بتازگی سازمان فناوری اطلاعات آزمایشگاه ارزیابی عملکردی و کیفی محصولات امنیت فضای مجازی را راه‌اندازی کرد. درباره راه‌اندازی این آزمایشگاه با «ابوالقاسم صادقی» معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات گفت‌و‌گو کرده و نظر کارشناسان را نیز جویا شدیم.

 

ارتقای کیفی

ابوالقاسم صادقی معاون فضای امنیت تولید و تبادل اطلاعات سازمان فناوری اطلاعات معتقد است؛ آزمایشگاه جدید، آزمایشگاهی است که با همکاری سازمان فناوری اطلاعات و پژوهشگاه ارتباطات و فناوری اطلاعات راه‌اندازی شده تا محصولات بومی امنیت را از نظر کیفیت و عملکرد ارزیابی و آزمایش کند.

صادقی با بیان اینکه این آزمایشگاه فعلاً محصولات SIEM (مدیریت وقایع و امنیت اطلاعات) را تست می‌کند و قرار است چندماه دیگر محصولات UTM (یکپارچه مدیریت تهدیدات) را هم تست کند، افزود: در این دو محصول چندین شرکت داخلی فعال هستند بنابراین داشتن ارزیابی کیفی برای شرکت‌ها و بازار بومی مهم است و باعث می‌شود محصولات در بازار به ثبات رسیده و به فروش برسند. وی هدف از راه‌اندازی این آزمایشگاه را کمک به صنعت محصولات بومی امنیت و سازمان‌ها در استفاده از محصولات بومی عنوان کرد و گفت: نه تنها این صنعت نیاز به پشتیبانی دارد، بلکه سازمان‌ها هم نمی‌توانند ایرادات فنی را دقیق به تولیدکننده انتقال دهند پس تولید کننده هم نمی‌داند ضعف محصولش کجاست از این‌رو باید مشکلات هر دوبخش رفع شود که این آزمایشگاه به این دو موضوع کمک می‌کند.

صادقی افزود: سازمان‌ها معمولاً به محصولات بومی مانند فایروال‌ها و آنتی ویروس‌ها از نظر کیفی و عملکرد ایراد می‌گیرند و معتقدند که کیفیت لازم را ندارد و خرید محصولات خارجی را به داخلی ترجیح می‌دادند. از سوی دیگر برای خرید محصولات امنیتی خارجی هم محدودیت گذاشته شده بنابراین شرکت‌ها هم باید کیفیت محصولات داخلی خود را ارتقا دهند تا بازار را جذب کنند. وقتی محصولات بومی امنیت دارای کیفیت بالایی نباشند، نه تنها در داخل کشور مورد استقبال قرار نمی‌گیرد، بلکه امکان صادرات به کشورهای منطقه را هم نخواهند داشت.

صادقی درباره تفاوت این آزمایشگاه با 6 آزمایشگاه موجود در کشور نیز گفت: 6 آزمایشگاه موجود فقط از نظر امنیت و آسیب‌پذیری محصولات بومی را تست کرده و گواهی صادر می‌کنند که دریافت این دسته از گواهی نامه‌ها برای محصولات اجباری است ولی همان‌طور که گفته شد آزمایشگاه جدید تنها از نظر کیفی و عملکردی محصولات امنیت بومی را تست کرده و گواهی صادر می‌کند.

معاون رئیس سازمان فناوری اطلاعات معتقد است اگر هر آزمایشگاه خصوصی که دارای زیرساخت‌ها و تجهیزات فنی و به همراه نیروی انسانی متخصص در سطح فنی بالایی باشد، می‌تواند مجوزهای لازم را برای ارزیابی کیفی نیز دریافت کند. صادقی با اشاره به اینکه دریافت گواهی ارزیابی کیفی اجباری نیست، گفت: اگر محصولی گواهی تست کیفی را نداشته باشد مانعی برای فروش محصولاتش در بازار ندارد ولی محصولاتی که دارای گواهی کیفی باشند دارای اعتماد و صلاحیت بیشتری نسبت به بقیه محصولاتی که فقط دارای گواهی‌های امنیت و... هستند، می باشند چون آنها شهامت این را داشته‌اند که محصول خود را در معرض تست‌های بسیار سخت قرار دهند و تأییدیه کیفی هم بگیرند.

وی معتقد است در آینده‌ای نزدیک داشتن گواهی کیفی خود نشانگر بهتر بودن و خود تبلیغی برای محصول بومی خواهد بود و خود شرکت‌ها سعی خواهند کرد برای جلب نظر مشتری گواهی کیفی را هم داشته باشند تا بتوانند محصول خود را به سازمان‌ها بفروشند. چون قطعاً در آینده نزدیک، سازمان ‌ها نیز یکی از شرایط خرید محصولات بومی امنیت را داشتن گواهی ارزیابی کیفی و عملکردی قرار خواهند داد. به نظرم حتی کارشناسان هم به این نتیجه خواهند رسید که داشتن گواهی ارزیابی کیفی مهم خواهد بود.

به‌گفته این مسئول، تست کیفی در آزمایشگاه داخلی 30 تا 50 میلیون تومان هزینه دارد و نسبت به هزینه یک میلیاردی در خارج از کشور مقرون به صرفه‌تر است بنابراین شرکت‌ها می‌توانند در داخل، ایرادهای محصول خود را بسنجند و برای دریافت گواهی بین‌المللی اقدام کنند. وی از تولید کنندگان هم خواست برای ارزیابی کیفی محصول خود به سایت sec.ito.gov.ir مراجعه کرده و درخواست بدهند تا با بستن قراردادی محصولاتشان در آزمایشگاه ارزیابی کیفی شده و گواهی دریافت کنند.

