کسب‌وکارها باید مجوز سخت‌گیرانه‌تری داشته باشند

به نقل از ایسنا، آیین صدور گواهی مشترک در حوزه امنیتی - پدافندی محصولات افتا در محل سازمان فناوری اطلاعات و با حضور امیر ناظمی - رییس سازمان فناوری اطلاعات -، رضا جواهری - رییس مرکز مدیریت راهبردی افتای ریاست جمهوری - و حسین باقری - معاون ارتباطات، الکترونیک و فناوری اطلاعات سازمان پدافند غیرعامل - برگزار شد.

امیر ناظمی - رییس سازمان فناوری اطلاعات - در این مراسم با بیان این‌که اعطای مجوزهای حوزه امنیت از ضرورت‌های دولت است، گفت: نبود این مجوزها حریم خصوصی شهروندان را نقض می‌کند، اما این مداخله باید به‌صورتی باشد که تسهیل‌کننده فعالیت کسب‌وکار شود و با کمترین آسیب همراه باشد.

معاون وزیر ارتباطات و فناوری اطلاعات با اشاره به راهبردهای لازم برای مجوزهای حوزه امنیت، بیان کرد: اولین استراتژی یا استراتژی سطح صفر به زبان ساده می‌گوید که برای شروع یک فعالیت لازم نیست گواهی‌نامه‌ای‌ اخذ شود، اما با افزایش فعالیت در حوزه امنیت افزایش تعداد رکوردها از شهروندان و کسب‌وکارها، نیازمندیم گواهی‌نامه سخت‌گیرانه‌تری بر اساس سطح فعالیت آنها داشته باشیم. در واقع لازم نیست اپلیکیشن‌ها در لحظه صفر گواهی دریافت کنند اما اگر تعداد نصب آنها از حد معینی بالاتر رفت، باید پروتکل‌های امنیتی مسوولانه‌تری را رعایت کنند.

ناظمی، دومین استراتژی را استقلال حداکثری از دولت دانست و افزود: لازم است فرآیندها را به‌گونه‌ای در نظر بگیریم که میزان مداخله دولت به حداقل برسد، به همین منظور شش مرکز و آزمایشگاه مستقل از دولت را در نظر گرفته‌ایم که گزارش‌ها و ارزیابی روی‌ نرم‌افزارها و سامانه‌ها را به دولت بدهند، با این هدف که میزان مداخله دولت را کمتر کنیم.

وی با بیان این‌که سومین راهبرد، یکپارچگی نهادی است، افزود: در نظام حکمرانی آنچه اهمیت دارد این است که با کمترین میزان مداخله دولت، دستگاه‌هه بیشترین هماهنگی را داشته باشند. همین حالا مشکلات زیادی در حوزه امنیت وجود دارد که فقدان یکپارچگی موجب شده دستورالعمل‌های تقسیم کار نادیده گرفته شود.
این گواهی‌نامه از معدود گواهی‌های دولتی است که سه نهاد مستقل که میزان ارتباط سازمانی زیادی هم ندارند، با یک فرآیند مشخص اعطا می‌کنند.

رییس سازمان فناوری اطلاعات، استراتژی چهارم را ایجاد تنوع در گواهی‌نامه‌های امنیتی بر حسب نیاز کسب‌وکارها دانست و گفت: لازم نیست همه کسب‌وکارها را با یک معیار اندازه‌گیری کنیم، زیرا کسب‌وکارها به گواهی‌نامه‌های متنوع نیاز دارند. در حال حاضر گواهی‌های یکسانی به کسب‌وکارها اعطا می‌شود که سعی می‌کنیم از این پس بر حسب کاربرد و کارکرد و نیاز شهروندان این گواهی‌نامه‌ها تغییر پیدا کند.

ناظمی با بیان این‌که پنجمین راهبرد کاهش هزینه‌های مالی و زمانی کسب‌وکارهاست، افزود: کسب‌وکارها برای دریافت مجوز باید زمان و هزینه بگذارند و این مجوزها زمانی که به صورت موازی داده‌ شود، هزینه مالی و زمانی کسب‌وکارها را افزایش می‌دهد به همین دلیل ما به دنبال راهکاری هستیم که با یکپارچه کردن تعیین و صدور مجوزها، هزینه‌های زمانی و مالی زیادی برای کسب‌وکارها نداشته باشد.

