ملف العدد
مقدمة عن الهوية الرقمية
العدد 151 | شباط (فبراير)-2020

بقلم بشير جرجس سرور
رئيس دائرة التقانة في التأمين والمعاشات

 
يتزايد تعقيد النظام الإيكولوجي ecosystem للهوية الرقمية مع مجال واسع من نماذج الهوية ومسؤوليات ومصالح وأولويات شاملة. يبدأ هذا المقال بوصف دورة حياة الهوية، ثم يناقش الأدوار التي يؤديها أصحاب المصلحة stakeholders الرئيسيين في هذه الدورة، ثم ينظر في العلاقة بين الهوية الخاصة والعامة والنماذج المختلفة للنظام الإيكولوجي للهوية الموجودة حاليًّا.
 أخيرًا، يركز المقال على نماذج العمل المحتملة للتعاون بين القطاعين العام والخاص لإنشاء أنظمة هوية رقمية وطنية.

دورة حياة الهوية

يجري إنشاء الهويات الرقمية واستعمالها باعتبارها جزءًا من دورة حياة تتضمن ثلاث مراحل أساسية: (1) التسجيل وإدخال البيانات والتحقق؛ و(2) إصدار الوثائق وبيانات الاعتماد؛ و(3) المصادقة لتقديم خدمات أو معاملات.
يشترك مزودو الخدمة أيضًا في إدارة النظام باستمرار. وتشمل هذه الإدارة التحديث والإبطال أو إنهاء الهويات (انظر الشكل 1). يصف هذا الجزء كل مرحلة من هذه المراحل، ثم يناقش كيف تقوم البروتوكولات التي يستعملها مزودو الخدمة خلال التسجيل والمصادقة بتحديد مستوى ضمان النظام (من جهة الموثوقية والأمن). ويناقش الجزء التالي أصحاب المصلحة الأساسيين المشتركين في دورة حياة الهوية.
 
الشكل 1 - دورة حياة الهوية الرقمية والأدوار الأساسية

1.  التسجيل

أ: إدخال البيانات: هو الخطوة الأكثر أهمية في إنشاء الهوية الرقمية. تبدأ العملية بالتقاط وتسجيل سمات الهوية الأساسية من شخص يدّعي هوية معينة. وتتضمن:
  •  معلومات شخصية (الاسم – تاريخ الميلاد –الجنس –العنوان – البريد الإلكتروني)
  • قياسات حيوية (بصمات الأصابع – مسح القزحية) وغيرها من القياسات الأخرى التي تؤخذ خلال هذا الطور، والطرق المستعملة للحصول عليها وما لها من آثار مهمة في صلاحية وموثوقية الهوية، إضافة إلى توافقها مع أنظمة الهوية المحلية والدولية.
ب:التحقق: حالما يقوم شخص بادعاء هوية، يجري التحقق باختبار الخصائص المعروضة مقابل البيانات الموجودة لمعرفة تحقيق الهوية لخاصية واحدة أو أكثر من الخصائص الآتية:
  1. الوجود/الحياة: أي وجود الشخص خلال زمن التسجيل (أي هو حيٌّ وحاضر). ويمكن تحديد موقعه (أي يمكن الوصول إليه من عنوانه، أو رقم هاتفه، أو بريده الإلكتروني).
  2. التفرد: أي إن الهوية مدَّعاةٌ من شخص واحد فقط (وهو وحيد في قاعدة البيانات). تدعى هذه العملية إلغاء البيانات المتكررة. (تعتبر القياسات الحيوية حاليًّا الأكثر دقة).
  3. الارتباطات: أي إمكان ربط الهوية بهويات اجتماعية موجودة، كتلك الموجودة في قاعدة بيانات الهوية الحالية، أو السجلات المدنية، أو سجلات السكان، أو سجلات الضرائب، أو سجلات الممتلكات، أو سجلات الضمان الاجتماعي، أو سجلات الشرطة.

