کد QR مطلبدریافت صفحه با کد QR

اما و اگرهای الزامی‌شدن یک آنتی‌ویروس ایرانی در بخش دولتی- قسمت دوم

پادویش با یک‌میلیون تجربه مصرف توان فنی پاسخگویی تهدیدات را داراست

اختصاصی افتانا

8 اسفند 1396 ساعت 12:00

ما در این مرحله‌ هستیم که اعتقاد داریم محصول‌مان بعد از گذشت سه‌چهار سال و با یک‌میلیون تجربه مصرف و پشت سر گذاشتن انواع تهدیدات، امروز از نظر فنی توان پاسخگویی را دارد، یعنی اکنون ما هیچ محدودیتی نداریم.

ما در این مرحله‌ هستیم که اعتقاد داریم محصول‌مان بعد از گذشت سه‌چهار سال و با یک‌میلیون تجربه مصرف و پشت سر گذاشتن انواع تهدیدات، امروز از نظر فنی توان پاسخگویی را دارد، یعنی اکنون ما هیچ محدودیتی نداریم.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بحث الزامی شدن استفاده از آنتی‌ویروس بومی در بخش دولتی با واکنش‌های متفاوتی همراه بود. البته به‌دلیل محرمانه بودن بخش‌نامه دولت، ظاهرا کسی آن را ندیده‌است؛ ولی همه کمابیش از مفاد آن آگاه هستند. دکتر علیرضا صالحی، مدیرعامل هلدینگ دیده‌بان میزبان مهندس سید عباس حسینی، مدیرعامل شرکت امن‌پرداز، مهندس علی کیایی‌فر، مدیر توسعه محصول شرکت مدبران، مهندس حمید‌ بابادی‌نیا، مدیرعامل گیلاس کامپیوتر در یک میزگرد بود تا این موضوع از دیدگاه فنی و مدیریتی بررسی شود. در ادامه، بخش پایانی این میزگرد را بخوانید.

بابادی‌نیا: ما چنین سرنوشتی را برای این محصول نمی‌خواهیم. نمی‌خواهیم پادویش را برای یک الزام بخرند و بعد بگویند می‌خواهیم اسم پادویش را بیاوریم، ولی از کسپرسکی استفاده‌کنیم. خیلی خوب است که یک وزیر، بخش‌نامه‌ای در حمایت از بخش خصوصی داده‌است. ما می‌خواهیم شکل این حمایت مانند حمایت از خودرو نباشد، بلکه طوری باشد که پادویش رشد کوچک و مقطعی نکند. اگر در زیرساخت، جبهه‌ای شکل بگیرد و نتوانیم جلوی آن را بگیریم همان رشد هم تبدیل به رشد منفی می‌شود. ما در جبهه مخالف پادویش نیستیم و حرف‌مان این است که یک‌سری دغدغه‌ها داریم. در سایت یک‌سری گزارش‌ها آمده‌است که تیک‌هایی نخورده‌است. آیا برای این نکات فنی و دغدغه‌ها راهکاری دارید؟

حسینی: این کار توسط ما شروع شده‌است، ولی موفقیت‌اش منوط به همراهی همه است. باید ببینیم می‌خواهیم یک آنتی‌ویروس فعال و موفق داشته‌باشیم یا نه. اگر جواب مثبت است، قطعا یک نفر نمی‌تواند این کار را انجام دهد. در آمریکا هم یک شبکه این کار را می‌کند. هرکس نقش خودش را درست بازی می‌کند. من اعتقاد دارم اصلا فلسفه صنف این است که اینها را تعریف کند.

بابادی‌نیا: من شما را به جلسه هیئت‌مدیره سازمان نظام صنفی رایانه‌ای تهران، دعوت می‌کنم. همچنین درخواست می‌کنم مجموعه‌ای از کارشناسان به بازدید مجموعه شما بیایند. من سوالم این است که آیا ویژگی‌ها و ابزارهای شما می‌تواند نیازها را برطرف و پشتیبانی کند. مانند فایروال نباشد که بخش‌نامه شد، ولی بیشتر از چهار گیگ را پشتیبانی نمی‌کرد درحالی‌که درخواست پشتیبانی چهارصد گیگ وجود داشت. ممکن است شما بگویید من چنین امکانی ندارم و از بقیه کمک بگیرید تا این دغدغه برطرف شود. این یک تعامل فنی است که باید شکل بگیرد.

حسینی: نکته‌ای به ذهنم رسید که خوب است مطرح شود. مسائل فنی واقعا پایین به بالا باید حل شود. ما در موضوع UTM و موارد دیگر شکست داشتیم. قطعا هر کدام را که بررسی کنیم یک جای کار ایرادی داشت که فرایند به‌درستی طی نشد.

ما در آنتی‌ویروس یک تفاوت ماهوی در موضوع داریم. اولا، آنتی‌ویروس اگر جواب ندهد بلافاصله معلوم می‌شود. برخلاف UTM که می‌شد اصلا وصل نکرد. ثانیا،  دولت یک تجربه چندساله را در این محصول با توجه به تجربه‌های قبلی طی کرد، یعنی اول در دو وزارتخانه الزام کرد و بعد به‌تدریج سعی کرد این محصول بلوغ خود را پیدا کند و بعد درنهایت این الزام را در شرایطی انجام داد که همه تاییدهای داخلی و بین‌المللی را کسب کرده‌بود. یعنی خیال خودش را راحت کرد. تفاوت این الزام با تمام الزامات قبلی این است که دولت، مسئولیت این بخش را از نظر حاکمیتی برعهده گرفته‌است. مسئولیتی که قبلا به عهده هیچ‌کس نبود، یعنی درواقع جزو قلمرو مدیریت دولت بود، ولی در همین حال دولت مسئولیت امنیت آن را نپذیرفته‌بود و به دلایل تحریم و هزار دلیل دیگر بخش خصوصی و خارجی نیز نمی‌توانست بپذیرد. خواستم این نکته را در مورد مقایسه شفاف کنم.

