در تمام دنیا این یک اصل پذیرفتهشده است که انحصار در حوزه امنیت خودش ضدامنیت است و در دنیا موردی نداریم که دولت الزامی کردهباشد که همه سازمانهای دولتی از برند خاص استفادهکنند.
۰
اما و اگرهای الزامیشدن یک آنتیویروس ایرانی در بخش دولتی- قسمت اول
ناامنی ارمغان انحصار در حوزه امنیت است
اختصاصی افتانا
در تمام دنیا این یک اصل پذیرفتهشده است که انحصار در حوزه امنیت خودش ضدامنیت است و در دنیا موردی نداریم که دولت الزامی کردهباشد که همه سازمانهای دولتی از برند خاص استفادهکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بحث الزامی شدن استفاده از آنتیویروس بومی در بخش دولتی با واکنشهای متفاوتی همراه بود. البته بهدلیل محرمانه بودن بخشنامه دولت، ظاهرا کسی آن را ندیدهاست؛ ولی همه کمابیش از مفاد آن آگاه هستند. دکتر علیرضا صالحی، مدیرعامل هلدینگ دیدهبان میزبان مهندس سید عباس حسینی، مدیرعامل شرکت امنپرداز، مهندس علی کیاییفر، مدیر توسعه محصول شرکت مدبران، مهندس حمید بابادینیا، مدیرعامل گیلاس کامپیوتر در یک میزگرد بود تا این موضوع از دیدگاه فنی و مدیریتی بررسی شود. در ادامه، بخش اول این میزگرد را بخوانید.
صالحی: مهمترین دغدغهای که میبینیم درباره این بخشنامه وجود دارد آن است که با این بخشنامه که انحصار یکجانبهای ایجاد شدهاست، حتی نه انحصار دو یا چندجانبه بلکه انحصار یکجانبه و این میتواند خیلی آسیبزا باشد.
حسینی: باید ببینیم مولفههایی که برای ایجاد انحصار تعریف میشود در این مورد وجود دارد یا نه. ما میدانیم که فعلا محصول داخلی دومی وجود ندارد. درواقع دولت بین چند محصول داخلی یک محصول را انتخاب نکردهاست و تنها محصول داخلی موجود را انتخاب کردهاست و بازار خودش را به آن محصول اختصاص دادهاست. از بعد محصولات خارجی هم ما هیچ محصول خارجی نداریم که تعهدات و الزامات موجود در سرویس خود را برای کشور ما پیادهسازی کند. ما نمایندگیهای غیررسمی داریم که محصول را باواسطه و حتی گاهی با بیش از یک واسطه میخرند. مهمترین موضوع در این صنعت، پشتیبانی است؛ یعنی خود محصول اساسا قیمتی ندارد و حتی میتوان محصول را بهصورت رایگان در دسترس داشت. ما در بین تمام محصولات خارجی محصولی را نداریم که وقتی مرکز راهبردی افتا الزامات ارائه گواهینامه به سرویسهای خارجی را اعلام کرد، آن شرایط را احراز کردهباشند و مجوز گرفتهباشند. از طرفی این تجربه را از حملات سایبری در داخل کشور داریم که نمایندههای داخلی هم در قبال مسئولیتی که از ناحیه استفاده از محصولات خارجی باید برعهده آنها باشد قادر به پاسخگویی نیستند.
صالحی: شما فکر میکنید با این انحصار چنین مشکلاتی برطرف میشود؟
حسینی: میخواهم بگویم از بعد محصول، انحصاری بهوجود نیامدهاست. درواقع ما محصولی نداشتهایم. ما یک بازار غیررسمی داشتهایم که محصولات خارجی بدون اینکه مسئولیتی را قبول کنند فقط از سود آن بهرهمیبردهاند. مسئولیت در بازار دولت قطعا با دولت بودهاست و دولت اکنون مسئولیتش را متناسب با اختیاری که داشت بر عهده خودش گرفت تا تبعات مسئله امنیت در شبکه مجازی سازمانهای دولتی بر شانه خودش باشد. اگر محصول دومی ایرانی یا حتی محصول خارجی هم میتواند بیاید این الزامات را انجام دهد. الزامات هم موضوعات جدیدی نیستند، مثلا همین الان در انگلیس، روسیه، اتحادیه اروپا این الزامات وجود دارند. وقتی شما میخواهید چنین سرویسی ارائه دهید در خیلی از کشورها باید سرور خود را به آن کشور انتقال دهید. قوانینی را که رگولاتوری تصویب میکند باید عینا در آنجا پیاده کنید. از همه مهمتر مسائل مربوط به پشتیبانی است. درواقع من معتقدم که در این بحث فعلا محصول دومی وجود ندارد. محصولاتی که بودهاند غیررسمی کار میکردهاند و من ندیدهام هیچ نمایندگی هم ادعا کند ما نماینده رسمی هستیم. البته یکی دو محصول غیرمشهور هستند که این کار را میکنند، ولی بهطور مشخص محصولی مانند کسپرسکی، اسم ایران را حذف کردهاست.
