اما و اگرهای الزامی‌شدن یک آنتی‌ویروس ایرانی در بخش دولتی- قسمت اول
ناامنی ارمغان انحصار در حوزه امنیت است
اختصاصی افتانا
کد مطلب: 13789
تاریخ انتشار : دوشنبه ۷ اسفند ۱۳۹۶ ساعت ۰۹:۵۰
 
در تمام دنیا این یک اصل پذیرفته‌شده است که انحصار در حوزه امنیت خودش ضدامنیت است و در دنیا موردی نداریم که دولت الزامی کرده‌باشد که همه سازمان‌های دولتی از برند خاص استفاده‌کنند.
ناامنی ارمغان انحصار در حوزه امنیت است
 
 
Share/Save/Bookmark
در تمام دنیا این یک اصل پذیرفته‌شده است که انحصار در حوزه امنیت خودش ضدامنیت است و در دنیا موردی نداریم که دولت الزامی کرده‌باشد که همه سازمان‌های دولتی از برند خاص استفاده‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بحث الزامی شدن استفاده از آنتی‌ویروس بومی در بخش دولتی با واکنش‌های متفاوتی همراه بود. البته به‌دلیل محرمانه بودن بخش‌نامه دولت، ظاهرا کسی آن را ندیده‌است؛ ولی همه کمابیش از مفاد آن آگاه هستند. دکتر علیرضا صالحی، مدیرعامل هلدینگ دیده‌بان میزبان مهندس سید عباس حسینی، مدیرعامل شرکت امن‌پرداز، مهندس علی کیایی‌فر، مدیر توسعه محصول شرکت مدبران، مهندس حمید‌ بابادی‌نیا، مدیرعامل گیلاس کامپیوتر در یک میزگرد بود تا این موضوع از دیدگاه فنی و مدیریتی بررسی شود. در ادامه، بخش اول این میزگرد را بخوانید.

صالحی: مهم‌ترین دغدغه‌ای که می‌بینیم درباره این بخش‌نامه وجود دارد آن است که با این بخش‌نامه که انحصار یک‌جانبه‌ای ایجاد شده‌است، حتی نه انحصار دو یا چندجانبه بلکه انحصار یک‌جانبه و این می‌تواند خیلی آسیب‌زا باشد.

حسینی: باید ببینیم مولفه‌هایی که برای ایجاد انحصار تعریف می‌شود در این مورد وجود دارد یا نه. ما می‌دانیم که فعلا محصول داخلی دومی وجود ندارد. درواقع دولت بین چند محصول داخلی یک محصول را انتخاب نکرده‌است و تنها محصول داخلی موجود را انتخاب کرده‌است و بازار خودش را به آن محصول اختصاص داده‌است. از بعد محصولات خارجی هم ما هیچ محصول خارجی نداریم که تعهدات و الزامات موجود در سرویس خود را برای کشور ما پیاده‌سازی کند. ما نمایندگی‌های غیررسمی داریم که محصول را باواسطه و حتی گاهی با بیش از یک واسطه می‌خرند. مهم‌ترین موضوع در این صنعت، پشتیبانی است؛ یعنی خود محصول اساسا قیمتی ندارد و حتی می‌توان محصول را به‌صورت رایگان در دسترس داشت. ما در بین تمام محصولات خارجی محصولی را نداریم که وقتی مرکز راهبردی افتا الزامات ارائه گواهی‌نامه به سرویس‌های خارجی را اعلام کرد، آن شرایط را احراز کرده‌باشند و مجوز گرفته‌باشند. از طرفی این تجربه‌ را از حملات سایبری در داخل کشور داریم که نماینده‌های داخلی هم در قبال مسئولیتی که از ناحیه استفاده از محصولات خارجی باید برعهده آنها باشد قادر به پاسخگویی نیستند.

صالحی: شما فکر می‌کنید با این انحصار چنین مشکلاتی برطرف می‌شود؟

حسینی: می‌خواهم بگویم از بعد محصول، انحصاری به‌وجود نیامده‌است. درواقع ما محصولی نداشته‌ایم. ما یک بازار غیررسمی داشته‌ایم که محصولات خارجی بدون اینکه مسئولیتی را قبول کنند فقط از سود آن بهره‌می‌برده‌اند. مسئولیت در بازار دولت قطعا با دولت بوده‌است و دولت اکنون مسئولیتش را متناسب با اختیاری که داشت بر عهده خودش گرفت تا تبعات مسئله امنیت در شبکه مجازی سازمان‌های دولتی بر شانه خودش باشد. اگر محصول دومی ایرانی یا حتی محصول خارجی هم می‌تواند بیاید این الزامات را انجام دهد. الزامات هم موضوعات جدیدی نیستند، مثلا همین الان در انگلیس، روسیه، اتحادیه اروپا این الزامات وجود دارند. وقتی شما می‌خواهید چنین سرویسی ارائه دهید در خیلی از کشورها باید سرور خود را به آن کشور انتقال دهید. قوانینی را که رگولاتوری تصویب می‌کند باید عینا در آنجا پیاده کنید. از همه مهم‌تر مسائل مربوط به پشتیبانی است. درواقع من معتقدم که در این بحث فعلا محصول دومی وجود ندارد. محصولاتی که بوده‌اند غیررسمی کار می‌کرده‌اند و من ندیده‌ام هیچ نمایندگی‌ هم ادعا کند ما نماینده رسمی هستیم. البته یکی دو محصول غیر‌مشهور هستند که این کار را می‌کنند، ولی به‌طور مشخص محصولی مانند کسپرسکی، اسم ایران را حذف کرده‌است.

