نخستین گواهی مشترک ارزیابی امنیتی-پدافندی محصولات فتا به 8 شرکت اعطا شد

آی‌تی‌من- سه سازمان پدافند غیرعامل، سازمان فناوری اطلاعات و مرکز مدیریت راهبردی افتای ریاست جمهوری با یکپارچه کردن گواهی‌های خود، ضمن معرفی یک گواهی مشترک برای ارزیابی امنیتی- پدافندی محصولات فناوری اطلاعات، زمینه کاهش هزینه و زمان دریافت گواهی و موازی کاری در این زمینه را فراهم کردند که این گواهی‌ مشترک دیروز رونمایی و با حضور رضا جواهری، رییس مرکز مدیریت راهبردی افتای ریاست جمهوری، امیر ناظمی، رییس سازمان فناوری اطلاعات و سردار حسین باقری، دستیار ویژه امور سایبری رئیس سازمان پدافند غیرعامل کشور و معاون ارتباطات، الکترونیک و فناوری اطلاعات سازمان پدافند غیرعامل، به 8 شرکت اعطا شد.
 
بخش خصوصی به رشد فرهنگ فناوری در حاکمیت کمک کند
رضا جواهری، رییس مرکز مدیریت راهبردی افتای ریاست جمهوری در این مراسم، با بیان اینکه فضای مجازی در زندگی امروز ما تنیده شده و در زمینه رفع دغدغه‌ها می‌تواند کمک حال حاکمیت باشد، گفت: حاکمیت و دستگاه‌های اجرایی بدون کمک بخش خصوصی نمی‌توانند ماموریت خود را انجام بدهند؛ اما این به معنی بی نظمی نیست. به همین دلیل هم موضوع ساماندهی و اعتبارسنجی بخش خصوصی مطرح شده تا حاکمیت بتواند با اعتماد، بخش خصوصی را در امور مشارکت بدهد.

وی با بیان اینکه سند راهبردی افتا نخستین بار در سال 84 ابلاغ شد، افزود: یکی از مباحث آن سند، ساماندهی و اعتبار بخشی به بخش خصوصی بود که در آن، تمهیداتی برای ارایه امتیازات بیشتر به دارندگان مجوز لحاظ شده بود. از سوی دیگر، این مجوزها یک ساله بود که زمان مناسب را برای بازاریابی و توسعه کسب و کار به شرکت‌ها نمی‌داد که به پیشنهاد بخش خصوصی، این مجوزها دوساله شد.

به گفته وی، بهینه سازی و مکانیزه کردن فرایند ثبت نام و اعطای مجوز نیز اقدام دیگری بود که با تلاش سازمان فناوری اطلاعات به نتیجه رسید.

اما به گفته جواهری، با وجود دو سازمان افتا و پدافند غیرعامل، شرکت‌ها مجبور بودند که هم‌زمان دو مجوز دریافت کنند که با توجه به نام‌گذاری امسال به نام جهش تولید، طی جلساتی تصمیم بر این شد که این دو مجوز یکی بشود که از لحاظ هزینه و زمان به سود شرکت‌هاست.

وی همچنین به عنوان نماینده حاکمیت از شرکت‌های بخش خصوصی خواست که منافع ملی را بر منافع بخشی و صنفی اولویت بدهند و در تحقق الزامات حاکمیتی، با مجموعه حاکمیت همکاری کنند.

درخواست دیگر او از بخش خصوصی، کمک به افزایش تخصص در دستگاه‌های دولتی بود. وی توضیح داد: جذب نخبگان در بدنه دولت و دستگاه‌های اجرایی کار دشواری است و بدون این نخبگان، فهم مساله و اجرای پیشنهادهای بخش خصوصی در بدنه دولت به درستی انجام نمی‌شود. بنابراین از بخش خصوصی می‌خواهیم که هم‌زمان با اجرای پروژه‌ها، ارتقای دانش و فرهنگ فاوا را نیز در سازمان‌ها مدنظر قرار دهند.
 
5 استراتژی در خصوص گواهی‌نامه‌های امنیتی
امیر ناظمی، رییس سازمان فناوری اطلاعات نیز در ادامه این مراسم به 5 استراتژی مدنظر این سازمان در زمینه ارایه گواهی‌نامه‌های امنیتی اشاره کرد.

وی گفت: مجوزهای حوزه امنیت یکی از زمینه‌هایی است که مداخله دولت را می‌طلبد؛ زیرا عدم مداخله می‌تواند موجب نقض حریم خصوصی مردم شود و هر چه فاوا بیشتر رشد بکند، این مخاطرات نیز افزایش می‌یابد.

اما به گفته ناظمی، سازمان فناوری اطلاعات برای اینکه این مداخله کمترین آسیب را بزند و در عین حال تسهیل کننده باشد، 5 راهبرد را در نظر گرفته است.