صالحی: آقای مهندس کیایی‌فر شما فکر می‌کنید بنابر حرف مهندس حسینی اگر دولت واقعا مسئولیتی را پذیرفت- که نمی‌دانم این به چه معناست- آیا این نافی حفظ امنیت کل نهادهای دولتی است؟ یعنی ما بگوییم به صرف اینکه پادویش داشتیم. حالا ممکن است مشکلی برای پادویش پیش بیاید یا مشکلی است که اصلا نمی‌تواند آن را برطرف کند. آیا این نافی مسئولیت است؟

کیایی‌فر: آقای بابادی‌نیا بین صنعت خودروسازی با آنتی‌ویروس مقایسه‌ای کردند که به گمان بعضی‌ها، قیاس درستی نیست. شما را ارجاع می‌د‌‌هم به اظهار‌نظر مدیرعامل یکی از شرکت‌های خودروسازی در همین چند روز پیش که در همایشی گفتند ماشین‌هایی که تولید داخل هستند استانداردهایی را می‌گذرانند که بنز و بی ام و نمی‌گذرانند.

دولت چهل سال از صنعت خودروسازی حمایت بی‌قید و شرط  کرد و چنین وضعیتی که امروز می‌بینیم، حاصل شده‌است. خودرو گران است، کیفیت پایین و مردم هم ناراضی هستند. می‌خواهم بگویم اگر از محصول بومی که تولید می‌کنیم حمایتی شبیه به صنعت خودروسازی شود، همان بلایی سرش می‌آید که سر محصول خودروسازی آمد.

حمایت دولت نباید با حذف رقبا انجام شود. فرض کنید فرزندی دارید که مدرسه می‌رود. می‌خواهید برنامه بریزید که او شاگرد اول شود. راه این نیست که فرزندتان را در مدرسه‌ای ثبت‌نام کنید که شاگرد زرنگ نداشته‌باشد یا کاری کنید که شاگرد زرنگ‌ها در کلاس او نباشند تا بتواند اول شود. راه درست این است که با آموزش صحیح، تزریق بودجه و امکانات، دولت بیاید و از این محصول بومی حمایت کند، یعنی دولت باید بودجه بدهد، هزینه بگذارد و از محصول بومی حمایت کند بدون اینکه رقبا حذف شوند. چون در نبرد جدی با رقبای مطرح است که یک محصول محک می‌خورد و رشد می‌کند. درحقیقت باید هزینه تمام‌شده محصول‌تان در رقابت با رقبای خارجی کاهش پیدا کند که بتوانید در بازار مطرح شوید. آن زمان ادمین سازمان این حق انتخاب را دارد که یک محصول خارجی را با قیمت صدمیلیون تومان بخرد یا یک محصول داخلی را که دولت حمایت کرد و هزینه آن پایین آمد با قیمت ۱۰میلیون تومان بخرد؛ بدون اینکه رقبای خارجی حذف شود. آن وقت ادمین با اشتیاق یک محصول را می‌خرد. با اعتقاد به اینکه ممکن است این محصول یک ضعف‌هایی هم داشته‌باشد، ولی چون ارزان‌تر بود آن را خریده‌ام. این، حمایت صحیح است که باعث می‌شود یک محصول رشد کند وگرنه با یک مقاومت شدید روبرو می‌شود.

با این بخش‌نامه، مشتری‌ها حق انتخابی ندارند. قیمت‌گذاری این محصول چگونه انجام می‌شود؟ اگر مشتری از سرویس پشتیبانی ناراضی بود باید چه کار بکند؟ چه کسی از حقوق مصرف‌کننده حمایت می‌کند؟ یک محصول انحصاری چه انگیزه‌ای برای بهتر شدن دارد؟ اینها معضلات فراوانی است که بخش‌نامه به‌وجود آورده‌است.

