مصوبه سازمان تنظیم مقررات رادیویی مبنی بر اینکه تمامی تجهیزات شبکه تولیدی و وارداتی باید در آزمایشگاههای مورد تایید رگولاتوری ارزیابی و کنترل کیفیت شوند از نگاه عدهای عامل ارتقای امنیت است و از دیگر سو دغدغههای یک صنف را به همراه دارد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کنترل کیفیت کالاهای تولیدی و وارداتی و اخذ تاییدیه نمونه از آزمایشگاههای مرجع، سالهاست که به رویهای مهم در فرایند واردات کالاهای فاوا بدل شدهاست، اما نظر فعالان بخش خصوصی درباره این فرایند در دو طیف کاملا متضاد قابل دستهبندی است؛ گروهی که آن را مهم و ضروری میدانند و گروهی دیگر از فعالان اقتصادی که از هزینه و فرایند طولانی آن گلهمند هستند.
این دو نظر البته از سطح تئوری فراتر رفته و به یکی از چالشهای مهم صنفی تبدیل شدهاست. از سوی دیگر، بنابر مصوبه سازمان تنظیم مقررات رادیویی و به درخواست وزیر ارتباطات، تمامی تجهیزات شبکه تولیدی و وارداتی باید در آزمایشگاههای مورد تایید رگولاتوری ارزیابی و کنترل کیفیت شوند؛ اما با توجه به طولانی بودن فرایند آزمایشها به دلیل حساسیت امنیت شبکهها و دربرداشتن هزینه مضاعف برای شرکتهای حوزه شبکه، این امر با واکنش و اعتراض کمیسیون شبکه سازمان نظام صنفی رایانهای تهران همراه شدهاست. در این گزارش به بررسی نظر موافقان و مخالفان این تصمیم میپردازیم.
اعتراض به سکوت رگولاتوری
اعضای کمیسیون شبکه نصر تهران گلهمند هستند که چرا سازمان تنظیم مقررات و ارتباطات در برابر مشکلات شرکتهای حوزه شبکه سکوت کردهاست. به گفته آنها، در بسیاری از موارد قوانین به صورت سلیقهای اعمال میشود؛ براساس الزام بند (ل) از ماده سوم قانون وظايف و اختيارات وزارت ارتباطات و فناورى اطلاعات، وظيفه اعمال استانداردها و ضوابط و نظامهاى كنترل كيفى و تاييد نمونه تجهيزات در ارائه خدمات و توسعه و بهرهبردارى از شبكههاى مخابراتى، پستى و فناورى اطلاعات در كشور به سازمان تنظيم مقررات سپرده شده، اما اجراى سليقهاى اين ماده قانونى باعث شده که روزبهروز بر چالشهای واردات قانونی افزودهشود.
حمید بابادینیا، قائممقام کمیسیون شبکه سازمان نصر تهران در اینباره گفت: اعضای کمیسیون شبکه، بارها اعتراض خود را نسبت به چرخه معیوب و زمان بر کنترل کیفیت و تایید نمونه آزمایشگاه مرکز تحقیقات و صنایع انفورماتیک اعلام کردهاند؛ اما متاسفانه رگولاتوری پاسخ روشنی در این باره اعلام نکردهاست.
اعتراض به مرکز تحقیقات صنایع انفورماتیک
بابادینیا با بیان اینکه شرکتهای حوزه شبکه با مشکلات پیچیدهای درگیر هستند، گفت: شرکتهای خصوصی این حوزه با وجود چالشهای فراوان، تجهیزات رایانهای را از مبادی قانونی به منظور انجام پروژههای زیرساختی و حیاتی کشور وارد میکنند، اما به دلیل برداشت نادرست از قانون و ضوابط نظامهاى كنترل كيفى و تاييد نمونه، مجبورند ماهها منتظر تایید نمونه کالای خود در مرکز تحقیقات صنایع انفورماتیک باشند.
او با بیان اینکه این آزمایشگاه فاقد تجهیزات و برنامهریزیهای زمانی لازم برای تایید نمونه و کنترل کیفیت است، گفت: نخستین مشکل اینجاست که کالای شبکه که تحت عنوان سوییچ، شبکه و فایروال از مرحله ترخیص کالا به آزمایشگاه استاندارد می رسد، براساس دستور صریح قانون الزامی به استاندارد ندارد. البته در حوزه امنیت تنها یک آزمایشگاه در ایران وجود دارد که این موضوع به خودی خود مشکل بزرگی به شمار میآید و به نوعی مفهوم انحصار را میرساند.
