تحول فرایندهای روزمره به سمت اتوماسیون بیشتر و بهره‌گیری موثرتر از بستر وب به عادت این روزهای زندگی در سراسر جهان تبدیل شده است. به موازات این تحولات و سهولت و کاربردی‌شدن بسیاری از امور روزمره، تأمین امنیت محصولات نرم‌افزاری و ایمن‌سازی آنها در برابر تهدیدهای ناشی از نفوذ و هک به چالش مهمی برای زیرسـاخت‌هـای حیـاتی، حساس و مهم سازمان‌ها در کشورهای مختلف تبدیل شده است. انتشار خبرهای مربوط به حملات گاه و بیگاه هکرها به سامانه‌های سازمان‌ها و نهادها در کشورهای مختلف و درز اسناد و داده‌های مختلف مربوط به کاربران و دولت‌ها، اکنون تأمین امنیت نرم‌افزارها و پرتال‌های سازمانی سازمان‌های مهم و حساس را به چالشی مهم برای مدیران نهادهای مختلف تبدیل کرده است.

در این رابطه مرکز مدیریت راهبـردی افتا و سازمان فناوری اطلاعات با فعالیتی مشترک عهده‌دار ارزیابی امنیتی و ارائه گواهی‌های امنیتی محصولات و خدمات نرم‌افزاری شده است تا به این ترتیب تهدیدهای امنیتی برای سازمان‌ها به کمترین حد ممکن رسیده و از داده‌ها و اطلاعات حساس کشورها در بالاترین سطوح حفاظت شود. با این حال به گفته فعالان حوزه ارائه خدمات و محصولات نرم‌افزاری در کشور، اهمیت به‌کارگیری محصولات دارای گواهینامه افتا هنوز برای برخی مدیران سازمان‌ها روشن نشده و در فضای فعلی رقابت‌های تجاری، شاهد سوء استفاده‌های برخی شرکت‌های تولیدکنندۀ نرم‌افزار از ناآگاهی‌ها در این حوزه هستیم.

 

گواهی افتا و ویژگی‌های آن

مهندس احسان احمدی، رئیس هیئت مدیره و مدیر بازاریابی و فروشی شرکت دانش‌بنیان نیافام که یکی از شرکت‌های ارائه دهنده خدمات پورتال سازمانی بوده و محصول اسپریت‌پورتال این شرکت موفق به کسب گواهینامه افتا شده است، درباره تحولات رخ داده در مسیر الزامی‌شدن استفاده از محصولات نرم‌افزاری دارای گواهینامه افتا برای سازمان‌های دولتی می‌گوید: «همواره یکی از دغدغه‌های حاکمیت که زیر مجموعه‌اش سه قوه مقننه، مجربه و قضائیه هستند این بوده است که پرتال‌های سازمانی این نهادها، امنیت لازم را در قالب استانداردی مشترک داشته باشند. به این صورت که وحدت رویه‌ای در این حوزه تعریف شود تا بتوانند با متر و مقیاس مشخصی، امنیت نرم‌افزارهای کاربردی و به‌ویژه اپلیکیشن‌های تحت وب مورد استفاده در این سازمان‌ها را حفظ کنند. زیرا این محصولات به‌صورت بالقوه می‌توانند در معرض حملات متعددی قرار بگیرند. این کار در کشورهای دیگری نظیر امریکا نیز صورت گرفته و استانداردهای امنیت سایبری نظیر NIST در این کشورها وجود دارد. در این رابطه کشور ما نیز ظاهرا از یک الگویی بهره‌برداری کرده است و سندهای حفاظتی در سطوح مختلف را تعریف کرده‌اند که این اسناد از سوی سازمان مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات (سازمان افتا) مدیریت می‌شود.»

وی در خصوص اینکه گواهی افتا دقیقا چه چیزی را تأیید می‌کند، می‌گوید: «محصولات نرم‌افزاری شرکت‌ها در آزمایشگاه‌های مورد تأیید سازمان افتای ریاست جمهوری است بررسی می‌شود و با توجه به اسناد پر شده و سندهایی که هر شرکت ارائه کرده است، آن آزمایشگاه گواهی تأیید یا عدم تایید محصول مورد نظر را اعلام کرده و در نهایت گواهی امنیتی از سوی سازمان فناوری اطلاعات ایران که زیر مجموعه وزارات ارتباطات و فناوری اطلاعات است صادر می‌شود.»

