ما در این مرحله هستیم که اعتقاد داریم محصولمان بعد از گذشت سهچهار سال و با یکمیلیون تجربه مصرف و پشت سر گذاشتن انواع تهدیدات، امروز از نظر فنی توان پاسخگویی را دارد، یعنی اکنون ما هیچ محدودیتی نداریم.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بحث الزامی شدن استفاده از آنتیویروس بومی در بخش دولتی با واکنشهای متفاوتی همراه بود. البته بهدلیل محرمانه بودن بخشنامه دولت، ظاهرا کسی آن را ندیدهاست؛ ولی همه کمابیش از مفاد آن آگاه هستند. دکتر علیرضا صالحی، مدیرعامل هلدینگ دیدهبان میزبان مهندس سید عباس حسینی، مدیرعامل شرکت امنپرداز، مهندس علی کیاییفر، مدیر توسعه محصول شرکت مدبران، مهندس حمید بابادینیا، مدیرعامل گیلاس کامپیوتر در یک میزگرد بود تا این موضوع از دیدگاه فنی و مدیریتی بررسی شود. در ادامه، بخش پایانی این میزگرد را بخوانید.
بابادینیا: ما چنین سرنوشتی را برای این محصول نمیخواهیم. نمیخواهیم پادویش را برای یک الزام بخرند و بعد بگویند میخواهیم اسم پادویش را بیاوریم، ولی از کسپرسکی استفادهکنیم. خیلی خوب است که یک وزیر، بخشنامهای در حمایت از بخش خصوصی دادهاست. ما میخواهیم شکل این حمایت مانند حمایت از خودرو نباشد، بلکه طوری باشد که پادویش رشد کوچک و مقطعی نکند. اگر در زیرساخت، جبههای شکل بگیرد و نتوانیم جلوی آن را بگیریم همان رشد هم تبدیل به رشد منفی میشود. ما در جبهه مخالف پادویش نیستیم و حرفمان این است که یکسری دغدغهها داریم. در سایت یکسری گزارشها آمدهاست که تیکهایی نخوردهاست. آیا برای این نکات فنی و دغدغهها راهکاری دارید؟
حسینی: این کار توسط ما شروع شدهاست، ولی موفقیتاش منوط به همراهی همه است. باید ببینیم میخواهیم یک آنتیویروس فعال و موفق داشتهباشیم یا نه. اگر جواب مثبت است، قطعا یک نفر نمیتواند این کار را انجام دهد. در آمریکا هم یک شبکه این کار را میکند. هرکس نقش خودش را درست بازی میکند. من اعتقاد دارم اصلا فلسفه صنف این است که اینها را تعریف کند.
بابادینیا: من شما را به جلسه هیئتمدیره سازمان نظام صنفی رایانهای تهران، دعوت میکنم. همچنین درخواست میکنم مجموعهای از کارشناسان به بازدید مجموعه شما بیایند. من سوالم این است که آیا ویژگیها و ابزارهای شما میتواند نیازها را برطرف و پشتیبانی کند. مانند فایروال نباشد که بخشنامه شد، ولی بیشتر از چهار گیگ را پشتیبانی نمیکرد درحالیکه درخواست پشتیبانی چهارصد گیگ وجود داشت. ممکن است شما بگویید من چنین امکانی ندارم و از بقیه کمک بگیرید تا این دغدغه برطرف شود. این یک تعامل فنی است که باید شکل بگیرد.
حسینی: نکتهای به ذهنم رسید که خوب است مطرح شود. مسائل فنی واقعا پایین به بالا باید حل شود. ما در موضوع UTM و موارد دیگر شکست داشتیم. قطعا هر کدام را که بررسی کنیم یک جای کار ایرادی داشت که فرایند بهدرستی طی نشد.
ما در آنتیویروس یک تفاوت ماهوی در موضوع داریم. اولا، آنتیویروس اگر جواب ندهد بلافاصله معلوم میشود. برخلاف UTM که میشد اصلا وصل نکرد. ثانیا، دولت یک تجربه چندساله را در این محصول با توجه به تجربههای قبلی طی کرد، یعنی اول در دو وزارتخانه الزام کرد و بعد بهتدریج سعی کرد این محصول بلوغ خود را پیدا کند و بعد درنهایت این الزام را در شرایطی انجام داد که همه تاییدهای داخلی و بینالمللی را کسب کردهبود. یعنی خیال خودش را راحت کرد. تفاوت این الزام با تمام الزامات قبلی این است که دولت، مسئولیت این بخش را از نظر حاکمیتی برعهده گرفتهاست. مسئولیتی که قبلا به عهده هیچکس نبود، یعنی درواقع جزو قلمرو مدیریت دولت بود، ولی در همین حال دولت مسئولیت امنیت آن را نپذیرفتهبود و به دلایل تحریم و هزار دلیل دیگر بخش خصوصی و خارجی نیز نمیتوانست بپذیرد. خواستم این نکته را در مورد مقایسه شفاف کنم.
