هاشم حبیبی
نایب‌رئیس هیأت مدیره
انجمن صنفی افتا

اتفاقی که چندی پیش در لبنان افتاد و منجر به منفجر شدن تعداد زیادی پیجر و بی‌سیم شد، باز هم نگاه‌ها را به موضوع ارزیابی‌های ایمنی و امنیتی جلب کرده است. برای درک بهتر این موضوع بهتر است ابتدا تعریفی از ارزیابی امنیتی و ارزیابی‌ ایمنی داشته باشیم.
در ارزیابی امنیتی، عملاً ابزار، تجهیزات، نرم‌افزار یا سخت‌افزار به گونه‌ای مورد بررسی قرار می‌گیرد که امن کار کند و به این موضوع توجه می‌شود که تجهیزات سخت‌افزاری یا نرم‌افزاری، کار غیرمعمولی انجام ندهند. به عنوان مثال اگر نرم‌افزار باید یک فعالیت اتوماسیون را انجام دهد، مورد ارزیابی امنیتی قرار می‌گیرد تا اطمینان حاصل شود اتفاق ناامنی مانند سرریز بافر یا موارد دیگری که باعث خرابی نرم‌افزار و... می‌شود، وجود ندارد و کاملاً درست و امن کار می‌کند. ارزیابی امنیتی یعنی اطمینان از اینکه سخت‌افزار یا نرم‌افزار عملکرد خودش را به درستی و به‌صورت امن انجام می‌دهد. اما در ارزیابی ایمنی که در کشور از آن به عنوان«صیانت سنجی» یا صیانت از سخت‌افزار و نرم‌افزار و تجهیزات در آزمایشگاه‌های مربوطه یاد می‌شود، این موضوع مورد سنجش قرار می‌گیرد که در نرم‌افزار یا سخت‌افزار، مورد ممنوعه‌ای وجود نداشته باشد. به عنوان مثال در کاتالوگ یک سخت‌افزار آمده است که نیازی به بلوتوث، آی‌سی مشخص، کارت شبکه و برخی موارد دیگر نیست، یا در یک نرم‌افزار عنوان شده که قرار نیست ذخیره داده یا فعالیت خاصی انجام شود. اگر در ارزیابی ایمنی مغایرت‌هایی دیده شود، عملاً می‌توان گفت که این دستگاه یا نرم‌افزار ایمن نیست. در واقع ارزیابی ایمنی یعنی اطمینان از اینکه سخت‌افزار یا نرم‌افرار کاری را که قرار نیست انجام دهد، انجام نمی‌دهد.

لزوم ارزیابی همزمان
امنیتی و ایمنی
ارزیابی همزمان امنیتی و ایمنی، می‌تواند فرآیند خوبی برای اطمینان از کارکرد امن محصولات وارداتی باشد. هر چند نباید از ارزیابی‌های دوگانه امنیتی و ایمنی تجهیزات تولید داخل هم غفلت کرد ولی از آنجا که محصولات خارجی توسط یک عامل غیرقابل اعتماد ساخته شده، حتماً باید برای آنها ارزیابی‌های دقیق‌تر و منظم‌تری انجام داد. در ارزیابی ایمنی یا همان صیانت‌سنجی، باید از فرآیند خرید گرفته تا مسیرهای ورود کالا به داخل کشور، انبارداری و استفاده از این تجهیزات مورد بررسی قرار بگیرد.
موضوع مهم‌تر اینکه ارزیابی ایمنی و امنیتی فقط برای نقطه پایانی و انتهایی نیست. یعنی فقط نباید به بررسی و ارزیابی تجهیزات، کامپیوتر، لپ‌تاپ و آی‌سی در مرحله آخر بسنده کرد. کسی که قرار است خرابکاری کند انسان باهوشی است و به‌گونه‌ای خرابکاری می‌کند که به راحتی نتوان آن را پیدا کرد. بنابراین برای بهتر پیدا کردن خرابکاری‌ها، باید از مرحله تأمین یعنی فرآیند خرید، مسیرهای حمل کالا، انبارداری، خروج از انبار، فرآیند استفاده، ورود به خط تولید و نهایتاً تحویل به مشتری ارزیابی و کنترل شود که مرحله ناامنی اتفاق نیفتاده باشد.