بابادینیا: من بخش زیادی از صحبتهای مهندس حسینی را قبول دارم و میپذیریم که بهخاطر خلاءهای قانونی و مشکلات ناشی از تحریم و عدم همکاری شرکتهای ارائهکننده آنتیویروسهای خارجی با پلیس فتا دارند، دغدغههایی هست. ما چند سال قبل با کسپرسکی جلسهای داشتیم که آن زمان همکاری نکردند، اما بعدها به نوعی همکاری کردند. اینها از کوچکترین کار مثل گذاشتن اسم ایران بهعنوان نماینده در سایتشان ممانعت میکنند. موافقام که نبود نرمافزارهای خارجی به معنی واقعی کلمه در بازار ایران و عدم همکاری با توجه به خواستههای سیستم حاکمیت ما، باعث صدور چنین بخشنامهای شدهاست. تفسیر مهندس حسینی از انحصار به یک طریقی درست است. ما ظاهر را میبینیم که این محصول الزامی شدهاست، ولی واقعا هم محصول دومی وجود ندارد و میشود تعبیر ایشان را پذیرفت. حالا با فرض انحصاری بودن این محصول، من بهعنوان کسی که مسئولیت کمسیون افتا را در دو دوره داشتهام هیچ مخالف این قضیه نیستم، ولی با سازوکار آن کمی مسئله دارم.
هر حاکمیتی در هر کشوری میخواهد یکسری کنترلها داشتهباشد و مایل است در یکجا از یک محصول استفاده کند که آن را تحت کنترل بگیرد. این یک خواسته حاکمیتی قابل احترام است. بار خیلی از مسائل پشتیبانی را بهدلیل وجود مهندسی خوب حوزه امنیت، شرکتهای داخلی در غیاب شرکتهای خارجی به دوش میکشند. کمااینکه ما در ایران خیلی از شرکتهای آمریکایی را که نباید در ایران سرویس دادهشوند پشتیبانی میکنیم، بنابراین تاکنون این کار را کردهاند و از این به بعد هم اینگونه است. خوشبختانه ما مشکل خاصی برای پشتیبانی نداشتهایم. چیزی که اینجا مطرح است اینکه ما برای محول کردن چنین قضیه بزرگی، شکل حمایتمان اشتباه است؛ یعنی من انتظار دارم که شخص وزیر یا مسئولان دغدغهمند این حوزه که مسائل حاکمیتی را مطرح میکنند، حمایت بهموقع و بهجا داشتهباشند. فکر میکنم حدود سه سال پیش بود- زمانی که مهندس حسینی در اوج مشکلات بودند، هیچگونه حمایتی از ایشان نمیشد. من آن زمان دغدغه ایشان را با تمام وجود لمس میکردم. دنبال راهکاری بودیم که بتوانیم به گونهای مشکل ایشان را حل کنیم. آن موقع که این محصول نیاز به حمایت در بخش توسعه داشت هیچ حمایتی نشد. حمایت از شخص کارآفرینی مثل مهندس حسینی که یک محصول ایرانی را در زمینه آنتیویروسها ارائه داهاست کاری بهجاست، اما این شکل حمایت به نظر من نادرست و دور از اصول مهندسی است. این شکل حمایت، من را به یاد حمایت از صنایع خودروسازی میاندازد. من اگر جای دوستان بودم از آقای حسینی میپرسیدم که دغدغههایش برای اینکه بخواهد چنین مسئولیت بزرگی را بر عهده بگیرید، چیست؟ در حوزه پشتیبانی لجستیک و منابع انسانی چه مشکلاتی دارد؟ برای اینکه این محصول را در تعاملات بینالمللی مطرح کنید، چه دغدغهای دارد؟ برای اینکه آن را در بازارهای بینالمللی ببرد چه هزینههایی را باید متقبل شود؟
یک فرد کارآفرین و فنی مثل مهندس حسینی میخواهد این محصول را از مرزهای این کشور به بیرون ببرد. این محصول باید به قول معروف محک بخورد و اشکالات آن در بیاید. صد درصد، حفرههای امنیتی و آسیبپذیریهایی دارد که باید توسط کارشناسان حوزه امنیت شناسایی شود. به تیم امنیت ایشان گزارش شود و ایشان سیستم خود را بهطور مرتب بهینهسازی کند. حمایت باید در این بخش و به این شکل باشد.
