امنيت در هر پروژه فناوري اطلاعات حرف اول را مي‌زند

عصر ما، عصر اطلاعات است و ثروت‌ها در اطلاعات نهفته شده است و قدرت‌های بزرگ برای دسترسی به این ثروت و بهره‌برداری از آن برنامه‌ریزی‌های بلندمدت و سناریوهای مختلف برای راه‌انداری جنگ‌های سایبری طراحی و اجرا می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت پيام‌پرداز در سال ۱۳۷۵ به‌وسيله گروهي از اساتيد و دانشجويان رشته مهندسي مخابرات و کامپيوتر تاسيس شد. قبل از تاسيس شرکت، اين گروه به مدت ۱۰ سال در قالب يک تيم تحقيقاتي در جهاد دانشگاهي دانشگاه صنعتي اصفهان، پروژه‌هاي تخصصي در زمينه رمزنگاري و امنيت را تجربه کرده‌بودند. دو دهه فعاليت مستمر اين مجموعه در حوزه رمزنگاري و امنيت اطلاعات، ما را بر آن داشت تا گفت‌وگويي داشته‌باشيم با مهندس مسعود رجايي، مديرعامل شرکت مهندسي ارتباطي پيام‌پرداز.

شرکت پیام‌پرداز تا امروز که در آستانه بیست‌سالگی قرار دارد چه مسیری را طی کرده‌است؟
شرکت در این بیست‌سال توانسته‌است بخش بزرگی از فعالیت‌های حوزه امنیت کشور را در قالب پروژه‌های ملی و سازمانی انجام دهد. پیام‌پرداز هم‌اکنون سه شرکت زیرمجموعه دارد؛ شرکت امن‌گستر پیام‌پرداز که انجام پروژه‌های خدمات امنیت مثل تست نفوذ و ISMS در آن انجام می‌شود. بعضی از فعالیت‌های بازرگانی در شرکت امید آتیه پیام‌پرداز انجام می‌شود و در سال جاری نیز یک شرکت در بخش دانشگاهی در حوزه رمزنگاری نوین راه‌اندازی کرده‌ایم. ما در پیام‌پرداز از لحاظ کادر تخصصی جزء برترین‌های کشور در بخش خصوصی بوده‌ایم.

این شرکت اکنون یک سبد متنوع از محصولات امنیت فناوری اطلاعات را در اختیار دارد. ازجمله پروژه‌های ملی شرکت عبارتند از: تهیه پیش‌نویس سند افتا، بررسي انتخاب صنعت افتا به‌عنوان فناوري پيشتاز و سياست‌هاي حمايت از توليد داخل در حوزه افتا.

در چه کارهایی پیشرو بوده‌اید و وجه تمایز خود را در چه می‌دانید؟
استراتژی شرکت ما، نوآوری است و با این وجه‌تمایز به سرآمدی محصولات‌مان در این حوزه دست یافته‌ایم. ما یک شرکت پژوهش‌محوریم و در آغاز بیش از ۸۰ درصد شرکت در حوزه تحقیق و توسعه محصولات کار می‌کرد که این نسبت برای یک شرکت خصوصی عدد نسبتا بالایی است. همچنین ما تنها شرکت خصوصی هستیم که در حوزه نظری رمزنگاری شامل طراحی و تحلیل الگوریتم‌های رمز و پروتکل‌های امنیتی کار می‌کنیم و این ویژگی باعث شده که تمام محصولات این شرکت مجهز به الگوریتم‌ها و پروتکل‌های بومی باشند. پشتوانه این جریان ارتباط عمیق شرکت با دانشگاه‌های معتبر کشور است که در بحث رمز و امنیت صاحب دعوی هستند.