بابادی‌نیا: من بخش زیادی از صحبت‌های مهندس حسینی را قبول دارم و می‌پذیریم که به‌خاطر خلاءهای قانونی و مشکلات ناشی از تحریم و عدم همکاری شرکت‌های ارائه‌کننده آنتی‌ویروس‌های خارجی با پلیس فتا دارند، دغدغه‌هایی هست. ما چند سال قبل با کسپرسکی جلسه‌ای داشتیم که آن زمان همکاری نکردند، اما بعدها به نوعی همکاری کردند. اینها از کوچک‌ترین کار مثل گذاشتن اسم ایران به‌عنوان نماینده در سایت‌شان ممانعت می‌کنند. موافق‌ام که نبود نرم‌افزارهای خارجی به معنی واقعی کلمه در بازار ایران و عدم همکاری با توجه به خواسته‌های سیستم حاکمیت ما، باعث صدور چنین بخش‌نامه‌ای شده‌است. تفسیر مهندس حسینی از انحصار به یک طریقی درست است. ما ظاهر را می‌بینیم که این محصول الزامی شده‌است، ولی واقعا هم محصول دومی وجود ندارد و می‌شود تعبیر ایشان را پذیرفت. حالا با فرض انحصاری بودن این محصول، من به‌عنوان کسی که مسئولیت کمسیون افتا را در دو دوره داشته‌ام هیچ مخالف این قضیه نیستم، ولی با سازوکار آن کمی مسئله دارم.

هر حاکمیتی در هر کشوری می‌خواهد یک‌سری کنترل‌ها داشته‌باشد و مایل است در یک‌جا از یک محصول استفاده کند که آن را تحت کنترل بگیرد. این یک خواسته حاکمیتی قابل احترام است. بار خیلی از مسائل پشتیبانی را به‌دلیل وجود مهندسی خوب حوزه امنیت، شرکت‌های داخلی در غیاب شرکت‌های خارجی به دوش می‌کشند. کمااینکه ما در ایران خیلی از شرکت‌های آمریکایی را که نباید در ایران سرویس داده‌شوند پشتیبانی می‌کنیم، بنابراین تاکنون این کار را کرده‌اند و از این به بعد هم این‌گونه است. خوشبختانه ما مشکل خاصی برای پشتیبانی نداشته‌ایم. چیزی که اینجا مطرح است اینکه ما برای محول کردن چنین قضیه بزرگی، شکل حمایت‌مان اشتباه است؛ یعنی من انتظار دارم که شخص وزیر یا مسئولان دغدغه‌مند این حوزه که مسائل حاکمیتی را مطرح می‌کنند، حمایت به‌موقع و به‌جا داشته‌باشند. فکر می‌کنم حدود سه سال پیش بود- زمانی که مهندس حسینی در اوج مشکلات بودند، هیچ‌گونه حمایتی از ایشان نمی‌شد. من آن زمان دغدغه ایشان را با تمام وجود لمس می‌کردم. دنبال راهکاری بودیم که بتوانیم به گونه‌ای مشکل ایشان را حل کنیم. آن موقع که این محصول نیاز به حمایت در بخش توسعه داشت هیچ حمایتی نشد. حمایت از شخص کارآفرینی مثل مهندس حسینی که یک محصول ایرانی را در زمینه آنتی‌ویروس‌ها ارائه داه‌است کاری به‌جاست، اما این شکل حمایت به نظر من نادرست و دور از اصول مهندسی است. این شکل حمایت، من را به یاد حمایت از صنایع خودروسازی می‌اندازد. من اگر جای دوستان بودم از آقای حسینی می‌پرسیدم که دغدغه‌هایش برای اینکه بخواهد چنین مسئولیت بزرگی را بر عهده بگیرید، چیست؟ در حوزه پشتیبانی لجستیک و منابع انسانی چه مشکلاتی دارد؟ برای اینکه این محصول را در تعاملات بین‌المللی مطرح کنید، چه دغدغه‌ای دارد؟ برای اینکه آن را در بازارهای بین‌المللی ببرد چه هزینه‌هایی را باید متقبل شود؟

یک فرد کارآفرین و فنی مثل مهندس حسینی می‌خواهد این محصول را از مرزهای این کشور به بیرون ببرد. این محصول باید
بابادی‌نیا:انتظار می‌رود که شخص وزیر یا مسئولان دغدغه‌مند این حوزه که مسائل حاکمیتی را مطرح می‌کنند، حمایت به‌موقع و به‌جا داشته‌باشند.
به قول معروف محک بخورد و اشکالات آن در بیاید. صد درصد، حفره‌های امنیتی و آسیب‌پذیری‌هایی دارد که باید توسط کارشناسان حوزه امنیت شناسایی شود. به تیم امنیت ایشان گزارش شود و ایشان سیستم خود را به‌طور مرتب بهینه‌سازی کند. حمایت باید در این بخش و به این شکل باشد.

