سونیتا سراب‌پور

هفته گذشته وزیر ارتباطات در نشستی که در اتاق بازرگانی و صنایع و معادن کشور برگزار شد، خبر از ممنوعیت واردات نرم‌افزارهای امنیتی به کشور داد. وی در این نشست با فعالان بخش خصوصی، با اشاره به پیشرفت‌های حاصل شده در حوزه زیرساخت‌های امنیتی تاکید کرد که باید صنعت داخل را به سمت تولید نرم‌افزارهای امنیتی هدایت کنیم چرا که امنیت مقوله‌ای نیست که بتوان به واردات آن اعتماد کرد. تقی‌پور گفته است چنانچه شرکت‌هایی قصد واردات نرم‌افزارهای امنیتی به کشور را داشته باشند باید موضوع را با وزارت ارتباطات در میان بگذارند تا دلایل آن بررسی شود. همچنین وی در این نشست با تاکید بر اینکه بحث امنیت با راه‌اندازی شبکه ملی اطلاعات به صورت ذاتی

حل و فصل خواهد شد، تصریح کرد که اینترنت به صورت ذاتی شبکه‌ای نا امن است که با راه‌اندازی شبکه ملی و بهره‌گیری از نرم‌افزارهای بومی این شبکه به بستری امن برای تعاملات دولت الکترونیک تبدیل خواهد شد. منع واردات نرم‌افزارهای امنیتی البته دستورالعمل واضحی در بر ندارد و پیگیری‌ها برای یافتن تعریف نرم‌افزارهای امنیتی و لیستی از اقلام ممنوعه هم تا کنون به نتیجه‌ای نرسیده است. به‌رغم این برخی واردکنندگان نرم‌افزارهای امنیتی مانند فایروال که محصولات آنها عمدتا برای حفاظت کاربران از حملات و مقابله با خطرات به کار می‌رود نسبت به ایجاد اختلال در روند واردات این نرم‌افزارها و دستگاه‌ها ابراز نگرانی کرده‌اند. واقعیت این است که هنوز کسی نمی‌داند منظور وزیر ارتباطات از نرم‌افزارهای امنیتی چیست.

به چه چیزی نرم‌افزار امنیتی می‌گوییم؟

در حال حاضر نرم‌افزارهای امنیتی مختلفی توسط کاربران، شرکت‌ها و سازمان‌ها مورد استفاده قرار می‌گیرد. از بین این نرم‌افزارهای امنیتی می‌توان به آنتی‌ویروس‌ها، فایروال‌ها، UTM (دستگاه یکپارچه مدیریت امنیت اطلاعات)، IDSها (نرم‌افزارها یا تجهیزاتی که با مانیتور کردن سیستم‌ها و شبکه‌ها فعالیت‌های مشکوک را شناسایی و گزارش می‌کنند) سند باکس‌ها و... اشاره کرد. یکی از اصلی‌ترین انتقاداتی که از سوی فعالان حوزه نرم‌افزار امنیتی، نسبت به اظهارات اخیر وزیر ارتباطات مطرح می‌شود این است که؛ وزیر ارتباطات مشخص نکرده است که کدام یک از نرم‌افزارهای امنیتی نباید وارد کشور و مورد استفاده سازمان‌ها قرار بگیرد. شاید در نگاه اول به نظر برسد که منظور وزیر واردات نرم‌افزارهای آنتی‌ویروس بوده است چرا که چندی قبل و در گفت‌و گو با فارس تقی‌پور یادآور شده بود که گذرگاه‌های مخفی در نرم‌افزارها، ابزارهای سرقت و جاسوسی هستند که باید با ایجاد امنیت ذاتی، این گذرگاه‌ها را از بین ببریم. اما در تماس با وزارت ارتباطات یکی از مسوولان این وزارتخانه اعلام کرد که منظور وزیر به هیچ وجه آنتی‌ویروس نبوده است بلکه منظور ایشان نرم‌افزارهای امنیتی است.

