تعداد انگشت‌شمار نرم‌افزارهای دارای تاییدیه افتا/ سختگیری‌های صدور گواهی افتا بیشتر معطوف به صاحب‌محصول است

یکی از چالش‌های مطرح در کمیسیون نرم‌افزارهای سلامت الکترونیکی در رسته توسعه نرم افزار سازمان نظام صنفی رایانه‌ای استان تهران، مسئله امنیت نرم‌افزارها است. چندی پیش نیز در جلسه مشترک کمیته راهبری این رسته با معاون وزیر و رییس سازمان فناوری اطلاعات ایران، تأییدیه‌های امنیتی محصولات نرم‌افزاری یکی از موضوعات مهمی بود که مورد بحث و بررسی قرار گرفت.

به گزارش بانگ اقتصاد به نقل از روابط عمومی سازمان نظام صنفی رایانه‌ای استان تهران، ناصر شاکرحسینی، رئیس کمیسیون نرم‌افزارهای سلامت الکترونیکی در گفتگو با روابط عمومی این سازمان در مورد نرم‌افزارهای حوزه سلامت گفت: «نرم افزارهای کاربردی بطور عام و نرم افزارهای حوزه سلامت باید در مقابل تمام تهدیدهای احتمالی به‌ویژه حملات سایبری مصون بمانند. آنچه که به‌عنوان هک شناخته می‌شود، تمامِ تهدید سایبری نیست. دم‌دست‌تر از هک سیستم، تهدیداتی است که در کاربری‌های روزمره سامانه‌ها احتمال وقوع دارد، از جمله عدم رعایت سطوح دسترسی توسط کاربران و یا سهل‌انگاری در آن. در ارزیابی امنیتی، آسیب‌پذیری نرم افزارها شناسایی می‌شود، از جمله تهدیداتی که می‌توانند موجب توقف عملیات سیستم، سوء عملکرد سیستم و یا خرابی داده‌ها و از دسترس خارج‌شدن آنها شود. این تهدیدات الزاماً ناشی از هک توسط عوامل خارجی نیستند. در حوزه سلامت الکترونیک، محرمانگی داده‌ها اهمیت ویژه‌ای دارد. نرم افزارهایی که با داده‌های بیماران سروکار دارند باید اطمینان‌پذیری کافی برای حفظ این داده‌ها داشته باشند. به‌ویژه با توجه به رواج تبادل داده بین سامانه‌های مختلف حوزه‌های درمان از طریق رابط‌های برنامه‌نویسی برنامه‌های کاربرد (API)، مراقبت‌های امنیتی در ورودی‌ها و خروجی‌ها اهمیت ویژه یافته است».

او در ادامه در توضیح سخت‌گیری‌های مطرح در مورد این تأییدیه‌ها و گواهی افتا افزود: «شاخص‌های ارزیابی امنیتی نرم‌افزارها، شاخص‌هایی استانداردند که کمتر مورد دخل و تصرف و ملاحظات بومی قرار می‌گیرند. سختگیری‌های مطرح در اینجا کمتر معطوف به محصول و بیشتر معطوف به صاحب محصول است. یعنی شما به‌عنوان ارائه‌کننده یک محصول نرم‌افزاری حتما باید دارای ویژگی‌هایی باشید که تعیین آن‌ها با نهادهای بالادستی امنیتی و اطلاعاتی کشور است. برای مثال در ترکیب هیئت مدیره و سهامدران شرکت شما نباید افراد غیر ایرانی یا دوتابعیتی حضور داشته باشندکه البته قابل‌فهم و قابل‌پذیرش است اما تسری این محدودیت به کارکنان و کارشناسان شما کار را کمی پیچیده می‌کند، به‌ویژه در وضعیتی که کارشناسان شرکت‌های نرم افزاری مدام در حال تغییر و جابجایی‌اند. با توجه به این‌که صاحبان محصولات نرم‌افزاری عموماً بنگاه‌های اقتصادی‌اند، مسئولیت این کارشناسان نیز با مدیران این بنگاه‌ها است و می‌توان نسبت به آن‌ها سخت‌گیری کمتری داشت. فرایند ارزیابی بعد از احراز صلاحیت بنگاه انجام می‌شود و اگر قبل از آن شروع شده باشد، صدور گواهینامه مشروط به قبولی امنیتی بنگاه است».

