اعتراض به سکوت رگولاتوری
اعضای کمیسیون شبکه نصر تهران گلهمند هستند که چرا سازمان تنظیم مقررات و ارتباطات در برابر مشکلات شرکتهای حوزه شبکه سکوت کرده است. به گفته آنها، در بسیاری از موارد قوانین به صورت سلیقه ای اعمال می شود؛ براساس الزام بند (ل) از ماده سوم قانون وظایف و اختیارات وزارت ارتباطات و فناوری اطلاعات، وظیفه اعمال استانداردها و ضوابط و نظام های کنترل کیفی و تایید نمونه تجهیزات در ارایه خدمات و توسعه و بهره برداری از شبکه های مخابراتی، پستی و فناوری اطلاعات در کشور به سازمان تنظیم مقررات سپرده شده، اما اجرای سلیقه ای این ماده قانونی باعث شده که روز به روز بر چالشهای واردات قانونی افزوده شود.
حمید بابادینیا، قایم مقام کمیسیون شبکه سازمان نصر تهران در اینباره گفت: اعضای کمیسیون شبکه، بارها اعتراض خود را نسبت به چرخه معیوب و زمان بر کنترل کیفیت و تایید نمونه آزمایشگاه مرکز تحقیقات و صنایع انفورماتیک اعلام کردهاند؛ اما متاسفانه رگولاتوری پاسخ روشنی در این باره اعلام نکرده است.
اعتراض به مرکز تحقیقات صنایع انفورماتیک
بابادی نیا با بیان اینکه شرکتهای حوزه شبکه با مشکلات پیچیدهای درگیر هستند، گفت: شرکتهای خصوصی این حوزه با وجود چالشهای فراوان، تجهیزات رایانهای را از مبادی قانونی به منظور انجام پروژههای زیرساختی و حیاتی کشور وارد میکنند، اما به دلیل برداشت نادرست از قانون و ضوابط نظامهای کنترل کیفی و تایید نمونه، مجبورند ماهها منتظر تایید نمونه کالای خود در مرکز تحقیقات صنایع انفورماتیک باشند. او با بیان اینکه این آزمایشگاه فاقد تجهیزات و برنامهریزیهای زمانی لازم برای تایید نمونه و کنترل کیفیت است، گفت: نخستین مشکل اینجاست که کالای شبکه که تحت عنوان سوییچ، شبکه و فایروال از مرحله ترخیص کالا به آزمایشگاه استاندارد می رسد، براساس دستور صریح قانون الزامی به استاندارد ندارد. البته در حوزه امنیت تنها یک آزمایشگاه در ایران وجود دارد که این موضوع به خودی خود مشکل بزرگی به شمار می آید و به نوعی مفهوم انحصار را می رساند.
بابادی نیا توضیح داد: در این آزمایشگاه که اتفاقا از امکانات کافی هم برخوردار نیست، باید تجهیزاتی را که پیشرفته ترین شرکت های جهان ساخته اند، به مرحله آزمایش بگذاریم که به دلیل نبود امکانات، کاری عبث و بیهوده به نظر می رسد.
واکنش مرکز تحقیقات صنایع انفورماتیک
در همین حال مدیرعامل مرکز تحقیقات صنایع انفورماتیک در واکنش به این اعتراض ها ف به فناوران گفت: این بحث کاملا امنیتی است. چگونه میتوانیم امنیت کشور را بدون قید و شرط در اختیار بیگانهها بگذاریم؟ تعجب میکنم؛ این چه بحثی است که نظام صنفی رایانهای راه انداخته است.
ویدا سینا افزود: در هیچ کشوری کالای امنیتی بدون ردیابی و شناسه وارد نمیشود. وی بیان کرد: سالهاست که در مخالفت با سخت گیری استاندارد، ما را از ورود کالای قاچاق می ترسانند. در حالی که قاچاق برای فرار از مالیات و پولشویی صورت می گیرد و ربطی به استاندارد و کنترل کیفیت کالا ندارد.وی گفت: ارزیابی محصولات شبکهای تعریف نشده بود و جای قدردانی دارد که سازمان تنظیم مقررات با درک به موقع موضوع و ارایه اعتبارنامه رسمی به مرکز تحقیقات صنایع انفورماتیک به عنوان آزمایشگاه مورد تایید افتا، جلوی ورود کالاهای شبکه ای بیکیفیت و نا امن را گرفت.
کنترل کیفیت محصولات امنیتی با استاندارد بینالمللی
ویدا سینا همچنین در واکنش به ادعای کمبود تجهیزات آزمایشگاه مرکز تحقیقات صنایع انفورماتیک برای تایید نمونه و کنترل کیفیت، گفت: نیروهای ماهر و مسلط به امنیت و استانداردهای آن در مرکز تحقیقات مشغول به کار هستند و ضمن تجهیز بودن آزمایشگاه، رویه و روال کار کاملا مدون و بین المللی است.وی افزود: این سروصداها همواره در مقابله با کنترل و ارزیابی کیفیت کالا وجود داشته و هدف دورزدن استانداردهاست.مهری یحیایی، مدیر آزمایشگاه امنیت مرکز تحقیقات صنایع انفورماتیک نیز درخصوص نحوه کار آزمایشگاه توضیحاتی را ارایه کرد و گفت: استاندارد مرجع در آزمایشگاه مرکز تحقیقات صنایع انفورماتیک ISO/IEC/ISIRI 15408 است که ورژن فارسی آن وجود دارد.
