر هویت شامل ثبتنام، اعتبارسنجی، حذف نسخههای تکراری و احراز هویت حیاتی میباشند. استانداردها به کسب اطمینان از وجود قابلیت همکاری متقابل، آزمونپذیری و برآوردهسازی اهداف کارایی توسط هر کدام از بلوکهای سازنده سیستمهای هویتی کمک میکنند. تضمین اثربخشی یک سیستم هویتی متصل و دارای همکاری متقابل بدون بهرهگیری استانداردهای به سختی امکانپذیر است.
استانداردهای مورد استفاده برای سیستمهای هویتی با توجه به نبود استانداردی واحد میتوانند به شکل معنیداری در کشورها و مناطق اقتصادی یا بلوکهای تجاری با یکدیگر تفاوت داشته باشند. این تنوع، چالشهای قابل توجهی را در زمینه همکاری متقابل و سازگاری استانداردها در داخل کشورها و همکاریهای فرامرزی ایجاد میکند. کشورها و سازمانهای در حال توسعه سیستمهای هویتی در نبود یک مجموعه مشترک از استانداردها در انتخاب استاندارد و/ یا فناوریهای اختصاصی مناسب با مشکل مواجه خواهند شد.
هویت دیجیتال یک اصطلاح کلی است که تعاریف متعددی نیز حوزههای مختلف برای آن ارائه شده است. هویت دیجیتال در این مستند به عنوان مجموعهای از خصیصههای ثبت شده، ذخیرهسازی شده و اعتبارنامههایی در نظر گرفته میشود که میتوانند یک شخص را به صورت منحصر به فرد شناسایی کنند. سیستمهای هویت دیجیتال نیز با توجه به استاندارد مورد استفاده با یکدیگر متفاوت خواهند بود. این مستند بر روی استانداردهای فنی تمرکز شده است و استانداردهای داده و فرآیند خارج از محدوده این استاندارد قرار میگیرند.

استانداردهای مدیریت هویت و دسترسی
استانداردهای فنی شامل مجموعهای از جزییات و رویههایی برای عملیات، نگهداری و قابلیت اطمینان مواد اولیه، محصولات، روشها و سرویسهای مورد استفاده توسط افراد یا سازمانها میباشند. استانداردها از پیادهسازی پروتکلهای پذیرفته شده جهانی برای عملیات، سازگاری و همکاری متقابل سیستمهای هویت اطمینان حاصل میکنند. با وجود اینکه بکارگیری استانداردها میتواند تأثیر مثبتی بر روی تجارت بینالمللی و افزایش نفوذ در بازار داشته باشد عدم توجه به استانداردها موجب ایجاد مشکلاتی در زمینه کارایی و قدرتمندی سیستم هویتی میشود.
با جایگزینی سیستمهای کاغذی با شناسههای الکترونیک و افزایش استفاده از این سیستمها، فناوریها، تعاملات مابین دستگاهها و الزامات امنیتی سیستمهای هویتی بسیار پیچیدهتر شده است. با این وجود، ظهور نوآوریهای سریع در فناوری، تحولات فناورانه بزرگ، گوناگونی محصولات، تغییر در الزامات اتصال و همکاری متقابل و نیاز به بهبود و پیادهسازی استانداردها موجب بروز چالشهایی در انتخاب استانداردها شده است. بنابراین باید شناخت کاملی از استانداردها و سازمانهای ارائهدهنده آنها وجود داشته باشد تا امکان آگاهی از تغییرات و همگامی با آنها فراهم شود.
نهادهای تهیهکننده استانداردهای مدیریت هویت و دسترسی
استانداردهای مدیریت هویت و دسترسی معمولاً توسط سازمانهای تخصصی و مختص این کار تعریف میشوند. این سازمانها در حوزه استانداردهای مرتبط با فناوری اطلاعات و ارتباطات وظیفه تنظیم، نظارت و بهروزرسانی پیوسته استانداردهای فنی را بر عهده دارند تا طیف وسیعی از مسائل مرتبط به پروتکلهای مورد استفاده برای اطمینان از عملکرد و سازگاری محصولات و همچنین تسهیل همکاری متقابل آنها را برطرف نمایند. معمولاً این استانداردها و بهروزرسانیهای مرتبط با آنها برای منفعت عمومی تهیه و منتشر میشوند.
