بررسی کارشناسی کمیسیون شبکه سازمان روی فرآیند تنها آزمایشگاه استاندارد ایران
به گزارش اخبار نظام مهندسی (https://www.akhbarmohandesi.ir)، به نقل از سازمان نظام صنفی رایانه ای تهران شاید فکرکرده باشید که این اتفاق به خاطر این است که روشهای اخذ استاندارد در ایران ممکن است با استاندارد بین المللی متفاوت باشد و یا بعضی اوقات نیز از کمبود دانش فنی در این آزمایشگاه برای تنظیماتی که نیاز به اخذ استاندارد است گله مند بوده باشید. درواقع نیاز است بدانیم در این آزمایشگاه چه چیزی تست می شود و بدینسان تا حدودی متوجه می شویم که چرا تجهیزات امنیتی در کشور ما هیچوفت نتوانسته اند استاندارد اخذ کنند.بررسی کارشناسی کمیسیون شبکه سازمان روی فرآیند تنها آزمایشگاه استاندارد
بررسی کارشناسی کمیسیون شبکه سازمان روی فرآیند تنها آزمایشگاه استاندارد
بررسی کارشناسی کمیسیون شبکه سازمان روی فرآیند تنها آزمایشگاه استاندارد
آنچه سازمان تنظیم مقررات جهت استاندارد تجهیزات امنیت شبکه مقرر کرده استاندارد ISO15408 است و روشی که آزمایشگاه جهت ارزیابی این استاندارد استفاده می کند روشی است به نام common criteria که دارای هفت مرحله (Level) از EAL1 تا EAL7 است. در جدول زیر تضمینی که در هر سطح ارائه می شود آورده شده است:
بررسی کارشناسی کمیسیون شبکه سازمان روی فرآیند تنها آزمایشگاه استاندارد
.jpg)
بررسی کارشناسی کمیسیون شبکه سازمان روی فرآیند تنها آزمایشگاه استاندارد
درواقع آزمایشگاهی که در داخل کشور ارزیابی استاندارد را انجام می دهد چندین سال است که فقط EAL1 را مورد ارزیابی قرار می دهد و هنوز به فن آوری مراحل بالاتر دستیابی پیدا نکرده است.
بهتر است کمی به عقب تر برگردیم و علت اصلی ارزیابی و تست این نوع تجهیزات را مطلع شویم. وقتی از مدیران سازمان تنظیم مقررات سوال می شد که چرا تجهیزاتی که انواع و اقسام استانداردها را دارا هستند دوباره مورد ارزیابی قرار می گیرند همیشه چند مورد کلیشه ای زیر را مطرح می کردند:
۱- محصولاتی که وارد کشور می شوند استانداردهای لازم امنیتی را دارا باشند.
۲- مشخص نیست کالا و تجهیزی که واردات آن انجام می شود همانی باشد که به کشورهای دیگر داده می شود و خاص برای ایران طراحی شده و دارای حفره های امنیتی خاص و احتمالا Backdoor باشند.
این در حالی است که شرکت ها با روشهای گوناگون سعی می کنند این کالاهای عمدتا تحریمی را به کشور برسانند بدون اینکه شرکت سازنده اطلاعی از مقصد واقعی داشته باشدو تاکنون حتی یک مورد گزارش حاوی وجود Backdoor گزارش نشده است .
۳- ممکن است کالایی که وارد می شود اصل نباشد.
۴- دغدغه های ملی و کشوری وجود دارد . متاسفانه علی رغم درخواست های مکرر هیچگونه مدرک و شاخصی که مبتنی بر دغدغه های ملی باشد به شرکتها ارائه نشده است . بدین معنی که سند مکملی علاوه بر شاخص ها ی مندرج در استاندارد ارائه شود.
