تولید محصولات امنیتی بومی، با فقر سرمایه گذاری روبروست

شرکت امن افزار گستر شریف به عنوان یکی از شرکت های مطرح در حوزه راهکارهای امنیت فناوری اطلاعات و تولید محصولات بومی امنیتی در کشور شناخته می شود. این شرکت که مصرانه در حوزه امنیت به تولید محصولات بومی می پردازد، در حوزه هایی نظیر امضای دیجیتال نیز وارد شده و تنها شرکت بخش خصوصی فعال در زمینه راه اندازی مرکز میانی است.
گفتگویی داشتیم با علیرضا منافی مدیر عامل شرکت، در سومین حضور الکامپی،که شرح آن را در ادامه می خوانید.

ابتدا مقداری در مورد تاریخچه و فعالیت های شرکت امن افزار بگویید.
شرکت امن افزار فعالیت خود را در حدود یازده سال پیش به عنوان شرکتی فعال در حوزه ارائه راهکارهای یکپارچه امنیت فناوری اطلاعات و ارتباطات و تولید کننده محصولات امنیتی بومی همچون فایروال، توکن و UTM آغاز کرد. ما در حال حاضر دیتا سنتر مرکز میانی صدور گواهی الکترونیکی متناسب را نیز داریم و اولین مرکز دارای مجوز مرکز میانی خصوصی و مرکز میانی بیرونی هستیم. همچنین اولین شرکت خصوصی در حوزه امنیت آی تی هستیم که مدعی داشتن یک واحد مستقل R&D هستیم. ضمن آنکه ارتباط گسترده و نزدیکی با دانشگاه های معتبر کشور داریم.

به دلیل ماهیت دانش بنیان بودن شرکت، تا سال ها، چندان به دنبال بازاریابی نبودیم. اما طی دوسال اخیر امن افزار تمرکز بیشتری بر روی توسعه بخش بازرگانی و ایجاد بخش بازاریابی شرکت داشته و تعداد نیروهای شرکت را از حدود ۶۰ نفر در سال ۹۰ به ۲۰۰ نفر در سال ۹۲ رسانده ایم که با افتخار می گوییم بیش از ۶۰درصد آنها دارای مدرک فوق لیسانس و دکترا هستند. یعنی شاید از این نظر، بزرگترین شرکت در حوزه امنیت فناوری اطلاعات باشیم.

کاتالوگ جدید شرکت نشان می دهد که سبد محصولات متنوعی را تدارک دیده اید و قصد حضور همه جانبه در بازار را دارید.
بله همینطور است. با توجه به اینکه نوآوری و تولید محصولات جدید در حوزه فناوری یکی از ویژگی های مهم امن افزار است، از سال ۹۰ تاکنون تقریبا سالی یک یا دو محصول جدید در شرکت رونمایی شده است. در سال جاری نیز محصول SOC (نرم افزار ویژه مرکز خدمات امنیت) تولید و رونمایی شده است که در تمام دنیا محصول جدیدی و بروزی است، و در تلاش هستیم تا استانداردهای صنعت را هم دریافت کنیم. محصولاتی هم که تولید می کنیم از آزمایشگاه های فناوری اطلاعات کشور مانند سازمان تنظیم مقررات رادیویی و سازمان فناوری اطلاعات و ... همواره در رتبه بندی های انجام شده ، حائز رتبه اول بوده ایم.

از جمله در حوزه توکن در میان تمام راهکارهای داخلی و خارجی در بیش از ۱۰ ارزیابی صورت گرفته توسط مرکز ریشه همواره رتبه اول را کسب کرده است. همچنین جزء چهار شرکت اولی هستیم که پروانه نما را در حوزه خدمات مشاوره دریافت کرده ایم و در حوزه نرم افزار PKI هم درجه سوم را داریم. در حوزه نرم افزارهای امنیتی نیز با شرکت های فعال در حوزه تولید نرم افزارهای بومی همکاری هایی را صورت داده ایم و معتقد به استفاده از نرم افزارهای کاملا بومی در حوزه امنیت فناوری اطلاعات هستیم.

از سهامداری همراه اول هم بگویید.
بله. اخیرا شرکت همراه اول از سهامداران شرکت امن افزار شده است. زیرا معتقد است به سرمایه گذاری های گسترده در حوزه امنیت، امن افزار نیز در راستای رفع یک نیاز ملی همکاری هایی را با شرکت همراه اول آغاز کرده است. البته در کنار آن، موضوع پاسخگویی به نیازهای امنیت اطلاعات در خود شرکت همراه اول هم مطرح بوده است.

دلیل انتخاب پسوند شریف برای شرکت امن افزار گستر شریف چه بوده است؟ آیا هم اکنون پروژه مشترکی را با دانشگاه شریف دنبال می کنید؟
در واقع بنیان گذاران امن افزار فارغ التحصیلان دانشگاه شریف هستند و اولین پروژه های این شرکت مربوط به دانشگاه شریف بود. اما در حال حاضر ارتباط چندانی وجود ندارد و این ارتباط محدود به اسپانسری و حمایت از رویدادها و مسابقات برگزار شده توسط دانشگاه شریف است. البته یک بررسی کوچک هم انجام دادیم و دیدیم که بیش از دویست شرکت در کشور هستند که در نام آن ها، کلمه شریف وجود دارد که به نوعی خواستگاه آن ها را نشان می دهد. البته در شرکت این بحث پیش آمده که بودن پسوند شریف در نام شرکت ممکن است باعث بروز سوء تفاهماتی بشود و شاید مناسب باشد که آن را تغییر دهیم.