مشکلات دریافت نکردن تأییدیه‌ها

چندی پیش در جلسه مشترک نصر تهران و رییس سازمان فناوری اطلاعات ایران اشاره شد که بیمارستان‌ها و مراکز درمانی با این بهانه که شرکت‌ها هنوز موفق به دریافت تأییدیه امنیتی نشده‌اند، تنها 50 درصد مطالبات سال پیش را پرداخت کرده‌اند. شاکرحسینی در اشاره به تهدیدات و مشکلاتی که عدم دریافت این تأییدیه‌ها برای شرکت‌های عرضه‌کننده محصولات و خدمات در حوزه سلامت الکترونیک ایجاد می‌کند تأکید کرد: «موضوع اصلی در مورد گواهی امنیت نرم‌افزار ارزیابی محصول است. یعنی شما می‌توانید مرحله اول قبولی بنگاه را بگذرانید اما دارای محصولاتی باشید که بعضاً هنوز گواهی امنیت نرم‌افزار ندارند. بنابر قوانین و مقررات جاری، دستگاه‌های دولتی مجاز به خرید محصول فاقد گواهینامه امنیتی نیستند. در مورد محصولاتی که قبلاً توسط دستگاه‌ها خریداری شده‌اند، عقد قراردادهای تأمین خدمات پشتیبانی و توسعه نرم‌افزار، مشروط به احراز امنیت نرم‌افزار و اخذ گواهینامه است. دقیقاً در همینجاست که اکثریت قریب به اتفاق شرکت‌های فعال در حوزه سلامت الکترونیک گرفتار می‌شوند.»

او ادامه داد: «ضمناً هدف اصلی اکثر محصولات حوزه سلامت الکترونیک که از سه دهه قبل وارد حوزه بهداشت و درمان کشور شده‌اند تأمین نیازهای کاربردی متنوع و دائماً در حال تغییر این حوزه و کسب رضایت روزمره کاربران بوده است. ملاحظات امنیتی هم در چارچوب سواد و علاقهتولیدکننده نرم افزار مورد توجه قرار داشته است. بنابراین، نه فرصتی برای پرداختن به موضوعات مهمی مثل امنیت نرم افزار در چارچوب ضوابط و استانداردهای علمی و فنی بوده و نه الزامی قانونی برای پرداختن به این امر مهم. نتیجه این شده که در میان صدها محصول نرم‌افزاری که در حال حاضر مورد بهره‌برداری مراکز درمانی کشور قرار دارند، تعداد محصولات دارای گواهی، کمتر از تعداد انگشتان دو دست است».

شاکرحسینی در ادامه درباره این تهدیدات گفت در چنین شرایطی طرف‌های ذینفع با دو تهدید مواجه می‌شوند: اول تعویض و جابجایی نرم افزارهای فاقد گواهینامه و دوم از دست دادن منافع آنی. او توضیح داد که تعویض و جابجایی نرم افزارهای فاقد گواهینامه اقدامی خطیر و پرهزینه همراه با امکان ایجاد فاسد به‌نفع ایجاد انحصار برای معدود محصولات دارای گواهینامه است.

او در این باره گفت: «متاسفانه این فرایند دو سالی است که آغاز شده و کارفرمایان مراکز دولتی به‌ویژه بیمارستان‌ها بدون توجه به ظرفیت‌های اجرایی شرکت‌هایی معین، عملاً موجب تغییر تناسب در سهم بازار در این حوزه شده‌اند؛ اقدامی که نهایتاً خود آن‌ها را هم گرفتار خواهد کرد».

او با اشاره به از دست رفتن منافع آنی شرکت‌ها توضیح داد در مورد آن‌هایی که محصولاتشان در وضعیت ثبات و بهره‌برداری رضایتمندانه قرار دارد. اما تمدید قرار، پرداخت مطالبات و آزادشدن ضمانت‌نامه‌ها برایشان مشروط به اخذ گواهینامه امنیت نرم‌افزار شده است. بسیاری از کارفرمایان در عین حال که نیازهای خود را با نرم‌افزار همچنان تأمین می‌کنند، خود را موظف به تسویه حساب نمی‌دانند.

او افزود: «این وضعیت، کار را برای شرکت‌های کوچک، تازه‌کار و گاه آماتور دشوارتر می‌کند. متأسفانه تعداد شرکت‌هایی که از سر علاقه و تفنن و آماتوریسم به فعالیت در حوزه سلامت الکترونیک رو آورده‌اند و حتی توان تأمین هزینه‌های اخذ گواهینامه امنیتی را ندارند نیز قابل توجه است.»