حال باید دید آیا نگرانی های سازمان تنظیم مقررات با EAL1 برطرف می شود؟
۱- محصولاتی وارد کشور می شوند و مورد ارزیابی قرار می گیرند که از طریق منابع رسمی می توان به سادگی متوجه شد که حتی تا سطح هفتم نیز مورد ارزیابی قرار گرفته و دارای گواهینامه هستند. صحت این موضوع را می توان از طریق سایت شرکت تولید کننده محصولات و حتی سایت رسمی common criteria جستجو کرد و سوال اینجاست که چرا برای ارزیابی مجدد در آزمایشگاه صرف هزینه و وقت می شود.
۲- در بیشتر موارد محصولات امنیتی که داخل کشور می آیند بدون اطلاع شرکت تولید کننده بوده از کانالهای خاصی و طریق شرکتی سوم در کشور دیگر تهیه می شود. چگونه است که تصور می شود که محصول خاصی برای ایران طراحی شده و به فرض قبول این موضوع چه معیار امنیتی در EAL1 می تواند صحت این موضوع را ثابت کند. هیچکدام از معیارهای مورد ارزیابی در این سطح نمی تواند موضوع تهدیدات امنیتی که به خاطر نفوذ به تجهیز و یا backdoor داشتن آن را مورد ارزیابی قرار دهد. (تاکید می شود مجددا توضیحات EAL1 خوانده شود).
۳- اصل بودن تجهیزات امنیتی به سادگی و با رجیستر محصول در سایت شرکت تولید کننده و یا فعال کردن لیسانس به سادگی قابل تشخیص است و نیاز به صرف هزینه های بسیار زیاد و زمان ۴۵ تا ۹۰ روز تست در آزمایشگاه ندارد. معمولا روال اصل و نو بودن محصول توسط اکثر بهره برداران نهایی قابل تشخیص و ارزیابی است.
واقعا قابل درک نیست که مدیران سازمان تنظیم مقررات آیا به این موضوعات آگاهی دارند یا خیر. اگر می دانند و باز به این EAL1 اکتفا می کنند باید شبها بی خواب باشند و از نگرانی آرامش نداشته باشند و اگر این موضوع را نمی دانند پس کسانی که استانداردهای تجهیزات امنیتی را تدوین می کنند فقط به ترجمه کردن آنها بسنده کرده اند. . عدم وجود دانش در کارشناسان سازمان که متولی نظارت بر عملکرد آزمایشگاه می باشند موجب شده است که در زمینه بررسی موارد فنی مورد اعتراض شرکتها هیچگونه اقدامی صورت نگیرد و فقط به ارسال نامه شرکتها به آزمایشگاه و بالعکس بسنده شود. آموزش کارشناسان سازمان توسط آزمایشگاه ریسک را بالاتر هم خواهد برد
به دلیل اینکه ناظر ممکن است همان رویه معیوب آزمایشگاه را به دلیل عدم درک صحیح از استاندارد تایید کند.
در برخی از موارد مشاهده شده که معیاری مورد ارزیابی قرار گرفته و مردود می شود که مورد نیاز بهره بردار نهایی است هر چند اگر هم باید برای آن هم راه حلی وجود دارد که استفاده از firmware مناسب آن برای آن کاربرد است.
حالا سوال عجیب تر اینکه چرا تجهیزاتی که برندهای بسیار معتبری در دنیا هستند و اسم و رسم بزرگی دارند و ادعا می کنند تا EAL7 دارای گواهینامه هستند، هیچ وقت نمی توانند از سد آزمایشگاه ایران بگذرد آن هم در خوان اول که EAL1 است. برای پی بردن به جواب این سوال باید از کارشناسان آزمایشگاه این سوال را پرسید آیا می دانند firmware های تجهیزات دارای نسخه های زیادی هستند؟ آیا می دانند که وقتی گواهینامه ای به تجهیزی داده می شود به firmware داده می شود مثلا گفته می شود فلان محصول با firmware فلان نسخه این استاندارد را اخذ کرده است؟ خیلی جالب است وقتی در این چند سال به کارشناسان و مدیران سازمان تنظیم مقررات و کارشناسان آزمایشگاه این موضوع گفته می شود که سخت افزار استاندارد نمی گیرد بلکه محصول شامل سخت افزار و نرم افزار با هم این استاندارد را می گیرند بازهم سخت افزار مردود می شود و نه نسخه خاصی از firmware محصول.
