چارچوب رتبه بندی امنیتی اپلیکیشن ها توسط پلیس فتا و سازمان فناوری اطلاعات تدوین می شود

پلیس فتا و سازمان فناوری اطلاعات قصد دارند تا با تدوین چارچوبی مشترک، مراحل، اصول ارزیابی و رتبه‌بندی امنیتی اپلیکیشن‌ها را مشخص کنند.

بررسی و ارزیابی امنیت اپلیکیشن‌های موجود در بازار گوشی‌های هوشمند، از لحاظ حفظ ایمنی در سطوح کاربری و سازمانی اهمیت بالایی دارد. در ایران، پلیس سایبری موسوم به پلیس فتا، بخش عمده‌ای از وظایف حفظ امنیت فضای آنلاین را برعهده دارد. به گزارش پیوست، این مجموعه‌ در نظر دارد تا با همکاری سازمان فناوری اطلاعات، چارچوب‌های امنیتی ارزیابی و رتبه‌بندی اپلیکیشن‌ها را از لحاظ امنیت و حفظ حریم خصوصی تدوین کند. البته چارچوب مشترک ارزیابی، برای اپلیکیشن‌ها الزام‌آور نخواهد بود، اما هر اپلیکیشنی که در فرایند مذکور شرکت کند، درنهایت تأییدیه‌ی مرتبط با ارزیابی را دریافت خواهد کرد.

ابوالقاسم صادقی، معاون امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات، در مصاحبه‌‌ای با پیوست پیرامون خبر اخیر گفت: «ما درحال آماده کردن یک چارچوب مشترک با همکاری پلیس فتا هستیم تا طبق آن اپ‌ها را رتبه‌بندی کنیم و آن‌ها را از نظر امنیت و حفظ حریم خصوصی کاربرانشان بسنجیم». درحال‌حاضر، مارکت‌های متعدد اپلیکیشن در ایران مانند بازار و مایکت و دیگران، راهکارهایی را برای امنیت‌سنجی اپلیکیشن‌های موجود در پلتفرم‌های خود توسعه داده‌اند. ازطرفی هیچ‌گونه چارچوب مشترکی برای ارزیابی بین آن‌ها وجود ندارد که همین خلأ، ایده‌ی همکاری مشترک فتا را با سازمان فناوری اطلاعات شکل داد.

بدافزار اندروید xHelper

صادقی در ادامه‌ی مصاحبه با پیوست پیرامون اهمیت امنیت اپلیکیشن‌ها در دوران کنونی گفت:

هم‌اکنون اپ‌ها کانون اشتغال در فضای مجازی هستند از همین رو نباید به‌گونه‌ای عمل کنیم که این بخش آسیب ببیند و اگر می‌خواهیم یک استاندارد یا چارچوب کلی برای تمامی اپلیکیشن‌ها و برنامه‌ها منتشر کنیم باید حتما جامع‌الاطراف باشد، اما در شرایط فعلی به این جایگاه هنوز دست پیدا نکرده‌ایم. ورود به فرایند ارزیابی اپلیکیشن‌ها و برنامه‌ها برای تمامی اپ‌ها الزام آور نیست؛ بلکه آنهایی که علاقه‌مند هستند که وارد این فرایند شوند می‌توانند همکاری کنند. از سویی مردم و کاربران برنامه‌ها نیز می‌توانند از نظر‌های دو نهاد تخصصی در مورد امنیت اپلیکیشنی که می‌خواهند آن را نصب کنند، مطلع شوند. ما هنوز نمی‌توانیم یک پروتکل کلی و جامع راجع به امنیت برای تمامی اپ‌ها و برنامه‌ها صادر کنیم از همین رو شرکت در ارزیابی رتبه‌بندی امنیتی اپ‌ها نیز برای همه الزامی نیست.

پیش از این بانک مرکزی نیز راهکاری برای ارزیابی امنیتی اپلیکیشن‌های بانکی پیاده کرده بود. این سازمان از سال ۹۷ فرایند احراز هویت را برای اپلیکیشن‌ها اجرا کرد. صادقی در پایان صحبت‌های خود به اهمیت رعایت اصول امنیتی ازسوی کاربران نیز اشاره کرد. او ارائه‌ی دسترسی‌های گوناگون به اپلیکیشن‌ها را اقدامی خطرناک بیان کرد که برای برخی از سرویس‌ها اصولا نیازی هم به مجوزها نیست. او در پایان به کاربران پیشنهاد داد که تنها اپلیکیشن‌های ضروری و کاربردی را روی دستگاه هوشمند خود نصب کنند.