صالحی: دوباره به این موضوع برمی‌گردیم و مفصل‌تر بحث می‌کنیم. در اینجا نظر مهندس کیایی‌فر را بشنویم که احتمالا خیلی موافق نیستند.

کیایی‌فر: قبل از هرچیز باید بگویم اینکه یک شرکت موفق شده‌است یک محصول بومی در حوزه آنتی‌ویروس بومی تولید کند بسیار ارزشمند است. اگر هم انتقادی وجود دارد به نحوه حمایت دولت از این محصولات است. در مورد اینکه مهندس حسینی معتقدند آنتی‌ویروس‌های خارجی پشتیبانی ندارند و از این جهت ممکن است در نقاط بحرانی دست ما زیر سنگ باشد و نتوانیم از خدمات خارجی استفاده‌کنیم، جامعه آی‌تی ما به این قضیه عادت کرده‌است؛ از سرور تا سیستم‌عامل و اپلیکیشن‌های کاربردی آفیس تا بالاتر از آن در استفاده از اینترنت و استفاده از مقالات دانشگاهی و غیره ما همیشه تحریم بوده‌ایم. اکنون تعداد زیادی ادمین در کشور داریم که از محصولات مایکروسافت استفاده می‌کنند و این دانش را کسب کرده‌ایم که بدون پشتیبانی از مایکروسافت بهره بگیریم. در حوزه آنتی‌ویروس هم دقیقا به همین شکل است. درباره آنتی‌ویروس فقط موضوع محروم شدن از یک‌سری خدمات شرکت تولیدکننده مطرح نیست. طبق معماری امنیت سازمان در دسترس بودن سرویس هم نکته مهمی است. در صنایع مختلف، مراکز حساس و کلیدی زیادی داریم که در آنها به استفاده از یک محصول نابالغ مثل پادویش حتی نمی‌توانیم فکر هم بکنیم.

نکته دیگر اینکه اشاره کردید انحصاری برای پادویش نیست. اگر نامه وزیر را خوانده‌باشید دقیقا بر اسم پادویش و ویژگی‌های آن تاکید شده‌‌است. انحصار واقعا بر روی پادویش وجود دارد. بیاییم تمام اجزا از سرور و سیستم‌عامل تا اپلیکشین‌های کاربردی و آنتی‌ویروس، فایروال و همه را بومی‌سازی کنیم. بومی‌سازی شعار خیلی قشنگی است، اما آیا باید همه چرخ‌ها را از اول بسازیم؟ آن هم به شکل مربع؟!

ما چرا بومی‌سازی می‌کنیم؟ معمولا بومی‌سازی را دو جا باید انجام دهیم؛ یکی آنجا که توجیه اقتصادی داشته‌باشد، مثلا وقتی یک محصول خارجی خیلی گران است و می‌بینیم اگر همان محصول را در داخل کشور بومی‌سازی کنیم با قیمت تمام‌شده پایین‌تر به‌دست مصرف‌کننده می‌رسد. درواقع مزیت نسبی ایجاد کنیم. در حوزه فناوری اطلاعات، غالبا نمی‌توانیم محصولی را با قیمت تمام‌شده کمتر تولید کنیم. عمده‌ترین مشکل‌مان هم کپی‌رایت است. در ایران کپی‌رایت نداریم و شما هر محصولی را تولید کنید چون نمونه خارجی به‌صورت کرک‌شده در دسترس است نمی‌توانید با آن رقابت کنید. مورد دومی که باید سراغ بومی‌سازی برویم، بحث توجیه استراتژیکی است؛ یعنی تولید بومی این محصول قیمت بالایی خواهد داشت، اما به‌دلیل اهمیت استراتژیکی که دارد باید آن را تولید کنیم. اتفاقا من موافق‌ام که آنتی‌ویروس جزو محصولات استراتژیک است و باید تولید بومی داشته‌باشد؛ مثل UTM که تولید کردیم، اما خیلی اوقات استدلال می‌شود که باید کشوری مثل چین را الگو قرار دهیم. امروزه در چین هیچ محصولی نداریم که بومی نشده‌باشد؛ اما آیا چین الگوی مناسبی برای ما است؟ چین با یک‌میلیارد نفر جمعیت به اندازه جمعیت تهران، کارشناس آی‌تی دارد و در هر حوزه‌ای اعم از نرم‌افزار، سخت‌افزار، بلاک‌چین، هوش مصنوعی و موبایل و ... متخصص دارند که می‌توانند در یک حوزه و بومی‌سازی متمرکز شوند. ما چنین امکاناتی نداریم. تعداد متخصصان‌مان محدودند. بازارمان هم محدود است. چین اگر محصولی را تولید کند یک بازار یک‌میلیاردی دارد که کافی است مصرف‌کننده آن محصول باشند، اما ما این ظرفیت را در کشور نداریم که همه‌چیز را از اول اختراع کنیم. ضمن اینکه این کار اصولا غلط است.