صالحی: دوباره به این موضوع برمیگردیم و مفصلتر بحث میکنیم. در اینجا نظر مهندس کیاییفر را بشنویم که احتمالا خیلی موافق نیستند.
کیاییفر: قبل از هرچیز باید بگویم اینکه یک شرکت موفق شدهاست یک محصول بومی در حوزه آنتیویروس بومی تولید کند بسیار ارزشمند است. اگر هم انتقادی وجود دارد به نحوه حمایت دولت از این محصولات است. در مورد اینکه مهندس حسینی معتقدند آنتیویروسهای خارجی پشتیبانی ندارند و از این جهت ممکن است در نقاط بحرانی دست ما زیر سنگ باشد و نتوانیم از خدمات خارجی استفادهکنیم، جامعه آیتی ما به این قضیه عادت کردهاست؛ از سرور تا سیستمعامل و اپلیکیشنهای کاربردی آفیس تا بالاتر از آن در استفاده از اینترنت و استفاده از مقالات دانشگاهی و غیره ما همیشه تحریم بودهایم. اکنون تعداد زیادی ادمین در کشور داریم که از محصولات مایکروسافت استفاده میکنند و این دانش را کسب کردهایم که بدون پشتیبانی از مایکروسافت بهره بگیریم. در حوزه آنتیویروس هم دقیقا به همین شکل است. درباره آنتیویروس فقط موضوع محروم شدن از یکسری خدمات شرکت تولیدکننده مطرح نیست. طبق معماری امنیت سازمان در دسترس بودن سرویس هم نکته مهمی است. در صنایع مختلف، مراکز حساس و کلیدی زیادی داریم که در آنها به استفاده از یک محصول نابالغ مثل پادویش حتی نمیتوانیم فکر هم بکنیم.
نکته دیگر اینکه اشاره کردید انحصاری برای پادویش نیست. اگر نامه وزیر را خواندهباشید دقیقا بر اسم پادویش و ویژگیهای آن تاکید شدهاست. انحصار واقعا بر روی پادویش وجود دارد. بیاییم تمام اجزا از سرور و سیستمعامل تا اپلیکشینهای کاربردی و آنتیویروس، فایروال و همه را بومیسازی کنیم. بومیسازی شعار خیلی قشنگی است، اما آیا باید همه چرخها را از اول بسازیم؟ آن هم به شکل مربع؟!
ما چرا بومیسازی میکنیم؟ معمولا بومیسازی را دو جا باید انجام دهیم؛ یکی آنجا که توجیه اقتصادی داشتهباشد، مثلا وقتی یک محصول خارجی خیلی گران است و میبینیم اگر همان محصول را در داخل کشور بومیسازی کنیم با قیمت تمامشده پایینتر بهدست مصرفکننده میرسد. درواقع مزیت نسبی ایجاد کنیم. در حوزه فناوری اطلاعات، غالبا نمیتوانیم محصولی را با قیمت تمامشده کمتر تولید کنیم. عمدهترین مشکلمان هم کپیرایت است. در ایران کپیرایت نداریم و شما هر محصولی را تولید کنید چون نمونه خارجی بهصورت کرکشده در دسترس است نمیتوانید با آن رقابت کنید. مورد دومی که باید سراغ بومیسازی برویم، بحث توجیه استراتژیکی است؛ یعنی تولید بومی این محصول قیمت بالایی خواهد داشت، اما بهدلیل اهمیت استراتژیکی که دارد باید آن را تولید کنیم. اتفاقا من موافقام که آنتیویروس جزو محصولات استراتژیک است و باید تولید بومی داشتهباشد؛ مثل UTM که تولید کردیم، اما خیلی اوقات استدلال میشود که باید کشوری مثل چین را الگو قرار دهیم. امروزه در چین هیچ محصولی نداریم که بومی نشدهباشد؛ اما آیا چین الگوی مناسبی برای ما است؟ چین با یکمیلیارد نفر جمعیت به اندازه جمعیت تهران، کارشناس آیتی دارد و در هر حوزهای اعم از نرمافزار، سختافزار، بلاکچین، هوش مصنوعی و موبایل و ... متخصص دارند که میتوانند در یک حوزه و بومیسازی متمرکز شوند. ما چنین امکاناتی نداریم. تعداد متخصصانمان محدودند. بازارمان هم محدود است. چین اگر محصولی را تولید کند یک بازار یکمیلیاردی دارد که کافی است مصرفکننده آن محصول باشند، اما ما این ظرفیت را در کشور نداریم که همهچیز را از اول اختراع کنیم. ضمن اینکه این کار اصولا غلط است.