از نظر فنی هم هر انحصاری باعث می‌شود که امنیت پایین بیاید چه محصول داخلی باشد و چه محصول خارجی. با انحصار و بخش‌نامه روی یک محصول، درباره هر محصولی، مقاومت در سازمان ایجاد می‌شود. برای اینکه کلا تا زمانی‌که موضوعی اجماع و تفهیم نشود مورد پذیرش واقع نمی‌شود و همیشه جلوی آن گرفته ‌می‌شود. همه محصولات خارجی آسیب‌پذیری دارند و در آینده هم خواهند داشت. هیچ‌کس ادعا نمی کند که محصولش آسیب‌پذیر نیست. مایکروسافت، ادوب، سیسکو و همه شرکت‌ها این آسیب‌پذیری‌ها را دارند. وقتی این آسیب‌پذیری کشف می‌شود شرکت با احترام می‌پذیرد و آن را به‌روزرسانی می‌کند. درصدد انکار برنمی‌آید. من در این ۱۰ سالی که در بازار امنیت کار می‌کنم هنوز ندیده‌ام یک شرکت ایرانی بپذیرد که یک محصول امنیتی‌اش آسیب‌پذیری داشته‌است. نه‌تنها نمی‌پذیرند، بلکه انکار هم می‌کنند. درحالی که به وضوح آسیب‌پذیری‌های زیادی در محصولات ایرانی دیده شده‌است. نکته دیگر اینکه محصولات خارجی همیشه توسط تمام متخصصان دنیا زیر ذره‌بین هستند، بنابراین آسیب‌پذیری‌های آنها بیشتر و بهتر کشف می‌شود و معمولا هم سریع Patch می‌دهند. بعد از این همه که از عمر ویندوز می‌گذرد مایکروسافت هرماه تعداد زیادی آپدیت می‌دهد. اینها ضعف و اشکال نیست. اینها طبیعت یک محصول است، ولی ما اینها را در حوزه محصولات ایرانی نداریم. ضمن اینکه محصولات ایرانی زیر ذره‌بین هم نیستند. حالا تصور کنید دشمنان پادویش را زیر ذره‌بین ببرند و آسیب‌پذیری‌های بحرانی آن را بیابند و علنی نکنند و با علم به اینکه در تمام سازمان‌های دولتی کشور پادویش نصب شده‌است یک راه نفوذ همیشگی به سازمان‌ها پیدا کنند. من فکر می‌کنم دشمن هم از این بخش‌نامه استقبال می‌کند. نه‌تنها پادویش بلکه هر محصول دیگری که در همه سازمان‌ها الزام و انحصار شود این نگرانی را به‌وجود خواهد آورد.

صالحی: آقای حسینی من ضمن اینکه خواهش می‌کنم این موارد را بفرمایید نکته دیگری هم وجود دارد. اینکه ما در مقابل نفوذگران به وضوح اعلام کنیم تنها مشکلی که برای حمله به سازمان دارید این است که از پادویش رد شوید. الان وضعیت این‌طور نیست. گوناگونی زیاد است و محصولات مختلفی وجود دارد. کسی که بخواهد حمله کند باید از چند سد عبور کند، اما اینکه بداند تنها مسئله رد شدن از پادویش است به نظر شما ذاتا خیلی ضدامنیت نیست؟

حسینی: امنیت سلسله‌ای از حلقه‌های زنجیر است که چارچوب امنیتی را می‌سازد و در عین حال قدرت آن برابر با ضعیف‌ترین حلقه است. ما باید همه حلقه‌ها را درنظر بگیریم. درواقع پادویش جزیی از کل امنیت و سیاست سازمان است. ما درباره بخشی از امنیت صحبت می‌کنیم نه از کل آن.

نکته دوم ما دو نوع عامل نفوذ و حمله از نظر انگیزه برای سازمان‌ها در محیط سایبری داریم. یک نوع حملات و نفوذها و تهدیدات سطح عادی هستند که در دنیا رایج است. یک سطح، هم سطح دولت‌هاست که به مسائل استراتژیک برمی‌گردد. تهدیدات عمده آنجاست و بودجه‌های اساسی هم همین‌جاست. اصلا عمق و دامنه تهدیداتی که در دولت‌ها مطرح می‌شود غیرقابل مقایسه با نوع اول است. تجربه‌ای که در کشور ما وجود دارد این است که جمهوری اسلامی هدف بزرگ‌ترین تهدیدات سایبری دنیا بوده‌است که اصلا نمونه دوم ندارد، بنابراین وقتی این تجربه را نگاه می‌کنیم متوجه می‌شویم موقعی که از تهدید نوع اول صحبت می‌کنیم مشابه بقیه دنیا هستیم، یعنی می‌توانیم از همه محصولات استفاده کنیم و آسیب‌پذیریمان هم کمتر خواهدبود، اما وقتی درباره آسیب‌شناسی دوم صحبت می‌کنیم دیگر نمی‌توانیم از نرم‌افزارهای خارجی استفاده کنیم. به‌خاطر اینکه آنها اساسا در جبهه‌ای قرار می‌گیرند که حمله به ما انجام شده‌است. دولت یک بخش‌نامه‌ای برای خودش داده‌است و این نکته بسیار مهمی است. چون دولت عمدتا هدف حمله نوع دوم است. درواقع وقتی از ناحیه دولت‌ها حمله‌ای صورت گرفته به شبکه‌های دولت حمله شده‌است نه به بخش خصوصی و مردم. اگر از نظر تعداد کامپیوتر و سیستم‌ها مقایسه کنیم شاید پنج درصد بازار هم در اختیار دولت نباشد، بنابراین از نگاه فنی انتخاب و تصمیم‌گیری بین هیچ‌ مورد و یک مورد است، نه اینکه چند مورد باشد تا از بین آنها یکی را انتخاب کنیم که آسیب‌پذیری آن کمتر باشد. این کاملا فنی است.

