به گزارش خط رند ۹۱۲ رئیس سازمان فناوری اطلاعات اظهار داشت: برای شروع یک فعالیت لازم نیست گواهی نامه ای ستاندن شود، اما با افزایش فعالیت در حوزه امنیت، افزایش تعداد رکوردها از شهروندان و کسب وکارها، نیازمندیم گواهی نامه سخت گیرانه تری برمبنای سطح فعالیت آنها داشته باشیم.
به گزارش خط رند ۹۱۲ به نقل از ایسنا، آیین صدور گواهی مشترک در حوزه امنیتی – پدافندی محصولات افتا در محل سازمان فناوری اطلاعات و با حضور امیر ناظمی – رئیس سازمان فناوری اطلاعات -، رضا جواهری – رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری – و حسین باقری – معاون ارتباطات، الکترونیک و فناوری اطلاعات سازمان پدافند غیرعامل – انجام شد.
امیر ناظمی – رئیس سازمان فناوری اطلاعات – در این مراسم با بیان این که اعطای مجوزهای حوزه امنیت از لزوم های دولت می باشد، اظهار داشت: نبود این مجوزها حریم خصوصی شهروندان را نقض می کند، اما این مداخله باید به صورتی باشد که تسهیل کننده فعالیت کسب وکار شود و با کمترین لطمه همراه باشد.
معاون وزیر ارتباطات و فناوری اطلاعات با اشاره به راهبردهای لازم برای مجوزهای حوزه امنیت، بیان کرد: نخستین استراتژی یا استراتژی سطح صفر به زبان ساده می گوید که برای شروع یک فعالیت لازم نیست گواهی نامه ای ستاندن شود، اما با افزایش فعالیت در حوزه امنیت افزایش تعداد رکوردها از شهروندان و کسب وکارها، نیازمندیم گواهی نامه سخت گیرانه تری برمبنای سطح فعالیت آنها داشته باشیم. در واقع لازم نیست اپلیکیشن ها در لحظه صفر گواهی دریافت نمایند اما اگر تعداد نصب آنها از حد معینی بالاتر رفت، باید پروتکل های امنیتی مسوولانه تری را رعایت نمایند.
ناظمی، دومین استراتژی را استقلال حداکثری از دولت دانست و اضافه کرد: لازم است فرآیندها را به شکلی در نظر بگیریم که میزان مداخله دولت به حداقل برسد، به همین دلیل شش مرکز و آزمایشگاه مستقل از دولت را در نظر گرفته ایم که گزارش ها و ارزیابی روی نرم افزارها و سامانه ها را به دولت بدهند، با این هدف که میزان مداخله دولت را کمتر نماییم.
وی با بیان این که سومین راهبرد، یکپارچگی نهادی است، اضافه کرد: در نظام حکمرانی آنچه اهمیت دارد این است که با پایین ترین میزان مداخله دولت، دستگاه هه بیشترین هماهنگی را داشته باشند. همین حالا مشکلات زیادی در حوزه امنیت وجود دارد که فقدان یکپارچگی باعث شده دستورالعمل های تقسیم کار نادیده گرفته شود.
این گواهی نامه از معدود گواهی های دولتی است که سه نهاد مستقل که میزان ارتباط سازمانی زیادی هم ندارند، با یک پروسه مشخص اعطا می کنند.
رئیس سازمان فناوری اطلاعات، استراتژی چهارم را ایجاد تنوع در گواهی نامه های امنیتی بر حسب نیاز کسب وکارها دانست و اظهار داشت: لازم نیست همه کسب وکارها را با یک معیار اندازه گیری نماییم، برای اینکه کسب وکارها به گواهی نامه های متنوع نیاز دارند. هم اکنون گواهی های یکسانی به کسب وکارها اعطا می شود که اهتمام می نماییم از این پس بر حسب کاربرد و کارکرد و نیاز شهروندان این گواهی نامه ها تغییر پیدا کند.
ناظمی با بیان این که پنجمین راهبرد کاهش هزینه های مالی و زمانی کسب وکارهاست، اضافه کرد: کسب وکارها برای دریافت مجوز باید زمان و هزینه بگذارند و این مجوزها زمانی که به صورت موازی داده شود، هزینه مالی و زمانی کسب وکارها را زیاد می کند بنا بر این ما به دنبال راهکاری هستیم که با یکپارچه کردن تعیین و صدور مجوزها، هزینه های زمانی و مالی زیادی برای کسب وکارها نداشته باشد.