دنیا اکنون دنیایی نیست که هر کشوری خودش هر چیزی را از آغاز اختراع کند که دیگران اختراع کردهاند. اگر قرار باشد این فرایند ادامه پیدا کند ما همیشه عقب هستیم. دانشمندان در دنیای امروز روی دوش همدیگر سوار میشوند و نتایج تحقیقات و دستاوردهای یکدیگر را تکمیل میکنند و توسعه می دهند و فناوری را به پیش می برند. پس باید محصول استراتژیک را انتخاب کنیم که آنتیویروس هم یکی از این محصولات است. بحث من بیشتر روی نحوه حمایت از آنتیویروس داخلی بود.
صالحی: آقای بابادینیا شما چقدر با نظر مهندس کیاییفر موافقاید که ما در تولید آنتیویروس مزیت نسبی نداریم؟ اصلا چرا باید بهجای محصولاتی که ممکن است احتمالا مزیتهایی در آنها داشتهباشیم روی چنین محصولی تاکید کنیم؟
بابادینیا: مزیت نسبی ما نیروهای متخصصمان هستند. نیروهای مهندسی که توانایی نوشتن برنامهها را دارند، کدنویسی بلدند و پایه فنی خوبی دارند. آدمهای هوشمندی هستند. ما در این حوزه مزیت نسبی داریم.
مهندس کیاییفر میگویند که آیا واقعا میتوانیم با این محصول وارد تعاملات بینالمللی شویم؟ آیا میتوانیم محصولی تولید کنیم که با کسپرسکی یا موارد مشابه رقابت کند؟ صد البته، تیم آقای حسینی در این مقطع به این فکر نیستند، ولی چیزی که وجود دارد این است که من به این محصول اعتقاد دارم. من معتقدم ما یک محصول استراتژیک آنتیویروس بومی را نیاز داریم. کمااینکه تمام کشورهای پیشرفته چنین محصولی را دارند. ما هم ادعا داریم که میتوانیم جزو کشورهای پیشرفته منطقه باشیم، بنابراین باید به این سمت برویم. البته من درباره سازوکار رفتن به سمت آن، حرف دارم. شیوه کار مانند حمایت از صنعت خودروسازی است که اگر کارساز بود ایرانخودرو تا الان خیلی پیشرفت کردهبود و لااقل میتوانست با هیوندای کره رقابت کند. هیوندا چطور هیوندا شد؟ بهخاطر اینکه اجازه دادند در همان بازار کره با بنز و ماشینهای تراز اول اروپا حضور پیدا کنند و بتوانند در تعامل بینالملل ضعفهای خود را پیدا کنند. هیچوقت هم بازار آمریکا بر روی برندی همچون هیوندا بسته نبود و اجازه عرض اندام دادند. آنها وقتی توانستند با برندهای جهانی رقابت کنند توانستند عرض اندام کنند.