مسئله دوم اینجاست که اساسا شما وقتی پشتیبانی شرکت سازنده آنتی‌ویروسی را ندارید گویی هیچ ندارید، زیرا آنتی‌ویروس، محصولی است که حداکثر 30 درصد محصولات و تکنولوژی آن را می‌بینید و حداقل 70 درصد آن در داخل آزمایشگاه است. چیزی که ما اصلا در خواب هم نیروی پشتیبانش را ندیده‌ایم و نمی‌دانیم چه خبر است. در مک‌آفی و کسپرسکی بالای ۹۹ درصد فایل‌هایی که وارد چرخه تحلیل می‌شود، اصلا عامل انسان نقشی در آن ندارد و ماشین انجام می‌دهد، یعنی قواعد، فرایند‌ها و روال‌های تحلیلی که در سطح آزمایشگاه وجود دارد همگی به‌عنوان الگوریتم‌های تعریف‌شده است که توسط سیستم‌های فنی و بالاتر اجرایی شرکت تعیین می‌شود. شما خیلی راحت می‌توانید تعریف کنید که یک دسته‌ای از فایل‌ها را نگیرد. البته این چیزی است که اف‌بی‌ای در آمریکا رسما اعلام می‌کند و چیزی پنهانی نیست. پس اگر قرار باشد که بگوییم ما از محصول خارجی استفاده‌می‌کنیم باید متصل باشیم. اینکه ما ادعا کنیم توان نیروی انسانی ما بالاست نه‌فقط کفایت نمی‌کند، بلکه نشان‌دهنده آن است که قادر به پاسخگویی در شرایط بحران نیستیم.

مسئله دوم در بحث امنیت که برای من خیلی مهم‌تر است اینکه ما باید دانش را بومی کنیم؛ در غیر این‌صورت مشکل خودروسازها ایجاد می‌شود. مشکل ما در بحث خودروسازی این است که دانش‌مان در نقطه تولید ایجاد نمی‌شود. اتفاقا زمانی در خودروسازی خوب پیش رفتیم که سمند تولید شد. یادتان باشد وقتی سمند به بازار آمد با خودروهای روز دنیا یک کلاس فاصله داشت. کیفیت سمندهای اولیه خیلی بالا بود، اما شاهد بودید که بلافاصله پروژه ال نود را استارت زدند. این کار ریشه تولید را خشک کرد.

اگر می‌خواهیم نقشی از ما باقی بماند و محصولی تولید کنیم که واقعا قابل رقابت باشد و بتواند پاسخگوی نیازها باشد باید ساختار راهبردی آن را به‌صورت شفاف اعلام کنیم تا همه بدانند و بتوانند مشارکت کنند. ما در این مرحله‌ هستیم که اعتقاد داریم محصول‌مان بعد از گذشت سه‌چهار سال و با یک‌میلیون تجربه مصرف و پشت سر گذاشتن انواع تهدیدات، امروز از نظر فنی توان پاسخگویی را دارد، یعنی اکنون ما هیچ محدودیتی نداریم. ممکن است بگویند پادویش برخی امکانات را ندارد. بله؛ زیرا برای ما اولویت نداشته‌است و به آنها نیاز نداشته‌ایم. برخی امکانات را هم ما داریم که هیچ آنتی‌ویروس خارجی ندارد، چون این امکان در ایران نیاز بوده و ما برای کشور خودمان تولید کرده‌ایم. ما راه طولانی را رفته‌ایم.

در بحث آسیب‌پذیری محصول هم اولا، تاکنون آسیب‌پذیری‌های زیادی از پادویش اعلام شده‌است که پذیرفته‌ایم و بلافاصله هم برطرف کرده‌ایم. ثانیا، وقتی نسخه جدید می‌دهیم، لیست می‌دهیم که کدام آسیب‌پذیری‌ها حل شده‌است. منتهی مهندس کیایی‌فر یک استدلالی دارند که من با آن موافق نیستم. ایشان می‌گویند تجربه محصول یک دو تا 10 همه ناموفق بودند و پادویش تجربه یازده است پس همان‌طور می‌شود. من با این موافق نیستم. اولا، در دنیا نرخ موفقیت محصول در مرحله توسعه زیر ۱۰ درصد است، یعنی طبیعی است که از هر ۱۰ محصول ۹ مورد آن شکست بخورد. اینهایی که شما شمردید ۹ مورد هم نشد. ثانیا، ما خیلی شرکت‌‌های بزرگ داشتیم که شکست خورده‌اند. دلیل شکست خوردن که فقط فنی نیست. پروژه‌هایی که گفتید برخی از آنها تیم فنی خوبی داشته‌اند و پشتیبانی آنها ضعف داشته‌است. ثالثا، مشکل صنعت خودرو نه انحصار است، نه تکنولوژی و نه نیروی انسانی. همه کسانی که صنعت خودرو را می‌شناسند می‌دانند که مشکل اینها نیست. صنعت خودرو، دولتی است و مشکل آن همین است. اگر صنعت خودرو را به‌معنای واقعی خصوصی کنند مشکل صنعت خودرو حل می‌شود. همه متخصصان این را می‌دانند. مشکل صنعت این است که من می‌آیم و چهار سال وقت دارم، اما باید حواس‌ام به چهل سال بعدی باشد.

کیایی‌فر: آقای مهندس حسینی به‌درستی اشاره می‌کند که بخش دولتی ما به‌دلیل برخی دغدغه‌های امنیتی نیاز دارد که یک آنتی‌ویروس بومی داشته‌باشد. من با این کاملا موافق هستم و ابتدا هم عرض کردم که آنتی‌ویروس یکی از حوزه‌های استراتژیک است که باید به آن بپردازیم، اما بحث اصلی روی نحوه حمایت و نحوه ورود آن به سازمان‌هاست. ما اختلاف‌نظرمان بیشتر روی این نکته است. اینکه ما محصولی داشته‌باشیم که کار توسعه و تولید و ۷۰ درصدی که ناحیه سرور باید انجام دهیم وجود داشته‌باشد امتیاز بسیار بزرگی است. در خیلی جاها می‌توانیم از آن به‌عنوان برگ برنده استفاده کنیم.

