در ابتدای تابستان محمد خوانساری، رئیس سازمان فناوری اطلاعات از اصلاح مصوبه ۲۴۷ خبر داد که به مصوبه رتبهبندی مراکز داده هم شناخته میشود. در حالی که رسانهها منتظر اعلام جزئیات بیشتر در مورد این روند اصلاح بودند، در اواسط تابستان معاون سیاستگذاری و اعتباربخشی همین سازمان اعلام کرد که «اصلاحیههای تنظیمگری فناوری اطلاعات در حوزههای تولیدات نرمافزاری، خدمات مراکز داده و خدمات ابری در انتظار تصویب رگولاتوری است».
به این ترتیب گویا بیشتر از اینکه سازمان فناوری اطلاعات به دنبال رفع اشکالات مصوبه ۲۴۷ یا رتبهبندی مراکز داده باشد، به دنبال ایجاد یک «رگولاتور جدید» در حوزه فناوری اطلاعات است. پیشنویس اصلاح مصوبه ۲۴۷، باعث نگرانی طیف وسیعی از فعالان حوزه خدمات وابسته به مراکز داده و ابری هم شده است.
برای نمونه در گفتوگوی «دنیای اقتصاد» با برخی فعالان حوزه خدمات مراکز داده و ابری، آنها با ابراز نگرانی از روند اصلاح این مصوبه اعلام میکنند که پیشنویس اصلاح مصوبه ۲۴۷ از حالت مجوز رتبهبندی تشویقی به یک مجوز اجباری تبدیل شده است که اگر هر فعالی در این حوزه آن را نداشته باشد، از ارائه خدمات محروم میشود؛ موضوعی که خلاف سیاستگذاریهای دولت برای توسعه استفاده از سرویسهای زیرساختی داخلی است.
همچنین برخی فعالان ابری مشکلات امنیتی و لطمه زدن به حریم شخصی دادههای کاربرانی را که از سرویسهای آنها استفاده میکنند، یکی دیگر از چالشهای جدی این پیشنویس عنوان میکنند. این پیشنویس حتی صدای اعتراض انجمن تجارت الکترونیک تهران را نیز بلند کرده است.
در نامه انجمن تجارت الکترونیک تهران به سازمان فناوری اطلاعات که هنوز به صورت رسمی منتشر نشده و در اختیار خبرنگار «دنیای اقتصاد» قرار گرفته است، این انجمن اعلام کرده که «این پیشنویس در صورت تصویب، برخلاف هدف مندرج در مقدمه آن که «حمایت از سرمایهگذاری بخش خصوصی فعال» در این حوزه عنوان شده است، همسنگ و هم راستا با «طرح صیانت»، تبدیل به سندی خواهد شد که مقدمهای بر افول کسبوکارهای حوزه فناوری اطلاعات از شرکتهای زیرساخت گرفته تا کسبوکارهای لایههای پلتفرمی و محتوا میشود.»
گسترش جزیرهای دیتاسنترها و طرح نظام رتبهبندی
در دهه 80 شکلگیری دیتاسنترها در داخل کشور سبب شد در کنار شرکتهای خصوصی، بسیاری از نهادهای حاکمیتی از وزارتخانههای دولتی گرفته تا بانکهای کشور نیز هر کدام به صورت جداگانه برای خود دیتاسنتر راهاندازی کنند. این نهادهای حاکمیتی هم به بهانه اینکه اطلاعات حساس و امنیتی در اختیار دارند، حتی از رعایت مصوبههای دولت برای استفاده از دیتاسنترهای ملی و مجوزدار وزارت ارتباطات در سالهای گذشته هم سر باز زدهاند. نتیجه شکلگیری جزیرهای دیتاسنترها در بخشها و ارگانهای مختلف دولتی و غیردولتی، کاهش کیفیت و استاندارد نبودن خدمات آنها در زمینه میزبانی بود.
گسترش غیراستاندارد دیتاسنترهای داخلی در نهایت موجب شد رگولاتوری برای نظاممند کردن میزبانی خدمات ارتباطی در داخل کشور در سال ۱۳۹۵ مصوبهای برای رتبهبندی و ارائه مجوز به دیتاسنترهای کشور تصویب کند. مصوبهای که در آن سال به اجرا گذاشته نشد و در نهایت سه سال بعد یعنی ۱۳۹۸ با همکاری سازمان نظام صنفی رایانهای و سازمان فناوری اطلاعات به اجرا درآمد.
هرچند این مصوبه که عنوان آن «رتبهبندی مراکز داده» است، به صورت تشویقی و نه اجباری برای مراکز داده به اجرا گذاشته شد، اما در همان زمان هم به خاطر ایرادات مختلف آن از جمله اشکالات در استانداردهای پیادهسازی رتبهبندی و مورد قبول نبودن آزمایشگاهها برای ارزیابی شرکتها و… مورد انتقاد بسیاری از فعالان این حوزه قرار گرفت. هر چند این مصوبه که به مدت تقریبا چهار سال به اجرا گذاشته شده، همچنان خروجی مشخص و مشهودی از تاثیر رتبهبندیهای آن در پیشرفت استانداردسازی مراکز داده کشور منتشر نشده است.
