راه اندازی مراکز صدور گواهی دیجیتال، وزارت بازرگانی و شرکت یوتیماکو

دنیای اقتصاد – در حالى كه دو سال از تصويب قانون تجارت الكترونيك در كشور ى‌گذرد يك بحث كليدى در آن يعنى موضوع امضاى الكترونيك معطل مانده است، اين در حالى است كه بررسى‌هاى روزنامه دنياى اقتصاد نشان مى‌دهد اختلاف ميان دو نهاد مرتبط با موضوع يعنى شوراى عالى اطلاع‌رسانى و وزارت بازرگانى دليل اصلى عدم اجراى امضاى الكترونيك در كشور است.

اختلاف ميان اين دو نهاد از آنجا آغاز شد كه هر كدام از اين دو نهاد براى كسب امتياز صدور گواهى ديجيتال (Certification Authority) به نهادها و شركت‌هاى بين‌المللى متفاوتى متوسل شدند. شوراى عالى اطلاع‌رسانى شركت سوئيسى Wisekey را براى اين منظور انتخاب كرد و مذاكرات اوليه و ملاقات‌هايى را هم با آن انجام داد و در مقال وزارت بازرگانى به سراغ شركت بلغارى – آلمانى يوتيماكو (utimaco) رفت.

بر اساس يافته‌هاى خبرنگار ما شركت Wisekey در مقابل رقيب آلمانى خود از اعتبار و اسم و رسم مطرح‌ترى در عرصه گواهى ديجيتال (CA) برخوردار است و از حدود مرحله نخست اجلاس Wsis مذاكراتى نيز با اين شركت در اين زمينه صورت گرفت اما ملاقات‌هاى بعدى عمدتا به دلايل نامعلوم از سوى مسوولان وزارت بازرگانى با تاخير مواجه شد به نوعى كه شركت Wisekey عملا پس از چند قرار ناموفق به ايران اعلام كرد حاضر به انجام اين پروژه نيست. نكته قابل توجه در اين زمينه اين بود كه اين شركت از ابتدا به دلايل سياسى ناشى از تحريم – حاضر به مذاكه با ايران نمى‌شد اما سرانجام با وساطت ITU (اتحاديه جهانى مخابرات) و با استناد به مستندات تصويب شده در اجلاس جامعه اطلاعاتى مبنى بر لزوم آزادى اطلاعات براى مردم كشورها حاضر به دادن امتياز گواهى ديجيتال به ايران شد.

قانون در كدام طرف؟

هر دو طرف درگير با موضوع معتقدند قانون در واگذار كردن اختيار و پيگيرى و توسعه امضاى ديجيتال به سمت و سوى آنان گردش دارد. عباس معمارنژاد سرپرست دفتر توسعه تجارت الكترونيك معتقد است: بر اساس سياست‌نامه تجارت الكترونيك وزارت بازرگانى موظف است تا مراكز صدور گواهى ديجيتال را ايجاد كند.

گفته‌هاى معمارنژاد قابل توجه اس اما با مراجعه به سياست‌نامه تجارت الكترونيك مشخص مى‌شود كه اين سياست‌ها در خصوص اصول تجارت الكترونيكى كشور بحث مى‌كند ضمن اينكه به صراحت در آن دبيرخانه شوراى عالى اطلاع‌رسانى به عنوان متولى تدوين ساختار ملى زيرساخت امضاى الكترونيكى مشخص شده است.

شايد مشكل و اختلاف از همين جا سرچشمه مى‌گيرد چرا كه در ماده31 قانون تجارت الكترونيك بحث دفاتر خدمات صدور گواهى الكترونيك (Certification Service Pravider) ذكر شده و آمده است. دفاتر خدمات صدور گواهى الكترونيكى واحدهاى هستند كه براى ارائه خدمات صدور امضاى الكترونيكى در كشور تاسيس مى‌شوند اين خدمات شامل توليد، صدور، ذخيره، اسال، تاييد، ابطال و به روز نگهدارى گواهى‌هاى اصالات (امضاى) الكترونيكى است.

در ماده32 همين قانون نيز اشاره شده كه نظام تاسيس و شرح وظايف اين دفاتر توسط سازمان مديريت و برنامه‌ريزى وزارتخانه‌هاى بازرگانى، ارتباطات و فناورى اطلاعات، امور اقتصادى و دارايى و دادگسترى تهيه و به تصويب هيات وزيران خواهد رسيد.

