«سند زبّطناه». هكذا بشّرت وزارة الاقتصاد الرقمي والريادة في أيلول الماضي جمهورها، عبر فيديو إرشادي يوضح التعديلات على التطبيق الذي كانت قد أطلقته أول مرة في شباط. كان الهدف من التطبيق هو توفير بوابة دخول واحدة لمئات الخدمات الإلكترونية التي ظهرت خلال السنوات الـ10 الماضية، والتي وصل عددها نهاية العام 2019 إلى 295 خدمة. هدف «سند» أيضًا إلى إطلاق خاصية التوقيع الإلكتروني، الموعودة منذ سنوات، والتي ستمكن المواطنين من القيام بمعاملات إلكترونية حساسة عن بعد، مثل بيع الممتلكات وشرائها وتسجيل شكاوى وعمل توكيلات.
ركّز نظام عطاء «نظام إدارة هوية المستخدم الرقمي» أو «سند» على أهمية وضع ضوابط أكثر تعقيدًا للتأكد من هوية مستخدم التطبيق، خاصةً عند القيام بمعاملات مالية أو قانونية حساسة. إذ يطلب من الشركة المُطوّرة أن تقدّم مستويات متعددة من التحقق من الهوية بحسب تصنيف الخدمة: حساسة أم غير حساسة. مثلًا، لا تحتاج كمستخدم أكثر من اسم حسابك وكلمة السر للقيام بمعاملات مثل شهادة عدم المحكومية أو متابعة الدعاوى القضائية باسمك، إلا أنك ستحتاج لكلمة سر أخرى خاصة بتوقيعك الإلكتروني للبدء بمعاملة توكيل إلكتروني أو بيع أو شراء عقارات.
عند إطلاقه الأوّل، كان القيام بإحدى هذه العمليات يحتاج زيارة تحقّقية من صاحب الحساب إلى إحدى محطات «سند» الموزعة على الدوائر الحكومية، ليتأكد موظف دائرة الأحوال المدنية من هوية المستخدم قبل أن يستطيع النفاذ إلى حسابه على التطبيق. الحاجة إلى زيارة إحدى الدوائر الحكومية وجاهيًا قوبلت بانتقادات واسعة من مستخدمي التطبيق، بعد أن كان كل ما يحتاجه المستخدم لفتح حساب حكومي عن بعد هو نسخة عن الهوية في معظم الخدمات الإلكترونية.
في فيديو إطلاق النسخة المُحدثة من التطبيق، تشرح الوزارة أنها سهّلت عملية التحقق من الهوية بعد أن «سمعنا ملاحظاتكم»، موجّهة حديثها للمستخدمين. لم تعد وجاهية التحقق من الحساب لازمة في الإصدار الجديدة من التطبيق، وأصبح بالإمكان القيام بها عن بُعد.
في الأوّل من تشرين الثاني الماضي، وقبل أيام من تاريخ انتهاء رخصة سيارتي، وصلتني رسالة نصية من أمانة عمان، تعلن عبرها أنه لم يعد بالإمكان دفع مخالفات السير في مراكز ترخيص السواقين والمركبات. خياراتنا حاليًا إمّا دفع المخالفات إلكترونيًا أو في نقاط دفع إي فواتيركم. كانت هذه المرة الأولى التي يخطر لي فيها استخدام تطبيق «سند»، بعد ثمانية أشهر من تحميله وتوثيق هويتي وجاهيًا في شباط. يصطف «سند» على هاتفي إلى جانب تطبيقات أمانة عمان ووزارة الداخلية والجمارك الأردنية وزارة العدل وتطبيق «بخدمتكم» وتطبيق «حكومتي بخدمتي». من المفترض أن تفقد كل هذه التطبيقات قيمتها مع تفعيل تطبيق «سند»، الذي سيكون المظلة الجامعة لكل الخدمات الإلكترونية، بحسب تصريح وزير الاقتصاد الرقمي حينها مثنى غرايبة.
بعد أن دخلت إلى تطبيق «سند» للمرة الأولى في شباط، استقبلتني رسالة تدعوني لتحميل «النسخة المحدثة من تطبيق «سند»»، وأرسلتني إلى متجر جوجل لتحميله. حمّلتُ «سند» الجديد، ليصبح على هاتفي تطبيقان يحملان اسم «سند»، الأول توقف عن العمل، والثاني من المفترض أنه النسخة المحدّثة التي «زبطت» بحسب وزارة الاقتصاد الرقمي.