یک زنجیره حساس
می‌توان گفت ارزیابی ایمنی یا صیانت، فرآیندی کامل از خرید تا استفاده است که درحال حاضر امری رایج در بسیاری از آزمایشگاه‌های دنیا محسوب می‌شود. به عنوان مثال در این مسیر اگر به بررسی فرآیند خرید بپردازیم، می‌توانیم متوجه شویم که این کالا از چه کشور یا شرکتی خریداری شده یا چه اشخاصی به مرحله خرید ورود کرده‌اند. البته باید دقت کرد که در ارزیابی فرآیند تأمین، حذف تأمین‌کننده‌ها امکان‌پذیر نیست، چرا که اساساً نمی‌توان برخی شرکت‌ها یا افراد را از این زنجیره حذف کرد اما می‌توان با چشم باز متوجه این موضوع بود که این کالا از چه شخص یا کشور خاصی خریداری شده یا تولید چه شرکت خاصی است. حتی می‌توان به این موضوع توجه کرد که کالا از مسیر چه کشورهایی عبور کرده تا وارد کشور ما شود. بدین ترتیب این مسیر و فرآیندها باید بررسی شود و درصورت مشاهده یک مورد مشکوک، ارزیابی و کنترل‌ها دوچندان شود. در نهایت هم این تجهیزات به انبار وارد می‌شود و مراحل نگهداری در انبار و دسترسی‌ها به کالا باید تحت بررسی قرار گیرد. در زمان انبارداری نیز تجهیزات باید مطابق روال‌های استاندارد و به صورت تصادفی ارزیابی شوند. اما در صورت وجود مورد مشکوک، باید تعداد بیشتری از حد استاندارد مورد بررسی قرار بگیرد.
همچنین در صورت استفاده از این تجهیزات در موارد حساس و حیاتی، تمامی فرآیند خرید، حمل، نگهداری و استفاده این قطعات و تجهیزات حساس باید مورد ارزیابی قرار گیرد. به عنوان مثال اگر می‌خواهیم از یک تجهیز در زیرساخت‌های حیاتی استفاده کنیم، باید به این موضوع توجه کرد که دشمن می‌تواند با قراردادن درهای پشتی در این تجهیزات، به سرقت اطلاعات بپردازد یا بعداً در زمان مشخص به خرابکاری دست بزند. در انبارداری هم کنترل افراد دارای دسترسی به انبار ضروری است و وقتی قطعه از انبار خارج شده و به خط تولید می‌رود بازهم باید هم از لحاظ عملکردی، امنیت و ایمنی بررسی شود که مشکل خاصی پیش نیاید. اکنون که دنیا به این سمت رفته، ما هم باید آزمایشگاه‌های بهتری تأسیس و عزم خود را برای این امر جزم کنیم.

توجه به نیروهای متخصص
در عملیات خرابکاری، عامل انسانی یعنی خلاقیت دخیل است که سعی می‌کنند با استفاده از نهایت بلوغ خود خرابکاری کنند، پس ارزیاب ایمنی هم باید بسیار خلاق، باهوش و باتجربه باشد. باید توجه داشت که تعداد این اشخاص در کشور معدود است و باید با حفظ آنها امنیت را بالا ببریم.
هرچند ارزیابی امنیتی به صورت روتین انجام می‌شود، اما مهم این است که ارزیابی ایمنی با خلاقیت‌های مدنظر برای زیرساخت‌های حیاتی و حساس انجام شود. متخصصان این حوزه که از آنها به عنوان کارآگاه‌های خبره هم یاد می‌شود را باید به هر روش ممکن در آزمایشگاه‌ها نگاه داشت تا بتوانند خرابکاری‌ها را شناسایی کنند. امیدوارم علاوه بر افزایش این نوع آزمایشگاه‌ها، حفاظت و حراست از آنها هم در دستور کار قرار بگیرد.