این شرکت در سال ۹۰ در اولین دوره جشنواره ملی فناوری اطلاعات وزارت ارتباطات و فناوری اطلاعات و همچنین در سال ۹۳ در این جشنواره، عنوان شرکت برتر در حوزه امنیت فضای تبادل اطلاعات را از آن خود کرد. در سال ۹۲ در چهاردهمین جشنواره ملی تجلیل از پژوهشگران و فناوران برتر از سوی وزارت علوم، تحقیقات و فناوری به‌عنوان واحد فناور برتر شناخته شد. کسب مقام دوم در بخش فن‌آفرینان نهمین جشنواره ملی فن‌آفرینی و علمی شیخ بهایی در سال ۹۲ نیز از دیگر افتخاراتی است که در پیام‌پرداز به آن دست یافتیم. شرکت پیام‌پرداز درحال‌حاضر رتبه یک شورای عالی انفورماتیک را در موضوع امنیت فضای تولید و تبادل اطلاعات داراست. ما عضو انجمن رمز و نیز عضو انجمن صنفی کارفرمایی صنعت افتا (یا همان سندیکای افتا) هستیم که در قالب آن با بیش از ۱۰۰ شرکت عضو در ارتباط هستیم. ما به‌عنوان عضوی از این سندیکا برای استیفای حقوق بخش خصوصی در ارتباط و تعامل

با بخش دولتی و نهادهای سیاست‌گذاری این حوزه هستیم تا از توان بخش خصوصی در افزایش سطح امنیت آی‌تی کشور استفاده بهینه شود.

عمده پروژه‌های شما در چه بخشی بوده و چه محصولات متفاوت و ویژه‌ای در بازار دارید؟
ما بیش از ۱۵۰ پروژه تحقیقاتی و توسعه‌ای در این شرکت اجرا کرده‌ایم که در حدود ۱۱۰ پروژه از آن متعلق به کارفرمای خارج از شرکت و ۴۰ پروژه با سرمایه‌گذاری داخلی در جهت توسعه محصولات شرکت بوده‌است. تاکنون بیش از ۳۰ محصول نرم‌افزاری و سخت‌افزاری در شرکت ساخته‌ایم و تلاش می‌کنیم هر‌ساله یکی دو محصول جدید را وارد بازار کنیم. خوشحالیم که در این ۲۰ سال توانسته‌ایم امنیت بخش بسیار بزرگی از فضای سایبری کشور را چه در بعد امن‌سازی ارتباطات بین شبکه‌ای و چه در بعد حفاظت از شبکه‌های داخلی سازمان‌ها بهبود بخشیده و در بخش‌های راهبردی نظام نیز فعالیت داشته‌باشیم.

فعالیت اصلی شرکت در این ۲۰ سال حول محور امنیت فناوری اطلاعات و ارتباطات بوده و در این مدت بخش بزرگی از بازار امنیت کشور را به‌دست آوردیم. برخی محصولات ما دارای ثبت اختراع هستند؛ مانند توکن امنیت «کیا» که پیام‌پرداز برای اولین‌بار در کشور تولید کرد. اکنون نسل ۲ و ۳ این توکن در بازار موجود است و بیش از ۴۰۰هزار کاربر از آن استفاده می‌کنند. محصول دیگر ثبت اختراع شده ما سامانه امن‌ساز ارتباطات کلاینت/سرور موسوم به «کیهان» است که یک سامانه بومی با ویژگی‌های منحصربه‌فرد برای تامین امنیت سرورهای سازمان‌ها تلقی می‌شود. سامانه کیهان مورد استقبال گسترده مراکز مختلف دولتی و شرکت‌های خصوصی قرار گرفته‌است و هم‌اکنون بیش از ۱۶۰ سازمان بزرگ و متوسط برای ارائه سرویس‌های الکترونیکی امن به بیش از ۳۰۰ هزار کاربر خود در سراسر کشور از آن استفاده می‌کنند. به‌عنوان نمونه دفاتر پیشخوان دولت، سامانه استعلام ثبت‌احوال، دفاتر پلیس+۱۰، دفاتر خدمات ارتباطی برای سرویس‌دهی به مشترکان همراه اول و فروش شارژ ایرانسل از این سامانه برای امن‌سازی ارتباطات خود استفاده می‌کنند.

ما در ابتدا صرفا روی امنیت ارتباطات مخابراتی کار می‌کردیم اما با افزایش سرویس‌های آی‌تی و گسترش شبکه‌های رایانه‌ای وارد این حوزه نیز شدیم و در این راستا محصول «طریق» در زمینه سیستم مدیریت یکپارچه تهدیدات UTM تولید شد که هم‌اکنون در بسیاری از وزارتخانه‌ها اسباب امن‌سازی ارتباطات بین شبکه‌ای را فراهم می‌سازد.

