حفظ امنیت زیرساختهای سایبری
رییس سازمان فناوری اطلاعات ایران از راهاندازی آزمایشگاه ارزیابی عملکردی و کیفی محصولات امنیت فضای مجازی با هدف ساماندهی فضای کسب و کار محصولات بومی در حوزه امنیت فضای تولید و تبادل اطلاعات (افتا) و حفظ امنیت زیرساختهای کشور خبر داد.
امیر ناظمی در مراسم رونمایی از آزمایشگاه ارزیابی عملکردی و کیفی محصولات حوزه امنیت فضای مجازی، گفت: محصولات مختلفی که در حوزه فضای مجازی مورد استفاده قرار میگیرند، همواره توسط کاربران در خصوص امنیت سایبریشان مورد تردید قرار دارند. این تردید محرک خوبی برای سازمانهاست که سطح کیفی و امنیتی محصول خود را ارتقا بدهند. وی با بیان اینکه یکی از مهمترین مسوولیتهای سازمانهای دولتی، تبعیت از استانداردهای در نظر گرفته شده برای این محصولات است، افزود: در این زمینه باید با پژوهشگاهها و آزمایشگاههای مرتبط، همکاری کنند. صدور گواهینامههای مربوط به ارزیابی امنیت محصولات فضای تولید و تبادل اطلاعات چند سالی است که از سوی سازمان فناوری اطلاعات، مرکز افتای ریاستجمهوری و سازمان پدافند غیرعامل به صورت ترکیبی در حال انجام است. معاون وزیر ارتباطات و فناوری اطلاعات ادامه داد: اکنون یک آزمایشگاه ارزیابی هم به مجموعه قبلی اضافه شده که این امکان را فراهم میکند تا بحث ارزیابی کیفیت محصولات در دستور کار قرار گیرد و تولیدکنندگان حوزه امنیت میتوانند به صورت خودخواسته و خود اظهارانه نسبت به دریافت گواهینامه امنیت محصولاتشان اقدام کنند.
همکاری بین نهاد دانشگاه و نهاد صنعت
ناظمی با بیان اینکه موضوع آزمایشگاه ارزیابی از ابعاد مختلفی قابل توجه است، افزود: یکی همکاری بین نهاد دانشگاه و نهاد صنعت است. پژوهشگاه فناوری اطلاعات به عنوان نهاد پیشرو در حوزه پژوهشهای مربوط به فناوری اطلاعات و ارتباطات در کنار نهادهای عملیاتی وزارت ارتباطات قرار دارد. بر اساس استراتژی که در این دوره وجود داشت، تمامی مسائلی که با پژوهش در ارتباط بود با محوریت این پژوهشگاه پیش رفت و ضمنا این نهاد حامی کلیه فعالیتهای پژوهشی بود. وی ادامه داد: کلیه پروژههایی که به مرحله پایلوت میرسیدند، ممکن بود در خود سازمانها انجام شوند. برای مثال پروژه کاربردی کردن فناوری اینترنت اشیا در شناسایی آتشسوزی جنگلهای استان گلستان یکی از آنها بود که در ابتدا در بخشهای پژوهشی وزارت ارتباطات و بعد از آن به صورت پایلوت و در همکاری با شرکتهای خصوصی انجام شد و امیدواریم طی ماههای آینده با افتتاح رسمی از این پروژه، آن را برای بهرهبرداری به سازمان محیط زیست واگذار کنیم. رییس سازمان فناوری اطلاعات با بیان اینکه امنیت یکی دیگر از محورهای مهمی است که باید در حوزه فعالیتهای سایبری مورد توجه قرار بگیرد، اظهار کرد: آزمایشگاه عملکردی و کیفی محصولات امنیت فضای مجازی بهطور ویژهای روی این مسائل تمرکز کرده و نقش بسیار مهمی در آینده محصولات بومی خواهد داشت و باعث اعتماد بیشتر کاربران به این محصولات خواهد شد.