سازمانهای متعددی در زمینه تولید و بهروزرسانی استانداردهای فنی سیستمهای تعیین هویت دیجیتال فعالیت میکنند. این سازمانها در سه دسته سازمانهای بینالمللی نظیر آژانسهای تخصصی سازمان ملل، کنسرسیومهای صنعتی، سازمانیهای ملی قرار میگیرند.
-
سازمانهای بینالمللی
سازمانهای بینالمللی فعال در این حوزه عبارتاند از سازمان بینالمللی استانداردسازی (ISO)، کمیسیون بینالمللی الکتروتکنیک (IEC)، اتحادیه بینالمللی مخابرات (ITU)، سازمان بینالمللی هواپیمایی غیرنظامی (ICAO)، سازمان بینالمللی کار (ILO)، کمیته اتحادیه اروپا برای استاندارد (CEN)، کنسرسیوم وب گسترده جهانی (W3C)، کارگروه مهندسی اینترنت (IETF)/ انجمن اینترنت
-
سازمانیهای ملی
در کنار سازمانهای بینالمللی، سازمانهای ملی نیز استانداردهای مدیریت هویت و دسترسی را با دیدگاه فنی و بر مبنای نیاز خود و سیستمهای اندازهگیری توسعه میدهند. تعدادی از مهمترین سازمانهای ملی توسعهدهنده استاندارد عبارتاند از مؤسسه ملی استاندارد آمریکا (ANSI)، مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST)، کمیته بینالمللی استانداردهای فناوری اطلاعات در ایالات متحده (INCITS)، وزارت امنیت داخلی ایالات متحده (DHS)، وزارت دفاع آمریکا (DOD)، استاندارد استرالیا (SA)، مؤسسه استاندارد سوئد (SIS)، انجمن ملی بیومتریک سوئد (SNBA)، مؤسسه استانداردسازی آلمان (DIN)، سازمان نظام استاندارد فرانسه (AFNOR)، سازمان استاندارد هلند (NEN)، مرجع تعیین هویت واحد هند (UIDAI)
-
کنسرسیومهای صنعتی
کنسرسیومهای صنعتی و سازمانهای غیرانتفاعی نیز در زمینه توسعه استاندارد یا گسترش بهروشهایی برای برآوردهسازی نیازمندیهای اعضای خود فعالیت میکنند. برجستهترین نمونههای این دسته عبارتاند از کنسرسیوم بیومتریک تحت حمایت ایالات متحده، اتحادیه هویت امن (SIA)، مرکز تحقیقات فناوری تشخیص هویت (CITeR)، انجمن بیومتریک IEEE، مؤسسه بیومتریک استرالیا، اتحادیه کارت هوشمند، انجمن بینالمللی بیومتریک و تشخیص هویت (IBIA)، شرکت کانتارا، تبادل هویت باز، تبادل امنیتی باز (Open Security Exchange)، انجمن کارت هوشمند آسیا و اقیانوسیه (APSCA)، سازمان ارتقاء اطلاعات ساختاری استاندارد (OASIS)، اتحادیه FIDO و بنیاد OpenI
یکی از استانداردهای عملی هویت دیجیتال در زمینه شناسایی هویت و احراز هویت قوی مشتری آییننامهای است که مؤسسه استانداردسازی بریتانیا منتشر کرده است.
آییننامه عملی PAS 499
آییننامه عملی (Code of Practice) PAS 499 در زمینه شناسایی هویت و احراز هویت قوی مشتری، مجموعهای از معیارها برای کمک به دولت و کسبوکارها در طراحی، ساخت و خرید فناوری است که توسط مؤسسه استانداردسازی بریتانیا تهیه شده است. این آییننامه به عنوان یک استاندارد توافق شده در فرآیند کنترل هزینه استفاده میشود.
