ITanalyze

در ابتدای تابستان محمد خوانساری، رئیس سازمان فناوری اطلاعات از اصلاح مصوبه ۲۴۷ خبر داد که به مصوبه رتبه‌بندی مراکز داده هم شناخته می‌شود. در حالی که رسانه‌ها منتظر اعلام جزئیات بیشتر در مورد این روند اصلاح بودند، در اواسط تابستان معاون سیاستگذاری و اعتباربخشی همین سازمان اعلام کرد که «اصلاحیه‌های تنظیم‌گری فناوری اطلاعات در حوزه‌های تولیدات نرم‌افزاری، خدمات مراکز داده و خدمات ابری در انتظار تصویب رگولاتوری است».

به این ترتیب گویا بیشتر از اینکه سازمان فناوری اطلاعات به دنبال رفع اشکالات مصوبه ۲۴۷ یا رتبه‌بندی مراکز داده باشد، به دنبال ایجاد یک «رگولاتور جدید» در حوزه فناوری اطلاعات است. پیش‌نویس اصلاح مصوبه ۲۴۷، باعث نگرانی طیف وسیعی از فعالان حوزه خدمات وابسته به مراکز داده و ابری هم شده است.

برای نمونه در گفت‌وگوی «دنیای اقتصاد» با برخی فعالان حوزه خدمات مراکز داده و ابری، آنها با ابراز نگرانی از روند اصلاح این مصوبه اعلام می‌کنند که پیش‌نویس اصلاح مصوبه ۲۴۷ از حالت مجوز رتبه‌بندی تشویقی به یک مجوز اجباری تبدیل شده است که اگر هر فعالی در این حوزه آن را نداشته باشد، از ارائه خدمات محروم می‌شود؛ موضوعی که خلاف سیاستگذاری‌های دولت برای توسعه استفاده از سرویس‌های زیرساختی داخلی است.

همچنین برخی فعالان ابری مشکلات امنیتی و لطمه زدن به حریم شخصی داده‌های کاربرانی را که از سرویس‌های آنها استفاده می‌کنند، یکی دیگر از چالش‌های جدی این پیش‌نویس عنوان می‌کنند. این پیش‌نویس حتی صدای اعتراض انجمن تجارت الکترونیک تهران را نیز بلند کرده است.

در نامه‌ انجمن تجارت الکترونیک تهران به سازمان فناوری اطلاعات که هنوز به صورت رسمی منتشر نشده و در اختیار خبرنگار «دنیای اقتصاد» قرار گرفته است، این انجمن اعلام کرده که «این پیش‌نویس در صورت تصویب، برخلاف هدف مندرج در مقدمه آن که «حمایت از سرمایه‌گذاری بخش خصوصی فعال» در این حوزه عنوان شده است، هم‌سنگ و هم راستا با «طرح صیانت»، تبدیل به سندی خواهد شد که مقدمه‌ای بر افول کسب‌وکارهای حوزه فناوری اطلاعات از شرکت‌های زیرساخت گرفته تا کسب‌وکارهای لایه‌های پلتفرمی و محتوا می‌شود.»

گسترش جزیره‌ای دیتاسنترها و طرح نظام رتبه‌بندی

در دهه 80 شکل‌گیری دیتاسنترها در داخل کشور سبب شد در کنار شرکت‌های خصوصی، بسیاری از نهادهای حاکمیتی از وزارتخانه‌های دولتی گرفته تا بانک‌های کشور نیز هر کدام به صورت جداگانه برای خود دیتاسنتر راه‌اندازی کنند. این نهادهای حاکمیتی هم به بهانه اینکه اطلاعات حساس و امنیتی در اختیار دارند، حتی از رعایت مصوبه‌های دولت برای استفاده از دیتاسنترهای ملی و مجوزدار وزارت ارتباطات در سال‌های گذشته هم سر باز زده‌اند. نتیجه شکل‌گیری جزیره‌ای دیتاسنترها در بخش‌ها و ارگان‌های مختلف دولتی و غیردولتی، کاهش کیفیت و استاندارد نبودن خدمات آنها در زمینه میزبانی بود.

