برخی حملات سایبری اخیر باعث رویکرد ساخت نرم‌افزارهای امنیتی در داخل کشور شده است

دنیای اقتصاد- «در حال حاضر درصد بالایی از نرم‌افزارهای امنیتی در داخل کشور تولید می‌شود و یکی از آثار آن همین امنیتی است که به‌رغم حملات و آزار و اذیت‌ها شاهد آن هستیم.» این جملات بخشی از اظهارات رضا تقی‌پور وزیر ارتباطات است که اواسط هفته جاری اعلام کرد. این اولین باری نیست که وزیرارتباطات در خصوص رشد تولید نرم‌افزارهای امنیتی در کشور و بالا رفتن امنیت در فضای سایبر صحبت می‌کند. اواخر سال گذشته نیز وزیر ارتباطات در نشستی که در اتاق بازرگانی و صنایع و معادن کشور برگزار شده بود، با اشاره به پیشرفت‌های حاصل شده در حوزه زیرساخت‌های امنیتی تاکید کرد که باید صنعت داخل را به سمت تولید نرم‌افزارهای امنیتی هدایت کنیم؛ چرا که امنیت مقوله‌ای نیست که بتوان به واردات آن اعتماد کرد. در همین راستا نیز وی خبر از ممنوعیت واردات نرم‌افزارهای امنیتی به کشور داده بود.

انتشار این خبر در همان زمان مورد انتقاد بسیاری از کارشناسان قرار گرفت. بسیاری از فعالان حوزه نرم‌افزار اعلام کردند چرا وقتی هیچ ساختاری برای تولید نرم‌افزارهای امنیتی در کشور آماده نیست، باید واردات نرم‌افزار امنیتی به کشور را قطع کرد؟

رقابت داخلی‌ها و خارجی‌ها

در حال حاضر نرم‌افزارهای امنیتی مختلفی توسط کاربران، شرکت‌ها و سازمان‌ها مورد استفاده قرار می‌گیرد. از بین این نرم‌افزارهای امنیتی می‌توان به آنتی‌ویروس‌ها، فایروال‌ها، UTM (دستگاه یکپارچه مدیریت امنیت اطلاعات)، IDSها (نرم‌افزارها یا تجهیزاتی که با مانیتور کردن سیستم‌ها و شبکه‌ها فعالیت‌های مشکوک را شناسایی و گزارش می‌کنند) سند باکس‌ها و... اشاره کرد.

براساس اظهارات وزیر ارتباطات هم‌اکنون بالغ بر ۲۵ شرکت دانش بنیان در کشور در زمینه نرم‌افزارهای امنیتی فعالیت می‌کنند.

با توجه به متفاوت بودن نرم‌افزارهای امنیتی و پیچیدگی ساخت آنها سوال اصلی این است که آیا شرکت‌های تولیدکننده نرم‌افزار امنیتی در ایران توان رقابت با محصولات خارجی را دارند. علیرضا منافی، مدیرعامل شرکت امن‌افزار گستر شریف در این زمینه می‌گوید: «در حال حاضر هفت الی ۸ شرکت قدرتمند در زمینه تولید نرم‌افزارهای امنیتی در کشور فعالیت می‌کنند و به‌تازگی نیز شرکت‌های جدیدتری به این جمع اضافه شده‌اند. همچنین برای افزایش اطمینان کاربران ایرانی مخصوصا کاربران شرکت‌ها، نهادها و سازمان‌های دولتی و غیردولتی تمام نرم‌افزارهای امنیتی تولید شده در کشور در آزمایشگاه‌های ارزیابی مرکز تحقیقات مخابرات ایران مورد آزمایش قرار می‌گیرد.

به گفته وی این آزمایشگاه اقدام به صحت سنجی کیفیت محصولات نرم‌افزاری امنیتی می‌کند و در حال حاضر تمامی محصولات ایرانی موجود در بازار دارای تاییدیه این آزمایشگاه است و گاهی اوقات کیفیت تولیدات این ‌گونه نرم‌افزارها به مراتب بالاتر از محصولات خارجی وارد شده به کشور است. منافی در ادامه می‌افزاید: «این تفکر غلط در کشور وجود دارد که چون یک نرم‌افزار امنیتی در کشور خارجی است پس کیفیتش بهتر از محصول ایرانی است، ولی این درحالی است که تمامی محصولات خارجی که در بخش نرم‌افزار امنیتی به کشور وارد می‌شوند درجه دوم هستند و هیچگاه محصولات درجه یک خارجی به دلیل بالا بودن قیمت و عدم استقبال کاربران به کشور وارد نمی‌شوند.»

