پیشنهاد اخذ مجوز بین‌المللی در حوزه افتا/درخواست بازنگری در آیین‌نامه اعتبارسنجی/ پیشنهاد خروج بخشی از نرم‌افزارها از آیین‌نامه

آرمان ملی آنلاین - به گزارش روابط عمومی سازمان نظام صنفی رایانه‌ای استان تهران، علیرضا عابدی نژاد، عضو هیأت مدیره این سازمان با بیان اینکه «افتا» اختصاریافته امنیت فضای تولید و تبادل اطلاعات است، می‌گوید: «مرکزی به نام مرکز افتای ریاست‌جمهوری از چند سال قبل ذیل نهاد ریاست جمهوری شکل گرفته است. این مرکز، وظیفه اعتبارسنجی شرکت‌ها، خدمات، فعالیت‌ها و محصولاتشان را برعهده دارد».

او ادامه می‌دهد: «هر شرکتی که خدمت یا محصولی به مجموعه دولت ارائه می‌کند، در راستای فعالیتی که انجام می‌دهد باید از مرکز افتا مجوز لازم را گرفته باشد. البته هیچ شرکتی مستقیم با مرکز افتا در ارتباط نیست. در دولت، وزارت ارتباطات و به صورت خاص سازمان فناوری اطلاعات متولی این مسئله است و شرکت‌ها درخواست‌هایشان را به سازمان فناوری اطلاعات ارائه می‌کنند سپس بخشی از ارزیابی توسط این سازمان و بخشی هم توسط مرکز افتا انجام می‌شود».

او با بیان اینکه شرکت‌های ارائه دهنده خدمات شامل این موضوع می‌شوند می‌گوید: «خدمات شامل چهار حوزه می‌شود؛ خدمات فنی، آموزشی، مدیریتی و عملیاتی».

عابدی‌نژاد خدمات فنی را شامل شرکت‌هایی می‌داند که دارای محصول هستند و ممکن است محصولاتشان امنیتی هم نباشد: «اینجا مقررات می گوید محصولات فتا، نه افتا. یعنی در گرایش فنی هر کسی که محصولی در حوزه‌ی فضای تبادل اطلاعات ارائه می‌کند، برای نصب و پشتیبانی آن باید مجوز لازم را بگیرد». گرایش آموزشی مربوط به شرکت‌هایی است که در حوزه آموزش فعالیت می‌کنند و گرایش مدیریتی مربوط به شرکت‌های حوزه استانداردسازی فرآیندها و رویه‌هاست و در نهایت گرایش عملیاتی مربوط به شرکت‌هایی است که در حوزه امن‌سازی، تست نفوذ و پیاده سازی و راهبری مراکز عملیات امنیت فعالیت می‌کنند. تمامی شرکتهای مزبور می بایست مجوزهای لازم را دریافت کنند.

او ادامه می‌دهد: «شرکت‌ها برای درخواست مجوز افتای محصولاتشان باید پس از ثبت درخواستشان در سامانه مربوطه، محصولشان را جهت آزمایش در اختیار آزمایشگاه‌هایی که مورد تایید افتاست قرار دهند تا محصول از جوانب مختلف امنیتی در سطوح تعیین شده مورد ارزیابی آزمایشگاه قرار بگیرد. بعد از این تاییدیه، روند ارزیابی اعتباری خود شرکت‌ها نیز مطرح است که توسط مرکز افتا انجام می‌شود و در نهایت شرکت‌ها می‌توانند مجوز افتای محصولشان را بگیرند. آزمایشاتی که عنوان شد برگرفته و بومی سازی شده از استاندارد ISO 15408 است».

او می‌گوید دسته دیگری هم هستند که با چالش مجوزهای افتا روبرو هستند: «شرکت هایی که تجهیزات وارد کشور می‌کنند. برای این دسته از شرکت‌ها در دو سه سال اخیر به این صورت بوده که در حین فرایند تایید نمونه، این شرکت‌ها باید تعهد بدهند تا الزامات امنیتی را روی تجهیزاتشان رعایت کنند. این روندی است که اکنون وجود دارد و در حال حاضر در این خصوص پیچیدگی خاصی هم وجود ندارد».