به گفته وی، راهبرد اول، «راهبرد سطح صفر» نام دارد که بر اساس آن، شروع فعالیت نیازمند کسب مجوز نیست. اما با افزایش فعالیت، رشد تعداد رکوردهای اطلاعاتی جمع‌آوری شده و میزان اهمیت رکوردها، اخذ گواهی‌نامه‌ها در سطوح دشواری مختلف الزامی خواهد بود.

راهبرد دیگر سازمان فناوری اطلاعات که ناظمی به آن اشاره کرد، «استقلال حداکثری از دولت» بود. به گفته وی، در اعطای گواهی‌نامه مشترک ارزیابی امنیتی و پدافندی نیز با توجه به این راهبرد، میزان مداخله دولت به حداقل رسیده و 6 آزمایشگاه مستقل و خارج از دولت، ارزیابی‌ها را انجام می‌دهند و گزارش‌ها را برای تصمیم‌گیری و ارایه گواهی‌نامه ارایه‌ می‌کنند. به این ترتیب با مداخله حداقلی دولت، زمینه فساد نیز بسیار کاهش می‌یابد.

استراتژی سوم «یکپارچگی و هماهنگی نهادی است. ناظمی گفت: در نظام حکمرانی، آنچه اهمیت دارد، تقسیم کار به نوعی است که کمترین میزان مداخله و آسیب و بیشترین هماهنگی در آن دیده شود.

وی افزود: زمانی که ما به عنوان سه نهاد مستقل، مجوز می‌دادیم، هم مانعی برای کسب و کار ایجاد می‌شود و هم امکان ناهماهنگی و رقابت بین خود دستگاه‌های حاکمیتی افزایش می‌یافت. اما در این گواهی‌نامه، سه نهاد مستقل با توافق هم، فرایند مشخصی را مشخص کرده‌اند و هولوگرام هر سه نهاد نیز پای گواهی‌نامه‌ها درج می‌شود.

وی گفت: ما در زمینه امنیت مشکلاتی جدی داریم که آسیب‌شناسی‌ها نشان می‌دهد که نبود یکپارچگی یکی از مهم‌ترین دلایل این مشکلات است.

رییس سازمان  فناوری اطلاعات، «تنوع در گواهی نامه‌ها برحسب نیازها» را استراتژی چهارم سازمان متبوع خود اعلام کرد و توضیح داد: لازم نیست که همه شرکت‌ها و محصولات را با یک معیار سنجش کنیم. بنابراین سعی می‌کنیم به مرور زمان و برحسب کاربردها، کارکردها و نیازمندی‌ها، در گواهی‌نامه‌های صادره نیز تنوع را لحاظ کنیم.

وی با بیان اینکه برای کسب‌وکارها، هم هزینه‌های مالی مهم است و هم هزینه‌های زمانی، گفت: وقتی یک کسب‌وکار باید 6 ماه وقت صرف اخذ گواهی از یک سازمان و 6 ماه دیگر نیز صرفت گرفتن گواهی‌نامه از نهاد دیگری بکند، علاوه بر بار مالی، زمانی که صرف می‌شود، زمان رسیدن به بازارش را افزایش می‌دهد که این به معنای کاهش چابکی و افت رقابت‌پذیری خواهد بود. با همین نگاه، استراتژی پنجم سازمان فناوری اطلاعات، «کاهش هزینه» در نظر گرفته شده است.

وی افزود: در همین راستا با هماهنگی صندوق نوآوری و شکوفایی، بسته‌های تشویقی برای شرکت‌های دانش بنیان در نظر گرفته شده و این صندوق هزینه دریافت گواهی‌نامه‌های امنیتی این شرکت‌ها را تقبل کرده است.
 
مجازات درز اطلاعات در شرکت‌ها و سازمان‌ها
ناظمی در بخش دیگری از این مراسم، در پاسخ به سوالی  درباره عواقب نشت اطلاعات که این روزها موارد متعددی از آن به گوش می‌رسد، گفت: ما هم اکنون براساس قوانین فعلی، آیین نامه‌ای ده بندی برای تعیین مجازات درز اطلاعات داریم؛ اما از آنجا که موضوع وقوع جرم است، نهادهای قضایی باید در این زمینه تصمیم گیری بکنند. به همین دلیل هم در برخی از اتفاقات به وجود آمده، به دادستان اعلام شکایت کرده‌ایم.

معاون وزیر ارتباطات افزود: علاوه بر این، در پروانه‌های تخصصی اعطا شده نیز بندهایی در این زمینه وجود دارد. برای مثال در پروانه رایتل بندی درباره درز اطلاعات هست که موضوع از طریق سازمان تنظیم مقررات در حال پیگیری است.

