«چالشها و روشهای استفاده از محصولات امنیتی خارجی در شرایط تحریم» در یک پنل تخصصی در حاشیه الکامپ بررسی شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پنل تخصصی چالشی با عنوان «چالشها و روشهای استفاده از محصولات امنیتی خارجی در شرایط تحریم» صبح روز پنجشنبه ۲۷ تیرماه در بخش الکامپ تاکز نخستین روز نمایشگاه الکامپ در سالن ۶ محل دائمی نمایشگاههای بینالمللی تهران برگزار شد.
مهندس کیاییفر، مدیر تحقیق و توسعه شرکت مدبران، مهندس احمدی، مدیر IT شرکت OIEC و دکتر صالحی، مدیر هلدینگ دیدهبان در این پنل به بحث و تبادل نظر درباره این موضوعات مهم و چالشی پرداختند که در ادامه میخوانید.
صالحی: با افزایش تنشها میان ایران و آمریکا و در شرایطی که بیش از ۸۰ درصد تجهیزات امنیتی بهکار رفته در لبه شبکه سازمانهای ایرانی، آمریکایی هستند این موضوع به دغدغهای تبدیل شدهاست. محصولاتی که با وجود تحریمها در ایران نصب شدهاند و لایسنسهای آنها با مشکلات فراوان نصب میشود و مکررا توسط شرکتهای تولیدکننده غیرفعال میشوند. واقعا درصورت وقوع جنگ میان ایران و آمریکا چقدر میشود به این تجهیزات امنیتی اعتماد کرد؟ در این چالش مهم امنیتی بهترین راهکار کدام است؟ آیا باید محصولات آمریکایی را که بهترین امکانات و قابلیتهای فنی را دارند کنار گذاشت؟ آیا محصولات بومی جایگزین خوبی برای حفاظت محسوب شوند؟ آیا استفاده از محصولات Open Source جایگزین مناسبی است؟
کیاییفر: پدیده جنگ از بدو تولد بشر آغاز شد. جنگ سایبری امروز در دنیا حرف اول را میزند. ادبیات جنگ میان ایران و آمریکا باید ما را نگران این جنگ سایبری کند. ۸۰ درصد تجهیزات ما در زیرساختها، آمریکایی است، پس مدیریت امنیت سایبری در این شرایط بسیار دشوار است. بهویژه اگر در این تجهیزات back door وجود داشتهباشد. گذاشتن back door در محصولات بسیار رایج شده است و همین چندی پیش بود که NSA با back door های وجود در تجهیزات جونیپر توانست دسترسی در سطح ادمین پیدا کند و موفق به نفوذ شود. مورد دیگر بلاک کردن لایسنسها و تمدید نکردن آنهاست. از فروردینماه امسال بود که سوفوس لایسنسهایش را در ایران مسدود کرد. از چند روز قبل در ایران فایروالهای سوفوس اسکرین لاک می شوند و دستگاه کاملا بدون استفاده میشود. یعنی ما هزینه کردیم و برند برتر UTM را در سیستم خود قرار دادیم، اما حالا عملا باید آن را دور بیندازیم چون برای ما کار نمیکند. حالا این سوال پیش میآید که اگر برای پرهیز از چنین گرفتاریهایی از سوفوس و فورتیگیت و برندهای خارجی معتبر دیگر استفاده نکنیم، پس باید چکار کنیم؟!
احمدی: در هر صورت هر جنگی هزینهای دارد. هیچ کشوری در دنیا تولیدکننده صفر تا صد همه محصولات نمیشود و هزینه تولید آن بالاست و نیروی متخصص آن در همهجا وجود ندارد. ما هم نمیتوانیم تولیدکننده همهچیز و بینیاز از دنیا باشیم. محصولاتی که خریداری میکنیم ممکن است به دلایل برنامهریزی شده و یا برنامهریزی نشدهای از کار بیفتند یا back door داشتهباشد؛ اما صرفا به این دلایل نمیتوان آنها را کنار گذاشت. فرض کنید که ما برندهای معتبر UTMرا که اخیرا برای آنها مشکل ایجاد شدهاست کنار بگذاریم، اما آیا میتوانم به همین سادگی برویم سراغ UTM داخلی؟! من نسبت به سازمانی که در آن مشغول کارم مسئولیت دارم و نمیتوانم شرایطی را پیش بیاورم که احتمال تجربهای مانند فلیم در آن وجود داشتهباشد. پس نمیتوانم به راحتی محصولی را که هنوز به اندازه کافی آزموده نشده و خطاهای آن درنیامده در یک زیرساخت حیاتی بهکار بگیرم. شاید در چنین شرایطی محصول ایرانی به عنوان سولوشن ارائهشود، اما این کافی نیست و نمیتوان از ترس مرگ دست به خودکشی زد و از برندهای معتبر و دقیقی مثل سایبروم، سیسکو، سوفوس و نظایر آن گذشت و به سراغ محصولات ایرانی رفت که اغلب پشتیبانی آنها نیز تماموقت نیستند و در خارج از ساعات اداری و روزهای تعطیل نمیتوان به بخش پشتیبانی آنها دسترسی داشت. پس ما این مشکل را داریم که فیچرهای معتبر خارجی شاید از سوی تولیدکنندگانشان برای ما از دسترس خارج شوند و محصولات داخلی با کاستیهایی همراه هستند.