همچنین این مقام مسوول تاکید کرد که وزارت ارتباطات لیستی از این نرم‌افزارهای امنیتی را تهیه و به سازمان‌ها و شرکت‌های مربوطه ابلاغ کرده است اما به دلایل امنیتی وزارتخانه نمی‌تواند این لیست را در اختیار رسانه‌ها بگذارد. بهناز آریا، قائم‌مقام مدیرعامل گروه شرکت‌های کهکشان، در توضیح تعریف نرم‌افزار امنیتی می‌‌گوید: «تا زمان ابلاغ رسمی دولت، اظهار نظر قطعی نمی‌توان در این زمینه کرد، چرا که باید در این زمینه ابلاغیه رسمی منتشر شود. هنوز در این خصوص ابلاغیه رسمی به سازمان‌ها و شرکت‌ها نشده تا چه نرم‌افزاری را از خارج و چه نرم‌افزاری را از داخل خریداری کنند.» در همین زمینه علیرضا صالحی، رییس کمیسیون فتا سازمان نظام صنفی رایانه‌ای بر این باور است که نمی‌توان در این خصوص به صورت عام، موضوعی مطرح شود و از ورود نرم‌افزارهای امنیتی خارجی هم جلوگیری به عمل آید. به گفته وی باید در این خصوص سه تقسیم‌بندی صورت بگیرد. اول اینکه روی صحبت با چه گروهی از استفاده‌کنندگان این نوع نرم‌افزار است یعنی کاربران، سازمان‌ها یا شرکت‌ها. دوم اینکه تعریف از نرم‌افزار امنیتی چیست و در پایان اینکه با چه برنامه‌ و زمان‌بندی قرار است محصولات داخلی جایگزین محصولات خارجی شوند. وی در ادامه می‌افزاید: «به صورت قطعی منظور وزیر در این خصوص سازمان‌ها هستند. در سازمان‌ها نرم‌افزارهای امنیتی مختلفی برای حفظ امنیت سخت‌افزاری و نرم‌افزاری مورد استفاده قرار می‌گیرد. فایروال‌ها، UTMها، نرم‌افزارهایی برای کنترل خروجی کامپیوتر کاربران، نرم‌افزارهایی برای جلوگیری فعالیت‌های مخرب داخل سازمان بدون ارتباط با اینترنت و... از جمله اصلی‌ترین نرم‌افزارهای امنیتی مورد استفاده در نهادهای سازمانی و شرکتی است.» به گفته وی حال باید دید که آیا شرکت‌های داخلی نرم‌افزار امنیتی، توان برطرف کردن نیاز امنیتی این گروه را دارند یا خیر؟

رقابت تولیدات داخلی با خارجی

براساس اظهارات وزیر ارتباطات هم‌اکنون بالغ بر ۲۵ شرکت دانش بنیان در کشور در زمینه نرم‌افزارهای امنیتی فعالیت می‌کنند. این در حالی است که به گفته فعالان این حوزه مجموع شرکت‌های فعال در حوزه تولید نرم‌افزار امنیتی که بتوانند با محصولات خارجی رقابت کنند انگشت شمار است. محمود حسنی‌نیا، معاون اجرایی شرکت امن افزار شریف، از تولیدکنندگان نرم‌افزار امنیتی در خصوص وضعیت شرکت‌های فعال در این حوزه می‌گوید: «در شرایطی که فعالیت شرکت‌های ایرانی در زمینه آنتی‌ویروس پیشرفت قابل توجهی داشته است اما در زمینه تولید دیگر نرم‌افزارهای امنیتی چندان رشدی نداشته‌ایم.» وی در پاسخ به این سوال که آیا نرم‌افزارهای تولید شده در داخل قابل رقابت با محصولات خارجی هستند یا خیر می‌گوید: «در این خصوص نمی‌توان اظهار نظر دقیقی مطرح کرد چرا که برای نشان‌ دادن اینکه چه محصولی قابل رقابت با نمونه‌های خارجی آن است باید شرکتی دست به رده‌بندی و بررسی آنها بزند و این در حالی است که در ایران این اتفاق برای بررسی کیفیت نرم‌افزارهای امنیتی رخ نمی‌دهد.»

به باور وی باید در این حوزه بررسی‌ها و مطالعات گسترده‌ای صورت بگیرد تا مشخص شود نیاز به تولید چه نرم‌افزارهای امنیتی است و با برنامه‌ریزی دقیق محصولات استانداردی تولید شود.

به باور کارشناسان با توجه به افزایش حملات سایبری که این روزها در جهان در حال اتفاق است کاملا منطقی است که برای حفظ امنیت اطلاعات سازمان‌ها و شرکت‌های کشور، از نرم‌افزارها و سخت‌افزارهای داخلی استفاده کرد. اما اگر دولت در حال حاضر به صورت کلی اقدام به منع واردات نرم‌افزارهای امنیتی به کشور کند، این بازار دچار خلأ قابل توجهی خواهد شد. چرا که در حال حاضر ۹۰ درصد نیاز‌های نرم‌افزاری امنیتی داخلی با استفاده از محصولات خارجی تامین می‌شود.