دنیا اکنون دنیایی نیست که هر کشوری خودش هر چیزی را از آغاز اختراع کند که دیگران اختراع کرده‌اند. اگر قرار باشد این فرایند ادامه پیدا کند ما همیشه عقب هستیم. دانشمندان در دنیای امروز روی دوش همدیگر سوار می‌شوند و نتایج تحقیقات و دستاوردهای یکدیگر را تکمیل می‌کنند و توسعه می دهند و فناوری را به پیش می برند. پس باید محصول استراتژیک را انتخاب کنیم که آنتی‌ویروس هم یکی از این محصولات است. بحث من بیشتر روی نحوه حمایت از آنتی‌ویروس داخلی بود.

صالحی: آقای بابادی‌نیا شما چقدر با نظر مهندس کیایی‌فر موافق‌اید که ما در تولید آنتی‌ویروس مزیت نسبی نداریم؟ اصلا چرا باید به‌جای محصولاتی که ممکن است احتمالا مزیت‌هایی در آنها داشته‌باشیم روی چنین محصولی تاکید کنیم؟

بابادی‌نیا: مزیت نسبی ما نیروهای متخصص‌مان هستند. نیروهای مهندسی که توانایی نوشتن برنامه‌ها را دارند، کدنویسی بلدند و پایه فنی خوبی دارند. آدم‌های هوشمندی هستند. ما در این حوزه مزیت نسبی داریم.

مهندس کیایی‌فر می‌گویند که آیا واقعا می‌توانیم با این محصول وارد تعاملات بین‌المللی شویم؟ آیا می‌توانیم محصولی تولید کنیم که با کسپرسکی یا موارد مشابه رقابت کند؟ صد البته، تیم آقای حسینی در این مقطع به این فکر نیستند، ولی چیزی که وجود دارد این است که من به این محصول اعتقاد دارم. من معتقدم ما یک محصول استراتژیک آنتی‌ویروس بومی را نیاز داریم. کمااینکه تمام کشورهای پیشرفته چنین محصولی را دارند. ما هم ادعا داریم که می‌توانیم جزو کشورهای پیشرفته منطقه باشیم، بنابراین باید به این سمت برویم. البته من درباره سازوکار رفتن به سمت آن، حرف دارم. شیوه کار مانند حمایت از صنعت خودروسازی است که اگر کارساز بود ایران‌خودرو تا الان خیلی پیشرفت کرده‌بود و لااقل می‌توانست با هیوندای کره رقابت کند. هیوندا چطور هیوندا شد؟ به‌خاطر اینکه اجازه دادند در همان بازار کره با بنز و ماشین‌های تراز اول اروپا حضور پیدا کنند و بتوانند در تعامل بین‌الملل ضعف‌های خود را پیدا کنند. هیچ‌وقت هم بازار آمریکا بر روی برندی همچون هیوندا بسته نبود و اجازه عرض اندام دادند. آنها وقتی توانستند با برندهای جهانی رقابت کنند توانستند عرض اندام کنند.

بحث این است که من فکر می‌کنم خود مهندس حسینی اگر بخواهند واقع‌بینانه به این مسئله نگاه کنند که آیا همین حالا می‌توانند مسئولیت تمام ویروس‌های کامپیوتری را در کشور برعهده بگیرند؟ آیا مجموعه شما نیروهای لازم پشتیبانی و فنی را دارد؟

از یک طرف، خود من هم از نحوه پشتیبانی نرم‌افزارهای خارجی دلخورم؛ از نحوه تعاملات‌شان با مهندسان ایرانی و نمایندگی‌هایی که چندین و چند سال با آنها کار کرده‌اند، دلخورم. چون واقعا پشتیبانی خوبی به ما نداده‌اند. همان‌طور که مهندس حسینی گفتند در بحث‌های فنی، تمام این بار بر دوش بچه‌های فنی ایرانی بوده‌است. از یک طرف راضی به حذف این خارجی‌ها هستم، اما از یک طرف هم دوست ندارم طوری شود که یک مجموعه تلاشگر ایرانی و فردی مثل مهندس حسینی در یک رقابت نابرابر با آنها قرار گیرد. باید این حمایت صورت گیرد، اما به شکلی درست که ایشان بیاید بگوید من مینی‌موم‌های لازم را برای رقابت با اینها و ایستادن جلوی آنها در تعاملات اولیه دارم. این هم یک فرایند زمان‌بر است. نمی‌توان یک‌شبه همه درها را ببندیم و بگذاریم پادویش برود داخل گود. باید در یک روند آرام پایلوت کنیم، یعنی یک سازمان یا یک وزارتخانه را انتخاب کنیم و کم‌کم پادویش استفاده شود و مورد آزمون قرار گیرد. باید تست بخورد و ورژن‌های جدید آن بیرون
کیایی‌فر: در صنایع مختلف، مراکز حساس و کلیدی زیادی داریم که در آنها به استفاده از یک محصول نابالغ مثل پادویش حتی نمی‌توانیم فکر هم بکنیم.
بیاید. تیم فنی آن قوی شود. شرکت بتواند در استان‌ها بر اساس معیارهای صحیح مهندسی حضور یابد، نه اینکه بگوید من در اصفهانم و نماینده دارم، بلکه باید واقعا خود پادویش حضور داشته‌باشد. نیروهای فنی آن حضور داشته‌باشند و بتوانند مسائل و مشکلات را بگیرند و در یک بازه زمانی مشخص پاسخگویی کنند.