وی افزود: این استاندارد، مجموعه ای از معیارها و روالها برای ارزیابی محصولات فناوری اطلاعات تعریف کرده و در دنیا به عنوان کاملترین استاندارد حوزه ارزیابی محصولات امنیتی به کار می رود.یحیایی با بیان اینکه از این استاندارد به عنوان ابزاری برای تعیین سطوح امنیتی و ارایه گواهینامه به محصولات استفاده می شود، گفت: از سال 1995 تاکنون کشورهای زیادی عضو این استاندارد شده اند که همگی دو هدف اصلی را دنبال می کنند. هدف نخست، اطمینان از اینکه محصولات IT با استاندارد یکپارچه و سطح بالا تهیه و تولید می شوند و هدف دوم، ارتقای سطح امنیتی محصولات و متقاعب آن بالا بردن ضریب امنیت ملی در هر کشوری است.
ارزیابی محصولات امنیتی در سه حوزه
مدیر آزمایشگاه امنیت مرکز تحقیقات صنایع انفورماتیک درباره ارزیابی محصولات امنیتی گفت: این ارزیابی در سه حوزه صورت می گیرد؛ نخست نیازمندی های عملکردی امنیتی محصولات ارزیابی می شود، سپس نیازمندی های تضمین امنیت و در آخر آسیب پذیری محصولات بررسی و درجه ریسک آنها مشخص می شود.یحیایی افزود: برای هر حوزه معمولا 200 شاخص برای ارزیابی وجود دارد که با این حجم از شاخص ارزیابی زمان کم میآوریم.
فرایند زمان بر ارزیابی محصولات امنیتی
اما مدیر آزمایشگاه امنیت مرکز تحقیقات صنایع انفورماتیک در حالی از زمان کوتاه ارزیابی محصولات امنیتی گلهمند است که بسیاری از فعالان حوزه شبکه به فرایند بسیار زمان بر این آزمایش ها اعتراض دارند.
بابادی نیا، قایم مقام کمیسیون شبکه سازمان نصر تهران در این خصوص گفت: مشکل فعالان حوزه شبکه، فرایند بسیار زمان بر این آزمایش هاست که ۴۵ روز کاری یا بیشتر به طول می انجامد و تازه پس از گذر این مدت زمان هم تجهیزات همچنان آزمایش نشده و چند هفته دیگر باید منتظر ماند.
به گفته بابادی نیا، در کنار این مشکلات پاسخگو نبودن برخی آزمایشگاه ها و اجبار به تکرار آزمایش های هزینهبر و زمان بر تا کسب مجوز مشروط ترخیص، فرایندی فرسایشی است که باعث ضرر و زیان واردکننده و افزایش قاچاق می شود.وی ادامه داد: این در حالی است که براساس قانون گمرکات، در صورتی که کالایی را وارد می کنید، می توانید تا ۶ ماه بعد بدون پرداخت هزینه، در یک فرصت زمان کوتاه دستگاه را ترخیص کنید، اما به دلیل ترخیص مشروط تجهیزات امنیت و شبکه، وارد کننده این تجهیزات ناچار به طی کردن این روندهای زمان بر و هزینه بر است.در مقابل یحیایی معتقد است، در مقایسه با آزمایشگاه های مطرح دنیا که گاهی بین 90 روز تا 6 ماه محصول برای کنترل کیفیت در آزمایشگاه می ماند، زمان 40 تا 50 روزه ارزیابی محصولات امنیتی در ایران بسیار کوتاه است و معمولا اگر فرایند طولانی شود، مقصر خود واردکننده است.وی افزود: بسیاری از مشکلاتی که باعث میشود محصول در آزمایشگاه بماند، مربوط به از کار افتادن مجوزها و تکمیل پروسه آن است، مگر محصول در شرایط خاصی باشد.
گله از تحمیل هزینه سنگین آزمایش
در عین حال، مشکل دیگر فعالان این حوزه تحمیل هزینه سنگین آزمایش است که بابادینیا در این باره گفت: برای این آزمایش های اجباری باید تعرفه های سنگینی را پرداخت کنیم و از آنجایی که این کار تحت عنوان خدمات آزمایش انجام می گیرد، هیچ گونه کسورات بیمه ای از جانب آن آزمایشگاه ها پذیرفته نبوده و این هزینه نیز به سایر هزینه ها اضافه می شود.
بابادی نیا با بیان اینکه نهادهای ناظر در برابر این مشکلات سکوت کرده اند، گفت: نهادهای امنیتی و ناظر در پاسخ اعتراض به ما می گویند که آنان این الزامات فرسایشی را تعیین نکرده اند. از همه مهم تر اینکه در آزمایشگاه های ایران فقط کالاها از بعد عملیاتی تجهیزات آزمایش می شوند و از نظر امنیتی مورد آزمایش قرار نمی گیرند؛ چرا که اصلا تجهیزات تست و آزمایش امنیتی را ندارند.این در حالی است که ویدا سینا هزینه آزمایش را بسیار ناچیز برشمرد و گفت: آنچه از واردکنندگان بابت کنترل کیفیت کالا گرفته می شود، تعرفه های مصوب و مشخصی است و ما دخل و تصرفی به آن نداریم.
دلایل ضرورت ارزیابی محصولات شبکه
یحیایی درباره ضرورت ارزیابی محصولات شبکه ای گفت: معمولا نقاط آسیب پذیری زیادی در زمینه رمزگذاری وجود دارد که مخاطره آمیز بوده و ما را وادار کرده تا از روی استانداردها مستنداتی را تهیه کنیم تحت عنوان مستندات امن سازی و آن را در اختیار واردکنندگان بگذاریم تا استفاده کنند و کمتر به مشکل بربخورند.وی افزود: اغلب اشکالاتی در بحث پروتکل های رمزگذاری وجود دارد یا فیلترکردن بسته ها با گزینه های IP خاص است و بسیاری از موارد دیگر که به صورت کامل به آن خواهیم پرداخت.