إنشاء مجموعة الحد الأدنى من سمات الهوية الفريدة

هي مجموعة خصائص البيانات الي تمثل شخصًا ما تمثيلًا فريدًا، وهي متوفرة عادة في نظام الهوية الوطني. وتتضمن عددًا من السمات الإجبارية، لكنها تشمل أيضًا سمة أو أكثر من السمات الاختيارية الإضافية.
على سبيل المثال، تنص اللائحة التنفيذية eiDAS الخاصة بالاتحاد الأوربي على أن مجموعة البيانات الدنيا لسمات الهوية الفريدة لشخص طبيعي يجب أن تتضمن السمات الإجبارية الآتية: (الاسم الأول الحالي - اسم العائلة الحالي – تاريخ الميلاد – المعرِّف الفريد الثابت قدر الإمكان مع الوقت)، والسمات الاختيارية الآتية: (الاسم الأول واسم العائلة عند الولادة – مكان الولادة – العنوان الحالي – الجنس).
يقع على عاتق الدولة - عند إنشاء هوية قانونية - مسؤولية توفير مجموعة السمات الدنيا التي تمثل الشخصَ المعنيَّ تمثيلًا فريدًا بما يتوافق مع المواصفات الفنية والمعايير والإجراءات المنصوص عليها في القانون.
ويُنصح بأن تتَّبِع كياناتُ القطاع الخاص المبدأَ نفسه عند إنشاء الهويات للمصادقة عليها بالإنترنت، بحيث يتمكن الطرف الثالث من تأكيد هوية الفرد الرقمية بدرجة ثقة مناسبة.
على أية حال، لا تتطلب المصادقة للخدمات بالإنترنت إلا السمات ذات صلة، دون إفراط أو تفريط في منح الدخول للخدمة. وذلك لأن من شأن تداول سمات غير متكافئة أن يضع بيانات الأشخاص وخصوصياتهم في خطر.

2.  الإصدار

تمر الهوية المسجلة في عملية الإصدار أو التصديق، وذلك قبل تأكيدها أو استعمالها من صاحبها، بعد أن قدَّم مصدرو الهويات تقليديًّا وثائق (مثل شهادة الميلاد) أو بيانات اعتماد (مثل الوثائق الإلكترونية، أو الهويات، أو جوازات السفر).
ولكي تُعَدَّ الهويةُ إلكترونيةً ينبغي أن تكون بيانات الاعتماد الصادرة إلكترونية، وهذا يعني أنها تخزَّن وتوصل إلى البيانات إلكترونيًّا.
وفيما يلي أنماط بيانات الاعتماد الإلكترونية:
  • البطاقات الذكية (Smartcard)
تعرض هذه البطاقات ميزات أمنية متقدمة وتسجل بيانات اعتماد وبيانات حيوية على شريحة حاسوب مدمجة. قد تكون البطاقة الذكية متصلة أو غير متصلة، أو لها اتصال بحقل قريب NFC، أو بطاقة سيم مفعلة.
يمكن الوصول إلى البيانات المخزنة على البطاقة الذكية بدون إنترنت للمصادقة، إذا لم يوجد اتصال إنترنت أو شبكة موبايل.
  • بطاقة الرمز الشريطي الثنائي البعد (2D Bar code card)
يمكن تخصيص البطاقات ببطاقة الرمز الشريطي الثنائي البعد المشفرة (انظر الشكل التالي) التي تتضمن بيانات الفرد الشخصية وقياساته الحيوية، بدلًا من الشريحة أو إضافة إليها. هذا الرمز الشريطي هو وسيلة آمنة وفعالة من حيث التكلفة لتوفير هوية رقمية ومصادقة حاملي الهويات باستعمال البيانات الحيوية.
 