این فرایند به نظر من با چنین بخش‌نامه‌هایی با مشکل روبرو می‌شود. مضافا اینکه ما مشابه این بخش‌نامه را در بحث فایروال‌های بومی هم داشته‌ایم. وقتی کسی در این مورد می‌پرسد می‌گویم که چون بازار و نیاز آن را تحلیل نکردیم و اینکه ما در چه حوزه‌هایی می‌توانیم از تجهیزات بومی‌ استفاده‌کنیم و یک‌باره فایروال بومی را بخش‌نامه کردیم موفق نشد. خود دوستانی که بخش‌نامه زده‌بودند خودشان مناقصه برگزار می‌کردند و محصولات خارجی می‌خریدند. اکنون نیز شرکت زیرساخت و ارگان‌های دولتی شروع کردند به مناقصه آنتی‌ویروس و خریدشان را قبل از آنکه بخش‌نامه به‌دست‌شان برسد قطعی کردند و آنتی‌ویروس را می‌خرند. مگر شرکت زیرساخت و آقای جهرمی دو نقطه مقابل هستند؟ بخشی فنی آن است که خط می‌دهد. به نظر در جایگاه یک مسئول صنفی که وظیفه‌اش حمایت از کسی مثل مهندس حسینی و شرکت ایشان است؛ این شیوه حمایت درست نیست و ممکن است درنهایت ضربه سنگینی به شرکت ایشان بزند. اگر این محصول نتواند خود را به بازار جهانی برساند شاید اصلا نتواند در همین ایران هم بازار خود را داشته‌باشد.

صالحی: بله. قبل از اینکه به بازار جهانی برسیم، بازار خودمان مهم است. آقای مهندس حسینی فکر می‌کنید حمایت لازم را برای یافتن بازار گرفته‌اید یا شما هم موافق بازار به این شکل نیستید؟

حسینی: ما طبق یک‌سری واقعیت‌ها صحبت می‌کنیم. وقتی مقایسه می‌کنیم باید توجه داشته‌باشیم مولفه‌هایی که با هم مقایسه می‌کنیم تعریف‌شان از اساس در کشورها متفاوت باشد و فقط دو اسم یکسان داشته‌باشند، بنابراین بعضی از مسائلی که به‌صورت ایده‌آل مطرح می‌شود در کلام درست است، ولی در عمل، شکل این بازار به‌صورت خاصی است و شاید در مورد نوع حمایت حرف درستی باشد و از نظر منطقی حرف کاملا صحیحی است که باید این مراحل را طی کنیم. صرف‌نظر از اینکه فرایندهایی در همین راستا طی شده‌است، اما خیلی از این مسائل نباید عمومی شود و طبیعی است که همه از آن باخبر نباشند؛ مثلا اکنون سه سال است که استفاده از پادویش در وزارت دفاع الزامی است و بالای هشتاد درصد وزارت دفاع از آن استفاده کرده‌اند. نزدیک به یک‌سال است که در وزارت ارتباطات الزامی شده‌است. یک‌سال است که نیمی از شرکت زیرساخت ملزم به کاربرد پادویش هستند. اینکه نیمی دیگر از کسپرسکی استفاده می‌کرده‌اند، همین فرایندها بوده‌است که شما گفته‌اید. ما الان باید نیمی را عملیاتی کنیم و بعد نیمه دیگر را. می‌توانم بگویم موفق‌ترین تجربه پادویش در دوره اخیر تجربه واناکرای بوده‌است. صدماتی که برای کاربران کسپرسکی به وجود آمد برای آنهایی که از پادویش استفاده می‌کردند پیش نیامد. در مخابرات ایران بدون‌ اینکه ربطی به این بخش‌نامه داشته‌باشد و طی یک تصمیم کاملا فنی اکنون حدود یک سال و اندی است که از پادویش استفاده‌می‌کنند. با مقایسه فنی به این نتیجه رسیده‌اند که پادویش جایگزین خیلی بهتری است چون مسئله اصلی آنها، پشتیبانی است.

ما نمی‌خواهیم چرخ را مربع اختراع کنیم و این نگاه که به تولید ایرانی داریم متاسفانه یک نگاه فرهنگی است که خیال می‌کنیم اگر ما چرخ را اختراع کنیم مربع خواهدبود. خیلی از مهندسان برجسته دنیا ایرانی هستند. این هم یک تناقض است که از یک طرف می‌گوییم کارکنان پشتیبانی ما آن‌قدر قدرتمندند که بدون نیاز به شرکت سازنده به همه کشور پشتیبانی می‌دهند، ولی آن‌قدر توان مهندسی در داخل نداریم که محصول را بسازیم.

