عرصه جنگ، رقابت و زمین زدن رقیب متفاوت شده و این عرصه به فضای مجازی آمده پس ما باید خودمان را با این عرصه منطبق کنیم و یکی از مؤلفههای اصلی این انطباق، توجه به مغز ایرانی و فناوری، دانش و تولید ایرانی در همه حوزهها بهخصوص امنیت فضای مجازی است.
گفتگو با دکتر جلیلی
دانش و تولید بومی، لازمه امنیت در فضای مجازی
ماهنامه بانکداری الکترونیک , 18 شهريور 1394 ساعت 16:02
عرصه جنگ، رقابت و زمین زدن رقیب متفاوت شده و این عرصه به فضای مجازی آمده پس ما باید خودمان را با این عرصه منطبق کنیم و یکی از مؤلفههای اصلی این انطباق، توجه به مغز ایرانی و فناوری، دانش و تولید ایرانی در همه حوزهها بهخصوص امنیت فضای مجازی است.
عرصه جنگ، رقابت و زمین زدن رقیب متفاوت شده و این عرصه به فضای مجازی آمده پس ما باید خودمان را با این عرصه منطبق کنیم و یکی از مؤلفههای اصلی این انطباق، توجه به مغز ایرانی و فناوری، دانش و تولید ایرانی در همه حوزهها بهخصوص امنیت فضای مجازی است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دکتر رسول جلیلی، عضو هیئتعلمی دانشکده کامپیوتر دانشگاه صنعتی شریف، در حوزه امنیت اطلاعات چهره شناختهشدهای است. وی که با تشکیل شورای عالی فناوری اطلاعات و پس از آن، شورای عالی فضای مجازی به عضویت این نهادهای ملی درآمده است، با تواضع ذاتیاش تأکید دارد خود را یک کارشناس امنیت اطلاعات بنامد و صحبت از برنامهها و اقدامات شورای عالی فضای مجازی را به گفتوگویی دیگر با مقامهای مسئول در شورا محول میکند. وی که از پیشگامان امنیت اطلاعات در کشور است با سالها سابقه تدریس، پژوهش و کار عملیاتی در زمینه امنیت اطلاعات، از راهبردها و روندهای آینده این صنعت سخن میگوید و با ابراز رضایت نسبی از وضعیت امنیت فضای مجازی در کشور، تأکید دارد با سرمایهگذاری بیشتر در این حوزه، دستیابی به دانش بومی پیشرو، دستیافتنی خواهد بود. در ادامه متن گفتگویی را با این استاد دانشگاه میخوانید.
در ابتدای صحبت مایلایم یک تصویری از فضای کلان امنیت سایبری در کشور از نگاه شما داشته باشیم. در این فضا با چه قوت و ضعفهایی روبهرو هستیم و چه اقداماتی را برای بهبود آن باید در دستور کار قرار دهیم؟
صحبت کردن از امنیت بهخصوص مباحث کلان و راهبردی آن، دشواریهای خاص خودش را دارد. آنچه که از صحبت در میآید باید آنچنان جامع و مانع باشد که در عین حال که به کسی برنخورد، ضمن رعایت خیر و صلاح کشور، واقعیتها را هم بیان کند. جمع کردن همه این موارد با هم کار بسیار دشواری است.
در پاسخ به سؤال اول از چند جهت میتوان بحث کرد. اول تاریخچه امنیت سایبری در کشور را باید به زمان جنگ وصل کنیم. اگر یکی از پایههای امنیت فضای مجازی را رمز بدانیم که هست، کشور در زمان دفاع مقدس لاجرم و بنا به نیاز باتوجه به زیرساختی که در آن موقع از نظر نیروی انسانی و دانشگاهی و از نظر فناوری وجود داشت، رشد علمی خوبی در حوزه رمز داشت. آنچه که من شنیدهام، خواندهام و بعضاً نتایج آن را دیدهام و با تربیتشدگان آن دوره حشر و نشر دارم، گویای این است که حرکت فناورانه ما در زمان دفاع مقدس برای رفع نیاز عملیاتی آن روز بسیار قابل تقدیر است. نتیجه آن فعالیتها، خودش را در قالب رمزشکنی، مهندسی معکوس و در جاهایی در قالب طراحی روشهای خودی و بومی برای امنسازی فضای ارتباطی آن روز که امروز فضای مجازی نامیده میشود، نشان داد که قابل تقدیر و موجب مباهات است.