ایجاد یک رگولاتور جدید یا رتبهبندی اجباری
بعد از گذشت چند سال از اجرای مصوبه ۲۴۷، سازمان فناوری اطلاعات در ابتدای سال جاری تصمیم گرفت با کمک سازمان فناوری اطلاعات و بنا بر درخواست فعالان بخش خصوصی این مصوبه را اصلاح کند. نزدیک به دو ماه پیش سازمان فناوری اطلاعات پیشنویس اصلاح مصوبه ۲۴۷ را تدوین کرد و آن را برای نظرخواهی از طریق سازمان نظام صنفی رایانهای در اختیار فعالان بخش خصوصی گذاشت.
بررسی ابتدایی نسخه پیشنویس اصلاح مصوبه رتبهبندی مراکز داده (۲۴۷) که به دست خبرنگار «دنیای اقتصاد» رسیده است، نشان میدهد که سازمان فناوری اطلاعات پا را فراتر از اصلاح این مصوبه گذاشته و با تغییر نام آن به «اصول حاکم بر خدمات مراکز داده و خدمات ابری» و اضافه کردن حوزههای مختلف مانند تولیدات نرمافزاری، به دنبال تنظیمگری جدی در حوزه IT است. از سوی دیگر، مطالعه بندهای مختلف آن نشان از ابهامهای گوناگونی دارد، از جمله اینکه مشخص نیست سازمان فناوری اطلاعات در پیشنویس اصلاح شده مصوبه ۲۴۷ به دنبال ارائه مجوزدهی اجباری است یا رتبهبندی تشویقی!
کیوان ماموری، معاون توسعه شرکت «سینداد» که در حوزه هاستینگ فعالیت میکند، در گفتوگو با «دنیای اقتصاد» پیشنویس اصلاح مصوبه ۲۴۷ را سرشار از ابهام میداند. به باور او مهمترین انتقادی که به این پیشنویس وارد است، بلاتکلیف بودن در لغاتی است که در آن مورد استفاده قرار گرفته. به گفته او در این پیشنویس مجوز به صورت «کادو پیچ» شده به نام رتبهبندی، آن هم از نوع اجباری معرفی شده است.
ماموری تایید میکند در هیچ کجای دنیا رتبهبندی به صورت اجباری انجام نمیشود و کاملا براساس تمایل یک شرکت صورت میگیرد، اما در این پیشنویس اعلام شده که اگر شرکتی از این رتبهبندی استفاده نکند، بعد از مدت یک سال نمیتواند خدمات ارائه کند و این یعنی اجبار در گرفتن رتبهبندی. به گفته او وقتی دریافت رتبهبندی به شکل اجبار در میآید یعنی سازمان فناوری اطلاعات میخواهد در نقش یک رگولاتور حاضر شود و این رتبهبندی را – که در واقع همان مجوزدهی است- به ابزاری برای ورود به نحوه فعالیت یک کسبوکار تبدیل کند.
او در این زمینه به «دنیای اقتصاد» میگوید: «مهمترین چیزی که باید در این پیشنویس مشخص شود، هدف از اصلاح رتبهبندی است؛ اینکه آیا هدف از این اصلاح، ساماندهی، تنظیمگری یا حفاظت و حمایت از حریم خصوصی مشتریان است؟ به اعتقاد من با توجه به لغاتی که در پیشنویس استفاده شده، هدف از آن ایجاد یک رگولاتوری جدید در حوزه IT است.»
به باور ماموری در نهایت برای همین که سازمان فناوری اطلاعات خودش را رگولاتور این حوزه کند، به سمت رتبهبندی مراکز داده و ابری رفته است.
او در پاسخ به این سوال که چگونه باور دارد این پیشنویس در تلاش برای مجوزدهی به فعالان این حوزه است نه رتبهبندی، توضیح میدهد: «در این پیشنویس مشوقهایی در نظر گرفته شده است مانند امکان اتصال به مراکز تبادل ترافیک (IXP) یا ارائه وام و… در واقع این مشوقها ارائه شده که شرکتها مجبور به دریافت رتبهبندی شوند. به نوعی تسهیلاتی که در همه جای دنیا به شکل پیشفرض برای رشد این صنعت به فعالان آن داده میشود، در این پیشنویس به شکل مشوق ارائه میشود تا من به عنوان یک دارنده دیتاسنتر یا فعال خدمات زیرساخت شبکه مجبور به دریافت این رتبهبندی شوم که این سیاست اشتباه است.» آنطور که ماموری میگوید انجام رتبهبندی برای هر رک از یک دیتاسنتر به صورت میانگین بین ۱۰ تا ۱۲ میلیون تومان برای صاحبان این سرویسها هزینه دارد و جای سوال دارد که چرا بایدیک مرکز داده برای این رتبهبندی که باید اختیاری باشد، مجبور به پرداخت این هزینه شود.
