آزمایش‌های بی‌مورد که هیچ نتیجه‌ای دربرنداشته و برطرف‌کننده هیچ نگرانی نیستند، تنها چرخه بازار فناوری اطلاعات و سرویس‌دهی را در این حوزه با مشکلات جدی مواجه می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اگر یکی از شرکت‌های واردکننده تجهیزات امنیت شبکه باشید حتما با این سوال بزرگ مواجه شده‌اید که چرا هیچ‌کدام از تجهیزات امنیتی تاکنون موفق نشده‌اند تاییدیه سازمان تنظیم مقررات را اخذ کنند. حتی بزرگ‌ترین و به‌نام‌ترین برندهای دنیا هم که انواع و اقسام استانداردها و گواهی‌نامه‌های بین‌المللی را دارند نتوانسته‌اند از سد استاندارد در تنها آزمایشگاه ایران سربلند بیرون بیایند و رد شده‌اند.

شاید فکر کرده‌باشید این اتفاق به این خاطر است که روش‌های اخذ استاندارد در ایران ممکن است با استاندارد بین‌المللی متفاوت باشد و یا بعضی اوقات نیز از کمبود دانش فنی در این آزمایشگاه برای تنظیماتی که نیاز به اخذ استاندارد است گله‌مند بوده‌باشید. درواقع نیاز است بدانیم در این آزمایشگاه چه چیزی تست می‌شود و بدین‌سان تا حدودی متوجه می‌شویم که چرا تجهیزات امنیتی در کشور ما هیچ‌وقت نتوانسته‌اند موفق به استاندارد شوند.

آنچه سازمان تنظیم مقررات جهت استاندارد تجهیزات امنیت شبکه مقرر کرده استاندارد ISO۱۵۴۰۸ است و روشی که آزمایشگاه جهت ارزیابی این استاندارد استفاده می‌کند روشی است به نام common criteria دارای هفت مرحله (Level) از EAL1 تا EAL7. در جدول زیر تضمینی که در هر سطح ارائه می‌شود، آورده شده‌است:
آزمایشگاهی که ارزیابی استاندارد را در داخل کشور انجام می‌دهد چندین سال است که فقط EAL1 را مورد ارزیابی قرار می‌دهد و هنوز به فناوری مراحل بالاتر دست نیافته‌است.

بهتر است کمی به عقب‌تر برگردیم و علت اصلی ارزیابی و تست این نوع تجهیزات را مطلع شویم. وقتی از مدیران سازمان تنظیمات مقررات سوال می‌شد که چرا تجهیزات دارای انواع و اقسام استانداردها دوباره مورد ارزیابی قرار می‌گیرند همیشه چند مورد کلیشه‌ای زیر را مطرح می‌کردند:

۱- محصولاتی که وارد کشور می‌شوند استانداردهای لازم امنیتی را دارا باشند.

۲- مشخص نیست کالا و تجهیزی که واردات آن انجام می‌شود همانی باشد که به کشورهای دیگر داده می‌شود و یا خاص برای ایران طراحی شده و دارای حفره‌های امنیتی ویژه و احتمالا Backdoor باشند. این در حالی است که شرکت‌ها با روش‌های گوناگون سعی می‌کنند این کالاهای عمدتا تحریمی را به کشور برسانند بدون اینکه شرکت سازنده اطلاعی از مقصد واقعی داشته‌باشد و تاکنون حتی یک مورد گزارش حاوی وجود Backdoor گزارش نشده‌است.

۳- ممکن است کالایی که وارد می‌شود اصل نباشد.

۴- دغدغه‌های ملی و کشوری وجود دارد. متاسفانه علی‌رغم درخواست‌های مکرر هیچ‌گونه مدرک و شاخصی که مبتنی‌بر دغدغه‌های ملی باشد به شرکت‌ها ارائه نشده‌است. بدین معنی که سند مکملی علاوه‌بر شاخص‌های مندرج در استاندارد ارائه شود.