نمود چنین حرکتی از نظر دانشگاهی، در قالب ارائه یک سری درس که اصلیترین و رسمیترین آن توسط دکتر عارف در دانشگاه صنعتی اصفهان ارائه میشد، بروز پیدا کرد و در فاصله سه دهه، ما امروز در حداقل ۱۰ دانشگاه کشور تربیت نیروی انسانی تحصیلات تکمیلی مرتبط با امنیت فضای مجازی داریم.
اگر ۳۰ سال قبل حداکثر چند ۱۰ نفر در حوزه امنیت ارتباطات داشتیم که کار علمی میکردند، درس میخواندند و درس میدادند، امروز قطع به یقین میشود گفت چندهزار نفر داریم که در حوزه امنیت فعالیت رسمی دانشگاهی دارند و با توجه به اینکه مباحث آکادمیک حوزه امنیت در کشور و در دنیا، در سطح تحصیلات تکمیلی است، به همین جهت این افراد همگی در سطح استاد و دانشجویان دکترا و ارشد هستند.
درنتیجه وقتی بخشی از آنها محقق این حوزه باشند، به این معناست که ما فرآورده علمی داریم و شیب تولید فرآورده علمی ما به نسبت قابل قبول است که از نظر من از متوسط دنیا بالاتر است. دلیل این نظر من هم شیبی است که از نظر کیفی، تولید و فرآوردههای علمی کشور داشته و متناسب با آن در حوزه امنیت تولید صورت گرفته است. همین قدر که سالی چند صد دانشجوی ارشد و دکترا را وارد دانشگاه میکنیم و بعد از چند سال فارغالتحصیل میشوند، باید سالیانه مقداری تولید مقاله بهعنوان نمود پژوهش داشته باشند. این مسئله بهعنوان مصداقی است که شیب علمی ما قابلقبول است؛ ولی اینکه آیا این شیب علمی متناسب با نیاز و انتظار ما و چشمانداز ۱۴۰۴ کشور هست یا نه جای سؤال است. هرچند نسبت به گذشته رضایت وجود دارد، ولی نسبت به آنچه باید باشیم یعنی پیشرو در این عرصه در منطقه، به شیب بیشتر رشد علمی نیاز داریم. این شیب بیشتر مستلزم گرفتن دانشجویان بیشتر نیست، بلکه نیازمند توجه کیفی به این حوزه است. یعنی اگر تاکنون ارزیابیهای ما بر مبنای تعداد نفراتی بود که به دانشگاه وارد و خارج میشدند، از الان باید ارزیابی ما مبتنی بر تعداد محصولاتی باشد که از این پژوهشها عاید میشود و تعداد اختراعات ثبتشده و تعداد مقالاتی باشد که در مجلات پر ارجاع و کنفرانسهای سطوح اول و دوم دنیا چاپ میشود.
به تعبیری اگر میخواهیم مغز بپرورانیم، راهش این است که در کشور به سمت نوآوری علمی برویم و رفتن به سمت نوآوری علمی در حوزه امنیت فضای مجازی مرتبط است با دکترین امنیت فضای مجازی ما که هنوز تدوین نشده است ولی ارزشهای حاکم بر سند چشمانداز و نقشه علمی کشور، ارزشهای حاکم بر برنامه پنج ساله و برنامههای سالیانه میگوید که ما بهعنوان جمهوری اسلامی باید کشوری مستقل بمانیم و دشمنانی داریم که با هویت جمهوری اسلامی مسئله دارند. چون این فضا وجود دارد، استقلال برای ما مثل نان شب است. معنای این استقلال در فضای مجازی باید در استقلال علمی، نوآوری علمی و استقلال و نوآوری صنعتی بروز پیدا کند. این است که ما چارهای نداریم جز اینکه در این عرصه حتماً راه خودمان را پیدا کنیم.
