آنجه سازمان تنظیم مقررات جهت استاندارد تجهیزات امنیت شبکه مقرر کرده، استاندارد ISO15408 است و روشی که آزمایشگاه جهت ارزیابی این استاندارد استفاده می کند روشی است به نام common criteria که دارای هفت مرحله (Level) از EAL1 تا EAL7 است.
در واقع آزمایشگاهی که در داخل کشور ارزیابی استاندارد را انجام میدهد، چندین سال است که فقط EAL1 را م ارزیابی می کند و هنوز به فن آوری مراحل بالاتر دستیابی پیدا نکرده است.
بهتر است کمی به عقب تر برگردیم و علت اصلی ارزیابی و تست این نوع تجهیزات را مطلع شویم. وقتی از مدیران سازمان تنظیمات مقررات سوال میشد که چرا تجهیزاتی که انواع و اقسام استانداردها را دارد، دوباره ارزیابی می شوند، همیشه چند دلیل کلیشه ای زیر را مطرح می کردند:
1- محصولاتی که وارد کشور می شوند، استانداردهای لازم امنیتی را دارا باشند.
2- مشخص نیست کالا و تجهیزاتی که واردات آن انجام می شود همانی باشد که به کشورهای دیگر داده می شود و خاص برای ایران طراحی شده و دارای حفره های امنیتی خاص و احتمالا Backdoor باشند.
3- ممکن است کالایی که وارد می شود، اصل نباشد.
4- دغدغه های ملی و کشوری وجود دارد.
حال باید دید آیا نگرانی های سازمان تنظیم مقررات با EAL1 برطرف می شود؟
1- محصولاتی در کشور ارزیابی می شوند که از طریق منابع رسمی می توان به سادگی متوجه شد که حتی تا سطح هفتم نیز ارزیابی شده و دارای گواهینامه هستند. صحت این موضوع را می توان از طریق سایت شرکت تولید کننده محصولات و حتی سایت رسمی common criteria جست وجو کرد و سوال اینجاست که چرا برای ارزیابی مجدد در آزمایشگاه هزینه و وقت صرف می شود.
2- در بیشتر موارد محصولات امنیتی که داخل کشور می آیند، بدون اطلاع شرکت تولید کننده بوده از کانال های خاصی و طریق شرکتی سوم در کشور دیگر تهیه می شود. چگونه است که تصور می شود که محصول خاصی برای ایران طراحی شده و به فرض قبول این موضوع چه معیار امنیتی در EAL1 می تواند صحت این موضوع را ثابت کند. هیچکدام از معیارهای مورد ارزیابی در این سطح نمی تواند موضوع تهدیدات امنیتی که به خاطر نفوذ به تجهیز یا backdoor داشتن آن را مورد ارزیابی قرار دهد. (تاکید می شود مجددا توضیحات EAL1 خوانده شود.
3- اصل بودن تجهیزات امنیتی به سادگی و با رجیستر محصول در سایت شرکت تولیدکننده یا فعال کردن لیسانس قابل تشخیص است و نیاز به صرف هزینه های بسیار زیاد و 45 تا 90 روز تست در آزمایشگاه ندارد. معمولا روال اصل و نو بودن محصول توسط اکثر بهره برداران نهایی قابل تشخیص و ارزیابی است.
واقعا قابل درک نیست که مدیران سازمان تنظیم مقررات آیا به این موضوعات آگاهی دارند یا خیر. اگر می دانند و باز به این EAL1 اکتفا می کنند، باید شبها بی خواب باشند و از نگرانی آرامش نداشته باشند و اگر این موضوع را نمی دانند، پس کسانی که استانداردهای تجهیزات امنیتی را تدوین می کنند فقط به ترجمه کردن آنها بسنده کرده اند. نبود دانش در کارشناسان سازمان که متولی نظارت بر عملکرد آزمایشگاه هستند، موجب شده است که در زمینه بررسی موارد فنی مورد اعتراض شرکت ها هیچگونه اقدامی صورت نگیرد و فقط به ارسال نامه شرکت ها به آزمایشگاه و بالعکس بسنده شود.
حال سوال نخست این است که چرا تجهیزاتی که برندهای بسیار معتبری در دنیا هستند و اسم و رسم بزرگی دارند و ادعا می کنند تا EAL7 دارای گواهینامه هستند، هیچ وقت نمیتوانند از سد آزمایشگاه ایران بگذرند آن هم در خوان اول که EAL1 است. برای پی بردن به جواب این سوال باید از کارشناسان آزمایشگاه این سوال را پرسید آیا می دانند firmware های تجهیزات دارای نسخه های زیادی هستند؟ آیا می دانند که وقتی گواهینامه ای به تجهیزی داده می شود، به firmware داده می شود مثلا گفته می شود فلان محصول با firmware فلان نسخه این استاندارد را اخذ کرده است؟
خیلی جالب است وقتی در این چند سال به کارشناسان و مدیران سازمان تنظیم مقررات و کارشناسان آزمایشگاه این موضوع گفته می شود که سخت افزار استاندارد نمی گیرد بلکه محصول شامل سخت افزار و نرم افزار با هم این استاندارد را می گیرند، باز هم سخت افزار مردود می شود و نه نسخه خاصی از firmware محصول.
سوال بعدی وظیفه چه سازمان یا شرکتی است که مشخص کند تجهیزی که وارد می شود با چه firmwareی امنیت را دارا و باید اطلاع رسانی کند. سازمان تنظیم مقررات ، آزمایشگاه یا شرکت واردکنند محصول یا تولید کننده؟ تولید کننده که به علت محدودیت هایی که وجود دارد، طبیعتا پاسخگو نیست. سازمان تنظیم مقررات نیز که وظیفه اجرایی نداشته و فقط وظیفه تدوین استاندارد را دارد. واردکننده کالا نیز با اوضاع و شرایطی که به علت تحریم های ناعادلانه وجود دارد، تامین کالا را به سختی و از راه هایی دشوار به عهده داشته و سال هاست فن آوری نوین و دانش فنی را در اختیار مشتریان قرار می دهد و خوشبختانه به مقدار زیادی هم اطلاعات و آموزش های لازم را ارایه می دهد. اما نقش آزمایشگاه به نظر مهم تر است.. انتظار می رود آزمایشگاه و کارشناسان آن کاملا با موضوع firmware آشنا بوده و بدانند محصولات امنیتی که وارد کشور می شوند و مدل های آن بیشتر از انگشتان دو دست نیستند، با چه firmware هایی در آزمایشگاه های دنیا گواهینامه EAL1 را اخذ کرده و آن را به سازمان تنظیم مقررات اعلام و سازمان تنظیم مقررات نیز به استفاده کنندگان توصیه کند.