جنگ‌های شبکه‎ای بر سر یک مصوبه
مصوبه رگولاتوری برای ارزیابی و کنترل کیفی تجهیزات شبکه
کد مطلب: 12808
تاریخ انتشار : شنبه ۳ تير ۱۳۹۶ ساعت ۱۶:۲۳
 
مصوبه سازمان تنظیم مقررات رادیویی مبنی بر اینکه تمامی تجهیزات شبکه تولیدی و وارداتی باید در آزمایشگاه‌های مورد تایید رگولاتوری ارزیابی و کنترل کیفیت شوند از نگاه عده‌ای عامل ارتقای امنیت است و از دیگر سو دغدغه‌های یک صنف را به همراه دارد.
جنگ‌های شبکه‎ای بر سر یک مصوبه
 
 
Share/Save/Bookmark
مصوبه سازمان تنظیم مقررات رادیویی مبنی بر اینکه تمامی تجهیزات شبکه تولیدی و وارداتی باید در آزمایشگاه‌های مورد تایید رگولاتوری ارزیابی و کنترل کیفیت شوند از نگاه عده‌ای عامل ارتقای امنیت است و از دیگر سو دغدغه‌های یک صنف را به همراه دارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کنترل کیفیت کالاهای تولیدی و وارداتی و اخذ تاییدیه نمونه از آزمایشگاه‎های مرجع، سال‎هاست که به رویه‌ای مهم در فرایند واردات کالاهای فاوا بدل شده‌است، اما نظر فعالان بخش خصوصی درباره این فرایند در دو طیف کاملا متضاد قابل دسته‌بندی است؛ گروهی که آن را مهم و ضروری می‌دانند و گروهی دیگر از فعالان اقتصادی که از هزینه و فرایند طولانی آن گله‎مند هستند.

این دو نظر البته از سطح تئوری فراتر رفته و به یکی از چالش‎های مهم صنفی تبدیل شده‌است. از سوی دیگر، بنابر مصوبه سازمان تنظیم مقررات رادیویی و به درخواست وزیر ارتباطات، تمامی تجهیزات شبکه تولیدی و وارداتی باید در آزمایشگاه‌های مورد تایید رگولاتوری ارزیابی و کنترل کیفیت شوند؛ اما با توجه به طولانی بودن فرایند آزمایش‎ها به دلیل حساسیت امنیت شبکه‎ها و دربرداشتن هزینه مضاعف برای شرکت‎های حوزه شبکه، این امر با واکنش و اعتراض کمیسیون شبکه سازمان نظام صنفی رایانه‌ای تهران همراه شده‌است. در این گزارش به بررسی نظر موافقان و مخالفان این تصمیم می‌پردازیم.

اعتراض به سکوت رگولاتوری
اعضای کمیسیون شبکه نصر تهران گله‎مند هستند که چرا سازمان تنظیم مقررات و ارتباطات در برابر مشکلات شرکت‎های حوزه شبکه سکوت کرده‌است. به گفته آنها، در بسیاری از موارد قوانین به صورت سلیقه‌ای اعمال می‌شود؛ براساس الزام بند (ل) از ماده سوم قانون وظايف و اختيارات وزارت ارتباطات و فناورى اطلاعات، وظيفه اعمال استانداردها و ضوابط و نظام‌هاى كنترل كيفى و تاييد نمونه تجهيزات در ارائه خدمات و توسعه و بهره‌بردارى از شبكه‌هاى مخابراتى، پستى و فناورى اطلاعات در كشور به سازمان تنظيم مقررات سپرده شده، اما اجراى سليقه‌اى اين ماده قانونى باعث شده که روز‌به‌روز بر چالش‎های واردات قانونی افزوده‌شود.
حمید بابادی‎نیا، قائم‌مقام کمیسیون شبکه سازمان نصر تهران در این‎باره گفت: اعضای کمیسیون شبکه، بارها اعتراض خود را نسبت به چرخه معیوب و زمان بر کنترل کیفیت و تایید نمونه آزمایشگاه مرکز تحقیقات و صنایع انفورماتیک اعلام کرده‎اند؛ اما متاسفانه رگولاتوری پاسخ روشنی در این باره اعلام نکرده‌است.

اعتراض به مرکز تحقیقات صنایع انفورماتیک
بابادی‌نیا با بیان اینکه شرکت‎های حوزه شبکه با مشکلات پیچیده‎ای درگیر هستند، گفت: شرکت‎های خصوصی این حوزه با وجود چالش‎های فراوان، تجهیزات رایانه‎ای را از مبادی قانونی به منظور انجام پروژه‎های زیرساختی و حیاتی کشور وارد می‎کنند، اما به دلیل برداشت نادرست از قانون و ضوابط نظام‎هاى كنترل كيفى و تاييد نمونه، مجبورند ماه‎ها منتظر تایید نمونه کالای خود در مرکز تحقیقات صنایع انفورماتیک باشند.