پیگیری نشت داده های رایتل بوسیله رگولاتوری
در ادامه این جلسه، موضوع نشت اطلاعات کاربران عنوان شد که تازه ترین نمونه آن، اخباری در خصوص لو رفتن اطلاعات ۵.۵ میلیون مشترک بود. رئیس سازمان فناوری اطلاعات در پاسخ به این که چرا نشت اطلاعات کاربران برای شرکت ها عواقبی ندارد، اظهار داشت: همین حالا هم قوانینی در این خصوص وجود دارد اما باید بررسی کرد آیا این قوانین کافی است؟ این نهادهای قضایی هستند که باید عواقب را تعیین کنند و ما هم در موارد نشت داده، به دادستانی شکایت ارائه کردیم. درباره رایتل هم در پروانه های تخصصی اپراتورها بند مشخصی در این خصوص وجود دارد که ما در حال پیگیری این مساله از رگولاتوری هستیم.
ناظمی با اشاره به لایحه صیانت از داده های شخصی، اظهار داشت: ما بخشنامه ۱۰بندی درباب داده های فضای مجازی داریم که متاسفانه از طرف دستگاه های اجرایی و شرکت ها رعایت نمی گردد. علاوه بر این بخشنامه ۱۰بندی، در پروانه تخصصی شرکت های فعال در این عرصه نیز ماده ای مشخص وجود دارد که امکان پیگیری افشای اطلاعات را بوسیله این مجوزهای فراهم می آورد. در صورتیکه لایحه صیانت از داده ها که همان GDPR است، به تصویب دولت برسد، می توان امیدوار به حل خیلی از مشکلات افشای اطلاعات بود.
وی با بیان این که لایحه هایی که موضوع قضایی دارند نمی توانند توسط دولت ارائه شوند و باید از طرف مجلس و یا قوه قضائیه برای آن اقدامات مقتضی صورت گیرد، اضافه کرد: این لایحه باید به تایید قوه قضائیه از نظر جرم انگاری می رسید که این پروسه طولانی شد اما الان این لایحه در جلسات تخصصی قوه قضائیه بررسی شده و به دولت بازگشته است. همین طور در کمیسیون های تخصصی و فرعی دولت نیز مورد بررسی قرار گرفت و الان در انتظار ورود به هیأت وزیران برای تصویب نهایی است.
معاون وزیر ارتباطات و فناوری اطلاعات با بیان این که هم اکنون هیچ الزامی برای دریافت گواهی نامه امنیت برای نرم افزارهای کاربردی وجود ندارد و ما مسئول بازخواست و جرم انگاری در این عرصه نیستیم، اضافه کرد: بر این اساس از شورای عالی فضای مجازی خواستیم که مصوبه ای را برای گردنگیر صدور مجوز امنیتی اپلیکیشن ها صادر کند تا با هماهنگی پلیس فتا بتوانیم این بخش را ساماندهی نماییم.
صدور گواهی امنیت تجهیزات بومی تا یک ماه آینده
ناظمی افزود: همین طور برای تدوین بخشنامه مربوط به محصولات خارجی این حوزه نیز، اقداماتی از طرف سازمان فناوری اطلاعات صورت گرفته و این بخشنامه به رگولاتوری ارسال شده است، برای اینکه نمی توان تنها برای محصولات بومی گواهی امنیت صادر کرد. این بخشنامه تا یک ماه آینده در کمیسیون تنظیم مقررات ارتباطات تصویب می شود که در آن شرایطی هم برای نرم افزارها و هم سخت افزارهای خارجی در نظر گرفته شده است.
وی با بیان این که از ۴۸۰ اپلیکیشن ایرانی در سال ۹۲ به ۳۴۵ هزار اپلیکیشن رسیده ایم، اظهار داشت: افزایش تعداد این اپلیکیشن ها مستلزم داشتن ابزار شناسایی تعداد نصب است. همین طور به زودی بخشنامه ای برای دریافت گواهی امنیتی این اپلیکیشن ها اعلام می شود. در این عرصه جای خالی قانون احساس می شود و علیرغم این که بعضی از شرکت ها و کسب وکارها در حوزه امنیت سایبری همراه سازمان فناوری هستند و گزارش هایی را برای افتا، فتا و مرکز ماهر ارسال می کنند، اما همچنان شاهد برخی بی مبالاتی ها از طرف سازمان ها و شرکت هایی هستیم که موجب درز اطلاعات می شود.