سوال بعدی وظیفه چه سازمان یا شرکتی است که مشخص کند تجهیزی که وارد می شود با چه firmware ی امنیت را دارا و باید اطلاع رسانی کند. سازمان تنظیم مقررات ، آزمایشگاه و یا شرکت واردکنند محصول و یا تولید کننده؟ تولید کننده که به علت محدودیتهایی که وجود دارد طبیعتا پاسخگو نمی باشد. سازمان تنظیم مقررات نیز که وظیفه اجرایی نداشته و فقط وظیفه تدوین استاندارد را دارد. وارد کننده کالا نیز با اوضاع و شرایطی که به علت تحریم های ناعادلانه وجود دارد تامین کالا را به سختی و از راه هایی دشوار به عهده داشته و سالهاست فن آوری نوین و دانش فنی را در اختیار مشتریان قرار می دهد و خوشبختانه به مقدار زیادی هم اطلاعات و آموزشهای لازم را ارائه می دهد. اما نقش آزمایشگاه به نظر مهمتر می باشد. انتظار می رود آزمایشگاه و کارشناسان محترم آن کاملا با موضوع firmware آشنا بوده و بدانند محصولات امنیتی که وارد کشور می شوند و مدلهای آن بیشتر از انگشتان دو دست نیستند با چه firmware هایی در آزمایشگاههای دنیا گواهینامه EAL1 را اخذ کرده و آن را به سازمان تنظیم مقررات اعلام و سازمان تنظیم مقررات نیز به استفاده کنندگان توصیه کند. اصولا کسب گواهی نامه استاندارد توسط یک محصول معین (به همراه Firmware مشخص) دو مزیت کلی دارد :
۱- وارد کنندگان و بهره برداران نسبت به انتخاب محصولب اطمینان خواهند داشت . همانند محصولاتی که در کشور نشان استاندارد و یا مجوز واردات کسب می کنند.
۲- فرآیند آزمایش برای آن محصول قبلا انجام شده است و نیاز به تکرار آن نمی باشد. همانند هزاران محصول دارویی،فنی،غذایی و … که مبتنی بر استاندارد انجام شده عرضه می شوند و نیاز به کسب مجوز هرروزه برای آنها نمی باشد.
۳- قابل ذکر است که به دلیل تکرار این آزمایش چندین میلیارد تومان از شرکتها اخذ شده است که موجب ضعیف تر شدن شرکتها در شرایط اقتصادی کنونی می شود.
پیدا کردن اینکه چه تجهیزی با چه نسخه از firmware گواهینامه را دارا است نیز به سادگی امکان پذیر است. سایت رسمی common criteria یکی از راههای پی بردن به این موضوع است. (www.commoncriteriaportal.org)
برگردیم به نگرانی مدیران سازمان تنظیم مقررات. متوجه شدیم با این تست و ارزیابی هیچگونه تضمینی در امنیت شبکه های کشور بوجود نمی آید که هیچ بلکه به بازار فن آوری اطلاعات در کشور به علت زمان بر بودن تست تجهیزات از ۴۵ روز تا ۳ ماه و در نتیجه عدم گردش مالی مناسب آن لطمه بزرگی وارد می کند و باعث رونق قاچاق این محصولات شده است. تاخیر دو ، سه ماهه در پروژه های ملی در مسیر مخالف سیاست های کلی رونق کسب و کار و مبارزه با قاچاق کالا می باشد.
این نوع روش ارزیابی مطمئنا نمی تواند اصل بودن کالا را تضمین کند و اصالت کالا روشهایی مخصوص خود را دارد که رجیستر کردن در سایت تولید کننده ، فعال نمودن لیسانس و روشهای دیگری است که ربطی به استاندارد ندارد.