پیگیری نشت داده‌های رایتل از طریق رگولاتوری

در ادامه این نشست، موضوع نشت اطلاعات کاربران مطرح شد که جدیدترین نمونه آن، اخباری مبنی‌بر لو رفتن اطلاعات ۵.۵ میلیون مشترک بود. رییس سازمان فناوری اطلاعات در پاسخ به اینکه چرا نشت اطلاعات کاربران برای شرکت‌ها عواقبی ندارد، گفت: همین حالا هم قوانینی در این خصوص وجود دارد اما باید بررسی کرد آیا این قوانین کافی است؟ این نهادهای قضایی هستند که باید عواقب را تعیین کنند و ما هم در موارد نشت داده، به دادستانی شکایت ارائه کردیم. درباره رایتل هم در پروانه‌های تخصصی اپراتورها بند مشخصی در این خصوص وجود دارد که ما در حال پیگیری این موضوع از رگولاتوری هستیم.

ناظمی با اشاره به لایحه صیانت از داده‌های شخصی گفت: ما آئین‌نامه ۱۰ بندی در خصوص داده‌های فضای مجازی داریم که متاسفانه از سوی دستگاه‌های اجرایی و شرکت‌ها رعایت نمی‌شود. علاوه بر این آئین‌نامه ۱۰ بندی در پروانه تخصصی شرکت‌های فعال در این حوزه نیز ماده‌ای مشخص وجود دارد که امکان پیگیری افشای اطلاعات را از طریق این مجوزهای فراهم می‌کند. در صورتی که لایحه صیانت از داده‌ها که همان GDPR است، به تصویب دولت برسد، می توان امیدوار به حل بسیاری از مشکلات افشای اطلاعات بود.

وی با بیان اینکه لایحه هایی که موضوع قضایی دارند نمی‌توانند توسط دولت ارائه شوند و باید از سوی مجلس و یا قوه قضائیه برای آن اقدامات مقتضی صورت گیرد، افزود: این لایحه باید به تایید قوه قضائیه از نظر جرم‌انگاری می‌رسید که این فرایند طولانی شد اما هم اکنون این لایحه در جلسات تخصصی قوه قضائیه بررسی شده و به دولت بازگشته است. همچنین در کمیسیون های تخصصی و فرعی دولت نیز مورد بررسی قرار گرفت و هم اکنون در انتظار ورود به هیئت وزیران برای تصویب نهایی است.

معاون وزیر ارتباطات و فناوری اطلاعات با بیان اینکه در حال حاضر هیچ الزامی برای دریافت گواهینامه امنیت برای نرم‌افزارهای کاربردی وجود ندارد و ما مسئول بازخواست و جرم‌انگاری در این حوزه نیستیم، افزود: این اساس از شورای عالی فضای مجازی خواستیم که مصوبه‌ای را برای الزام صدور مجوز امنیتی اپلیکیشن‌ها صادر کند تا با هماهنگی پلیس فتا بتوانیم این بخش را ساماندهی کنیم.

صدور گواهی امنیت تجهیزات بومی تا یک ماه آینده

ناظمی ادامه داد: همچنین برای تدوین آئین‌نامه مربوط به محصولات خارجی این حوزه نیز اقداماتی از سوی سازمان فناوری اطلاعات صورت گرفته و این آئین‌نامه به رگولاتوری ارسال شده است، زیرا نمی‌توان تنها برای محصولات بومی گواهی امنیت صادر کرد. این آئین‌نامه تا یک ماه آینده در کمیسیون تنظیم مقررات ارتباطات تصویب می‌شود که در آن شرایطی هم برای نرم‌افزارها و هم سخت‌افزارهای خارجی در نظر گرفته شده است.

وی با بیان اینکه از ۴۸۰ اپلیکیشن ایرانی در سال ۹۲ به ۳۴۵ هزار اپلیکیشن رسیده‌ایم، گفت: افزایش تعداد این اپلیکیشن‌ها نیازمند داشتن ابزار شناسایی تعداد نصب است. همچنین به‌زودی آئین‌نامه‌ای برای دریافت گواهی امنیتی این اپلیکیشن‌ها اعلام می‌شود.‌ در این حوزه جای خالی قانون احساس می‌شود و با وجود اینکه برخی از شرکت‌ها و کسب‌وکارها در حوزه امنیت سایبری همراه سازمان فناوری هستند و گزارش‌هایی را برای افتا، فتا و مرکز ماهر ارسال می‌کنند، اما همچنان شاهد برخی بی‌مبالاتی‌ها از سوی سازمان‌ها و شرکت‌هایی هستیم که باعث درز اطلاعات می‌شود.

