تحول فرایندهای روزمره به سمت اتوماسیون بیشتر و بهره‌گیری موثرتر از بستر وب به عادت این روزهای زندگی در سراسر جهان تبدیل شده است. به موازات این تحولات و سهولت و کاربردی‌شدن بسیاری از امور روزمره، تأمین امنیت محصولات نرم‌افزاری و ایمن‌سازی آنها در برابر تهدیدهای ناشی از نفوذ و هک به چالش مهمی برای زیرسـاخت‌هـای حیـاتی، حساس و مهم سازمان‌ها در کشورهای مختلف تبدیل شده است. انتشار خبرهای مربوط به حملات گاه و بیگاه هکرها به سامانه‌های سازمان‌ها و نهادها در کشورهای مختلف و درز اسناد و داده‌های مختلف مربوط به کاربران و دولت‌ها، اکنون تأمین امنیت نرم‌افزارها و پرتال‌های سازمانی سازمان‌های مهم و حساس را به چالشی مهم برای مدیران نهادهای مختلف تبدیل کرده است.

در این رابطه مرکز مدیریت راهبـردی افتا و سازمان فناوری اطلاعات با فعالیتی مشترک عهده‌دار ارزیابی امنیتی و ارائه گواهی‌های امنیتی محصولات و خدمات نرم‌افزاری شده است تا به این ترتیب تهدیدهای امنیتی برای سازمان‌ها به کمترین حد ممکن رسیده و از داده‌ها و اطلاعات حساس کشورها در بالاترین سطوح حفاظت شود. با این حال به گفته فعالان حوزه ارائه خدمات و محصولات نرم‌افزاری در کشور، اهمیت به‌کارگیری محصولات دارای گواهینامه افتا هنوز برای برخی مدیران سازمان‌ها روشن نشده و در فضای فعلی رقابت‌های تجاری، شاهد سوء استفاده‌های برخی شرکت‌های تولیدکنندۀ نرم‌افزار از ناآگاهی‌ها در این حوزه هستیم.

 

گواهی افتا و ویژگی‌های آن

مهندس احسان احمدی، رئیس هیئت مدیره و مدیر بازاریابی و فروشی شرکت دانش‌بنیان نیافام که یکی از شرکت‌های ارائه دهنده خدمات پورتال سازمانی بوده و محصول اسپریت‌پورتال این شرکت موفق به کسب گواهینامه افتا شده است، درباره تحولات رخ داده در مسیر الزامی‌شدن استفاده از محصولات نرم‌افزاری دارای گواهینامه افتا برای سازمان‌های دولتی می‌گوید: «همواره یکی از دغدغه‌های حاکمیت که زیر مجموعه‌اش سه قوه مقننه، مجربه و قضائیه هستند این بوده است که پرتال‌های سازمانی این نهادها، امنیت لازم را در قالب استانداردی مشترک داشته باشند. به این صورت که وحدت رویه‌ای در این حوزه تعریف شود تا بتوانند با متر و مقیاس مشخصی، امنیت نرم‌افزارهای کاربردی و به‌ویژه اپلیکیشن‌های تحت وب مورد استفاده در این سازمان‌ها را حفظ کنند. زیرا این محصولات به‌صورت بالقوه می‌توانند در معرض حملات متعددی قرار بگیرند. این کار در کشورهای دیگری نظیر امریکا نیز صورت گرفته و استانداردهای امنیت سایبری نظیر NIST در این کشورها وجود دارد. در این رابطه کشور ما نیز ظاهرا از یک الگویی بهره‌برداری کرده است و سندهای حفاظتی در سطوح مختلف را تعریف کرده‌اند که این اسناد از سوی سازمان مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات (سازمان افتا) مدیریت می‌شود.»

وی در خصوص اینکه گواهی افتا دقیقا چه چیزی را تأیید می‌کند، می‌گوید: «محصولات نرم‌افزاری شرکت‌ها در آزمایشگاه‌های مورد تأیید سازمان افتای ریاست جمهوری است بررسی می‌شود و با توجه به اسناد پر شده و سندهایی که هر شرکت ارائه کرده است، آن آزمایشگاه گواهی تأیید یا عدم تایید محصول مورد نظر را اعلام کرده و در نهایت گواهی امنیتی از سوی سازمان فناوری اطلاعات ایران که زیر مجموعه وزارات ارتباطات و فناوری اطلاعات است صادر می‌شود.»

