Web Analytics Made Easy - Statcounter
گواهی افتا

سختگیری‌های صدور گواهی افتا برای نرم‌افزارها

ارسال شده توسط تیم تحریریه آی‌تی‌جو ۲۱ شهریور ۱۴۰۱ اخبار و رویدادهای فناوری ایران

چالش امنیت نرم‌افزار، یکی از مسائل اصلی مطرح در کمیسیون نرم‌افزارهای سلامت الکترونیکی سازمان نصر تهران به شمار می‌آید. به نحوی که تأییدیه‌های امنیتی نرم‌افزارها یکی از موضوعات اصلی جلسه مشترک کمیته راهبری رسته نرم‌افزار این سازمان و رئیس سازمان فناوری اطلاعات بود.

رئیس کمیسیون نرم‌افزارهای سلامت الکترونیکی، آقای ناصر شاکرحسینی، در گفتگو با روابط عمومی نصر تهران، به لزوم مصونیت نرم‌افزارهای حوزه سلامت در مقابل تهدید سایبری اشاره کرد. وی خاطرنشان کرد که هک سیستم، تنها تهدید سایبری نیست و احتمال وقوع خطرات رایج‌تری مانند عدم رعایت سطوح دسترسی کاربران و سهل‌انگاری در آن نیز وجود دارد.

ناصر شاکر حسینی - رئیس کمیسیون نرم افزار های سلامت الکترونیکی

آقای شاکر حسینی اهمیت ویژه محرمانگی داده‌ها در حوزه سلامت الکترونیک را عنوان کرد. از این رو نرم‌افزارهایی که با داده‌های بیماران سروکار دارند باید اطمینان‌پذیری کافی داشته باشند. همچنین به ویژه به خاطر تبادل داده‌ها از طریق ‌رابط‌های API، اهمیت مراقبت‌های امنیتی دوچندان می‌شود.

رئیس کمیسیون نرم‌افزارهای سلامت الکترونیکی در ادامه صحبت‌های خود به سخت‌گیری‌های تأییدیه‌ها و گواهی افتا پرداخت. او اظهار داشت که شاخص‌های ارزیابی امنیتی نرم‌افزارها، شاخص‌های استانداردی هستند که کم‌تر مورد دخل و تصرف بومی قرار می‌گیرند؛ اما در کشور ما تأییدیه‌ها بیشتر معطوف به صاحب محصول است تا خود محصول.

یعنی ارائه‌کننده محصول نرم‌افزاری باید ویژگی‌هایی داشته باشد که تعیین آن با نهادهای بالادستی امنیتی و اطلاعاتی کشور است. به عنوان مثال نباید در ترکیب هیئت مدیره افراد غیرایرانی حضور داشته باشند که این محدودیت کار را کمی پیچیده می‌کند. به خصوص که کارشناسان شرکت‌های نرم‌افزار مدام در حال تغییر هستند.

مشکلات دریافت نکردن تأییدیه‌ها

چندی پیش در جلسه مشترک نصر تهران و رییس سازمان فناوری اطلاعات ایران اشاره شد که مراکز درمانی با این بهانه که شرکت‌ها هنوز موفق به دریافت تأییدیه امنیتی نشده‌اند، فقط 50 درصد مطالبات را پرداخت کرده‌اند.

شاکرحسینی در اشاره به تهدیدات و مشکلاتی که عدم دریافت این تأییدیه‌ها برای شرکت‌های عرضه‌کننده محصولات و خدمات در حوزه سلامت الکترونیک ایجاد می‌کند تأکید کرد: «موضوع اصلی در مورد گواهی امنیت نرم‌افزار، ارزیابی محصول است. یعنی می‌توانید مرحله اول قبولی بنگاه را بگذرانید، اما دارای محصولاتی باشید که هنوز گواهی امنیت نرم‌افزار ندارند.

بنابر قوانین، دستگاه‌های دولتی مجاز به خرید محصول فاقد گواهی امنیتی نیستند. در مورد محصولاتی هم که قبلاً توسط دستگاه‌ها خریداری شده، عقد قراردادهای تأمین خدمات پشتیبانی و توسعه نرم‌افزار، مشروط به اخذ گواهینامه است. دقیقاً در همینجاست که اکثر شرکت‌های حوزه سلامت الکترونیک گرفتار می‌شوند.»