او با بیان اینکه این آزمایشگاه فاقد تجهیزات و برنامه‎ریزی‎های زمانی لازم برای تایید نمونه و کنترل کیفیت است، گفت: نخستین مشکل اینجاست که کالای شبکه که تحت عنوان سوییچ، شبکه و فایروال از مرحله ترخیص کالا به آزمایشگاه استاندارد می رسد، براساس دستور صریح قانون الزامی به استاندارد ندارد. البته در حوزه امنیت تنها یک آزمایشگاه در ایران وجود دارد که این موضوع به خودی خود مشکل بزرگی به شمار می‌آید و به نوعی مفهوم انحصار را می‌رساند.

بابادی‌نیا توضیح داد: در این آزمایشگاه که اتفاقا از امکانات کافی هم برخوردار نیست، باید تجهیزاتی را که پیشرفته‌ترین شرکت‌های جهان ساخته‌اند به مرحله آزمایش بگذاریم که به دلیل نبود امکانات، کاری عبث و بیهوده به نظر می‌رسد.

واکنش مرکز تحقیقات صنایع انفورماتیک
در همین حال مدیرعامل مرکز تحقیقات صنایع انفورماتیک در واکنش به این اعتراض‌ها گفت: این بحث کاملا امنیتی است. چگونه می‎توانیم امنیت کشور را بدون قید و شرط در اختیار بیگانه‎ها بگذاریم؟ تعجب می‎کنم؛ این چه بحثی است که نظام صنفی رایانه‎ای راه انداخته‌است.

ویدا سینا افزود: در هیچ کشوری کالای امنیتی بدون ردیابی و شناسه وارد نمی‎شود. سال‎هاست که در مخالفت با سخت‌گیری استاندارد، ما را از ورود کالای قاچاق می‌ترسانند. در‌حالی‌که قاچاق برای فرار از مالیات و پول‌شویی صورت می‌گیرد و ربطی به استاندارد و کنترل کیفیت کالا ندارد.

وی گفت: ارزیابی محصولات شبکه‎ای تعریف نشده بود و جای قدردانی دارد که سازمان تنظیم مقررات با درک به موقع موضوع و ارائه اعتبارنامه رسمی به مرکز تحقیقات صنایع انفورماتیک به عنوان آزمایشگاه مورد تایید افتا، جلوی ورود کالاهای شبکه‌ای بی‎کیفیت و نا امن را گرفت.

کنترل کیفیت محصولات امنیتی با استاندارد بین‎المللی
ویدا سینا همچنین در واکنش به ادعای کمبود تجهیزات آزمایشگاه مرکز تحقیقات صنایع انفورماتیک برای تایید نمونه و کنترل کیفیت، گفت: نیروهای ماهر و مسلط به امنیت و استانداردهای آن در مرکز تحقیقات مشغول به کار هستند و ضمن تجهیز بودن آزمایشگاه، رویه و روال کار کاملا مدون و بین‌المللی است.

وی افزود: این سروصداها همواره در مقابله با کنترل و ارزیابی کیفیت کالا وجود داشته و هدف دورزدن استانداردهاست.

مهری یحیایی، مدیر آزمایشگاه امنیت مرکز تحقیقات صنایع انفورماتیک نیز درخصوص نحوه کار آزمایشگاه توضیحاتی را ارائه کرد و گفت: استاندارد مرجع در آزمایشگاه مرکز تحقیقات صنایع انفورماتیک ISO/IEC/ISIRI ۱۵۴۰۸ است که ورژن فارسی آن وجود دارد.

وی افزود: این استاندارد، مجموعه‌ای از معیارها و روال‎ها برای ارزیابی محصولات فناوری اطلاعات تعریف کرده و در دنیا به عنوان کامل‎ترین استاندارد حوزه ارزیابی محصولات امنیتی به کار می‌رود.

یحیایی با بیان اینکه از این استاندارد به‌عنوان ابزاری برای تعیین سطوح امنیتی و ارائه گواهی‌نامه به محصولات استفاده می‌شود، گفت: از سال ۱۹۹۵ تاکنون کشورهای زیادی عضو این استاندارد شده‌اند که همگی دو هدف اصلی را دنبال می‌کنند. هدف نخست، اطمینان از اینکه محصولات IT با استاندارد یکپارچه و سطح بالا تهیه و تولید می شوند و هدف دوم، ارتقای سطح امنیتی محصولات و متقاعب آن بالا بردن ضریب امنیت ملی در هر کشوری است.

ارزیابی محصولات امنیتی در سه حوزه
مدیر آزمایشگاه امنیت مرکز تحقیقات صنایع انفورماتیک درباره ارزیابی محصولات امنیتی گفت: این ارزیابی در سه حوزه صورت می‌گیرد؛ نخست نیازمندی‌های عملکردی امنیتی محصولات ارزیابی می‌شود، سپس نیازمندی‌های تضمین امنیت و در آخر آسیب‌پذیری محصولات بررسی و درجه ریسک آنها مشخص می‌شود.

