هفته گذشته وزیر ارتباطات در نشستی که در اتاق بازرگانی و صنایع و معادن کشور برگزار شد، خبر از ممنوعیت واردات نرمافزارهای امنیتی به کشور داد. وی در این نشست با فعالان بخش خصوصی، با اشاره به پیشرفتهای حاصل شده در حوزه زیرساختهای امنیتی تاکید کرد که باید صنعت داخل را به سمت تولید نرمافزارهای امنیتی هدایت کنیم چرا که امنیت مقولهاي نیست که بتوان به واردات آن اعتماد کرد.
تقیپور گفته است چنانچه شرکتهایی قصد واردات نرمافزارهای امنیتی به کشور را داشته باشند باید موضوع را با وزارت ارتباطات در میان بگذارند تا دلایل آن بررسی شود. همچنین وی در این نشست با تاکید بر اینکه بحث امنیت با راهاندازی شبکه ملی اطلاعات به صورت ذاتی حل و فصل خواهد شد، تصریح کرد که اینترنت به صورت ذاتی شبکهاي نا امن است که با راهاندازی شبکه ملی و بهرهگیری از نرمافزارهای بومی این شبکه به بستری امن برای تعاملات دولت الکترونیک تبدیل خواهد شد.
منع واردات نرمافزارهای امنیتی البته دستورالعمل واضحی در بر ندارد و پیگیریها برای یافتن تعریف نرمافزارهای امنیتی و لیستی از اقلام ممنوعه هم تا کنون به نتيجهاي نرسيده است. بهرغم این برخی واردکنندگان نرمافزارهای امنیتی مانند فایروال که محصولات آنها عمدتا برای حفاظت کاربران از حملات و مقابله با خطرات به کار میرود نسبت به ایجاد اختلال در روند واردات این نرمافزارها و دستگاهها ابراز نگرانی کردهاند.
واقعیت این است كه هنوز کسی نمیداند منظور وزیر ارتباطات از نرمافزارهای امنیتی چیست.
به چه چیزی نرمافزار امنیتی میگوییم؟
در حال حاضر نرمافزارهای امنیتی مختلفی توسط کاربران، شرکتها و سازمانها مورد استفاده قرار میگیرد. از بین این نرمافزارهای امنیتی میتوان به آنتیویروسها، فایروالها، UTM (دستگاه يکپارچه مديريت امنيت اطلاعات)، IDSها (نرمافزارها یا تجهیزاتی که با مانیتور کردن سیستمها و شبکهها فعالیتهای مشکوک را شناسایی و گزارش میکنند) سند باکسها و... اشاره کرد.
یکی از اصلیترین انتقاداتی که از سوی فعالان حوزه نرمافزار امنیتی، نسبت به اظهارات اخیر وزیر ارتباطات مطرح میشود این است که؛ وزیر ارتباطات مشخص نکرده است که کدام یک از نرمافزارهای امنیتی نباید وارد کشور و مورد استفاده سازمانها قرار بگیرد. شاید در نگاه اول به نظر برسد که منظور وزیر واردات نرمافزارهای آنتیویروس بوده است چرا که چندی قبل و در گفتو گو با فارس تقیپور یادآور شده بود که گذرگاههای مخفی در نرمافزارها، ابزارهای سرقت و جاسوسی هستند که باید با ایجاد امنیت ذاتی، این گذرگاهها را از بین ببریم. اما در تماس با وزارت ارتباطات یکی از مسوولان این وزارتخانه اعلام کرد که منظور وزیر به هیچ وجه آنتیویروس نبوده است بلکه منظور ایشان نرمافزارهای امنیتی است.
همچنین این مقام مسوول تاکید کرد که وزارت ارتباطات لیستی از این نرمافزارهای امنیتی را تهیه و به سازمانها و شرکتهای مربوطه ابلاغ کرده است اما به دلایل امنیتی وزارتخانه نمیتواند این لیست را در اختیار رسانهها بگذارد.
