معاونت امنیت سازمان فناوری اطلاعات را بیشتر با «مرکز ماهر» میشناسیم. مرکزی که با توجه به اهمیت پاسخگویی به رخدادهای فضای تبادل اطلاعات و ایجاد مراکز پاسخگویی به حوادث فضای مجازی درسال ۸۷ ایجاد شد تا فعالیت گستردهای را برای پیشگیری و مقابله با حوادث فضای تبادل اطلاعات در سطح ملی انجام دهد.
اما به گفته معاون وزیر ارتباطات، «معاونت امینت سازمان فناوری اطلاعات ایران تنها مرکز ماهر نیست».
«ابوالقاسم صادقی» در گفت و گو با ایرنا به دو مرکز دیگر نما (نظام ملی مدیریت امنیت اطلاعات) و ارم (ارزیابی امنیتی محصولات) متعلق به این معاونت اشاره کرد و به شرح اهداف راهاندازی آزمایشگاه ارزیابی امنیتی محصولات خارجی و داخلی پرداخت که در ادامه میخوانید.
هدف از ارزیابی امنیتی محصولات خارجی حوزه فناوری چیست؟
یکی از اقدامات مهمی که مقدمات آن آماده و الزام قانونی آن به ما ابلاغ شده و منتظر هستیم تا کمیسیون تنظیم مقررات در اولین فرصت آن را بررسی و تصویب کند، ارزیابی امنیتی محصولات خارجی است. طرحی که را در تعامل با سازمان نظام صنفی رایانهای و کمیسیون شبکه این سازمان تدوین کردیم.
در واقع زمانی که قصد داریم در کشور محصول بومی را بهرهبرداری کنیم باید در چندین مرحله تست، ارزیابی و ممیزی شوند اما محصول خارجی و حتی محصولی که به شیوه قاچاق وارد کشور میشود به سادگی به دولت فروخته میشود و سازمان دولتی بدون هیچ مشکلی از آن استفاده میکند. این در حالی است که در مواجهه با محصول بومی، با شک و تردید به آن نگاه میکنیم و در مقابل محصول خارجی انگار به اعتماد مطلق رسیدهایم.
دلیلش این نیست که محصولات خارجی حداقل از نظر کیفی، امتحان خود را پس دادهاند؟
قبول دارم محصولات خارجی به لحاظ کیفی محصولات خوبی هستند و در دنیا امتحان خود را پس دادهاند. نگرانی ما از این نظر نیست که مثلا فایروال در سیسکو کارهای فایروال را درست انجام میدهد، اتفاقا میدانیم مسئولیت فنیشان را به شکل درستی انجام می دهند. سوال این است که آیا فقط همان کاری که برای آن تولید شده و ما مشاهده میکنیم را انجام میدهد یا کارهای نانوشتهای هم در دستورالعملش وجود دارد؟
پس محصولات بومی از این نظر قابل اعتمادتر هستند؟
قطعا همینطور است اما این مسئله باعث نمیشود محصول بومی بیکیفیت نسبت به محصول خارجی با کیفیت ارجح باشد. محصول بومی با کیفیت که دانش آن واقعا بومی شده باشد، تولید شرکتها و تیم های متخصص داخلی باشد و از نظر الزامات امنیتی، حمایت از رونق تولید و سرمایهگذاریهای داخلی و توسعه کسب و کارها خوب عمل کند باید پیش حاکمیت پارتی داشته باشد تا بتواند بازار خوبی در سطح داخلی و منطقهای کسب کند. اگر غیر از این باشد، نگاه حاکمیت غلط است.
ما این نگاه را داریم اما درکنار آن اجازه نمیدهیم محصول بیکیفیت به عنوان محصول داخلی به مردم عرضه شود. به همین دلیل ما دو کار را همزمان در این حوزه پیش بردیم. اول این که فرآیند و دستورالعمل چگونگی ارزیابی محصولات خارجی را تدوین کردیم که اکنون آماده طرح در کمیسیون تنظیم مقررات است و به محض مصوب شدن، عملیاتی میشود. دوم راهاندازی «آزمایشگاه عیارسنجی» برای تست تضمین کیفیت محصولات داخلی حوزه افتا (امنیت فضای تولید و تبادل اطلاعات) که تا چند ماه دیگر به بهرهبرداری میرسد.
در این آزمایشگاه دقیقا چه چیزهایی مورد بررسی قرار میگیرد؟
هدف از تاسیس آزمایشگاه، تعیین سطح کیفی محصولات بومی است. این که نشان بدهیم هر محصول چه نقاط ضعف و قدرتی دارد.
سنجیده شدن محصولات فناوری در این آزمایشگاه الزامی است؟
خیر. نگاه ما این نیست که عیارسنجی را به فرآیند الزام آور و امنیتی تبدیل کنیم. محصولات پس از گذراندن تستهای اولیه میتوانند برای عیارسنجی وارد این آزمایشگاه شوند تا کیفیت آن بر اساس پارامترهای دقیق کیفی سنجیده شده و از طریق سایت به همه اعلام شود. با این کار سازمانهای دولتی و اشخاص میتوانند این محصول را با اطمینان کامل خریداری کنند.
این فرآیندی که میگویید در گذشته اصلا روی محصولات حوزه فناوری اعمال نمیشد؟
قوانین فعلی معاملات و مناقصات دولتی این فرایندها را چندان پشتیبانی نمیکند. خریدهای حوزه IT برای سازمان خریدهای بسیار پیچیده و فنی هستند و در آییننامه معاملات فعلی دولت اصلا این پیچیدگیهای فنی را در نظر نمیگیرد. اگر محصولی گواهی خیلی ساده حقوقی که در مالکیت صنعتی ثبت شده ارائه کند سازمان دولتی طبق آییننامه خریدهای فعلی، میتواند آن را خریداری کند.
معمولا هم افراد در این معاملات سراغ خرید محصولاتی با قیمت کمتر میروند. البته بعضیها منکر این قضیه میشوند و میگویند در فرآیند فعلی «آییننامه معاملات» یکسری شرایط پیشبینی شده است. حرفشان درست است اما این پروسه زمانبر است و با توجه به ریسکهای حقوقی که برای مسئولین، تصمیمگیران و صاحبان امضا وجود دارد چقدر حاضرند به این فرآیندها تن بدهند؟ ما هر جایی خواستیم استدلال کیفی در خرید و مناقصه مطرح کنیم به مشکل بسیار جدی خوردیم.
در نهایت هم سازمانها به فرآیندهای عادی مناقصه تن میدهند و محصولی که شایستگی مناسب فنی ندارد را خریداری میکنند. مباحث خریدهای امروزه فناوری اطلاعاتی به صورت عمومی و حوزه امنیت به صورت خاص ساختار پیچیدهای دارد و باید برای آن فکر کرد. در این فرآیند سازمانها محصولات بیکیفیت را صرفا به خاطر قیمت پایینتر خریداری میکنند. البته نباید این اجازه را هم بدهیم که قیمتها بیحساب و کتاب بالا بروند.