رئیس سازمان فناوری اطلاعات در پاسخ به میزان کارآمدی نظام مقابله با حوادث فضای سایبری مصوب شورای عالی فضای مجازی، اظهار داشت: این نظام نیازمند بازبینی است و انتظارات فعلی را برآورده نمی نماید. از زمانی که این نظام برای مقابله با حوادث فضای مجازی به تصویب رسید، زمان زیادی می گذرد و باتوجه به این که سرعت تحولات بسیار افزایش یافته، نیازمند بازنگری در این بخشنامه هستیم و دیگر دغدغه نظام مقابله با حوادث فضای مجازی از جنس محافظت از داده های کلان نیست و نمی تواند پاسخگوی شرایط فعلی باشد.
همین طور ابوالقاسم صادقی – معاون امنیت سازمان فناوری اطلاعات – در این مراسم اظهار نمود: از سال ۹۲ تابحال به صورت کلی برای محصولات بومی۷۳ گواهی نامه صادر گردیده است که هم اکنون ۵۰ گواهی دارای اعتبار، ۱۱ گواهی در حال تمدید است و ۱۲ گواهی نیز منقضی شده است. از گواهی های دارای اعتبار، ۱۸ گواهی مربوط به تجهیزات شبکه، ۲۵ گواهی مربوط به نرم افزارها و برنامه های کاربردی و ۷ گواهی مربوط به برنامه حوزه ارزیابی و رمزیابی است.
رضا جواهری – رئیس مرکز مدیریت راهبردی افتا – نیز در این نشست اظهار نمود: امروزه تنیده شدن فضای مجازی با زندگی روزمره برای همه مشخص است، در دوران کرونا هم فضای مجازی کمک زیادی به ما کرده است. رگولاتوری، بخش اجرایی و تامین کنندگان بخش خصوصی، از اجزای اصلی فضای مجازی می باشند که در کنار یکدیگر می توانند به فعالیت ادامه دهند.
وی افزود: سال ۸۴ سند استراتژیک افتا تدوین شد. سندی که در آن ساماندهی و اعتباربخشی به بخش خصوصی مورد بررسی قرار گرفت. بعد از آن نیز در سال ۹۳ یک دفعه دیگر توافق نامه ای بین دو سازمان به امضا رسید تا این مساله به شکل جدی تری دنبال شود. افزایش طول عمر مجوزها به دو سال، دیجیتالی شدن پروسه صدور مجوز و کاهش زمان صدور مجوز همچون مواردی است که برای تسهیل شرایط کسب وکارها انجام شده است.
ضرورت امن سازی در سازمان ها
در این مراسم همین طور حسین باقری – معاون فناوری اطلاعات سازمان پدافند غیرعامل – با بیان این که لازم است به لزوم امن سازی در سازمان ها بیشتر پرداخته شود، اظهار داشت: علیرغم این که تفکیک کار در حوزه امنیت سایبری در سازمان فناوری اطلاعات، مرکز افتای ریاست جمهوری و پدافند سایبری صورت گرفته، اما وضعیت امنیت در دستگاه ها و نهادهای حاکمیتی مناسب نمی باشد. قرار بود در هر دستگاه اجرایی و حاکمیتی یک گوهر (گروه واکنش هماهنگی رخداد) ایجاد شود اما تنها دو دستگاه اجرایی این تشکیلات را دارند و سایر دستگاه ها به این مساله توجهی نکرده اند.
وی با تاکید بر نقش شبکه ملی اطلات در امنیت سازمان ها و داده ها، بیان کرد: اگر شبکه ملی اطلاعات به معنای کامل راه بیفتد و شاهد داشتن سیستم عامل بومی، مرورگر بومی و جست وجوگر بومی و مواردی از این دست بودیم، لطمه پذیری سایبری حتما کمتر خواهد شد. سازمان پدافند غیرعامل در چند کمیته جهت راه اندازی شبکه ملی اطلاعات به وزارت ارتباطات کمک می نماید که یکی از این کمیته ها به بحث امنیت می پردازد و امیدوارم با همکاری مشترک حداکثری شاهد رفع دغدغه های این بخش باشیم.
معاون فناوری اطلاعات در سازمان پدافند غیرعامل اشاره کرد: امنیت دستگاه ها ضعیف است و باید کمک نماییم تا این مشکل حل شود. البته هر دستگاه باید مسئول امن سازی فضای سایبر خود باشد، همانطور که وزارت ارتباطات هم مسوول امن سازی خود است. اما مراکزی مانند افتا، ماهر و پدافند غیرعامل نقش نظارتی داشته باشند. در این خصوص می توان از توانمندی های بخش خصوصی نیز برای حل مشکلات کمک گرفت.
منبع: خط رند ۹۱۲