مرکز افتا چه وظایفی را برعهده دارد؟
علیرضا عابدی نژاد، عضو هیئت مدیره این سازمان با بیان اینکه «افتا» اختصاریافته امنیت فضای تولید و تبادل اطلاعات است، میگوید: «مرکزی به نام مرکز افتای ریاستجمهوری از چند سال قبل ذیل نهاد ریاست جمهوری شکل گرفته است. این مرکز، وظیفه اعتبارسنجی شرکتها، خدمات، فعالیتها و محصولاتشان را برعهده دارد.»
او ادامه میدهد: «هر شرکتی که خدمت یا محصولی به مجموعه دولت ارائه میکند، در راستای فعالیتی که انجام میدهد باید از مرکز افتا مجوز لازم را گرفته باشد. البته هیچ شرکتی مستقیم با مرکز افتا در ارتباط نیست. در دولت، وزارت ارتباطات و به صورت خاص سازمان فناوری اطلاعات متولی این مسئله است و شرکتها درخواستهایشان را به سازمان فناوری اطلاعات ارائه میکنند سپس بخشی از ارزیابی توسط این سازمان و بخشی هم توسط مرکز افتا انجام میشود.»
افتا شامل چه حوزههایی است؟
او با بیان اینکه شرکتهای ارائه دهنده خدمات شامل این موضوع میشوند میگوید: «خدمات شامل چهار حوزه میشود؛ خدمات فنی، آموزشی، مدیریتی و عملیاتی.»
عابدینژاد خدمات فنی را شامل شرکتهایی میداند که دارای محصول هستند و ممکن است محصولاتشان امنیتی هم نباشد: «اینجا مقررات می گوید محصولات فتا، نه افتا. یعنی در گرایش فنی هر کسی که محصولی در حوزهی فضای تبادل اطلاعات ارائه میکند، برای نصب و پشتیبانی آن باید مجوز لازم را بگیرد.» گرایش آموزشی مربوط به شرکتهایی است که در حوزه آموزش فعالیت میکنند و گرایش مدیریتی مربوط به شرکتهای حوزه استانداردسازی فرآیندها و رویههاست و در نهایت گرایش عملیاتی مربوط به شرکتهایی است که در حوزه امنسازی، تست نفوذ و پیاده سازی و راهبری مراکز عملیات امنیت فعالیت میکنند. تمامی شرکتهای مزبور می بایست مجوزهای لازم را دریافت کنند.
او ادامه میدهد: «شرکتها برای درخواست مجوز افتای محصولاتشان باید پس از ثبت درخواستشان در سامانه مربوطه، محصولشان را جهت آزمایش در اختیار آزمایشگاههایی که مورد تایید افتاست قرار دهند تا محصول از جوانب مختلف امنیتی در سطوح تعیین شده مورد ارزیابی آزمایشگاه قرار بگیرد. بعد از این تاییدیه، روند ارزیابی اعتباری خود شرکتها نیز مطرح است که توسط مرکز افتا انجام میشود و در نهایت شرکتها میتوانند مجوز افتای محصولشان را بگیرند. آزمایشاتی که عنوان شد برگرفته و بومی سازی شده از استاندارد ISO 15408 است.»
او میگوید دسته دیگری هم هستند که با چالش مجوزهای افتا روبرو هستند: «شرکت هایی که تجهیزات وارد کشور میکنند. برای این دسته از شرکتها در دو سه سال اخیر به این صورت بوده که در حین فرایند تایید نمونه، این شرکتها باید تعهد بدهند تا الزامات امنیتی را روی تجهیزاتشان رعایت کنند. این روندی است که اکنون وجود دارد و در حال حاضر در این خصوص پیچیدگی خاصی هم وجود ندارد.»