بحث این است که من فکر میکنم خود مهندس حسینی اگر بخواهند واقعبینانه به این مسئله نگاه کنند که آیا همین حالا میتوانند مسئولیت تمام ویروسهای کامپیوتری را در کشور برعهده بگیرند؟ آیا مجموعه شما نیروهای لازم پشتیبانی و فنی را دارد؟
از یک طرف، خود من هم از نحوه پشتیبانی نرمافزارهای خارجی دلخورم؛ از نحوه تعاملاتشان با مهندسان ایرانی و نمایندگیهایی که چندین و چند سال با آنها کار کردهاند، دلخورم. چون واقعا پشتیبانی خوبی به ما ندادهاند. همانطور که مهندس حسینی گفتند در بحثهای فنی، تمام این بار بر دوش بچههای فنی ایرانی بودهاست. از یک طرف راضی به حذف این خارجیها هستم، اما از یک طرف هم دوست ندارم طوری شود که یک مجموعه تلاشگر ایرانی و فردی مثل مهندس حسینی در یک رقابت نابرابر با آنها قرار گیرد. باید این حمایت صورت گیرد، اما به شکلی درست که ایشان بیاید بگوید من مینیمومهای لازم را برای رقابت با اینها و ایستادن جلوی آنها در تعاملات اولیه دارم. این هم یک فرایند زمانبر است. نمیتوان یکشبه همه درها را ببندیم و بگذاریم پادویش برود داخل گود. باید در یک روند آرام پایلوت کنیم، یعنی یک سازمان یا یک وزارتخانه را انتخاب کنیم و کمکم پادویش استفاده شود و مورد آزمون قرار گیرد. باید تست بخورد و ورژنهای جدید آن بیرون بیاید. تیم فنی آن قوی شود. شرکت بتواند در استانها بر اساس معیارهای صحیح مهندسی حضور یابد، نه اینکه بگوید من در اصفهانم و نماینده دارم، بلکه باید واقعا خود پادویش حضور داشتهباشد. نیروهای فنی آن حضور داشتهباشند و بتوانند مسائل و مشکلات را بگیرند و در یک بازه زمانی مشخص پاسخگویی کنند.
این فرایند به نظر من با چنین بخشنامههایی با مشکل روبرو میشود. مضافا اینکه ما مشابه این بخشنامه را در بحث فایروالهای بومی هم داشتهایم. وقتی کسی در این مورد میپرسد میگویم که چون بازار و نیاز آن را تحلیل نکردیم و اینکه ما در چه حوزههایی میتوانیم از تجهیزات بومی استفادهکنیم و یکباره فایروال بومی را بخشنامه کردیم موفق نشد. خود دوستانی که بخشنامه زدهبودند خودشان مناقصه برگزار میکردند و محصولات خارجی میخریدند. اکنون نیز شرکت زیرساخت و ارگانهای دولتی شروع کردند به مناقصه آنتیویروس و خریدشان را قبل از آنکه بخشنامه بهدستشان برسد قطعی کردند و آنتیویروس را میخرند. مگر شرکت زیرساخت و آقای جهرمی دو نقطه مقابل هستند؟ بخشی فنی آن است که خط میدهد. به نظر در جایگاه یک مسئول صنفی که وظیفهاش حمایت از کسی مثل مهندس حسینی و شرکت ایشان است؛ این شیوه حمایت درست نیست و ممکن است درنهایت ضربه سنگینی به شرکت ایشان بزند. اگر این محصول نتواند خود را به بازار جهانی برساند شاید اصلا نتواند در همین ایران هم بازار خود را داشتهباشد.
صالحی: بله. قبل از اینکه به بازار جهانی برسیم، بازار خودمان مهم است. آقای مهندس حسینی فکر میکنید حمایت لازم را برای یافتن بازار گرفتهاید یا شما هم موافق بازار به این شکل نیستید؟
حسینی: ما طبق یکسری واقعیتها صحبت میکنیم. وقتی مقایسه میکنیم باید توجه داشتهباشیم مولفههایی که با هم مقایسه میکنیم تعریفشان از اساس در کشورها متفاوت باشد و فقط دو اسم یکسان داشتهباشند، بنابراین بعضی از مسائلی که بهصورت ایدهآل مطرح میشود در کلام درست است، ولی در عمل، شکل این بازار بهصورت خاصی است و شاید در مورد نوع حمایت حرف درستی باشد و از نظر منطقی حرف کاملا صحیحی است که باید این مراحل را طی کنیم. صرفنظر از اینکه فرایندهایی در همین راستا طی شدهاست، اما خیلی از این مسائل نباید عمومی شود و طبیعی است که همه از آن باخبر نباشند؛ مثلا اکنون سه سال است که استفاده از پادویش در وزارت دفاع الزامی است و بالای هشتاد درصد وزارت دفاع از آن استفاده کردهاند. نزدیک به یکسال است که در وزارت ارتباطات الزامی شدهاست. یکسال است که نیمی از شرکت زیرساخت ملزم به کاربرد پادویش هستند. اینکه نیمی دیگر از کسپرسکی استفاده میکردهاند، همین فرایندها بودهاست که شما گفتهاید. ما الان باید نیمی را عملیاتی کنیم و بعد نیمه دیگر را. میتوانم بگویم موفقترین تجربه پادویش در دوره اخیر تجربه واناکرای بودهاست. صدماتی که برای کاربران کسپرسکی به وجود آمد برای آنهایی که از پادویش استفاده میکردند پیش نیامد. در مخابرات ایران بدون اینکه ربطی به این بخشنامه داشتهباشد و طی یک تصمیم کاملا فنی اکنون حدود یک سال و اندی است که از پادویش استفادهمیکنند. با مقایسه فنی به این نتیجه رسیدهاند که پادویش جایگزین خیلی بهتری است چون مسئله اصلی آنها، پشتیبانی است.