صالحی: آقای مهندس کیاییفر شما فکر میکنید بنابر حرف مهندس حسینی اگر دولت واقعا مسئولیتی را پذیرفت- که نمیدانم این به چه معناست- آیا این نافی حفظ امنیت کل نهادهای دولتی است؟ یعنی ما بگوییم به صرف اینکه پادویش داشتیم. حالا ممکن است مشکلی برای پادویش پیش بیاید یا مشکلی است که اصلا نمیتواند آن را برطرف کند. آیا این نافی مسئولیت است؟
کیاییفر: آقای بابادینیا بین صنعت خودروسازی با آنتیویروس مقایسهای کردند که به گمان بعضیها، قیاس درستی نیست. شما را ارجاع میدهم به اظهارنظر مدیرعامل یکی از شرکتهای خودروسازی در همین چند روز پیش که در همایشی گفتند ماشینهایی که تولید داخل هستند استانداردهایی را میگذرانند که بنز و بی ام و نمیگذرانند.
دولت چهل سال از صنعت خودروسازی حمایت بیقید و شرط کرد و چنین وضعیتی که امروز میبینیم، حاصل شدهاست. خودرو گران است، کیفیت پایین و مردم هم ناراضی هستند. میخواهم بگویم اگر از محصول بومی که تولید میکنیم حمایتی شبیه به صنعت خودروسازی شود، همان بلایی سرش میآید که سر محصول خودروسازی آمد.
حمایت دولت نباید با حذف رقبا انجام شود. فرض کنید فرزندی دارید که مدرسه میرود. میخواهید برنامه بریزید که او شاگرد اول شود. راه این نیست که فرزندتان را در مدرسهای ثبتنام کنید که شاگرد زرنگ نداشتهباشد یا کاری کنید که شاگرد زرنگها در کلاس او نباشند تا بتواند اول شود. راه درست این است که با آموزش صحیح، تزریق بودجه و امکانات، دولت بیاید و از این محصول بومی حمایت کند، یعنی دولت باید بودجه بدهد، هزینه بگذارد و از محصول بومی حمایت کند بدون اینکه رقبا حذف شوند. چون در نبرد جدی با رقبای مطرح است که یک محصول محک میخورد و رشد میکند. درحقیقت باید هزینه تمامشده محصولتان در رقابت با رقبای خارجی کاهش پیدا کند که بتوانید در بازار مطرح شوید. آن زمان ادمین سازمان این حق انتخاب را دارد که یک محصول خارجی را با قیمت صدمیلیون تومان بخرد یا یک محصول داخلی را که دولت حمایت کرد و هزینه آن پایین آمد با قیمت ۱۰میلیون تومان بخرد؛ بدون اینکه رقبای خارجی حذف شود. آن وقت ادمین با اشتیاق یک محصول را میخرد. با اعتقاد به اینکه ممکن است این محصول یک ضعفهایی هم داشتهباشد، ولی چون ارزانتر بود آن را خریدهام. این، حمایت صحیح است که باعث میشود یک محصول رشد کند وگرنه با یک مقاومت شدید روبرو میشود.
با این بخشنامه، مشتریها حق انتخابی ندارند. قیمتگذاری این محصول چگونه انجام میشود؟ اگر مشتری از سرویس پشتیبانی ناراضی بود باید چه کار بکند؟ چه کسی از حقوق مصرفکننده حمایت میکند؟ یک محصول انحصاری چه انگیزهای برای بهتر شدن دارد؟ اینها معضلات فراوانی است که بخشنامه بهوجود آوردهاست.
از نظر فنی هم هر انحصاری باعث میشود که امنیت پایین بیاید چه محصول داخلی باشد و چه محصول خارجی. با انحصار و بخشنامه روی یک محصول، درباره هر محصولی، مقاومت در سازمان ایجاد میشود. برای اینکه کلا تا زمانیکه موضوعی اجماع و تفهیم نشود مورد پذیرش واقع نمیشود و همیشه جلوی آن گرفته میشود. همه محصولات خارجی آسیبپذیری دارند و در آینده هم خواهند داشت. هیچکس ادعا نمی کند که محصولش آسیبپذیر نیست. مایکروسافت، ادوب، سیسکو و همه شرکتها این آسیبپذیریها را دارند. وقتی این آسیبپذیری کشف میشود شرکت با احترام میپذیرد و آن را بهروزرسانی میکند. درصدد انکار برنمیآید. من در این ۱۰ سالی که در بازار امنیت کار میکنم هنوز ندیدهام یک شرکت ایرانی بپذیرد که یک محصول امنیتیاش آسیبپذیری داشتهاست. نهتنها نمیپذیرند، بلکه انکار هم میکنند. درحالی که به وضوح آسیبپذیریهای زیادی در محصولات ایرانی دیده شدهاست. نکته دیگر اینکه محصولات خارجی همیشه توسط تمام متخصصان دنیا زیر ذرهبین هستند، بنابراین آسیبپذیریهای آنها بیشتر و بهتر کشف میشود و معمولا هم سریع Patch میدهند. بعد از این همه که از عمر ویندوز میگذرد مایکروسافت هرماه تعداد زیادی آپدیت میدهد. اینها ضعف و اشکال نیست. اینها طبیعت یک محصول است، ولی ما اینها را در حوزه محصولات ایرانی نداریم. ضمن اینکه محصولات ایرانی زیر ذرهبین هم نیستند. حالا تصور کنید دشمنان پادویش را زیر ذرهبین ببرند و آسیبپذیریهای بحرانی آن را بیابند و علنی نکنند و با علم به اینکه در تمام سازمانهای دولتی کشور پادویش نصب شدهاست یک راه نفوذ همیشگی به سازمانها پیدا کنند. من فکر میکنم دشمن هم از این بخشنامه استقبال میکند. نهتنها پادویش بلکه هر محصول دیگری که در همه سازمانها الزام و انحصار شود این نگرانی را بهوجود خواهد آورد.