وظایف و اعضای کارگروه افتا
عضو هیئت مدیره سازمان نظام صنفی رایانهای استان تهران در توضیحات بیشتری بیان میکند: «18 فروردین 1400 نظام اعتبارسنجی امنیتی تجهیزات توسط مرکز ملی فضای مجازی تصویب و به سازمان های ذیربط ابلاغ شد. نکته مهم در خصوص این نظام این است که نظام اعتبارسنجی امنیتی در حوزهی تجهیزات است، نه خدمات. در این نظام، کارگروهی بنام کارگروه افتا تعریف شده است که هفت عضو دارد. نماینده وزارت ارتباطات، نماینده وزارت اطلاعات، نماینده سازمان ملی استاندارد، نماینده مرکز افتا ریاستجمهوری، نماینده پلیس فتا، نماینده سازمان پدافند و البته نمایندهی سازمان نظام صنفی رایانهای کشور. این هفت عضو، اعضای کارگروه افتا هستند که باید طبق نظامنامهای که توسط شورای عالی فضای مجازی تصویب شده، دور هم جمع شوند و قوانین و مقررات جدید را در مورد مباحث افتا تدوین کنند.»
او معتقد است که کارگروه افتا به دنبال این است تا با تصویب آییننامهای جدید در حوزه تجهیزات، شیوهی اعتبارسنجی را متحول کند: «شرکتها مسائل مختلفی دارند؛ مثلا یکی از مسائلی که اکنون شرکتها با آن مواجهاند این است که موظفند علاوهبر دریافت تاییدیه از مرکز افتا، از سازمان پدافند هم تاییدیه لازم را بگیرند. کارگروه افتا میان سازمان پدافند، وزارت ارتباطات، مرکز افتا و سایر سازمانهای ذیربط مانند پلیس فتا هماهنگی ایجاد میکند تا همگی روی یک آییننامه واحد به اتفاق نظر برسند و از سردرگمی شرکتها بکاهند. کارگروه افتا تاکنون چندین جلسه تشکیل داده است و در آن پیشنویس آییننامهای آماده شده که سازمان نظام صنفی رایانهای نسبت به آن نقطه نظراتی دارد و این نظرات هم به اعضای کارگروه و هم به مرکز ملی فضای مجازی اعلام گردیده است.»
ایجاد کارگروه هماهنگی افتا در سازمان نصر
نمایندهی نظام صنفی رایانهای کشور در کارگروه افتا در خصوص ساختار هماهنگی در موضوعات افتایی در درون سازمان نظام صنفی رایانهای میگوید: «پس از معرفی بنده بهعنوان نماینده سازمان نظام صنفی رایانهای کشور در کارگروه افتا، در اولین اقدام تلاشمان در راستای ایجاد هماهنگی بین ارکان صنف بود. به همین دلیل یک کارگروه داخلی به نام «کارگروه هماهنگی افتا» در نصر ایجاد کردیم. آقای دانشگر به عنوان نماینده کمیسیون افتای کشور، سرکار خانم آریا از نصر تهران و آقای زرین بخش به نمایندگی از کمیسیون تامین و کمیسیون شبکه و بنده در این کارگروه حضور داریم. با وجود این کارگروه هماهنگی، تلاش ما بر این است تا در خصوص دغدغههای افتایی صنف، صدای واحدی از صنف بیرون بیاید.»
پیگیری برای حل مشکل سامانه سازمان فناوری اطلاعات
او ادامه میدهد: «به دلیل اینکه موضوع افتا، هم خدمات و هم تجهیزات را دربرمیگیرد تقریبا اکثر شرکتهایی که به نوعی با دولت طرف حساب بودند، در یک سال گذشته به دنبال مجوزهای افتا بودند و مجبور بودند به دلیل ملاحظات و الزاماتی که برای شرکتها گذاشته شده، پیگیر این موضوع باشند. اما تقریبا از اواخر پاییز یا اوایل زمستان سال 1401 شرکتها دچار چالشهای جدیدی شدند. سازمان فناوری اطلاعات برای اینکه شرکتها درخواستهایشان را آنجا ثبت و پیگیری کنند سامانهای دارد که متاسفانه در این بازه زمانی این سامانه از کار افتاد. تقریبا دو سه ماه شرکتها دچار سردرگمی بودند چون قبلا درخواستهایشان را در این سامانه ثبت کرده بودند و یک دفعه با این چالش که این سامانه دیگر وجود ندارد مواجه شدند. لذا ما بهعنوان نظام صنفی در خصوص این مشکل شرکتها دست بهکار شدیم.»
