fanavaran
آخرین اخبار
   
    کد خبر : 212890
    تاریخ انتشار : 13 تیر 1396 10:23
    تعداد بازدید : 688

    پاسخ کمیسیون شبکه سازمان نصر تهران به اظهارات مدیرعامل مرکز تحقیقات صنایع انفورماتیک ایران

    از امنیت استفاده ابزاری نکنید!

    کمیسیون شبکه سازمان نظام صنفی رایانه ای تهران در واکنش به سخنان مدیرعامل مرکز تحقیقات صنایع انفورماتیک مبنی بر اینکه ارزیابی کیفیت محصولات شبکه در آزمایشگاه های مورد تایید رگولاتوری، مبحثی امنیتی است، با ارسال جوابیه‎ای اعلام کرد: موضوع امنیت دغدغه تمام اعضای صنف است و مرکز تحقیقات صنایع انفورماتیک نباید به جای پاسخ کارشناسی، موضوع را در قالب مبحث امنیت فرافکنی کند.

    فناوران- متن جوابیه کمیسیون شبکه سازمان نظام صنفی رایانه ای تهران به این شرح است: 
    «پیرو درج صحبت های مدیرعامل محترم مرکز تحقیقات صنایع انفورماتیک درخصوص اعتراض شرکت های فعال در حوزه شبکه مورخ سوم تیر ماه 96 که در صفحه پنج روزنامه فناوران اطلاعات به چاپ رسید، کمیسیون شبکه سازمان نظام صنفی رایانه ای تهران با هدف تنویر افکار عمومی اعلام کرده است: بر اساس مصوبه جلسه شماره 53 مورخ 10 آذرماه 87 کمیسیون تنظیم مقررات ارتباطات در اجرای بند «ل» ماده 3 قانون وظایف و اختیارات وزارت ارتباطات و فناوری اطلاعات و به استناد بند 2 ماده 6 اساسنامه تنظیم مقررات و ارتباطات رادیویی مبنی بر اعمال استانداردها ، ضوابط و نظام های کنترل کیفی و تایید نمونه تجهیزات در ارایه خدمات و توسعه و بهره برداری از شبکه های مخابرا تی ، پستی و فناوری اطلاعات در کشور و همچنین لیست اعلامی از سازمان تنظیم مقررات و ارتباطات رادیویی، استاندارد ISO 15408 مورد تایید و وثوق است که بر خلاف فرمایش مدیر عامل محترم آزمایشگاه صنایع انفورماتیک هیچ مورد امنیتی وجود ندارد. این موضوع در حالی است که فرآیند تایید نمونه برای شرکت های فعال و عضو سازمان نظام صنفی رایانه ای دارای اشکالات فراوان است و به رغم تاکید مدیران سازمان تنظیم مقررات و ارتباطات رادیویی مبنی بر پیگیری اعتراضات در این خصوص تاکنون مرتفع نشده و فقدان رعایت استاندارد بسیاری از شرکت ها را با چالش جدی مواجه کرده است. در ذیل اشکالات این فرآیند ذکر می شود: 
    1-اعتراض به هزینه بالای آزمون 
    این آزمون از سوی آزمایشگاه های زیادی در دنیا در حال انجام است؛ آزمایشگاه های مورد تایید استاندارد که تعدادی از آنها مورد تایید سازمان تنظیم مقررات نیز هستند. متاسفانه به رغم نیروی کار ارزان تر در ایران در مقایسه با بسیاری از کشورها ، هزینه آزمون و ارزیابی در داخل کشور با قیمت های بسیار زیاد نسبت به آزمایشگاه های بین المللی انجام می پذیرد و بسیار جای تعجب است با توجه به اینکه آزمون ها در داخل به صورت کامل نیز انجام نمی شود، این هزینه از طرف یک آزمایشگاه به تمامی شرکت ها تحمیل می شود.
    انحصاری بودن یک آزمایشگاه و فقدان صدور مجوز برای سایر آزمایشگاه ها مشکل ساز شده است؛ در صورتی که می توان با ایجاد فضای رقابتی در ارایه خدمات و رفع رانت موجود به نفع شرکت ها، مصرف کنندگان نهایی کالا و مردم، هزینه ها را تعدیل کرد.
    2- زمان بسیار طولانی انجام آزمون
    مدت زمان انجام فرآیند تایید نمونه و تست تجهیزات بسیار طولانی و متفاوت از آزمایشگاه های بین المللی است؛ مدت زمان دو تا سه ماهه تحمیل شده به شرکت ها غیر منطقی و خارج از رویه استاندارد در دنیا است. متاسفانه حتی زمان بندی ارایه شده توسط آزمایشگاه برای تجهیزات یکسان نیز متغیر است و این آزمایشگاه، گاه روز عادی و گاهی روزهای کاری را در زمان بندی اعلام می کند. تحمیل این زمان به شرکت ها به معنای تاخیر چندماهه در پروژه های عمدتا ملی است . در حال حاضر شرکت های بهره بردار که به مردم سرویس می دهند، تجهیزات خود را دو تا سه ماه دیرتر دریافت می کنند .