صالحی: آقای حسینی من ضمن اینکه خواهش میکنم این موارد را بفرمایید نکته دیگری هم وجود دارد. اینکه ما در مقابل نفوذگران به وضوح اعلام کنیم تنها مشکلی که برای حمله به سازمان دارید این است که از پادویش رد شوید. الان وضعیت اینطور نیست. گوناگونی زیاد است و محصولات مختلفی وجود دارد. کسی که بخواهد حمله کند باید از چند سد عبور کند، اما اینکه بداند تنها مسئله رد شدن از پادویش است به نظر شما ذاتا خیلی ضدامنیت نیست؟
حسینی: امنیت سلسلهای از حلقههای زنجیر است که چارچوب امنیتی را میسازد و در عین حال قدرت آن برابر با ضعیفترین حلقه است. ما باید همه حلقهها را درنظر بگیریم. درواقع پادویش جزیی از کل امنیت و سیاست سازمان است. ما درباره بخشی از امنیت صحبت میکنیم نه از کل آن.
نکته دوم ما دو نوع عامل نفوذ و حمله از نظر انگیزه برای سازمانها در محیط سایبری داریم. یک نوع حملات و نفوذها و تهدیدات سطح عادی هستند که در دنیا رایج است. یک سطح، هم سطح دولتهاست که به مسائل استراتژیک برمیگردد. تهدیدات عمده آنجاست و بودجههای اساسی هم همینجاست. اصلا عمق و دامنه تهدیداتی که در دولتها مطرح میشود غیرقابل مقایسه با نوع اول است. تجربهای که در کشور ما وجود دارد این است که جمهوری اسلامی هدف بزرگترین تهدیدات سایبری دنیا بودهاست که اصلا نمونه دوم ندارد، بنابراین وقتی این تجربه را نگاه میکنیم متوجه میشویم موقعی که از تهدید نوع اول صحبت میکنیم مشابه بقیه دنیا هستیم، یعنی میتوانیم از همه محصولات استفاده کنیم و آسیبپذیریمان هم کمتر خواهدبود، اما وقتی درباره آسیبشناسی دوم صحبت میکنیم دیگر نمیتوانیم از نرمافزارهای خارجی استفاده کنیم. بهخاطر اینکه آنها اساسا در جبههای قرار میگیرند که حمله به ما انجام شدهاست. دولت یک بخشنامهای برای خودش دادهاست و این نکته بسیار مهمی است. چون دولت عمدتا هدف حمله نوع دوم است. درواقع وقتی از ناحیه دولتها حملهای صورت گرفته به شبکههای دولت حمله شدهاست نه به بخش خصوصی و مردم. اگر از نظر تعداد کامپیوتر و سیستمها مقایسه کنیم شاید پنج درصد بازار هم در اختیار دولت نباشد، بنابراین از نگاه فنی انتخاب و تصمیمگیری بین هیچ مورد و یک مورد است، نه اینکه چند مورد باشد تا از بین آنها یکی را انتخاب کنیم که آسیبپذیری آن کمتر باشد. این کاملا فنی است.
مسئله دوم اینجاست که اساسا شما وقتی پشتیبانی شرکت سازنده آنتیویروسی را ندارید گویی هیچ ندارید، زیرا آنتیویروس، محصولی است که حداکثر 30 درصد محصولات و تکنولوژی آن را میبینید و حداقل 70 درصد آن در داخل آزمایشگاه است. چیزی که ما اصلا در خواب هم نیروی پشتیبانش را ندیدهایم و نمیدانیم چه خبر است. در مکآفی و کسپرسکی بالای ۹۹ درصد فایلهایی که وارد چرخه تحلیل میشود، اصلا عامل انسان نقشی در آن ندارد و ماشین انجام میدهد، یعنی قواعد، فرایندها و روالهای تحلیلی که در سطح آزمایشگاه وجود دارد همگی بهعنوان الگوریتمهای تعریفشده است که توسط سیستمهای فنی و بالاتر اجرایی شرکت تعیین میشود. شما خیلی راحت میتوانید تعریف کنید که یک دستهای از فایلها را نگیرد. البته این چیزی است که افبیای در آمریکا رسما اعلام میکند و چیزی پنهانی نیست. پس اگر قرار باشد که بگوییم ما از محصول خارجی استفادهمیکنیم باید متصل باشیم. اینکه ما ادعا کنیم توان نیروی انسانی ما بالاست نهفقط کفایت نمیکند، بلکه نشاندهنده آن است که قادر به پاسخگویی در شرایط بحران نیستیم.
