بتازگی سازمان فناوری اطلاعات آزمایشگاه ارزیابی عملکردی و کیفی محصولات امنیت فضای مجازی را راهاندازی کرد. درباره راهاندازی این آزمایشگاه با «ابوالقاسم صادقی» معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات گفتوگو کرده و نظر کارشناسان را نیز جویا شدیم.
ارتقای کیفی
ابوالقاسم صادقی معاون فضای امنیت تولید و تبادل اطلاعات سازمان فناوری اطلاعات معتقد است؛ آزمایشگاه جدید، آزمایشگاهی است که با همکاری سازمان فناوری اطلاعات و پژوهشگاه ارتباطات و فناوری اطلاعات راهاندازی شده تا محصولات بومی امنیت را از نظر کیفیت و عملکرد ارزیابی و آزمایش کند.
صادقی با بیان اینکه این آزمایشگاه فعلاً محصولات SIEM (مدیریت وقایع و امنیت اطلاعات) را تست میکند و قرار است چندماه دیگر محصولات UTM (یکپارچه مدیریت تهدیدات) را هم تست کند، افزود: در این دو محصول چندین شرکت داخلی فعال هستند بنابراین داشتن ارزیابی کیفی برای شرکتها و بازار بومی مهم است و باعث میشود محصولات در بازار به ثبات رسیده و به فروش برسند. وی هدف از راهاندازی این آزمایشگاه را کمک به صنعت محصولات بومی امنیت و سازمانها در استفاده از محصولات بومی عنوان کرد و گفت: نه تنها این صنعت نیاز به پشتیبانی دارد، بلکه سازمانها هم نمیتوانند ایرادات فنی را دقیق به تولیدکننده انتقال دهند پس تولید کننده هم نمیداند ضعف محصولش کجاست از اینرو باید مشکلات هر دوبخش رفع شود که این آزمایشگاه به این دو موضوع کمک میکند.
صادقی افزود: سازمانها معمولاً به محصولات بومی مانند فایروالها و آنتی ویروسها از نظر کیفی و عملکرد ایراد میگیرند و معتقدند که کیفیت لازم را ندارد و خرید محصولات خارجی را به داخلی ترجیح میدادند. از سوی دیگر برای خرید محصولات امنیتی خارجی هم محدودیت گذاشته شده بنابراین شرکتها هم باید کیفیت محصولات داخلی خود را ارتقا دهند تا بازار را جذب کنند. وقتی محصولات بومی امنیت دارای کیفیت بالایی نباشند، نه تنها در داخل کشور مورد استقبال قرار نمیگیرد، بلکه امکان صادرات به کشورهای منطقه را هم نخواهند داشت.
صادقی درباره تفاوت این آزمایشگاه با 6 آزمایشگاه موجود در کشور نیز گفت: 6 آزمایشگاه موجود فقط از نظر امنیت و آسیبپذیری محصولات بومی را تست کرده و گواهی صادر میکنند که دریافت این دسته از گواهی نامهها برای محصولات اجباری است ولی همانطور که گفته شد آزمایشگاه جدید تنها از نظر کیفی و عملکردی محصولات امنیت بومی را تست کرده و گواهی صادر میکند.
معاون رئیس سازمان فناوری اطلاعات معتقد است اگر هر آزمایشگاه خصوصی که دارای زیرساختها و تجهیزات فنی و به همراه نیروی انسانی متخصص در سطح فنی بالایی باشد، میتواند مجوزهای لازم را برای ارزیابی کیفی نیز دریافت کند. صادقی با اشاره به اینکه دریافت گواهی ارزیابی کیفی اجباری نیست، گفت: اگر محصولی گواهی تست کیفی را نداشته باشد مانعی برای فروش محصولاتش در بازار ندارد ولی محصولاتی که دارای گواهی کیفی باشند دارای اعتماد و صلاحیت بیشتری نسبت به بقیه محصولاتی که فقط دارای گواهیهای امنیت و… هستند، می باشند چون آنها شهامت این را داشتهاند که محصول خود را در معرض تستهای بسیار سخت قرار دهند و تأییدیه کیفی هم بگیرند.
وی معتقد است در آیندهای نزدیک داشتن گواهی کیفی خود نشانگر بهتر بودن و خود تبلیغی برای محصول بومی خواهد بود و خود شرکتها سعی خواهند کرد برای جلب نظر مشتری گواهی کیفی را هم داشته باشند تا بتوانند محصول خود را به سازمانها بفروشند. چون قطعاً در آینده نزدیک، سازمان ها نیز یکی از شرایط خرید محصولات بومی امنیت را داشتن گواهی ارزیابی کیفی و عملکردی قرار خواهند داد. به نظرم حتی کارشناسان هم به این نتیجه خواهند رسید که داشتن گواهی ارزیابی کیفی مهم خواهد بود.
بهگفته این مسئول، تست کیفی در آزمایشگاه داخلی 30 تا 50 میلیون تومان هزینه دارد و نسبت به هزینه یک میلیاردی در خارج از کشور مقرون به صرفهتر است بنابراین شرکتها میتوانند در داخل، ایرادهای محصول خود را بسنجند و برای دریافت گواهی بینالمللی اقدام کنند. وی از تولید کنندگان هم خواست برای ارزیابی کیفی محصول خود به سایت sec.ito.gov.ir مراجعه کرده و درخواست بدهند تا با بستن قراردادی محصولاتشان در آزمایشگاه ارزیابی کیفی شده و گواهی دریافت کنند.