مهندسی احمدی تأکید می‌کند: «یک بعد دیگر اهمیت گواهی افتا، ارزیابی خود آن شرکت است تا بررسی شود که صلاحیت امنیتی لازم برای ارائه محصولات نرم‌افزاری حساس را داشته باشد. برای مثال نرم‌افزار شرکت ما نیز مورد بررسی قرار گرفت و سطح اطمینان ارزیابی EAL1 برای آن منظور شد و گواهی مربوطه را دریافت کرد. همین‌طور صلاحیت امنیتی کارمندان و مدیران شرکت نیز برای دریافت این گواهینامه از سوی نهادهای امنیتی مورد بررسی قرار می‌گیرد و سازمان افتا این مورد را نیز برای شرکت ما تأیید کرده است. در نهایت پس از تایید این ملاحظات، گواهی افتا از سوی سازمان فناوری اطلاعات تهیه و برای ما ارسال شد.»

 

چرا گواهی افتا برای دولتی‌ها الزامی شد؟

با وجود مزیت‌هایی که گواهینامه افتا دارد، بسیاری از شرکت‌های فعال در حوزه امنیت وب نیز مدعی ارائه خدمات امنیتی با کیفیت و سطح بالا به شرکت‌ها هستند. در این حالت پرسشی که مطرح می‌شود این است که چه مسئله‌ای باعث شد تا دارابودن این گواهی امنیتی برای سازمان‌های دولتی که محصولی را می‌خواهند تهیه کنند به یک الزام تبدیل شود؟

مهندس احمدی در پاسخ به این سوال می‌گوید: «این الزامی است که نهادهای بالادستی برای دستگاه‌های اجرایی و دولتی مصوب کرده‌اند و از طریق بخشنامه‌هایی به اطلاع سازمان‌ها رسانده‌اند که از تهیه محصولات نرم‌افزاری دارای گواهینامه امنیتی با اعتبار پایین‌تر پرهیز کنند؛ مانند گواهی‌هایی که آزمایشگاه‌های آپا یا شرکت‌های دیگر ارائه می‌دهند. توجه داشته باشید شرکت‌هایی که ارزیابی امنیتی محصولات را انجام می‌دهند، هیچ‌گونه بررسی خاصی را با تمرکز بر افرادی که در این مجموعه‌ها شاغل هستند منظور نمی‌کنند یا دست کم بررسی‌های ریز و موشکافانه‌ای که یک نهاد دولتی می‌تواند اعمال کند را نمی‌توانند انجام بدهند و ممکن است گاهی موارد فساد نیز ایجاد بشود.»

این فناور دانش بنیان در ادامه با ذکر مثالی تصریح می‌کند: «برای مثال دیده‌ایم برخی شرکت‌ها استانداردهایی مثل استانداردهای ایزو را به سازمان‌ها ارائه می‌دهند، در حالی که این کار در قبال پول انجام می‌شود و هیچ‌گونه ارزیابی به‌صورت عملی از این شرکت‌ها صورت نمی‌پذیرد. بنابراین دولت به این فکر افتاد که از طریق یک نهاد دولتی که مستقل از شرکت‌های خصوصی است و به نهادهای امنیتی کشور وابستگی دارد و از متخصصان مورد اعتماد حاکمیت تشکیل شده است، نوعی گواهی امنیتی را تعریف کند. در ادامه نیز برای حصول اطمینان از این که دستگاه‌های اجرایی که خواهان پرتال‌های سازمانی هستند از این گواهی آگاه باشند، از طریق ارسال بخشنامه‌هایی آنها مکلف شدند محصولات و نرم‌افزارهایی را خریداری کنند که گواهینامه افتا را برای محصول نرم‌افزاری‌شان تهیه کرده باشند. اکنون نظارت بر اجرای این بخشنامه به حراست سازمان‌ها سپرده شده است و قرارداد خرید پرتال‌ها و نرم‌افزارهای سازمانی باید حتما به امضا و تایید مدیر حراست هر سازمان برسد و این جزو مواردی است که حراست سازمان‌ها باید نسبت به آن نظارت داشته‌باشند. مواردی مانند اینکه نرم‌افزاری که خریداری می‌شود آیا گواهی نظام مدیریت امنیت اطلاعات (نما) را برای خدمات امنیتی افتا دارد، یا آیا محصولی که می‌خرند گواهی ایزو 15408 را گرفته است یا نه.