الشكل 2 - بطاقة الرمز الشريطي الثنائي البعد
 
وقد جرى توظيفها بشكل واسع في إفريقية وأمريكا اللاتينية، والشرق الأوسط بما فيها لبنان، ومالي وغانا، وحديثًا مصر لمصادقة حاملي الهويات أثناء الانتخابات.
  1. الهوية الجوالة: يمكن استعمال الهواتف النقالة لتوفير هوية رقمية محمولة في سبيل توثيق مجموعة متنوعة من المعاملات بواسطة الإنترنت. على سبيل المثال: يمكن للمزودين إصدار بطاقات سيم مع شهادات رقمية أو استعمال أصول شبكات نقالة أخرى يمكنها تفعيل هوية مريحة وآمنة ومصادقة لمستعملي خدمات الحكومة الإلكترونية وغيرها من المنصات الخاصة والعامة.
  2. معرِّف في النظام السحابي: خلافًا لبيانات الاعتماد المحمولة كالبطاقات الذكية وبطاقات سيم، تخزن بعض الأنظمة بيانات الاعتماد والقياسات الحيوية على المخدم فقط. في هذه الحالة لا يكون إصدار ورقة الاعتماد ورقيًّا، أو يكون إصدارها بطريقة غير إلكترونية.
ستزيد البيئة المقاومة للعبث والتخريب المسؤولة عن توليد وإدارة مفتاح التشفير، من أمن الهوية في السحابة ضد السرقة.

 3. المصادقة

حالما يتم تسجيل واعتماد شخص ما، يمكنه استعمال هويته الرقمية للوصول إلى الفوائد والخدمات. على سبيل المثال، يمكن للمواطنين استعمال أرقام هوياتهم الإلكترونية لدفع الضرائب من خلال بوابة الحكومة الإلكترونية، أما عملاء البنوك فيمكنهم استعمال بطاقات الحسم الذكية أو الخدمات المالية المتنقلة للقيام بعمليات الشراء.
للوصول إلى الخدمات ينبغي المصادقة على استخدام عامل أو أكثر ضمن أربع فئات موضحة في الشكل /3/: ماذا يكون الشخص – ماذا يعرف – ماذا لديه – ماذا يفعل؟
الشكل رقم 3 : ماذا يكون الشخص – ماذا يعرف – ماذا لديه – ماذا يفعل؟
 
