دکتر هادوی در چهارمین نشست هماندیشی اعضای حقوقی انجمن رمز به دغدغههای حقوقی تولیدکنندگان محصولات امنیتی اشاره کرد و گفت: حقوق توسعهدهندگان دغدغهای است که باید سازوکاری برای آن دیده شود.
دکتر هادوی در چهارمین نشست هماندیشی اعضای حقوقی انجمن رمز به دغدغههای حقوقی تولیدکنندگان محصولات امنیتی اشاره کرد و گفت: حقوق توسعهدهندگان دغدغهای است که باید سازوکاری برای آن دیده شود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، چهارمین نشست هماندیشی اعضای حقوقی انجمن رمز ایران در سال ۹۶ با موضوع «ارزیابی امنیتی، رمز ایمنی و پایداری کسبوکار» عصر روز چهارشنبه ۲۵ بهمنماه در دانشگاه صنعتی شریف برگزار شد.
دکتر محمدعلی هادوی، مدیر آزمایشگاه دانشگاه صنعتی مالک اشتر، در این نشست به بررسی چالشهای علمی و عملیاتی ارزیابی امنیتی پرداخت و گفت: در فرایند ارزیابی روی سه ذینفع داریم: ارزیاب، تولید کننده، بهرهبردار یا مشتری. نقد علمی که در زمینه تضمین و اندازهگیری امنیت وجود دارد این است که آزمایشگاههای ما تاکنون روشهای دقیقی برای بیان سطح تضمین امنیت ندارند. این موضوع دو وجه دارد که یکی عمق ارزیابی و کیفیت آن است که هنوز درک دقیقی از این سطوح تضمین ارزیابی وجود ندارد. برای سطح خیلی محرمانه باید ریسک محصول کمتر شود و تضمین برآورده شدن سطح ریسک مشخص بیشتر باشد. سطح امنیت محصول، موضوع دیگری است که در نتیجه ارزیابی کمتر به آن توجه میشود و باید رویکرد آن را با مدلسازی رفتار مهاجم مشخص کنیم، اما هرچه به سمت مدلسازی میرویم از نیازهای اصلی فاصله میگیریم.
وی ادامه داد: محیط بهرهبرداری، موضوع دیگری است که وجود دارد. برای ارزیابی واقعی باید نقش بهرهبردار را پررنگ کنیم. یک محصول امن، محصولی است با سطح امنیت قابل قبول و مخاطره ریسک شامل پارامترهایی از دید بهرهبردار است.
دکتر هادوی به دغدغههای حقوقی تولیدکنندگان محصولات امنیتی اشاره کرد و گفت: موضوع دیگر حقوق توسعهدهندگان است که باید سازوکاری برای آن دیده شود. مثل ارزیابی در محل توسعهدهنده، سمپلینگ در مورد کدها برای حفظ مالکیت معنوی کد و حفظ اسرار تجاری و هزینههایی که توسعهدهندگان با آن مواجهاند. همچنین قراردادهای ارزیابی و هزینههای امنسازی معضلاتی هستند که نیاز به بررسی و ارائه راهکار دارند.
وی افزود: سه کلمه بومی، متنباز و امنیت بسیار رایج هستند و هر وقت اسم متنباز میآید نگرانی امنیتی به وجود میآید، اما این درست نیست اگر ما سعی کنیم حتی در صورت استفاده از آن به سراغ متنبازی برویم که مرده نباشد و دائم پچها و بهروزرسانیها روی آن اعمال میشود و این موضوع نه فقط هیچ ایرادی ندارد، بلکه مفید هم هست.
دکتر هادوی گفت: سازوکار موجود امروز ناظر بر ارزیابی محصول است و در تضاد با سمتوسوی مهندسی و طراحی از سنگینی به سمت چابکی رفتهایم. بین توسعه، ایجاد و استقرار محصول درهمتنیدگی به وجود آمدهاست و نرمافزارها دائم در حال تغییر هستند و ارزیابی یک محصول ما را به هدف واقعی نمیرساند و در محصولات پرتیراژ تضمینی بر رعایت همه آن اصول نیست و باید به دنبال راهحلی باشیم که این رفتار را در جریان مهندسی نرمافزار بپذیرد که بر بلوغ یک سازمان تاکید دارد.