 

آیا داشتن گواهینامه افتا به معنی ارائه خدمات متمایز است؟

برخی شرکت‌ها مدعی هستند که به واسطه داشتن گواهی افتا، خدماتی در سطح برتر و متمایز به مشتریان خود ارائه می‌کنند. این تصوری است که ممکن است برخی مدیران سازمان‌های دولتی نیز داشته باشند. اما مهندس احمدی با این دیدگاه موافق نیست. وی در در این باره توضیح می‌دهد: «خدماتی که هر شرکتی به‌واسطه محصولاتش می‌تواند به مشتریان ارائه دهد کاملا مستقل است از اینکه محصولش گواهی افتا را گرفته است یا خیر. گواهی افتا تنها مؤید این نکته است که محصول شرکت، محصولی امن است که مورد بررسی قرار گرفته و مورد تأیید نهادهای حاکمیتی است. در این صورت چنانچه اتفاقی از حیث نفوذ سایبری یا هک رخ بدهد، از این نظر که مدیران دولتی در تهیه محصولی امن و مورد تأیید کم‌کاری کرده باشند، مسئولیتی متوجه‌شان نخواهد شد. بنابراین با توجه به اینکه مدتی است یک سری حملات سایبری به صورت سلسله‌وار سازمان‌های دولتی را هدف قرار داده است، بسیار مهم است که مدیران دولتی با تهیه محصولات دارای گواهینامه افتا، دغدغه پاسخگوبودن به نهادهای امنیتی را بابت هک‌شدن و نفوذ به پرتال سازمانی خود نداشته باشند.»

مدیر بازاریابی و فروش شرکت دانش بنیان نیافام با اشاره به اینکه خوشبختانه مدیران دولتی اهمیت این موضوع را متوجه شده‌اند و اکنون در حال برنامه‌ریزی برای تهیه محصولات، نرم‌افزارها و پرتال‌های سازمانی دارای گواهینامه افتا هستند، تأکید می‌کند: «صرف نظر از اینکه محصولی گواهینامه افتا داشته یا نداشته باشد، خدماتی که شرکت‌های دارای این گواهینامه ارائه می‌دهند ممکن است قوی باشد یا نسبت به نرم‌افزارهای مشابه، ضعیف باشد. بنابراین تنها چیزی که گواهینامه افتا مورد لحاظ قرار داده است، صرفا امنیت نرم‌افزار است و نه امکانات آن.»

 

سازمان‌هایی با محصولات فاقد گواهینامه افتا

با همه الزاماتی که از سوی نهادهای حاکمیتی ایجاد شده، فعالان حوزه عرضه محصولات امن نرم‌افزاری می‌گویند کماکان برخی سازمان‌ها سراغ محصولاتی می‌روند که نه‌تنها گواهینامه افتا را ندارند، بلکه بعضا سراغ خرید محصولاتی می‌روند که از نظر امنیتی تائیدیه‌های چندان معتبری ندارند. مهندس احمدی در پاسخ به اینکه چرا همچنان برخی سازمان‌ها سراغ تهیه چنین محصولاتی می‌روند، می‌گوید: «در این زمینه احساس می‌کنم امسال حراست سازمان‌های دولتی آگاه‌تر و هوشیارتر شده‌اند. اگر هم ما در این زمینه کوتاهی یا غفلتی را می‌بینیم می‌تواند به دو علت باشد. یکی اینکه ممکن است متاسفانه هماهنگی فسادانگیزی در سازمانی به وجود بیاید برای اینکه معامله‌ای شکل بگیرد. ممکن است مثل بسیاری از بخشنامه‌ها و دستورالعمل‌ها که گاهی در برخی اداره‌ها مورد توجه قرار نمی‌گیرد و به آن عمل نمی‌شود، در مواردی این دستورالعمل نیز رعایت نشود. البته این بی‌توجهی می‌تواند برای سازمان‌ها مخاطراتی را به همراه داشته باشد و چنانچه هک یا نفوذی به به پایگاه داده‌های آن سازمان رخ بدهد مطمئنا با مسئولان و مسببان آن از سوی نهادهای ذیربط برخورد خواهد شد.»