البته این راه میتواند همسو با راه دیگران باشد و لازم نیست در این حوزه یک صنعت متفاوتی داشته باشیم یا پروتکل متفاوتی ایجاد کنیم. نتیجه این استقلال، نوآوری و داشتن راه خودمان باید منجر به این بشود که اگر مجدداً در فرایندهای دیگری جدیتر از گذشته مورد تحریم واقع شدیم، زندگی روزمره فناورانه ما مختل نشود. زندگی روزمره فناورانه در حوزه بانکی یعنی این که میخواهیم بانکداری نوین مبتنی بر فناوری داشته باشیم که امنیت داشته باشد. یعنی اگر این امنیت مبتنی بر فناوری، محصولات و پروتکلهایی است که کلیدش در دست آنهایی است که شاید تصمیم دارند، سیستمهای ما را مختل کنند، این اختلال ناممکن شود. برای تحقق این مسئله ما نیازمند نوآوری علمی هستیم.
برای رسیدن به نوآوری علمی در این حوزه چه راهکاری پیشنهاد میدهید؟
برای نوآوری علمی باید مغزهایی را که آمادگی پذیرش مسائل سخت ریاضی این حوزه را دارند، پیدا کنیم و درسهای متناسب را در دانشگاهها ارائه کنیم و برای دانشجو و استاد این حوزه امتیازات ویژهای بگذاریم تا ترغیب شوند در این حوزه سالیان متمادی کار کنند و نتیجه این کار سالیان متمادی یک جایگاه مورد ارجاع دیگران در حوزه علمی بشود. اگر حوزه علمی را خوب بنا نهیم، فناوری و صنعت از دل آن درخواهد آمد.
اگر امروز انتقادی راجع به صنعت داریم یا اختراع ثبت شده خارجی یا داخلی کم داریم، بنده ریشه آن را نداشتن علم خودی در این حوزه میدانم. علم هم میتواند بنیادی باشد، هم کاربردی که هر دو علم است. علم کاربردی از علم بنیادی درمیآید. بخشی از علوم بنیادی حوزه امنیت، ریاضی است، بخشی کامپیوتر است و بخشی ممکن است به علومی برگردد که در دانشکدههای برق مورد تدریس و پژوهش است. براین اساس ما باید برخی دانشکدههای پایهای از جمله فیزیک و کوانتوم که یک ستون در علوم بنیادین مرتبط با امنیت است را تقویت و در این حوزه دخیل و درگیر کنیم تا بتوانیم به آنچه که در چشمانداز متصور است، برسیم.
پس نقاط قوت ما این است که وضع امروزمان از نظر کمی خوب است، از نظر کیفی متوسط تلقی میَشویم و با برخی کشورهای منطقه و دنیا قابل رقابت هستیم، نیروی انسانی داریم و در دانشکدههای مرتبط، زیرساختهای پژوهشی و آموزشی داریم، ولی با این حال، به نسبت نیازمان و نقش کشور در دنیا، کاستی داریم.
درنتیجه اتفاقاتی که اخیراً در حوزه سیاست خارجی رخ داده، ممکن است تحریمها برداشته شود و ما گشایش بیشتری را در روابط بینالملل داشته باشیم. در این ارتباطات اگر نتوانیم قوی برخورد کنیم، در تعامل باید براساس نقاط ضعفمان امتیاز بدهیم. اگر میخواهیم قدرت چانهزنی بیشتر داشته باشیم و در مراحل بعد مورد تهدید نباشیم، باید این مباحث ریشهای را که عرض کردم، دنبال کنیم.
این قبول است که در حوزه دانشی و دانشگاهی، کشور چندین سال هزینه کرده و افرادی را بهعنوان مدرس و دانشآموخته تحویل جامعه داده است، اما باید دید چه نسبتی از این افراد ماندگار شدهاند؟
در موضوع ماندگاری من آمار دقیقی ندارم که الان ارائه کنم، اما میتوان این قضاوت را داشت که شیب مهاجرت نیروی انسانی در حوزه امنیت از متوسط نرخ مهاجرت در کل ICT کمتر است. دلیل آن هم این است که کسانی که به سراغ موضوع امنیت در کشور میروند، نوعاً به نسبت متوسط افرادی که در کل حوزه ICT هستند، دغدغه ملی، ارزشی و تعلق خاطر بیشتری به کشور دارند. یعنی بخشی از نیروها صرفاً به خاطر درآمد و آینده کاری وارد این حوزه نشدهاند، بلکه به این فکر بودهاند که چه چیزی بخوانند که مؤثرتر باشد، چون این مسائل خاستگاه ورود آنها به این حوزه بوده، ماندگاری این طیف نیروها بیشتر بوده است، در عین حال که برخی ممکن است به دلیل ادامه تحصیل یا دلایل دیگر مهاجرت کردهاند و برخی هم پس از چند سال تجربه کاری مهاجرت کردهاند. در حوزههای تحصیلی هم وضعیت به همین ترتیب است، ولی این کل ماجرا نیست. از آن طرف به کسی که میخواهد امنیت بخواند، در کشورهای دیگر نگاه خاصتری وجود دارد و نوعاً محدودیتهایی برای آنها قائل هستند. وقتی این مسائل را با وضع داخلی، انگیزهها و قدرت جذب داخلی و بیرونی تلفیق کنیم، مصالحهای شکل گرفته است که شیب مهاجرت در حوزه امنیت به نسبت کمتر بوده است. البته در این حوزه ما برونرفت نیرو داریم، اما جذب نیرو از خارج نداشتهایم و برای انجام پروژهها معمولاً از نیروهای داخلی استفاده کردیم و نزدیک به صد درصد نیاز داخلی را با توان داخلی مرتفع کردیم.
