مرکز مدیریت راهبردی افتا با صدور بخشنامهای چگونگی فعالیت سامانهها و سکوهای خارجی و عرضه محصولات حوزه امنیت را مشخص کرد.
مرکز مدیریت راهبردی افتا بخشنامهای خطاب به همه دستگاههای اجرایی کشور (دارای زیرساخت حیاتی)، سازمان نظام صنفی رایانهای کشور و شرکتهای فعال در حوزه تأمین محصولات، سامانهها و سکوهای حوزه امنیت اطلاعات و ارتباطات صادر کرده است.
در این بخشنامه با تاکید بر اینکه محصولات، سامانهها و سکوهای خارجی حوزه امنیت، موظف به معرفی نماینده رسمی حقوقی داخلی تامالاختیار هستند آمده است: محصولات، سامانهها و سکوهای خارجی حوزه امنیت موظف به راهاندازی خدمت بهروزرسانی تجهیزات و سامانههای مورد نیاز در داخل ایران هستند، به صورتی که در هیچ شرایطی در فرایند بروزرسانی محصولات مورد استفاده مشتریان، تأخیری ایجاد نشود.
بر اساس اعلام مرکز مدیریت راهبردی افتا، عرضهکنندگان محصولات، سامانهها و سکوهای خارجی حوزه امنیت و نماینده قانونی آنها در زمان وقوع رخداد سایبری، ملزم به همکاری کامل با تیم رسیدگی به رخداد دستگاه هماهنگکننده برای مشتریان خود هستند.
در بخشنامه مرکز مدیریت راهبردی افتا تاکید شده است که تمامی ارائهدهندگان محصولات، سامانهها و سکوهای خارجی حوزه امنیت فضای تولید و تبادل اطلاعات موظفاند حداکثر ظرف مدت سه ماه از تاریخ ابلاغ این دستورالعمل نسبت به تأمین و رعایت ضوابط مندرج در این بخشنامه اقدام کنند.
فرصت سهماهه به عرضهكنندگان سامانهها، محصولات و سكوهای افتایی خارجی
تمامی ارائهدهندگان محصولات، سامانهها و سکوهای خارجی حوزه امنیت فضای تولید و تبادل اطلاعات برای ادامه فعالیت خود در ایران، موظفاند حداکثر ظرف مدت سهماه بر اساس شرایط و مقررات مرکز مدیریت راهبردی افتا اقدام کنند.
حسین انصاری، رئیس مرکز مدیریت راهبردی افتا، گفت: بخشنامه شرایط و مقررات مرکز افتا در باره چگونگی فعالیت سامانهها و سکوهای خارجی و عرضه محصولات حوزه امنیت، روز گذشته به همه دستگاههای اجرایی کشور (دارای زیرساخت حیاتی)، سازمان نظام صنفی رایانهای کشور و شرکتهای فعال در حوزه تأمین محصولات، سامانهها و سکوهای حوزه امنیت اطلاعات و ارتباطات ابلاغ شده است. ضوابط و شرایط مرکز مدیریت راهبردی افتای ریاست جمهوری، درباره چگونگی فعالیت سامانهها و سکوهای خارجی و عرضه محصولات حوزه امنیت، بر اساس طرح کلان و معماری شبکه ملی اطلاعات مصوبه شماره ۹۶ شورای عالی فضای مجازی اتخاذ و ابلاغ شده است.
وی با تاکید بر اینکه عرضهکنندگان محصولات، سامانهها و سکوهای خارجی حوزه امنیت باید نماینده رسمی حقوقی داخلی تامالاختیار خود را به این مرکز معرفی کنند، همچنین تصریح کرد که عرضهکنندگان محصولات، سامانهها و سکوهای خارجی حوزه امنیت موظف به راهاندازی خدمت بهروزرسانی تجهیزات و سامانههای مورد نیاز در داخل ایران هستند، به صورتی که در هیچ شرایطی در فرایند بهروزرسانی محصولات مورد استفاده مشتریان، تأخیری ایجاد نشود. عرضهکنندگان محصولات، سامانهها و سکوهای خارجی حوزه امنیت و نماینده قانونی آنها در زمان وقوع رخداد سایبری، ملزم به همکاری کامل با تیم رسیدگی به رخداد دستگاه هماهنگکننده برای مشتریان خود هستند.
وی با اشاره به اینکه حفظ حریم خصوصی کاربران ایرانی جزو قوانین بالادستی کشور در حوزه فضای مجازی است، گفت: ابلاغیه افتا، محصولات، سامانهها و سکوهای خارجی حوزه امنیت را که برای تکمیل ماموریت ذاتی محصولات و یا خدمات خود نیاز به ذخیره یا پردازش داده های کاربران دارند، موظف به انجام ذخیرهسازی و پردازش دادههای کاربران ایرانی در داخل کشور کرده است.
انصاری گفت: عرضهکنندگان محصولات، سامانهها و سکوهای خارجی حوزه امنیت و همچنین تمامی دست اندرکاران ارائه خدمات، بدون اخذ مجوز مکتوب از مرکز مدیریت راهبردی افتا مجاز به انتقال مستقیم یا غیر مستقیم هیچ داده و اطلاعاتی مانند معماری شبکه و داراییهای مشتریان به خارج از ایران نیستند.