مقایسه جمعیتی هم در حوزه آی‌تی کار اشتباهی است. یک مرد جنگی به از صدهزار است. می‌بینید که گاهی یک هکر یا یک نخبه، کار برجسته‌ای می‌کند. جمعیت آلمان معلوم است که چقدر است. بسیاری از مسائل امنیتی در دست آلمان است. همچنین در خود حوزه نرم‌افزار ما هم توجیه اقتصادی داریم و هم مزیت رقابتی. اینجا دستمزدها خیلی پایین است. متوسط قیمت تمام‌شده محصولی که در ایران تولید می‌کنیم شاید یک‌پنجم محصول جهانی تمام شود. مشکل فروش غیرقانونی محصولات خارجی در ایران هست. آنها نه می‌گذارند تولید محصول ایرانی شکل بگیرد و نه کپی‌رایت. خود آنتی‌ویروس‌های خارجی راه تقلب را در ایران باز کرده‌اند؛ ای‌ست سریال‌های فیک با شکل کاملا معتبر در بازار می‌فروشد و باعث می‌شود لایسنسش از هزار تومان تا چندصد هزار تومان فروخته‌شود. برخی محصولات کاملا بدون سریال فروخته‌می‌شدند. ما آزمایشگاه داریم و تمام اینها را آزمایش کرده‌ایم.

صالحی: یعنی شما معتقدید دادن این بازار کار درستی بوده‌است؟

حسینی: من می‌خواهم بگویم موضوع را صفر و یکی نبینید. بیاییم راجع‌به یک واقعیت عینی صحبت کنیم تا همه زوایای آن بهتر دیده‌شود. امنیت در کشور در هر بخشی متولی دارد. شما در هر بخشی مسئولیتی دارید که درواقع وظایف شما را تعیین می‌کند. از این زاویه، دولت تجربه‌هایی در استفاده از محصولات خارجی دارد. متخصصان توانمند ایرانی وقتی که استاکس‌نت آمد تا مدت‌ها نمی‌دانستند موضوع چیست. وقتی هم که فهمیدند نتوانستند کاری انجام دهند. چرا؟ چون اصولا در سطح تولیدکننده نیستند. متخصصان ما در حد دکترا هم که باشند تکنسین هستند و نه تولیدکننده. اساسا من معتقدم از مفاهیم تولید صد درصد بی‌خبر هستند و چون مهندس بابادی‌نیا به شرکت ما آمده‌اند به‌عنوان کسی که جزو قدمای بازار هستند می‌توانند این را بدانند، ولی شاید مهندس کیایی‌فر آن را ندیده‌اند. من حاضرم با تمام آنها مناظره کنم و ثابت کنم بی‌اطلاع هستند و حتی مفاهیم را نمی‌دانند. اگر بپرسیم فرق دو نوع نرم‌افزار از نظر تکنیکال و مهندسی چیست، قطعا نمی‌دانند. طبیعی هم هست که ندانند چون حوزه کاری آنها نیست. ما الان می‌گوییم دولت یک پارادیمی داشته‌است. پارادیم اول این است که وضعیت موجود را ادامه دهیم. نتیجه‌ای که اتفاق می‌افتد این است که بازار در حال تغییر و تحول است و ما در حال عقب‌افتادگی هستیم. نسخه‌های جدید آنتی‌ویروس می‌آید و سیستم‌عامل‌ها تغییر می‌کنند، بنابراین ما شکاف را بیشتر می‌کنیم. از آن طرف، می‌خواهیم از مدل حمایتی که آنجا تجربه کرده‌ایم استفاده کنیم، یعنی بیاییم پول تحقیقات و لجستیک را بدهیم. اولا محدودیت قانونی زیادی وجود دارد. اگر بخواهیم پولی به حسینی بدهیم هزار نهاد قانونی می‌آیند و می‌گویند چرا این پول را به دیگری نمی‌دهید.

محصولات خارجی در ایران با دامپینگ گسترده در حال فروش هستند. چون پشتیبانی ندارند هر پولی که می‌گیرند عملا سود است. حتی اگر یک سنت باشد. من معتقدم هیچ انحصاری نیست، چون در بخش تولید هیچ محصولی نبوده‌است؛ از نظر فنی. در بحث فروش از ابتدا عرض کردم که ما فروشنده نیستیم. ما به دوستانی که محصول خارجی توسط آنها فروخته می‌شود عرض کردیم که بیایند این محصول را بفروشند. در حوزه دولت، مسئولیت امنیت آن را خود دولت قبول کرده‌است و این برای فروشندگان سایر محصولات بهتر شده‌است، چون اگر در زیرساخت اتفاقی رخ دهد دیگر شرکت شما که محصولات خارجی به آنها فروخته‌است مسئولیتی در این اتفاق ندارد.

صالحی: آیا شما مسئولیت می‌پذیرید؟
حسینی: بله. ما پذیرفته‌ایم. اکنون دو وزارتخانه و بالای چهارصد هزار مشترک خانگی داریم. اینکه ما فکر کنیم
حسینی: شاید خیلی موارد بود که پادویش نگرفت، اما چندبرابر آن را کسپرسکی و یا بقیه آنتی‌ویروس‌ها هم نگرفته‌اند.
در سطح بعدی به این چیزها توجه نمی‌شود یک مقداری جفا است. ما تمام تاییدهای خارجی را داریم. اتفاقا از نظر زیرساخت بالای ۶۰ درصد الزامات را داریم و نتایج بعدی نیز خواهندآمد.