فاصلهای که ما با فناوری روز و بهویژه به دلیل شتاب فناوری داریم که در سالهای اخیر در مباحثی مثل شبکههای اجتماعی، موبایل، کلود و کلانداده، نمود داشته است، چه تأثیری بر حوزه فناوری امنیت گذاشته است و آیا سبب فاصله با جهان پیشرو این صنعت نشده است؟
شکاف با فناوری در حوزه امنیت در دو بعد خدمت و محصول قابلبررسی است. در حوزه خدمت فاصله ما با دنیا خیلی کم است و در داخل کشور، هرآنچه نیاز داریم، امکان تأمین آن را داریم. امیدواریم این روند ادامه داشته باشد تا به نیروی خارجی بهعنوان مشاور خدمات امنیتی، نیاز نداشته باشیم. تا الان در حوزه خدمت نیازمان را برطرف کردهایم و شکاف خودمان با جامعه بینالملل را تا حدودی رفع کردهایم. اما در حوزه محصول، مسئله بزرگتر است. چون یک وجه آن خود موضوع فناوری و شکافی است که اشاره کردید. وقتی تحریم وجود دارد، ما مؤلفههای اولیه ساخت محصول را نمیتوانیم از ارائهکننده اصلی بخریم، لذا مجبوریم از بازار آزاد یا دست دوم بخریم. درنتیجه در عملکرد آن محصول ممکن است در جاهایی با معضل مواجه شویم. من با موارد زیادی از ایراد محصولات داخلی برخورد کردهام که دلیل آن به مؤلفه سختافزاری پایهای برمیگردد که برای تولید محصول مورد استفاده قرار گرفته است.
یک بخش دیگر به فاصله فناورانه کشور با جوامع پیشرو دنیا برمیگردد. این فاصله از دهههای قبل وجود داشته و تاکنون هم تلاشهای زیادی برای کاهش آن صورت گرفته است. در برخی حوزهها این کاهش فاصله شیب زیادی داشته و در برخی زمینهها کمتر توفیق داشتهایم. از جمله زمینههایی که آ ین فاصله در حد متوسط است امنیت فضای مجازی است. اگر کشور سرمایه و اولویت بالاتری برای این زمینه میگذاشت، شانس کاهش فاصله قطعاً بیشتر بود، ولی همان میزان که حاکمیت به معنای عام اعم از بخشهای مسئول تا کسانی که امکان ایجاد بازار دارند، سرمایه گذاشتهاند، خروجی داشتهایم.
در زمینه هستهای که جزء اولویتهای رده بالای علمی کشور محسوب میشد، بعد از گذشت دو دهه به جایی رسیدیم که در دنیا انکارناپذیر تلقی میشویم، اگر در این حوزه هم، اولویت رده اول میگذاشتیم و متناسب با نیاز ۱۴۰۴ برنامهریزی میکردیم یا حتی بکنیم، این جایگاه به دست آوردنی است ولی آنچه که به دست میآید را نمیشود بلافاصله با سرلیست تجهیزات این حوزه در دنیا مقایسه کرد و انتظار برتری داشت. این اتفاق زمان لازم دارد و بهمرور اتفاق میافتد.