از سال ۸۸ در قالب یک کنسرسیوم با همکاری بخش دانشگاهی و یک شرکت بزرگ آی‌تی، پروژه بزرگ طراحی و ساخت مرکز عملیات امنیت را آغاز کردیم. سال ۸۹ مناقصه طراحی و پیاده‌سازی مرکز عملیات امنیت بومی مرکز تحقیقات مخابرات را برنده شدیم و با انجام ۱۲۰ هزار نفرساعت کار تحقیقاتی در اردیبهشت‌ماه ۹۲ آن را به مرکز تحقیقات مخابرات به‌عنوان کارفرما تحویل دادیم. این محصول پس از توسعه‌های بیشتر در داخل شرکت و خرید مالکیت دانش فنی آن از مرکز تحقیقات مخابرات در اوایل سال ۹۴ تحت نام «راوین» به بازار عرضه شد. این محصول درحال‌حاضر در آزمایشگاه‌های مختلف کشور تست شده و در بخش‌های استراتژیک، راهبردی و کشوری به‌کار گرفته شده‌است. ضمنا چند محصول دیگر برای تحلیل ناهنجاری جریان ترافیک، تشخیص نفوذ شبکه و سیستم‌های تشخیص نفوذ مبتنی‌بر میزبان نیز در کنار این محصول ساخته شده و مورد استقبال مشتریان قرار گرفته‌است. راوین اکنون سهم بزرگی از بازار مرکز عملیات امنیت را از آن خود کرده‌است.

الکامپ گذشته با چه دستاوردهایی در نمایشگاه حضور یافتید و چه برنامه‌ای برای الکامپ ۲۰۱۶ دارید؟
در الکامپ قبلی سه محصول جدید ارائه کردیم و در حال برنامه‌ریزی برای الکامپ جدید هستیم. در الکامپ قبل علاوه‌بر نسخه‌های ارتقایافته محصولات قبلی، محصول «رایمون» را رونمایی کردیم که سامانه‌ای برای نظارت بر پروتکل‌های

دسترسی راه دور نظیر RDP، SSH و Telnet است. این محصول برای اولین‌بار در کشور تولید می‌شد. کار این محصول کنترل و نظارت بر دسترسی‌های از راه دور به سرورها است. محصول دیگر مرکز عملیات امنیت راوین بود که قبلا درباره آن توضیح دادم. محصول سوم به نام «راد»، یک فلش امن است که کاربران اعم از خانگی و سازمانی می‌توانند اطلاعات خود را در فضای امن موجود در این فلش به‌صورت رمز شده نگهداری کنند.

برای حضور در الکامپ ۲۰۱۶ نیز در حال برنامه‌ریزی هستیم تا بتوانیم برخی دستاوردها و محصولات جدید خود را به این نمایشگاه برسانیم. در این راستا تلاش می‌شود یک یا چند محصول از یکی از شرکت‌های قمر خود در حوزه رمزنگاری نوین نیز به الکامپ امسال برسد.

آیا این تعامل بین بخش دولتی و خصوصی به وجود آمده است؟
بخش‌نامه‌هایی صادر شده و ابلاغیاتی صورت گرفته است که این یعنی قصد حمایت وجود دارد و باید ببینیم کی و چگونه پیاده می‌شود. درحال‌حاضر و نسبت به ۱۰ سال قبل یکسری قوانین بالادستی مصوب داریم که نشان می‌دهد هرچه پیش می‌رویم به‌صرفه بودن و بهره‌وری بخش خصوصی برای مسئولان آشکارتر شده‌است؛ اما این مسئله کمی هم به فرهنگ‌سازی نیاز دارد و اینکه سازمان‌های دولتی حاضر شوند از بخش خصوصی استفاده صد درصدی کنند.