مسئله دوم در بحث امنیت که برای من خیلی مهمتر است اینکه ما باید دانش را بومی کنیم؛ در غیر اینصورت مشکل خودروسازها ایجاد میشود. مشکل ما در بحث خودروسازی این است که دانشمان در نقطه تولید ایجاد نمیشود. اتفاقا زمانی در خودروسازی خوب پیش رفتیم که سمند تولید شد. یادتان باشد وقتی سمند به بازار آمد با خودروهای روز دنیا یک کلاس فاصله داشت. کیفیت سمندهای اولیه خیلی بالا بود، اما شاهد بودید که بلافاصله پروژه ال نود را استارت زدند. این کار ریشه تولید را خشک کرد.
اگر میخواهیم نقشی از ما باقی بماند و محصولی تولید کنیم که واقعا قابل رقابت باشد و بتواند پاسخگوی نیازها باشد باید ساختار راهبردی آن را بهصورت شفاف اعلام کنیم تا همه بدانند و بتوانند مشارکت کنند. ما در این مرحله هستیم که اعتقاد داریم محصولمان بعد از گذشت سهچهار سال و با یکمیلیون تجربه مصرف و پشت سر گذاشتن انواع تهدیدات، امروز از نظر فنی توان پاسخگویی را دارد، یعنی اکنون ما هیچ محدودیتی نداریم. ممکن است بگویند پادویش برخی امکانات را ندارد. بله؛ زیرا برای ما اولویت نداشتهاست و به آنها نیاز نداشتهایم. برخی امکانات را هم ما داریم که هیچ آنتیویروس خارجی ندارد، چون این امکان در ایران نیاز بوده و ما برای کشور خودمان تولید کردهایم. ما راه طولانی را رفتهایم.
در بحث آسیبپذیری محصول هم اولا، تاکنون آسیبپذیریهای زیادی از پادویش اعلام شدهاست که پذیرفتهایم و بلافاصله هم برطرف کردهایم. ثانیا، وقتی نسخه جدید میدهیم، لیست میدهیم که کدام آسیبپذیریها حل شدهاست. منتهی مهندس کیاییفر یک استدلالی دارند که من با آن موافق نیستم. ایشان میگویند تجربه محصول یک دو تا 10 همه ناموفق بودند و پادویش تجربه یازده است پس همانطور میشود. من با این موافق نیستم. اولا، در دنیا نرخ موفقیت محصول در مرحله توسعه زیر ۱۰ درصد است، یعنی طبیعی است که از هر ۱۰ محصول ۹ مورد آن شکست بخورد. اینهایی که شما شمردید ۹ مورد هم نشد. ثانیا، ما خیلی شرکتهای بزرگ داشتیم که شکست خوردهاند. دلیل شکست خوردن که فقط فنی نیست. پروژههایی که گفتید برخی از آنها تیم فنی خوبی داشتهاند و پشتیبانی آنها ضعف داشتهاست. ثالثا، مشکل صنعت خودرو نه انحصار است، نه تکنولوژی و نه نیروی انسانی. همه کسانی که صنعت خودرو را میشناسند میدانند که مشکل اینها نیست. صنعت خودرو، دولتی است و مشکل آن همین است. اگر صنعت خودرو را بهمعنای واقعی خصوصی کنند مشکل صنعت خودرو حل میشود. همه متخصصان این را میدانند. مشکل صنعت این است که من میآیم و چهار سال وقت دارم، اما باید حواسام به چهل سال بعدی باشد.
کیاییفر: آقای مهندس حسینی بهدرستی اشاره میکند که بخش دولتی ما بهدلیل برخی دغدغههای امنیتی نیاز دارد که یک آنتیویروس بومی داشتهباشد. من با این کاملا موافق هستم و ابتدا هم عرض کردم که آنتیویروس یکی از حوزههای استراتژیک است که باید به آن بپردازیم، اما بحث اصلی روی نحوه حمایت و نحوه ورود آن به سازمانهاست. ما اختلافنظرمان بیشتر روی این نکته است. اینکه ما محصولی داشتهباشیم که کار توسعه و تولید و ۷۰ درصدی که ناحیه سرور باید انجام دهیم وجود داشتهباشد امتیاز بسیار بزرگی است. در خیلی جاها میتوانیم از آن بهعنوان برگ برنده استفاده کنیم.