مهندسی احمدی تأکید می‌کند: «یک بعد دیگر اهمیت گواهی افتا، ارزیابی خود آن شرکت است تا بررسی شود که صلاحیت امنیتی لازم برای ارائه محصولات نرم‌افزاری حساس را داشته باشد. برای مثال نرم‌افزار شرکت ما نیز مورد بررسی قرار گرفت و سطح اطمینان ارزیابی EAL1 برای آن منظور شد و گواهی مربوطه را دریافت کرد. همین‌طور صلاحیت امنیتی کارمندان و مدیران شرکت نیز برای دریافت این گواهینامه از سوی نهادهای امنیتی مورد بررسی قرار می‌گیرد و سازمان افتا این مورد را نیز برای شرکت ما تأیید کرده است. در نهایت پس از تایید این ملاحظات، گواهی افتا از سوی سازمان فناوری اطلاعات تهیه و برای ما ارسال شد.»

 

چرا گواهی افتا برای دولتی‌ها الزامی شد؟

با وجود مزیت‌هایی که گواهینامه افتا دارد، بسیاری از شرکت‌های فعال در حوزه امنیت وب نیز مدعی ارائه خدمات امنیتی با کیفیت و سطح بالا به شرکت‌ها هستند. در این حالت پرسشی که مطرح می‌شود این است که چه مسئله‌ای باعث شد تا دارابودن این گواهی امنیتی برای سازمان‌های دولتی که محصولی را می‌خواهند تهیه کنند به یک الزام تبدیل شود؟

مهندس احمدی در پاسخ به این سوال می‌گوید: «این الزامی است که نهادهای بالادستی برای دستگاه‌های اجرایی و دولتی مصوب کرده‌اند و از طریق بخشنامه‌هایی به اطلاع سازمان‌ها رسانده‌اند که از تهیه محصولات نرم‌افزاری دارای گواهینامه امنیتی با اعتبار پایین‌تر پرهیز کنند؛ مانند گواهی‌هایی که آزمایشگاه‌های آپا یا شرکت‌های دیگر ارائه می‌دهند. توجه داشته باشید شرکت‌هایی که ارزیابی امنیتی محصولات را انجام می‌دهند، هیچ‌گونه بررسی خاصی را با تمرکز بر افرادی که در این مجموعه‌ها شاغل هستند منظور نمی‌کنند یا دست کم بررسی‌های ریز و موشکافانه‌ای که یک نهاد دولتی می‌تواند اعمال کند را نمی‌توانند انجام بدهند و ممکن است گاهی موارد فساد نیز ایجاد بشود.»

این فناور دانش بنیان در ادامه با ذکر مثالی تصریح می‌کند: «برای مثال دیده‌ایم برخی شرکت‌ها استانداردهایی مثل استانداردهای ایزو را به سازمان‌ها ارائه می‌دهند، در حالی که این کار در قبال پول انجام می‌شود و هیچ‌گونه ارزیابی به‌صورت عملی از این شرکت‌ها صورت نمی‌پذیرد. بنابراین دولت به این فکر افتاد که از طریق یک نهاد دولتی که مستقل از شرکت‌های خصوصی است و به نهادهای امنیتی کشور وابستگی دارد و از متخصصان مورد اعتماد حاکمیت تشکیل شده است، نوعی گواهی امنیتی را تعریف کند. در ادامه نیز برای حصول اطمینان از این که دستگاه‌های اجرایی که خواهان پرتال‌های سازمانی هستند از این گواهی آگاه باشند، از طریق ارسال بخشنامه‌هایی آنها مکلف شدند محصولات و نرم‌افزارهایی را خریداری کنند که گواهینامه افتا را برای محصول نرم‌افزاری‌شان تهیه کرده باشند. اکنون نظارت بر اجرای این بخشنامه به حراست سازمان‌ها سپرده شده است و قرارداد خرید پرتال‌ها و نرم‌افزارهای سازمانی باید حتما به امضا و تایید مدیر حراست هر سازمان برسد و این جزو مواردی است که حراست سازمان‌ها باید نسبت به آن نظارت داشته‌باشند. مواردی مانند اینکه نرم‌افزاری که خریداری می‌شود آیا گواهی نظام مدیریت امنیت اطلاعات (نما) را برای خدمات امنیتی افتا دارد، یا آیا محصولی که می‌خرند گواهی ایزو 15408 را گرفته است یا نه.