وظایف کارگروه افتا

عضو هیأت مدیره سازمان نظام صنفی رایانه‌ای استان تهران در توضیحات بیشتری بیان می‌کند: «18 فروردین 1400 نظام اعتبارسنجی امنیتی تجهیزات توسط مرکز ملی فضای مجازی تصویب و به سازمان های ذیربط ابلاغ شد. نکته مهم در خصوص این نظام این است که نظام اعتبارسنجی امنیتی در حوزه‌ی تجهیزات است، نه خدمات. در این نظام، کارگروهی بنام کارگروه افتا تعریف شده است که هفت عضو دارد. نماینده وزارت ارتباطات، نماینده وزارت اطلاعات‌، نماینده سازمان ملی استاندارد، نماینده مرکز افتا ریاست‌جمهوری، نماینده پلیس فتا، نماینده سازمان پدافند و البته نماینده‌ی سازمان نظام صنفی رایانه‌ای کشور. این هفت عضو، اعضای کارگروه افتا هستند که باید طبق نظام‌نامه‌ای که توسط شورای عالی فضای مجازی تصویب شده، دور هم جمع شوند و قوانین و مقررات جدید را در مورد مباحث افتا تدوین کنند».

او معتقد است که کارگروه افتا به دنبال این است تا با تصویب آیین‌نامه‌ای جدید در حوزه تجهیزات، شیوه‌ی اعتبارسنجی را متحول کند: «شرکت‌ها مسائل مختلفی دارند؛ مثلا یکی از مسائلی که اکنون شرکت‌ها با آن مواجه‌اند این است که موظفند علاوه‌بر دریافت تاییدیه از مرکز افتا، از سازمان پدافند هم تاییدیه لازم را بگیرند. کارگروه افتا میان سازمان پدافند، وزارت ارتباطات، مرکز افتا و سایر سازمان‌های ذیربط مانند پلیس فتا هماهنگی ایجاد می‌کند تا همگی روی یک آیین‌نامه واحد به اتفاق نظر برسند و از سردرگمی شرکت‌ها بکاهند. کارگروه افتا تاکنون چندین جلسه تشکیل داده است و در آن پیش‌نویس آیین‌نامه‌ای آماده شده که سازمان نظام صنفی رایانه‌ای نسبت به آن نقطه نظراتی دارد و این نظرات هم به اعضای کارگروه و هم به مرکز ملی فضای مجازی اعلام گردیده است».

نماینده‌ی نظام صنفی رایانه‌ای کشور در کارگروه افتا در خصوص ساختار هماهنگی در موضوعات افتایی در درون سازمان نظام صنفی رایانه‌ای می‌گوید: «پس از معرفی بنده به‌عنوان نماینده سازمان نظام صنفی رایانه‌ای کشور در کارگروه افتا، در اولین اقدام تلاشمان در راستای ایجاد هماهنگی بین ارکان صنف بود. به همین دلیل یک کارگروه داخلی به نام «کارگروه هماهنگی افتا» در نصر ایجاد کردیم. آقای دانشگر به عنوان نماینده کمیسیون افتای کشور، سرکار خانم آریا از نصر تهران و آقای زرین بخش به نمایندگی از کمیسیون تامین و کمیسیون شبکه و بنده در این کارگروه حضور داریم. با وجود این کارگروه هماهنگی، تلاش ما بر این است تا در خصوص دغدغه‌های افتایی صنف، صدای واحدی از صنف بیرون بیاید».

او ادامه می‌دهد: «به دلیل اینکه موضوع افتا، هم خدمات و هم تجهیزات را دربرمی‌گیرد تقریبا اکثر شرکت‌هایی که به نوعی با دولت طرف حساب بودند، در یک سال گذشته به دنبال مجوزهای افتا بودند و مجبور بودند به دلیل ملاحظات و الزاماتی که برای شرکت‌ها گذاشته شده، پیگیر این موضوع باشند. اما تقریبا از اواخر پاییز یا اوایل زمستان سال 1401 شرکت‌ها دچار چالش‌های جدیدی شدند. سازمان فناوری اطلاعات برای اینکه شرکت‌ها درخواست‌هایشان را آنجا ثبت و پیگیری کنند سامانه‌ای دارد که متاسفانه در این بازه زمانی این سامانه از کار افتاد. تقریبا دو سه ماه شرکت‌ها دچار سردرگمی بودند چون قبلا درخواست‌هایشان را در این سامانه ثبت کرده بودند و یک دفعه با این چالش که این سامانه دیگر وجود ندارد مواجه شدند. لذا ما به‌عنوان نظام صنفی در خصوص این مشکل شرکت‌ها دست به‌کار شدیم».