راهکارهای رفع مشکلات

رئیس کمیسیون نرم‌افزارهای سلامت الکترونیکی جهت ارائه راهکاری برای رفع این مشکل گفت: «تأمین هزینه‌های اخذ گواهینامه امنیت نرم‌افزار اگرچه مشکل جدی بسیاری از شرکت‌ها است اما مشکل اصلی نیست. مشکل اصلی، فقدان دانش و تجربه در این خصوص است. حتی با فرض وجود بضاعت کافی برای تأمین هزینه‌های اخذ گواهینامه، بسیاری از محصولاتی که در حال حاضر مورد بهره‌برداری هستند برای گذراندن فرایند ارزیابی، عملاً باید مشمول فرایند بازتولید نرم افزار بشوند و این امر در وضعت اقتصادی فعلی برای بسیاری از همکاران ما دشوار و گاه نشدنی است، زیرا این همکاران هم باید خدمات مشتریان فعلی را تأمین کنند، هم به حداقل دریافت‌ها از این مشتریان بسنده کنند و هم هزینه‌های ارزیابی امنیتی را متحمل شوند.»

او در اشاره به نقش سازمان نصر در این باره عنوان کرد: «در مورد ارتقای سطح دانش همکاران، حداقل در سطحی که بتوانند فرایند را آغاز کنند، اقدامات درخور توجه و تقدیری از سوی سازمان نظام صنفی رایانه‌ای استان تهران و برخی آزمایشگاه‌های ارزیاب انجام شده و برنامه‌هایی نیز در دست اجرا است. آزمایشگاه‌های ارزیاب، شرایط و تسهیلات ویژه‌ای را برای اعضای سازمان نصر در نظر گرفته‌اند و مهمتر این‌که در سایه تعامل بسیار خوب بین کمیسیون سلامت الکترونیک سازمان نظام صنفی رایانه‌ای کشور و مرکز مدیریت آمار و فناوری اطلاعات وزارت بهداشت، درمان و آموزش پزشکی، موضوع استمهال برای اخذ گواهینامه امنیت نرم افزار تحقق یافته و مراکز تشخیصی و درمانی دولتی - دانشگاهی «سند قرارگیری در فرایند ارزیابی» صادره از آزمایشگاه‌های مورد تأیید «افتا» را برای تمدید قراردادهای پشتیبانی پذیرفته‌اند.»

شاکرحسینی در انتها به پیشنهاد پرداخت تسهیلات کم‌بهره به این شرکت‌ها اشاره و تأکید کرد: «در وضعیت کنونی و با توجه به اینکه بسیاری از محصولات نرم‌افزاری کشور مبتلا به «بی‌گواهینامگی» هستند، حمایت‌های مورد انتظار شرکت‌های نرم‌افزاری، صرفاً محدود به موارد مالی نیست. ظرفیت فعلی آزمایشگاه‌های ارزیاب امنیت نرم‌افزار متناسب با حجم تقاضای ارزیابی نیست و شرکت‌ها باید مدت طولانی در صف انتظار بمانند. عدم آمادگی فنی محصولات نرم‌افزاری نیز این فرایند طولانی‌تر می‌کند. در مورد هزینه‌های ارزیابی پرسش‌هایی جدی در بین همکاران وجود دارد. تفاوت این هزینه‌ها بین آزمایشگاه‌های مختلف گاه بسیار معنادار است. قراردادهای بین آزمایشگاه‌ها و شرکت‌ها عموما یک طرفه است و توافقنامه سطح خدمات (SLA) مستلزم تدقیق به نفع طرفین است.»

او ادامه داد: «مرحله پایانی صدور گواهینامه توسط سازمان افتا نیز روزبه‌روز طولانی‌تر می‌شود. در این میان،کارفرمایان دولتی نیز با رویکرد صرفاً بوروکراتیک نسبت به موضوع گواهینامه امنیت نرم افزار، شرایطی را به همکاران ما تحمیل می‌کنند که توجیه‌ناپذیر است. برای مثال یکی از دستگاه‌های دولتی در اول آذرماه 1400 اعلام کرد محصولاتی را که در اول خرداد ماه 1401 به استناد وبسایت افتا فاقد گواهینامه امنیت نرم افزار باشند، از کاربری حذف خواهد کرد. خوشبختانه توضیحات ما به این نهاد مبنی بر این‌که حتی در صورت اتمام فرایند ارزیابی در آزمایشگاه در تاریخ اول آذر 1400 و گزارش مراتب به سازمان افتا، صدور گواهینامه تا اول خرداد 1401، عملی نخواهد بود، قانع‌کننده بود و این مهلت تمدید شد. به نظر ما سازمان فناوری اطلاعات می‌تواند با سروسامان دادن به این وضع، به‌ویژه با رویکرد دفاع از منافع عامه، از جمله شرکت‌های بخش خصوصی، فضای امنی را برای حصول به اهداف نظام در مورد امنیت نرم افزار فراهم آورد.»

انتهای پیام/