بحث آسیب‌پذیری این مسئله و اجبار به یک محصول یکسان در کل سازمان‌های دولتی می‌تواند یک بحران امنیت ملی ایجاد کند. به قول شما که درست هم هست، ایران در سیبل حملات سایبری است و مدرن‌ترین بدافزارهای تاریخ هدف‌شان ایران بوده‌است. در سمینارهای امنیتی پنج‌سال اخیر محال است اسم ایران در سخنرانی‌ها و مقالات نیاید و ایران به نمونه تحقیقاتی و مطالعاتی این سمینارها تبدیل شده‌است. همه اینها قابل قبول است، اما من فکر می‌کنم همان‌هایی که پنج یا ۱۰ سال بعد از حمله استاکس‌نت این مباحث برایشان جدی شد با شنیدن این بخش‌نامه بسیار خوشحال خواهندشد. می‌گویند حالا می‌دانیم که با یک تشکیلات دولتی طرف هستیم که در تمام آن محصولی به نام پادویش وجود دارد. پادویش یکی از حلقه‌های امنیتی است که فرمودید در هر سازمانی وجود دارد. مسلم بدانید کسانی که می‌خواهند حمله سایبری کنند پادویش را تهیه می‌کنند و در آزمایشگاه خودشان مورد تحلیل‌های بسیار دقیق و حرفه‌ای قرار می‌دهند و به احتمال زیاد می‌توانند آسیب‌پذیری‌هایی روی آن کشف کنند که آن را علنی نخواهندکرد.

حسینی: به احتمال زیاد و نه صد درصد

کیایی‌فر: به احتمال زیاد علنی نخواهندکرد و این محصول هم فقط در ایران استفاده‌می‌شود و طیف مخاطبان خارجی ندارد. کشورهای دیگری چون روسیه، چین و اوکراین که از نظر امنیت و هک مطرح هستند هم تمرکزی روی این محصول ندارند. درنتیجه آنها تعدادی آسیب‌پذیری شناخته‌شده در یک محصول ایرانی پیدا خواهندکرد که حلقه آسیب‌پذیریش در تمام سازمان‌های دولتی وجود دارد. از همان طریق می‌توانند نفوذ کنند. با ضعف یک محصول بومی که فقط در ایران استفاده‌می‌شود می‌توانند حضور دائمی در شبکه‌های دولت داشته‌باشند. درنتیجه ما آمده‌ایم یک محصول بومی تولید کنیم که امنیت‌مان بالاتر برود، ولی به‌واسطه همان محصول بومی که انحصاری شده‌است آسیب‌پذیرتر از قبل می‌شویم.

ممکن است این استدلال وجود داشته‌باشد که محصولات خارجی هم ممکن است همین آسیب‌پذیری‌ها را داشته‌باشند. کاملا درست است، ولی انحصار وجود نداشته و پراکندگی بوده‌است. می‌توانسته چند لایه استفاده‌شود. خیلی سازمان‌ها هستند که برای سرورها از یک آنتی‌ویروس استفاده‌می‌کنند و برای کاربران‌شان یک آنتی‌ویروس دیگر. کاری به‌درستی یا غلطی این فرضیه ندارم. این سناریوها به‌دلیل عدم اطمینان به آسیب‌پذیری یک محصول است که باعث شده‌است از چند لایه استفاده‌شود.

حسینی: من فکر می‌کنم نیاز است این را توضیح مفصل‌تری بدهم تا شما بدانید که این استدلال واقعا صحیح نیست. من مطمئن هستم که اگر شما فنی آن را بشنوید نظرتان تغییر می‌کند. اولا، وقتی که پادویش می‌آید روی یک شبکه قرار می‌گیرد؛ پادویش یک تکنولوژی است و محصول بلک‌باکس نیست که ندانیم در آن چه خبر است و کسی آن را بررسی کند و آسیب‌پذیری کشف کند و همان سال هم از آن استفاده کند و ما متوجه نشویم. اصلا این‌طور نیست. پادویش تنها محصولی در دنیاست که سالیانه دو محصول در دنیا می‌دهد. این کار خیلی سنگینی است. کسی در دنیا بیش از یک محصول نمی‌دهد. ما چرا این کار را می‌کنیم؟ زیرا ما یک کمبودی را از نظر ابزار داریم که باید به‌سرعت برای جبران آن گام‌ برداریم. همین حالا بسیاری از ویژگی‌هایی را که در شبکه‌های سازمانی مورد نیاز است و خارجی‌ها ندارند ما داریم. یکی، همان است که شما دغدغه آن را دارید. می‌گویید که یک تهدیدی می‌آید که پادویش آن را نمی‌شناسد، چون این تهدید را برای پادویش ساخته‌اند. یعنی آن را آنالیز کرده‌اند و مشکل آن را شناسایی کرده‌اند درحالی‌که بقیه آن مشکل را ندارند. این تهدید یا از ناحیه دولت‌هاست یا از ناحیه سودجویان غیردولتی. اگر ناحیه سودجوها باشد سریع جلوی آنها را می‌گیرند. ما می‌توانیم یک ویژگی در کنار پادویش به سازمان‌ها بدهیم که خیال‌شان راحت باشد. وقتی روی پادویش یک آسیب‌پذیری کشف می‌شود، پادویش یک معماری است که نتیجه آسیب‌پذیری دو بخش است. یکی بحث اکسپلویت است که طرف محصول شما را از کار می‌اندازد و کد خود را اجرا می‌کند و وارد فضای بهره‌برداری از سیستم می‌شود. یک بخش، این است که سیستم را از کار نمی‌اندازد و به‌عنوان یک تهدید مخفی در سیستم شما قرار می‌گیرد. شما کار خود را می‌کنید و از وجود آن خبری ندارید.