تمدید مجوزها تا مرداد امسال

عابدی‌نژاد توضیح می‌دهد: «از اواخر سال گذشته دنبال راه‌حلی بودیم تا بتوانیم مشکل شرکت ها را حل کنیم و از ابتدای امسال برای حل این مشکل با مرکز افتا و سایر ارگان‌های مرتبط مذاکراتی داشتیم. در این خصوص جلساتی با آقای دکتر خوانساری رئیس سازمان فناوری اطلاعات، آقای آقامیری، دبیر شورای عالی فضای مجازی و آقای دکتر عیسی‌ زارع‌پور، وزیر ارتباطات داشتیم. طی این جلسات از طریق سازمان نظام صنفی رایانه‌ای کشور درخواست کردیم چون مشکلات مربوط به سامانه از سوی خود دولت بوده، حداقل برای شرکت‌هایی که قبلا مجوز داشتند و در طول این بازه‌ی زمانی دچار مشکل شدند، مجوزها تمدید شود. در یکی دو ماه گذشته هم پیگیری زیادی را انجام دادیم و حتی در این خصوص در دیدار با رئیس جمهور محترم نیز موضوع مشکلات شرکت‌ها را در خصوص مجوزهای افتا مطرح کردیم».

او با بیان اینکه این گرفتاری‌ها فعلا حداقل به صورت موقت حل شده است، می‌گوید: «با انجام این پیگیری‌ها علیرغم اینکه دولتی‌ها در قدم اول خیلی محکم می‌گفتند این کار غیرممکن است، خوشبختانه این میسر شد و اعلام شد که مجوزهای قبلی شرکت‌ها تا پایان مرداد ماه امسال تمدید می‌شود. البته درخواست ما به صورتی بود که گستره وسیع‌تری از مجوزها را در بر بگیرد اما صرفا مجوزهایی که تاریخ انقضای آنها از ابتدای دی ماه 1401 تا انتهای خرداد 1402 بود تا پایان مرداد ماه تمدید شدند. در مدتی که سامانه صدور مجوزها مشکل داشت، قراردادهای پشتیبانی برخی شرکت‌ها دچار مشکل شده بود و یا در مناقصات به مشکل برخورده بودند. امیدوارم این تمدیدها مشکلات این شرکت‌ها را حل کرده باشد. البته با وجود تمدید مجوزها، از شرکت‌ها درخواست می‌‎کنم تا به این تمدید بسنده نکنند و فرایند عادی تمدید مجوزهایشان را به تاخیر نیندازند».

او در بخش دیگری از سخنان خود با اشاره به کارگروه افتا بیان می‌کند: «این کارگروه از چند نماینده مختلف تشکیل شده است. خوشبختانه بر اساس سند بالادستی نظام اعتبارسنجی، سازمان استاندارد یک عضو این کارگروه است. بر این اساس باید بتوانیم از ظرفیت‌های قانونی‌ای که بر نظام استاندارد کشور حاکم است، برای آیین نامه‌های افتا در حوزه‌ی تجهیزات استفاده کنیم. این موضوع حُسن زیادی برای شرکت‌ها دارد و ما هم به عنوان نماینده سازمان نظام صنفی رایانه‌ای از این قضیه حمایت کردیم».

عضو شورای مرکزی نصر کشور ادامه می‌دهد: «وقتی شرکتی برای مجوز افتای محصولش اقدام می‌کند، یک تا دو سال طول می کشد تا بتواند مجوز لازم را بگیرد. یک دلیل زمانبر شدن این پروسه آزمایشگاه‌ها هستند. اول اینکه آزمایشگاه‌ها خیلی سرشان شلوغ است و دلیل دیگر هم این است که به دلیل پیچیدگی‌های استاندارد لازم است شرکت ها خیلی محصولاتشان را تغییر دهند تا بتوانند با این استاندارد سازگار بشوند. طبیعتا این موضوع هزینه زیادی را از چند صد میلیون تومان تا چند میلیارد تومان به شرکت‌ها تحمیل می‌کند که بسته به نوع محصول متفاوت خواهد بود. در کارگروه افتا مطرح کردیم وقتی شرکتی برای دریافت مجوز این همه هزینه می‌کند، لااقل بتواند مجوز بین‌المللی بگیرد تا اگر خواست محصولش را صادر کند، بتواند از مزایای این استاندارد استفاده کند».