صادقی در پاسخ به این سؤال که آیا محصولات بومی امنیت، در حد صادرات داریم گفت: برخی از محصولات داخلی ما خوب هستند و به منطقه صادر میشوند ولی اگر محصولات داخلی تستهای کیفی را هم بگذرانند و گواهی ارزیابی کیفی بگیرند بهتر است چون داشتن گواهی ارزیابی کیفی برای صادرات جذابیت خواهند داشت بههرحال بسیاری از کشورها بهدنبال محصول باکیفیت و ارزان قیمت هستند و لزومی نمیبینند که حتماً محصولات برند و گران را تهیه کنند. معاون امنیت فضای تولید و تبادل اطلاعات درباره اینکه برخی معتقدند که محصولات بومی امنیت ما کپی کاری است، گفت: بله برخی محصولات کپی کاری است. ما مخالف کپی کاری نیستیم بهشرطی که روی کد زدن و پرفورمنس آن خوب کار شده باشد و به مشتری بگویند که این محصول اپن سورس محصول خارجی است و پول این بخش را از مصرف کننده دریافت نکنند. در این صورت مشتری ترجیح میدهد محصول داخلی را که ارزان تر از خارجی است، خریداری کند.
صادقی به تولیدکنندگان محصولات بومی هم توصیه کرد که در کنار سرمایهگذاری خوب، از افراد دارای دانش فنی بالا در حوزه امنیت استفاده کنند و برنامه تجاری خوبی داشته باشند تا بعد از سه سال به جایگاه خوبی برسند و بهتر است برای تحقیقات هم هزینه کنند تا بقایشان در بازار حفظ شود. از سوی دیگر از سازمانها هم خواست به تولیدات داخلی اعتماد کنند.
رفع آسان مشکلات محصولات امنیتی
کاظم فلاحی کارشناس امنیت سایبری اعتقاد دارد راهاندازی آزمایشگاه ارزیابی کیفی بیشتر برای نفوذناپذیر شدن سامانههای بومی در برابر حملات هکرهاست بهطوری که مشکلات امنیتی سامانههای بومی را بررسی کرده و با رفع مشکلات آن، پایدار میکند بنابراین قبل از اینکه محصول وارد بازار شود تست ارزیابی کیفی شود، مفید خواهد بود.
فلاحی گفت: ارزیابی محصولات در این آزمایشگاه باعث میشود تا کیفیت کار ارتقا یابد چون مشکلات محصول امنیتی از منظر کیفی به صاحب محصول ارائه میشود و تیم مربوطه میتواند مشکلات را رفع کند. وی درباره الزام آور نکردن شرکتها برای دریافت گواهی ارزیابی کیفی هم گفت: هرچند اجبار کردن تولیدکنندگان محصولات بومی امنیت بومی برای دریافت گواهیهای امنیتی هم خیلی کارساز نبوده و هم اکنون با هک شدن هیچ کس پاسخگو نیست به نظر میرسد با الزام آور نبودن، شرکتها بهدنبال دریافت گواهی ارزیابی کیفی نروند. این کارشناس امنیت معتقد است وجود آزمایشگاههای کیفی با اینکه کیفیت محصول را افزایش میدهد اما به نظر نمیرسد در صادرات محصولات امنیتی بومی تأثیر داشته باشد.
وی گفت: محصولات امنیتی ما در حد و اندازه صادرات نیستند، چرا که تا 90 درصد محصولات امنیت بومی ما کپیبرداری ضعیف از محصولات خارجی است و تنها با فارسینویسی نام آن را بومی گذاشتهاند بنابراین وقتی اکثراً محصولات امنیتی بومی این سبک و سیاق را در پیش گرفتهاند بنابراین صادرات معنایی ندارد.
پارسا یوسفی دیگر کارشناس امنیت سایبری هم اعتقاد دارد که ارائه گواهی ارزیابی کیفیت برای محصولات بومی امنیت خوب است به شرطی که دیگر ارگانهای امنیت سایبری مانند افتا، پدافند غیرعامل و… هم آن تأییدیه را قبول داشته باشند و مستندات تستها را همه مراکز امنیت سایبری تأیید کنند.
یوسفی درباره بحث الزام آورنبودن دریافت این گواهی ارزیابی کیفی نیز گفت: درست است که الزام آور نیست ولی وقتی سازمانها و ارگانها بخواهند مناقصه برگزار کنند قطعاً داشتن گواهی ارزیابی را یکی از شرایط شرکت در مناقصه قرار خواهند داد و بنابراین اگر شرکتهای دارای محصولات بومی امنیت بخواهند در این مناقصهها شرکت کنند مجبور هستند که آن را هم دریافت کنند. وی درباره بحث صادرات محصولات بومی امنیت نیز معتقد است که تعداد بسیار اندکی محصول بومی امنیت برای صادرات وجود دارد. یوسفی گفت: محصولات داخلی ما از نظر بلوغ فنی و تکنیکال نسبت به محصولات خارجی فاصله دارد ولی اگر محصول داخلی به بلوغ فنی برسد میتواند بازار همسایه و منطقه را جذب کند.