یحیایی افزود: برای هر حوزه معمولا ۲۰۰ شاخص برای ارزیابی وجود دارد که با این حجم از شاخص ارزیابی زمان کم می‎آوریم.

فرایند زمان بر ارزیابی محصولات امنیتی
اما مدیر آزمایشگاه امنیت مرکز تحقیقات صنایع انفورماتیک در حالی از زمان کوتاه ارزیابی محصولات امنیتی گله‎مند است که بسیاری از فعالان حوزه شبکه به فرایند بسیار زمان بر این آزمایش‌ها اعتراض دارند.

بابادی‌نیا، قائم‌مقام کمیسیون شبکه سازمان نصر تهران در این خصوص گفت: مشکل فعالان حوزه شبکه، فرایند بسیار زمان‌بر این آزمایش‌هاست که ۴۵ روز کاری یا بیشتر به طول می‌انجامد و تازه پس از گذر این مدت زمان هم تجهیزات همچنان آزمایش نشده و چند هفته دیگر باید منتظر ماند.

به گفته بابادی‌نیا در کنار این مشکلات، پاسخگو نبودن برخی آزمایشگاه‌ها و اجبار به تکرار آزمایش‌های هزینه‎بر و زمان‌بر تا کسب مجوز مشروط ترخیص، فرایندی فرسایشی است که باعث ضرر و زیان واردکننده و افزایش قاچاق می‌شود.

وی ادامه داد: این در حالی است که براساس قانون گمرکات در صورتی که کالایی را وارد می‌کنید، می‌توانید تا ۶ ماه بعد بدون پرداخت هزینه در یک فرصت زمان کوتاه دستگاه را ترخیص کنید، اما به دلیل ترخیص مشروط تجهیزات امنیت و شبکه، واردکننده این تجهیزات ناچار به طی کردن این روندهای زمان‌بر و هزینه‌بر است.

در مقابل، یحیایی معتقد است در مقایسه با آزمایشگاه‌های مطرح دنیا که گاهی بین ۹۰ روز تا ۶ ماه محصول برای کنترل کیفیت در آزمایشگاه می‌ماند، زمان ۴۰ تا ۵۰ روزه ارزیابی محصولات امنیتی در ایران بسیار کوتاه است و معمولا اگر فرایند طولانی شود، مقصر خود واردکننده است.

وی افزود: بسیاری از مشکلاتی که باعث می‎شود محصول در آزمایشگاه بماند، مربوط به از کار افتادن مجوز‎ها و تکمیل فرایند آن است، مگر محصول در شرایط خاصی باشد.

گله از تحمیل هزینه سنگین آزمایش

در عین حال، مشکل دیگر فعالان این حوزه تحمیل هزینه سنگین آزمایش است که بابادی‎نیا در این باره گفت: برای این آزمایش‌های اجباری باید تعرفه‌های سنگینی را پرداخت کنیم و از آنجایی که این کار تحت عنوان خدمات آزمایش انجام می‌گیرد، هیچ گونه كسورات بیمه‌ای از جانب آن آزمايشگاه‌ها پذيرفته نبوده و اين هزينه نيز به ساير هزينه‌ها اضافه مي‌شود.

بابادی‌نیا با بیان اینکه نهادهای ناظر در برابر این مشکلات سکوت کرده‌اند، گفت: نهادهای امنیتی و ناظر در پاسخ اعتراض به ما می‌گویند که آنان این الزامات فرسایشی را تعیین نکرده‌اند. از همه مهم‌تر اینکه در آزمایشگاه‌های ایران فقط کالاها از بعد عملیاتی تجهیزات آزمایش می‌شوند و از نظر امنیتی مورد آزمايش قرار نمی‌گيرند؛ چرا که اصلا تجهیزات تست و آزمایش امنيتي را ندارند.

این در حالی است که ویدا سینا، هزینه آزمایش را بسیار ناچیز برشمرد و گفت: آنچه از واردکنندگان بابت کنترل کیفیت کالا گرفته می‌شود، تعرفه‌های مصوب و مشخصی است و ما دخل و تصرفی به آن نداریم.

دلایل ضرورت ارزیابی محصولات شبکه
یحیایی درباره ضرورت ارزیابی محصولات شبکه‌ای گفت: معمولا نقاط آسیب‌پذیری زیادی در زمینه رمزگذاری وجود دارد که مخاطره‌آمیز بوده و ما را وادار کرده‌است تا از روی استانداردها مستنداتی را تهیه کنیم تحت عنوان مستندات امن‌سازی و آن را در اختیار واردکنندگان بگذاریم تا استفاده کنند و کمتر به مشکل بربخورند.

وی افزود: اغلب اشکالاتی در بحث پروتکل‌های رمزگذاری وجود دارد یا فیلترکردن بسته‌ها با گزینه های IP خاص است و بسیاری از موارد دیگر که به صورت کامل به آن خواهیم پرداخت.
مرجع : فناوران