قد تتم المصادقة باستعمال هذه الخصائص من خلال مسارات متنوعة تتضمن ما يلي:
           أ) البطاقات الذكية
يمكن للأشخاص الذين يحملون بطاقات ذكية مصادقة هويتهم باستعمال عوامل مصادقة متعددة لتحقيق مستويات متنوعة من الضمان. على سبيل المثال: رمز PIN البسيط للحالات ذات الخطر القليل، أو التوقيع الرقمي القائم على تقنية بنية المفتاح العام PKI للحالات ذات الخطر العالي.
يمكن استعمال بصمة الإصبع لتأسيس رابط غير غامض مع الشخص، وبما أنها تخزن البيانات محليًّا على شريحة، فيمكن استعمال بطاقات ذكية للمصادقة الرقمية دون اتصال، أو المواقع البعيدة إذا كان الاتصال محدودًا.
           ب) الهوية المتنقلة
باستعمال تطبيقات الهواتف الذكية USSD أو المصادقات القائمة على الرسائل النصية SMS، أو بطاقات سيم، يمكن للهوية الجوالة أن تتضمن عوامل مصادقة متعددة لمستويات ضمان مختلفة.
مثلًا، رمز PIN البسيط للحالات ذات الخطر القليل، وحلول المصادقة ذات العوامل المتعددة (ومنها القياسات الحيوية) أو التوقيع المتنقل القائم على تقنية بنية المفتاح العام (PKI) مع عنصر أمان للحالات ذات الخطر العالي. يمكن تقوية المصادقة باستعمال عامل ثالث أو رابع كموقع أو سلوك الأفراد.
            ج) معرِّف في السحابة
بدلًا من إصدار وثيقة هوية أو بيانات اعتماد متنقلة، يمكن اعتماد نظام الهوية الرقمية على القياسات الحيوية للمصادقة البعيدة. حيث يجري تأكيد الهوية والتحقق بواسطة حاسوب أو أي جهاز آخر مزود بقارئ قياسات حيوية متصل بالسحابة. هذا يغني عن الحاجة إلى بيانات اعتماد ورقية مكلفة ماليًّا، لكنها تتطلب بنية تحتية قوية لتقانة الاتصالات والمعلومات ICT.
  • عوامل المصادقة العامة
             شخص ما:
هو: عمر – جنس – عنوان –بصمات أصابع – وجه – قزحية العين – الصوت.
يعرف: كلمة المرور – عبارة المرور – رمز PIN – التسلسل.
لديه: بطاقة دخول – بطاقة ذكية – رمز أمان – هاتف جوال – وثيقة معرف.
يفعل: مهارات قيادة – خط يد – إيماءات – مفاتيح – يستعمل تطبيق.
الشكل 4 - مستويات الضمان
  • إدارة دورة الحياة
يقوم مزودو الهوية الرقمية خلال دورة الحياة بإدارة نظام الهوية، ومن ذلك التسهيلات والموظفين، وحفظ السجلات، والالتزام والتدقيق، وتحديث حالة ومحتوى الهوية الرقمية.
مثلًا، قد يحتاج الأشخاص إلى تحديث خواص متنوعة للهوية، مثل العنوان، والحالة الاجتماعية، والخبرات، إضافة إلى حاجة مزودي الهوية إلى سحب هوية ما، وهذا يتضمن بدوره إبطال الهوية الرقمية لأسباب الأمن والاحتيال، أو إنهاء هوية ما في حالة وفاة الشخص.
  • مستويات الضمان
عندما يعرف شخص عن نفسه باستعمال إحدى خواص الهوية أو أكثر، فإن درجة الثقة لمن يدعي أنه هو تعتمد على درجة الضمان الأمني المقدمة والسياق الذي أخذت فيه المعلومات. يشار إلى ذلك بمستوى الضمان (LOA Level Of Assurance).
تعتمد مستويات الضمان على قوة عمليات التعريف والمصادقة وتكون أساسية للتحكم بالوصول وتخفيض احتمال سرقة الهوية.
وكما في الشكل (3) كلما زاد مستوى الضمان انخفض خطر اعتماد مزودي الخدمات على بيانات اعتماد مخترقة أثناء المعاملات.
يعتمد مستوى الضمان في إثبات الهوية على وسيلة تعريف تتضمن مجال المعلومات والسمات الشخصية التي تم جمعها خلال التسجيل، ودرجة اليقين التي تأكَّدت بها هذه السمات (فيما إذا حصل التحقق). مثلًا، إذا تم مع البيانات الشخصية خلال التسجيل دون إلغاء الازدواجية أو التحقق من البيانات الموجودة للتأكد من صحتها، فإن هذا سيشكل مستوى ضمان منخفض لعدم وجود تحقق من صحة معلومات الهوية.
أما قوة بيانات اعتماد ومصادقة الهوية فتعتمد على قوة التقنيات المستعملة والمصادقين.
على أن الأنماط المختلفة للمعاملات تتطلب مستويات ضمان مختلفة؛ فكلما كانت المعاملة ذات خطورة أكبر وجب استعمال مستوى ضمان أكبر.
عادة، لا تكون مصادقة العامل الواحد (كرقم المعرف أو معرفة كلمة السر) كافية لإثبات هوية شخص أو تقديم مصادقة دقيقة، وهذا المستوى من الخطر قد يكون مناسبًا لبعض التطبيقات (اختبار الفيسبوك) لكن المعاملات ذات السرية العالية قد تتطلب عوامل مصادقة إضافية أو متعددة لزيادة بيانات اعتماد الشخص.
وهكذا تتيح حيازة جهاز آمن كالرمز المادي، أو الهاتف الجوال، أو البطاقة الذكية بمصادقة آمنة ويمكن إكمالها برقم المعرف الشخصي (PIN) أو سمة (السلوك أو ميزة القياس الحيوي) لتقديم أمن أقوى.
  • أصحاب المصلحة والأدوار
هناك عدد من أصحاب المصلحة الذين يؤدون أدوارًا مختلفة في عمليات التعريف والمصادقة بالاعتماد على سياق البلد ونوع ومجال الهوية الرقمية (هوية إلكترونية وطنية مقابل منصة خاصة بالبنوك عن طريق الإنترنت). بشكل عام (الأفراد والمواطنين) هم المستعملون النهائيون في نظام ما، أما الجهات الحكومية والشركات الخاصة فهم الموردون الأساسيون للهوية الرقمية والمصادقة والخدمات.
وأما الجهات صاحبة المصلحة الأخرى فهي الهيئات العامة الناظمة أو الجهات العامة والخاصة المسؤولة عن وضع المعايير وبناء الثقة.

