گفتگو با دکتر جلیلی
دانش و تولید بومی، لازمه امنیت در فضای مجازی
کد مطلب: 10054
تاریخ انتشار : چهارشنبه ۱۸ شهريور ۱۳۹۴ ساعت ۱۶:۰۲
 
عرصه جنگ، رقابت و زمین زدن رقیب متفاوت شده و این عرصه به فضای مجازی آمده پس ما باید خودمان را با این عرصه منطبق کنیم و یکی از مؤلفه‌های اصلی این انطباق، توجه به مغز ایرانی و فناوری، دانش و تولید ایرانی در همه حوزه‌ها به‌خصوص امنیت فضای مجازی است.
دانش و تولید بومی، لازمه امنیت در فضای مجازی
 
 
Share/Save/Bookmark

عرصه جنگ، رقابت و زمین زدن رقیب متفاوت شده و این عرصه به فضای مجازی آمده پس ما باید خودمان را با این عرصه منطبق کنیم و یکی از مؤلفه‌های اصلی این انطباق، توجه به مغز ایرانی و فناوری، دانش و تولید ایرانی در همه حوزه‌ها به‌خصوص امنیت فضای مجازی است. 

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دکتر رسول جلیلی، عضو هیئت‌علمی دانشکده کامپیوتر دانشگاه صنعتی شریف، در حوزه امنیت اطلاعات چهره شناخته‌شده‌ای است. وی که با تشکیل شورای عالی فناوری اطلاعات و پس از آن، شورای عالی فضای مجازی به عضویت این نهادهای ملی درآمده است، با تواضع ذاتی‌اش تأکید دارد خود را یک کارشناس امنیت اطلاعات بنامد و صحبت از برنامه‌ها و اقدامات شورای عالی فضای مجازی را به گفت‌وگویی دیگر با مقام‌های مسئول در شورا محول می‌کند. وی که از پیشگامان امنیت اطلاعات در کشور است با سال‌ها سابقه تدریس، پژوهش و کار عملیاتی در زمینه امنیت اطلاعات، از راهبردها و روندهای آینده این صنعت سخن می‌گوید و با ابراز رضایت نسبی از وضعیت امنیت فضای مجازی در کشور، تأکید دارد با سرمایه‌گذاری بیشتر در این حوزه، دست‌یابی به دانش بومی پیشرو، دست‌یافتنی خواهد بود. در ادامه متن گفتگویی را با این استاد دانشگاه می‌خوانید.

در ابتدای صحبت مایل‌ایم یک تصویری از فضای کلان امنیت سایبری در کشور از نگاه شما داشته باشیم. در این فضا با چه قوت و ضعف‌هایی روبه‌رو هستیم و چه اقداماتی را برای بهبود آن باید در دستور کار قرار دهیم؟ 
صحبت کردن از امنیت به‌خصوص مباحث کلان و راهبردی آن، دشواری‌های خاص خودش را دارد. آنچه که از صحبت در می‌آید باید آن‌چنان جامع و مانع باشد که در عین حال که به کسی برنخورد، ضمن رعایت خیر و صلاح کشور، واقعیت‌ها را هم بیان کند. جمع کردن همه این موارد با هم کار بسیار دشواری است. 

در پاسخ به سؤال اول از چند جهت می‌توان بحث کرد. اول تاریخچه امنیت سایبری در کشور را باید به زمان جنگ وصل کنیم. اگر یکی از پایه‌های امنیت فضای مجازی را رمز بدانیم که هست، کشور در زمان دفاع مقدس لاجرم و بنا به نیاز باتوجه به زیرساختی که در آن موقع از نظر نیروی انسانی و دانشگاهی و از نظر فناوری وجود داشت، رشد علمی خوبی در حوزه رمز داشت. آنچه که من شنیده‌ام، خوانده‌ام و بعضاً نتایج آن را دیده‌ام و با تربیت‌شدگان آن دوره حشر و نشر دارم، گویای این است که حرکت فناورانه ما در زمان دفاع مقدس برای رفع نیاز عملیاتی آن روز بسیار قابل تقدیر است. نتیجه آن فعالیت‌ها، خودش را در قالب رمزشکنی، مهندسی معکوس و در جاهایی در قالب طراحی روش‌های خودی و بومی برای امن‌سازی فضای ارتباطی آن روز که امروز فضای مجازی نامیده می‌شود، نشان داد که قابل تقدیر و موجب مباهات است.