ما در هر دو بخش با تهدیدی مواجه هستیم که به آن اصطلاحا ای پی تی می‌گویند. یعنی می‌آید و در سمت ما می‌نشینید. پادویش علاوه‌بر محصولی که اکنون کار می‌کند تعداد زیادی سنسور دارد که این سنسورها کار مقابله‌ای ندارند. مانند بقیه آنتی‌ویروس‌ها هستند. شما از یک فضای بسته بلک‌باکس صحبت نمی‌کنید. بلکه برای ما، باز و روشن است. تغییر بالاخره ایجاد می‌شود. شما تغییر را بررسی می‌کنید و نسبت به آن عکس‌العمل نشان می‌دهید. متاسفانه در جامعه صنفی به نتایج و دستاوردهای جهانی پادویش بها نداده‌ایم. این نشان از تکنولوژی است. آمریکایی‌ها، روس‌ها و چینی‌ها و ... با تلاش و کوشش روی تکنولوژی است که پیشرفت می‌کنند. راه، همین است. ادعا نداریم از آنها جلوتریم. ادعا می‌کنیم امروز محصولی داریم که می‌تواند جلوی تهدیدات را بگیرد. چرا از این زاویه نگاه نکنیم؟!

شما در یک گروه با جامعه آماری نرمال نظرسنجی کردید. ۱۳ درصد از پادویش استفاده‌می‌کردند. آن هم در سال ۲۰۱۸ با تهدیدات روز؛ بنابراین من خواهش می‌کنم که عیار کار را پایین بیاوریم. من از طرف آقای جهرمی این را می‌گویم. شما راه‌حل حمایتی به دولت پیشنهاد کنید که چگونه حمایت کند. چون می‌دانم نمی‌تواند پول بدهد. اگر دولت بخواهد پول بدهد هزار و یک مسئله خواهد داشت. می‌تواند یکی دو سال پول پرداخت کند، ولی نمی‌تواند ۱۰ سال ادامه بدهد. اولین استدلال آن خواهدبود که اگر این محصول خوب است نصب کنید تا از آن استفاده‌شود. اگر هم نیست خرج نکنید.

کیایی‌فر: نتیجه این کار، آن شده‌است که در صنعت خودروسازی، دو تا سه‌برابر از جیب مردم رفته‌است.

حسینی: مشکل خودروسازی، تصدی‌گری دولت است.

صالحی: ما می‌گوییم که پادویش محصول خوبی است. کجای دنبا به جز ما می‌گویند پادویش خوب است؟ می‌خواهم بگویم شما چه مشکلاتی دارید که نمی‌توانید استانداردهای دنیا را بگیرید؟ این مسئله و دغدغه جدی است. شاید مشکلاتی جز مشکلات فنی وجود دارد؟

حسینی: اولا ما گرفته‌ایم. ما شروع کرده‌ایم. در فاز اول باید از کارفرما که در ایران همان دولت است بگیریم که CC را گرفته‌ایم. اولین محصولی هستیم که از مرکز راهبردی افتا گواهی‌نامه گرفته‌ایم. در سال ۹۳ یا ۹۴ برای تست‌های بین‌المللی اقدام کردیم. در این سال که استاندارد زدیم متوجه شدیم اینها یک حداقل پذیرش محصول دارند. یک حداقلی را باید رد شوید. این حداقل‌ها راجع به آنتی‌ویروس دو بخش مجزا دارد. شروع کار با تحریم‌ها مصادف شد و اصلا از جایی به بعد از ادامه مذاکره خودداری کردند. پس از برجام بعد از ۶ ماه دستورالعمل‌ها آمد و درباره محصول از نظر پذیرش اولیه به توافق رسیدیم. بعد روال این‌گونه است که محصول در دو بخش تست می‌شود.

بحث دوم، ارزیابی‌های دوره‌ای است که هرماه باید آنجا بود. از ۸۰ درصد بالاتر باشد. مشکلی که ما داشتیم و الان تقریبا رفع شده‌است، این بود که نمونه‌هایی از بدافزار و فایل که به دست‌مان می‌رسید مخصوص ایران بود. از جهتی این برای ما حسن است. چون ما بر بازار ایران متمرکز هستیم. وقتی بدافزاری می‌آید ما بهتر از بقیه می‌گیریم، اما نمونه‌هایی که در تست‌های بین‌المللی می‌آورند نمونه‌هایی است که شما ندیده‌اید و وقتی ندیده‌باشید ماکزیمم می‌توانید ۳۰ درصد را بگیرید. البته شناسایی می‌کند، ولی نمی‌تواند در پاک‌سازی خوب عمل کند. ما در پی چاره این کار گشتیم و دیدیم بقیه آنتی‌ویروس‌ها هم این مسئله را دارند. از هانی‌نت‌های بین‌المللی نمونه می‌خرند. این گران است. مثلا برای مشهورترین‌ها که درخواست فرستادیم و ۲۶۰ هزار دلار در سال قیمت داشت. ما در اینجا به تنگنا خوردیم.

