افتا؛ مجوزی برای تمام فصول

آیا زمان آن فرا نرسیده که مجوز افتا به جای مانعی برای بخش خصوصی، بتواند در راستای اهداف اولیه خود فعالیت و در مسیر درست حرکت کند؟

نویسنده: تحریریه انتشار در 23 آذر 1401

عصر تراکنش ۶۴؛ مسعود حسینی، مدیر نوآوری عصر داده / تحول فرایندهای روزمره به سمت اتوماسیون بیشتر و بهره‌گیری مؤثرتر از خدمات غیرحضوری به جزء لاینفک زندگی مردم تبدیل شده است. با نگاهی به زیرساخت فرایندهای غیرحضوری مانند احراز هویت و…، به موازات این تحولات و کاربردی‌شدن بسیاری از این فرایندها در امور روزمره، تأمین امنیت محصولات نرم‌افزاری و ایمن‌سازی زیرساخت‌های فناوری اطلاعات در برابر تهدیدهای ناشی از نفوذ و هک به چالش مهمی برای زیرساخت‌های حیاتی، حساس و مهم سازمان‌ها و شرکت‌ها تبدیل شده است.

انتشار اخبار مربوط به حملات گاه‌وبیگاه هکرها به سامانه‌های سازمان‌ها و نهادها در کشور و درز اسناد و داده‌های مختلف مربوط به کاربران و سامانه‌ها، به‌روشنی خلاء امنیت در این بخش از صنعت فاوا را گوشزد می‌کند. این در حالی است که شما برای ارائه سرویس یا توسعه هر سامانه مرتبط با بخش دولتی و مخصوصاً بانک‌ها مجبور هستید مجوز یا تأییدیه‌ای به نام «گواهی ارزیابی امنیتی محصولات فاوا» یا به‌اختصار افتا را دریافت کنید.

در تعریف این مجوز در پنجره واحد آمده است: «با توسعه روزافزونی که در محصولات حوزه افتا وجود دارد و با عنایت به این نکته که در تمامی زیرساخت‌های حیاتی، حساس و مهم کشور، به‌صورت کاملاً گسترده از این محصولات استفاده می‌شود، امنیت محصولات مذکور در امنیت سازمان‌ها و به تبع آن کل کشور بسیار حائز اهمیت است. لذا وجود تهدیدات در فضای تولید و تبادل اطلاعات، ارزیابی امنیتی محصولات مورد استفاده در این حوزه را امری ضروری و اجتناب‌ناپذیر می‌سازد. بدیهی است که استفاده از محصولات امن منجر به ارتقای امنیت شبکه ملی خواهد شد و از خسارات احتمالی ناشی از به‌کارگیری محصولات ناامن پیشگیری خواهد شد. در این راستا تأیید صحت عملکرد محصولات توسط مراجع بالادستی که همان مرکز مدیریت راهبردی افتا و سازمان فناوری اطلاعات هستند، صورت می‌گیرد.»

همان‌طور که در متن فوق دیده می‌شود، خط‌مشی این مجوز بر مبنای بررسی زیرساخت‌ها و محصولات فاوا از منظر امنیتی است و به‌طور خلاصه فرایند بررسی با ارائه درخواست متقاضی به سازمان فناوری اطلاعات-اداره کل نظام ملی مدیریت امنیت اطلاعات (نما)- فرایند ارزیابی شروع شده و به یکی از آزمایشگاه‌های مورد تأیید سازمان فناوری ارجاع داده می‌شود و متقاضی باید مستندات مختلفی از سامانه یا زیرساختی را که می‌خواهد مورد بررسی قرار گیرد، در اختیار آزمایشگاه مورد اشاره قرار دهد.

در نهایت متقاضی با دریافت مجوز افتا سامانه‌ای امن و مورد تأیید را، البته روی کاغذ به مشتری تحویل خواهد داد. اما در واقعیت امنیت امری یکباره نبوده و اگر امنیت سامانه‌ها و زیرساخت‌ها را فقط روی کاغذ و در جهت رفع مسئولیت در نظر نگیریم، با نیم‌نگاهی به فرایندهای امنیتی در سراسر دنیا و شرکت‌های معروف ارائه‌دهنده‌ زیرساخت، می‌توان این نکته را مدنظر داشت که امنیت امری دائمی است و به مراقبت و پیگیری مستمر نیاز دارد.