نمود چنین حرکتی از نظر دانشگاهی، در قالب ارائه یک سری درس که اصلی‌ترین و رسمی‌ترین آن توسط دکتر عارف در دانشگاه صنعتی اصفهان ارائه می‌شد، بروز پیدا کرد و در فاصله سه دهه، ما امروز در حداقل ۱۰ دانشگاه کشور تربیت نیروی انسانی تحصیلات تکمیلی مرتبط با امنیت فضای مجازی داریم.

اگر ۳۰ سال قبل حداکثر چند ۱۰ نفر در حوزه امنیت ارتباطات داشتیم که کار علمی می‌کردند، درس می‌خواندند و درس می‌دادند، امروز قطع به یقین می‌شود گفت چندهزار نفر داریم که در حوزه امنیت فعالیت رسمی دانشگاهی دارند و با توجه به این‌که مباحث آکادمیک حوزه امنیت در کشور و در دنیا، در سطح تحصیلات تکمیلی است، به همین جهت این افراد همگی در سطح استاد و دانشجویان دکترا و ارشد هستند.

درنتیجه وقتی بخشی از آنها محقق این حوزه باشند، به این معناست که ما فرآورده علمی داریم و شیب تولید فرآورده علمی ما به نسبت قابل قبول است که از نظر من از متوسط دنیا بالاتر است. دلیل این نظر من هم شیبی است که از نظر کیفی، تولید و فرآورده‌های علمی کشور داشته و متناسب با آن در حوزه امنیت تولید صورت گرفته است. همین قدر که سالی چند صد دانشجوی ارشد و دکترا را وارد دانشگاه می‌کنیم و بعد از چند سال فارغ‌التحصیل می‌شوند، باید سالیانه مقداری تولید مقاله به‌عنوان نمود پژوهش داشته باشند. این مسئله به‌عنوان مصداقی است که شیب علمی ما قابل‌قبول است؛ ولی این‌که آیا این شیب علمی متناسب با نیاز و انتظار ما و چشم‌انداز ۱۴۰۴ کشور هست یا نه جای سؤال است. هرچند نسبت به گذشته رضایت وجود دارد، ولی نسبت به آنچه باید باشیم یعنی پیشرو در این عرصه در منطقه، به شیب بیشتر رشد علمی نیاز داریم. این شیب بیشتر مستلزم گرفتن دانشجویان بیشتر نیست، بلکه نیازمند توجه کیفی به این حوزه است. یعنی اگر تاکنون ارزیابی‌های ما بر مبنای تعداد نفراتی بود که به دانشگاه وارد و خارج می‌شدند، از الان باید ارزیابی ما مبتنی بر تعداد محصولاتی باشد که از این پژوهش‌ها عاید می‌شود و تعداد اختراعات ثبت‌شده و تعداد مقالاتی باشد که در مجلات پر ارجاع و کنفرانس‌های سطوح اول و دوم دنیا چاپ می‌شود.

به تعبیری اگر می‌خواهیم مغز بپرورانیم، راهش این است که در کشور به سمت نوآوری علمی برویم و رفتن به سمت نوآوری علمی در حوزه امنیت فضای مجازی مرتبط است با دکترین امنیت فضای مجازی ما که هنوز تدوین نشده است ولی ارزش‌های حاکم بر سند چشم‌انداز و نقشه علمی کشور، ارزش‌های حاکم بر برنامه پنج ساله و برنامه‌های سالیانه می‌گوید که ما به‌عنوان جمهوری اسلامی باید کشوری مستقل بمانیم و دشمنانی داریم که با هویت جمهوری اسلامی مسئله دارند. چون این فضا وجود دارد، استقلال برای ما مثل نان شب است. معنای این استقلال در فضای مجازی باید در استقلال علمی، نوآوری علمی و استقلال و نوآوری صنعتی بروز پیدا کند. این است که ما چاره‌ای نداریم جز اینکه در این عرصه حتماً راه خودمان را پیدا کنیم.

البته این راه می‌تواند هم‌‌سو با راه دیگران باشد و لازم نیست در این حوزه یک صنعت متفاوتی داشته باشیم یا پروتکل متفاوتی ایجاد کنیم. نتیجه این استقلال، نوآوری و داشتن راه خودمان باید منجر به این بشود که اگر مجدداً در فرایندهای دیگری جدی‌تر از گذشته مورد تحریم واقع شدیم، زندگی روزمره فناورانه ما مختل نشود. زندگی روزمره فناورانه در حوزه بانکی یعنی این که می‌خواهیم بانکداری نوین مبتنی بر فناوری داشته باشیم که امنیت داشته باشد. یعنی اگر این امنیت مبتنی بر فناوری، محصولات و پروتکل‌هایی است که کلیدش در دست آن‌هایی است که شاید تصمیم دارند، سیستم‌های ما را مختل کنند، این اختلال ناممکن شود. برای تحقق این مسئله ما نیازمند نوآوری علمی هستیم.