به طور خودکار مجوزهای شش ماهه اخیر تمدید شد
عابدینژاد توضیح میدهد: «از اواخر سال گذشته دنبال راهحلی بودیم تا بتوانیم مشکل شرکت ها را حل کنیم و از ابتدای امسال برای حل این مشکل با مرکز افتا و سایر ارگانهای مرتبط مذاکراتی داشتیم. در این خصوص جلساتی با آقای دکتر خوانساری رئیس سازمان فناوری اطلاعات، آقای آقامیری، دبیر شورای عالی فضای مجازی و آقای دکتر عیسی زارعپور، وزیر ارتباطات داشتیم. طی این جلسات از طریق سازمان نظام صنفی رایانهای کشور درخواست کردیم چون مشکلات مربوط به سامانه از سوی خود دولت بوده، حداقل برای شرکتهایی که قبلا مجوز داشتند و در طول این بازهی زمانی دچار مشکل شدند، مجوزها تمدید شود. در یکی دو ماه گذشته هم پیگیری زیادی را انجام دادیم و حتی در این خصوص در دیدار با رئیس جمهور محترم نیز موضوع مشکلات شرکتها را در خصوص مجوزهای افتا مطرح کردیم.»
او با بیان اینکه این گرفتاریها فعلا حداقل به صورت موقت حل شده است، میگوید: «با انجام این پیگیریها علیرغم اینکه دولتیها در قدم اول خیلی محکم میگفتند این کار غیرممکن است، خوشبختانه این میسر شد و اعلام شد که مجوزهای قبلی شرکتها تا پایان مرداد ماه امسال تمدید میشود. البته درخواست ما به صورتی بود که گستره وسیعتری از مجوزها را در بر بگیرد اما صرفا مجوزهایی که تاریخ انقضای آنها از ابتدای دی ماه 1401 تا انتهای خرداد 1402 بود تا پایان مرداد ماه تمدید شدند. در مدتی که سامانه صدور مجوزها مشکل داشت، قراردادهای پشتیبانی برخی شرکتها دچار مشکل شده بود و یا در مناقصات به مشکل برخورده بودند. امیدوارم این تمدیدها مشکلات این شرکتها را حل کرده باشد. البته با وجود تمدید مجوزها، از شرکتها درخواست میکنم تا به این تمدید بسنده نکنند و فرایند عادی تمدید مجوزهایشان را به تاخیر نیندازند.»
او در بخش دیگری از سخنان خود با اشاره به کارگروه افتا بیان میکند: «این کارگروه از چند نماینده مختلف تشکیل شده است. خوشبختانه بر اساس سند بالادستی نظام اعتبارسنجی، سازمان استاندارد یک عضو این کارگروه است. بر این اساس باید بتوانیم از ظرفیتهای قانونیای که بر نظام استاندارد کشور حاکم است، برای آیین نامههای افتا در حوزهی تجهیزات استفاده کنیم. این موضوع حُسن زیادی برای شرکتها دارد و ما هم به عنوان نماینده سازمان نظام صنفی رایانهای از این قضیه حمایت کردیم.»
عضو شورای مرکزی نصر کشور ادامه میدهد: «وقتی شرکتی برای مجوز افتای محصولش اقدام میکند، یک تا دو سال طول می کشد تا بتواند مجوز لازم را بگیرد. یک دلیل زمانبر شدن این پروسه آزمایشگاهها هستند. اول اینکه آزمایشگاهها خیلی سرشان شلوغ است و دلیل دیگر هم این است که به دلیل پیچیدگیهای استاندارد لازم است شرکت ها خیلی محصولاتشان را تغییر دهند تا بتوانند با این استاندارد سازگار بشوند. طبیعتا این موضوع هزینه زیادی را از چند صد میلیون تومان تا چند میلیارد تومان به شرکتها تحمیل میکند که بسته به نوع محصول متفاوت خواهد بود. در کارگروه افتا مطرح کردیم وقتی شرکتی برای دریافت مجوز این همه هزینه میکند، لااقل بتواند مجوز بینالمللی بگیرد تا اگر خواست محصولش را صادر کند، بتواند از مزایای این استاندارد استفاده کند.»