به گفته كارشناسان بايد ميان ايجاد يك دفتر براى صدور گواهى ديجيتال و ايجاد زيرساخت براى امضاى ديجيتال در كشور تفاوت قائل شد.

على كاظمى مسوول پيگيرى پروژه امضاى الكترونيكى در دبيرخانه شوراى عالى اطلاع‌رسانى معتقد است در سياست نامه تجارت الكترونيى بر اساس بند ج مرجع صدور گواهى ديجيتال بايد توسط وزارت بازرگانى ايجاد شود اما در همين بند به صراحت اشاره شده كه پس از راه‌اندازى نظام ملى مرجع صدور گواهى ديجيتال در كشور اين مرجع در چارچوب آن نظام قرار خواهد گرفت.

به گفته كاظمى درست در بند بعدى يعنى سياست‌نامه تجارت الكترونيكى تصريح شده كه نظام ملى صدور گواهى ديجيتال توسط دبيرخانه شوراى عالى اطلاع‌رسانى تدوين و به تصويب هيات دولت خواهد رسيد.

همچنين كاظمى به قوانين ديگرى نيز در اين زمينه اشاره مى‌كند: شوراى عالى اطلاع‌رسانى جهت اجراى برنامه تكفا موظف به تدوين برنامه جامع و كلان كشور و هدايت علمى و فنى طرح‌ها شده و يكى از 110پروژه موجود تهران پروژه نظام ملى تاييد هويت (CA, pki) و امضاى الكترونيكى و مديريت كلان است كه مسووليت آن به دبيرخانه شورا واگذار شده است.

شايد همه چيز از آنجا نشات مى‌گيرد كه وزارت بازرگانى مى‌خواهد Root يا سرور اصلى براى اين كار مراكز صدور گواهى ديجيتال- را در داخل كشور مديريت كند.

سرپرست دفتر تجارت الكترونيكى وزارت بازرگانى مى‌گويد: هم مراكز صدور گواهى مربوط به فعاليت‌هاى بازرگانى و هم مركز ريشه و ملى صدور گواهى ديجيتال (RootcA) بايد در اختيار وزارت بازرگانى باشد و شوراى عالى اطلاع‌رسانى همانطور كه از نامش پيداست وظيفه‌اى در اين كاها ندارد و تاكنون نيز فقط به دليل حضور جهانگرد نماينده ويژه رييس جمهور در اين شورا بود كه اين شورا بزرگ شده است وگرنه فعاليت آن به اين موضوعات هيچ ربطى ندارد.

وى همچنين مى‌گويد: دعواهايى در كشور بر سر اينكه چرا Root بايد در اختيار وزارت بازرگانى باشد به وجود آمده است اما دليل اين اختيار طبق ماده قانون تجارت الكترونيكى، راه‌‌اندازى مركزى به نام توسعه تجارت الكترونيك است كه البته پيشنهادى در آيين‌نامه نيز شده است تا سياست‌گذارى و تصميم‌گيرى در مراكز صدور گواهى ديجيتال توسط شوراى عالى فناورى اطلاعات صورت گيرد.

هرچند معمارنژاد و ديگر مسوولان وزارت بازرانى بر متولى‌گرى امضاى ديجيتال اصرار مى‌كنند اما به نظر مى‌رسد خود آنان نيز مى‌دانند امضاى ديجيتال تنها در مصارف تجارتى معاملاتى كاربرد ندارد، مواردى چون سوابق پزشكى ديجيتال، گذرنامه، ثبت احوال و … نشان مى‌دهند كه امضاى ديجيتال فراتر از مجموعه اختيارات بازرگانى است.