گسترش غیراستاندارد دیتاسنترهای داخلی در نهایت موجب شد رگولاتوری برای نظام‌مند کردن میزبانی خدمات ارتباطی در داخل کشور در سال ۱۳۹۵ مصوبه‌ای برای رتبه‌بندی و ارائه مجوز به دیتاسنتر‌های کشور تصویب کند. مصوبه‌ای که در آن سال به اجرا گذاشته نشد و در نهایت سه سال بعد یعنی ۱۳۹۸ با همکاری سازمان نظام صنفی رایانه‌ای و سازمان فناوری اطلاعات به اجرا درآمد.

هرچند این مصوبه که عنوان آن «رتبه‌بندی مراکز داده» است، به صورت تشویقی و نه اجباری برای مراکز داده به اجرا گذاشته شد، اما در همان زمان هم به خاطر ایرادات مختلف آن از جمله اشکالات در استانداردهای پیاده‌سازی رتبه‌بندی و مورد قبول نبودن آزمایشگاه‌ها برای ارزیابی شرکت‌ها و… مورد انتقاد بسیاری از فعالان این حوزه قرار گرفت. هر چند این مصوبه که به مدت تقریبا چهار سال به اجرا گذاشته شده، همچنان خروجی مشخص و مشهودی از تاثیر رتبه‌بندی‌های آن در پیشرفت استانداردسازی مراکز داده کشور منتشر نشده است.

ایجاد یک رگولاتور جدید یا رتبه‌بندی اجباری

بعد از گذشت چند سال از اجرای مصوبه ۲۴۷، سازمان فناوری اطلاعات در ابتدای سال جاری تصمیم گرفت با کمک سازمان فناوری اطلاعات و بنا بر درخواست فعالان بخش خصوصی این مصوبه را اصلاح کند. نزدیک به دو ماه پیش سازمان فناوری اطلاعات پیش‌نویس اصلاح مصوبه ۲۴۷ را تدوین کرد و آن را برای نظرخواهی از طریق سازمان نظام صنفی رایانه‌ای در اختیار فعالان بخش خصوصی گذاشت.

بررسی ابتدایی نسخه پیش‌نویس اصلاح مصوبه رتبه‌بندی مراکز داده (۲۴۷) که به دست خبرنگار «دنیای اقتصاد» رسیده است، نشان می‌دهد که سازمان فناوری اطلاعات پا را فراتر از اصلاح این مصوبه گذاشته و با تغییر نام آن به «اصول حاکم بر خدمات مراکز داده و خدمات ابری» و اضافه کردن حوزه‌های مختلف مانند تولیدات نرم‌افزاری، به دنبال تنظیم‌گری جدی در حوزه IT است. از سوی دیگر، مطالعه بندهای مختلف آن نشان از ابهام‌های گوناگونی دارد، از جمله اینکه مشخص نیست سازمان فناوری اطلاعات در پیش‌نویس اصلاح شده مصوبه ۲۴۷ به دنبال ارائه مجوز‌دهی اجباری است یا رتبه‌بندی تشویقی!

کیوان ماموری، معاون توسعه شرکت «سینداد» که در حوزه ‌هاستینگ فعالیت می‌کند، در گفت‌وگو با «دنیای اقتصاد» پیش‌نویس اصلاح مصوبه ۲۴۷ را سرشار از ابهام می‌داند. به باور او مهم‌ترین انتقادی که به این پیش‌نویس وارد است، بلاتکلیف بودن در لغاتی است که در آن مورد استفاده قرار گرفته. به گفته او در این پیش‌نویس مجوز به صورت «کادو پیچ» شده به نام رتبه‌بندی، آن هم از نوع اجباری معرفی شده است.

ماموری تایید می‌کند در هیچ کجای دنیا رتبه‌بندی به صورت اجباری انجام نمی‌شود و کاملا براساس تمایل یک شرکت صورت می‌گیرد، اما در این پیش‌نویس اعلام شده که اگر شرکتی از این رتبه‌بندی استفاده نکند، بعد از مدت یک سال نمی‌تواند خدمات ارائه کند و این یعنی اجبار در گرفتن رتبه‌بندی. به گفته او وقتی دریافت رتبه‌بندی به شکل اجبار در می‌آید یعنی سازمان فناوری اطلاعات می‌خواهد در نقش یک رگولاتور حاضر شود و این رتبه‌بندی را – که در واقع همان مجوزدهی است- به ابزاری برای ورود به نحوه فعالیت یک کسب‌وکار تبدیل کند.