وی همچنین با اشاره به لایحه صیانت از داده‌ها که کارکردی مشابه GDPR دارد، گفت: از آنجا که در این لایحه موضوعات قضایی و جرم‌انگاری مطرح است، فرایند بررسی و تایید آن طولانی است. این لایحه نیز پس از طی مراحل مختلف، هم اکنون منتظر ورود به هیات وزیران است که پس از تصویب برای مجلس ارسال خواهد شد.

وی درباره بررسی امنیتی محصولات خارجی نیز گفت: نمی‌شود فقط محصولات ایرانی را بررسی کرد و محصولات خارجی را به حال خود گذاشت. زیرا به این ترتیب، سازمان‌ها را به استفاده از راهکارهای خارجی سوق خواهیم داد. به همین دلیل، در مورد محصولات خارجی آیین‌نامه‌ای تدوین و برای سازمان تنظیم مقررات ارسال شده است.

ناظمی درمورد فرایند بررسی محصولات در آزمایشگاه‌های مستقل نیز با بیان اینکه آزمایشگاه فقط گزارش بررسی را ارایه می‌کند و نهادهای حاکمیتی در این باره تصمیم گیری می‌کنند، افزود: در این زمینه فرایندی تدوین شده که بر اساس آن، گاه تا 7 مرحله آزمایش روی محصولات صورت می‌گیرد و در برخی موارد نیز، برای اطمینان از صحت عملکرد آزمایشگاه‌ها، محصولات را برای آزمایشگاه دوم نیز ارسال می‌کنیم.

جواهری نیز در این زمینه گفت: نظام مقابله با حوادث فضای مجازی به رویدادهای مرتبط با حوادث این حوزه می‌پردازد و برای جرم انگاری در این بخش، مرکز ملی فضای مجازی در حال تدوین نظام مقابله با جرم در فضای مجازی است.

وی با بیان اینکه مسوولیت افشای اطلاعات و حوادث مرتبط با امنیت فضای مجازی به عهده بالاترین مقام سازمانی قرار دارد که افشای اطلاعات در مورد آن رخ داده است، افزود: آن سازمان باید پاسخگوی حوادث رخ داده باشد و در خصوص مقابله با جرم نیز در صورتی که این نظام تدوین شود می‌توان از آن برای بررسی موارد مربوط به جرم انگاری استفاده کرد.
 
رئیس مرکز افتای ریاست جمهوری گفت: در خصوص نشت اطلاعات از پایگاه داده اپراتور رایتل با توجه به تقسیم کار صورت گرفته در نظام مقابله با حوادث فضای مجازی یک تیم مشترک در حال بررسی جوانب موضوع است تا مشخص شود در این مورد جرم اتفاق افتاده است یا نه.

جواهری با انتقاد از عملکرد بخش خصوصی در مشارکت ارزیابی محصولات بومی گفت: طی فراخوانی که از سوی مرکز افتای ریاست جمهوری اعلام شد از بخش خصوصی خواستیم چنانچه محصولات بومی در حوزه امنیت دارند که معادل محصولات خارجی در این بخش است به ما اعلام کند. در این زمینه همکاری خوبی صورت نگرفت و تنها ۳۰ محصول  در این فراخوان شرکت کردند.

وی ادامه داد: خوشبختانه مطابق با ابلاغ سازمان برنامه و بودجه قسمتی از بودجه سازمان‌ها به موضوع امنیت اختصاص یافته و در سال ۹۹ بودجه هر دستگاهی مطابق با نیاز امنیتی آن دستگاه تخصیص می‌یابد و چنانچه برنامه امنیتی آن دستگاه تدوین نشود بودجه‌ای به آن تخصیص نخواهد یافت.
 
«گوهر»ها فعال شوند
سردار حسین باقری، معاون سازمان پدافند غیرعامل نیز در این مراسم، با بیان اینکه مسوولیت امن‌سازی با خود دستگاه‌هاست، گفت: بر اساس مصوبات دهه گذشته، علاوه بر مرکز ماهر در ذیل سازمان فناوری اطلاعات، دستگاه‌ها نیز موظف به راه‌اندازی مراکز «گوهر» (گروه واکنش هماهنگ به رخدادهای رایانه‌ای) بودند که متاسفانه این گروه‌ها در بسیاری از سازمان‌ها راه‌اندازی نشده است.

در پایان این مراسم نیز گواهی‌نامه‌های مشترک ارزیابی امنیتی-پدافندی به 8 شرکت بخش خصوصی اعطا شد.
بر اساس این گزارش، شرکت امن افزار گستر شریف برای 8 محصول، شرکت امن پردازان کویر برای 6 محصول و شرکت‌های مدیریت رایانش ابری آوید، سیماوا، صباانرژی آفرین، کوشک ایمن، برید سامانه و بهین راهکار هر کدام برای یک محصول، این گواهی‌نامه مشترک را دریافت کردند.