فعالیتهای حوزه سایبری
نیازمند پژوهشهای مداوم است
ناظمی همکاری با نهادهای دانشگاهی و پژوهشگاهی را از جمله استراتژیهای بلندمدت وزارت ارتباطات عنوان کرد و گفت: بر اساس این استراتژی، تمامی طرحها و پروژههایی که قرار بوده در این حوزه با پژوهش همراه باشد، با محوریت پژوهشگاه ارتباطات و فناوری اطلاعات پیش رفته است. موضوع امنیت هم از این حیث قابل توجه است که بخش زیادی از فعالیتهایی که در حوزه سایبری انجام میشود نیازمند پژوهشهای مداوم است و در این راستا ابزارهای مختلفی به کار گرفته میشوند. وی ادامه داد: یکی از این ابزارها مراکز آپا بود که با همکاری دانشگاهها در سراسر کشور ایجاد شد و کمک کرد که جریان پژوهش با جریان کاربردی پیوند بخورد. اما محور دوم همکاریهایی بود که با پژوهشگاهها انجام شد که امروز شاهد رونمایی یکی از آنها هستیم که آزمایشگاه ارزیابی عملکردی و کیفی محصولات امنیت فضای مجازی است. معاون وزیر ارتباطات و فناوری اطلاعات یکی از راهبردهای اصلی سازمان فناوری اطلاعات را خلق بازار برای حوزه امنیت، کمک به شکلگیری شرکتهای دانش بنیان و کمک به ایجاد استارت آپهای خدمات امنیت سایبری عنوان کرد و گفت: مسیری برای ایجاد نهادهای مدرنتری مانند تقویت هکرهای کلاه سفید نیز در این زمینه فراهم شده است.
ارزیابی کیفی محصولات بومی حوزه امنیت
علیاکبر سمندی، رییس اداره کل ارزیابی امنیتی محصولات فاوا در سازمان فناوری اطلاعات، گفت: اداره کل ارزیابی امنیتی محصولات فاوا از سال ۹۱ و در قالب سند امنیت فضای تولید و تبادل اطلاعات (افتا) با همکاری مرکز افتای ریاستجمهوری وظیفه اجرا و راهاندازی آزمایشگاههای این حوزه را برعهده گرفت و از آن سال کار ارزیابی و تست محصولات آغاز و برای آنها گواهینامه صادر کردهایم. وی ادامه داد: مشکلی که در مورد محصولات بومی حوزه امنیت وجود دارد این است که جنبه رقابتی و صادراتی آنها به درستی معرفی نشده است. به همین دلیل است که کیفیت و کارآیی محصولات در ارزیابیها مشخص نیست. از این رو در پروژه راهاندازی «آزمایشگاه ارزیابی عملکردی و کیفی محصولات امنیت فضای مجازی»، تاکیدمان بر ارزیابی کیفی محصولات بومی حوزه امنیت است. مسوول پروژه آزمایشگاه ارزیابی عملکردی و کیفی با بیان اینکه این پروژه در قالب پایلوت از امروز آغاز به کار کرده است، گفت: ارزیابی فنی امنیتی محصولات فاوا از حدود ۹ سال پیش در حال انجام و در حد مطلوب است و برای این موضوع هفت آزمایشگاه ارزیابی امنیتی داریم که در چهار تخصص از سازمان فناوری اطلاعات و مرکز افتای ریاستجمهوری به صورت مشترک، گواهی فعالیت دریافت کردهاند. سمندی با بیان اینکه استانداردهای این آزمایشگاهها بومیشده و سامانه جامع ارزیابی محصولات نیز برای تست محصولات تولیدی در دسترس است، خاطرنشان کرد: امروز موضوع، ارزیابی عملکردی و کیفی محصولات بومی حوزه امنیت است و با راهاندازی آزمایشگاهی مختص این موضوع، هدفمان شناسایی و استخراج ارزیابی و کارایی و صحت خروجی محصولات بومی است تا بتوانیم محصولات داخلی را به ارتقای محصولات خارجی برسانیم و شاهد ایجاد اشتغال و نیز صادرات این محصولات باشیم. وی با بیان اینکه هدف ما زمینهسازی صادرات برای تولید محصولات با کیفیت بالا در حوزه امنیت فضای مجازی است، گفت: از جمله این محصولات میتوان به بومیسازی محصولاتی از جمله SIM، ضدبدافزار، فایروال، کنترل صنعتی و VPN اشاره کرد که ارزیابی سطح بلوغ کیفی آنها در دستور کار قرار دارد. براین اساس اخذ گواهینامه ارزیابی عملکرد برای این محصولات، میتواند به توسعه ظرفیت داخلی و جلب اعتماد توسعهدهندگان بینجامد. سمندی گفت: شروع فرآیند ارزیابی محصولات از طریق مراجعه به سایت سازمان فناوری اطلاعات ایران امکانپذیر است. در خصوص ارزیابی کیفی محصولات حوزه امنیت، شاخصهای مختلفی احصا شده است و این شاخصهای عملکردی بر مبنای محصولات دارای رنکینگ اول دنیا انجام میشود. مدت اعتبار گواهینامه هر محصول نیز در صورتی که تغییر نسخه نداشته باشد، دو سال در نظر گرفته شده است.
