حمله بدافزارهای فلیم، وایپر و مدی چند ماهه نخست سال جاری را در تقویم حملات سایبری کشور ماندگار و بخش امنیتی کشور را نیز دستخوش فراز و نشیبهای بسیاری کرد آنچنانکه مرکز ماهر نیز مجبور به اظهار نظر و واکنش نسبت به این حملات شد.
بهناز آریا رییس کمیسیون افتا با بیان اینکه حملات سایبری اخیر هشداری به مسئولان بود تا امنیت را جدی بگیرند، گفت:«برای دفع خطرات حملههای سایبری کمیسیون افتا با مرکز ماهر و پلیس فتا ارتباط خوبی داشت ضمن اینکه شرکتهای خصوصی نیز از این رهگذر فرصتی یافتند تا با مرکز ماهر همکاری کنند و به تبادل اطلاعات بپردازند و همچنین فضا برای فعالیتشان مساعدتر از گذشته شده است.»
به جای ممنوعیت واردات، ساماندهی میکنیم
از سوی دیگر رضا تقیپور وزیر فناوری اطلاعات و ارتباطات کشور اسفند سال گذشته با اظهار نظر خود مبنی بر ممنوعیت ورود نرمافزارهای امنیتی خارجی به کشور بازار شرکتهای ارائه کننده محصولات و خدمات ضد بدافزارهای خارجی را دچار شوک کرد.
کمیسیون افتای سازمان نظام صنفی رایانهای نیز به همراه سازمان فناوری اطلاعات بر آن شد کارگروهی برای ساماندهی شرکتهای عرضه کننده محصولات و خدمات امنیتی خارجی و تعیین ملاکهای ارزیابی راهاندازی کند.
آریا با بیان اینکه دوره اول فراخوان برای جذب شرکتهای فعال به اتمام رسیده است،گفت:«در مرحله بعد از شرکتها درخواست میکنیم مستنداتشان را ارائه کنند تا در نهایت بر اساس معیارهایی که به سازمان فناوری اطلاعات پیشنهاد خواهد شد و آنها تایید میکنند شرکتها و برندها را رتبهبندی میکنیم.»
او با اشاره به اینکه سازمان فناوری اطلاعات وظیفه احراز صلاحیت شرکتها را به عهده دارد، افزود:«معیارهایی که کمیسیون افتا پیشنهاد کرده در خصوص شرکتها پیرامون توانمندی و دانش تخصصی و مالی به همراه خدمات پشتیبانی که عرضه میکنند متمرکز است.»
رییس کمیسیون افتا در خصوص معیارهای رتبهبندی ضدبدافزارها گفت:«به روزرسانی، نحوه پشتیبانگیری نرمافزار و توجه به اینکه چه Logهایی را نگهداری میکند و ... از سوی کمیسیون پیشنهاد داده شد.»
این در شرایطی است که سازمانها و نهادهای دولتی نیز بسته به میزان حساسیتهایشان طبقهبندی میشوند و دستگاههایی که از اهمیت بالاتری برخوردار هستند ملزم به خرید نرمافزارهای امنیتی که در رتبهبندیها حایز همه شرایط حفاظتی باشند خواهند بود.
آزمایشگاههای CERT
آریا با بیان اینکه بحث آزمایشگاههای امنیت را تحت کارگروهی در کمیسیون افتا پیگیری میکنیم، افزود:«در حال حاضر با توجه به اینکه تنها آزمایشگاهی که توان لازم برای انجام آزمایشهای مختلف را دارد، آزمایشگاه مرکز تحقیقات صنایع انفورماتیک است اما ما نیازمند آزمایشگاههای بیشتر با ملاکهای دقیقتر هستیم.»
او در ادامه افزود:«هرچند اکنون قصد راهاندازی آزمایشگاه جدید را نداریم و بیشتر به دنبال بررسی و بهبود وضعیتها هستیم. همینطور شرکتهایی که تجهیزات را برای آزمایش به آزمایشگاه میفرستند نیازمند آموزش هستند.»
استانداردسازی قراردادها
آریا با بیان اینکه قراردادهای حوزه امنیت باید استاندارد سازی شود گفت:«قصد داریم بندهایی را در قراردادهای شرکتها چه با پیمانکار چه با کارمندان تدوین کنیم تا امنیت اطلاعات و فرآیندهای شرکت تامین شود. مانند قرارداد عدم افشا، حفظ محرمانگی و ...»
به گفته وی در این مرحله قید این بندها در قراردادها اختیاری است و برای الهام گرفتن شرکتها و پیمانکاران در اختیار آنها قرار میگیرد اما در مرحله بعدی بندهایی را جزو الزامات قراردادها در نظر گرفته میشود.