برای رسیدن به نوآوری علمی در این حوزه چه راهکاری پیشنهاد می‌دهید؟
برای نوآوری علمی باید مغزهایی را که آمادگی پذیرش مسائل سخت ریاضی این حوزه را دارند، پیدا کنیم و درس‌های متناسب را در دانشگاه‌ها ارائه کنیم و برای دانشجو و استاد این حوزه امتیازات ویژه‌ای بگذاریم تا ترغیب شوند در این حوزه سالیان متمادی کار کنند و نتیجه این کار سالیان متمادی یک جایگاه مورد ارجاع دیگران در حوزه علمی بشود. اگر حوزه علمی را خوب بنا نهیم، فناوری و صنعت از دل آن درخواهد آمد.

اگر امروز انتقادی راجع به صنعت داریم یا اختراع ثبت شده خارجی یا داخلی کم داریم، بنده ریشه آن را نداشتن علم خودی در این حوزه می‌دانم. علم هم می‌تواند بنیادی باشد، هم کاربردی که هر دو علم است. علم کاربردی از علم بنیادی درمی‌آید. بخشی از علوم بنیادی حوزه امنیت، ریاضی است، بخشی کامپیوتر است و بخشی ممکن است به علومی برگردد که در دانشکده‌های برق مورد تدریس و پژوهش است. براین اساس ما باید برخی دانشکده‌های پایه‌ای از جمله فیزیک و کوانتوم که یک ستون در علوم بنیادین مرتبط با امنیت است را تقویت و در این حوزه دخیل و درگیر کنیم تا بتوانیم به آنچه که در چشم‌انداز متصور است، برسیم.

پس نقاط قوت ما این است که وضع امروزمان از نظر کمی خوب است، از نظر کیفی متوسط تلقی می‌َشویم و با

زندگی روزمره فناورانه در حوزه بانکی یعنی این که می‌خواهیم بانکداری نوین مبتنی بر فناوری داشته باشیم که امنیت داشته باشد. یعنی اگر این امنیت مبتنی بر فناوری، محصولات و پروتکل‌هایی است که کلیدش در دست آن‌هایی است که شاید تصمیم دارند، سیستم‌های ما را مختل کنند، این اختلال ناممکن شود. برای تحقق این مسئله ما نیازمند نوآوری علمی هستیم.
برخی کشورهای منطقه و دنیا قابل رقابت هستیم، نیروی انسانی داریم و در دانشکده‌های مرتبط، زیرساخت‌های پژوهشی و آموزشی داریم، ولی با این حال، به نسبت نیازمان و نقش کشور در دنیا، کاستی داریم.

درنتیجه اتفاقاتی که اخیراً در حوزه سیاست خارجی رخ داده، ممکن است تحریم‌ها برداشته شود و ما گشایش بیشتری را در روابط بین‌الملل داشته باشیم. در این ارتباطات اگر نتوانیم قوی برخورد کنیم، در تعامل باید براساس نقاط ضعفمان امتیاز بدهیم. اگر می‌خواهیم قدرت چانه‌زنی بیشتر داشته باشیم و در مراحل بعد مورد تهدید نباشیم، باید این مباحث ریشه‌ای را که عرض کردم، دنبال کنیم. 

این قبول است که در حوزه دانشی و دانشگاهی، کشور چندین سال هزینه کرده و افرادی را به‌عنوان مدرس و دانش‌آموخته تحویل جامعه داده است، اما باید دید چه نسبتی از این افراد ماندگار شده‌اند؟ 
در موضوع ماندگاری من آمار دقیقی ندارم که الان ارائه کنم، اما می‌توان این قضاوت را داشت که شیب مهاجرت نیروی انسانی در حوزه امنیت از متوسط نرخ مهاجرت در کل ICT کمتر است. دلیل آن هم این است که کسانی که به سراغ موضوع امنیت در کشور می‌روند، نوعاً به نسبت متوسط افرادی که در کل حوزه ICT هستند، دغدغه ملی، ارزشی و تعلق خاطر بیشتری به کشور دارند. یعنی بخشی از نیروها صرفاً به خاطر درآمد و آینده کاری وارد این حوزه نشده‌اند،‌ بلکه به این فکر بوده‌اند که چه چیزی بخوانند که مؤثرتر باشد، چون این مسائل خاستگاه ورود آنها به این حوزه بوده، ماندگاری این طیف نیروها بیشتر بوده است، در عین حال که برخی ممکن است به دلیل ادامه تحصیل یا دلایل دیگر مهاجرت کرده‌اند و برخی هم پس از چند سال تجربه کاری مهاجرت کرده‌اند. در حوزه‌های تحصیلی هم وضعیت به همین ترتیب است، ولی این کل ماجرا نیست. از آن طرف به کسی که می‌خواهد امنیت بخواند، در کشورهای دیگر نگاه خاص‌تری وجود دارد و نوعاً محدودیت‌هایی برای آنها قائل هستند. وقتی این مسائل را با وضع داخلی، انگیزه‌ها و قدرت جذب داخلی و بیرونی تلفیق کنیم،‌ مصالحه‌ای شکل گرفته است که شیب مهاجرت در حوزه امنیت به نسبت کمتر بوده است. البته در این حوزه ما برون‌رفت نیرو داریم، اما جذب نیرو از خارج نداشته‌ایم و برای انجام پروژه‌ها معمولاً از نیروهای داخلی استفاده کردیم و نزدیک به صد درصد نیاز داخلی را با توان داخلی مرتفع کردیم. 