پیشنویسی خلاف سیاستهای توسعه شبکه داخلی
محمد مظفری، معاون فنی شرکت گرینوب، فعال در حوزه مراکز داده و میزبانی وب نیز در گفتوگو با «دنیای اقتصاد» بزرگترین چالش این پیشنویس را در این موضوع میداند که مراکز داده را از حالت تشویقی به سمت اجبار به رتبهبندی سوق میدهد. از طرف دیگر، به باور او یکی دیگر از مشکلات این پیشنویس آن است که این رتبهبندی اجباری را به تمام خدماتدهندگان ابری، میزبانی و کسانی که نرمافزار اینترنتی تولید میکنند، مانند فعالان SaaS هم گسترش داده است. او این پیشنویس را خلاف تمام سیاستهایی میداند که دولت برای استفاده از سرویسهای میزبانی داخلی در نظر گرفته است.
مظفری در این مورد میگوید: «هرچند این پیشنویس به تصویب نرسیده، اما بندهای به کار گرفته شده در آن نگرانکننده است. برای نمونه دسترسی به IXP به عنوان یک مشوق در نظر گرفته شده و تنها کسانی میتوانند به این مشوق دسترسی داشته باشند که رتبهبندی شده باشند؛ این یعنی اجبار در رتبهبندی.»
او ادامه میدهد: «این مشوقهای اجباری باید به صورت عمومی در اختیار فعالان این حوزه قرار بگیرد، چون هرچه استفاده از IXP بیشتر باشد، ارتباطات داخل کشور پایدارتر و ارائه سرویس با کیفیت بهتری صورت میگیرد. اما در این پیشنویس میبینیم که دولت سیاستی خلاف این موضوع را در پیش گرفته است.»
او وارد کردن خدماتدهندگان SaaS به این رتبهبندی را هم از عجایب این پیشنویس میداند و توضیح میدهد: «کنار هم قرار دادن خدمات زیرساختی در کنار خدمات نرمافزارهای ابری (SaaS) بسیار جای تعجب دارد، چون کارکردهای آنها کاملا با هم متفاوت است. چرا یک فعال نرمافزار ابری باید خود را درگیر یک رتبهبندی کند که برایش هیچ آوردهای ندارد و در نهایت هم اگر این رتبهبندی را انجام ندهد، بعد از یک سال ارائه سرویسدهی به او قطع میشود.»
به باور مظفری این پیشنویس در صورت اجرا ضربه بزرگ و جبرانناپذیری به صنعت مراکز داده و مخصوصا خدمات ابری و مشتریان آنها وارد خواهد کرد.
راهی برای دخالت در دادههای شخصی کاربران؟
از جمله دیگر ایرادات وارد به این پیشنویس از سوی فعالان این حوزه، ایجاد دسترسی آنلاین بدون محدودیت به اطلاعات بر بستر مراکز داده به مجری یعنی سازمان فناوری اطلاعات است. در همین زمینه انجمن تجارت الکترونیک تهران در نامه اخیر خود به سازمان فناوری اطلاعات آورده است که رویکرد غالب سیاستگذاری در این حوزه که در این پیشنویس به خوبی دیده میشود، نگاه امنیتی به جای نگاه توسعهای و حمایتی به این کسبوکارها است.
صابر مسگری، مدیر محصول CDN شرکت ابر آروان، در گفتوگو با «دنیای اقتصاد» این پیشنویس را دارای مشکلات متنوعی میداند که اصلیترین آن اجازه دسترسی بالا به اطلاعات بدون هیچ توضیحی به مجری است.
او با اشاره به بندهای مختلف این پیشنویس با ذکر نمونههایی به ابهامهای مختلف در آن، میگوید: «به عنوان مثال در ماده ۸ بند ۱، دارندگان گواهینامه رتبهبندی موظف شدهاند که دسترسی برخط به سامانههای خود را برای مجری جهت ایجاد امکان نظارت اجرای مصوبه فراهم کنند.
به اعتقاد ما این دسترسی برخط مشکلات زیادی هم از نظر قانونی و هم از نظر امنیتی ایجاد میکند. در واقع در این بند مشخص نشده که بحث دسترسی به چه نوع دیتاهایی وجود دارد و آیا دیتای شخصی هم در این نوع دسترسی، مد نظر مجری است یا خیر؟»
او ادامه میدهد: «به عنوان مثال در بخش دسترسی برخط به سامانهها برای ایجاد امکان نظارت، تعریف سامانه و دسترسی برخط و نظارت چیست؟ دسترسی به اطلاعات شامل چه طیف از دادهها میشود؛ شامل گزارشهای مدیریت در مورد میزان ترافیک مصرف میشود یا ریز جزئیات دیتای خصوصی کاربران؟» به باور او کسی که این پیشنویس را تنظیم کرده در مورد جزئیات سکوت کرده و امکان تفسیر به رای در آینده را باز گذاشته است.
