الزام برای تست امنیت تجهیزات ارتباطی در نقطه انتهایی

حسین توکلی، عضو کمیسیون تامین سازمان نظام صنفی رایانه ای استان تهران پیرامون لحاظ نمودن موارد امنیتی در واردات تجهیزات ارتباطی به کشور طی مطلب ارسالی به سیتنا نوشت:

پیرامون این موضوع سه نکته قابل توجه است:

1 - الزام برای برقراری آزمایشگاه امنیت در سازمان‌های بزرگ و تست امنیت تجهیزات در نقطه انتهایی:

در سال‌های اخیر تمرکز تمامی دستورالعمل‌ها، آيین نامه ها و پیشنهادهای نگارش شده در حوزه واردات تجهیزات تنها و تنها بر روی ارزيابی تجهیزات در مبادی ورودی بوده است که سوابق اجرای این سیاست در سال‌های گذشته موفق نبوده و مشکلات زیادی ایجاد نموده است.

نکته بسیار مهم در ارزيابی اين است که ارزيابی تجهیزات می‌بايست در نقطه انتهايی زنجیره تامین انجام شود نه در نقطه ابتدايی ورود به کشور و در گمرک و همچنین پایش امنیت و انجام سرویس‌های امن سازی می‌بایست به صورت مستمر صورت گیرد.

2 - الزام به استمرار در تست و به روز رسانی تجهیزات:

سازمانهای نظارتی و قانونگذار به واقع زمانی می‌توانند وظايف خود را به درستی انجام دهند که سازمان‌ها را به عنوان اصلی‌ترين بخش اين پازل ملزم نمايد که به صورت پیوسته در دوره‌های زمانی شبکه را ارزيابی نمايند، اقدامات فنی زیر در این مسیر پیشنهاد می‌شوند:

آزمون‌های نفوذ و ارزیابی‌های امنیتی منظم:

کلیه متخصصان بر اين باورند که ارزيابی تجهیزات به تنهايی تاثیر و نقش بسیار اندکی در کل فرآيند امنیت شبکه دارد. بديهی است امنیت يک روند کاملا مستمر و پويا است که به نظر می‌رسد به دلیل نیاز به مسئولیت پذيری همه بازيگران (و نه تنها تولیدکنندگان و واردکنندگان) تا کنون تصمیم سازان از انجام فرآيند صحیح تعلل کرده اند.

فرآیندهای نظارتی و ارزیابی امنیتی: ارزیابی‌های امنیتی جامع باید به طور منظم انجام شود تا سیاست‌های امنیتی بررسی و در صورت نیاز تقویت شوند. مشابه با ارزیابی های شاپرک در حوزه شبکه پرداخت الکترونیک.
آزمون نفوذ: به طور منظم آزمون‌های نفوذ انجام دهید تا آسیب‌پذیری‌های سیستم‌های بانک شناسایی و برطرف شوند. این آزمون‌ها توسط تیم‌های متخصص داخلی امنیت فاوا  انجام میشوند .

بروز نگه داشتن سیستم‌ها و نرم‌افزارها:

بروزرسانی منظم: تمام نرم‌افزارها و سیستم‌ها باید به صورت اصلی و با برخورداری از سرویس های سازنده اصلی تهیه شوند و به صورت منظم بروزرسانی شوند تا اطمینان حاصل شود که در برابر آسیب‌پذیری‌های شناخته‌شده محافظت می‌شوند.

پچ‌های امنیتی: شرایط دسترسی سریع به پچ‌های امنیتی باید برقرار باشد و به محض انتشار باید به سرعت اعمال شوند تا از سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده جلوگیری شود.

3 - پیشگیری از ایجاد انحصار در صنعت فاوا:

حوزه فاوا نیازمند حضور متعدد شرکت‌های بخش خصوصی و ارتباط نزدیک بخش خصوصی با حاکمیت است. حذف فعالین بخش خصوصی که دارای تعهد و تخصص لازم و کافی می‌باشند و ایجاد شرکت‌های خصولتی و ایجاد انحصار برای این شرکت‌ها در نهایت ریسک و خسران مالی و امنیتی زیادی برای این صنعت و حاکمیت ایجاد می‌نماید.

4 - بازارسازی برای صنعت فاوا و تقویت این صنعت:   

با توجه به اهمیت صنعت فاوا و افزایش روزافزون آن در راستای هوش مصنوعی و اقتصاد دیجیتال، میبایست این صنعت مورد حمایت ویژه دولت قرار گرفته و با ایجاد بازارهای جدید و اعتماد به بخش خصوصی و سپردن کار به این بخش و مسوولیت پذیری از بخش خصوصی، این صنعت را در راستای چشم انداز عالی حاکمیت تقویت نمود.

5- آموزش و آگاهی مستمر:

باید آموزش‌های منظم در خصوص سیاست‌ها و شیوه‌های امنیتی در لایه های مدیران و کارشناسان ارایه گردد که به افزایش آگاهی از مسایل امنیت اطلاعات و بهبود رفتار امنیتی در سازمان کمک کند. آموزش مستمر به کارمندان در بخش دولتی و خصوصی درباره تهدیدات امنیتی و بهترین شیوه‌های حفظ امنیت می‌تواند ریسک خطاهای انسانی را کاهش دهد.

انتهای پیام