امروزه بسیاری از قراردادهای بخش خصوصی تا چندین ماه منتظر دریافت این مجوز برای انعقاد قرارداد هستند. در شرایط فعلی این مجوز در کنار دیگر مجوزها، شرط لازم برای انعقاد قرارداد بخش خصوصی با سازمان‌های دولتی و بانکی است که البته این مجوز بیشتر به یک مُسکن کوتاه‌مدت تبدیل شده و صرفاً جهت خالی‌نبودن عریضه همراه با دیگر مدارک دریافت و پس از انعقاد قرارداد در کنار دیگر مدارک پرونده بایگانی می‌شود و شما تا زمان تمدید مجدد قرارداد به آن نیازی ندارید.

با توجه به اهمیت داده‌های موجود در سمت دستگاه‌های دولتی یا شبکه پرداخت و مالی کشور نمی‌توان ضرورت وجود سازگار امنیتی در برابر تهدیدها را نفی و انکار کرد، اما باید به این نکته توجه داشت مجوزی که فقط در زمان انعقاد قرارداد با بخش خصوصی مورد نیاز بوده و پس از آن به دست فراموشی سپرده می‌شود، چقدر توانایی ایفای نقش در حوزه‌ امنیت سایبری کشور را دارد.

به‌طور مثال اگر یک بار مسیر پرپیچ‌و‌تاب دریافت سرویس از بخش دولتی را تجربه کرده باشید، کمترین میزان از رعایت موارد امنیتی این مجوز را در بخش کارشناسی آن دستگاه مشاهده کرده‌اید. در صورتی که برای دریافت پایین‌ترین سطح دسترسی به سرویسی مشابه همان سرویس، علاوه بر قرارداد و سایر موارد لازم شما مجبور به دریافت مجوز افتا هستید.

شیوه‌ اَشِدّاءُ عَلَى‌الکُفّارِ بخش دولتی با بخش خصوصی و رُحَماءُ بَینَهُم با سازمان هم‌تراز خود در بخش واگذاری سرویس‌ها را می‌توان به‌دلیل قیمومیت بخش دولتی بر داده‌های کاربران دانست؛ به نحوی که در چند سطر بالاتر شاهد استانداردهای دوگانه در این حوزه هستیم. اگر کاربران را مالک داده‌های خود بر بستر سامانه‌ها و پلتفرم‌ها بدانیم، به‌روشنی می‌توان دید که سیاست‌گذاری در این حوزه تحت عنوان مجوز امنیتی، چه امضای طلایی‌ای خلق کرده است؛ در صورتی که تست‌های امنیتی در اکثر آزمایشگاه‌های امنیتی مشهور در دنیا روی سامانه‌های فعال یا در حال اجرا انجام شده و فرایندهای تست از جنس Black Box است و همچنین گواهی صادرشده برای تمامی سامانه مانند زیرساخت، نرم‌افزار بوده و کوچک‌ترین تغییراتی به باطل‌شدن گواهی منجر می‌شود.

این در حالی است که در زمان ارزیابی زیرساخت‌ها توسط آزمایشگاه‌های مورد تأیید سازمان فناوری اطلاعات، تمامی داده‌ها و مستندات به‌طور کامل دریافت شده و حتی شاهد رویه‌های غیرمعمولی مانند دسترسی به سورس‌ها و زیرساخت‌های محرمانه شرکت‌های خصوصی برای بررسی همه‌جانبه سامانه‌ها هستیم.

با عنایت به تعریف مجوز افتا که خود را سندی راهبردی در حوزه امنیت سایبری می‌داند و وظایفی را برای وزارتخانه‌‌ها و نهادهای ملی کشور در زمینه‌ ایمن‌سازی زیرساخت‌های فاوا و همچنین پیشگیری از خسارت‌های احتمالی ناشی از امنیت در نظر گرفته، هنوز شاهد آن هستیم که پس از نشت اطلاعات مهم و اساسی از سامانه‌های مهم دولتی و خصوصی هیچ‌گونه واکنش یا قبول مسئولیتی اتفاق نمی‌افتد. آیا به‌راستی با توجه به اتفاقات اخیر زمان آن فرا نرسیده که یک بازنگری کلی در این مجوز صورت پذیرد و به جای مانعی برای بخش خصوصی، در جهت توسعه دسترسی همه‌جانبه کاربران به سرویس‌های کاربردی بتواند در راستای اهداف اولیه خود فعالیت و در مسیر درست حرکت کند؟