درصد خوبی از نیاز کشور امروز توسط محصولات داخلی تأمین میشود ولی از آن طرف محصولات خارجی هم در کشور جولان میدهند. این جولان بخشی ناشی از ویژگی و امکانات محصول است، بخشی هم مزیت قیمت. خیلی جالب است که کشوری تحریم بنزین هواپیماست و قاعدتاً باید تحریم فناوری امنیت مجازی هم باشد، اما بازار کشور با محصولات مختلف و با قیمتهای خوب پر شده است. این کار معنا دارد و نشان میدهد برای در اختیار داشتن شبکه ارتباطی کشور و کنترل از راه دور آن با وجود تحریم، در بازار حضور دارند. ما با این پدیده چندوجهی روبهرو هستیم. میخواهیم فناوری داخلی داشته باشیم که لزوماً سرمایه دولتی و حاکمیت نباشد و دارای چرخه اقتصادی باشد، از آن طرف هم میخواهیم فرآیند خریدو فروش عادی باشد یعنی فرآیند ارزیابی فنی، مناقصه، قیمت کمتر و همه اینها را میخواهیم کنار هم بگذاریم. در انتها صنعتی که میخواهد در این زمین بازی کند، زمین میخورد و بعضی اوقات نمیتواند بلند شود.
اشاره کردید که دکترین کلی امنیت سایبری در کشور تدوین نشده است. چرا این خط مشی کلان تدوین نشده است؟
عرض من این بود که چیز مکتوب با این عنوان نداریم. دکترین یعنی خط مشی و راهبرد کلان. در حوزه امنیت فضای مجازی، هم سیاستهای کلی نظام را داریم، هم سند راهبردی افتا بهعنوان سند فضای تولید و تبادل اطلاعات را و از ۳-۴ سال اخیر یعنی از ۱۷ اسفند سال ۱۳۹۰، شورای عالی فضای مجازی تشکیل شده که با وجود کم مهریهایی که در استقرار و تداوم کار آن بوده، موجود زندهای است که این حوزه را در سطح سیاستگذاری و تنظیم و استقرار دکترین مدیریت میکند و جلو میبرد.
عرض کردم که ما چون میخواهیم مستقل باشیم حتماً مزاحم خواهیم داشت. این مزاحمتها در سده گذشته از تیپ جاسوسی، حمله نظامی، کودتا و ... بود، ولی قطعاً از الان به بعد خودش را در قالب بات و بدافزار و نرمافزار و سختافزار بدخواه عرضه خواهد کرد. سختافزاری که در بازار ما عرضه میشود، احتمالاً سختافزاری است که یک Bios ویژه روی آن سوار است. این سختافزار علاوه بر دستورالعملهای موجود در فهرست، کارهای دیگری هم انجام میدهد که در فهرست آن نیست ولی این کارها حسب مورد قابل انجام است و کسی که آن دستور را میشناسد، میتواند یک برنامهای بنویسد که سختافزار کارهای دیگری هم بکند. ظرف ۱۵ سال اخیر پژوهشهای قابل توجهی در مورد سختافزارهای بدخواه یا malicious hardware انجام شده است. یعنی عرصه جنگ، رقابت و زمین زدن رقیب متفاوت شده است. این عرصه به فضای مجازی آمده و از مؤلفههای زیرساختی فضای مجازی شروع شده و از قطعات نرمافزار و سختافزار، سیستمهای مدیریت پایگاه داده و سیستم عامل تا اینترنت مجانی جهان شمول را شامل میشود تا آنها یک اشراف اطلاعاتی جهانی را بر ۷ میلیارد نفوس موجود در کره زمین فراهم کنند و نقش دولتهای منطقهای و حاکمیتهای جغرافیایی را کم کنند. چون این پدیده وجود دارد، ما باید در دکترین خودمان را با این عرصه منطبق کنیم. در این انطباق، دست روی دست گذاشتن و عقب افتادن جواب نمیدهد، بلکه باید پا به پا جلو برویم و همه جا شرایط فناوری را با دکترین خودمان منطبق و بومی کنیم. حتماً یکی از مؤلفههای اصلی این انطباق، توجه به مغز ایرانی و فناوری، دانش و تولید ایرانی در همه حوزهها بهخصوص امنیت فضای مجازی است.