عملية التحقق من هوية المستخدم
اعتمد تطبيق «سند» منذ إطلاقه على الهوية الذكية للتحقق من هوية صاحب الحساب. في التوثيق الوجاهي، يقوم موظف الأحوال المدنية بربط حسابك الذي أنشأته سابقًا على «سند» بهويتك عبر بصمة يدك. يطلب منك رقمك الوطني وهويتك ليدخل إلى معلومات حسابك، بعدها يطلب منك أن تبصم بإصبعك على آلة قارئة للتأكد من تطابق بصمتك مع البصمة المُسجلة على الهوية وعلى الخادم المركزي، فإن حدث التطابق، يأمر النظام بإرسال كلمة سر خاصة بالحساب، وجب عليك تغييرها في اللحظة نفسها. وهكذا توثّق حسابك وتستطيع البدء في الدخول إلى الخدمات عبر «سند».
الحاجة إلى زيارة إحدى الدوائر الحكومية وجاهيًا للتحقق من هوية المستخدم، قوبلت بانتقادات واسعة، بعد أن كان كل ما يحتاجه المستخدم لفتح حساب حكومي عن بعد هو نسخة عن الهوية في معظم الخدمات الإلكترونية.
في النسخة الجديدة من التطبيق، تحولت عملية التحقق لتصير عن بعد، عبر مسح صاحب الحساب للهوية الذكية وأخذ صورة «سيلفي» حتى يتمكن التطبيق من مطابقة وجه صاحب الصورة مع صورته المخزنة لدى دائرة الأحوال المدنية.
كُنت ضمن أكثر من 1000 مواطن، توجهوا في شباط الماضي إلى إحدى محطات «سند» لتوثيق حساباتهم الإلكترونية، وثّقت حسابي الإلكتروني الأوّل بعد أن أنشأته على موقع «حكومتي بخدمتي». لم أمانع وجاهية التوثيق والحاجة إلى زيارة مبنىً حكومي لاستلام كلمة السر، بل شعرت بأنها خطوة جاءت متأخرة جدًا. فقد كانت معظم خدمات الحكومة الإلكترونية تطلب بيانات موجودة على هوية المواطن المدنية لتسجيل الحساب، دون وجود آلية للتحقق مما إذا كان مُنشِئ الحساب هو ذاته صاحب الشأن، أم شخص آخر وجد طريقه إلى نسخة من الهوية. لم أمانع وجاهية التحقق ولكن عندما طلب مني موظف الأحوال المدنية الضغط بأصبعين على الآلة القارئة لبصمة الإصبع، شعرت بذات الضيق الذي راودني عندما أنشأت بطاقتي الذكية، وتم ربط أجزاء حيوية مني مثل بصمة إصبعي وعيني بهويتي الرقمية الحكومية. إذ لن أكون فقط امتدادًا لهويتي الإلكترونية، بل أيضًا، بعكس كلمة السر، لا يمكن تعويض أو تغيير أجزائي الحيوية إن نفذ أحد إليها على الخوادم التي تُخزّن عليها.
قدمت الحكومة الهوية الذكية في 2016 لـ«عدم قابليتها للتزوير واحتوائها على أحسن مواصفات الأمن». وقررت وزارة الاقتصاد الرقمي عام 2017 اعتماد الهوية الذكية للتحقق من هوية المستخدم في «نظام إدارة هوية المستخدم الوطني»، المعروف اليوم بتطبيق «سند». اعتماد الحكومة الأردنية على بيانات مواطنيها الحيوية جاء ضمن موجة عالمية لاستخدام بصمات الأصابع والوجه والعينين كطُرق تحقق من الهوية، بدأت ملامحها بتضمين مُصنعي الأجهزة الخلوية لبصمة الإصبع وبصمة الوجه كوسيلة للتحقق من هوية صاحب الجهاز والدخول إليه، وامتدت بمشروع البنك الدولي (ID for Developement) الذي يربط بين تبني الدول لأنظمة الهوية الذكية المعتمدة على البيانات الحيوية وتحقيق التنمية الاجتماعية والاقتصادية العادلة.