ما نمیخواهیم چرخ را مربع اختراع کنیم و این نگاه که به تولید ایرانی داریم متاسفانه یک نگاه فرهنگی است که خیال میکنیم اگر ما چرخ را اختراع کنیم مربع خواهدبود. خیلی از مهندسان برجسته دنیا ایرانی هستند. این هم یک تناقض است که از یک طرف میگوییم کارکنان پشتیبانی ما آنقدر قدرتمندند که بدون نیاز به شرکت سازنده به همه کشور پشتیبانی میدهند، ولی آنقدر توان مهندسی در داخل نداریم که محصول را بسازیم.
مقایسه جمعیتی هم در حوزه آیتی کار اشتباهی است. یک مرد جنگی به از صدهزار است. میبینید که گاهی یک هکر یا یک نخبه، کار برجستهای میکند. جمعیت آلمان معلوم است که چقدر است. بسیاری از مسائل امنیتی در دست آلمان است. همچنین در خود حوزه نرمافزار ما هم توجیه اقتصادی داریم و هم مزیت رقابتی. اینجا دستمزدها خیلی پایین است. متوسط قیمت تمامشده محصولی که در ایران تولید میکنیم شاید یکپنجم محصول جهانی تمام شود. مشکل فروش غیرقانونی محصولات خارجی در ایران هست. آنها نه میگذارند تولید محصول ایرانی شکل بگیرد و نه کپیرایت. خود آنتیویروسهای خارجی راه تقلب را در ایران باز کردهاند؛ ایست سریالهای فیک با شکل کاملا معتبر در بازار میفروشد و باعث میشود لایسنسش از هزار تومان تا چندصد هزار تومان فروختهشود. برخی محصولات کاملا بدون سریال فروختهمیشدند. ما آزمایشگاه داریم و تمام اینها را آزمایش کردهایم.
صالحی: یعنی شما معتقدید دادن این بازار کار درستی بودهاست؟
حسینی: من میخواهم بگویم موضوع را صفر و یکی نبینید. بیاییم راجعبه یک واقعیت عینی صحبت کنیم تا همه زوایای آن بهتر دیدهشود. امنیت در کشور در هر بخشی متولی دارد. شما در هر بخشی مسئولیتی دارید که درواقع وظایف شما را تعیین میکند. از این زاویه، دولت تجربههایی در استفاده از محصولات خارجی دارد. متخصصان توانمند ایرانی وقتی که استاکسنت آمد تا مدتها نمیدانستند موضوع چیست. وقتی هم که فهمیدند نتوانستند کاری انجام دهند. چرا؟ چون اصولا در سطح تولیدکننده نیستند. متخصصان ما در حد دکترا هم که باشند تکنسین هستند و نه تولیدکننده. اساسا من معتقدم از مفاهیم تولید صد درصد بیخبر هستند و چون مهندس بابادینیا به شرکت ما آمدهاند بهعنوان کسی که جزو قدمای بازار هستند میتوانند این را بدانند، ولی شاید مهندس کیاییفر آن را ندیدهاند. من حاضرم با تمام آنها مناظره کنم و ثابت کنم بیاطلاع هستند و حتی مفاهیم را نمیدانند. اگر بپرسیم فرق دو نوع نرمافزار از نظر تکنیکال و مهندسی چیست، قطعا نمیدانند. طبیعی هم هست که ندانند چون حوزه کاری آنها نیست. ما الان میگوییم دولت یک پارادیمی داشتهاست. پارادیم اول این است که وضعیت موجود را ادامه دهیم. نتیجهای که اتفاق میافتد این است که بازار در حال تغییر و تحول است و ما در حال عقبافتادگی هستیم. نسخههای جدید آنتیویروس میآید و سیستمعاملها تغییر میکنند، بنابراین ما شکاف را بیشتر میکنیم. از آن طرف، میخواهیم از مدل حمایتی که آنجا تجربه کردهایم استفاده کنیم، یعنی بیاییم پول تحقیقات و لجستیک را بدهیم. اولا محدودیت قانونی زیادی وجود دارد. اگر بخواهیم پولی به حسینی بدهیم هزار نهاد قانونی میآیند و میگویند چرا این پول را به دیگری نمیدهید.