المستعملون النهائيون

الأفراد: المواطنون والعملاء هم المستعملون النهائيون لأنظمة الهوية الرقمية؛ فهم يسجلون في أنظمة الهوية ويستعملون بيانات الاعتماد التي يتلقونها للوصول إلى الميزات وخدمات البلد أو الشركة ذات الصلة.
الموردون وهم ينقسمون إلى:
               1- الجهات الحكومية
المسجلون القانونيون: هم الوكالات المسؤولة عن تزويد التعريف القانوني للمواطنين. وهذا قد يتضمن سلطات التعريف الوطني (NIAs) المسؤولة عن إنشاء بطاقات الهوية الوطنية والوثائق الأخرى والحفاظ عليها، إضافة إلى السجلات السكانية الوطنية وسجلات الميلاد التي تسجل أحداث الحياة.
المسجلون الوظيفيون: وهم الوكالات التي تقوم بإنشاء وحفظ سجلات الهوية لغرض أو لخدمة محددة، ومن ذلك: اللجان الانتخابية، ووكالات الضرائب، وسلطات الضمان الاجتماعي، والمستشفيات. قد تُربط هذه السجلات بالسجلات القانونية كالسجل الوطني للسكان، أو تكون أنظمة هوية منفصلة.          
مزودو خدمة الحكومة الإلكترونية: هي وكالات حكومية أو منصات تقدم خدمات بواسطة الإنترنت إلى المواطنين والمقيمين الذين يطلبون إثباتات الهوية أو الاستحقاقات. وتكون مرتبطة في أغلب الأوقات بنظام الهوية الوطنية أو السجلات الوظيفية.
               2- الشركات الخاصة
مزودو الخدمة التجارية: هي شركات تستعمل الهويات الرقمية لتقديم خدمات لعملائها أو لتمكين المستعملين النهائيين من التعامل في بيئة رقمية، وتقدم خدمات التوثيق والهوية الرقمية. وهذا يتضمن المصارف، ومشغلي شبكة الهاتف الجوال، والمرافق، ومقدمي الرعاية الصحية، ومنصات التجارة بالإنترنت، ووكالات التصنيف الائتماني.
مزودو حلول الهوية: هي شركات تقدم الأجهزة الصلبة والبرامج، ودعم تطوير أنظمة الهوية الرقمية. يجري التعاقد معها لتقديم مجموعة محددة من المدخلات في مرحلة خاصة من دورة حياة الهوية الرقمية، أو تقديم خدمات على أساس مستمر.
وبوجه عام، تؤدي الهيئات الحكومية واحدًا أو أكثر من الأدوار المبدئية في دورة حياة الهوية الرقمية، وفي بعض الأوقات ضمن شراكة مع القطاع الخاص.
              3- مزودو الهوية الرقمية
هم الممثلون الذين يُنشئُون هويات رقمية للمستعملين بتسجيلهم وإصدار وثائق أو بيانات اعتماد. ويقوم المزودون أيضًا بتخزين وإدارة البيانات نيابة عن الأشخاص. يكون المسجلون القانونيون في القطاع العام هم مزودو الهوية الرقمية الأكثر شيوعًا، على الرغم من أن السجلات الوظيفية كاللجان الانتخابية قد يُنشئُون ويديرون هويات رقمية (مثل سجل الناخب).
يعتبر مزودو الخدمة التجارية أيضًا مزودين دوريين للهوية الرقمية (تزود شركات الهاتف الجوال بطاقات سيم، وتصدر البنوك بطاقات قروض بعد التسجيل والتحقق من هويات زبائنهم).
وفي أغلب الأوقات يعتمد مزودو الهوية الخاصة أو يستعملون هوية قانونية مقدمة من القطاع العام (قد تُربط بطاقة السيم الخاصة بك برقم الهوية الوطنية).
              4- مزودو السمة
     هي كيانات تحتفظ ببيانات المستعمل التي تم التحقق منها، أو تتحقق من أو تزود هذه السمات لأطراف ثالثة. قد تتعلق هذه المعلومات ببيانات هوية الأفراد أو بيانات         متعلقة بجهاز الاعتماد أو أي معلومات أخرى؛ ومنها المعرِّفات المرتبطة الأخرى كرقم التلفون، وعنوان البريد الإلكتروني، ورقم الضمان الوطني، ورقم الضمان الاجتماعي،       ورقم تسجيل الطالب.
