فقدان دانش و تجربه شرکتها، مشکل اصلی در اخد گواهی امنیتی
به گزارش گروه دانش و فناوری خبرگزای آنا، ناصر شاکرحسینی، رئیس کمیسیون نرمافزارهای سلامت الکترونیکی در مورد نرمافزارهای حوزه سلامت گفت: نرم افزارهای کاربردی بطور عام و نرم افزارهای حوزه سلامت باید در مقابل تمام تهدیدهای احتمالی بهویژه حملات سایبری مصون بمانند. آنچه که بهعنوان هک شناخته میشود، تمامِ تهدید سایبری نیست. دمدستتر از هک سیستم، تهدیداتی است که در کاربریهای روزمره سامانهها احتمال وقوع دارد، از جمله عدم رعایت سطوح دسترسی توسط کاربران و یا سهلانگاری در آن. در ارزیابی امنیتی، آسیبپذیری نرم افزارها شناسایی میشود، از جمله تهدیداتی که میتوانند موجب توقف عملیات سیستم، سوء عملکرد سیستم و یا خرابی دادهها و از دسترس خارجشدن آنها شود. این تهدیدات الزاماً ناشی از هک توسط عوامل خارجی نیستند. در حوزه سلامت الکترونیک، محرمانگی دادهها اهمیت ویژهای دارد. نرم افزارهایی که با دادههای بیماران سروکار دارند باید اطمینانپذیری کافی برای حفظ این دادهها داشته باشند. بهویژه با توجه به رواج تبادل داده بین سامانههای مختلف حوزههای درمان از طریق رابطهای برنامهنویسی برنامههای کاربرد (API)، مراقبتهای امنیتی در ورودیها و خروجیها اهمیت ویژه یافته است.
وی در ادامه در توضیح سختگیریهای مطرح در مورد این تأییدیهها و گواهی افتا افزود: شاخصهای ارزیابی امنیتی نرمافزارها، شاخصهایی استانداردند که کمتر مورد دخل و تصرف و ملاحظات بومی قرار میگیرند. سختگیریهای مطرح در اینجا کمتر معطوف به محصول و بیشتر معطوف به صاحب محصول است. یعنی شما بهعنوان ارائهکننده یک محصول نرمافزاری حتما باید دارای ویژگیهایی باشید که تعیین آنها با نهادهای بالادستی امنیتی و اطلاعاتی کشور است. برای مثال در ترکیب هیئت مدیره و سهامدران شرکت شما نباید افراد غیر ایرانی یا دوتابعیتی حضور داشته باشندکه البته قابلفهم و قابلپذیرش است، اما تسری این محدودیت به کارکنان و کارشناسان شما کار را کمی پیچیده میکند، بهویژه در وضعیتی که کارشناسان شرکتهای نرم افزاری مدام در حال تغییر و جابجاییاند. با توجه به اینکه صاحبان محصولات نرمافزاری عموماً بنگاههای اقتصادیاند، مسئولیت این کارشناسان نیز با مدیران این بنگاهها است و میتوان نسبت به آنها سختگیری کمتری داشت. فرایند ارزیابی بعد از احراز صلاحیت بنگاه انجام میشود و اگر قبل از آن شروع شده باشد، صدور گواهینامه مشروط به قبولی امنیتی بنگاه است.
مشکلات دریافت نکردن تأییدیهها
چندی پیش در جلسه مشترک نصر تهران و رییس سازمان فناوری اطلاعات ایران اشاره شد که بیمارستانها و مراکز درمانی با این بهانه که شرکتها هنوز موفق به دریافت تأییدیه امنیتی نشدهاند، تنها ۵۰ درصد مطالبات سال پیش را پرداخت کردهاند. شاکرحسینی در اشاره به تهدیدات و مشکلاتی که عدم دریافت این تأییدیهها برای شرکتهای عرضهکننده محصولات و خدمات در حوزه سلامت الکترونیک ایجاد میکند تأکید کرد: موضوع اصلی در مورد گواهی امنیت نرمافزار ارزیابی محصول است. یعنی شما میتوانید مرحله اول قبولی بنگاه را بگذرانید، اما دارای محصولاتی باشید که بعضاً هنوز گواهی امنیت نرمافزار ندارند. بنابر قوانین و مقررات جاری، دستگاههای دولتی مجاز به خرید محصول فاقد گواهینامه امنیتی نیستند. در مورد محصولاتی که قبلاً توسط دستگاهها خریداری شدهاند، عقد قراردادهای تأمین خدمات پشتیبانی و توسعه نرمافزار، مشروط به احراز امنیت نرمافزار و اخذ گواهینامه است. دقیقاً در همینجاست که اکثریت قریب به اتفاق شرکتهای فعال در حوزه سلامت الکترونیک گرفتار میشوند.