محصولات خارجی در ایران با دامپینگ گسترده در حال فروش هستند. چون پشتیبانی ندارند هر پولی که میگیرند عملا سود است. حتی اگر یک سنت باشد. من معتقدم هیچ انحصاری نیست، چون در بخش تولید هیچ محصولی نبودهاست؛ از نظر فنی. در بحث فروش از ابتدا عرض کردم که ما فروشنده نیستیم. ما به دوستانی که محصول خارجی توسط آنها فروخته میشود عرض کردیم که بیایند این محصول را بفروشند. در حوزه دولت، مسئولیت امنیت آن را خود دولت قبول کردهاست و این برای فروشندگان سایر محصولات بهتر شدهاست، چون اگر در زیرساخت اتفاقی رخ دهد دیگر شرکت شما که محصولات خارجی به آنها فروختهاست مسئولیتی در این اتفاق ندارد.
صالحی: آیا شما مسئولیت میپذیرید؟
حسینی: بله. ما پذیرفتهایم. اکنون دو وزارتخانه و بالای چهارصد هزار مشترک خانگی داریم. اینکه ما فکر کنیم در سطح بعدی به این چیزها توجه نمیشود یک مقداری جفا است. ما تمام تاییدهای خارجی را داریم. اتفاقا از نظر زیرساخت بالای ۶۰ درصد الزامات را داریم و نتایج بعدی نیز خواهندآمد.
مسئله آخر هم مقایسه با صنعت خودرو است. توجه کنید که خودرو یک بازار گسسته است، اما بازار سایبر یک بازار پیوسته است. به جهت پیوستگی داده ما میتوانیم بگوییم فقط از یک محصول ایرانی استفاده کنند، ولی نمیتوانیم به تهدیدات بگوییم فقط برای ایران عمل کنند. کاربر هم نمینشیند که سیستماش آلوده شود. من به یقین میگویم که توان متخصصان ما در این حوزه برای کل بازار است. این موضوع نیاز به تعداد زیاد ندارد. اپراتورها، نصابها یا پشتیبانیکنندهها بر اساس یک استاندارد عرفی کار میکنند، یعنی اگر درباره محصول ما آموزش ببینید نود درصد مشابه محصولاتی است که اکنون کار میکنید. شاید ۱۰ درصد تفاوت داشتهباشد. بنابراین آنچه نیروی انسانی میخواهد نصب دستی است که همه تیمها انجام میدهند، اما آنجایی که پشتیبانی شرکت سازنده را میخواهد جایی است که ممکن است مشکلی پیش آید و یکمیلیون سیستم آلوده شود.
در این وضعیت ما هم یک آپدیت میدهیم و یکمیلیون سیستم پاکسازی میشود. ما امروز به این دانش رسیدهایم و با اطمینان میگوییم که شما خیالتان راحت باشد. شاید خیلی موارد بود که پادویش نگرفت، اما چندبرابر آن را کسپرسکی و یا بقیه آنتیویروسها هم نگرفتهاند. واقعیت این است که صنف با پیشرفتی که محصول داشت آشنا نیست. من فکر میکنم اگر ما بتوانیم بیشتر محصول را ارائه کنیم این آسودگی خاطر برای شما ایجاد میشود.