فاصله‌ای که ما با فناوری روز و به‌ویژه به دلیل شتاب فناوری داریم که در سال‌های اخیر در مباحثی مثل شبکه‌های اجتماعی، موبایل، کلود و کلان‌داده، نمود داشته است، چه تأثیری بر حوزه فناوری امنیت گذاشته است و آیا سبب فاصله با جهان پیشرو این صنعت نشده است؟ 
شکاف با فناوری در حوزه امنیت در دو بعد خدمت و محصول قابل‌بررسی است. در حوزه خدمت فاصله ما با دنیا خیلی کم است و در داخل کشور، هرآنچه نیاز داریم،‌ امکان تأمین آن را داریم. امیدواریم این روند ادامه داشته باشد تا به نیروی خارجی به‌عنوان مشاور خدمات امنیتی، نیاز نداشته باشیم. تا الان در حوزه خدمت نیازمان را برطرف کرده‌ایم و شکاف خودمان با جامعه بین‌الملل را تا حدودی رفع کرده‌ایم. اما در حوزه محصول، مسئله بزرگ‌تر است. چون یک وجه آن خود موضوع فناوری و شکافی است که اشاره کردید. وقتی تحریم وجود دارد، ما مؤلفه‌های اولیه ساخت محصول را نمی‌توانیم از ارائه‌کننده اصلی بخریم، لذا مجبوریم از بازار آزاد یا دست دوم بخریم. درنتیجه در عملکرد آن محصول ممکن است در جاهایی با معضل مواجه شویم. من با موارد زیادی از ایراد محصولات داخلی برخورد کرده‌ام که دلیل آن به مؤلفه سخت‌افزاری پایه‌ای برمی‌گردد که برای تولید محصول مورد استفاده قرار گرفته است.

یک بخش دیگر به فاصله فناورانه کشور با جوامع پیشرو دنیا برمی‌گردد. این فاصله از دهه‌های قبل وجود داشته و تاکنون هم تلاش‌های زیادی برای کاهش آن صورت گرفته است. در برخی حوزه‌ها این کاهش فاصله شیب زیادی داشته و در برخی زمینه‌ها کمتر توفیق داشته‌ایم. از جمله زمینه‌هایی که آ ین فاصله در حد متوسط است امنیت فضای مجازی است. اگر کشور سرمایه و اولویت بالاتری برای این زمینه می‌گذاشت، شانس کاهش فاصله قطعاً بیشتر بود، ولی همان میزان که حاکمیت به معنای عام اعم از بخش‌های مسئول تا کسانی که امکان ایجاد بازار دارند، سرمایه گذاشته‌اند، خروجی داشته‌ایم.

در زمینه هسته‌ای که جزء اولویت‌های رده بالای علمی کشور محسوب می‌شد، بعد از گذشت دو دهه به جایی رسیدیم که در دنیا انکارناپذیر تلقی می‌شویم، اگر در این حوزه هم، اولویت رده اول می‌گذاشتیم و متناسب با نیاز ۱۴۰۴ برنامه‌ریزی می‌کردیم یا حتی بکنیم، این جایگاه به دست آوردنی است ولی آنچه که به دست می‌آید را نمی‌شود بلافاصله با سرلیست تجهیزات این حوزه در دنیا مقایسه کرد و انتظار برتری داشت. این اتفاق زمان لازم دارد و به‌مرور اتفاق می‌افتد.