وی ادامه داد: ضمناً هدف اصلی اکثر محصولات حوزه سلامت الکترونیک که از سه دهه قبل وارد حوزه بهداشت و درمان کشور شدهاند تأمین نیازهای کاربردی متنوع و دائماً در حال تغییر این حوزه و کسب رضایت روزمره کاربران بوده است. ملاحظات امنیتی هم در چارچوب سواد و علاقه تولیدکننده نرم افزار مورد توجه قرار داشته است. بنابراین، نه فرصتی برای پرداختن به موضوعات مهمی مثل امنیت نرم افزار در چارچوب ضوابط و استانداردهای علمی و فنی بوده و نه الزامی قانونی برای پرداختن به این امر مهم. نتیجه این شده که در میان صدها محصول نرمافزاری که در حال حاضر مورد بهرهبرداری مراکز درمانی کشور قرار دارند، تعداد محصولات دارای گواهی، کمتر از تعداد انگشتان دو دست است.
شاکرحسینی درباره این تهدیدات بیان کرد: در چنین شرایطی طرفهای ذینفع با دو تهدید مواجه میشوند: اول تعویض و جابجایی نرم افزارهای فاقد گواهینامه و دوم از دست دادن منافع آنی. او توضیح داد که تعویض و جابجایی نرم افزارهای فاقد گواهینامه اقدامی خطیر و پرهزینه همراه با امکان ایجاد فاسد بهنفع ایجاد انحصار برای معدود محصولات دارای گواهینامه است.
رئیس کمیسیون نرمافزارهای سلامت الکترونیکی در این باره گفت: متاسفانه این فرایند دو سالی است که آغاز شده و کارفرمایان مراکز دولتی بهویژه بیمارستانها بدون توجه به ظرفیتهای اجرایی شرکتهایی معین، عملاً موجب تغییر تناسب در سهم بازار در این حوزه شدهاند؛ اقدامی که نهایتاً خود آنها را هم گرفتار خواهد کرد.
او با اشاره به از دست رفتن منافع آنی شرکتها توضیح داد در مورد آنهایی که محصولاتشان در وضعیت ثبات و بهرهبرداری رضایتمندانه قرار دارد. اما تمدید قرار، پرداخت مطالبات و آزادشدن ضمانتنامهها برایشان مشروط به اخذ گواهینامه امنیت نرمافزار شده است. بسیاری از کارفرمایان در عین حال که نیازهای خود را با نرمافزار همچنان تأمین میکنند، خود را موظف به تسویه حساب نمیدانند.
وی افزود: این وضعیت، کار را برای شرکتهای کوچک، تازهکار و گاه آماتور دشوارتر میکند. متأسفانه تعداد شرکتهایی که از سر علاقه و تفنن و آماتوریسم به فعالیت در حوزه سلامت الکترونیک رو آوردهاند و حتی توان تأمین هزینههای اخذ گواهینامه امنیتی را ندارند نیز قابل توجه است.
راهکارهای رفع مشکلات
رئیس کمیسیون نرمافزارهای سلامت الکترونیکی جهت ارائه راهکاری برای رفع این مشکل گفت: تأمین هزینههای اخذ گواهینامه امنیت نرمافزار اگرچه مشکل جدی بسیاری از شرکتها است، اما مشکل اصلی نیست. مشکل اصلی، فقدان دانش و تجربه در این خصوص است. حتی با فرض وجود بضاعت کافی برای تأمین هزینههای اخذ گواهینامه، بسیاری از محصولاتی که در حال حاضر مورد بهرهبرداری هستند برای گذراندن فرایند ارزیابی، عملاً باید مشمول فرایند بازتولید نرم افزار بشوند و این امر در وضعت اقتصادی فعلی برای بسیاری از همکاران ما دشوار و گاه نشدنی است، زیرا این همکاران هم باید خدمات مشتریان فعلی را تأمین کنند، هم به حداقل دریافتها از این مشتریان بسنده کنند و هم هزینههای ارزیابی امنیتی را متحمل شوند.