او در این زمینه به «دنیای اقتصاد» می‌گوید: «مهم‌ترین چیزی که باید در این پیش‌نویس مشخص شود، هدف از اصلاح رتبه‌بندی است؛ اینکه آیا هدف از این اصلاح، ساماندهی، تنظیم‌گری یا حفاظت و حمایت از حریم خصوصی مشتریان است؟ به اعتقاد من با توجه به لغاتی که در پیش‌نویس استفاده شده، هدف از آن ایجاد یک رگولاتوری جدید در حوزه IT است.‌»

 به باور ماموری در نهایت برای همین که سازمان فناوری اطلاعات خودش را رگولاتور این حوزه کند، به سمت رتبه‌بندی مراکز داده و ابری رفته است.

او در پاسخ به این سوال که چگونه باور دارد این پیش‌نویس در تلاش برای مجوزدهی به فعالان این حوزه است نه رتبه‌بندی، توضیح می‌دهد: «در این پیش‌نویس مشوق‌هایی در نظر گرفته شده است مانند امکان اتصال به مراکز تبادل ترافیک (IXP) یا ارائه وام‌ و… در واقع این مشوق‌ها ارائه شده که شرکت‌ها مجبور به دریافت رتبه‌بندی شوند. به نوعی تسهیلاتی که در همه جای دنیا به شکل پیش‌فرض برای رشد این صنعت به فعالان آن داده می‌شود، در این پیش‌نویس به شکل مشوق ارائه می‌شود تا من به عنوان یک دارنده دیتاسنتر یا فعال خدمات زیرساخت شبکه مجبور به دریافت این رتبه‌بندی شوم که این سیاست اشتباه است.» آن‌طور که ماموری می‌گوید انجام رتبه‌بندی برای هر رک از یک دیتاسنتر به صورت میانگین بین ۱۰ تا ۱۲ میلیون تومان برای صاحبان این سرویس‌ها هزینه دارد و جای سوال دارد که چرا بایدیک مرکز داده برای این رتبه‌بندی که باید اختیاری باشد، مجبور به پرداخت این هزینه شود.

پیش‌نویسی خلاف سیاست‌های توسعه شبکه داخلی

محمد مظفری، معاون فنی شرکت گرین‌وب، فعال در حوزه مراکز داده و میزبانی وب نیز در گفت‌وگو با «دنیای اقتصاد» بزرگ‌ترین چالش این پیش‌نویس را در این موضوع می‌داند که مراکز داده را از حالت تشویقی به سمت اجبار به رتبه‌بندی سوق می‌دهد. از طرف دیگر، به باور او یکی دیگر از مشکلات این پیش‌نویس آن است که این رتبه‌بندی اجباری را به تمام خدمات‌دهندگان ابری، میزبانی و کسانی که نرم‌افزار اینترنتی تولید می‌کنند، مانند فعالان SaaS هم گسترش داده است. او این پیش‌نویس را خلاف تمام سیاست‌هایی می‌داند که دولت برای استفاده از سرویس‌های میزبانی داخلی در نظر گرفته است.

مظفری در این مورد می‌گوید: «هرچند این پیش‌نویس به تصویب نرسیده، اما بندهای به کار گرفته شده در آن نگران‌کننده است. برای نمونه دسترسی به IXP به عنوان یک مشوق در نظر گرفته شده و تنها کسانی می‌توانند به این مشوق دسترسی داشته باشند که رتبه‌بندی شده باشند؛ این یعنی اجبار در رتبه‌بندی.»

او ادامه می‌دهد: «این مشوق‌های اجباری باید به صورت عمومی در اختیار فعالان این حوزه قرار بگیرد، چون هرچه استفاده از IXP بیشتر باشد، ارتباطات داخل کشور پایدارتر و ارائه سرویس با کیفیت بهتری صورت می‌گیرد. اما در این پیش‌نویس می‌بینیم که دولت سیاستی خلاف این موضوع را در پیش گرفته است.»