بابادینیا توضیح داد: در این آزمایشگاه که اتفاقا از امکانات کافی هم برخوردار نیست، باید تجهیزاتی را که پیشرفتهترین شرکتهای جهان ساختهاند به مرحله آزمایش بگذاریم که به دلیل نبود امکانات، کاری عبث و بیهوده به نظر میرسد.
واکنش مرکز تحقیقات صنایع انفورماتیک
در همین حال مدیرعامل مرکز تحقیقات صنایع انفورماتیک در واکنش به این اعتراضها گفت: این بحث کاملا امنیتی است. چگونه میتوانیم امنیت کشور را بدون قید و شرط در اختیار بیگانهها بگذاریم؟ تعجب میکنم؛ این چه بحثی است که نظام صنفی رایانهای راه انداختهاست.
ویدا سینا افزود: در هیچ کشوری کالای امنیتی بدون ردیابی و شناسه وارد نمیشود. سالهاست که در مخالفت با سختگیری استاندارد، ما را از ورود کالای قاچاق میترسانند. درحالیکه قاچاق برای فرار از مالیات و پولشویی صورت میگیرد و ربطی به استاندارد و کنترل کیفیت کالا ندارد.
وی گفت: ارزیابی محصولات شبکهای تعریف نشده بود و جای قدردانی دارد که سازمان تنظیم مقررات با درک به موقع موضوع و ارائه اعتبارنامه رسمی به مرکز تحقیقات صنایع انفورماتیک به عنوان آزمایشگاه مورد تایید افتا، جلوی ورود کالاهای شبکهای بیکیفیت و نا امن را گرفت.
کنترل کیفیت محصولات امنیتی با استاندارد بینالمللی
ویدا سینا همچنین در واکنش به ادعای کمبود تجهیزات آزمایشگاه مرکز تحقیقات صنایع انفورماتیک برای تایید نمونه و کنترل کیفیت، گفت: نیروهای ماهر و مسلط به امنیت و استانداردهای آن در مرکز تحقیقات مشغول به کار هستند و ضمن تجهیز بودن آزمایشگاه، رویه و روال کار کاملا مدون و بینالمللی است.
وی افزود: این سروصداها همواره در مقابله با کنترل و ارزیابی کیفیت کالا وجود داشته و هدف دورزدن استانداردهاست.
مهری یحیایی، مدیر آزمایشگاه امنیت مرکز تحقیقات صنایع انفورماتیک نیز درخصوص نحوه کار آزمایشگاه توضیحاتی را ارائه کرد و گفت: استاندارد مرجع در آزمایشگاه مرکز تحقیقات صنایع انفورماتیک ISO/IEC/ISIRI ۱۵۴۰۸ است که ورژن فارسی آن وجود دارد.
وی افزود: این استاندارد، مجموعهای از معیارها و روالها برای ارزیابی محصولات فناوری اطلاعات تعریف کرده و در دنیا به عنوان کاملترین استاندارد حوزه ارزیابی محصولات امنیتی به کار میرود.
یحیایی با بیان اینکه از این استاندارد بهعنوان ابزاری برای تعیین سطوح امنیتی و ارائه گواهینامه به محصولات استفاده میشود، گفت: از سال ۱۹۹۵ تاکنون کشورهای زیادی عضو این استاندارد شدهاند که همگی دو هدف اصلی را دنبال میکنند. هدف نخست، اطمینان از اینکه محصولات IT با استاندارد یکپارچه و سطح بالا تهیه و تولید می شوند و هدف دوم، ارتقای سطح امنیتی محصولات و متقاعب آن بالا بردن ضریب امنیت ملی در هر کشوری است.
ارزیابی محصولات امنیتی در سه حوزه
مدیر آزمایشگاه امنیت مرکز تحقیقات صنایع انفورماتیک درباره ارزیابی محصولات امنیتی گفت: این ارزیابی در سه حوزه صورت میگیرد؛ نخست نیازمندیهای عملکردی امنیتی محصولات ارزیابی میشود، سپس نیازمندیهای تضمین امنیت و در آخر آسیبپذیری محصولات بررسی و درجه ریسک آنها مشخص میشود.
یحیایی افزود: برای هر حوزه معمولا ۲۰۰ شاخص برای ارزیابی وجود دارد که با این حجم از شاخص ارزیابی زمان کم میآوریم.