این فناور دانش‌بنیان علت دوم را ناآگاهی برخی مدیران برمی‌شمارد و بیان می‌کند: «ممکن است بعضی‌ها همچنان ندانند گواهینامه‌ای که به آنها از سوی شرکت‌های نرم‌افزاری ارائه می‌شود ارتباطی با درخواست آنها دارد یا خیر. برای مثال بعضی از شرکت‌های ارائه‌کننده نرم‌افزارهای سازمانی، گواهی افتا گرفته‌اند اما نه به خاطر همان محصول نرم‌افزاری که قرار است به سازمان شما عرضه کنند بلکه آن را برای نرم‌افزار یا خدماتی دیگری دریافت کرده‌اند و در زمان مذاکره با مشتریان، آن گواهینامه را به اسم گواهی افتا ارائه می‌دهند که ارتباطی با محصول مورد درخواست سازمان دولتی ندارد. ما در مذاکراتی که با مشتریانمان داشته‌ایم، یکی از مشتریان به این نکته اشاره کرد که یک شرکت خدمات‌دهنده بیش از 10 گواهی افتا به ما ارائه کرد و تصور می‌کردند ما نمی‌دانیم این گواهی‌ها به محصولی که می‌خواهند به ما ارائه بدهند ارتباطی ندارد. علت اینکه چنین رفتاری را شاهد هستیم حکایت از این واقعیت دارد که چنین ترفندهایی در فروش به نظر می‌رسد در مواردی جواب داده است و متاسفانه برخی مدیران دولتی و برخی از مدیران حراست سازمان‌ها از این موضوع آگاه نیستند. بنابراین نقش حاکمیت و نهادهای امنیتی در این زمینه بسیار مهم است و لازم است دوره‌های آموزشی برای مدیران حراست در نظر بگیرند و دستورالعمل‌های سختگیرانه‌تری را به همراه نظارت‌های دوره‌ای حتما اتخاذ کنند تا شاهد چنین تخلفاتی که بعضاً ناشی از ناآگاهی است، نباشیم.

 

اعتبارسنجی گواهینامه افتا برای یک محصول

در فضای غبارآلود فعلی آنچه برای مدیران سازمان‌ها الزامی به نظر می‌رسد، توجه به ویژگی‌هایی است که نشان‌دهنده اصالت گواهینامه افتا برای محصول نرم‌افزاری است که سازمان قصد تهیه آن را دارد. مهندس احمدی درباره چگونگی سنجش اعتبار گواهی افتا توسط مدیران خریدار محصولات نرم‌افزاری بیان می‌کند: «مدیریت حراست سازمان‌های دولتی یا افرادی که در ارکان نظارتی و بازرسی یک سازمان هستند، وقتی فرایند خرید نرم‌افزار را مورد بررسی قرار می‌دهند و می‌خواهند ببینند آیا آن نرم‌افزار واجد شرایط لازم از نظر امنیتی هست یا نه، می‌بایست گواهی‌ای که به نام گواهی افتا دریافت می‌کنند را در سایت سازمان فناوری اطلاعات و در لینک مربوطه بررسی کنند:

https://sec.ito.gov.ir/page/eram

وی ادامه می‌دهد: «در سایت سازمان فناوری اطلاعات می‌توانید گواهی‌های افتا را مورد بررسی قرار دهید که کدام شرکت‌ها این گواهینامه‌ها را دریافت کرده‌اند یا در حال دریافت آن هستند و اینکه چقدر اعتبار دارد. به این ترتیب بررسی صحت این گواهی به‌آسانی قابل راستی آزمایی است. توجه کنید که در سایت sec.ito.gov.ir صفحاتی وجود دارد برای جستجو در بین گواهی‌ها، اما فقط یک صفحه مختص گواهی‌های ارائه شده برای محصولات کاربردی است. همچنین فهرست شرکت‌هایی که برای محصولاتشان گواهی افتا گرفته‌اند در وبسایت سازمان افتا به نشانی afta.gov.ir در دسترس است:پ

تست

تست آهوان

مهندس احمدی