آیین صدور گواهی مشترک در حوزه امنیتی-پدافندی محصولات افتا در محل سازمان فناوری اطلاعات و با حضور امیر ناظمی – رییس سازمان فناوری اطلاعات -، رضا جواهری -رییس مرکز مدیریت راهبردی افتای ریاست جمهوری- و حسین باقری -معاون ارتباطات، الکترونیک و فناوری اطلاعات سازمان پدافند غیرعامل- برگزار شد.
امیر ناظمی -رییس سازمان فناوری اطلاعات- در این مراسم با بیان اینکه اعطای مجوزهای حوزه امنیت از ضرورتهای دولت است، گفت: عدم وجود این مجوزها حریم خصوصی شهروندان را نقض میکند، اما این مداخله باید بهصورتی باشد که تسهیلکننده فعالیت کسبوکار شود و با کمترین آسیب همراه باشد.
معاون وزیر ارتباطات و فناوری اطلاعات با اشاره به راهبردهای لازم برای مجوزهای حوزه امنیت بیان کرد: اولین استراتژی یا استراتژی سطح صفر به زبان ساده میگوید که برای شروع یک فعالیت لازم نیست گواهینامهای اخذ شود، اما با افزایش فعالیت در حوزه امنیت افزایش تعداد رکوردها از شهروندان و کسبوکارها، نیازمندیم گواهینامه سختگیرانهتری بر اساس سطح فعالیت آنها داشته باشیم. درواقع لازم نیست اپلیکیشنها در لحظه صفر گواهی دریافت کنند اما اگر تعداد نصب آنها از حد معینی بالاتر رفت، باید پروتکلهای امنیتی مسوولانهتری را رعایت کنند.
ناظمی دومین استراتژی را استقلال حداکثری از دولت دانشت و افزود: لازم است فرآیندها را بهگونهای در نظر بگیریم که میزان مداخله دولت به حداقل برسد، به همین منظور شش مرکز و آزمایشگاه مستقل از دولت را در نظر گرفتیم که گزارشها و ارزیابی روی نرمافزارها و سامانهها را به دولت بدهند، با این هدف که میزان مداخله دولت را کمتر کنیم.
وی با بیان اینکه سومین راهبرد، یکپارچگی نهادی است، افزود: در نظام حکمرانی آنچه اهمیت دارد این است که با کمترین میزان مداخله دولت، دستگاههه بیشترین هماهنگی را داشته باشند. همین حالا مشکلات زیادی در حوزه امنیت وجود دارد که فقدان یکپارچگی موجب شده دستورالعملهای تقسیم کار نادیده گرفته شود.
این گواهینامه از معدود گواهیهای دولتی است که سه نهاد مستقل که میزان ارتباط سازمانی زیادی هم ندارند. با یک فرآیند مشخص اعطا میکنند.
رییس سازمان فناوری اطلاعات، استراتژی چهارم را ایجاد تنوع در گواهینامههای امنیتی بر حسب نیاز کسبوکارها دانست و گفت: لازم نیست همه کسبوکارها را با یک معیار اندازهگیری کنیم، زیرا کسبوکارها به گواهینامههای متنوع نیاز دارند. در حال حاضر گواهیهای یکسانی به کسبوکارها اعطا میشود که سعی میکنیم از این پس بر حسب کاربرد و کارکرد و نیاز شهروندان این گواهینامهها تغییر پیدا کند.
ناظمی با بیان اینکه پنجمین راهبرد کاهش هزینههای مالی و زمانی کسبوکارهاست، افزود: کسبوکارها برای دریافت مجوز باید زمان و هزینه بگذارند و این مجوزها زمانی که به صورت موازی داده شود، هزینه مالی و زمانی کسبوکارها را افزایش میدهد به همین دلیل ما به دنبال راهکاری هستیم که با یکپارچه کردن تعیین و صدور مجوزها، هزینههای زمانی و مالی زیادی برای کسبوکارها نداشته باشد.