درصد خوبی از نیاز کشور امروز توسط محصولات داخلی تأمین می‌شود ولی از آن طرف محصولات خارجی هم در کشور جولان می‌دهند. این جولان بخشی ناشی از ویژگی و امکانات محصول است، بخشی هم مزیت قیمت. خیلی جالب است که کشوری تحریم بنزین هواپیماست و قاعدتاً باید تحریم فناوری امنیت مجازی هم باشد،‌ اما بازار کشور با محصولات مختلف و با قیمت‌های خوب پر شده است. این کار معنا دارد و نشان می‌دهد برای در اختیار داشتن شبکه ارتباطی کشور و کنترل از راه دور آن با وجود تحریم، در بازار حضور دارند. ما با این پدیده چندوجهی روبه‌رو هستیم. می‌خواهیم فناوری داخلی داشته باشیم که لزوماً سرمایه دولتی و حاکمیت نباشد و دارای چرخه اقتصادی باشد، از آن طرف هم می‌خواهیم فرآیند خریدو فروش عادی باشد یعنی فرآیند ارزیابی فنی،‌ مناقصه، قیمت کمتر و همه این‌ها را می‌خواهیم کنار هم بگذاریم. در انتها صنعتی که می‌خواهد در این زمین بازی کند، زمین می‌خورد و بعضی اوقات نمی‌تواند بلند شود.

اشاره کردید که دکترین کلی امنیت سایبری در کشور تدوین نشده است. چرا این خط مشی کلان تدوین نشده است؟ 
عرض من این بود که چیز مکتوب با این عنوان نداریم. دکترین یعنی خط مشی و راهبرد کلان. در حوزه امنیت فضای مجازی، هم سیاست‌های کلی نظام را داریم، هم سند راهبردی افتا به‌عنوان سند فضای تولید و تبادل اطلاعات را و از ۳-۴ سال اخیر یعنی از ۱۷ اسفند سال ۱۳۹۰، شورای عالی فضای مجازی تشکیل شده که با وجود کم مهری‌هایی که در استقرار و تداوم کار آن بوده، موجود زنده‌ای است که این حوزه را در سطح سیاست‌گذاری و تنظیم و استقرار دکترین مدیریت می‌کند و جلو می‌برد.

عرض کردم که ما چون می‌خواهیم مستقل باشیم حتماً مزاحم خواهیم داشت. این مزاحمت‌ها در سده گذشته از تیپ جاسوسی، حمله نظامی، کودتا و ... بود، ولی قطعاً از الان به بعد خودش را در قالب بات و بدافزار و نرم‌افزار و سخت‌افزار بدخواه عرضه خواهد کرد. سخت‌افزاری که در بازار ما عرضه می‌شود، احتمالاً سخت‌افزاری است که یک Bios ویژه روی آن سوار است. این سخت‌افزار علاوه بر دستورالعمل‌های موجود در فهرست، کارهای دیگری هم انجام می‌دهد که در فهرست آن نیست ولی این کارها حسب مورد قابل انجام است و کسی که آن دستور را می‌شناسد، می‌تواند یک برنامه‌ای بنویسد که سخت‌افزار کارهای دیگری هم بکند. ظرف ۱۵ سال اخیر پژوهش‌های قابل توجهی در مورد سخت‌افزارهای بدخواه یا malicious hardware انجام شده است. یعنی عرصه جنگ، رقابت و زمین زدن رقیب متفاوت شده است. این عرصه به فضای مجازی آمده و از مؤلفه‌های زیرساختی فضای مجازی شروع شده و از قطعات نرم‌افزار و سخت‌افزار، سیستم‌های مدیریت پایگاه داده و سیستم عامل تا اینترنت مجانی جهان شمول را شامل می‌شود تا آنها یک اشراف اطلاعاتی جهانی را بر ۷ میلیارد نفوس موجود در کره زمین فراهم کنند و نقش دولت‌های منطقه‌ای و حاکمیت‌های جغرافیایی را کم کنند. چون این پدیده وجود دارد، ما باید در دکترین خودمان را با این عرصه منطبق کنیم. در این انطباق، دست روی دست گذاشتن و عقب افتادن جواب نمی‌دهد، بلکه باید پا به پا جلو برویم و همه جا شرایط فناوری را با دکترین خودمان منطبق و بومی کنیم. حتماً یکی از مؤلفه‌های اصلی این انطباق، توجه به مغز ایرانی و فناوری، دانش و تولید ایرانی در همه حوزه‌ها به‌خصوص امنیت فضای مجازی است.