بخش دولتی در مواقعی تمایل دارد که خودش در بازار حضور داشته باشد و امیدواریم روزی بخش دولتی دست از رقابت با بخش خصوصی بردارد و به جای آن به نظارت بر عملکرد شرکت‌های خصوصی بپردازد. البته اکنون سازمان‌های بالادستی وجود دارند و با آزمایشگاه‌های خوب و مجهز چنین شرایطی را ایجاد می‌کنند اما این همه آنچه که در این مسیر نیاز داریم نیست. خوش‌بختانه در حوزه امنیت توجه کافی به بخش خصوصی وجود داشته و فعالیت و توانمندی این بخش اثبات شده و بخش زیادی از بازار را در دست گرفته‌است. امیدواریم این حضور به صد درصد برسد و دولت به وظیفه اصلی خود یعنی سیاست‌گذاری و نظارت بر عملکردها بپردازد.

ما نیز در پیام‌پرداز در زمینه رمز نوین کارهای تحقیقاتی و محصولاتی داشته‌ایم و اکنون بر روی چند محصول در حال کار هستیم و امیدواریم بتوانیم برخی از آنها را امسال عرضه کنیم. از آنجایی که پیام‌پرداز در این حوزه به‌صورت نظری کار کرده است و فعالیت‌های خوبی در این زمینه داشته، توانسته‌ایم وجه تمایزی با محصولات خارجی بیابیم. عملکرد الگوریتم‌ها و پروتکل‌های ما قابل مقایسه با نمونه‌های خارجی است و حتی نسبت به آنها مزایایی هم دارد و نیاز است که با توجه به موقعیت استراتژیک کشور بتوان چنین محصولاتی در کشور تولید و از آنها در زیرساخت‌های آی‌تی کشور استفاده کرد.

آیا در پروژه‌های کلان دولتی در این حوزه مشارکتی دارید؟
در تمامی پروژه‌ها اعم از دولت الکترونیک، اینترنت اشیا و رایانش ابری، امنیت حرف اول را می‌زند. به نظر من در صورت عدم امکان تامین امنیت کافی، به‌کارگیری سیستم‌های سنتی (غیر الکترونیکی) بهتر از به‌کارگیری فناوری‌های جدیدی است که زمینه را برای هکرها و دشمنان ما برای بهره‌برداری و سرقت اطلاعات فراهم می‌سازد. علاوه‌بر بهره‌برداری از محصولات ما برای امن‌سازی پروژه‌های بزرگ دولتی، ما یک بخش مشاوره معماری امنیت هم داریم که در لایه‌های مختلف شبکه و کاربرد به پیمانکاران و کارفرمایان پروژه‌های بزرگ فناوری اطلاعات مشاوره می‌دهد. نمونه‌ای از این پروژه‌ها، مشاوره برای امن‌سازی کنتورهای هوشمند است که قراردادهایی در این زمینه داشته‌ایم و قرار است شرکت توانیر از این توانمندی بهره‌برداری بیشتری داشته باشد.

جایگاه ایران را در زمینه امنیت سایبری چگونه می‌بینید؟
عصر ما، عصر اطلاعات است و ثروت‌ها در اطلاعات نهفته شده است و قدرت‌های بزرگ برای دسترسی به این ثروت و بهره‌برداری از آن برنامه‌ریزی‌های بلندمدت و سناریوهای مختلف برای راه‌انداری جنگ‌های سایبری طراحی و اجرا می‌کنند و هر از چندگاهی شاهد رزمایش‌ها و عملیات

آنها هستیم. به‌نحوی که در آینده شاید از جنگ‌افزارهای رایج استفاده نشود و بدون خونریزی و تنها با حمله به مراکز تجمیع اطلاعات بتوان کشوری را تصاحب کرد. جنگ آینده ما چنین جنگی خواهد بود و با توجه به شرایطی که کشور ما دارد باید از کشورهای دیگر منطقه پیشروتر باشیم.

سایت‌هایی مثل ویکی‌لیکس نشان‌دهنده این است که در جاهایی اطلاعات نشت پیدا کرده و اکنون منتشر می‌شود. اینکه حجم اطلاعات نشت‌شده چقدر است، نمی‌دانیم اما قطعا همه آنچه که تاکنون منتشر شده تمام این اطلاعات نشت‌شده را تشکیل نمی‌دهد.