به نظر شما استفاده از ابزارهای امنیتی بومی تا چه میزان می تواند سازمان ها را در پیشگیری از بروز آسیب های جدی حفاظت نماید؟
با توجه به مسائل رخ داده در حوزه امنیت از قبیل انتشار ویروس هایی چون استاکس نت و فلیم و ماهیت آنها در خصوص تخریب زیرساخت های حیاتی کشور و همچنین شرایط تحریم، به اعتقاد ما، اعتماد داشتن به ابزارهای امنیتی خارجی به نوعی سهل انگاری در مقوله امنیت است. همچنین با توجه به هزینه های هنگفتی که در حوزه نفوذ و تهدیدات سایبری صرف می شود در صورتی که سازمان ها نگاه جدی تری به مقوله امنیت نداشته باشند حجم آسیب هایی که در اثر وقوع حملات سایبری به سازمان ها و ادارات وارد خواهد شد بسیار بالاتر از هزینه تامین امنیت خواهد بود.

جالب است بدانید که طبق عرف شرکت ها و سازمان ها در سطح جهان، حدود ۲۰ درصد از هزینه ای که صرف فعالیت در حوزه آی تی می شود باید صرف تامین امنیت تجهیرات شود که متاسفانه این عدد در ایران کمتر از ۵ درصد است. نکته مهم دیگری که با بررسی نتایج حاصل از آزمایشگاه وپ امن افزار به دست آمده، این است که تغییر استراتژی حملات سایبری از لایه شبکه به نرم افزار صورت گرفته است. یعنی به جای نفوذ به سرورها، به سرویس ها صدمه وارد می شود و حدود ۸۰ درصد حملات در لایه نرم افزار صورت می گیرد. در حالی که ۸۰ درصد هزینه ها صرف تامین امنیت لایه سرور می شود که این موضوع گویای وضعیت بحرانی امنیت فضای سایبر در کشور است.

چقدر در تلاش هستید که امنیت در فضای سایبر را از سایر حوزه های امنیت که به ذهن می آید، تفکیک کنید؟ حضور امن افزار در یک نمایشگاه عمومی مانند نمایشگاه الکامپ که مخصوص حوزه فناوری اطلاعات است و محصولات ارائه شده توسط این شرکت گویای فعالیت این شرکت در حوزه امنیت فضای سایبر است. مثلا امنیت به آن معنایی که شما اشاره کردید و یا مثلا پروژه های امنیت فیزیکی یکی از هفت حوزه امنیت است که امن افزار در آن ها فعالیت نمی کند. ما منحصرا در حوزه امنیت اطلاعات مشغول به فعالیت هستیم.

برگردیم به موضوع راهکارهای بومی امنیت اطلاعات. در زمینه هایی که فعلا در کشور امکان تولید در آن ها را نداریم یا فناوری بومی به بلوغ نرسیده، چه راهکاری را به شرکت ها توصیه می کنید؟
توصیه ما این است که حد الامکان از دو محصول بومی و غیر بومی به صورت همزمان استفاده کنند و محصول بومی ارجحیت داشته باشد. در غیر این صورت استفاده از محصولات بومی را توصیه می کنیم. حتی با توجه به گسترش تهدیدات بهتر است سازمان های دارای اطلاعات حساس تنها از محصولات بومی استفاده نمایند که دارای رخنه های امنیتی نباشند. مثلا هم اکنون محصولات بومی از قبیل توکن و فایروال توانایی مقابله با حداقل هشتاد درصد از تهدیدات سایبری را دارند.

آیا موافق هستید که در حوزه کاربرد عمومی همانند آنتی ویروس ها، راهکارهای بومی قابل اعتماد و تجاری سازی شده وجود ندارد ؟
در حال حاضر آنتی ویروس های بومی دارای قابلیت های بسیار بالایی هستند و می توانند از لحاظ کارکرد تا ۸۰ درصد کارایی بسیاری از آنتی ویروس های معتبر را داشته باشند. به‌ نظر من در این صورت بهتر است از محصول داخلی استفاده شود. مثلا هم‌اکنون یک محصول داخلی وجود دارد که در بیش از ده‌هزار کلاینت نصب شده است. لازم است که سازمان فناوری اطلاعات استانداردی تعیین کند که در صورت رسیدن محصولات داخلی به این استاندارده،ا واردات محصولات مشابه خارجی ممنوع و از تولید داخلی حمایت شود.

در واقع بازار آنتی ویروس به علت حضور بیش از حد محصولات خارجی اشباع شده است و محصولات بومی اجازه ظهور و خودنمایی در چنین بازاری را نخواهند داشت. به دلیل آنکه از تولید محصولات داخلی حمایت های لازم صورت نمی گیرد، سرمایه‌گذاری مناسب هم در این حوزه انجام‌نمی‌گیرد. در واقع لازم است که رویکرد ما در مورد امنیت اطلاعات تغییر کند. زیرا امنیت وارداتی نیست و امنیت کامل با استفاده از محصولات خارجی حاصل نمی شود.