سیاست‌ها و راهبردهای کلان، قطعاً می‌طلبد برای زیربخش‌ها و صنایع مختلف هم طرح و نقشه‌ای داشته باشد. آیا شورای عالی فضای مجازی این نگاه را برای صنایع و بخش‌های مختلف و مشخصاً حوزه مالی و بانکی داشته است یا نه و در این حوزه چه اقداماتی انجام شده است؟ 
من اطلاع ندارم در حوزه بانکی کار مشخصی انجام شده باشد، اما مرکز ملی فضای مجازی ممکن است اقداماتی انجام داده باشد، ولی از نظر کلی زیرساخت مالی و بانکی یک زیرساخت حیاتی برای کشور است. این زیرساخت حیاتی هم مورد توجه حاکمیت و هم مورد توجه دشمن برای ایجاد خدشه است.

اتفاقاتی که در حوزه بانکداری رخ داده و رشدی که در دو دهه گذشته از نظر ارائه خدمات بانکی نوین داشته‌ایم، حتماً از نرخ رشد متوسط آن در دنیا بیشتر است. ما در دورانی به دلیل تغییر نظام سیاسی و یک دهه بعد از آن به دلیل جنگ و بعد از آن سیستم دولتی در اقتصاد و بانکداری، شاهد در جا زدن و عدم رشد بودیم. با اجرای ابلاغیه اصل ۴۴ قانون اساسی و حضور بخش خصوصی در سیستم بانکی، عملاً هر دو جبهه دولتی و خصوصی بانکی در یک رقابت سالم با یک شتاب
ما چون می‌خواهیم مستقل باشیم حتماً مزاحم خواهیم داشت. این مزاحمت‌ها در سده گذشته از تیپ جاسوسی، حمله نظامی، کودتا و ... بود، ولی قطعاً از الان به بعد خودش را در قالب بات و بدافزار و نرم‌افزار و سخت‌افزار بدخواه عرضه خواهد کرد.
زیادی خدمات نوین را عرضه کردند. این خدمات بانکی روی بستر ارتباطی عمومی ماست. در جاهایی این بستر خصوصی شده، اما عمدتاً روی بستر عمومی است. اگر بستر ارتباطی عمومی ما یک زمانی و به هر دلیلی در معرض قطعی یا نابودی قرار بگیرد، مردم نمی‌توانند این سرویس‌ها را دریافت کنند و به این جهت با یک اختلال و آشوب بزرگ اجتماعی مواجه خواهیم شد. واقعاً امروز اگر ۲۴ ساعت شبکه خودپرداز کشور تعطیل شود، حتماً آشوب اجتماعی خواهیم داشت. چون زندگی مردم مختل شده و نمی‌توانند خرید کنند یا پول بپردازند و اولین خدمات زندگی را دریافت کنند. به همین جهت یک زیرساخت حیاتی است.

در دنیا برای زیرساخت‌های حیاتی رویکرد و راه‌حل وجود دارد. اولین رویکردها گرفتن backup وتکرار و replicate است که در نظام بانکی ما هم انجام شده است.

رویکرد دیگری که یکی از وزارت‌خانه‌های زیرساختی به دنبال آن بوده و اقدام مبارکی است، این است که علاوه بر شبکه عمومی، یک شبکه اختصاصی با توانمندی‌های داخلی داشته باشیم. یعنی شبکه عمومی را با تکنولوژی روز دنیا و شبکه موازی آن را با توانمندی داخلی بنا کنیم که اگر یک روزی شبکه اصلی به دلیل اختلال در عملکرد تجهیزات خارجی آن دچار مشکل شد، یک شبکه جایگزین داشته باشیم. وزارت ارتباطات با تولیدکنندگان داخلی برای شبکه‌ای به نام توانا قرارداد بسته است که همه چیز آن داخلی باشد.

در شبکه بانکی، در کنار رشدی که در ارائه سرویس‌ها داشتیم، در زمینه نرم‌افزارهای بانکی، صنعت ما وضعیت خیلی خوبی دارد و ما چند بازیگر داریم که نرم‌افزار تولید و ارائه می‌کنند. این وضع به این معناست که ما حداقل از نظر آسیب‌پذیری احتمالی یا شکست نرم‌افزاری تا حدودی ایمن هستیم (اینکه یکی بخواهد نرم‌افزار بدخواهانه در سیستم وارد کند.) انشاءاله دوستانی که در این شرکت‌های خصوصی یا شرکت‌های بانکی، نرم‌افزار هسته بانکی یا core banking می‌نویسند، هر روز نسبت به فناوری دنیا، به‌روزتر باشند. در حوزه سخت‌افزار بانکی هم در جاهایی تولید اتفاق افتاده که می‌تواند مسائل امنیتی ما را روزبه‌روز کمتر کند. 