سیاستها و راهبردهای کلان، قطعاً میطلبد برای زیربخشها و صنایع مختلف هم طرح و نقشهای داشته باشد. آیا شورای عالی فضای مجازی این نگاه را برای صنایع و بخشهای مختلف و مشخصاً حوزه مالی و بانکی داشته است یا نه و در این حوزه چه اقداماتی انجام شده است؟
من اطلاع ندارم در حوزه بانکی کار مشخصی انجام شده باشد، اما مرکز ملی فضای مجازی ممکن است اقداماتی انجام داده باشد، ولی از نظر کلی زیرساخت مالی و بانکی یک زیرساخت حیاتی برای کشور است. این زیرساخت حیاتی هم مورد توجه حاکمیت و هم مورد توجه دشمن برای ایجاد خدشه است.
اتفاقاتی که در حوزه بانکداری رخ داده و رشدی که در دو دهه گذشته از نظر ارائه خدمات بانکی نوین داشتهایم، حتماً از نرخ رشد متوسط آن در دنیا بیشتر است. ما در دورانی به دلیل تغییر نظام سیاسی و یک دهه بعد از آن به دلیل جنگ و بعد از آن سیستم دولتی در اقتصاد و بانکداری، شاهد در جا زدن و عدم رشد بودیم. با اجرای ابلاغیه اصل ۴۴ قانون اساسی و حضور بخش خصوصی در سیستم بانکی، عملاً هر دو جبهه دولتی و خصوصی بانکی در یک رقابت سالم با یک شتاب زیادی خدمات نوین را عرضه کردند. این خدمات بانکی روی بستر ارتباطی عمومی ماست. در جاهایی این بستر خصوصی شده، اما عمدتاً روی بستر عمومی است. اگر بستر ارتباطی عمومی ما یک زمانی و به هر دلیلی در معرض قطعی یا نابودی قرار بگیرد، مردم نمیتوانند این سرویسها را دریافت کنند و به این جهت با یک اختلال و آشوب بزرگ اجتماعی مواجه خواهیم شد. واقعاً امروز اگر ۲۴ ساعت شبکه خودپرداز کشور تعطیل شود، حتماً آشوب اجتماعی خواهیم داشت. چون زندگی مردم مختل شده و نمیتوانند خرید کنند یا پول بپردازند و اولین خدمات زندگی را دریافت کنند. به همین جهت یک زیرساخت حیاتی است.
در دنیا برای زیرساختهای حیاتی رویکرد و راهحل وجود دارد. اولین رویکردها گرفتن backup وتکرار و replicate است که در نظام بانکی ما هم انجام شده است.
رویکرد دیگری که یکی از وزارتخانههای زیرساختی به دنبال آن بوده و اقدام مبارکی است، این است که علاوه بر شبکه عمومی، یک شبکه اختصاصی با توانمندیهای داخلی داشته باشیم. یعنی شبکه عمومی را با تکنولوژی روز دنیا و شبکه موازی آن را با توانمندی داخلی بنا کنیم که اگر یک روزی شبکه اصلی به دلیل اختلال در عملکرد تجهیزات خارجی آن دچار مشکل شد، یک شبکه جایگزین داشته باشیم. وزارت ارتباطات با تولیدکنندگان داخلی برای شبکهای به نام توانا قرارداد بسته است که همه چیز آن داخلی باشد.
در شبکه بانکی، در کنار رشدی که در ارائه سرویسها داشتیم، در زمینه نرمافزارهای بانکی، صنعت ما وضعیت خیلی خوبی دارد و ما چند بازیگر داریم که نرمافزار تولید و ارائه میکنند. این وضع به این معناست که ما حداقل از نظر آسیبپذیری احتمالی یا شکست نرمافزاری تا حدودی ایمن هستیم (اینکه یکی بخواهد نرمافزار بدخواهانه در سیستم وارد کند.) انشاءاله دوستانی که در این شرکتهای خصوصی یا شرکتهای بانکی، نرمافزار هسته بانکی یا core banking مینویسند، هر روز نسبت به فناوری دنیا، بهروزتر باشند. در حوزه سختافزار بانکی هم در جاهایی تولید اتفاق افتاده که میتواند مسائل امنیتی ما را روزبهروز کمتر کند.