او ادامه داد: «ضمناً هدف اصلی اکثر محصولات حوزه سلامت الکترونیک که از سه دهه قبل وارد حوزه بهداشت و درمان کشور شده‌اند تأمین نیازهای کاربردی متنوع و دائماً در حال تغییر این حوزه و کسب رضایت روزمره کاربران بوده است. ملاحظات امنیتی هم در چارچوب سواد و علاقه تولیدکننده نرم افزار مورد توجه قرار داشته است.

بنابراین، نه فرصتی برای پرداختن به موضوعات مهمی مثل امنیت نرم افزار در چارچوب ضوابط و استانداردهای علمی و فنی بوده و نه الزامی قانونی برای پرداختن به این امر مهم. نتیجه این شده که در میان صدها محصول نرم‌افزاری که در حال حاضر مورد بهره‌برداری مراکز درمانی کشور قرار دارند، تعداد محصولات دارای گواهی، کمتر از انگشتان دو دست است».

شاکرحسینی در ادامه درباره این تهدیدات گفت در چنین شرایطی طرف‌های ذینفع با دو تهدید مواجه می‌شوند: اول تعویض و جابجایی نرم افزارهای فاقد گواهینامه و دوم از دست دادن منافع آنی. او توضیح داد که تعویض و جابجایی نرم افزارهای فاقد گواهینامه اقدامی خطیر و پرهزینه همراه با امکان ایجاد فاسد به‌نفع ایجاد انحصار برای معدود محصولات دارای گواهینامه است.

او در این باره گفت: «متاسفانه این فرایند دو سالی است که آغاز شده و کارفرمایان مراکز دولتی به‌ویژه بیمارستان‌ها بدون توجه به ظرفیت‌های اجرایی شرکت‌هایی معین، عملاً موجب تغییر تناسب در سهم بازار در این حوزه شده‌اند؛ اقدامی که نهایتاً خود آن‌ها را هم گرفتار خواهد کرد».

او با اشاره به از دست رفتن منافع آنی شرکت‌ها توضیح داد در مورد آن‌هایی که محصولاتشان در وضعیت ثبات و بهره‌برداری رضایتمندانه قرار دارد. اما تمدید قرار، پرداخت مطالبات و آزادشدن ضمانت‌نامه‌ها برایشان مشروط به اخذ گواهینامه امنیت نرم‌افزار شده است. بسیاری از کارفرمایان در عین حال که نیازهای خود را با نرم‌افزار همچنان تأمین می‌کنند، خود را موظف به تسویه حساب نمی‌دانند.

او افزود: «این وضعیت، کار را برای شرکت‌های کوچک، تازه‌کار و گاه آماتور دشوارتر می‌کند. متأسفانه تعداد شرکت‌هایی که از سر علاقه و تفنن و آماتوریسم به فعالیت در حوزه سلامت الکترونیک رو آورده‌اند و حتی توان تأمین هزینه‌های اخذ گواهینامه امنیتی را ندارند نیز قابل توجه است.»

راهکارهای رفع مشکلات

رئیس کمیسیون نرم‌افزارهای سلامت الکترونیکی جهت ارائه راهکاری برای رفع این مشکل گفت: «تأمین هزینه‌های اخذ گواهینامه امنیت نرم‌افزار اگرچه مشکل جدی بسیاری از شرکت‌ها است اما مشکل اصلی نیست. مشکل اصلی، فقدان دانش و تجربه در این خصوص است. حتی با فرض وجود بضاعت کافی برای تأمین هزینه‌های اخذ گواهینامه، بسیاری از محصولاتی که در حال حاضر مورد بهره‌برداری هستند برای گذراندن فرایند ارزیابی، عملاً باید مشمول فرایند بازتولید نرم افزار بشوند و این امر در وضعت اقتصادی فعلی برای بسیاری از همکاران ما دشوار و گاه نشدنی است، زیرا این همکاران هم باید خدمات مشتریان فعلی را تأمین کنند، هم به حداقل دریافت‌ها از این مشتریان بسنده کنند و هم هزینه‌های ارزیابی امنیتی را متحمل شوند.»