همچنین برخی نیز معتقدند که باید نرم‌افزارهای تولید شده در داخل نیز مورد ارزیابی قرار بگیرند تاصحت کارایی و کیفیت آنها مورد ارزیابی قرار بگیرد. صالحی در این زمینه می‌گوید: «بررسی امنیت نرم‌افزاری یک سازمان باید توسط یک شرکت دیگر مورد ارزیابی قرار بگیرد. پس علاوه بر یک نرم‌افزار امنیتی قابل اعتماد، نیاز به شرکتی است که از نظر کارآیی و استفاده از روش‌های استاندارد نیز مورد قبول باشد و این در حالی است که در ایران چنین شرکتی برای ارزیابی امنیتی و کارایی یک نرم‌افزار وجود ندارد.» به باور وی اگر یک نرم‌افزار امنیتی داخلی در این نوع ارزیابی، نتواند نتیجه قابل قبولی به دست بیاورد، پس مهم نیست که یک سازمان از تولید خارجی استفاده کند یا داخلی.

نیاز به حمایت و سرمایه‌گذاری دولت

تصمیم استفاده از نرم‌افزارهای خارجی به جای داخلی مربوط به امروز یا دیروز نیست. بلکه از چند سال قبل این بحث مطرح بوده است که بخش‌هایی از تولیدات در بخش سخت افزار و نرم‌افزار که مربوط به حوزه امنیت می‌شوند باید در داخل کشور تولید شوند. این مساله ممکن است به تلاش و برنامه‌ریزی دقیق و طولانی‌ای نیاز داشته باشد اما در نهایت به نفع کشور خواهد بود.

دوسال پیش بود که سازمان فناوری اطلاعات تمامی شرکت‌ها و سازمان‌های مهم کشوری را به استفاده نرم‌افزارهای خارجی برای برطرف کردن نیازهای امنیتی‌شان منع کرد. این درحالی است که بعد از گذشت این چندسال هنوز هم این نها‌دها با دور زدن در نحوه تهیه قراردادهای خرید خود، از محصولات خارجی استفاده می‌کنند. به گفته فعالان این حوزه عدم رغبت نهاد‌های مختلف کشور به استفاده از محصولات داخلی دلایل مختلفی دارد. از جمله اینکه بخشنامه ابلاغ شده زمان‌بندی مناسبی نداشته است. همچنین نهادها، جایگزین مناسبی برای برطرف کردن نیازهای امنیتی خود پیدا نکرده‌اند. به باور آریا، استفاده از محصولات داخلی نیاز به فرهنگ‌سازی و تقویت شرکت‌های فعال در این حوزه دارد. به گفته وی دانش تولیدات چنین محصولاتی در حال حاضر به مقدار زیادی در بخش خصوصی دیده می‌شود. این بخش حاضر است با حمایت دولت دست به تولیدات نرم‌افزارهای امنیتی بزند. تولیدات داخلی در این حوزه وجود دارند اما نمی‌توان گفت که این تولیدات در سطح ایده‌آل قرار دارند و حتی شرکت‌هایی هم که در این حوزه فعالیت می‌کنند چنین ادعایی ندارند.

به گفته آریا سابقه برخی شرکت‌های تولیدکننده نرم‌افزارهای امنیتی از جمله آنتی‌ویروس‌ها به دهه ۷۰ می‌رسد که هم‌اکنون نیز برخی نرم‌افزارهای این شرکت‌ها در حال استفاده در سازمان‌ها است.

در حال حاضر موضوع اصلی این نیست که آیا نرم‌افزارهای تولید داخلی جواب نیازهای سازمان‌های کشور را می‌دهند یا خیر بلکه بحث مهم این است که دولت در این زمینه شرکت‌ها را حمایت کرده و امکانات لازم را در اختیار کلیه شرکت‌های علاقه‌مند به مشارکت در تولید محصولات داخلی بگذارد. در نهایت هم با این همکاری شرکت‌ها می‌توانند دانش و تخصص خود را در اختیار دولت قرار بدهند تا به هدف مورد نظر در این بخش رسید. همچنین محصولات داخلی باید دوران آزمایشی خود را در کنار محصولات خارجی طی کنند تا در نهایت محصولات داخلی را جایگزین محصولات خارجی کرد.