وی در خصوص استقبال سازمان‌ها و نهادهای دولتی یا غیردولتی نسبت به استفاده از نرم‌افزارهای امنیتی داخلی می‌گوید: «تا پیش از فعالیت آزمایشگاه ارزشیابی محصولات امنیتی مرکز تحقیقات انفورماتیک، همیشه این انگ به محصولات ایرانی چسبیده می‌شد که آنها از کیفیت لازم برخوردار نیستند، اما ارزیابی این آزمایشگاه باعث شد تا نهادهای مختلف نسبت به محصولات ایرانی اعتماد لازم را کسب کنند. همچنین برخی حملات سایبری اخیر از استاکس‌نت گرفته تا فلیم باعث شد که این نهادها به سمت استفاده از محصولات ایرانی کشیده شوند، چرا که محصولات خارجی نمی‌توانست نیازهای آنها را برطرف کند.»

به گفته وی، در حال حاضر سازمان‌های نظامی و حساس کشور از نرم‌افزارهای امنیتی تولید داخل کشور استفاده می‌کنند و دیگر سازمان‌های مهم دولتی مانند وزارت نفت و... نیز از سوی دولت به آنها بخشنامه‌ای ارسال شده که استفاده از محصولات امنیتی خارجی را به صفر برسانند. منافی تاکید می‌کند که بزرگترین دلیل برای افزایش استفاده و خرید محصولات امنیتی داخلی به معنای از تولید داخلی نیست بلکه هدف حفظ امنیت ملی کشور است.

در همین زمینه، محمد قنبری، یکی از تولیدکنندگان دستگاه یکپارچه مدیریت امنیت اطلاعات می‌گوید: «در حال حاضر دانش نرم افزاری تولید نرم‌افزارهای امنیتی مانند فایروال، UTM در کشور وجود دارد و هم‌اکنون درحیطه نرم‌افزارهای فایروال شخصی که روی pc‌ها و شبکه‌ها نصب می‌شوند، تولید داریم. اما در زمینه تجهیزات سخت افزاری امنیت، هیچ‌گونه تولید داخلی نداشته‌ایم.» به گفته وی، دانش بومی تولید نرم‌افزارهای آنتی‌ ویروس نیز در کشور نهادینه نشده است و آنچه در این حوزه تولید می‌شود، برای رسیدن به محصولات خارجی نیاز به زمان و کار بیشتری دارد.

قنبری، به عنوان یک فعال در این حوزه، موافق است رشد استفاده از نرم‌افزارهای امنیتی در داخل کشور است، اما در عین حال معتقد است که باید برای تولیدات انبوه و با کیفیت، بیشتر زمان گذاشت. به گفته وی، این که فکر کنیم ظرف دو سه سال آینده می‌توانیم از محصولات امنیتی خارجی بی‌نیاز شویم، فکری کاملا خوشبینانه و محال است، زیرا به راحتی نمی‌توان امنیت مکانی را که ۶۰۰ مگ پهنای باند دارد با UTMهای داخلی تامین کرد.

نیازمند سرمایه‌گذاری و فرهنگ‌سازی

بسیاری از فعالان حوزه تولید نرم‌افزار امنیتی بر این باور هستند که در حال حاضر وزارت ارتباطات به جای تلاش یا ممنوعیت استفاده از نرم‌افزارهای امنیتی خارجی باید جلوی استفاده از نرم‌افزارهای قفل شکسته را بگیرد، چرا که تا زمانی قانون کپی‌رایت در کشور رعایت نشود حتی اگر در بخش تولید نرم‌افزارهای امنیتی مانند آنتی ویروس سرمایه‌گذاری شود، بازهم گروهی به استفاده از نرم‌افزارهای قفل شکسته روی می‌آورند.