در حوزه بانکی با وجود پیشرفت‌هایی که ذکر کردید اما فضای فعالیت برای شرکت‌ها به نظر چندان مناسب نیست. بانک‌ها چون معمولاً منابع اعتباری لازم برای خرید سخت‌افزار و نرم‌افزار دارند و خساستی هم در این مسئله به خرج نداده‌اند، کمتر حاضرند مثلاً برند سیسکو را کنار بگذارند و محصول داخلی بخرند. نکته دوم این‌که خیلی از شرکت‌های فعال داخلی، در قالب پروژه می‌توانند کار کنند، اما رویکرد بانک‌ها بیشتر خرید محصول است نه خدمات. برای حل این مشکلات چه می‌توان کرد؟
من به اندازه شما نسبت به این مسائل منتقد نیستیم. یکی اینکه، مسئولیت بانک، ارائه سرویس مالی به مشتریان است که عموم مردم هستند. برای بانک مورد سوءاستفاده قرار نگرفتن و دزدی الکترونیک نشدن و از کار نیافتادن سرویس یک دغدغه صد درصد درست است ولی از آن طرف هم بانک باید این دغدغه را داشته باشد که اگر در شرایط جاری دنیا و مسائل سیاسی آن، تحریمی اتفاق افتاد و شرکت‌های خدمات دهنده یک باره اعلام کردند از ارائه سرویس معذورند، به مشکل برنخورد. یعنی آن گزاره‌های اول سرجای خود و مسئله پایداری و تداوم فعالیت هم سرجای خود. از طرف دیگر اگر نرم‌افزار و سیستم سخت‌افزار و نرم‌افزار خریداری شده بانک، قابل‌نفوذ بود، باز هم ممکن است سیستم دچار اختلال شود. یعنی از یک طرف می‌خواهیم سیستم ما از کار نیافتد، از طرف دیگر دغدغه داریم که شاید کسی که سیستم فروخته خودش عملاً از کار بیندازد. این دو را باید با هم جمع کنیم. بانک‌های ما با حل یک تعارض و تناقض این گونه‌ای مواجه هستند. برخی از بانک‌ها برای حل بخشی از این مسئله شرکت راه‌اندازی کرده یا سهام شرکت‌ها را خریداری کرده‌اند یا نرم‌افزار داخلی خریده‌اند. این‌ها اقدامات خوبی است که بانک‌ها انجام داده‌اند و در راستای رفع نگرانی از منظر دوم است. ولی این واقعیت هم وجود دارد که تولید ما نتوانسته است نیاز به‌روز بانک را برآورده کند. هرجا این توان بوده و این حلقه اتصال ایجاد شده، یعنی اولین بانکی که نرم‌افزار داخلی را خرید و نصب کرد، ریسک کرد و جسارت به خرج داد ولی راه را برای بانک‌های دیگر جهت خرید نرم‌افزار باز کرد و این اتفاق خیلی خوبی بود که افتاد ولی خبر داریم که یکی دو دهه قبل از آن شرکت‌های بزرگ نرم‌افزاری برای بانک‌های ما نرم‌افزار می‌نوشتند ولی هیچ‌وقت نتوانستند نرم‌افزاری بنویسد که سر و ته موضوع را به هم پیوند بزند و به بانک اعتماد بدهد که من همه نیازهای اصلی تو را به شکل یکپارچه فراهم می‌کنم.

هرآنچه که الان بانک از صنعت داخلی ناراضی است یا صنعت نتوانسته به بانک راه پیدا کند، در یک بخشی ممکن است بانک مقصر باشد، اما در بخش دیگر هم صنعت مقصر است. تقصیر صنعت هم البته تقصیر صرف خود بخش نیست. بخش‌های دیگری از حاکمیت باید صنعت را تیمار و تقویت کند تا آماده ارائه خدمت به بانک بشود که این اتفاق کمتر افتاده است. لذا در این زنجیر حلقه مفقوده عدم سرمایه‌گذاری بانک برای توسعه فناوری مجازی بانک نبوده، بلکه کاستی بخش‌های دیگر برای ارتقای صنعت برای تطابق با نیازهای به‌روز و فناورانه بانک بوده است. در عین حال بانک‌ها باید بدانند با وجودی که خرید جنس خارجی دردسرهای کمتر و پرستیژ بیشتر دارد اما بابت عدم توجه آنها به صنعت داخلی در بلندمدت مورد سؤال هستند. آنها می‌توانند با مقداری اغماض و تحمل به مسئولیت خود در قبال ایجاد اشتغال و صنایع داخلی عمل کنند. 