او وارد کردن خدمات‌دهندگان SaaS به این رتبه‌بندی را هم از عجایب این پیش‌نویس می‌داند و توضیح می‌دهد: «کنار هم قرار دادن خدمات زیرساختی در کنار خدمات نرم‌افزارهای ابری (SaaS) بسیار جای تعجب دارد، چون کارکردهای آنها کاملا با هم متفاوت است. چرا یک فعال نرم‌افزار ابری باید خود را درگیر یک رتبه‌بندی کند که برایش هیچ آورده‌ای ندارد و در نهایت هم اگر این رتبه‌بندی را انجام ندهد، بعد از یک سال ارائه سرویس‌دهی به او قطع می‌شود.»

به باور مظفری این پیش‌نویس در صورت اجرا ضربه بزرگ و جبران‌ناپذیری به صنعت مراکز داده و مخصوصا خدمات ابری و مشتریان آنها وارد خواهد کرد.

راهی برای دخالت در داده‌های شخصی کاربران؟

از جمله دیگر ایرادات وارد به این پیش‌نویس از سوی فعالان این حوزه، ایجاد دسترسی آنلاین بدون محدودیت به اطلاعات بر بستر مراکز داده به مجری یعنی سازمان فناوری اطلاعات است. در همین زمینه انجمن تجارت الکترونیک تهران در نامه اخیر خود به سازمان فناوری اطلاعات آورده است که رویکرد غالب سیاستگذاری در این حوزه که در این پیش‌نویس به خوبی دیده می‌شود، نگاه امنیتی به جای نگاه توسعه‌ای و حمایتی به این کسب‌وکارها است.

صابر مسگری، مدیر محصول CDN شرکت ابر آروان، در گفت‌وگو با «دنیای اقتصاد» این پیش‌نویس را دارای مشکلات متنوعی می‌داند که اصلی‌ترین آن اجازه دسترسی بالا به اطلاعات بدون هیچ توضیحی به مجری است.

او با اشاره به بند‌های مختلف این پیش‌نویس با ذکر نمونه‌هایی به ابهام‌های مختلف در آن، می‌گوید: «به عنوان مثال در ماده ۸ بند ۱، دارندگان گواهی‌نامه رتبه‌بندی موظف شده‌اند که دسترسی برخط به سامانه‌های خود را برای مجری جهت ایجاد امکان نظارت اجرای مصوبه فراهم کنند.

به اعتقاد ما این دسترسی برخط مشکلات زیادی هم از نظر قانونی و هم از نظر امنیتی ایجاد می‌کند. در واقع در این بند مشخص نشده که بحث دسترسی به چه نوع دیتاهایی وجود دارد و آیا دیتای شخصی هم در این نوع دسترسی، مد نظر مجری است یا خیر؟»

او ادامه می‌دهد: «به عنوان مثال در بخش دسترسی برخط به سامانه‌ها برای ایجاد امکان نظارت، تعریف سامانه و دسترسی برخط و نظارت چیست؟ دسترسی به اطلاعات شامل چه طیف از داده‌ها می‌شود؛ شامل گزارش‌های مدیریت در مورد میزان ترافیک مصرف می‌شود یا ریز جزئیات دیتای خصوصی کاربران؟» به باور او کسی که این پیش‌نویس را تنظیم کرده در مورد جزئیات سکوت کرده و امکان تفسیر به رای در آینده را باز گذاشته است.

او در این مورد توضیح می‌دهد: «امکان تفسیر به رای در این پیش‌نویس با یکسری بندهای قانونی دیگر کشور تناقض دارد و مخالف آنهاست. برای مثال بسیاری از داده‌هایی که متعلق به کاربران سرویس‌های ابری هستند، محتواهای شخصی بوده و دسترسی غیر به آنها مخالف ماده 729 قانون مجازات اسلامی به شمار می‌رود و دسترسی به داده‌های شخصی کاربران بر طبق ماده 669 و 670 همان قانون، نیازمند دریافت حکم قانونی از دادگاه صالحه است. بنابراین طبق این پیش‌نویس، دسترسی برخط به سامانه‌ها برای امکان نظارت برخط با قانون مجازات اسلامی و حوزه فعالیت شرکت‌های خصوصی در تداخل است.»