بحث آسیبپذیری این مسئله و اجبار به یک محصول یکسان در کل سازمانهای دولتی میتواند یک بحران امنیت ملی ایجاد کند. به قول شما که درست هم هست، ایران در سیبل حملات سایبری است و مدرنترین بدافزارهای تاریخ هدفشان ایران بودهاست. در سمینارهای امنیتی پنجسال اخیر محال است اسم ایران در سخنرانیها و مقالات نیاید و ایران به نمونه تحقیقاتی و مطالعاتی این سمینارها تبدیل شدهاست. همه اینها قابل قبول است، اما من فکر میکنم همانهایی که پنج یا ۱۰ سال بعد از حمله استاکسنت این مباحث برایشان جدی شد با شنیدن این بخشنامه بسیار خوشحال خواهندشد. میگویند حالا میدانیم که با یک تشکیلات دولتی طرف هستیم که در تمام آن محصولی به نام پادویش وجود دارد. پادویش یکی از حلقههای امنیتی است که فرمودید در هر سازمانی وجود دارد. مسلم بدانید کسانی که میخواهند حمله سایبری کنند پادویش را تهیه میکنند و در آزمایشگاه خودشان مورد تحلیلهای بسیار دقیق و حرفهای قرار میدهند و به احتمال زیاد میتوانند آسیبپذیریهایی روی آن کشف کنند که آن را علنی نخواهندکرد.
حسینی: به احتمال زیاد و نه صد درصد
کیاییفر: به احتمال زیاد علنی نخواهندکرد و این محصول هم فقط در ایران استفادهمیشود و طیف مخاطبان خارجی ندارد. کشورهای دیگری چون روسیه، چین و اوکراین که از نظر امنیت و هک مطرح هستند هم تمرکزی روی این محصول ندارند. درنتیجه آنها تعدادی آسیبپذیری شناختهشده در یک محصول ایرانی پیدا خواهندکرد که حلقه آسیبپذیریش در تمام سازمانهای دولتی وجود دارد. از همان طریق میتوانند نفوذ کنند. با ضعف یک محصول بومی که فقط در ایران استفادهمیشود میتوانند حضور دائمی در شبکههای دولت داشتهباشند. درنتیجه ما آمدهایم یک محصول بومی تولید کنیم که امنیتمان بالاتر برود، ولی بهواسطه همان محصول بومی که انحصاری شدهاست آسیبپذیرتر از قبل میشویم.
ممکن است این استدلال وجود داشتهباشد که محصولات خارجی هم ممکن است همین آسیبپذیریها را داشتهباشند. کاملا درست است، ولی انحصار وجود نداشته و پراکندگی بودهاست. میتوانسته چند لایه استفادهشود. خیلی سازمانها هستند که برای سرورها از یک آنتیویروس استفادهمیکنند و برای کاربرانشان یک آنتیویروس دیگر. کاری بهدرستی یا غلطی این فرضیه ندارم. این سناریوها بهدلیل عدم اطمینان به آسیبپذیری یک محصول است که باعث شدهاست از چند لایه استفادهشود.
حسینی: من فکر میکنم نیاز است این را توضیح مفصلتری بدهم تا شما بدانید که این استدلال واقعا صحیح نیست. من مطمئن هستم که اگر شما فنی آن را بشنوید نظرتان تغییر میکند. اولا، وقتی که پادویش میآید روی یک شبکه قرار میگیرد؛ پادویش یک تکنولوژی است و محصول بلکباکس نیست که ندانیم در آن چه خبر است و کسی آن را بررسی کند و آسیبپذیری کشف کند و همان سال هم از آن استفاده کند و ما متوجه نشویم. اصلا اینطور نیست. پادویش تنها محصولی در دنیاست که سالیانه دو محصول در دنیا میدهد. این کار خیلی سنگینی است. کسی در دنیا بیش از یک محصول نمیدهد. ما چرا این کار را میکنیم؟ زیرا ما یک کمبودی را از نظر ابزار داریم که باید بهسرعت برای جبران آن گام برداریم. همین حالا بسیاری از ویژگیهایی را که در شبکههای سازمانی مورد نیاز است و خارجیها ندارند ما داریم. یکی، همان است که شما دغدغه آن را دارید. میگویید که یک تهدیدی میآید که پادویش آن را نمیشناسد، چون این تهدید را برای پادویش ساختهاند. یعنی آن را آنالیز کردهاند و مشکل آن را شناسایی کردهاند درحالیکه بقیه آن مشکل را ندارند. این تهدید یا از ناحیه دولتهاست یا از ناحیه سودجویان غیردولتی. اگر ناحیه سودجوها باشد سریع جلوی آنها را میگیرند. ما میتوانیم یک ویژگی در کنار پادویش به سازمانها بدهیم که خیالشان راحت باشد. وقتی روی پادویش یک آسیبپذیری کشف میشود، پادویش یک معماری است که نتیجه آسیبپذیری دو بخش است. یکی بحث اکسپلویت است که طرف محصول شما را از کار میاندازد و کد خود را اجرا میکند و وارد فضای بهرهبرداری از سیستم میشود. یک بخش، این است که سیستم را از کار نمیاندازد و بهعنوان یک تهدید مخفی در سیستم شما قرار میگیرد. شما کار خود را میکنید و از وجود آن خبری ندارید.