پیگیری نشت دادههای رایتل از طریق رگولاتوری
در ادامه این نشست، موضوع نشت اطلاعات کاربران مطرح شد که جدیدترین نمونه آن، اخباری مبنیبر لو رفتن اطلاعات ۵.۵ میلیون مشترک بود. رییس سازمان فناوری اطلاعات در پاسخ به اینکه چرا نشت اطلاعات کاربران برای شرکتها عواقبی ندارد، گفت: همین حالا هم قوانینی در این خصوص وجود دارد اما باید بررسی کرد آیا این قوانین کافی است؟ این نهادهای قضایی هستند که باید عواقب را تعیین کنند و ما هم در موارد نشت داده، به دادستانی شکایت ارائه کردیم. درباره رایتل هم در پروانههای تخصصی اپراتورها بند مشخصی در این خصوص وجود دارد که ما در حال پیگیری این موضوع از رگولاتوری هستیم.
ناظمی با اشاره به لایحه صیانت از دادههای شخصی گفت: ما آئیننامه ۱۰ بندی در خصوص دادههای فضای مجازی داریم که متاسفانه از سوی دستگاههای اجرایی و شرکتها رعایت نمیشود. علاوه بر این آئیننامه ۱۰ بندی در پروانه تخصصی شرکتهای فعال در این حوزه نیز مادهای مشخص وجود دارد که امکان پیگیری افشای اطلاعات را از طریق این مجوزهای فراهم میکند. در صورتی که لایحه صیانت از دادهها که همان GDPR است، به تصویب دولت برسد، می توان امیدوار به حل بسیاری از مشکلات افشای اطلاعات بود.
وی با بیان اینکه لایحه هایی که موضوع قضایی دارند نمیتوانند توسط دولت ارائه شوند و باید از سوی مجلس و یا قوه قضائیه برای آن اقدامات مقتضی صورت گیرد، افزود: این لایحه باید به تایید قوه قضائیه از نظر جرمانگاری میرسید که این فرایند طولانی شد اما هم اکنون این لایحه در جلسات تخصصی قوه قضائیه بررسی شده و به دولت بازگشته است. همچنین در کمیسیون های تخصصی و فرعی دولت نیز مورد بررسی قرار گرفت و هم اکنون در انتظار ورود به هیئت وزیران برای تصویب نهایی است.
معاون وزیر ارتباطات و فناوری اطلاعات با بیان اینکه در حال حاضر هیچ الزامی برای دریافت گواهینامه امنیت برای نرمافزارهای کاربردی وجود ندارد و ما مسئول بازخواست و جرمانگاری در این حوزه نیستیم، افزود: این اساس از شورای عالی فضای مجازی خواستیم که مصوبهای را برای الزام صدور مجوز امنیتی اپلیکیشنها صادر کند تا با هماهنگی پلیس فتا بتوانیم این بخش را ساماندهی کنیم.
صدور گواهی امنیت تجهیزات بومی تا یک ماه آینده
ناظمی ادامه داد: همچنین برای تدوین آئیننامه مربوط به محصولات خارجی این حوزه نیز اقداماتی از سوی سازمان فناوری اطلاعات صورت گرفته و این آئیننامه به رگولاتوری ارسال شده است، زیرا نمیتوان تنها برای محصولات بومی گواهی امنیت صادر کرد. این آئیننامه تا یک ماه آینده در کمیسیون تنظیم مقررات ارتباطات تصویب میشود که در آن شرایطی هم برای نرمافزارها و هم سختافزارهای خارجی در نظر گرفته شده است.
وی با بیان اینکه از ۴۸۰ اپلیکیشن ایرانی در سال ۹۲ به ۳۴۵ هزار اپلیکیشن رسیدهایم، گفت: افزایش تعداد این اپلیکیشنها نیازمند داشتن ابزار شناسایی تعداد نصب است. همچنین بهزودی آئیننامهای برای دریافت گواهی امنیتی این اپلیکیشنها اعلام میشود. در این حوزه جای خالی قانون احساس میشود و با وجود اینکه برخی از شرکتها و کسبوکارها در حوزه امنیت سایبری همراه سازمان فناوری هستند و گزارشهایی را برای افتا، فتا و مرکز ماهر ارسال میکنند، اما همچنان شاهد برخی بیمبالاتیها از سوی سازمانها و شرکتهایی هستیم که باعث درز اطلاعات میشود.