بعد مرور عدة سنوات على تبني دول كبيرة مثل الهند والأرجنتين نظام الهوية الذكية التي تربط بين حساب المواطن الحكومي الإلكتروني وبياناته الحيوية، ظهرت العديد من الأدبيات والأبحاث التي أشارت الى أسطورة «شمولية التنمية» التي روّجها مشجعو الهوية الذكية. تبين أن اعتماد بصمة الإصبع للتحقق من هوية الأفراد حتى يتمكنوا من النفاذ إلى الخدمات الحكومية، استبعد فئات لم تكن بصمات أصابعها مُهيئة للقراءة، إما بسبب العمر أو ظروف العمل في البناء أو الأعمال اليدوية التي تمحو هذه البصمات. ظهرت أيضًا مخاوف تتعلق بأمن البيانات الحيوية لملايين المواطنين، والتي تُخزن مركزيًا لدى الحكومات.
بتوفيره دخولًا موحّدًا إلى مختلف الخدمات الحكومية، يحلّ «سند» مشكلة يُشتكى منها منذ بدء إطلاق الخدمات الحكومية الإلكترونية، وهي تعدّد الحسابات الرقمية للدخول إلى هذه الخدمات. «في كل مؤسسة بزوروها بضطروا ياخدوا كلمة سر مختلفة وبنسوها»، يقول غرايبة. لكن هذا الدخول الموحّد إلى مختلف الخدمات، قد يجلب معه مشكلة إضافية؛ فنقطة الدخول المنفردة إلى جميع هذه الحسابات قد تعني أيضًا نقطة تَعطُل منفردة. فرغم السهولة التي تُقدمها الهوية الموحدة للنفاذ لبيانات التأمين الصحي والضمان والأراضي والمساحة والقضايا، إلا أن سرقة أو ضياع الحساب الموحد تعني أيضًا فقدان القدرة على الدخول إلى كل هذه الخدمات.
حوادث قرصنة البيانات الحيوية أكثر ضررًا على أصحابها بالمقارنة مع حوادث قرصنة كلمات السر. فإعادة تأمين الحسابات التي سُرقت بياناتها الحيوية أصعب بكثير من إعادة تأمين الحسابات بعد سرقة كلمات السر
رغم ترويج الهوية الذكية كوسيلة أكثر إحكامًا وأمانًا للحدّ من التزوير، إلا أن حوادث القرصنة التي نالت الخوادم الحافظة للبيانات الحيوية لمئات الملايين تروي قصة أخرى. كان آخر هذه الحوادث، نجاح باحثي أمن معلومات في اختراق برنامج شركة سوبريما الكورية الرائدة في تأمين البيانات الحيوية في 2019، ليتمكنوا بعدها من الدخول إلى ملايين بصمات الأصابع. قللت سوبريما من أهمية هذا الاختراق في تصريح لها على موقعها، وأكدت أنه لم يجري تنزيل أي من قواعد البيانات، وتمّ إصلاح هذه الثغرة. بالنسبة للمخترقين، لم يكن هدفهم تنزيل قواعد البيانات بل إظهار الثغرات الأمنية في برنامج الشركة.
شركة سوبريما هي الشركة التي طوّرت، بالشراكة مع شركة أوفتيك الأردنية، برنامج الهوية الذكية لوزارة الاقتصاد الرقمي.
بشكل عام، حوادث قرصنة البيانات الحيوية أكثر ضررًا على أصحابها بالمقارنة مع حوادث قرصنة كلمات السر. فإعادة تأمين الحسابات التي سُرقت بياناتها الحيوية أصعب بكثير من إعادة تأمين الحسابات بعد سرقة كلمات السر، نظرًا إلى أن البيانات الحيوية لا يمكن تغييرها مثل كلمات السر.
