پادویش، یک سال پس از ابلاغیه جنجالی

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پیرو انتشار اخبار و در پی آن بخش‌نامه مرتبط با الزام استفاده همه سازمان‌ها و دستگاه‌های دولتی از آنتی‌ویروس پادویش در سال گذشته، تلاطمی در جامعه فناوری اطلاعات و امنیت سایبری کشور پدید آمد. اینکه به‌یک‌باره چنین الزام حاکمیتی در حمایت از به‌کارگیری یک محصول ابلاغ‌ شده، فعالان این حوزه را سردرگم کرد و تا حدی در بلاتکلیفی قرارداد.

باری؛ این ابلاغیه و مراجعاتی که به افتانا به‌عنوان مرجع خبرهای امنیت فناوری اطلاعات و دست‌اندرکاران آن صورت گرفت، افتانا را بر آن داشت که سال گذشته در قالب انجام گفت‌وگوها و برگزاری میزگرد ابعاد مختلف این تصمیم را واکاوی کرده و جمعبندی نظرات کارشناسان را احصا و منتشر کند.

الف: اگر بخواهیم خلاصه نظرات قبلی را در این خصوص صورت‌بندی کنیم درخواهیم یافت که:

۱- جمع‌بندی‌ها نشان می‌داد که تمامی طرف‌های گفت‌وگو بر اینکه کشور ما نیز باید محصولات امنیتی داخلی قدرتمند و رقابت‌پذیر داشته‌باشد متفق‌القول هستند و از تیم تولیدکننده ضدبدافزار ایرانی پادویش حمایت کرده و برای تقویت تیم تولید آن آماده همکاری هستند.

۲- تعدادی از کارشناسان معتقد بودند بخش‌نامه الزام بخش‌های دولتی به استفاده از پادویش به مصلحت کشور نیست و این بخش‌نامه مصداق حمایت بد از یک کار خوب است.

۳- تعداد دیگری از کارشناسان معتقد بودند با توجه به اینکه برخی شرکت‌های تولیدکننده ضد بدافزار خارجی بر اساس قوانین تحریم امکان فروش لایسنس و ارائه وصله‌های امنیتی به‌صورت مستقیم به مشتریان ایرانی را ندارند و دریافت توأم با تأخیر وصله‌های امنیتی ضد بدافزارها ممکن است عواقب غیرقابل جبرانی به دنبال داشته‌باشد، ابلاغ این بخش‌نامه را ضروری دانسته و آن را اقدامی در راستای ارتقای ضریب امنیت دادهها و اطلاعات داخلی میدانند. فعالان معتقدند برای جلوگیری از انحصاری شدن بازار لازم است محصولات امنیتی ایرانی دیگری نیز تولید و با پادویش رقابت کنند.

۴- فعالان معتقد بودند که خوب است حمایت فقط معطوف به محصولی مانند پادویش نبوده و سایر محصولات بومی امنیت سایبری نیز مشمول این حمایت‌ها قرار گیرند.

۵- برخی معتقد بودند که محصول پادویش هنوز به بلوغ لازم نرسیده و سپردن امنیت تمامی بخش دولت و حاکمیت به آن، به‌دور از اصول امنیت سایبری است. محصول پادویش هنوز در هیچ آزمایشگاه بین‌المللی به‌عنوان یک محصول کامل مورد ارزیابی قرار نگرفته و نمیتوان به آن در این سطح وسیع اعتماد کرد.

۶- به همان دلیل گفته‌شده در بند فوق، این محصول هنوز در بوته آزمایش در سطح وسیع و کلان کشوری قرار نگرفته و تابآوری آن در شرایط سخت آزمایش نشده‌است و لذا نمیتوان به آن در چنین سطحی اعتماد کرد.
 
۷- متخصصان معتقد بودند که تیم فنی و پشتیبانی شرکت امن‌پرداز به‌عنوان تولیدکننده پادویش توانایی پاسخگویی به نیازهای بازار و ازجمله هزاران دستگاه دولتی را که ملزم به استفاده از آن هستند، ندارد.

۸- از دیدگاه مدیریت امنیت اطلاعات و همچنین دیدگاه پدافندی، ایجاد یک نقطه تمرکز در حفظ حریم امن شبکه‌ها، یعنی پادویش می‌تواند به‌عنوان «نقطه شکست یکتا» هم باعث شکست امنیت شبکه شود و هم نقطه حمله مناسبی را از جانب مهاجمان خارجی فراهم آورد.