به گفته على كاظمى پروژه زيرساخت كليد عمومى يك پروژه گسترده است كه اجراى آن متضمن تصويب قانون حفظ حريم شخصى، جرايم رايانه‌اى، حذف كاغذ از دولت و امضاى الكترونيكى است و عملا داراى مولفه‌هايى از جمله نهاد سياست‌گذارى و سياست‌ها و اصول و قوانين حاكم، مراكز صدور گواهى (CA)، دفاتر ثبت گواهى (RA)، محل نگهدارى گواهى (Directory) است كه جاى فيزيكى تمامى مولفه‌هاى ذكر شده به جز مولفه اول، با توجه به امكانات امنيت فيزيكى است و مهم نيست كه در وزارت بازرگانى و يا سازمان مديريت و برنامه‌ريزى باشد اما در مورد مولفه اول بايد با توجه به نكات حاكميت و امنيت ملى در يك نهاد فرابخشى باشد اما هم ‌اكنون وزارت بازرگانى اين امر را نيز در اختيار خود گرفته است.

كدام شركت؟

هر دو نهاد وزارت بازرگانى و شوراى عالى‌ اطلاع‌رسانى شركت‌هاى مورد نظر خود را در اين زمينه انتخاب كرده‌اند و آن را براى توسعه امضاى الكترونيكى متناسب مى‌دانند.

شوراى عالى اطلاع‌رسانى برساس پيشنهاد ITU شركت سوئيسى wisekey را براى اين منظور انتخاب كرد كه اين شركت هم‌اكنون اين پروژه را در بيش از 80كشور جهان به اجرا گذاشته در حالى كه شركت يوتيماكو منتخب وزارت بازرگانى شما در 2-3كشور اين كار را بر عهده گرفته است.

عباس معمارنژاد سرپرست دفتر تجارت الكترونيكى وزارت بازرگانى در خصوص رد صلاحيت شركت wisekey مى‌گويد: وزارت بازرگانى در مناقصه‌اى كه برگزار كرد شركت يوتيماكو را با توجه به تحريم‌ها انتخاب كرد كه در آن مناقصه شركت wisekey حضور نداشته و تنها به عنوان پيشنهاد اين شركت از سوى شورا به ما معرفى شد كه در بررسى وضعيت سرويس اين شركت مشخص شد شركت wisekey قصد نگهدرى Root اصلى را در داخل كشور خودش دارد.

وى در ادامه مى‌گويد: درست است كه wisekey هم‌اكنون در كشورهاى زيادى در حال كار است اما سياست‌هاى وزارت بازرگانى مبنى بر وجود مركز گواهى‌ ريشه (Root) در داخل كشور است.

اما على كاظمى در شوراى عالى اطلاع‌رسانى معتقد است كه بر اساس پيشنهاد شوراى عالى اطلاع‌رسانى به شركت wisekey قرار بود كه در صورت اجراى پروژه سرويس Gold آن به ايران ارائه شود كه بر اين اساس Root يا سرور اصلى در صورت حفظ موارد ايمنى ويژه در كشور قرار خواهد گرفت.

بسيارى از كشورهايى كه با wisekey قرارداد دارند ترجيح داده‌اند كه Root در داخل كشور خودشان باشد و كشورهايى مثل اردن و كشورهاى آفريقايى مثل آنگولا از آن دسته‌اند بنابراين هيچ مشكلى از اين بابت وجود نداشت و احتمالا دلايل واقعى حذف wisekey و انتخاب يوتيماكو را بايد از مسوولان وزارت بازرگانى پرسيد.

به گفته كاظمى شركت wisekey دو مجموعه CA در سطوح منطقه‌اى و جهانى دارد كه از آنها مى‌توان در صورت نياز براى تراكنش‌هاى بين‌المللى يا در سطح يك منطقه استفاده كرد يعنى گواهى‌هاى صادر شده در داخل كشور به غير از داخل در توافق با ديگر كشورها نيز معتبر است.

كاظمى در عين حال مى‌گويد: شوراى عالى اطلاع‌رسانى براى آن كه احيانا شركت wisekey به نوعى انحصار و وابستگى را براى كشور به وجود نياورد در مذاكراتش با اين شركت لزوم همكارى با بخش خصوصى ايران و تعامل با شركت‌هاى ديگر به خصوص يوتيماكو را يادآور شده بود،‌ اما دوستان وزارت بازرگانى ترجيح دادند فقط با همين يك شركت قرارداد ببندند.

تير خلاص!

به گفته عباس معمارنژاد قراردادى درباره ايجاد CA با يوتيماكو بسته شد و تا پايان سال اين مراكز راه‌اندازى مى‌شوند. به گفته معمارنژاد تجهيزات خريدارى شده و هم اكنون در حال نصب است.