صادقی در پاسخ به این سؤال که آیا محصولات بومی امنیت، در حد صادرات داریم گفت: برخی از محصولات داخلی ما خوب هستند و به منطقه صادر می‌شوند ولی اگر محصولات داخلی تست‌های کیفی را هم بگذرانند و گواهی ارزیابی کیفی بگیرند بهتر است چون داشتن گواهی ارزیابی کیفی برای صادرات جذابیت خواهند داشت به‌هرحال بسیاری از کشورها به‌دنبال محصول باکیفیت و ارزان قیمت هستند و لزومی نمی‌بینند که حتماً محصولات برند و گران را تهیه کنند. معاون امنیت فضای تولید و تبادل اطلاعات درباره اینکه برخی معتقدند که محصولات بومی امنیت ما کپی کاری است، گفت: بله برخی محصولات کپی کاری است. ما مخالف کپی کاری نیستیم به‌شرطی که روی کد زدن و پرفورمنس آن خوب کار شده باشد و به مشتری بگویند که این محصول اپن سورس محصول خارجی است و پول این بخش را از مصرف کننده دریافت نکنند. در این صورت مشتری ترجیح می‌دهد محصول داخلی را که ارزان تر از خارجی است، خریداری کند.

صادقی به تولیدکنندگان محصولات بومی هم توصیه کرد که در کنار سرمایه‌گذاری خوب، از افراد دارای دانش فنی بالا در حوزه امنیت استفاده کنند و برنامه تجاری خوبی داشته باشند تا بعد از سه سال به جایگاه خوبی برسند و بهتر است برای تحقیقات هم هزینه کنند تا بقایشان در بازار حفظ شود. از سوی دیگر از سازمان‌ها هم خواست به تولیدات داخلی اعتماد کنند.

رفع آسان مشکلات محصولات امنیتی

کاظم فلاحی کارشناس امنیت سایبری اعتقاد دارد راه‌اندازی آزمایشگاه ارزیابی کیفی بیشتر برای نفوذناپذیر شدن سامانه‌های بومی در برابر حملات هکرهاست به‌طوری که مشکلات امنیتی سامانه‌های بومی را بررسی کرده و با رفع مشکلات آن، پایدار می‌کند بنابراین قبل از اینکه محصول وارد بازار شود تست ارزیابی کیفی شود، مفید خواهد بود.

فلاحی گفت: ارزیابی محصولات در این آزمایشگاه باعث می‌شود تا کیفیت کار ارتقا یابد چون مشکلات محصول امنیتی از منظر کیفی به صاحب محصول ارائه می‌شود و تیم مربوطه می‌تواند مشکلات را رفع کند. وی درباره الزام آور نکردن شرکت‌ها برای دریافت گواهی ارزیابی کیفی هم گفت: هرچند اجبار کردن تولیدکنندگان محصولات بومی امنیت بومی برای دریافت گواهی‌های امنیتی هم خیلی کارساز نبوده و هم اکنون با هک شدن هیچ کس پاسخگو نیست به نظر می‌رسد با الزام آور نبودن، شرکت‌ها به‌دنبال دریافت گواهی ارزیابی کیفی نروند. این کارشناس امنیت معتقد است وجود آزمایشگاه‌های کیفی با اینکه کیفیت محصول را افزایش می‌دهد اما به نظر نمی‌رسد در صادرات محصولات امنیتی بومی تأثیر داشته باشد.

وی گفت: محصولات امنیتی ما در حد و اندازه صادرات نیستند، چرا که تا 90 درصد محصولات امنیت بومی ما کپی‌برداری ضعیف از محصولات خارجی است و تنها با فارسی‌نویسی نام آن را بومی گذاشته‌اند بنابراین وقتی اکثراً محصولات امنیتی بومی این سبک و سیاق را در پیش گرفته‌اند بنابراین صادرات معنایی ندارد.

پارسا یوسفی دیگر کارشناس امنیت سایبری هم اعتقاد دارد که ارائه گواهی ارزیابی کیفیت برای محصولات بومی امنیت خوب است به شرطی که دیگر ارگان‌های امنیت سایبری مانند افتا، پدافند غیرعامل و... هم آن تأییدیه را قبول داشته باشند و مستندات تست‌ها را همه مراکز امنیت سایبری تأیید کنند.

یوسفی درباره بحث الزام آورنبودن دریافت این گواهی ارزیابی کیفی نیز گفت: درست است که الزام آور نیست ولی وقتی سازمان‌ها و ارگان‌ها بخواهند مناقصه برگزار کنند قطعاً داشتن گواهی ارزیابی را یکی از شرایط شرکت در مناقصه قرار خواهند داد و بنابراین اگر شرکت‌های دارای محصولات بومی امنیت بخواهند در این مناقصه‌ها شرکت کنند مجبور هستند که آن را هم دریافت کنند. وی درباره بحث صادرات محصولات بومی امنیت نیز معتقد است که تعداد بسیار اندکی محصول بومی امنیت برای صادرات وجود دارد. یوسفی گفت: محصولات داخلی ما از نظر بلوغ فنی و تکنیکال نسبت به محصولات خارجی فاصله دارد ولی اگر محصول داخلی به بلوغ فنی برسد می‌تواند بازار همسایه و منطقه را جذب کند.