تست محصولات فناوری در آزمایشگاه ارزیابی امنیتی

معاونت امنیت سازمان فناوری اطلاعات را بیشتر با «مرکز ماهر» می‌شناسیم. مرکزی که با توجه به اهمیت پاسخگویی به رخدادهای فضای تبادل اطلاعات و ایجاد مراکز پاسخگویی به حوادث فضای مجازی درسال ۸۷ ایجاد شد تا فعالیت گسترده‌ای را برای پیشگیری و مقابله با حوادث فضای تبادل اطلاعات در سطح ملی انجام دهد.

اما به گفته معاون وزیر ارتباطات، «معاونت امینت سازمان فناوری اطلاعات ایران تنها مرکز ماهر نیست».

«ابوالقاسم صادقی» در گفت و گو با ایرنا  به دو مرکز دیگر نما (نظام ملی مدیریت امنیت اطلاعات) و ارم (ارزیابی امنیتی محصولات) متعلق به این معاونت اشاره کرد و به شرح اهداف راه‌اندازی آزمایشگاه ارزیابی امنیتی محصولات خارجی و داخلی پرداخت که در ادامه می‌خوانید. 

هدف از ارزیابی امنیتی محصولات خارجی حوزه فناوری چیست؟

یکی از اقدامات مهمی که مقدمات آن آماده و الزام قانونی آن به ما ابلاغ شده و منتظر هستیم تا کمیسیون تنظیم مقررات در اولین فرصت آن را بررسی و تصویب کند، ارزیابی امنیتی محصولات خارجی است. طرحی که را در تعامل با سازمان نظام صنفی رایانه‌ای و کمیسیون شبکه این سازمان تدوین کردیم.

در واقع زمانی که قصد داریم در کشور محصول بومی را بهره‌برداری کنیم باید در چندین مرحله تست، ارزیابی و ممیزی شوند اما محصول خارجی و حتی محصولی که به شیوه قاچاق وارد کشور می‌شود به سادگی به دولت فروخته می‌شود و سازمان دولتی بدون هیچ مشکلی از آن استفاده می‌کند. این در حالی است که در مواجهه با محصول بومی، با شک و تردید به آن نگاه می‌کنیم و در مقابل محصول خارجی انگار به اعتماد مطلق رسیده‌ایم.

دلیلش این نیست که محصولات خارجی حداقل از نظر کیفی، امتحان خود را پس داده‌اند؟

قبول دارم محصولات خارجی به لحاظ کیفی محصولات خوبی هستند و در دنیا امتحان خود را پس داده‌اند. نگرانی ما از این نظر نیست که مثلا فایروال در سیسکو کارهای فایروال را درست انجام می‌دهد، اتفاقا می‌دانیم مسئولیت فنی‌شان را به شکل درستی انجام می دهند. سوال این است که آیا فقط همان کاری که برای آن تولید شده و ما مشاهده می‌کنیم را انجام می‌دهد یا کارهای نانوشته‌ای هم در دستورالعملش وجود دارد؟

پس محصولات بومی از این نظر قابل اعتمادتر هستند؟

قطعا همینطور است اما این مسئله باعث نمی‌شود محصول بومی بی‌کیفیت نسبت به محصول خارجی با کیفیت ارجح باشد. محصول بومی با کیفیت که دانش آن واقعا بومی شده باشد، تولید شرکت‌ها و تیم های متخصص داخلی باشد و از نظر الزامات امنیتی، حمایت از رونق تولید و سرمایه‌گذاری‌های داخلی و توسعه کسب و کارها خوب عمل کند باید پیش حاکمیت پارتی داشته باشد تا بتواند بازار خوبی در سطح داخلی و منطقه‌ای کسب کند. اگر غیر از این باشد، نگاه حاکمیت غلط است.

ما این نگاه را داریم اما درکنار آن اجازه نمی‌دهیم محصول بی‌کیفیت به عنوان محصول داخلی به مردم عرضه شود. به همین دلیل ما دو کار را هم‌زمان در این حوزه پیش بردیم. اول این که فرآیند و دستورالعمل چگونگی ارزیابی محصولات خارجی را تدوین کردیم که اکنون آماده طرح در کمیسیون تنظیم مقررات است و به محض مصوب شدن، عملیاتی می‌شود. دوم راه‌اندازی «آزمایشگاه عیارسنجی» برای تست تضمین کیفیت محصولات داخلی حوزه افتا (امنیت فضای تولید و تبادل اطلاعات) که تا چند ماه دیگر به بهره‌برداری می‌رسد.

در این آزمایشگاه دقیقا چه چیزهایی مورد بررسی قرار می‌گیرد؟

هدف از تاسیس آزمایشگاه، تعیین سطح کیفی محصولات بومی است. این که نشان بدهیم هر محصول چه نقاط ضعف و قدرتی دارد.

سنجیده شدن محصولات فناوری در این آزمایشگاه الزامی است؟

خیر. نگاه ما این نیست که عیارسنجی را به فرآیند الزام آور و امنیتی تبدیل کنیم. محصولات پس از گذراندن تست‌های اولیه می‌توانند برای عیارسنجی وارد این آزمایشگاه شوند تا کیفیت آن بر اساس پارامترهای دقیق کیفی سنجیده شده و از طریق سایت به همه اعلام شود. با این کار سازمان‌های دولتی و اشخاص می‌توانند این محصول را با اطمینان کامل خریداری کنند.  

این فرآیندی که می‌گویید در گذشته اصلا روی محصولات حوزه فناوری اعمال نمی‌شد؟

قوانین فعلی معاملات و مناقصات دولتی این فرایندها را چندان پشتیبانی نمی‌کند. خریدهای حوزه IT برای سازمان خریدهای بسیار پیچیده و فنی هستند و در آیین‌نامه معاملات فعلی دولت اصلا این پیچیدگی‌های فنی را در نظر نمی‌گیرد. اگر محصولی گواهی خیلی ساده حقوقی که در مالکیت صنعتی ثبت شده ارائه کند سازمان دولتی طبق آیین‌نامه خریدهای فعلی، می‌تواند آن را خریداری کند.

معمولا هم افراد در این معاملات سراغ خرید محصولاتی با قیمت کمتر می‌روند. البته بعضی‌ها منکر این قضیه می‌شوند و می‌گویند در فرآیند فعلی «آیین‌نامه معاملات» یکسری شرایط پیش‌بینی شده است. حرف‌شان درست است اما این پروسه زمان‌بر است و با توجه به ریسک‌های حقوقی که برای مسئولین، تصمیم‌گیران و صاحبان امضا وجود دارد چقدر حاضرند به این فرآیندها تن بدهند؟ ما هر جایی خواستیم استدلال کیفی در خرید و مناقصه مطرح کنیم به مشکل بسیار جدی خوردیم.

در نهایت هم سازمان‌ها به فرآیندهای عادی مناقصه تن می‌دهند و محصولی که شایستگی مناسب فنی ندارد را خریداری می‌کنند. مباحث خریدهای امروزه فناوری اطلاعاتی به صورت عمومی و حوزه امنیت به صورت خاص ساختار پیچیده‌ای دارد و باید برای آن فکر کرد. در این فرآیند سازمان‌ها محصولات بی‌کیفیت را صرفا به خاطر قیمت پایین‌تر خریداری می‌کنند. البته نباید این اجازه را هم بدهیم که قیمت‌ها بی‌حساب و کتاب بالا بروند.