استطعتُ استخدام الحساب الأساسي الذي أنشأته سابقًا للدخول إلى خدمات «سند» بإصداره الجديد، ولأنني كُنت قد وثّقت حسابي وجاهيًا، لم احتج المرور بعملية التوثيق عن بعد. فضول التعرف على تجربة التحقق من الهوية عن بُعد دفعني أن أكون شاهدةً على عملية إنشاء حسابات، بحسب الآلية الجديدة، لمجموعة من الأشخاص حولي. اختبرتُ دقة آلية التحقق عن بُعد، بعد أن أخذت صور سيلفي لأشياء أو وجوه تشبه وجوه أصحاب الحسابات. لم يوافق التطبيق على أي من الصور السابقة، إلا أنه طابق صورة صاحب أحد الحسابات وهو مغمض العينين، بناءً على طلبٍ منّي. لا يرى أحمد الهناندة، وزير الاقتصاد الرقمي الجديد، أهميةً كبيرةً لهذه الثغرة في عملية التحقق، فما تزال الخدمات الموجودة على التطبيق غير حساسة، ولن يتم إطلاقها للبيانات الحساسة إلّا «إذا إحنا متأكدين 100% من سلامة عملية التحقق، وتفعيل عملية تحقق متعددة الخطوات تعتمد على أكثر من نوع بيانات حيوية»، وتربط هوية الشخص الرقمية بهاتفه الخلوي، يقول الهناندة لمعدّة التقرير.
تفاوت التجارب مع خدمات «سند»
بشرت وزارة الاقتصاد الرقمي بأنها عدّلت «سند» بناء على ملاحظات المستخدمين، بما يتعلق بآلية التحقق من الهوية. مع ذلك، لاحظتُ أن النسخة الجديدة من التطبيق حاصلة على تقييمٍ مُتدنٍ جدًا على متجر جوجل.
بدا التقييم منطقيًا عندما حاولت دفع مخالفات السير عبر التطبيق حتى أتمكن من ترخيص سيارتي. بسهولة أدخلت رقمي الوطني وكلمة السر الخاصة بي، ليعرض علي «سند» نافذة أولية ببيانات هويتي الشخصية وبيانات جواز سفري. تصفحت التطبيق حتى وصلت خدمات أمانة عمان من قائمة المؤسسات التي تتيح خدماتها عبر «سند»، ومنها دخلت إلى خدمة مخالفات السير. هنا كانت المُفاجأة، أخذتني نافذة التطبيق إلى صفحة أمانة عمان الكبرى التي طلبت مني إدخال معلومات حساب خاص بأمانة عمان، وتوثيقه بآلية أخرى. لم أستطع فعل ذلك عبر التطبيق الذي لم تُظهر نافذته إلا أجزاء من صفحة موقع الأمانة. فاضطررت حينها إلى الخروج من التطبيق والذهاب لصفحة أمانة عمان من خلال المُتصفح، والقيام بخطوات إنشاء حساب جديد على موقع أمانة عمان الكبرى وتوثيقه. دفعت مُخالفات السير عبر إي فواتيركم دون المرور بالتطبيق.
لم تكن خدمات أمانة عمان الكبرى الوحيدة التي طلبت الدخول لحساب آخر عبر التطبيق. فالدخول لخدمات دائرة الأراضي والمساحة يتطلّب الأمر نفسه، وهو ما يتنافى مع الهدف الأساسي الذي طُوّر التطبيق لأجله؛ توفير نقطة دخول واحدة لجميع الخدمات الحكومية.
تفاوتت تجاربي مع تطبيق «سند» بحسب الخدمات التي يطرحها. بعكس خدمات أمانة عمان على التطبيق، كانت عملية طلب إصدار جواز سفر جديد سهلة وواضحة، واستطعت الدخول إلى بيانات الضمان الاجتماعي والأحوال المدنية دون اضطراري لتسجيل حساب خاص بهذه الجهات، ولكن بطء التطبيق وتوقفه عن العمل مرارًا حال دون المرور بتجربة القيام بخدمة متكاملة على التطبيق، خلال كتابة هذا التقرير. وجدت أنني لم أكن وحدي، إذ وافقت تجربتي الملاحظات التي تركها المعلقون على فيديو وزارة الاقتصاد الرقمي، الذين أشاروا إلى بطء التطبيق وتوقفه عن العمل، وعدم ملاءمة تصميمه للهواتف المحمولة.
تاريخ مشروع إدارة هوية المستخدم الإلكترونية
طرحت وزارة الاقتصاد الرقمي (الاتصالات حينها) عطاء مشروع نظام إدارة هوية المستخدم في تشرين الثاني 2017، وبعد أن اعترضت جمعية شركات تقنية المعلومات والاتصالات (إنتاج) على منع الشركات المحلية من شراء العطاء، فتحت الوزارة باب التقديم لائتلافات بين شركات محلية وأجنبية. لا يذكر موقع الوزارة حاليًا الشركات التي أحيلت إليها العطاءات أو قيمة العطاءات، رغم أنه هذه التفاصيل كانت منشورة فيه مطلع العام 2020.