موضوع دوم هم این بود که ظرفیت سیستم ما برای پردازش روزانه ۱۵۰ تا ۲۰۰ هزار نمونه بود. این سیستم را که مشترک شدیم، دیدیم ۸۰۰ هزار تا یک‌میلیون را هم می‌گیریم. بحث ذخیره‌سازی پهنای باند و بحث‌های پردازشی گسترده دارد. مدتی در مورد تقویت زیرساخت تلاش کردیم که اکنون این اتفاق افتاده‌است و تعدادی از سرورها را تجهیز کرده‌ایم. در پردازش سرور هم مشکلی نداریم. اکنون گفتند قراردادهای نمونه‌های جدید هم انجام شده‌است. به محض اینکه دلار را بریزیم خرید روزانه شروع می‌شود. می‌توانیم فرایند تست را ادامه دهیم و این کار را خواهیم‌کرد.

در این مدت بحث ضدبدافزار را اجرا کردیم. آقای کیایی‌فر پرسیدند چرا این کار را کردید که در دنیا مرسوم نیست. بحث درستی است. وقتی شما بخواهید وارد یک بازار شوید که توسط یک‌سری تولیدکننده و دارنده محصول تصاحب شده‌است باید برای نفوذ به بازار سیاستی داشته‌باشید. یکی این است که محصول دومی بشویم کنار بقیه آنتی‌ویروس‌ها. ما این را پذیرفته‌ایم، ولی دیدیم خیلی خطاست چون همیشه محصول دوم خواهیم‌بود. طبق الزاماتی که داریم نمی‌توانیم دوم باشیم. نکته فنی آن هم این است که اگر دو محصول آنتی‌ویروس باشند نمی‌توانند کنار هم کار کنند، لذا این را کنار گذاشتیم. دیدیم کار بهتری می‌توان کرد. اینکه ما آنجایی که ضعف داشتند یک مکمل برای ضد بدافزارها بدهیم. این بر روی بینش مشتری تاثیر خیلی خوبی خواهد داشت و ما هم رسالت‌مان را انجام داده‌ایم. این کار را کردیم که تجربه خیلی خوبی هم بود. اول برای آن گواهی‌نامه از مراجع بین‌المللی گرفتیم. اعتماد به نفس هم کسب کردیم.

من قول داده‌ام که انشالله در سال آینده اگر ماحصل همین‌طور طی شود این استانداردها را هم خواهیم‌گرفت. پادویش از نظر بین‌المللی اکنون در حدود هشت کشور به‌صورت محدود استفاده‌می‌شود. در حد 1000 تا 2000 مورد. به‌خصوص نسخه‌های تک‌کاربره؛ اما مدل بازار کشورهای اروپایی با ما فرق می‌کند. از یک کشوری آمدند با ما مذاکره کردند و گفتند ما می‌خواهیم محصول‌مان را به بازار اروپا عرضه کنیم. چون توجیه اقتصادی دارد. شما کشوری هستید که هدف شماره یک در تهدیدات سایبری دنیا بودید، بنابراین محصولی که در حوزه امنیت اطلاعات در کشور شما تولید می‌شود خود‌به‌خود در دنیا برند است. حرف درستی هم هست.

صالحی: آقای مهندس کیایی‌فر لطفا یک جمع‌بندی از صحبت‌هایی که داشتیم، بفرمایید.

کیایی‌فر: بحث‌های زیادی شد و جمع‌بندی خیلی سخت است. باز هم لازم است تاکید کنم که اگر منتقدی جلوی محصول بومی است هدفش ارتقای آن محصول بومی و درنهایت ایجاد یک فضای امن‌تر در حوزه سایبری کشور است. چنین نیست که منتقدان دغدغه امنیت فضای سایبری کشور را نداشته‌باشند. نگرانی‌های منتقدان به محصولات بومی اگر بیشتر نباشد کمتر هم نیست. به هر حال باید به سطح امنیت سایبری موردنیاز در کشور برسیم، ولی نه با انحصار در یک محصول داخلی، بلکه محصول داخلی باید تکمیل‌کننده ضعف‌های محصولات خارجی باشد. این رویکرد می‌تواند خیلی خوب باشد. نکته دوم هم اینکه بحث الزام و بخش‌نامه دولت برای استفاده از هر محصولی در حوزه امنیت کاملا مسئله‌ساز است. انحصار در حوزه امنیت خودش ضدامنیت است. این یک اصل پذیرفته‌شده در کل دنیاست و در دنیا موردی نداریم که دولت الزامی کرده‌‌باشد که همه سازمان‌های دولتی از برند خاصی استفاده‌کنند. حتی در آمریکا هم چنین چیزی رخ نداده‌است. نه فقط یک برند خاص را محدود نکرده‌است، بلکه برندهای آمریکایی هم محدود نبوده‌اند و در سازمان‌های دولتی آمریکا تا چند وقت قبل از کسپرسکی هم استفاده‌می‌شد. دلیل این است که هرگونه انحصاری می‌تواند تبدیل به پاشنه آشیلی شود که بتوان سازمان را از همان نقطه هدف قرار داد. آقای حسینی زحمت زیادی کشیدند تا به اینجا رسیدند و از اینجا به بعد راه سخت‌تری در پیش دارند. جامعه‌ای که از این محصول استفاده‌می‌کند یک‌مرتبه حجمش زیاد می‌شود و امیدوارم سربلند بیرون بیایند.