PAS 499 با عنوان «آییننامه عملی شناسایی هویت و احراز هویت قوی مشتری» راهنماییهای مورد نیاز در زمینه اجرای صحیح و استفاده از خدمات شناسایی و احراز هویت دیجیتال را در اختیار سازمانها و شرکتها قرار میدهد. PAS 499 که در ماه جولای 2019 منتشر شده است شامل مجموعهای از توصیهها است که به شرکتها در تأمین نیازهای امنیتی، نظارتی و قابلیت استفاده در ارائه خدمات دیجیتال کمک میکند. این آییننامه به شرکتها کمک میکند تا:
- تهدیدات در حال تکامل را درک کرده و اقدامات امنیتی خود را متناسب با آن توسعه دهند؛
- ایمنی سیستمهای خود را در مقابل ارائه اطلاعات نادرست یا جعلی از جانب افراد حقیقی و حقوقی افزایش دهند.
به طور کلی، PAS 499 در تلاش است تا اطمینان حاصل کند که هر شرکتی که از هویت دیجیتال یا خدمات احراز هویت پشتیبانی میکند، این کار را به روشی قوی و ایمن انجام دهد. این آییننامه نه تنها برای دنیای پرداخت، بلکه برای سایر صنایع درگیر در تأیید هویت و راستیآزمایی مشتری (Due Diligence) نیز در یک زمان بسیار مهم ارائه میشود.
در حالی که اخیراً احراز هویت مشتری قوی به واسطه دستورالعمل دوم سرویسهای پرداخت (PSD2) در کانون توجهات قرار گرفته است، مواردی در خارج از دنیای پرداخت نیز وجود دارد که به راستیآزمایی مشتری نیاز دارند که از آن جمله میتوان به اعمال محدودیت سنی در ارائه محصولات، خدمات یا نمایش تبلیغات اشاره کرد. با توجه به نیاز روزافزون صنعت و برنامههای مداوم دولت برای ارائه خدمات مبتنی بر هویت دیجیتال، تدوین استاندارد منطبق بر الزامات مختلف قانونی مورد استقبال قرار میگیرد.
روند توسعه PAS
جزییات در دسترسی عموم (PAS) در جلسات عمومی متعددی با حضور صدها ذینفع تهیه شده و در کمیتههای کوچک مربوط به قانونگذاری در مؤسسه استانداردسازی بریتانیا (BSI) تکمیل میشود. جلسات عمومی با حضور نمایندگان ارشد سهامداران از سراسر دولت، بخشهای پرداخت، فناوری و جامعه مصرفکنندگان برگزار میشود. PAS 499 با همکاری اتحادیه، MIDAS (استاندارد احراز هویتِ هویت موبایل) را توسعه داده است.
این آییننامه به گونهای طراحی شده است که کلیه جنبههای کسبوکار درگیر در ارائه یا پشتیبانی از یک راهحل شناسایی یا تأیید هویت را پوشش میدهد. این امر نه تنها بخشهای ارائه خدمات به مصرفکننده را پوشش میدهد بلکه شامل خدمات شخص ثالثی است که ممکن است محصول به آن متکی باشد.
جنبههای فنی مانند تعریف جلسات قابل قبول برای کاربر، شناسایی آسیبپذیریهای خاص دستگاه و اصرار بر آزمایشهای تشخیص زنده بودن به کاهش خطرات تهدیدات احتمالی ناشی از پیشرفت فناوری هوش مصنوعی کمک میکنند. از منظر عملیاتی، PAS 499 توصیههایی برای ساختار سازمانی شرکتها نیز دارد. این آییننامه به شرکتها توصیه میکند که کمیتهها و رویههایی برای اطمینان از ارزیابی و کاهش مستمر تهدیدات سایبری در نظر بگیرند.
شناسایی هویت دیجیتال و نقش PAS
در دنیای آنلاین، فرآیند شناسایی هویت کاربران هنگام ثبتنام و متعاقباً تأیید اینکه کاربر واقعاً همان کاربر در حال بازگشت برای استفاده از سرویس است به یک نیاز اساسی تبدیل شده است که بسیاری از عملکردهای روزمره در زندگی عمومی و تجاری را تحت تأثیر قرار میدهد. این PAS توصیههای مورد نیاز برای پیادهسازی PSD2 را فراهم مینماید. برخی از این توصیههای ارائه شده ممکن است در زمینههای دیگر مانند دسترسی به خدمات آنلاین، ارائه رضایت صریح برای دسترسی به اطلاعات یا هر تعداد دیگر از سرویسها اعمال شود. به عنوان مثال، کسبوکارها میتوانند از آن برای بررسی حق کار کاربر یا برخورداری از حق اجاره محل اقامت استفاده کنند.