دقیقتر شدن ارزیابی
محصولات امنیت فضای مجازی
وحید یزدانیان، رییس پژوهشگاه ارتباطات و فناوری اطلاعات، با اشاره به راهاندازی آزمایشگاه ارزیابی عملکردی و کیفی محصولات امنیت فضای مجازی در این پژوهشگاه، این دستاورد را آغاز راهی برای دقیقتر شدن ارزیابی محصولات این حوزه دانست و گفت: در حال حاضر ارزیابی امنیتی محصولاتی از جمله نرمافزارهای کاربردی وب، تجهیزات شبکه و سامانههای کنترل صنعتی در آزمایشگاههای این پژوهشگاه، عیارسنجی میشود. وی با بیان اینکه در زمینه موضوع ارزیابی عملکردی و کیفی محصولات امنیت فضای مجازی زیرساختهای آزمایشگاهی فراهم شده و ۵۸ محصول مورد ارزیابی امنیتی قرار خواهند گرفت، ادامه داد: پیش از این ارزیابی فنی محصولات بیش از ۵۰ شرکت برای دریافت گواهینامه فراهم شده بود و هماکنون با فراهم کردن زیرساختهای مدنظر، به لحاظ دانشی، ارزیابیهای دقیقتری را از محصولات بومی حوزه امنیت خواهیم داشت. یزدانیان گفت: فقدان یک نقشه راه کلان در حوزه امنیت فضای مجازی محسوس است و با وجودی که در این حوزه اسنادی وجود دارد اما تطابق این اسناد با نیازهای فعلی کشور، جای بحث دارد. هماکنون شاید به لحاظ دانشی و توان فنی در این بخش همتراز سایر کشورها هستیم اما به دلیل نبود نقشه راه کلان در این حوزه، پیشرفتهای ما دیده نمیشود.
افزایش مدام حجم
آسیبپذیریهای فضای سایبر
ابوالقاسم صادقی، معاون امنیت سازمان فناوری اطلاعات ایران نیز با اشاره به ارزیابی کیفی محصولات بومی حوزه امنیت تاکید کرد: در اجرای این پروژه نمیخواهیم با رویکرد الزام دستگاهها به دریافت گواهی ارزیابی پیش برویم. چرا که هدف ما راهنمایی و مشاوره برای استفاده از محصولات دارای استاندارد است. وی گفت: ۱۵ سال است که با فرهنگ الزام و اجبار در حوزه امنیت کار میکنیم و نتیجه آن است که حجم آسیبپذیریها و آلودگیهای فضای سایبر مدام در حال افزایش است. اما کاری که در این آزمایشگاه قصد داریم سنگ بنای آن را بگذاریم به جای زبان الزام، زبان راهنمایی و مشاوره خواهد بود. صادقی با تاکید بر اینکه نقش محوری دولت حتماً نباید با زبان اجبار و الزام همراه باشد، خاطرنشان کرد: بهطور جد با همکاری با مرکز افتای ریاستجمهوری به دنبال ارزیابی کیفی و عملکردی محصولات و تجهیزات وارداتی از منظر امنیتی نیز هستیم و پیشنهاد این طرح را به کمیسیون تنظیم مقررات ارتباطات ارایه دادهایم.