نکته دیگری که باید بگویم این است که اشاره کردند پادویش تا به حال در زیرمجموعه‌های وزارت دفاع نصب شده‌بود. وزارت دفاع متولی خاص دارد و با طیف مردم عادی سروکار ندارد، ولی جایی که با اطلاعات مردم سروکار داریم و به آنها سرویس می‌دهیم، مثل بانک‌ها، خیلی نمی‌توانیم بگوییم چون برای دولت است پس اشکالی ندارد و دولت می‌تواند از یک برند خاص در آن استفاده‌کند. ما بانک‌هایی داریم که آنتی‌ویروس نصب کرده‌اند و ۶ سال است ری‌استارت نشده‌اند. نیاز به ری‌بوت دارند، ولی ۶ سال است که نتوانسته‌ایم مجوز این کار را بگیریم؛ یعنی سرور آن‌قدر سرویس حیاتی برای بانک ایجاد می‌کند که اجازه یک ری‌بوت شدن حتی در یک نیمه‌شب هم به ما نمی‌دهند. اگر یک محصولی، چه بومی و چه غیربومی در چنین ساختاری نصب شود و بخواهد اختلالی ایجاد کند یک گناه بسیار نابخشودنی است که منجر به زیر پا گذشتن هرگونه بخش‌نامه‌ای خواهدشد. ضمن اینکه بعضی موارد هستند که در صنایع به‌خصوص سیستم‌های کنترل صنعتی از تجهیزات خاصی استفاده می‌شود. سیستم‌های کنترل به هیچ وجه نمی‌توانند از آنتی‌ویروس بومی استفاده‌کنند، بلکه باید از برندی استفاده کرد که تاییدیه سازگاری با وندور اصلی را دریافت کرده‌باشد.

صالحی: مهندس حسینی لطفا شما هم جمع‌بندی خود را بگویید

حسینی: ببینید بازار یک طیف صفر تا صدی دارد. اکنون دولت در زمان الزام این کار منظورش بخش اکثر و اعظم کار است، نه صد درصد. هیچ‌وقت هم به صد نخواهیم‌رسید. اگر قرار باشد بخش‌هایی که اشاره کردید، استفاده‌کنند بعد از مدت‌ها که اطمینان حاصل شود می‌توانند انجام دهند. ما این فرایند را طولانی می‌دانیم. محصولات خارجی هم یک‌شبه به اینجا نرسیده‌اند. پس طبعا یک امری است که باید محصول روند خود را تا بلوغ طی کند.

حرف کلی من این است که باید نگاه ملی به موضوع داشته‌باشیم. باید ببینیم می‌خواهیم در جامعه جهانی چه تعریفی از صنف آی‌تی ایران ارائه کنیم. تا امروز این تصویر به‌واسطه محدودیت‌هایی که در همین موضوع برای ایران وضع شد تصویر یک کشور بهره‌بردار و استفاده‌کننده از محصولات خارجی با پتانسیل خوب پشتیبانی بود، بنابراین کشور به این نتیجه رسید که در این حوزه باید محصولی داشته‌باشد، بلکه بتواند روی آن حساب کند و شروع این کار سخت بود و توفیقی بود که خدا به مجموعه ما داد و توانستیم این مسیر را طی کنیم. این کار لازم بود، ولی کافی نیست. برای اینکه کافی شود باید بقیه این حلقه تکمیل‌کننده صنعت به کمک بیایند. دولت نقش حاکمیتی را در تشکیل این چرخه حیات انجام داده‌است. استنباط من از دستور دولت این است که آمد تا یک بازار و فرصت ایجاد کند. بازار ایران به خودی خود تمایل به استفاده از محصول خارجی دارد. یکی از مهم‌ترین دلایلی که بازار تمایل به محصول خارجی دارد اقناع مشتری است، اما محصول ایرانی حتی اگر درست کار کند از نظر مشتری مشکل دارد. این برای فروشنده، بار اضافی تولید می‌کند. دولت با این کار به زنجیره تامین کمک کرده‌است. شما سود خود را کسب می‌کنید و من مسئولیت شما را گرفته‌ام. این به نظر من فرصت است.

مسئله فنی قاعدتا با حساب و کتاب انجام شده‌است. ما نباید بگوییم چون صد نبوده پس صفر بوده‌است. آماری که خیلی از دستگاه‌ها داده‌اند بالای ۸۰ بوده‌است. هرکدام هم با شاخص خاصی بوده‌است، بنابراین من فکر می‌کنم از زاویه فنی آن چیزی که به شما و مشتری به‌عنوان بخشی از ذی‌نفعان چرخه حیات محصول اطمینان بدهد و از همه مهم‌تر به دولت به‌عنوان رگولاتور و مسئول نهایی شبکه‌های دولتی، این است که دولت با در نظر گرفتن تجربه مصرف طی چهار سال آن را ارزیابی کرده‌است. به نظر من هم مهم‌ترین عامل اعتماد به محصول، تجربه مصرف است. اگر محصولی در طول سه یا چهار سال از عهده امنیت شما بربیاید به نظر من از تکنولوژی لازم برای پاسخگویی برخوردار است.

کد مطلب: 13790

آدرس مطلب :
https://www.aftana.ir/news/13790/پادویش-یک-میلیون-تجربه-مصرف-توان-فنی-پاسخگویی-تهدیدات-داراست

افتانا
  https://www.aftana.ir