بهناز آریا، قائممقام مدیرعامل گروه شرکتهای کهکشان، در توضیح تعریف نرمافزار امنیتی میگوید: «تا زمان ابلاغ رسمی دولت، اظهار نظر قطعی نمیتوان در این زمینه کرد، چرا که باید در این زمینه ابلاغیه رسمی منتشر شود. هنوز در این خصوص ابلاغیه رسمی به سازمانها و شرکتها نشده تا چه نرمافزاری را از خارج و چه نرمافزاری را از داخل خریداری کنند.»
در همین زمینه علیرضا صالحی، دبیر کميسیون افتا سازمان نظام صنفی رایانهای بر این باور است که نمیتوان در این خصوص به صورت عام، موضوعی مطرح شود و از ورود نرمافزارهای امنیتی خارجی هم جلوگیری به عمل آید.
به گفته وی باید در این خصوص سه تقسیمبندی صورت بگیرد. اول اینکه روی صحبت با چه گروهی از استفادهکنندگان این نوع نرمافزار است یعنی کاربران، سازمانها یا شرکتها.
دوم اینکه تعریف از نرمافزار امنیتی چیست و در پایان اینکه با چه برنامه و زمانبندی قرار است محصولات داخلی جایگزین محصولات خارجی شوند. وی در ادامه میافزاید: «به صورت قطعی منظور وزیر در این خصوص سازمانها هستند. در سازمانها نرمافزارهای امنیتی مختلفی برای حفظ امنیت سختافزاری و نرمافزاری مورد استفاده قرار میگیرد.
فایروالها، UTMها، نرمافزارهایی برای کنترل خروجی کامپیوتر کاربران، نرمافزارهایي برای جلوگیری فعالیتهای مخرب داخل سازمان بدون ارتباط با اینترنت و... از جمله اصلیترین نرمافزارهای امنیتی مورد استفاده در نهادهای سازمانی و شرکتی است.» به گفته وی حال باید دید که آیا شرکتهای داخلی نرمافزار امنیتی، توان برطرف کردن نیاز امنیتی این گروه را دارند یا خیر؟
رقابت تولیدات داخلی با خارجی
براساس اظهارات وزیر ارتباطات هماکنون بالغ بر ۲۵ شرکت دانش بنیان در کشور در زمینه نرمافزارهای امنیتی فعالیت ميکنند. این در حالی است که به گفته فعالان این حوزه مجموع شرکتهای فعال در حوزه تولید نرمافزار امنیتی که بتوانند با محصولات خارجی رقابت کنند انگشت شمار است.
محمود حسنینیا، معاون اجرایی شرکت امن افزار شریف، از تولیدکنندگان نرمافزار امنیتی در خصوص وضعیت شرکتهای فعال در این حوزه میگوید: «در شرایطی که فعالیت شرکتهای ایرانی در زمینه آنتیویروس پیشرفت قابل توجهی داشته است اما در زمینه تولید دیگر نرمافزارهای امنیتی چندان رشدی نداشتهایم.» وی در پاسخ به این سوال که آیا نرمافزارهای تولید شده در داخل قابل رقابت با محصولات خارجی هستند یا خیر میگوید: «در این خصوص نمیتوان اظهار نظر دقیقی مطرح کرد چرا که برای نشان دادن اینکه چه محصولی قابل رقابت با نمونههای خارجی آن است باید شرکتی دست به ردهبندی و بررسی آنها بزند و این در حالی است که در ایران این اتفاق برای بررسی کیفیت نرمافزارهای امنیتی رخ نمیدهد.»
به باور وی باید در این حوزه بررسیها و مطالعات گستردهای صورت بگیرد تا مشخص شود نیاز به تولید چه نرمافزارهای امنیتی است و با برنامهریزی دقیق محصولات استانداردی تولید شود.
به باور کارشناسان با توجه به افزایش حملات سایبری که این روزها در جهان در حال اتفاق است کاملا منطقی است که برای حفظ امنیت اطلاعات سازمانها و شرکتهاي کشور، از نرمافزارها و سختافزارهای داخلی استفاده کرد.
اما اگر دولت در حال حاضر به صورت کلی اقدام به منع واردات نرمافزارهای امنیتی به کشور کند، این بازار دچار خلأ قابل توجهی خواهد شد. چرا که در حال حاضر ۹۰ درصد نیازهای نرمافزاری امنیتی داخلی با استفاده از محصولات خارجی تامین میشود.