              5- مزودو التوثيق الرقمي
يتحققون من هوية أو سمات الشخص بغية تحديد حقه في الوصول إلى الخدمة.
في القطاع العام: هم الوكالات المختصة بتسليم الخدمات التي تتطلب عملية تحقق؛ ومنها السجلات الوظيفية ومزودو خدمة الحكومة الإلكترونية، أي إنهم مزودو التوثيق الشائعون.
في القطاع الخاص: يصادق مزودو الخدمات التجارية على المستعملين.
              6- مزودو الخدمة
هم الجهات التي تقدم خدمات مباشرة إلى المستعمل النهائي، وهذا قد يتضمن الوكالات العامة مثل المسجلين الوظيفيين، ومزودي خدمة الحكومة الإلكترونية، إضافة إلى مزودي الخدمات الخاصة.
              7- الممثلون الفاعلون والداعمون
إن عمل الهوية الرقمية والتوثيق ومزودي الخدمات هو جزء من نظام إيكولوجي أكبر من القطاعات العامة والخاصة الذي يمكن أن يدعم أنظمة الهوية، ومنها:
هيئات تنظيمية وإشرافية ومنظمات تنظم وتتحكم وتدقق في أنظمة الهوية الرقمية. ويشمل هذا وكالات القطاع العام على المستوى الوطني في المقام الأول، والسلطات فوق الوطنية كما هي عليه الحال عند المجلس الأوروبي لحماية البيانات، إضافة إلى هيئات التنظيم الذاتي مثل T-Scheme في المملكة المتحدة.
يكمن الهدف في ضمان اتِّباع مزودي الهوية الرقمية والتوثيق المعايير القانونية لجمع وتخزين واستعمال البيانات الشخصية.
هيئات إعداد المعايير، هي منظمات تقدم بروتوكولات للتعريف والتوثيق الرقمي. مثل وكالات القطاع العام كاللجنة الأوربية للمعايير (CEN) وNIST، إضافة إلى منظمات القطاع الخاص غير الربحي مثل هيئة المعايير ISO، ومؤسسة Open ID Foundation، وتحالف FIDO، وGSMA، وتحالف الهوية الآمنة. الهدف من هذه الوكالات هو زيادة التشغيل البيني وبناء حلول هوية مفتوحة قابلة للتوسع.
تحدِّد منظمات الهوية وأطر الثقة الآليات الفنية والتشغيلية والقانونية والإجبارية لتبادل المعلومات المتعلقة بإدارة الهوية؛ وهذا يشمل ممثلي القطاع العام مثل عملية مزود إطار الثقة TFPAP التي طورتها الولايات المتحدة، وممثلي القطاع الخاص مثل مشغلي شبكة الجوال التي طورت اتصال الموبايل، والوكالات المانحة ووكالات التطوير، ومنها البنك الدولي وبنوك التنمية الإقليمية، والاتحاد الأوربي وغيرهم الذين يدعمون تطوير أنظمة الهوية الرقمية بمساعدات مادية وتقنية.
وقد يكوِّن المانحون في حالات معينة برنامجًا يتطلب تعريفًا، كبرامج التحويل النقدي. وفي حالة أخيرة، قد يكون المانحون هم مزودو هوية، أو توثيق، أو خدمات (مثلًا UNHCR تستعمل سجل القياسات الحيوية لتوزيع المساعدات الغذائية للاجئين).
يشكل هذا المقال مقدمة موجزة عن نظام الهوية الرقمية الذي بدأ يجتاح العالم أجمع عن طريق الشركات والمؤسسات الكبرى، وسنقدِّم في مقالات لاحقة تفاصيل أخرى عن هذا الموضوع.

 
قد ترغب كذلك بقراءة
الهوية الجوالة
الأسواق المستهدفة من الهوية الجوالة
دور الاستيقان المعتمِد على المعرفة في توثّق الهوية
استخدام تطبيقات سلسلة الكتل في عمليات التحقق من الهوية