ما در هر دو بخش با تهدیدی مواجه هستیم که به آن اصطلاحا ای پی تی میگویند. یعنی میآید و در سمت ما مینشینید. پادویش علاوهبر محصولی که اکنون کار میکند تعداد زیادی سنسور دارد که این سنسورها کار مقابلهای ندارند. مانند بقیه آنتیویروسها هستند. شما از یک فضای بسته بلکباکس صحبت نمیکنید. بلکه برای ما، باز و روشن است. تغییر بالاخره ایجاد میشود. شما تغییر را بررسی میکنید و نسبت به آن عکسالعمل نشان میدهید. متاسفانه در جامعه صنفی به نتایج و دستاوردهای جهانی پادویش بها ندادهایم. این نشان از تکنولوژی است. آمریکاییها، روسها و چینیها و ... با تلاش و کوشش روی تکنولوژی است که پیشرفت میکنند. راه، همین است. ادعا نداریم از آنها جلوتریم. ادعا میکنیم امروز محصولی داریم که میتواند جلوی تهدیدات را بگیرد. چرا از این زاویه نگاه نکنیم؟!
شما در یک گروه با جامعه آماری نرمال نظرسنجی کردید. ۱۳ درصد از پادویش استفادهمیکردند. آن هم در سال ۲۰۱۸ با تهدیدات روز؛ بنابراین من خواهش میکنم که عیار کار را پایین بیاوریم. من از طرف آقای جهرمی این را میگویم. شما راهحل حمایتی به دولت پیشنهاد کنید که چگونه حمایت کند. چون میدانم نمیتواند پول بدهد. اگر دولت بخواهد پول بدهد هزار و یک مسئله خواهد داشت. میتواند یکی دو سال پول پرداخت کند، ولی نمیتواند ۱۰ سال ادامه بدهد. اولین استدلال آن خواهدبود که اگر این محصول خوب است نصب کنید تا از آن استفادهشود. اگر هم نیست خرج نکنید.
کیاییفر: نتیجه این کار، آن شدهاست که در صنعت خودروسازی، دو تا سهبرابر از جیب مردم رفتهاست.
حسینی: مشکل خودروسازی، تصدیگری دولت است.
صالحی: ما میگوییم که پادویش محصول خوبی است. کجای دنبا به جز ما میگویند پادویش خوب است؟ میخواهم بگویم شما چه مشکلاتی دارید که نمیتوانید استانداردهای دنیا را بگیرید؟ این مسئله و دغدغه جدی است. شاید مشکلاتی جز مشکلات فنی وجود دارد؟
حسینی: اولا ما گرفتهایم. ما شروع کردهایم. در فاز اول باید از کارفرما که در ایران همان دولت است بگیریم که CC را گرفتهایم. اولین محصولی هستیم که از مرکز راهبردی افتا گواهینامه گرفتهایم. در سال ۹۳ یا ۹۴ برای تستهای بینالمللی اقدام کردیم. در این سال که استاندارد زدیم متوجه شدیم اینها یک حداقل پذیرش محصول دارند. یک حداقلی را باید رد شوید. این حداقلها راجع به آنتیویروس دو بخش مجزا دارد. شروع کار با تحریمها مصادف شد و اصلا از جایی به بعد از ادامه مذاکره خودداری کردند. پس از برجام بعد از ۶ ماه دستورالعملها آمد و درباره محصول از نظر پذیرش اولیه به توافق رسیدیم. بعد روال اینگونه است که محصول در دو بخش تست میشود.
بحث دوم، ارزیابیهای دورهای است که هرماه باید آنجا بود. از ۸۰ درصد بالاتر باشد. مشکلی که ما داشتیم و الان تقریبا رفع شدهاست، این بود که نمونههایی از بدافزار و فایل که به دستمان میرسید مخصوص ایران بود. از جهتی این برای ما حسن است. چون ما بر بازار ایران متمرکز هستیم. وقتی بدافزاری میآید ما بهتر از بقیه میگیریم، اما نمونههایی که در تستهای بینالمللی میآورند نمونههایی است که شما ندیدهاید و وقتی ندیدهباشید ماکزیمم میتوانید ۳۰ درصد را بگیرید. البته شناسایی میکند، ولی نمیتواند در پاکسازی خوب عمل کند. ما در پی چاره این کار گشتیم و دیدیم بقیه آنتیویروسها هم این مسئله را دارند. از هانینتهای بینالمللی نمونه میخرند. این گران است. مثلا برای مشهورترینها که درخواست فرستادیم و ۲۶۰ هزار دلار در سال قیمت داشت. ما در اینجا به تنگنا خوردیم.