رئیس مرکز مدیریت راهبردی افتا گفت: سکوهای خارجی در خصوص به کارگیری هوش مصنوعی و ایجاد دادههای عظیم، بر اساس شرایط و مقررات اعلام شده، موظف هستند، الگوهای پردازش و خروجیهای منعکس شده به خارج از کشور را به این مرکز افتا اعلام کنند.
به گفته انصاری، عرضه کنندگان محصولات، سامانهها و سکوهای خارجی حوزه امنیت، بر اساس اعلام مرکز مدیریت راهبردی افتای ریاست جمهوری، موظف به تعیین دقیق و رسمی سطح تضمین خدمات (SLA) مورد تأیید این مرکز هستند. وی افزود: شرکتهای تأمین کننده لایسنس یا پشتیبانی کننده محصولات، سامانهها و سکوهای حوزه امنیت نیز بر اساس شرایط و مقررات ابلاغ شده مرکز مدیریت راهبردی افتای ریاست جمهوری، موظف به اخذ پروانه معتبر خدمات افتا در گرایشهای نصب و پشتیبانی محصولات فتا و امنسازی و مقاومسازی سامانهها، زیرساختها و سرویسها شدهاند.
رئیس مرکز مدیریت راهبردی افتا در پایان گفت: ارائهدهندگان خدمات خارجی سامانه شناسایی و پاسخ مدیریت شده تهدیدات (MDR)، موظف به ارائه این خدمات به صورت متمرکز در داخل کشور و تحت نظارت مرکز مدیریت راهبردی افتای ریاست جمهوری هستند.
چالشهای اجرایی ابلاغیههای امنیت سایبری: نگاهی به واقعیتها
ابلاغیههای جدید در حوزه امنیت سایبری با هدف حفظ منافع و امنیت ملی، بارها به دلیل نبود ضمانت اجرایی به چالش کشیده شدهاند. فعالان و کارشناسان این حوزه معتقدند که شرایط برای عملیاتی شدن اینگونه ابلاغیهها فراهم نیست و تحقق آنها نیازمند شرایط و تعاملات خاصی است. فعالان و کارشناسان این حوزه بارها به نبود ضمانت اجرایی برای چنین ابلاغیههایی اشاره کردهاند و شرایط را برای عملیاتی شدن اینگونه ابلاغیههای مملو از بایدها و نبایدها، مهیا نمیبینند.
علی کیاییفر، مشاور در حوزه امنیت IT و OT در کانال تلگرامی PingChannel اینطور نوشت: «آنچه که در این ابلاغیه آمده است بسیار آرمانی است و چقدر خوب بود اگر میتوانستیم همچون سایر کشورهای همسایه، نمایندگیهای برندهای مطرح خارجی را در ایران شاهد باشیم. اما آیا در دوره ای که گفتوگو به عنوان یک ایرانی با اغلب شرکتهای بزرگ خارجی و در زیر سایه تحریم، انجام شدنی نیست میتوانیم به چنین اهدافی دست پیدا کنیم؟ یا اینکه باید فاتحه همین محصولات خارجی را که به شدت مورد نیاز کشور هستند و بهصورت نیم بند و چراغ خاموش و با چندین واسطه وارد کشور میشوند هم بخوانیم؟ شاید هم تحریمها ناشی از عملکرد غلط بخش خصوصی است و نظام صنفی باید برای برونرفت از آن و تعامل سازنده با دنیا و انجام گفتوگوهای تجاری و حقوقی مستقیم با شرکتهای بزرگ دنیا تلاش مضاعفی کند.»
محمدحسین مشکینی، فعال حوزه امنیت فناوری اطلاعات، درباره ابعاد مختلف این ابلاغیه میگوید: «مفاد این ابلاغیه در راستای حفظ منافع و امنیت ملی در حوزه سایبری است. مشابه الزامات این ابلاغیه در کشورهای دیگر هم وجود دارد. لزوم همکاری تولیدکنندگان راهکارهای امنیتی با نهادهای متولی در شرایط وقوع بحران و حوادث سایبری، بدیهی و واضح است. ممکن است عملیاتی شدن مفاد این ابلاغیه بهصورت کامل مدتی زمان ببرد لیکن در کل، حرکت مثبتی است.»
او در ادامه نکته مهمی اشاره میکند: «تنها نکتهای که باید توجه کرد تضاد بین این الزامات و تحریمهای کشورهای مبداء این تجهیزات است. در حال حاضر با روشهای مختلف به هر شکلی، این تجهیزات وارد میشود که البته غیررسمی است، بنابراین انتظار فعالیت رسمی از این شرکتها چالشبرانگیز خواهد بود.»
این فعال حوزه امنیت سایبری با اشاره به اینکه نتیجه اجرای این ابلاغیه تا هر اندازه که محقق شود به نفع امنیت کشور و صنعت بومی امنیت سایبری است، اضافه میکند: «باید دید در ادامه، پیگیری مفاد این ابلاغیه از سوی مرکز راهبردی افتا تا چه حد جدی خواهد بود.»