او در این مورد توضیح میدهد: «امکان تفسیر به رای در این پیشنویس با یکسری بندهای قانونی دیگر کشور تناقض دارد و مخالف آنهاست. برای مثال بسیاری از دادههایی که متعلق به کاربران سرویسهای ابری هستند، محتواهای شخصی بوده و دسترسی غیر به آنها مخالف ماده 729 قانون مجازات اسلامی به شمار میرود و دسترسی به دادههای شخصی کاربران بر طبق ماده 669 و 670 همان قانون، نیازمند دریافت حکم قانونی از دادگاه صالحه است. بنابراین طبق این پیشنویس، دسترسی برخط به سامانهها برای امکان نظارت برخط با قانون مجازات اسلامی و حوزه فعالیت شرکتهای خصوصی در تداخل است.»
به گفته مسگری در جای جای این پیشنویس، دسترسی یا شرایطی ورای قانون درخواست شده و درخواستهایی مطرح شده که برای فعالان این بخش قابل اعمال نیست.
سازمان نظام صنفی رایانهای؛ حامی یا مخالف؟
زمانی که بحث ساماندهی رتبهبندی مراکز داده و ابری و ارائه پیشنویس اصلاحی برای مصوبه ۲۴۷ مطرح شد، سازمان فناوری اطلاعات بارها اعلام کرد که این پیشنویس با کمک و همراهی بخش خصوصی تهیه شده است. در این زمینه حتی سازمان فناوری اطلاعات اعلام کرد که برای اعمال نظارت بخش خصوصی، جلسههای مشترک از نمایندگان سازمان نظام صنفی و بخش خصوصی که خودشان در بازار سرویس ارائه میدهند، برگزار شده است.
حالا همین شرایط به یکی دیگر از نقاط انتقادی فعالان بخش خصوصی تبدیل شده که چگونه سازمان نظام صنفی رایانهای که باید حامی فعالیت بخش خصوصی باشد، تن به تهیه چنین پیشنویسی داده است.
با این حال آزاد معروفی، دبیر کل سازمان نصر کشور و مدیر اجرایی نظام رتبهبندی زیرساخت مراکز داده، در گفتوگو با «دنیای اقتصاد» اعلام میکند که این پیشنویس بعد از تهیه در اختیار آنها گذاشته شده است.
معروفی تاکید میکند که آنها نسبت به این پیشنویس انتقادهای فراوانی دارند و این موضوع را بارها نیز به سازمان فناوری اطلاعات به عنوان مجری اعلام کردهاند.
معروفی حتی آوردن نام نصر را در کنار این پیشنویس تکذیب میکند، چرا که تغییراتی که باید در مصوبه ۲۴۷ براساس خواست آنها داده میشد، اعمال نشده و در نهایت از نظر او تنها پیشنهادهای مرکز تحقیقات مخابرات یا همان پژوهشگاه مخابرات در این پیشنویس اعمال شده است.
معروفی در این زمینه میگوید: «تمام انتقادهایی که نسبت به این پیشنویس میشود را قبول داریم و آن را به وزارت ارتباطات و سازمان فناوری اطلاعات منتقل کردهایم، اما متاسفانه این پیشنویس بدون اینکه نظر ذینفعان در آن اعمال شود در حال پیشروی است.»
آنطور که از صحبتهای معروفی برمیآید، تنها در برخی جلسات بررسی این پیشنویس نصر تهران حضور داشته و در برخی جلسهها نیز نصر کشور و در نهایت هیچکدام از این دوگروه نتایج جلسهها را با یکدیگر به اشتراک نگذاشتهاند تا بتوانند انتقادهای وارده به این پیشنویس از سمت بخش خصوصی را به درستی به گوش مجری برسانند. به نظر میرسد دود جنگ قدرت بین دو تیم نصر تهران و نصر کشور که از زمان انتخابات دور ششم شروع شده بود، حالا به چشم کسبوکارهای فعال در حوزه زیرساخت شبکه و نرمافزاری میرود.
شرکتهایی که حداقل در یک سال گذشته به دلیل قطعی برق چند باره و اختلالهای اینترنتی، بیشترین ضررها را دیدهاند و حالا اگر قرار باشد پیشنویس رتبهبندی مراکز داده و ابری هم به یک مصوبه نهایی تبدیل شود، باید روزهای سخت دیگری را انتظار بکشند.