انتقادات جدی به آییننامه جدید افتا داریم
عابدینژاد در مورد سرنوشت آیین نامهای که در حال تصویب است، توضیح میدهد: «پیشنویس آیین نامه توسط برخی از اعضای کارگروه تهیه شده که در آن تنها بخش کمی از نظرات سازمان نظام صنفی رایانهای لحاظ شده است. بنابراین ما به آن انتقادات جدی داریم و اعلام کردهایم که به صورت کلی و با جزئیات بیشتر نظرات سازمان نظام صنفی رایانهای را منتقل میکنیم و امیدواریم دوستان در مرکز ملی فضای مجازی و اعضای محترم کارگروه نظرات صنف را جدی بگیرند و در آییننامه بازنگری اساسی داشته باشند.»
او در بخش پایانی صحبتهای خود در مورد این موضوع که مجوز افتا تا چه میزان میتواند در حوزه نرمافزار اهمیت داشته باشد، میگوید: «چنانچه اشاره کردم مجوزهای افتا هم در حوزه تجهیزات و هم در حوزه خدمات کاربردی است و منظور از تجهیزات هم سختافزارهای تولیدی و هم نرمافزارهای تولیدی را شامل میشود؛ بنابراین دسته مهمی از شرکتهای حوزه نرم افزاری از این آییننامه متاثر هستند و اتفاقا مشکلات زیادی هم دارند.»
او با اشاره به مشکلات شرکت های نرم افزاری بیان میکند: «بخشی از این مشکلات به این دلیل است که برخی از نرم افزارها در طول20، 30 سال گذشته با شیوههای قدیمی طراحی شدهاند و اکنون برای تطبیق با استانداردهای امنیتی هزینههای زیادی را به شرکت ها تحمیل می کند. علاوهبر آن سازمانهای بهرهبردار هم در این زمینه دچار چالش میشوند چون مجبورند محصولاتشان را تغییر اساسی بدهند و این مسئله برای سازمانها هم هزینه زیادی ایجاد میکند. برای حل این مشکلات طی جلسات مختلف در کمیسیونهای نرم افزاری سازمان مشکلات شرکت ها را احصاء کرده و به نهادهای مسئول منتقل کردهایم.»
آییننامه پرهزینه و پرچالش است
او به نکته دیگری هم اشاره میکند: «اصولا چه ضرورتی دارد نرم افزارهایی که اصلا وظیفهی امنیتی در سازمانها ندارند و منجر به آسیب پذیری جدی در سازمانها نمیشوند را در اسکوپ این آییننامهها قرار دهیم؟ این نگاه وجود دارد که همیشه همه چیز باید از نظر امنیتی امن باشد. این نگاه بسیار پرهزینه و پرچالش است و اصلا چنین ظرفیتی در شرکت ها وجود ندارد. اساسا به این اندازه نیروی متخصص امنیت در کشور نداریم تا بتوانند تمامی مسائل و چالشهای شرکتهای نرم افزاری را حل کنند.»
بخشی از نرمافزارها از محدوده آییننامه خارج شود
عابدینژاد ادامه میدهد: «پیشنهاد اکید ما این است که بتوانیم بخشی از نرمافزارها را از اسکوپ آیین نامه خارج کنیم. برای تامین امنیت سازمانها اینکه بخواهیم همهی نرم افزارها امن باشد، شاید سختترین راهکار باشد. راهکار آسانتر این است تا از طریق چارچوبهای امن سازی که توسط نرم افزارهای امنیتی و تجهیزات امنیتی میتوان در سازمانها برقرار کرد، به امنیت بالاتری برسیم. در این زمینه نظراتمان را قبلا اعلام کردهایم و در مکاتبات بعدی نیز منتقل خواهیم کرد.»
از نظارت مستمر بر امنیت سازمانها غافل نشویم
عابدینژاد در خصوص پیشنهاد نظام صنفی ادامه میدهد: «همچنین پیشنهاد کردهایم بر اساس سند بالادستی تمرکز بیشتری بر حوزه نظارت مستمر بر سازمانها شود. همانطور که میدانیم بیشتر از 95 درصد عوامل حملات سایبری به عوامل انسانی و پیکربندی صحیح مربوط است. اینکه بخواهیم عمده انرژی شرکتها را صرف بالا بردن امنیت و استانداردهای امنیتی محصولات کنیم و از بحث نظارت مستمر غافل بشویم منجر به آسیب پذیری بیشتر میشود. لذا پیشنهاد ما در صنف این است که لازم است آییننامه اعتبارسنجی تجهیزات بر اساس اصل نظارت مستمر بازنگری اساسی شود.»