در حوزه بانکی با وجود پیشرفتهایی که ذکر کردید اما فضای فعالیت برای شرکتها به نظر چندان مناسب نیست. بانکها چون معمولاً منابع اعتباری لازم برای خرید سختافزار و نرمافزار دارند و خساستی هم در این مسئله به خرج ندادهاند، کمتر حاضرند مثلاً برند سیسکو را کنار بگذارند و محصول داخلی بخرند. نکته دوم اینکه خیلی از شرکتهای فعال داخلی، در قالب پروژه میتوانند کار کنند، اما رویکرد بانکها بیشتر خرید محصول است نه خدمات. برای حل این مشکلات چه میتوان کرد؟
من به اندازه شما نسبت به این مسائل منتقد نیستیم. یکی اینکه، مسئولیت بانک، ارائه سرویس مالی به مشتریان است که عموم مردم هستند. برای بانک مورد سوءاستفاده قرار نگرفتن و دزدی الکترونیک نشدن و از کار نیافتادن سرویس یک دغدغه صد درصد درست است ولی از آن طرف هم بانک باید این دغدغه را داشته باشد که اگر در شرایط جاری دنیا و مسائل سیاسی آن، تحریمی اتفاق افتاد و شرکتهای خدمات دهنده یک باره اعلام کردند از ارائه سرویس معذورند، به مشکل برنخورد. یعنی آن گزارههای اول سرجای خود و مسئله پایداری و تداوم فعالیت هم سرجای خود. از طرف دیگر اگر نرمافزار و سیستم سختافزار و نرمافزار خریداری شده بانک، قابلنفوذ بود، باز هم ممکن است سیستم دچار اختلال شود. یعنی از یک طرف میخواهیم سیستم ما از کار نیافتد، از طرف دیگر دغدغه داریم که شاید کسی که سیستم فروخته خودش عملاً از کار بیندازد. این دو را باید با هم جمع کنیم. بانکهای ما با حل یک تعارض و تناقض این گونهای مواجه هستند. برخی از بانکها برای حل بخشی از این مسئله شرکت راهاندازی کرده یا سهام شرکتها را خریداری کردهاند یا نرمافزار داخلی خریدهاند. اینها اقدامات خوبی است که بانکها انجام دادهاند و در راستای رفع نگرانی از منظر دوم است. ولی این واقعیت هم وجود دارد که تولید ما نتوانسته است نیاز بهروز بانک را برآورده کند. هرجا این توان بوده و این حلقه اتصال ایجاد شده، یعنی اولین بانکی که نرمافزار داخلی را خرید و نصب کرد، ریسک کرد و جسارت به خرج داد ولی راه را برای بانکهای دیگر جهت خرید نرمافزار باز کرد و این اتفاق خیلی خوبی بود که افتاد ولی خبر داریم که یکی دو دهه قبل از آن شرکتهای بزرگ نرمافزاری برای بانکهای ما نرمافزار مینوشتند ولی هیچوقت نتوانستند نرمافزاری بنویسد که سر و ته موضوع را به هم پیوند بزند و به بانک اعتماد بدهد که من همه نیازهای اصلی تو را به شکل یکپارچه فراهم میکنم.
هرآنچه که الان بانک از صنعت داخلی ناراضی است یا صنعت نتوانسته به بانک راه پیدا کند، در یک بخشی ممکن است بانک مقصر باشد، اما در بخش دیگر هم صنعت مقصر است. تقصیر صنعت هم البته تقصیر صرف خود بخش نیست. بخشهای دیگری از حاکمیت باید صنعت را تیمار و تقویت کند تا آماده ارائه خدمت به بانک بشود که این اتفاق کمتر افتاده است. لذا در این زنجیر حلقه مفقوده عدم سرمایهگذاری بانک برای توسعه فناوری مجازی بانک نبوده، بلکه کاستی بخشهای دیگر برای ارتقای صنعت برای تطابق با نیازهای بهروز و فناورانه بانک بوده است. در عین حال بانکها باید بدانند با وجودی که خرید جنس خارجی دردسرهای کمتر و پرستیژ بیشتر دارد اما بابت عدم توجه آنها به صنعت داخلی در بلندمدت مورد سؤال هستند. آنها میتوانند با مقداری اغماض و تحمل به مسئولیت خود در قبال ایجاد اشتغال و صنایع داخلی عمل کنند.