حمیدرضا سعدی، مدیر عامل شرکت مهران‌رایانه، در خصوص بازار تولید محصولات امنیتی می‌گوید: «بازار فروش نرم‌افزارهای امنیتی در داخل کشور بسیار آشفته است و باید راهکاری درست برای آن ارائه کرد. در حال حاضر سرمایه‌گذاری زیادی روی این حوزه صورت نمی‌گیرد و این در حالی است که برای تولید یک نرم‌افزار امنیتی و حتی یک آنتی‌ویروس داخلی که بتواند با نمونه‌های خارجی رقابت کند، جدا از داشتن بانک اطلاعات و زیرساخت قوی، باید هزینه و سرمایه‌ای در حدود پنج میلیارد تومان در سال را در نظر گرفت.» وی نیز بر این باور است که محصولات امنیتی باید تولید داخل باشد، اما تنها با گفتن این جمله اتفاقی شکل نمی‌گیرد بلکه این کار نیازمند یک سرمایه‌گذاری کلان و حمایت دولت دارد.

به باور کارشناسان با توجه به افزایش حملات سایبری که این روزها در جهان در حال اتفاق است کاملا منطقی است که برای حفظ امنیت اطلاعات سازمان‌ها و شرکت‌های کشور، از نرم‌افزارها و سخت‌افزارهای داخلی استفاده کرد.

چند سالی است که سازمان فناوری اطلاعات برای تمام شرکت‌ها و سازمان‌‌های مهم کشوری استفاده از آن دسته از نرم‌افزارها برای برطرف کردن نیازهای امنیتی را ممنوع کرده است. این در حالی است که بعد از سپری شدن این مدت، هنوز بسیاری از سازمان‌ها از محصولات خارجی استفاده می‌کنند. شاید عدم تمایل این سازمان‌‌ها به استفاده از محصولات داخلی به این دلیل باشد که هیچ‌کدام از سازمان‌‌ها هنوز نتوانسته‌‌اند در محصولات داخلی جایگزین مناسبی را پیدا کنند.

علیرضا صالحی، دبیر کمیسیون امنیت اطلاعات سازمان نظام صنفی رایانه‌ای در این خصوص می‌گوید: «در حال حاضر نرم‌افزارهای امنیتی داخلی زیاد در بازار وجود دارند، اما در مورد کیفیت و استاندارد بودن آنها شبهاتی وجود دارد و همین امر سبب شده که برخی نهادها، سازمان‌ها و شرکت‌های فعال در کشور کمتر به سمت استفاده از این محصولات بروند. همچنین بسیاری از نرم‌افزارهای امنیتی داخل کشور بومی شده نرم‌افزارهای خارجی است.» وی در ادامه با اشاره به ارزیابی نرم‌افزارهای امنیتی داخلی توسط آزمایشگاه‌ها مخصوص این کار در کشور می‌افزاید: «یکی از مشکلاتی که در این زمینه وجود دارد این است که روال طی شدن مراحل آزمایش یک محصول امنیتی در آزمایشگاه مرکز تحقیقات انفورماتیک به هیچ وجه مشخص نیست در نتیجه نمی‌توان به نتایج اعلام شده از سوی این آزمایشگاه‌ها اعتماد کرد.»

به باور وی، بررسی امنیت یک نرم‌افزاری امنیتی باید توسط سازمانی صورت بگیرد که دارای تجهیزات استاندارد است و مورد تایید نهادهای بین‌المللی نیز قرار دارد. بنابراین علاوه بر یک نرم‌افزار امنیتی قابل اعتماد، نیاز به نهادی است که از نظر کارآیی و استفاده از روش‌های استاندارد نیز مورد قبول باشد و این در حالی است که در ایران چنین سازمانی برای ارزیابی امنیتی و کارآیی یک نرم‌افزار وجود ندارد.

به اعتقاد بسیاری از کارشناسان، استفاده از محصولات داخلی نیاز به فرهنگ‌سازی و تقویت شرکت‌های فعال در این حوزه دارد. چرا که دانش تولیدات محصولات امنیتی در حال حاضر به مقدار زیادی در بخش خصوصی دیده می‌شود. اما این بخش، بدون حمایت دولت نمی‌تواند دست به تولیدات نرم‌‌افزارهای امنیتی بزند.