رئیس سازمان فناوری اطلاعات در پاسخ به میزان کارآمدی نظام مقابله با حوادث فضای سایبری مصوب شورای عالی فضای مجازی گفت: این نظام نیازمند بازنگری است و انتظارات فعلی را برآورده نمیکند. از زمانی که این نظام برای مقابله با حوادث فضای مجازی به تصویب رسید زمان زیادی می گذرد و با توجه به اینکه سرعت تحولات بسیار افزایش یافته، نیازمند بازبینی در این آئیننامه هستیم و دیگر دغدغه نظام مقابله با حوادث فضای مجازی از جنس محافظت از دادههای کلان نیست و نمیتواند پاسخگوی شرایط فعلی باشد.
همچنین ابوالقاسم صادقی -معاون امنیت سازمان فناوری اطلاعات- در این مراسم اظهار کرد: از سال ۹۲ تا کنون بهصورت کلی برای محصولات بومی۷۳ گواهینامه صادر شده است که در حال حاضر ۵۰ گواهی دارای اعتبار، ۱۱ گواهی در حال تمدید است و ۱۲ گواهی نیز منقضی شده است. از گواهیهای دارای اعتبار، ۱۸ گواهی مربوطبه تجهیزات شبکه، ۲۵ گواهی مربوط به نرمافزارها و برنامههای کاربردی و ۷ گواهی مربوطبه برنامه حوزه ارزیابی و رمزیابی است.
رضا جواهری -رییس مرکز مدیریت راهبردی افتا- نیز در این جلسه اظهار کرد: امروزه تنیده شدن فضای مجازی با زندگی روزمره برای همه مشخص است، در دوران کرونا هم فضای مجازی کمک زیادی به ما کرده است. رگولاتوری، بخش اجرایی و تامینکنندگان بخش خصوصی، از اجزای اصلی فضای مجازی هستند که در کنار یکدیگر میتوانند به فعالیت ادامه دهند.
وی ادامه داد: سال ۸۴ سند راهبردی افتاد تدوین شد. سندی که در آن ساماندهی و اعتباربخشی به بخش خصوصی مورد بررسی قرارگرفت. پس از آن نیز در سال ۹۳ یک بار دیگر توافقنامهای بین دو سازمان به امضا رسید تا این مساله به شکل جدیتری دنبال شود. افزایش طول عمر مجوزها به دو سال، دیجیتالی شدن فرآیند فرآیند صدور مجوز، کاهش زمان صدور مجوز از جمله مواردی است که برای تسهیل شرایط کسبوکارها انجام شده است.
ضرورت امنسازی در سازمانها
در این مراسم همچنین حسین باقری -معاون فناوری اطلاعات سازمان پدافند غیرعامل- با بیان اینکه لازم است به ضرورت امنسازی در سازمانها بیشتر پرداخته شود، گفت: با وجود اینکه تفکیک کار در حوزه امنیت سایبری در سازمان فناوری اطلاعات، مرکز افتای ریاست جمهوری و پدافند سایبری صورت گرفته اما وضعیت امنیت در دستگاهها و نهادهای حاکمیتی مناسب نیست. قرار بود در هر دستگاه اجرایی و حاکمیتی یک گوهر (گروه واکنش هماهنگی رخداد) ایجاد شود اما تنها دو دستگاه اجرایی این تشکیلات را دارند و سایر دستگاهها به این موضوع توجهی نکردند.
وی با تاکید بر نقش شبکه ملی اطلات در امنیت سازمانها و دادهها بیان کرد: اگر شبکه ملی اطلاعات به معنای کامل راه بیافتد و شاهد داشتن سیستم عامل بومی، مرورگر بومی و جستوگر بومی و مواردی از این دست داشتیم آسیب پذیری سایبری حتما کمتر خواهد شد. سازمان پدافند غیرعامل در چند کمیته برای راه اندازی شبکه ملی اطلاعات به وزارت ارتباطات کمک می کند که یکی از این کمیته ها به بحث امنیت می پردازد و امیدوارم با همکاری مشترک حداکثری شاهد رفع دغدغه های این بخش باشیم.
معاون فناوری اطلاعات در سازمان پدافند غیرعامل خاطرنشان کرد: امنیت دستگاهها ضعیف است و باید کمک کنیم تا این مشکل حل شود البته هر دستگاه باید مسئول امنسازی فضای سایبر خود باشد، همانطور که وزارت ارتباطات هم مسوول امنسازی خود است. اما مراکزی مانند افتا، ماهر و پدافند غیرعامل نقش نظارتی داشته باشند. در این خصوص میتوان از توانمندیهای بخش خصوصی نیز برای حل مشکلات کمک گرفت.
انتهای پیام