در بخش سایبری ما دو نوع حمله داریم، یکی به قصد سرقت اطلاعات و دیگری تخریب اطلاعات و از کار انداختن سرویس‌ها که این دومی اگر اقدامات لازم برای ایجاد افزونگی و دسترس‌پذیری داشته‌باشیم، قابل رفع است؛ اما در مورد سرقت اطلاعات حتی مدت‌ها می‌گذرد و ما حتی متوجه هم نمی‌شویم که قربانی چنین حمله‌ای بوده‌ایم. این مشکل اساسی و بسیار خطرناکی است که کمتر هم به آن توجه داریم و در نهادهای حاکمیتی باید به این موضوع پرداخته شود.

یکی از ابزارهای مفید در زمینه نظارت بر امنیت سازمان، مرکز عملیات امنیت (SOC) است. متاسفانه شاهد هستیم که بعضی از سازمان‌ها این دیده‌بانی را به محصولات خارجی سپرده‌اند. در واقع در چنین شرایطی نمی‌توانیم برای تشخیص حمله و نفوذ روی آنها حساب کنیم و انتظار داشته‌ باشیم که عوامل دشمن به موقع هشدارهای لازم را به ما درباره مورد حمله واقع شدن بدهند. باید این تفکر ایجاد شود که از محصولات بومی خصوصا در موقعیت‌های حساس استفاده شود. از طرفی بخش خصوصی هم باید تلاش کند کیفیت محصولات خود را بالا ببرد و با محصولات مشابه خارجی برابری کند تا سازمان‌ها با اطمینان و اعتماد کامل حاضر شوند که این محصولات داخلی را جایگزین خارجی‌ها کنند و این یک ارتباط مشترک بین مشتری و تولیدکننده را می‌طلبد تا مطلوب‌ترین و مناسب‌ترین محصولات با توجه به شرایط امکانات موجود در کشور ایجاد شوند

بومی‌سازی محصولات حوزه آی‌تی در کشور را چگونه می‌بینید و اصولا آیا می‌شود هر محصولی را از صفر تا ۱۰۰ آن در داخل بومی‌سازی کنیم؟
تاکنون در کشور ما بومي‌سازي ۱۰۰ درصدي انجام نشده‌است. بومي‌سازي محصولات از نرم‌افزار شروع مي‌شود و در حوزه سخت‌افزار هم مي‌توان اين کار را انجام داد؛ اما سطح بالاتر از سخت‌افزار بحث قطعات است. مثلا ما در موضوع توکن، نرم‌افزار، سفت‌افزار (firmware) و سخت‌افزار را به‌صورت بومي طراحي و پياده‌سازي کرديم اما مجبور بوديم از قطعات و تراشه‌هاي الکترونيکي آماده در بازار استفاده کنيم. البته اخيرا با يک شرکت دانش‌بنيان در حوزه ميکرو‌الکترونيک قراردادي را امضا کرده‌ايم تا بتوانيم ميکروکنترلر بومي را در کشور توليد کنيم و چيپ بومي را جايگزين ميکرو خارجي سازيم. در واقع امکان توليد هر سخت‌افزاري در داخل کشور به اين سادگي وجود ندارد و درحال‌حاضر برخي از اين فناوري‌ها بسيار محدود و مختص برخي شرکت‌هاي معدود در دنياست. در اين موارد ما سعي مي‌کنيم از معتبرترين و مطمئن‌ترين قطعات موجود استفاده کنيم. صحبت‌هايي نيز شده که مثلا سرورهاي صنعتي در کشور توليد شود اما حتي به شرط تحقق اين مطلب، باز هم در همين سرورها از يکسري قطعات و تراشه‌هاي پيشرفته غيربومي (نظير CPU) استفاده مي‌شود که مجددا رسيدن به بحث ۱۰۰درصد بومي را با مشکل مواجه مي‌کند.

در مجموع هرچند در خيلي از تکنولوژي‌ها اين ضرورت وجود ندارد اما در بحث امنيت به‌دليل خطر دسترسي بيگانگان به اطلاعات، هرچه که بيشتر به سمت ۱۰۰ درصد بومي شدن پيش برويم به نفع کشور ماست؛ لذا اين يک مسير حرکت رو به رشد است و در‌صورت حمايت نهادهاي حکومتي از شرکت‌هاي دانش‌بنيان در راستاي بومي کردن فناوري‌هاي جديد مي‌تواند در آينده هم به رشد خود ادامه دهد.
ماهنامه دیده‌بان فناوری - شماره یازدهم