حال باید دید آیا نگرانی‌های سازمان تنظیم مقررات با EAL1 برطرف می‌شود؟

۱- محصولاتی وارد کشور می‌شوند و مورد ارزیابی قرار می‌گیرند که از طریق منابع رسمی می‌توان به‌سادگی متوجه شد که حتی تا سطح هفتم نیز مورد ارزیابی قرار گرفته و دارای گواهی‌نامه هستند. صحت این موضوع را می‌توان از طریق سایت شرکت تولیدکننده محصولات و حتی سایت رسمی common criteria جست‌وجو کرد و سوال اینجاست که چرا برای ارزیابی مجدد در آزمایشگاه صرف هزینه و وقت می‌شود.

۲- در بیشتر موارد محصولات امنیتی که داخل کشور می‌آیند بدون اطلاع شرکت تولید‌کننده بوده از کانال‌های خاصی و از طریق شرکتی سوم در کشور دیگر تهیه می‌شود. چگونه است که تصور می‌شود محصول خاصی برای ایران طراحی شده و به فرض قبول این موضوع چه معیار امنیتی در EAL1 می‌تواند صحت این موضوع را ثابت کند. هیچ‌کدام از معیارهای مورد ارزیابی در این سطح نمی‌تواند موضوع تهدیدات امنیتی که به خاطر نفوذ به تجهیز و یا backdoor داشتن آن را مورد ارزیابی قرار دهد. (تاکید می‌شود مجددا توضیحات EAL1 خوانده شود).

۳- اصل بودن تجهیزات امنیتی به‌سادگی و با رجیستر محصول در سایت شرکت تولید‌کننده و یا فعال کردن لیسانس به‌سادگی قابل تشخیص است و نیاز به صرف هزینه‌های بسیار زیاد و زمان ۴۵ تا ۹۰ روز تست در آزمایشگاه ندارد. معمولا روال اصل و نو بودن محصول توسط اکثر بهره‌برداران نهایی قابل تشخیص و ارزیابی است.

واقعا قابل درک نیست که مدیران سازمان تنظیم مقررات آیا به این موضوعات آگاهی دارند یا خیر. اگر می‌دانند و باز به این EAL1 اکتفا می‌کنند باید شب‌ها بی‌خواب باشند و از نگرانی آرامش نداشته‌باشند و اگر این موضوع را نمی‌دانند پس کسانی که‌ استانداردهای تجهیزات امنیتی را تدوین می‌کنند فقط به ترجمه آنها بسنده کرده‌اند. عدم وجود دانش در کارشناسان سازمان که متولی نظارت بر عملکرد آزمایشگاه هستند موجب شده‌است که در زمینه بررسی موارد فنی مورد اعتراض شرکت‌ها هیچ‌گونه اقدامی صورت نگیرد و فقط به ارسال نامه شرکت‌ها به آزمایشگاه و برعکس بسنده شود. آموزش کارشناسان سازمان توسط آزمایشگاه ریسک را بالاتر هم خواهد‌برد به دلیل اینکه ناظر ممکن است همان رویه معیوب آزمایشگاه را به دلیل عدم درک صحیح از استاندارد تایید کند.

در برخی از موارد مشاهده شده‌است معیاری مورد ارزیابی قرار می‌گیرد و مردود می‌شود که موردنیاز بهره‌بردار نهایی است، هرچند اگر هم باید این‌گونه باشد برای آن نیز راه‌حلی وجود دارد که استفاده از firmware متناسب برای آن کاربرد است.

حالا سوال عجیب‌تر اینکه چرا تجهیزاتی که برندهای بسیار معتبری در دنیا هستند و اسم و رسم بزرگی دارند و ادعا می‌کنند تا EAL7 دارای گواهی‌نامه هستند، هیچ‌وقت نمی‌توانند از سد آزمایشگاه ایران بگذرد آن هم در خوان اول که EAL1 است. برای پی‌بردن به جواب این سوال باید از کارشناسان آزمایشگاه این سوال را پرسید آیا می‌دانند firmware های تجهیزات دارای نسخه‌های زیادی هستند؟ آیا می‌دانند که وقتی گواهی‌نامه‌ای به تجهیزی داده می‌شود به firmware داده می‌شود، مثلا گفته می‌شود فلان محصول با firmware فلان نسخه این استاندارد را اخذ کرده‌است؟ خیلی جالب است وقتی در این چند سال به کارشناسان و مدیران سازمان تنظیم مقررات و کارشناسان آزمایشگاه این موضوع گفته می‌شود که سخت‌افزار استاندارد نمی‌گیرد، بلکه محصول شامل سخت‌افزار و نرم‌افزار با همین استاندارد را می‌گیرند بازهم سخت‌افزار مردود می‌شود و نه نسخه خاصی از firmware محصول.