۹- متخصصان معتقد بودند که حمایت‌های مؤثرتری را می‌توان از محصولاتی نظیر پادویش به عمل آورد که به‌مراتب از الزام استفاده از آن بهتر است. پیشنهاد مواردی همچون حل مشکل پادویش برای حضور در آزمایشگاه‌های بین‌المللی، کمک به پادویش برای طی کردن مراحل اعتبارسنجی در بازارهای جهانی، کمک به محصول و متخصصان فنی آن برای حضور در مجامع جهانی (نظیر کاری که همه برندهای برتر ضدویروس جهانی انجام می‌دهند)، ارائه وام‌های حمایتی یا بلاعوض برای انجام تحقیقات و یا همکاری با تیمهای جهانی، ارائه وام‌های حمایتی برای آماده‌سازی زیرساخت‌های فنی، فیزیکی و امکان استفاده از پایگاه‌های داده‌ای جهانی تهدیدات سایبری ازجمله این پیشنهادها بوده‌است.

۱۰- فراهم آوردن امکان استفاده از پادویش در کنار سایر محصولات خارجی و حذف تدریجی محصولات خارجی هم‌زمان با توانمندسازی محصول بومی از دیگر دیدگاه‌های کارشناسان بوده‌است.

۱۱- کارشناسان به‌درستی به این نکته اشاره‌ کرد‌بودند که با توجه به بند ۸، تقریباً در هیچ کشور خارجی چنین الزامی دیده نمی‌شود. لذا به‌جا خواهد‌بود که به تجربیات جهانی در این زمینه توجه شود.

۱۲- از لحاظ کارکردی، کارشناسانی که تجربه کار با پادویش را داشتند، آن را نرم‌افزاری به‌طورکلی خوب ارزیابی کردند که جای پیشرفت و کار بسیاری دارد. رابط کاربری مناسب ازجمله نقاط قوت آن ذکر شد.

۱۳- پادویش به‌دلیل نداشتن Knowledge DB مناسب، نمی‌تواند توقع کاربران حرفه‌ای سازمان‌ها را برآورده کند که این ازجمله مواردی است که پادویش نیازمند جذب منابع مالی مناسب برای توسعه آن است. البته آن گزارش قصد ورود به مباحث فنی محصول پادویش را نداشت و لذا به ذکر همین نکته بسنده می‌کند.

۱۴- کارشناسان معتقد بودند که آگاه‌سازی بخش فنی در بدنه سازمان‌های دولتی در کنار آگاه‌سازی بخش مدیریتی آن سازمان‌ها می‌تواند تأثیر بسزایی در ایجاد مقبولیت لازم برای پذیرش محصول پادویش داشته‌باشد.

۱۵- فعالان معتقد بودند حمایت از آموزش و ارتقای سطح آگاه‌سازی عموم کاربران نسبت به محصولات بومی سایبری مهم‌ترین وظیفه حاکمیتی است و در ادامه آن می‌توان به الزام استفاده از محصولات بومی سایبری همت گماشت.

۱۶- کارشناسان معتقد بودند که عدم وجود ساختار مناسب مدیریت امنیت اطلاعات در سازمان‌ها و به‌تبع آن در سطح کلان کشور، چنین تصمیماتی را می‌تواند زمین‌گیر کرده و از آنها را بدون‌اثر کند. یعنی به‌دلیل فقدان نظام مدیریت امنیت، می‌توان از اجرای چنین تصمیماتی به روش‌های گوناگون جلوگیری کرد.

۱۷- کارشناسان معتقد بودند با توجه به انحصاری شدن ارائه‌کننده محصول در روندهای برگزاری مناقصه خرید و آیین‌نامه‌های کمیسیون معاملات مشکلاتی بروز خواهدکرد که در زمان تدوین دستورالعمل به آنها توجه نشده‌است.

ب: بررسی‌های افتانا برای یافتن موقعیت محصولی مانند آنتی‌ویروس در جهان نشان داد که در بین آنتی‌ویروس‌های برتر خارجی، چین غایب است. آمریکا با پنج محصول، روسیه، هند، آلمان هرکدام با دو محصول در بازار حضور دارند. چند کشور دیگر نیز با یک محصول سعی در رقابت دارند. در جدول زیر، نام شرکت‌های ارائه‌کننده محصولات با تاریخ تأسیس آنها و نام کشور ذکر شده‌است.
ج: امسال و در یک‌سالگی اعلام این بخش‌نامه،‌ مجدداً به سراغ صاحب‌نظران این حوزه رفتیم. سؤال کردیم که چقدر کسب‌وکار این محصول ایرانی رونق گرفته و تأثیر این بخش‌نامه بر وضعیت امنیت فناوری اطلاعات کشور تا چه حد مثبت بوده‌است.

لطفاً نظرات و دیدگاه‌های متخصصان را در پرونده ویژه افتانا که با عنوان «پادویش، یک سال پس از ابلاغیه جنجالی» آماده ‌شده‌است، مطالعه فرمایید.