مسئله آخر هم مقایسه با صنعت خودرو است. توجه کنید که خودرو یک بازار گسسته است، اما بازار سایبر یک بازار پیوسته است. به جهت پیوستگی داده ما می‌توانیم بگوییم فقط از یک محصول ایرانی استفاده کنند، ولی نمی‌توانیم به تهدیدات بگوییم فقط برای ایران عمل کنند. کاربر هم نمی‌نشیند که سیستم‌اش آلوده شود. من به یقین می‌گویم که توان متخصصان ما در این حوزه برای کل بازار است. این موضوع نیاز به تعداد زیاد ندارد. اپراتورها، نصاب‌ها یا پشتیبانی‌کننده‌ها بر اساس یک استاندارد عرفی کار می‌کنند، یعنی اگر درباره محصول ما آموزش ببینید نود درصد مشابه محصولاتی است که اکنون کار می‌کنید. شاید ۱۰ درصد تفاوت داشته‌باشد. بنابراین آنچه نیروی انسانی می‌خواهد نصب دستی است که همه تیم‌ها انجام می‌دهند، اما آنجایی که پشتیبانی شرکت سازنده را می‌خواهد جایی است که ممکن است مشکلی پیش آید و یک‌میلیون سیستم آلوده شود.

در این وضعیت ما هم یک آپدیت می‌دهیم و یک‌میلیون سیستم پاک‌سازی می‌شود. ما امروز به این دانش رسیده‌ایم و با اطمینان می‌گوییم که شما خیال‌تان راحت باشد. شاید خیلی موارد بود که پادویش نگرفت، اما چندبرابر آن را کسپرسکی و یا بقیه آنتی‌ویروس‌ها هم نگرفته‌اند. واقعیت این است که صنف با پیشرفتی که محصول داشت آشنا نیست. من فکر می‌کنم اگر ما بتوانیم بیشتر محصول را ارائه کنیم این آسودگی خاطر برای شما ایجاد می‌شود.

صالحی: آقای مهندس کیایی‌فر شما هم بر همین اعتقاد هستید؟

کیایی‌فر:
چندسال پیش بخش‌نامه‌ای داشتیم از سوی دولت که UTM ایرانی را برای سازمان‌های دولتی الزامی کرد. درنتیجه این کار، ادمین‌هایی که با سیستم‌های درجه یک دنیا مثل سیسکو و غیره کار می‌کردند با اکراه تمام ناچار شدند با این بخش‌نامه، یک دستگاه را از شبکه خود جدا کنند و یک دستگاه که اسم بومی روی آن بود جایگزین سازند. مثل اینکه یک نفر از بنز پیاده شده و سوار پراید شود و بخواهد به راه خودش ادامه دهد. نتیجه این شد که انتظارات را برآورده نکرد. نیمه‌شب هنگ می‌کرد و مشکلات طاقت‌فرسای دیگری داشت. درنتیجه یک مقاومت شدید در برابر محصول بخش‌نامه‌ای ایجاد شد. با افزایش مقاومت‌ها، بخش‌نامه شکسته شد. یعنی ادمین‌ها راه دور زدن بخش‌نامه را یاد گرفتند. یک UTM بومی می‌گذاشتند و روشن می‌کردند و آن پشت یک UTM خارجی نصب می‌کردند. چون خرید UTM خارجی ممنوع شده بود در درخواست خرید عناوین مشابه دیگری می‌نوشتند، اما UTM خارجی می‌خریدند و نصب می‌کردند، بنابراین تا زمانی که اقناع عمومی برای متخصصان کشور ایجاد نشود هیچ محصول بخش‌نامه‌ای به نتیجه نخواهدرسید، یعنی به زبان دیگر این بخش‌نامه بهترین روشی بود که می‌شد به یک محصول بومی با یک پیشرفت خوب، ضربه و آسیب زد.

بخش‌نامه باعث شد شک و تردید متخصصان نسبت به این محصول بومی تبدیل به خشم و نفرت شود. آقای مهندس حسینی و یا هر فرد دیگری که بخواهد محصول بومی تولید کند در همان آغاز کار، ۶ بر هیچ عقب است. چون تجربه‌هایی که در زمینه‌هایی بومی‌سازی وجود دارد ذهنیت جامعه متخصصان را نسبت به محصول بومی به شدت منفی کرده است.

اجازه دهید چند مثال تاریخی بزنم:
مثال ۱: لینوکس ملی در سال ۷۹ استارت زده‌شد. گفتند چون مشخص نیست ویندوز روی سیستم‌های ما و به‌ویژه دولت در پشت پرده چه می‌کند، باید خودمان یک سیستم‌عامل بسازیم. یک شعار قشنگ که با آن می‌شد کلی بودجه و حمایت دولتی هم دریافت کرد. پروژه تولید لینوکس ملی استارت زده‌شد. این طرح در دانشگاه شریف با چندمیلیارد هزینه کلید خورد و قرار شد که طی برنامه‌ای در سال ۸۴ جایگزین ویندوز در دولت شود، اما امروز نه اسمی از آن می شنویم و نه حتی سایتی وجود دارد.