به راحتی می توانیم صددرصد مطمئن شویم یک محصول استاندارد دارد یا خیر. به راحتی می توانیم متوجه شویم که یک تجهیز امنیت شبکه اصل است یا خیر. با آزمایشهایی که انجام می شود نمی توانیم متوجه شویم که یک تجهیزی که وارد ایران می شود backdoor دارد یا خیر. اما یک موضوع را کاملا می دانیم که برای استفاده از یک محصول امنیتی آنچه مهم است نحوه راهبری بهره بردار نهایی است. اینکه آیا امنیت شبکه یک سازمان با درصد بالایی قابل قبول باشد یا خیر به دانش فنی تیم امنیت سازمان و نحوه استفاده از تجهیزو آنالیز گزارشهای آن بستگی دارد. دعوا بر سر نوع تجهیز ، ایرانی یا خارجی بودن آن یک دعوایی که به نظر می رسد بیشتر به منعفت سازمانها و شرکتها و آزمایشگاه درگیر آن بستگی پیدا کرده است و آنچه در این مسئله واقعا قربانی شده است امنیت سازمانها است که با وجود کارشناسانی با دانش بالا و تیمی کارآمد به دست خواهد آمد. البته که نوع تجهیز هم می تواند کمک بسیاری به این موضوع بکند ولی با آزمایشهایی بی مورد که هیچ نتیجه ای دربرنداشته و برطرف کننده هیچ نگرانی نیست نه نتها نمی توان به آن دستیابی پیدا کرد بلکه باعث خواهد شد چرخه بازار فن آوری اطلاعات و سرویس دهی در این حوزه با مشکلات جدی مواجه شود و نیروهای متخصص درگیر مسایل حاشیه ای شده و افراد غیر متخصص با توانایی های غیرقانونی و رانت به این حوزه ورود پیدا کنند.
وجود انحصار در آزمایشگاه هم به تاخیر در ارائه گزارش منتج شده است و هم موجبات عدم پاسخگویی مبتنی بر رانت را فراهم نموده است. وجود یک کارشناس مسئول در سازمان تنظیم نیز از دیگر معضلات ارزیابی تجهیزات امنیتی می باشد که کثرت فعالیتهای کارشناس مربوطه و تداخل آنها موجب تاخیر های مضاعف شده است.
دغدغه های ملی و کشوری موضوعی است که آزمایشگاه و برخی از مدیران رگولاتوری به آن اشاره می کنند . حتما تمامی فعالان حوزه کسب و کار دغدغه اصلی در خصوص امنیت کشور دارند واگر دستورالعمل مشخص و قاعده مندی در این خصوص ارائه شود کلیه شرکتهایی که به صورت قانونی فعالیت می کنند همکاری خواهند کرد ولیکن ابراز نگرانی در این خصوص کفایت نمیکند سازمانهایی که قاعدتا فقط می بایست در چارچوب قانون عمل نمایند نباید صحبت های کلی در این زمینه ارائه دهند و امنیت را دستاویز فعالیتهای فراقانونی خود کنند اگر دراین زمینه مسئولیتی از طرف نهادهای قانونی بر عهده این نهادها قرارداده شده است مستند آن و نحوه اجرای آن را به صنف ارائه کنند. در چند سال گذشته به صورت مدام دوستان در مصاحبه ها و جلسات مواردی در حوزه امنیت ابراز نموده اند ولی حتی یک مورد ، یک شاخص ویا یک مستند از طرف سازمان تنظیم و آزمایشگاهها ارائه نشده و ضمنا هیچ گزارشی که مبین ترقی امنیت ملی با استفاده از روشهای جاری باشد ارائه نشده است تنها زمانیکه از مجموعه اجرایی خواسته می شود که در چهارچوب استاندارد عمل شود می فرمایند که ما دغدغه ملی داریم و با نام نهادهای امنیتی سعی در دیکته کردن روشهای خوددارند.
منبع: سازمان نظام صنفی رایانه ای تهران
