تست محصولات فناوری در آزمایشگاه ارزیابی امنیتی

خرید محصولات فناوری اطلاعات باکیفیت نامناسب برای شرکت‌های دولتی چالش‌های زیادی به همراه دارد، موضوعی که باعث شده تا معاون امنیت سازمان فناوری اطلاعات از راه‌اندازی آزمایشگاه ارزیابی کیفی محصولات فناورانه بومی و خارجی خبر دهد. به گزارش ایرنا، مرکز ماهر با توجه به اهمیت پاسخگویی به رخدادهای فضای تبادل اطلاعات و ایجاد مراکز پاسخگویی به حوادث فضای مجازی درسال ۸۷ ایجاد شد تا فعالیت گسترده‌ای را برای پیشگیری و مقابله با حوادث فضای تبادل اطلاعات در سطح ملی انجام دهد. ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات به دو مرکز دیگر نما (نظام ملی مدیریت امنیت اطلاعات) و ارم (ارزیابی امنیتی محصولات) متعلق به این معاونت اشاره کرد و به شرح اهداف راه‌اندازی آزمایشگاه ارزیابی امنیتی محصولات خارجی و داخلی پرداخت. او درباره هدف ارزیابی امنیتی محصولات خارجی حوزه فناوری توضیح داد: «یکی از اقدامات مهمی که مقدمات آن آماده و الزام قانونی آن به ما ابلاغ شده و منتظر هستیم تا کمیسیون تنظیم مقررات در اولین فرصت آن را بررسی و تصویب کند، ارزیابی امنیتی محصولات خارجی است. طرحی که در تعامل با کمیسیون شبکه سازمان نظام صنفی رایانه‌ای تدوین کردیم. در واقع زمانی که قصد داریم در کشور محصول بومی را بهره‌برداری کنیم باید در چندین مرحله تست، ارزیابی و ممیزی شوند اما محصول خارجی و حتی محصولی که به شیوه قاچاق وارد کشور می‌شود به‌سادگی به دولت فروخته می‌شود. این در حالی است که در مواجهه با محصول بومی، با شک و تردید به آن نگاه می‌کنیم و در مقابل محصول خارجی انگار به اعتماد مطلق رسیده‌ایم. محصولات خارجی به‌لحاظ کیفی محصولات خوبی هستند و در دنیا امتحان خود را پس داده‌اند. نگرانی ما از این نظر نیست که مثلا فایروال در سیسکو کارهای فایروال را درست انجام می‌دهد، اتفاقا می‌دانیم مسوولیت فنی‌شان را به شکل درستی انجام می‌دهند. سوال این است که آیا فقط همان کاری که برای آن تولید شده و ما مشاهده می‌کنیم را انجام می‌دهد یا کارهای نانوشته‌ای هم در دستورالعملش وجود دارد؟»

   محصولات بومی قابل اعتمادتر هستند

او با بیان اینکه محصولات بومی از این نظر قابل اعتمادتر هستند، افزود: «اما این مساله باعث نمی‌شود محصول بومی بی‌کیفیت نسبت به محصول خارجی باکیفیت ارجح باشد. محصول بومی باکیفیت که دانش آن واقعا بومی شده، تولید شرکت‌ها و تیم‌های متخصص داخلی باشد و از نظر الزامات امنیتی، حمایت از رونق تولید و سرمایه‌گذاری‌های داخلی و توسعه کسب‌وکارها خوب عمل کند باید بتواند بازار خوبی در سطح داخلی و منطقه‌ای کسب کند. اگر غیر از این باشد، نگاه حاکمیت غلط است. ما این نگاه را داریم اما درکنار آن اجازه نمی‌دهیم محصول بی‌کیفیت به عنوان محصول داخلی به مردم عرضه شود. به همین دلیل ما دو کار را هم‌زمان در این حوزه پیش بردیم. اول اینکه فرآیند و دستورالعمل چگونگی ارزیابی محصولات خارجی را تدوین کردیم که اکنون آماده طرح در کمیسیون تنظیم مقررات است و به محض مصوب شدن، عملیاتی می‌شود.» معاون امنیت سازمان فناوری اطلاعات در ادامه با بیان اینکه آزمایشگاه عیارسنجی برای تست تضمین کیفیت محصولات داخلی حوزه افتا (امنیت فضای تولید و تبادل اطلاعات) تا چند ماه دیگر به بهره‌برداری می‌رسد، گفت: «هدف از این تاسیس آزمایشگاه، تعیین سطح کیفی محصولات بومی است. البته نگاه ما این نیست که عیارسنجی را به فرآیند الزام‌آور و امنیتی تبدیل کنیم. محصولات پس از گذراندن تست‌های اولیه می‌توانند برای عیارسنجی وارد این آزمایشگاه شوند تا کیفیت آن بر اساس پارامترهای دقیق کیفی سنجیده شده و از طریق سایت به همه اعلام شود. با این کار سازمان‌های دولتی و اشخاص می‌توانند این محصول را با اطمینان کامل خریداری کنند.» قاسمی در پاسخ به اینکه آیا این فرآیند در گذشته روی محصولات حوزه فناوری اعمال نمی‌شد؟ گفت: «قوانین فعلی معاملات و مناقصات دولتی این فرایندها را چندان پشتیبانی نمی‌کند. خریدهای حوزه IT برای سازمان خریدهای بسیار پیچیده و فنی هستند و در آیین‌نامه معاملات فعلی دولت اصلا این پیچیدگی‌های فنی را در نظر نمی‌گیرد. اگر محصولی گواهی خیلی ساده حقوقی که در مالکیت صنعتی ثبت شده ارایه کند سازمان دولتی طبق آیین‌نامه خریدهای فعلی، می‌تواند آن را خریداری کند. معمولا هم افراد در این معاملات سراغ خرید محصولاتی با قیمت کمتر می‌روند. البته بعضی‌ها منکر این قضیه می‌شوند و می‌گویند در فرآیند فعلی «آیین‌نامه معاملات» یکسری شرایط پیش‌بینی شده است. اما این پروسه زمان‌بر است و با توجه به ریسک‌های حقوقی که برای مسوولان، تصمیم‌گیران و صاحبان امضا وجود دارد چقدر حاضرند به این فرآیندها تن بدهند؟ در نهایت هم سازمان‌ها به فرآیندهای عادی مناقصه تن می‌دهند و محصولی که شایستگی مناسب فنی ندارد را خریداری می‌کنند. مباحث خریدهای امروزه فناوری اطلاعاتی به‌صورت عمومی و حوزه امنیت به صورت خاص ساختار پیچیده‌ای دارد و باید برای آن فکر کرد. در این فرآیند سازمان‌ها محصولات بی‌کیفیت را صرفا به خاطر قیمت پایین‌تر خریداری می‌کنند. البته نباید این اجازه را هم بدهیم که قیمت‌ها بی‌حساب و کتاب بالا بروند.»