سوال بعدی وظیفه چه سازمان یا شرکتی است که مشخص کند تجهیزی که وارد می شود با چه firmware ی امنیت را دارا و باید اطلاع‌رسانی کند. سازمان تنظیم مقررات، آزمایشگاه و یا شرکت واردکننده محصول و یا تولید‌کننده؟ تولید‌کننده که به علت محدودیت‌های موجود طبیعتا پاسخگو نیست. سازمان تنظیم مقررات نیز که وظیفه اجرایی نداشته و فقط وظیفه تدوین استاندارد را دارد. واردکننده کالا نیز با اوضاع و شرایطی که به علت تحریم‌های ناعادلانه وجود دارد تامین کالا را به سختی و از راه‌هایی دشوار به عهده داشته و سال‌هاست فناوری نوین و دانش فنی را در اختیار مشتریان قرار می‌دهد و خوشبختانه به مقدار زیادی هم اطلاعات و آموزش‌های لازم را ارائه می‌دهد، اما نقش آزمایشگاه به نظر مهم‌تر است. انتظار می‌رود آزمایشگاه و کارشناسان محترم آن کاملا با موضوع firmware آشنا بوده و بدانند محصولات امنیتی که وارد کشور می‌شوند و مدل‌های آن بیشتر از انگشتان دو دست نیستند با چه firmware هایی در آزمایشگاه‌های دنیا گواهی‌نامه EAL1 را اخذ کرده و آن را به سازمان تنظیم مقررات اعلام و سازمان تنظیم مقررات نیز به استفاده‌کنندگان توصیه کند. اصولا کسب گواهی‌نامه استاندارد توسط یک محصول معین (به همراه Firmware مشخص) دو مزیت کلی دارد:

۱- وارد کنندگان و بهره‌برداران نسبت به انتخاب اطمینان خواهند داشت. همانند محصولاتی که در کشور نشان استاندارد و یا مجوز واردات کسب می‌کنند.

۲- فرآیند آزمایش برای آن محصول قبلا انجام شده‌است و نیاز به تکرار آن نیست. همانند هزاران محصول دارویی، فنی، غذایی و ... که مبتنی‌بر استاندارد انجام شده عرضه می‌شوند و نیاز به کسب مجوز هرروزه برای آنها نیست.

۳- قابل ذکر است که به دلیل تکرار این آزمایش چندین میلیارد تومان از شرکت‌ها اخذ شده‌است که موجب ضعیف‌تر شدن شرکت‌ها در شرایط اقتصادی کنونی می‌شود.

پیدا کردن اینکه چه تجهیزی با چه نسخه از firmware گواهی‌نامه را داراست نیز به‌سادگی امکان‌پذیر است. سایت رسمی common criteria یکی از راه‌های پی بردن به این موضوع است؛ (به نشانی www.commoncriteriaportal.org).

برگردیم به نگرانی مدیران سازمان تنظیم مقررات. متوجه شدیم با این تست و ارزیابی هیچ‌گونه تضمینی در امنیت شبکه‌های کشور به‌وجود نمی‌آید که هیچ، بلکه به بازار فناوری اطلاعات در کشور به علت زمان‌بر بودن تست تجهیزات از ۴۵ روز تا ۳ ماه و درنتیجه عدم گردش مالی مناسب آن لطمه بزرگی وارد می‌کند و باعث رونق قاچاق این محصولات شده‌است. تاخیر دو یا سه‌ماهه در پروژه‌های ملی در مسیر مخالف سیاست‌های کلی رونق کسب‌وکار و مبارزه با قاچاق کالاست.

این نوع روش ارزیابی مطمئنا نمی‌تواند اصل بودن کالا را تضمین کند و اصالت کالا روش‌هایی مخصوص خود را دارد که رجیستر کردن در سایت تولیدکننده، فعال کردن لیسانس و روش‌های دیگری است که ربطی به استاندارد ندارد.