تُحذر المؤسسات الحقوقية الدولية من بصمة الوجه كوسيلة للتحقق من الهوية، نظرًا لتوسيعها فُرص تتبع تحركات الأفراد.
تمكنتُ من الوصول إلى عطاء «سند» عبر موقع أرشيف الإنترنت (الذي يرصد التغيرات التاريخية على صفحات الإنترنت)، لأن موقع الوزارة حاليًا يتيح أرشيف العطاءات حتى عام 2019 فقط. بحسب الوزارة، أحيل عطاء «سند» في 2018 لشركة أومنيتيك (Omitech) بقيمة أربعة ملايين دينار والتي كانت إئتلافًا بين الشركة الإيطالية (CyberTech) والشركة الأردنية لإدارة الأنظمة والأعمال (Jordan Business Systems)، والتي أعلنت قيامها بتطوير مشروع إدارة الهوية الرقمية «سند»، عبر صفحتها على فيسبوك، حين إطلاقه في شباط 2020.
قد يكون من المبكر الحكم على آلية التحقق عن بُعد عبر بصمة الوجه في الأردن، نظرًا لتدني أعداد المستخدمين المُقبلين على «سند». بشكل عام، تُحذر المؤسسات الحقوقية الدولية من بصمة الوجه كوسيلة للتحقق من الهوية، نظرًا لتوسيعها فُرص تتبع تحركات الأفراد، عبر إمكانية ربط بصمة الوجه المُخزنة مركزيًا مع كاميرات المراقبة في الأماكن العامة. تدعو بعض الأصوات الحقوقية للتفكير في مُعادلة تضمن التحقق من الهوية عن بُعد، لكن تؤمن هوية الشخص الحيوية على جهازه، بدل أن تكون مركزية، أي أن لا تُخزن على خادم مركزي. تُظهر تقارير أخرى المشاكل التقنية المُتعلقة بفشل هذه الأنظمة في التحقق من المواطنين داكني البشرة أو المواطنين الذين تغيرت ملامح وجوههم إما لكبر سنهم أو لحادث معين.
بغض النظر عن المخاوف الأمنية والإجرائية التي توجدها آليات التحقق من الهوية عبر البصمة الحيوية، حققت نسخة التطبيق الثانية هدف تفعيل عملية التحقق من الهوية (onboarding) رغم عدم إمكانية الدخول للخدمات التي تم إطلاقها. كان من المفترض أن يتيح «سند» النفاذ إلى 395 خدمة إلكترونية في نهاية عام 2020.
بعد عملية التحقق من هوية صاحب الحساب، كان من المفترض بحسب خطة إطلاق «سند» الأولى، إصدار التوقيع الإلكتروني، وهي شهادة رقمية دالة على شرعية صاحب الحساب، وتكون بمثابة التوقيع اليدوي لصاحبه. رغم أن خدمة التوقيع الإلكتروني كانت موجودةً في التطبيق الأول، إلا أنها «ما تزال تحت التطوير» بحسب النسخة الثانية من التطبيق، وبحسب الهناندة، الذي يقول بأن التوقيع الإلكتروني يحتاج إلى جاهزية من المؤسسة أو الدائرة التي سوف تُفعله، إلى جانب تبني الدائرة المعنية في أنظمتها الخاصة لقانون المعاملات الإلكترونية.
ما زال مُبكرًا بحسب الهناندة الإعلان عن خط زمني لتفعيل الوزارة للخدمات التي من المفترض أن تعمل على التطبيق. فاليوم تدرس الوزارة 2300 خدمة رقمية مُطلقة بحسب شيوعها وأهميتها، وستقوم شركة استشارية في نهاية العام المُقبل بترشيح أهم 25 خدمة حكومية، وهنالك المزيد من الخدمات التي ستتم أتمتتها في العام القادم، «قديش منهم [من هذه الخدمات] حيكون على «سند» ما رح أقدر أجاوبك هلأ». يمكن الإجابة على هذه الأسئلة بعد عدة أشهر، بحسب الهناندة، وذلك عندما تقوم الوزارة بوضع خطة تفصيلية بمؤشرات النجاح، لتنفيذ خطة التحول الرقمي التي وضعتها الوزارة السابقة.