کیاییفر: سه راهکار پیش روی ماست که مورد سوم را بعدا خواهمگفت. راهکار اول ما همان استفاده از محصولات آمریکایی است که در حالت عادی بسیار عالی هستند، اما در شرایط تحریم، دردسرساز. راهکار دوم به کارگیری محصولات ایرانی است. در اینجا این بحث پیش میآید که بومیسازی با وجود نیاز شدید که به آن داریم به حربهای برای کسب درآمد شرکتها تبدیل شدهاست. حقیقت این است که ما نمیتوانیم همهچیز را بومیسازی کنیم. نیروی متخصص انسانی که پشت یک محصول قرار میگیرد در همهجا وجود ندارد. تاکنون هم بهندرت در حوزه آیتی محصول موفق قابل رقابت و مقایسهای با نمونههای خارجی آن داشتهایم. پس به جای اینکه همهچیز را بومیسازی کنیم بهتر است خود را در یکسری موارد محدودتری به این درجه برسانیم ور همان تعداد اندک، تولید بومیمان را به سطح صادرات برسانیم و بر کیفیت آن بیفزاییم. الزاماتی هم که دستگاههای دولتی در قالب بخشنامه برای استفاده از محصول بومی دریافتمیکنند، فایدهای ندارد و صرف یک ابلاغیه مسئولیت تامین امنیت دستگاهی را که به آن محصول تجهیز شده از مشتری نمیگیرد. افزایش کمیتی که در آن، خبری از کیفیت نباشد به رشد بومیسازی کمکی نمیکند. در حال حاضر در بومیسازیهایمان به بلوغ نرسیدیم و راهکارهای بومی ما کافی نیستند.
صالحی: در شرایطی که محصول بومی در سطح جهانی نداریم، شاید بهتر باشد که از عبارت محصولات توسعهیافته در داخل به جای واژه بومی برای آنها استفاده کنیم. وقتی که بتوانیم تکنولوژی محصول را از آن خود کنیم شاید بتوانیم ام آنرا محصول بومی امن بگذاریم. مسائل متعددی براای محصولات بومی ما مطرح هستند، مثلا آسیبپذیریهای موجود در آنها چگونه پایش میشود. تاکنون گزارشهای امنیتی که آسیبپذیریهای موجود در محصولات را ارائه دهد در مورد کدام یک از محصولات داخلی خود دیدهایم در صورتی که این موضوع برای محصولات امنیتی خارجی یک روال است.
کیاییفر: محصولات ما هنوز به بلوغ کامل نرسیدهاند. بله، ما اصلا بر روی محصولات بومی خود گزارش آسیبپذیری نداریم. یک ذهنیت هم وجود دارد که سازندگان داخلی الگوریتمهای امنیتی خود را لو نمی دهند و تصور میکنند با این کار امنیت را افزایش میدهند درصورتی که باید این الگوریتمها باید توسط هکرها تست شود و آسیبپذیریهایش قبل از آنکه برای مشتریانشان اتفاقات جدیتری بیفتد برطرفشود.
ما امروزه در کشورمان تجهیزات نظامی خوبی اعم از موشک و غیره داریم، اما صفر تا صد آنها ساخت خودمان نیست، بلکه چیزهایی را هم از کشورهایی که در گفتمان سیاسی و روابط بینالمللی ادبیات و منافع نزدیکتری به ما دارند وارد میکنیم. در اینجا میخواهم به راهکار سوم اشاره کنم. در دنیای امنیت مدلی به نام زیروتراست داریم که به هیچ پروتکلی اعتماد نمیکند. ما هم میتوانیم برمبنای این مدل پیش برویم، یعنی خود را از محصولات برتر خارجی محروم نکنیم. از آنها استفاده کنیم اما کاملا مراقب آنها باشیم و دائم آنها را پایش کنیم. در کنار آنها هم در زیرساختهای حیاتی محصولات تراست مانند محصولات چین و روسیه را قرار دهیم تا امنیت را در لایههای مختلف، ارتقا دهیم.
احمدی: البته صرف داشتن یکسری منافع مشترک نمیتواند استفاده از محصولات برفرض چینی یا روسی را هم برای ما به گزینهای ایدهآل تبدیل کند. ما باید شبکه را طوری بچینیم که اگر محصول مورد استفاده در آن، چه داخلی و چه خارجی، دچر مشکلی شد بتوانیم بهراحتی و ایجاد اختلال در سایر اجزای شبکه آن را تعویض کنیم. پاکسازی از ترس اینکه شاید این محصول دچار اختلال یا تحریم یا مواردی از این دست شود معقول نیست. هزینهای که برای خرید این محصولات شدهاست نمیتوان نادیده گرفت. پس باید شبکه را درست طراحی کرد.
سازمان مسئول حفظ منافع خود است. من بهعنوان کسی که در یک سازمان، فعال هستم در قبال آن مسئولیت دارم. من طرفدار محصول داخلی یا خارجی و .... نیستم بلکه من طرفدار سازمانم هستم با هرآنچه که سازمانم را به خطر بیندازد موافق نیستم، چه تولید داخل و چه تولید خارج.
کیاییفر: قطعا نمیتوان به چین و روسیه هم به تنهایی متکی بود. نمود آن را در مورد برند هوآوی دیدیم که چگونه آمریکا توانست با فشار بر این برند در روابط تجاریاش مداخله کند. محصولات بومی هم ابتدا باید در جاهایی که حساسیت کمتری دارند کمکم استفادهشوند تا به بلوغ برسند و ایرادهای خود را کاهش دهند. استفاده از آنها باید مرحله به مرحله باشد. ابتدا در جاهایی که حساسیت کمتری دارند قرار گیرند و پس از بلوغ در سازمانهای اینترپرایز و حساس.
صالحی: در این پنل کوشیدیم تا اشارهای داشتهباشیم به اینکه در هرصورت باید با در نظر گرفتن شرایط و وضعیت موجود، بهترین گزینههای که برای کاستن از دغدغه امنیت سایبری پیش رو داریم چه چیزهایی هستند.