سرنوشت آیین‌نامه جدید

عابدی‌نژاد در مورد سرنوشت آیین نامه‌ای که در حال تصویب است، توضیح می‌دهد: «پیش‌نویس آیین نامه توسط برخی از اعضای کارگروه تهیه شده که در آن تنها بخش کمی از نظرات سازمان نظام صنفی رایانه‌ای لحاظ شده است. بنابراین ما به آن انتقادات جدی داریم و اعلام کرده‎ایم که به صورت کلی و با جزئیات بیشتر نظرات سازمان نظام صنفی رایانه‌ای را منتقل می کنیم و امیدواریم دوستان در مرکز ملی فضای مجازی و اعضای محترم کارگروه نظرات صنف را جدی بگیرند و در آیین‌نامه بازنگری اساسی داشته باشند».

او در بخش پایانی صحبت‌های خود در مورد این موضوع که مجوز افتا تا چه میزان می‌تواند در حوزه نرم‌افزار اهمیت داشته باشد، می‌گوید: «چنانچه اشاره کردم مجوزهای افتا هم در حوزه تجهیزات و هم در حوزه خدمات کاربردی است و منظور از تجهیزات هم سخت افزارهای تولیدی و هم نرم افزارهای تولیدی را شامل می‌شود؛ بنابراین دسته مهمی از شرکت‌های حوزه نرم افزاری از این آیین‌نامه متاثر هستند و اتفاقا مشکلات زیادی هم دارند».

او با اشاره به مشکلات شرکت های نرم افزاری بیان می‌کند: «بخشی از این مشکلات به این دلیل است که برخی از نرم افزارها در طول20، 30 سال گذشته با شیوه‌های قدیمی‌ طراحی شده‌اند و اکنون برای تطبیق با استانداردهای امنیتی هزینه‌های زیادی را به شرکت ها تحمیل می کند. علاوه‌بر آن سازمان‌های بهره‌بردار هم در این زمینه دچار چالش می‌شوند چون مجبورند محصولاتشان را تغییر اساسی بدهند و این مسئله برای سازمان ها هم هزینه زیادی ایجاد می‌کند. برای حل این مشکلات طی جلسات مختلف در کمیسیون‌های نرم افزاری سازمان مشکلات شرکت ها را احصاء کرده و به نهادهای مسئول منتقل کرده‌ایم».

بازنگری در آیین‌نامه اعتبارسنجی تجهیزات

او به نکته دیگری هم اشاره می‌کند: «اصولا چه ضرورتی دارد نرم افزارهایی که اصلا وظیفه‌ی امنیتی در سازمان‌ها ندارند و منجر به آسیب پذیری جدی در سازمان‌ها نمی‌شوند را در اسکوپ این آیین‌نامه‌ها قرار دهیم؟ این نگاه وجود دارد که همیشه همه چیز باید از نظر امنیتی امن باشد. این نگاه بسیار پرهزینه و پرچالش است و اصلا چنین ظرفیتی در شرکت ها وجود ندارد. اساسا به این اندازه نیروی متخصص امنیت در کشور نداریم تا بتوانند تمامی مسائل و چالش های شرکت های نرم افزاری را حل کنند».

عابدی‌نژاد ادامه می‌دهد: «پیشنهاد اکید ما این است که بتوانیم بخشی از نرم افزارها را از اسکوپ آیین نامه خارج کنیم. برای تامین امنیت سازمان‌ها اینکه بخواهیم همه‌ی نرم افزارها امن باشد، شاید سخت‌ترین راهکار باشد. راهکار آسان‌تر این است تا از طریق چارچوب های امن سازی که توسط نرم افزارهای امنیتی و تجهیزات امنیتی می‌توان در سازمان‌ها برقرار کرد، به امنیت بالاتری برسیم. در این زمینه نظراتمان را قبلا اعلام کرده‌ایم و در مکاتبات بعدی نیز منتقل خواهیم کرد».

عابدی‌نژاد در خصوص پیشنهاد نظام صنفی ادامه می‌دهد: «همچنین پیشنهاد کرده ایم بر اساس سند بالادستی تمرکز بیشتری بر حوزه نظارت مستمر بر سازمان‌ها شود. همانطور که می‌دانیم بیشتر از 95 درصد عوامل حملات سایبری به عوامل انسانی و پیکربندی صحیح مربوط است. اینکه بخواهیم عمده انرژی شرکت‌ها را صرف بالا بردن امنیت و استانداردهای امنیتی محصولات کنیم و از بحث نظارت مستمر غافل بشویم منجر به آسیب پذیری بیشتر می‌شود. لذا پیشنهاد ما در صنف این است که لازم است آیین‌نامه اعتبارسنجی تجهیزات بر اساس اصل نظارت مستمر بازنگری اساسی شود».