وی در اشاره به نقش سازمان نصر در این باره عنوان کرد: در مورد ارتقای سطح دانش همکاران، حداقل در سطحی که بتوانند فرایند را آغاز کنند، اقدامات درخور توجه و تقدیری از سوی سازمان نظام صنفی رایانهای استان تهران و برخی آزمایشگاههای ارزیاب انجام شده و برنامههایی نیز در دست اجرا است. آزمایشگاههای ارزیاب، شرایط و تسهیلات ویژهای را برای اعضای سازمان نصر در نظر گرفتهاند و مهمتر اینکه در سایه تعامل بسیار خوب بین کمیسیون سلامت الکترونیک سازمان نظام صنفی رایانهای کشور و مرکز مدیریت آمار و فناوری اطلاعات وزارت بهداشت، درمان و آموزش پزشکی، موضوع استمهال برای اخذ گواهینامه امنیت نرم افزار تحقق یافته و مراکز تشخیصی و درمانی دولتی - دانشگاهی «سند قرارگیری در فرایند ارزیابی» صادره از آزمایشگاههای مورد تأیید «افتا» را برای تمدید قراردادهای پشتیبانی پذیرفتهاند.
شاکرحسینی در انتها به پیشنهاد پرداخت تسهیلات کمبهره به این شرکتها اشاره و تأکید کرد: در وضعیت کنونی و با توجه به اینکه بسیاری از محصولات نرمافزاری کشور مبتلا به «بیگواهینامگی» هستند، حمایتهای مورد انتظار شرکتهای نرمافزاری، صرفاً محدود به موارد مالی نیست. ظرفیت فعلی آزمایشگاههای ارزیاب امنیت نرمافزار متناسب با حجم تقاضای ارزیابی نیست و شرکتها باید مدت طولانی در صف انتظار بمانند. عدم آمادگی فنی محصولات نرمافزاری نیز این فرایند طولانیتر میکند. در مورد هزینههای ارزیابی پرسشهایی جدی در بین همکاران وجود دارد. تفاوت این هزینهها بین آزمایشگاههای مختلف گاه بسیار معنادار است. قراردادهای بین آزمایشگاهها و شرکتها عموما یک طرفه است و توافقنامه سطح خدمات (SLA) مستلزم تدقیق به نفع طرفین است.
وی ادامه داد: مرحله پایانی صدور گواهینامه توسط سازمان افتا نیز روزبهروز طولانیتر میشود. در این میان، کارفرمایان دولتی نیز با رویکرد صرفاً بوروکراتیک نسبت به موضوع گواهینامه امنیت نرم افزار، شرایطی را به همکاران ما تحمیل میکنند که توجیهناپذیر است. برای مثال یکی از دستگاههای دولتی در اول آذرماه ۱۴۰۰ اعلام کرد محصولاتی را که در اول خرداد ماه ۱۴۰۱ به استناد وبسایت افتا فاقد گواهینامه امنیت نرم افزار باشند، از کاربری حذف خواهد کرد. خوشبختانه توضیحات ما به این نهاد مبنی بر اینکه حتی در صورت اتمام فرایند ارزیابی در آزمایشگاه در تاریخ اول آذر ۱۴۰۰ و گزارش مراتب به سازمان افتا، صدور گواهینامه تا اول خرداد ۱۴۰۱، عملی نخواهد بود، قانعکننده بود و این مهلت تمدید شد. به نظر ما سازمان فناوری اطلاعات میتواند با سروسامان دادن به این وضع، بهویژه با رویکرد دفاع از منافع عامه، از جمله شرکتهای بخش خصوصی، فضای امنی را برای حصول به اهداف نظام در مورد امنیت نرم افزار فراهم آورد.
انتهای پیام/4144
انتهای پیام/