همچنین برخی نیز معتقدند که باید نرمافزارهای تولید شده در داخل نیز مورد ارزیابی قرار بگیرند تاصحت کارایی و کیفیت آنها مورد ارزیابی قرار بگیرد. صالحی در این زمینه میگوید: «بررسی امنیت نرمافزاری یک سازمان باید توسط یک شرکت دیگر مورد ارزیابی قرار بگیرد.
پس علاوه بر یک نرمافزار امنیتی قابل اعتماد، نیاز به شرکتی است که از نظر کارآیی و استفاده از روشهای استاندارد نیز مورد قبول باشد و این در حالی است که در ایران چنین شرکتی برای ارزیابی امنیتی و کارایی یک نرمافزار وجود ندارد.» به باور وی اگر یک نرمافزار امنیتی داخلی در این نوع ارزیابی، نتواند نتیجه قابل قبولی به دست بیاورد، پس مهم نیست که یک سازمان از تولید خارجی استفاده کند یا داخلی.
نیاز به حمایت و سرمایهگذاری دولت
تصمیم استفاده از نرمافزارهای خارجی به جای داخلی مربوط به امروز یا دیروز نیست. بلکه از چند سال قبل این بحث مطرح بوده است که بخشهایی از تولیدات در بخش سخت افزار و نرمافزار که مربوط به حوزه امنیت میشوند باید در داخل کشور تولید شوند. این مساله ممکن است به تلاش و برنامهریزی دقیق و طولانیاي نیاز داشته باشد اما در نهایت به نفع کشور خواهد بود.
دوسال پیش بود که سازمان فناوری اطلاعات تمامی شرکتها و سازمانهای مهم کشوری را به استفاده نرمافزارهای خارجی برای برطرف کردن نیازهای امنیتیشان منع کرد. این درحالی است که بعد از گذشت این چندسال هنوز هم این نهادها با دور زدن در نحوه تهیه قراردادهای خرید خود، از محصولات خارجی استفاده میکنند.
به گفته فعالان این حوزه عدم رغبت نهادهای مختلف کشور به استفاده از محصولات داخلی دلایل مختلفی دارد. از جمله اینکه بخشنامه ابلاغ شده زمانبندی مناسبی نداشته است. همچنین نهادها، جایگزین مناسبی برای برطرف کردن نیازهای امنیتی خود پیدا نکردهاند. به باور آریا، استفاده از محصولات داخلی نیاز به فرهنگسازی و تقویت شرکتهای فعال در این حوزه دارد. به گفته وی دانش تولیدات چنین محصولاتی در حال حاضر به مقدار زیادی در بخش خصوصی دیده میشود.
این بخش حاضر است با حمایت دولت دست به تولیدات نرمافزارهای امنیتی بزند. تولیدات داخلی در این حوزه وجود دارند اما نمیتوان گفت که این تولیدات در سطح ایدهآل قرار دارند و حتی شرکتهایی هم که در این حوزه فعالیت میکنند چنین ادعایی ندارند.
به گفته آریا سابقه برخی شرکتهای تولیدکننده نرمافزارهای امنیتی از جمله آنتیویروسها به دهه ۷۰ میرسد که هماکنون نیز برخی نرمافزارهای این شرکتها در حال استفاده در سازمانها است.
در حال حاضر موضوع اصلی این نیست که آیا نرمافزارهای تولید داخلی جواب نیازهای سازمانهاي کشور را میدهند یا خیر بلکه بحث مهم این است که دولت در این زمینه شرکتها را حمایت کرده و امکانات لازم را در اختیار کلیه شرکتهای علاقهمند به مشارکت در تولید محصولات داخلی بگذارد.
در نهایت هم با این همکاری شرکتها میتوانند دانش و تخصص خود را در اختیار دولت قرار بدهند تا به هدف مورد نظر در این بخش رسید. همچنین محصولات داخلی باید دوران آزمایشی خود را در کنار محصولات خارجی طی کنند تا در نهایت محصولات داخلی را جایگزین محصولات خارجی کرد.