فرایند زمان بر ارزیابی محصولات امنیتی
اما مدیر آزمایشگاه امنیت مرکز تحقیقات صنایع انفورماتیک در حالی از زمان کوتاه ارزیابی محصولات امنیتی گلهمند است که بسیاری از فعالان حوزه شبکه به فرایند بسیار زمان بر این آزمایشها اعتراض دارند.
بابادینیا، قائممقام کمیسیون شبکه سازمان نصر تهران در این خصوص گفت: مشکل فعالان حوزه شبکه، فرایند بسیار زمانبر این آزمایشهاست که ۴۵ روز کاری یا بیشتر به طول میانجامد و تازه پس از گذر این مدت زمان هم تجهیزات همچنان آزمایش نشده و چند هفته دیگر باید منتظر ماند.
به گفته بابادینیا در کنار این مشکلات، پاسخگو نبودن برخی آزمایشگاهها و اجبار به تکرار آزمایشهای هزینهبر و زمانبر تا کسب مجوز مشروط ترخیص، فرایندی فرسایشی است که باعث ضرر و زیان واردکننده و افزایش قاچاق میشود.
وی ادامه داد: این در حالی است که براساس قانون گمرکات در صورتی که کالایی را وارد میکنید، میتوانید تا ۶ ماه بعد بدون پرداخت هزینه در یک فرصت زمان کوتاه دستگاه را ترخیص کنید، اما به دلیل ترخیص مشروط تجهیزات امنیت و شبکه، واردکننده این تجهیزات ناچار به طی کردن این روندهای زمانبر و هزینهبر است.
در مقابل، یحیایی معتقد است در مقایسه با آزمایشگاههای مطرح دنیا که گاهی بین ۹۰ روز تا ۶ ماه محصول برای کنترل کیفیت در آزمایشگاه میماند، زمان ۴۰ تا ۵۰ روزه ارزیابی محصولات امنیتی در ایران بسیار کوتاه است و معمولا اگر فرایند طولانی شود، مقصر خود واردکننده است.
وی افزود: بسیاری از مشکلاتی که باعث میشود محصول در آزمایشگاه بماند، مربوط به از کار افتادن مجوزها و تکمیل فرایند آن است، مگر محصول در شرایط خاصی باشد.
گله از تحمیل هزینه سنگین آزمایش
در عین حال، مشکل دیگر فعالان این حوزه تحمیل هزینه سنگین آزمایش است که بابادینیا در این باره گفت: برای این آزمایشهای اجباری باید تعرفههای سنگینی را پرداخت کنیم و از آنجایی که این کار تحت عنوان خدمات آزمایش انجام میگیرد، هیچ گونه كسورات بیمهای از جانب آن آزمايشگاهها پذيرفته نبوده و اين هزينه نيز به ساير هزينهها اضافه ميشود.
بابادینیا با بیان اینکه نهادهای ناظر در برابر این مشکلات سکوت کردهاند، گفت: نهادهای امنیتی و ناظر در پاسخ اعتراض به ما میگویند که آنان این الزامات فرسایشی را تعیین نکردهاند. از همه مهمتر اینکه در آزمایشگاههای ایران فقط کالاها از بعد عملیاتی تجهیزات آزمایش میشوند و از نظر امنیتی مورد آزمايش قرار نمیگيرند؛ چرا که اصلا تجهیزات تست و آزمایش امنيتي را ندارند.
این در حالی است که ویدا سینا، هزینه آزمایش را بسیار ناچیز برشمرد و گفت: آنچه از واردکنندگان بابت کنترل کیفیت کالا گرفته میشود، تعرفههای مصوب و مشخصی است و ما دخل و تصرفی به آن نداریم.
دلایل ضرورت ارزیابی محصولات شبکه
یحیایی درباره ضرورت ارزیابی محصولات شبکهای گفت: معمولا نقاط آسیبپذیری زیادی در زمینه رمزگذاری وجود دارد که مخاطرهآمیز بوده و ما را وادار کردهاست تا از روی استانداردها مستنداتی را تهیه کنیم تحت عنوان مستندات امنسازی و آن را در اختیار واردکنندگان بگذاریم تا استفاده کنند و کمتر به مشکل بربخورند.
وی افزود: اغلب اشکالاتی در بحث پروتکلهای رمزگذاری وجود دارد یا فیلترکردن بستهها با گزینه های IP خاص است و بسیاری از موارد دیگر که به صورت کامل به آن خواهیم پرداخت.
دریافت صفحه با کد QR