موضوع دوم هم این بود که ظرفیت سیستم ما برای پردازش روزانه ۱۵۰ تا ۲۰۰ هزار نمونه بود. این سیستم را که مشترک شدیم، دیدیم ۸۰۰ هزار تا یکمیلیون را هم میگیریم. بحث ذخیرهسازی پهنای باند و بحثهای پردازشی گسترده دارد. مدتی در مورد تقویت زیرساخت تلاش کردیم که اکنون این اتفاق افتادهاست و تعدادی از سرورها را تجهیز کردهایم. در پردازش سرور هم مشکلی نداریم. اکنون گفتند قراردادهای نمونههای جدید هم انجام شدهاست. به محض اینکه دلار را بریزیم خرید روزانه شروع میشود. میتوانیم فرایند تست را ادامه دهیم و این کار را خواهیمکرد.
در این مدت بحث ضدبدافزار را اجرا کردیم. آقای کیاییفر پرسیدند چرا این کار را کردید که در دنیا مرسوم نیست. بحث درستی است. وقتی شما بخواهید وارد یک بازار شوید که توسط یکسری تولیدکننده و دارنده محصول تصاحب شدهاست باید برای نفوذ به بازار سیاستی داشتهباشید. یکی این است که محصول دومی بشویم کنار بقیه آنتیویروسها. ما این را پذیرفتهایم، ولی دیدیم خیلی خطاست چون همیشه محصول دوم خواهیمبود. طبق الزاماتی که داریم نمیتوانیم دوم باشیم. نکته فنی آن هم این است که اگر دو محصول آنتیویروس باشند نمیتوانند کنار هم کار کنند، لذا این را کنار گذاشتیم. دیدیم کار بهتری میتوان کرد. اینکه ما آنجایی که ضعف داشتند یک مکمل برای ضد بدافزارها بدهیم. این بر روی بینش مشتری تاثیر خیلی خوبی خواهد داشت و ما هم رسالتمان را انجام دادهایم. این کار را کردیم که تجربه خیلی خوبی هم بود. اول برای آن گواهینامه از مراجع بینالمللی گرفتیم. اعتماد به نفس هم کسب کردیم.
من قول دادهام که انشالله در سال آینده اگر ماحصل همینطور طی شود این استانداردها را هم خواهیمگرفت. پادویش از نظر بینالمللی اکنون در حدود هشت کشور بهصورت محدود استفادهمیشود. در حد 1000 تا 2000 مورد. بهخصوص نسخههای تککاربره؛ اما مدل بازار کشورهای اروپایی با ما فرق میکند. از یک کشوری آمدند با ما مذاکره کردند و گفتند ما میخواهیم محصولمان را به بازار اروپا عرضه کنیم. چون توجیه اقتصادی دارد. شما کشوری هستید که هدف شماره یک در تهدیدات سایبری دنیا بودید، بنابراین محصولی که در حوزه امنیت اطلاعات در کشور شما تولید میشود خودبهخود در دنیا برند است. حرف درستی هم هست.
صالحی: آقای مهندس کیاییفر لطفا یک جمعبندی از صحبتهایی که داشتیم، بفرمایید.
کیاییفر: بحثهای زیادی شد و جمعبندی خیلی سخت است. باز هم لازم است تاکید کنم که اگر منتقدی جلوی محصول بومی است هدفش ارتقای آن محصول بومی و درنهایت ایجاد یک فضای امنتر در حوزه سایبری کشور است. چنین نیست که منتقدان دغدغه امنیت فضای سایبری کشور را نداشتهباشند. نگرانیهای منتقدان به محصولات بومی اگر بیشتر نباشد کمتر هم نیست. به هر حال باید به سطح امنیت سایبری موردنیاز در کشور برسیم، ولی نه با انحصار در یک محصول داخلی، بلکه محصول داخلی باید تکمیلکننده ضعفهای محصولات خارجی باشد. این رویکرد میتواند خیلی خوب باشد. نکته دوم هم اینکه بحث الزام و بخشنامه دولت برای استفاده از هر محصولی در حوزه امنیت کاملا مسئلهساز است. انحصار در حوزه امنیت خودش ضدامنیت است. این یک اصل پذیرفتهشده در کل دنیاست و در دنیا موردی نداریم که دولت الزامی کردهباشد که همه سازمانهای دولتی از برند خاصی استفادهکنند. حتی در آمریکا هم چنین چیزی رخ ندادهاست. نه فقط یک برند خاص را محدود نکردهاست، بلکه برندهای آمریکایی هم محدود نبودهاند و در سازمانهای دولتی آمریکا تا چند وقت قبل از کسپرسکی هم استفادهمیشد. دلیل این است که هرگونه انحصاری میتواند تبدیل به پاشنه آشیلی شود که بتوان سازمان را از همان نقطه هدف قرار داد. آقای حسینی زحمت زیادی کشیدند تا به اینجا رسیدند و از اینجا به بعد راه سختتری در پیش دارند. جامعهای که از این محصول استفادهمیکند یکمرتبه حجمش زیاد میشود و امیدوارم سربلند بیرون بیایند.