به گفته مسگری در ‌جای جای این پیش‌نویس، دسترسی یا شرایطی ورای قانون درخواست شده و درخواست‌هایی مطرح شده که برای فعالان این بخش قابل اعمال نیست.

سازمان نظام صنفی رایانه‌ای؛ حامی یا مخالف؟

زمانی که بحث سامان‌دهی رتبه‌بندی مراکز داده و ابری و ارائه پیش‌نویس اصلاحی برای مصوبه ۲۴۷ مطرح شد، سازمان فناوری اطلاعات بارها اعلام کرد که این پیش‌نویس با کمک و همراهی بخش خصوصی تهیه شده است. در این زمینه حتی سازمان فناوری اطلاعات اعلام کرد که برای اعمال نظارت بخش خصوصی، جلسه‌های مشترک از نمایندگان سازمان نظام صنفی و بخش خصوصی که خودشان در بازار سرویس ارائه می‌دهند، برگزار شده است.

حالا همین شرایط به یکی دیگر از نقاط انتقادی فعالان بخش خصوصی تبدیل شده که چگونه سازمان نظام صنفی رایانه‌ای که باید حامی فعالیت بخش خصوصی باشد، تن به تهیه چنین پیش‌نویسی داده است.

با این حال آزاد معروفی، دبیر کل سازمان نصر کشور و مدیر اجرایی نظام رتبه‌بندی زیرساخت مراکز داده، در گفت‌وگو با «دنیای اقتصاد» اعلام می‌کند که این پیش‌نویس بعد از تهیه در اختیار آنها گذاشته شده است.

معروفی تاکید می‌کند که آنها نسبت به این پیش‌نویس انتقاد‌های فراوانی دارند و این موضوع را بارها نیز به سازمان فناوری اطلاعات به عنوان مجری اعلام کرده‌اند.

معروفی حتی آوردن نام نصر را در کنار این پیش‌نویس تکذیب می‌کند، چرا که تغییراتی که باید در مصوبه ۲۴۷ براساس خواست آنها داده می‌شد، اعمال نشده و در نهایت از نظر او تنها پیشنهادهای مرکز تحقیقات مخابرات یا همان پژوهشگاه مخابرات در این پیش‌نویس اعمال شده است.

معروفی در این زمینه می‌گوید: «تمام انتقاد‌هایی که نسبت به این پیش‌نویس می‌شود را قبول داریم و آن را به وزارت ارتباطات و سازمان فناوری اطلاعات منتقل کرده‌ایم، اما متاسفانه این پیش‌نویس بدون اینکه نظر ذی‌نفعان در آن اعمال شود در حال پیشروی است.»

آن‌طور که از صحبت‌های معروفی برمی‌آید، تنها در برخی جلسات بررسی این پیش‌نویس نصر تهران حضور داشته و در برخی جلسه‌ها نیز نصر کشور و در نهایت هیچ‌کدام از این دوگروه نتایج جلسه‌ها را با یکدیگر به اشتراک نگذاشته‌اند تا بتوانند انتقاد‌های وارده به این پیش‌نویس از سمت بخش خصوصی را به درستی به گوش مجری برسانند. به نظر می‌رسد دود جنگ قدرت بین دو تیم نصر تهران و نصر کشور که از زمان انتخابات دور ششم شروع شده بود، حالا به چشم کسب‌وکارهای فعال در حوزه زیرساخت شبکه و نرم‌افزاری می‌رود.

شرکت‌هایی که حداقل در یک سال گذشته به دلیل قطعی برق چند باره و اختلال‌های اینترنتی، بیشترین ضررها را دیده‌اند و حالا اگر قرار باشد پیش‌نویس رتبه‌بندی مراکز داده و ابری هم به یک مصوبه نهایی تبدیل شود، باید روزهای سخت دیگری را انتظار بکشند.