اولویتهای تولید محصول در حوزه امنیت فضای مجازی کشور از نگاه شما چیست؟
در مورد اولویتها چند واژه وجود دارد. یک واژه خیلی کلیدی آسیبپذیری است. همه سیستمهای ما در معرض نفوذ و آسیبپذیری هستند. آسیبپذیری از ضعف برنامه یا مؤلفههای پایهای یک سرویس نشأت میگیرد. ما نیاز داریم، فرآیندهایمان را ارتقا بدهیم. اگر ما فرآیند تولید نرمافزار یا سیستم داریم، باید در اولین فرصت ممکن به همه آنها وجه امنیتی اضافه کنیم. وجه امنیتی هم منظورم سلبی نیست بلکه ایجابی است به این معنا که اگر برنامهای مینویسیم که باید تست کارآیی داشته باشد، باید این برنامه در حین تولید، تست امنیتی بشود. برای اینکه تست امنیتی بشود، ممکن است لازم باشد کدهای اضافهای بزنیم که از برخی ناامنیهای بعدی اجتناب بشود. ما آزمایشگاههایی لازم داریم برای اینکه برای امنیت فراوردههای خودمان گواهی صادر کند و بر روی هرآنچه از بیرون میخریم، تست امنیت، انجام بدهد. مرتباً اخباری میشنویم که فلان بدافزار بعد از چند سال فعالیت در سیستمهای ما توسط یک شرکت خارجی تشخیص و گزارش داده شد. این یک نقطه ضعف جدی است که خاص ما نیست و در کشورهای دیگر هم وجود دارد، فرق ما با کشورهای دیگر منطقه این است که آنها خرید محصول و انجام عملیات اجرایی و پشتیبانی بعدی را برعهده یک شرکت خارجی میگذارند اما ما بعضاً هیچکدام از این فرآیندها را نداریم، ابتدا محصول را میخریم، اشکالات پیش آمده را هم متوجه نمیشویم، کسی هم نیست که به ما اعلام کند. لذا یک اولویت ما توانمندسازی صنعت و دانشگاه در حوزه آسیبپذیری است.
اولویت بعدی ما پهنای باند بالاست. ما با ارتقای پهنای باند در حد ۱۰-۱۰۰ و ۱۰۰۰ برابر مواجه هستیم. همه محصولاتی که ما بهعنوان محصولات بومی میسازیم یا ساختیم، ظرف ۵ سال آینده، باید خودش را با این پهنای باند منطبق کند. لذا لازم است بانک، صنعت، وزارت صنایع، معاونت علمی و مراکز تحقیقاتی ما بر روی این قضیه در حوزه امنیت سرمایهگذاری کنند.
موضوع دیگر، رمز است. ارتباطات دنیا نوعاً همه داخل کانالهای رمز شده میرود. کانالهای رمز شده به این معناست که دزدی، جاسوسی، حمله به بانک و ... همه در کانالهای رمز شده انجام میگیرد. یعنی شخص بهصورت رمز شده وارد سیستم بانکی میشود که کار حساب خودش را انجام دهد، اما در همانجا یک کار خلاف هم میکند. فایروال سیستم تنها تشخیص میدهد که یک ارتباط ایجاد شد، اما نمیتواند داخل آن را بفهمد. لاگ از بسته رمز شده صورت میگیرد، پس یک چالش بسیار جدی پژوهشی، صنعتی سر راه امنیت فضای مجازی در آینده نهچندان دور، بحث ترافیک رمز شده است که از دو جهت مطرح است هم اینکه رمز کنیم تا حریم خصوصی حفظ شود و مشتری به بانک اعتماد بکند و هم اینکه اگر یکی دزدی کرد، بتوانیم فایل رمز شده را با حکم قاضی باز کنیم تا بانک بتواند شکایت کند و ادله کافی برای محکمه داشته باشد.
آیا این کار به زیرساختهای قانونی نیاز ندارد؟
هم زیرساخت قانونی لازم دارد، هم اینکه در بخشهایی به زیرساخت فنی احتیاج دارد. بخشی از این زیرساختهای فنی هنوز در دنیا حل نشده است و در سطح پژوهشی قرار دارد. نهادهای حاکمیتی ما باید این مسائل را بهعنوان دغدغه علمی، فناوری و صنعتی تلقی کنند و بهعنوان اولویت به آن نگاه کنند.
کد مطلب: 10054