نکته دیگری که باید بگویم این است که اشاره کردند پادویش تا به حال در زیرمجموعههای وزارت دفاع نصب شدهبود. وزارت دفاع متولی خاص دارد و با طیف مردم عادی سروکار ندارد، ولی جایی که با اطلاعات مردم سروکار داریم و به آنها سرویس میدهیم، مثل بانکها، خیلی نمیتوانیم بگوییم چون برای دولت است پس اشکالی ندارد و دولت میتواند از یک برند خاص در آن استفادهکند. ما بانکهایی داریم که آنتیویروس نصب کردهاند و ۶ سال است ریاستارت نشدهاند. نیاز به ریبوت دارند، ولی ۶ سال است که نتوانستهایم مجوز این کار را بگیریم؛ یعنی سرور آنقدر سرویس حیاتی برای بانک ایجاد میکند که اجازه یک ریبوت شدن حتی در یک نیمهشب هم به ما نمیدهند. اگر یک محصولی، چه بومی و چه غیربومی در چنین ساختاری نصب شود و بخواهد اختلالی ایجاد کند یک گناه بسیار نابخشودنی است که منجر به زیر پا گذشتن هرگونه بخشنامهای خواهدشد. ضمن اینکه بعضی موارد هستند که در صنایع بهخصوص سیستمهای کنترل صنعتی از تجهیزات خاصی استفاده میشود. سیستمهای کنترل به هیچ وجه نمیتوانند از آنتیویروس بومی استفادهکنند، بلکه باید از برندی استفاده کرد که تاییدیه سازگاری با وندور اصلی را دریافت کردهباشد.
صالحی: مهندس حسینی لطفا شما هم جمعبندی خود را بگویید
حسینی: ببینید بازار یک طیف صفر تا صدی دارد. اکنون دولت در زمان الزام این کار منظورش بخش اکثر و اعظم کار است، نه صد درصد. هیچوقت هم به صد نخواهیمرسید. اگر قرار باشد بخشهایی که اشاره کردید، استفادهکنند بعد از مدتها که اطمینان حاصل شود میتوانند انجام دهند. ما این فرایند را طولانی میدانیم. محصولات خارجی هم یکشبه به اینجا نرسیدهاند. پس طبعا یک امری است که باید محصول روند خود را تا بلوغ طی کند.
حرف کلی من این است که باید نگاه ملی به موضوع داشتهباشیم. باید ببینیم میخواهیم در جامعه جهانی چه تعریفی از صنف آیتی ایران ارائه کنیم. تا امروز این تصویر بهواسطه محدودیتهایی که در همین موضوع برای ایران وضع شد تصویر یک کشور بهرهبردار و استفادهکننده از محصولات خارجی با پتانسیل خوب پشتیبانی بود، بنابراین کشور به این نتیجه رسید که در این حوزه باید محصولی داشتهباشد، بلکه بتواند روی آن حساب کند و شروع این کار سخت بود و توفیقی بود که خدا به مجموعه ما داد و توانستیم این مسیر را طی کنیم. این کار لازم بود، ولی کافی نیست. برای اینکه کافی شود باید بقیه این حلقه تکمیلکننده صنعت به کمک بیایند. دولت نقش حاکمیتی را در تشکیل این چرخه حیات انجام دادهاست. استنباط من از دستور دولت این است که آمد تا یک بازار و فرصت ایجاد کند. بازار ایران به خودی خود تمایل به استفاده از محصول خارجی دارد. یکی از مهمترین دلایلی که بازار تمایل به محصول خارجی دارد اقناع مشتری است، اما محصول ایرانی حتی اگر درست کار کند از نظر مشتری مشکل دارد. این برای فروشنده، بار اضافی تولید میکند. دولت با این کار به زنجیره تامین کمک کردهاست. شما سود خود را کسب میکنید و من مسئولیت شما را گرفتهام. این به نظر من فرصت است.
مسئله فنی قاعدتا با حساب و کتاب انجام شدهاست. ما نباید بگوییم چون صد نبوده پس صفر بودهاست. آماری که خیلی از دستگاهها دادهاند بالای ۸۰ بودهاست. هرکدام هم با شاخص خاصی بودهاست، بنابراین من فکر میکنم از زاویه فنی آن چیزی که به شما و مشتری بهعنوان بخشی از ذینفعان چرخه حیات محصول اطمینان بدهد و از همه مهمتر به دولت بهعنوان رگولاتور و مسئول نهایی شبکههای دولتی، این است که دولت با در نظر گرفتن تجربه مصرف طی چهار سال آن را ارزیابی کردهاست. به نظر من هم مهمترین عامل اعتماد به محصول، تجربه مصرف است. اگر محصولی در طول سه یا چهار سال از عهده امنیت شما بربیاید به نظر من از تکنولوژی لازم برای پاسخگویی برخوردار است.