به راحتی می توانیم صد درصد مطمئن شویم یک محصول استاندارد دارد یا خیر. به راحتی می‌توانیم متوجه شویم که یک تجهیز امنیت شبکه اصل است یا خیر. با آزمایش‌هایی که انجام می‌شود نمی‌توانیم متوجه شویم تجهیزاتی که وارد ایران می‌شود backdoor دارند یا خیر. اما یک موضوع را کاملا می‌دانیم که برای استفاده از یک محصول امنیتی آنچه مهم است نحوه راهبری بهره‌بردار نهایی است. اینکه آیا امنیت شبکه یک سازمان با درصد بالایی قابل‌قبول باشد یا خیر به دانش فنی تیم امنیت سازمان و نحوه استفاده از تجهیز و آنالیز گزارش‌های آن بستگی دارد. دعوا بر سر نوع تجهیز  ایرانی یا خارجی بودن آن، یک دعوایی است که به نظر می‌رسد بیشتر به منعفت سازمان‌ها و شرکت‌ها و آزمایشگاه درگیر آن بستگی پیدا کرده‌است و آنچه در این مسئله واقعا قربانی شده‌است امنیت سازمان‌هاست که با وجود کارشناسانی با دانش بالا و تیمی کارآمد به دست خواهد‌آمد. البته که نوع تجهیز هم می‌تواند کمک بسیاری به این موضوع بکند ولی با آزمایش‌هایی بی‌مورد که هیچ نتیجه‌ای دربرنداشته و برطرف‌کننده هیچ نگرانی نیست نه‌نتها نمی‌توان به آن دستیابی پیدا کرد بلکه باعث خواهد‌شد چرخه بازار فناوری اطلاعات و سرویس‌دهی در این حوزه با مشکلات جدی مواجه شود و نیروهای متخصص درگیر مسائل حاشیه‌ای شده و افراد غیرمتخصص با توانایی‌های غیرقانونی و رانت به این حوزه ورود پیدا کنند.

وجود انحصار در آزمایشگاه هم به تاخیر در ارائه گزارش منتج شده‌است و هم موجبات عدم پاسخگویی مبتنی‌بر رانت را فراهم کرده‌است. وجود یک کارشناس مسئول در سازمان تنظیم نیز از دیگر معضلات ارزیابی تجهیزات امنیتی است که کثرت فعالیت‌های کارشناس مربوطه و تداخل آنها موجب تاخیرهای مضاعف شده‌است.

دغدغه‌های ملی و کشوری موضوعی است که آزمایشگاه و برخی از مدیران سازمان تنظیم به اشاره می‌کند. حتما تمامی فعالان حوزه کسب‌وکار دغدغه اصلی در خصوص امنیت کشور دارند و اگر دستورالعمل مشخص و قاعده‌مندی در این خصوص ارائه شود، تمامی شرکت‌هایی که به صورت قانونی فعالیت می‌کنند همکاری خواهند کرد ولیکن ابراز نگرانی در این خصوص کفایت نمی‌کند سازمان‌هایی که قاعدتا فقط باید در چارچوب قانون عمل کند نباید صحبت‌های کلی در این زمینه ارائه دهند و امنیت را دستاویز فعالیت‌های فراقانونی خود کنند اگر در این زمینه مسئولیتی از طرف نهادهای قانونی بر عهده این نهادها قرارداده شده‌است مستند آن و نحوه اجرای آن را به صنف ارائه کنند. در چند سال گذشته به‌صورت مدام دوستان در مصاحبه‌ها و جلسات مواردی در حوزه امنیت ابراز کرده‌اند، ولی حتی یک مورد، یک شاخص و یا یک مستند از طرف سازمان تنظیم و آزمایشگاه‌ها ارائه نشده و ضمنا هیچ گزارشی که بیانگر ترقی امنیت ملی با استفاده از روش‌های جاری باشد ارائه نشده‌است. تنها زمانی‌که از مجموعه اجرایی خواسته می‌شود که در چهارچوب استاندارد عمل شود، می‌فرمایند که ما دغدغه ملی داریم و با نام نهادهای امنیتی سعی در دیکته کردن روش‌های خود دارند.