مثال ۲: سال ۸۱ سیستم‌عامل زمین را مطرح کردند. کار این سیستم‌عامل دقیقا سال ۸۹ شروع شد و نسخه اولیه آن ارائه شد. وزارت ارتباطات و سازمان پدافند غیرعامل کسانی بودند که پشت این طرح بودند و روی آن سرمایه‌گذاری کردند. هدف این سیستم‌عامل هم این بود که جایگزین ویندوز شود. امروز حتی یک وب‌سایت از این سیستم‌عامل وجود ندارد و یک پروژه کاملا شکست خورده دیگر است درحالی‌که زمانی زیادی هم از آن نگذشته‌است.

مثال ۳: این بار اسم پروژه عوض شد و تولید سیستم‌عامل امن قاصدک کلید زده‌شد که الان سایت آن وجود دارد و می‌توانیم به آن مراجعه کنیم. یکی از انتقادات جدی ما به محصولاتی که به‌صورت بومی ارائه می‌شود این است که یک‌سری ادعاهایی می‌کنند که حتی نمی‌شود آنها را نقد کرد؛ مثلا در وب‌سایت همین سیستم‌عامل قاصدک امن نوشته‌است بدون نیاز به جداسازی شبکه اینترنت از شبکه سازمان، پنج‌برابر سریع‌تر از ویندوز، دو برابر سریع‌تر از اپل!!!
من اعتقادم این است که اگر پراید می‌سازیم نگوییم بنز ساخته‌ایم. بگوییم پراید است و توقع بنز برای مشتری ایجاد نکنیم. چون با این توقع وقتی مشتری سوار می شود می‌شود کلا ناامید می‌شود و پروژه شکست می‌خورد.

مثال ۴: بعد از اینها مروگر ملی ساینا آمد. پروژه‌ای در سازمان فناوری اطلاعات تعریف شد. هزینه میلیاردی انجام شد. سمینار و کنفرانس هم برای آن برگزار کردند و در بخش‌های خبری هم رپرتاژ رفت و بعد از مدت کوتاهی مشخص شد که این یک نسخه شخصی‌سازی‌شده از فایرفاکس است. فایرفاکس قابلیتی دارد که اجازه شخصی‌سازی را می‌دهد و می‌توانید اسم و ظاهر آن را عوض ‌کنید. حتی سایز فایل هم همان سایز فایرفاکس است. این پروژه ملی هم جمع شد.

مثال‌های دیگر: بعد پروژه مرورگر ملی دوم هم سر درآورد. بعد هم ایمیل ملی، ذخیره‌ساز ملی، WAF ملی، UTM ملی آمدند؛ اما اکنون هیچ خبری از خیلی از آنها نیست و حالا هم آنتی‌ویروس ملی!

این همه پروژه شکست خورده ملی با صرف این همه هزینه نشان می‌دهد قطعا یک جای کار می‌لنگد. من به وزارت ارتباطات پیشنهاد می‌کنم یک سمینار برای بررسی علل شکست پروژه‌های بومی‌سازی برگزار کند و به تحلیل عمق ماجرا بپردازد تا در پروژه‌های آتی کمتر دچار شکست‌های مشابه شویم.

در مورد آنتی‌ویروس ملی هم همین است. ما اولین‌بار نیست که آنتی‌ویروس بومی تولید می‌کنیم. قبلا هم آنتی‌ویروس‌هایی مثل ایمن، سورنا، ققنوس تولید کرده‌بودیم و همگی به نقطه مشترک شکست منتهی شده‌بودند و حالا هم از پادویش سخن می‌گوییم. اگر به تاریخچه این قضایا نگاه کنیم، ذهنیت جامعه متخصصان درباره محصولات بومی به‌خصوص در حوزه امنیت به‌شدت منفی است. اکنون هم یک بخش‌نامه روی میز ادمین‌های سازمان‌ها آمده‌است. آنها با نگرانی با ما تماس می‌گیرند و می‌گویند با این بخش‌نامه چه کنیم؟ اصلا از کجا معلوم پادویش تا سال دیگر سرجایش باشد. می‌پرسند کدام مرجع استانداردی این محصول را تست کرده‌است؟ به نظر من، شما و دولت، این نگرانی‌های به‌حق را ارزیابی نکرده‌اید. این دغدغه‌ها را ندیده گرفتید و صرفا از یک زاویه به قضیه نگاه کرده‌اید. این قضیه را به‌صورت بخش‌نامه ارسال کردید و یک مقاومت شدید به وجود آوردید.

متخصصان احساس می‌کنند این بخش‌نامه، شعور فنی آنها را نادیده گرفته‌است. این مقاومت شدید بالاخره شکسته خواهدشد. حیف است پادویش در برابر این همه مقاومتی که هست یک‌مرتبه از بین برود. من فکر می‌کنم جای رشد زیادی وجود دارد.

ادامه دارد