رئیس سازمان فناوری اطلاعات در پاسخ به میزان کارآمدی نظام مقابله با حوادث فضای سایبری مصوب شورای عالی فضای مجازی گفت: این نظام نیازمند بازنگری است و انتظارات فعلی را برآورده نمی‌کند. از زمانی که این نظام برای مقابله با حوادث فضای مجازی به تصویب رسید زمان زیادی می گذرد و با توجه به اینکه سرعت تحولات بسیار افزایش یافته، نیازمند بازبینی در این آئین‌نامه هستیم و دیگر دغدغه نظام مقابله با حوادث فضای مجازی از جنس محافظت از داده‌های کلان نیست و نمی‌تواند پاسخگوی شرایط فعلی باشد.

همچنین ابوالقاسم صادقی -معاون امنیت سازمان فناوری اطلاعات- در این مراسم اظهار کرد: از سال ۹۲ تا کنون به‌صورت کلی برای محصولات بومی۷۳ گواهینامه صادر شده است که در حال حاضر ۵۰ گواهی دارای اعتبار، ۱۱ گواهی در حال تمدید است و ۱۲ گواهی نیز منقضی شده است. از گواهی‌های دارای اعتبار، ۱۸‌ گواهی مربوط‌به تجهیزات شبکه،  ۲۵ گواهی مربوط به نرم‌افزارها و برنامه‌های کاربردی و ۷ گواهی مربوط‌به برنامه حوزه ارزیابی و رمزیابی است.

‎ ‎رضا جواهری -رییس مرکز مدیریت راهبردی افتا- نیز در این جلسه اظهار کرد: امروزه تنیده شدن فضای مجازی با زندگی روزمره برای همه مشخص است، در دوران کرونا هم فضای مجازی کمک زیادی به ما کرده است.‌ رگولاتوری، بخش اجرایی و تامین‌کنندگان بخش خصوصی، از اجزای اصلی فضای مجازی هستند که در کنار یکدیگر می‌توانند به فعالیت ادامه دهند.

‎وی ادامه داد: سال ۸۴ سند راهبردی افتاد تدوین شد.  سندی که در آن ساماندهی و اعتباربخشی به بخش خصوصی مورد بررسی قرارگرفت. پس از آن نیز در سال ۹۳ یک بار دیگر توافق‌نامه‌ای بین دو سازمان به امضا رسید تا این مساله به شکل جدی‌تری دنبال شود. افزایش طول عمر مجوزها به دو سال، دیجیتالی شدن فرآیند فرآیند صدور مجوز، کاهش زمان صدور مجوز از جمله مواردی است که برای تسهیل شرایط کسب‌وکارها انجام شده است.

ضرورت امن‌سازی در سازمان‌ها

در این مراسم همچنین حسین باقری -معاون فناوری اطلاعات سازمان پدافند غیرعامل- با بیان اینکه لازم است به ضرورت امن‌سازی در سازمان‌ها بیشتر پرداخته شود، گفت: با وجود اینکه تفکیک کار در حوزه امنیت سایبری در سازمان فناوری اطلاعات، مرکز افتای ریاست جمهوری و پدافند سایبری صورت گرفته اما وضعیت امنیت در دستگاه‌ها و نهادهای حاکمیتی مناسب نیست. قرار بود در هر دستگاه اجرایی و حاکمیتی یک گوهر (گروه واکنش هماهنگی رخداد) ایجاد شود اما تنها دو دستگاه اجرایی این تشکیلات را دارند و سایر دستگاه‌ها به این موضوع توجهی نکردند.

وی با تاکید بر نقش شبکه ملی اطلات در امنیت سازمان‌ها و داده‌ها بیان کرد: اگر شبکه ملی اطلاعات به معنای کامل راه بیافتد و شاهد داشتن سیستم عامل بومی، مرورگر بومی و جستوگر بومی و مواردی از این دست داشتیم آسیب پذیری سایبری حتما کمتر خواهد شد. سازمان پدافند غیرعامل در چند کمیته برای راه اندازی شبکه ملی اطلاعات به وزارت ارتباطات کمک می کند که یکی از این کمیته ها به بحث امنیت می پردازد و امیدوارم با همکاری مشترک حداکثری شاهد رفع دغدغه های این بخش باشیم.

معاون فناوری اطلاعات در سازمان پدافند غیرعامل خاطرنشان کرد: امنیت دستگاه‌ها ضعیف است و باید کمک کنیم تا این مشکل حل شود البته هر دستگاه باید مسئول امن‌سازی فضای سایبر خود باشد، همان‌طور که وزارت ارتباطات هم مسوول امن‌سازی خود است. اما مراکزی مانند افتا، ماهر و پدافند غیرعامل نقش نظارتی داشته باشند. در این خصوص می‌توان از توانمندی‌های بخش خصوصی نیز برای حل مشکلات کمک گرفت.