او در اشاره به نقش سازمان نصر در این باره عنوان کرد: «در مورد ارتقای سطح دانش همکاران، حداقل در سطحی که بتوانند فرایند را آغاز کنند، اقدامات درخور توجه و تقدیری از سوی سازمان نظام صنفی رایانه‌ای استان تهران و برخی آزمایشگاه‌های ارزیاب انجام شده و برنامه‌هایی نیز در دست اجرا است. آزمایشگاه‌های ارزیاب، شرایط و تسهیلات ویژه‌ای را برای اعضای سازمان نصر در نظر گرفته‌اند و مهمتر این‌که در سایه تعامل بسیار خوب بین کمیسیون سلامت الکترونیک سازمان نظام صنفی رایانه‌ای کشور و مرکز مدیریت آمار و فناوری اطلاعات وزارت بهداشت، درمان و آموزش پزشکی، موضوع استمهال برای اخذ گواهینامه امنیت نرم افزار تحقق یافته و مراکز تشخیصی و درمانی دولتی – دانشگاهی «سند قرارگیری در فرایند ارزیابی» صادره از آزمایشگاه‌های مورد تأیید «افتا» را برای تمدید قراردادهای پشتیبانی پذیرفته‌اند.»

شاکرحسینی در انتها به پیشنهاد پرداخت تسهیلات کم‌بهره به این شرکت‌ها اشاره و تأکید کرد: «در وضعیت کنونی و با توجه به اینکه بسیاری از محصولات نرم‌افزاری کشور مبتلا به «بی‌گواهینامگی» هستند، حمایت‌های مورد انتظار شرکت‌های نرم‌افزاری، صرفاً محدود به موارد مالی نیست. ظرفیت فعلی آزمایشگاه‌های ارزیاب امنیت نرم‌افزار متناسب با حجم تقاضای ارزیابی نیست و شرکت‌ها باید مدت طولانی در صف انتظار بمانند. عدم آمادگی فنی محصولات نرم‌افزاری نیز این فرایند طولانی‌تر می‌کند. در مورد هزینه‌های ارزیابی پرسش‌هایی جدی در بین همکاران وجود دارد. تفاوت این هزینه‌ها بین آزمایشگاه‌های مختلف گاه بسیار معنادار است. قراردادهای بین آزمایشگاه‌ها و شرکت‌ها عموما یک طرفه است و توافقنامه سطح خدمات (SLA) مستلزم تدقیق به نفع طرفین است.»

او ادامه داد: «مرحله پایانی صدور گواهینامه توسط سازمان افتا نیز روزبه‌روز طولانی‌تر می‌شود. در این میان،کارفرمایان دولتی نیز با رویکرد صرفاً بوروکراتیک نسبت به موضوع گواهینامه امنیت نرم افزار، شرایطی را به همکاران ما تحمیل می‌کنند که توجیه‌ناپذیر است. برای مثال یکی از دستگاه‌های دولتی در اول آذرماه 1400 اعلام کرد محصولاتی را که در اول خرداد ماه 1401 به استناد وبسایت افتا فاقد گواهینامه امنیت نرم افزار باشند، از کاربری حذف خواهد کرد. خوشبختانه توضیحات ما به این نهاد مبنی بر این‌که حتی در صورت اتمام فرایند ارزیابی در آزمایشگاه در تاریخ اول آذر 1400 و گزارش مراتب به سازمان افتا، صدور گواهینامه تا اول خرداد 1401، عملی نخواهد بود، قانع‌کننده بود و این مهلت تمدید شد. به نظر ما سازمان فناوری اطلاعات می‌تواند با سروسامان دادن به این وضع، به‌ویژه با رویکرد دفاع از منافع عامه، از جمله شرکت‌های بخش خصوصی، فضای امنی را برای حصول به اهداف نظام در مورد امنیت نرم افزار فراهم آورد.»

منبع سازمان نظام صنفی رایانه‌ای استان تهران
موضوع