اولویت‌های تولید محصول در حوزه امنیت فضای مجازی کشور از نگاه شما چیست؟ 
در مورد اولویت‌ها چند واژه وجود دارد. یک واژه خیلی کلیدی آسیب‌پذیری است. همه سیستم‌های ما در معرض نفوذ و آسیب‌پذیری هستند. آسیب‌پذیری از ضعف برنامه یا مؤلفه‌های پایه‌ای یک سرویس نشأت می‌گیرد. ما نیاز داریم، فرآیندهایمان را ارتقا بدهیم. اگر ما فرآیند تولید نرم‌افزار یا سیستم داریم، باید در اولین فرصت ممکن به همه آنها وجه امنیتی اضافه کنیم. وجه امنیتی هم منظورم سلبی نیست بلکه ایجابی است به این معنا که اگر برنامه‌ای می‌نویسیم که باید تست کارآیی داشته باشد،‌ باید این برنامه در حین تولید، تست امنیتی بشود. برای اینکه تست امنیتی بشود، ممکن است لازم باشد کدهای اضافه‌ای بزنیم که از برخی ناامنی‌های بعدی اجتناب بشود. ما آزمایشگاه‌هایی لازم داریم برای اینکه برای امنیت فراورده‌های خودمان گواهی صادر کند و بر روی هرآنچه از بیرون می‌خریم، تست امنیت، انجام بدهد. مرتباً اخباری می‌شنویم که فلان بدافزار بعد از چند سال فعالیت در سیستم‌های ما توسط یک شرکت خارجی تشخیص و گزارش داده شد. این یک نقطه ضعف جدی است که خاص ما نیست و در کشورهای دیگر هم وجود دارد، فرق ما با کشورهای دیگر منطقه این است که آنها خرید محصول و انجام عملیات اجرایی و پشتیبانی بعدی را برعهده یک شرکت خارجی می‌گذارند اما ما بعضاً هیچ‌کدام از این فرآیندها را نداریم، ابتدا محصول را می‌خریم، اشکالات پیش آمده را هم متوجه نمی‌شویم، کسی هم نیست که به ما اعلام کند. لذا یک اولویت ما توانمندسازی صنعت و دانشگاه در حوزه آسیب‌پذیری است.

اولویت بعدی ما پهنای باند بالاست. ما با ارتقای پهنای باند در حد ۱۰-۱۰۰ و ۱۰۰۰ برابر مواجه هستیم. همه محصولاتی که ما به‌عنوان محصولات بومی می‌سازیم یا ساختیم، ظرف ۵ سال آینده، باید خودش را با این پهنای باند منطبق کند. لذا لازم است بانک، صنعت، وزارت صنایع، معاونت علمی و مراکز تحقیقاتی ما بر روی این قضیه در حوزه امنیت سرمایه‌گذاری کنند.

موضوع دیگر، رمز است. ارتباطات دنیا نوعاً همه داخل کانال‌های رمز شده می‌رود. کانال‌های رمز شده به این معناست که دزدی، جاسوسی، حمله به بانک و ... همه در کانال‌های رمز شده انجام می‌گیرد. یعنی شخص به‌صورت رمز شده وارد سیستم بانکی می‌شود که کار حساب خودش را انجام دهد، اما در همان‌جا یک کار خلاف هم می‌کند. فایروال سیستم تنها تشخیص می‌دهد که یک ارتباط ایجاد شد، اما نمی‌تواند داخل آن را بفهمد. لاگ از بسته رمز شده صورت می‌گیرد، پس یک چالش بسیار جدی پژوهشی، صنعتی سر راه امنیت فضای مجازی در آینده نه‌چندان دور، بحث ترافیک رمز شده است که از دو جهت مطرح است هم اینکه رمز کنیم تا حریم خصوصی حفظ شود و مشتری به بانک اعتماد بکند و هم اینکه اگر یکی دزدی کرد، بتوانیم فایل رمز شده را با حکم قاضی باز کنیم تا بانک بتواند شکایت کند و ادله کافی برای محکمه داشته باشد.

آیا این کار به زیرساخت‌های قانونی نیاز ندارد؟ 
هم زیرساخت قانونی لازم دارد،‌ هم اینکه در بخش‌هایی به زیرساخت فنی احتیاج دارد. بخشی از این زیرساخت‌های فنی هنوز در دنیا حل نشده است و در سطح پژوهشی قرار دارد. نهادهای حاکمیتی ما باید این مسائل را به‌عنوان دغدغه علمی، فناوری و صنعتی تلقی کنند و به‌عنوان اولویت به آن نگاه کنند.

مرجع : ماهنامه بانکداری الکترونیک