این PAS حاوی نمونههای موفقی از فرآیندهای شناسایی و احراز هویت است که با استفاده از تجربیات و تجزیهوتحلیل تهدیدات امنیت سایبری موجود و در حال ظهور مانند موارد مشخص شده در دستورالعمل سیستمهای اطلاعات شبکه و استانداردهای امنیتی خاص حوزه پرداخت توسعه داده شدهاند. PAS 499 بر مبنای موارد زیر ایجاد شده است:
o استانداردها، دستورالعملها و مقررات موجود برای ارائه توصیهها و راهنماییهای اضافی با در نظر گرفتن الزامات امنیتی جدید نظارتی برای رسیدگی به روند جرائم اینترنتی؛
o تحولات موجود در مسیر حرکت به سمت هویت و احراز هویت ترکیبی مالی و دولتی [محدود به این حوزه نیست]؛ به عنوان مثال، ممکن است شامل برنامههای تجاری برای طرحهای اعلام شده بر اساس مقررات شناسایی الکترونیکی، احراز هویت و خدمات اعتماد (eIDAS) باشد.
ملاحظات برای شرکتها و کسبوکارها
جرائم اینترنتی و کلاهبرداری دارای سریعترین نرخ رشد اقدامات جنایی و آسیبپذیریها در حوزه شناسایی و احراز هویت کسبوکارها میباشند. اتخاذ فرآیندهای قوی برای به حداقل رساندن خطرات متوجه سازمانها، کاربران، کارمندان و شرکای درگیر در معاملات و خدمات آنلاین ضروری است. PAS 499 بر روی اصول مدیریتی متمرکز است و با دید رگولاتوری به مسائل مربوط به شناسایی و احراز هویت مینگرد که شامل موارد زیر میباشد.
- اعتبارسنجی هویت (Identity validation)
- تأیید هویت (Identity verification)
- ثبتنام (Enrolment)
- احراز هویت (Authentication)
- اختیار و مجوز تفویض شده
- امنیت و قابلیت استفاده
- مدلهای ریسک برای احراز هویت
هر کدام از موارد فوق شامل چندین بند اصلی و بندهای مربوط به موارد استثنا است که باید در پیادهسازی و به کارگیری سیستمهای شناسایی و احراز هویت در نظر گرفته شوند. همچنین نکاتی حیاتی مربوط به پیادهسازی و استفاده از هر کدام از بندها نیز در این سند ذکر شده است. PAS 499 شامل چندین پیوست است که مهمترین موردهای کاربردی مربوط به استفاده از دستورالعملهای این سند در آنها ذکر شده است.
PAS 499 همچنین بر روی فرآیندهای مدیریتی مورد استفاده برای ایجاد، دسترسی یا مدیریت دیجیتالی حسابهای کاربری؛ انجام پرداخت با موبایل یا دستگاههای کامپیوتری؛ پرداخت بدون تماس با دستگاههای الکترونیکی؛ نقشهای نهادهای ثالث؛ تفویض اختیار؛ بانک یا ارائهدهنده خدمات پرداخت تأمینکننده بستر معاملات، اعمال میشود. با این حال، PAS 499 پرداختهای بدون تماس با استفاده از کارتهای پلاستیکی؛ تراکنشهای مربوط به اینترنت چیزها؛ رمزارزها؛ دستگاهها یا پایانههای پرداخت خاص را پوشش نمیدهد.
ملاحظات و دستورالعملهای این سند با توجه به بهرهگیری از بهروشها و تجارب موفق جهانی میتوانند درصد موفقیت سازمان در پیادهسازی سیستمهای شناسایی و احراز هویت راه دور در ارائه خدمات آنلاین را به طرز چشمگیری افزایش دهد.
نویسنده: تورج اکبری