    اعلام فعالیت ها به صورت ریز ، شفاف و دارای زمان بندی از طرف سازمان تنظیم مقررات و آزمایشگاه ، به منظور بازبینی ، مقایسه آن با سایر کشورها ، افزایش تعداد آزمایشگاه ها ، در نظر گرفتن منافع ملی در قبال منافع یک آزمایشگاه بسیار مهم و ضروری است. 
    3- اتهام دور زدن استانداردها
    متاسفانه مدیریت عامل محترم آزمایشگاه مرکز تحقیقات، شرکت ها را متهم کرده است که با هدف دور زدن استانداردها به فرآیند تست اعتراض می کنند؛ درحالی که اعتراض ها دقیقا به عدم رعایت استاندارد است. فرآیند تست تجهیزات در تمام آزمایشگاه های بین المللی منجر به صدور گواهی برای تجهیزات می شود در حالی که در کشور ما برای تجهیزات مشابه نتیجه ای غیریکسان حاصل می شود. انتظار عملی و فنی از یک فرآیند مشابه روی یک دستگاه نتیجه ای یکسان است ولی نتیجه آزمون در داخل متفاوت از سایر کشورهاست. عدم صدور گواهی در داخل بدین معنی است که یک دستگاه بارها و بارها ارزیابی می شود و این رویه باعث درآمد مستمر برای آزمایشگاه انحصاری شده است.
    آزمون های تکراری و دریافت هزینه های تکراری برای تجهیزاتی که دارای تاییدیه استاندارد در تمام دنیااست، بیشتر سوءاستفاده از استاندارد است یا اعتراض به پرداخت هزینه های تکراری ؟ 
    این درحالی است که پرسش چند باره شرکت های مختلف در خصوص چرایی عدم تایید تجهیزات دارای گواهی نامه از آزمایشگاه های مورد وثوق همچنان بدون پاسخ باقی مانده است.
    4- اخلال در نظام کسب و کار و امنیت با سرویس دهی نامناسب 
    • عدم صدور گواهی تایید نمونه و اعمال هزینه های چندباره و تاخیر در ارایه تجهیزات باعث اخلال در نظام کسب و کار شرکت ها شده است. شرکت ها در شرایط رکود کنونی به سختی فعالیت های تجاری خود را دنبال می کنند.
     بدیهی است که تاخیر دو تا سه ماهه در کسب و کار به هیچ وجه مورد تایید مجموعه دولت و نظام نیست. بدیهی است که دولت به هیچ عنوان در صدد تضعیف شرکت ها با اعمال هزینه های تکراری از استانداردی غیراجباری نیست. مجموعه مدیران سازمان تنظیم مقررات حتما باید منافع هزاران شرکت عضو صنف را بر منافع یک  آزمایشگاه ترجیح دهند.
    شرکت ها با اخد مجوزهای لازم از نهادهای مختلف صنفی و امنیتی و اقتصادی سعی در فعالیت در کشور عزیزمان دارند، با هزاران مشکل، تجهیزات مورد نیاز کشور را خریداری و تامین می کنند، تجهیزاتی که جهت ارتقای امنیت شبکه و زیرساخت ها توسط سازمان ها و وزارتخانه ها استفاده می شوند و هر روز شاهد تغییر تکنولوژی آنها هستیم. آیا ایجاد این گلوگاه باعث تاخیر در امن سازی زیرساخت ها حداقل به مدت 2 تا سه ماه نشده است ؟ آیا تاخیر در توسعه امنیت شبکه سازمان های عمده کشور اخلال در امنیت نیست ؟ در شرایطی که هر روز شاهد هزاران حمله از انواع مختلف به شبکه ها هستیم و سازمان ها نیاز مبرم به نصب و راه اندازی تجهیزات دارند، با ادامه فرآیند معیوب کنونی تمام کشور را در معرض خطر جدی قرارداده ایم.
    • بخشی از دولت با پرداخت هزاران میلیارد تومان سعی در رونق کسب و کار و ایجاد اشتغال دارد و به دنبال سیاست توانمند سازی شرکتها است و متاسفانه در بخشی دیگر فرآیند تایید نمونه باعث اعمال هزینه های تکراری ، کند شدن گردش سرمایه (حداقل بیست تا سی درصد) و ضعیف تر شدن شرکتهای فعال در حوزه IT شده
    است.
    مطمئنا يكي از نگراني هاي شركت های عضو سازمان نظام صنفي برقراري امنيت در شبكه سازمان هاست ولي آنچه مسلم است امنيت با تست و ارزيابي تكراري و ناقص ابزارها و تجهيزاتي كه داراي استاندارد هستند، به دست نخواهد آمد و كليد برقراري امنيت در استفاده و به كارگيري مناسب و اصلاح و هزينه در بخش امنيت شبكه سازمان هاست.
    با توجه به مطالب فوق الذکر انتظار می رود آزمایشگاه مرکز تحقیقات ضمن پرهیز از استفاده ابزاری از مبحث امنیت، از ایجاد هرگونه مانع در ارتقای امنیت شبکه های مورد استفاده در داخل کشور خودداری کند.»


    نظر شما



    نمایش غیر عمومی
    تصویر امنیتی :