حوزه امنیت باید استاندارد سازی شود

حمله بدافزارهاي فليم، وايپر و مدي چند ماهه نخست سال جاري را در تقويم حملات سايبري كشور ماندگار و بخش امنيتي كشور را نيز دستخوش فراز و نشيب‌هاي بسياري كرد آنچنانكه مركز ماهر نيز مجبور به اظهار نظر و واكنش نسبت به اين حملات شد.

بهناز آريا رئيس كميسيون افتا با بيان اينكه حملات سايبري اخير هشداري به مسئولان بود تا امنيت را جدي بگيرند، گفت:براي دفع خطرات حمله‌هاي سايبري كميسيون افتا با مركز ماهر و پليس فتا ارتباط خوبي داشت ضمن اينكه شركت‌هاي خصوصي نيز از اين رهگذر فرصتي يافتند تا با مركز ماهر همكاري كنند و به تبادل اطلاعات بپردازند و همچنين فضا براي فعاليتشان مساعدتر از گذشته شده است.

به جاي ممنوعيت واردات،‌ ساماندهي مي‌كنيم

از سوي ديگر رضا تقي‌پور وزير فناوري اطلاعات و ارتباطات كشور اسفند سال گذشته با اظهار نظر خود مبني بر ممنوعيت ورود نرم‌افزارهاي امنيتي خارجي به كشور بازار شركت‌هاي ارائه كننده محصولات و خدمات ضد بدافزارهاي خارجي را دچار شوك كرد.

كميسيون افتاي سازمان نظام صنفي رايانه‌اي نيز به همراه سازمان فناوري اطلاعات بر آن شد كارگروهي براي ساماندهي شركت‌هاي عرضه كننده محصولات و خدمات امنيتي خارجي و تعيين ملاك‌هاي ارزيابي راه‌اندازي كند.

آريا با بيان اينكه دوره اول فراخوان براي جذب شركت‌هاي فعال به اتمام رسيده است،‌گفت: در مرحله بعد از شركت‌ها درخواست مي‌كنيم مستنداتشان را ارائه كنند تا در نهايت براساس معيارهايي كه به سازمان فناوري اطلاعات پيشنهاد خواهد شد و آنها تاييد مي‌كنند شركت‌ها و برندها را رتبه‌بندي مي‌كنيم.

او با اشاره به اينكه سازمان فناوري اطلاعات وظيفه احراز صلاحيت شركت‌ها را به عهده دارد، افزود:معيارهايي كه كميسيون افتا پيشنهاد كرده در خصوص شركت‌ها پيرامون توانمندي و دانش تخصصي و مالي به همراه خدمات پشتيباني كه عرضه مي‌كنند متمركز است.

رئيس كميسيون افتا در خصوص معيارهاي رتبه‌بندي ضدبدافزارها گفت:به روزرساني، نحوه پشتيبان‌گيري نرم‌افزار و توجه به اينكه چه Logهايي را نگهداري مي‌كند و ... از سوي كميسيون پيشنهاد داده شد.

اين در شرايطي است كه سازمان‌ها و نهادهاي دولتي نيز بسته به ميزان حساسيت‌هايشان طبقه‌بندي مي‌شوند و دستگاه‌هايي كه از اهميت بالاتري برخوردار هستند ملزم به خريد نرم‌افزارهاي امنيتي كه در رتبه‌بندي‌ها حايز همه شرايط حفاظتي باشند خواهند بود.

آزمايشگاه‌هاي CERT

آريا با بيان اينكه بحث آزمايشگاه‌هاي امنيت را تحت كارگروهي در كميسيون افتا پيگيري مي‌كنيم،‌ افزود:در حال حاضر با توجه به اينكه تنها آزمايشگاهي كه توان لازم براي انجام آزمايش‌هاي مختلف را دارد، آزمايشگاه مركز تحقيقات صنايع انفورماتيك است اما ما نيازمند آزمايشگاه‌هاي بيشتر با ملاك‌هاي دقيق‌تر هستيم.

او در ادامه افزود:هرچند اكنون قصد راه‌اندازي آزمايشگاه جديد را نداريم و بيشتر به دنبال بررسي و بهبود وضعيت‌ها هستيم. همينطور شركت‌هايي كه تجهيزات را براي آزمايش به آزمايشگاه مي‌فرستند نيازمند آموزش هستند.

استانداردسازي قراردادها

آريا با بيان اينكه قراردادهاي حوزه امنيت بايد استاندارد سازي شود گفت:قصد داريم بندهايي را در قراردادهاي شركت‌ها چه با پيمانكار چه با كارمندان تدوين كنيم تا امنيت اطلاعات و فرآيندهاي شركت تامين شود. مانند قرارداد عدم افشا، حفظ محرمانگي و ...

به گفته وي در اين مرحله قيد اين بندها در قراردادها اختياري است و براي الهام گرفتن شركت‌ها و پيمانكاران در اختيار آنها قرار مي‌گيرد اما در مرحله بعدي بندهايي را جزو الزامات قراردادها در نظر گرفته مي‌شود.