صالحی: آقای مهندس کیاییفر شما هم بر همین اعتقاد هستید؟
کیاییفر: چندسال پیش بخشنامهای داشتیم از سوی دولت که UTM ایرانی را برای سازمانهای دولتی الزامی کرد. درنتیجه این کار، ادمینهایی که با سیستمهای درجه یک دنیا مثل سیسکو و غیره کار میکردند با اکراه تمام ناچار شدند با این بخشنامه، یک دستگاه را از شبکه خود جدا کنند و یک دستگاه که اسم بومی روی آن بود جایگزین سازند. مثل اینکه یک نفر از بنز پیاده شده و سوار پراید شود و بخواهد به راه خودش ادامه دهد. نتیجه این شد که انتظارات را برآورده نکرد. نیمهشب هنگ میکرد و مشکلات طاقتفرسای دیگری داشت. درنتیجه یک مقاومت شدید در برابر محصول بخشنامهای ایجاد شد. با افزایش مقاومتها، بخشنامه شکسته شد. یعنی ادمینها راه دور زدن بخشنامه را یاد گرفتند. یک UTM بومی میگذاشتند و روشن میکردند و آن پشت یک UTM خارجی نصب میکردند. چون خرید UTM خارجی ممنوع شده بود در درخواست خرید عناوین مشابه دیگری مینوشتند، اما UTM خارجی میخریدند و نصب میکردند، بنابراین تا زمانی که اقناع عمومی برای متخصصان کشور ایجاد نشود هیچ محصول بخشنامهای به نتیجه نخواهدرسید، یعنی به زبان دیگر این بخشنامه بهترین روشی بود که میشد به یک محصول بومی با یک پیشرفت خوب، ضربه و آسیب زد.
بخشنامه باعث شد شک و تردید متخصصان نسبت به این محصول بومی تبدیل به خشم و نفرت شود. آقای مهندس حسینی و یا هر فرد دیگری که بخواهد محصول بومی تولید کند در همان آغاز کار، ۶ بر هیچ عقب است. چون تجربههایی که در زمینههایی بومیسازی وجود دارد ذهنیت جامعه متخصصان را نسبت به محصول بومی به شدت منفی کرده است.
اجازه دهید چند مثال تاریخی بزنم:
مثال ۱: لینوکس ملی در سال ۷۹ استارت زدهشد. گفتند چون مشخص نیست ویندوز روی سیستمهای ما و بهویژه دولت در پشت پرده چه میکند، باید خودمان یک سیستمعامل بسازیم. یک شعار قشنگ که با آن میشد کلی بودجه و حمایت دولتی هم دریافت کرد. پروژه تولید لینوکس ملی استارت زدهشد. این طرح در دانشگاه شریف با چندمیلیارد هزینه کلید خورد و قرار شد که طی برنامهای در سال ۸۴ جایگزین ویندوز در دولت شود، اما امروز نه اسمی از آن می شنویم و نه حتی سایتی وجود دارد.
مثال ۲: سال ۸۱ سیستمعامل زمین را مطرح کردند. کار این سیستمعامل دقیقا سال ۸۹ شروع شد و نسخه اولیه آن ارائه شد. وزارت ارتباطات و سازمان پدافند غیرعامل کسانی بودند که پشت این طرح بودند و روی آن سرمایهگذاری کردند. هدف این سیستمعامل هم این بود که جایگزین ویندوز شود. امروز حتی یک وبسایت از این سیستمعامل وجود ندارد و یک پروژه کاملا شکست خورده دیگر است درحالیکه زمانی زیادی هم از آن نگذشتهاست.
مثال ۳: این بار اسم پروژه عوض شد و تولید سیستمعامل امن قاصدک کلید زدهشد که الان سایت آن وجود دارد و میتوانیم به آن مراجعه کنیم. یکی از انتقادات جدی ما به محصولاتی که بهصورت بومی ارائه میشود این است که یکسری ادعاهایی میکنند که حتی نمیشود آنها را نقد کرد؛ مثلا در وبسایت همین سیستمعامل قاصدک امن نوشتهاست بدون نیاز به جداسازی شبکه اینترنت از شبکه سازمان، پنجبرابر سریعتر از ویندوز، دو برابر سریعتر از اپل!!!
من اعتقادم این است که اگر پراید میسازیم نگوییم بنز ساختهایم. بگوییم پراید است و توقع بنز برای مشتری ایجاد نکنیم. چون با این توقع وقتی مشتری سوار می شود میشود کلا ناامید میشود و پروژه شکست میخورد.
مثال ۴: بعد از اینها مروگر ملی ساینا آمد. پروژهای در سازمان فناوری اطلاعات تعریف شد. هزینه میلیاردی انجام شد. سمینار و کنفرانس هم برای آن برگزار کردند و در بخشهای خبری هم رپرتاژ رفت و بعد از مدت کوتاهی مشخص شد که این یک نسخه شخصیسازیشده از فایرفاکس است. فایرفاکس قابلیتی دارد که اجازه شخصیسازی را میدهد و میتوانید اسم و ظاهر آن را عوض کنید. حتی سایز فایل هم همان سایز فایرفاکس است. این پروژه ملی هم جمع شد.
مثالهای دیگر: بعد پروژه مرورگر ملی دوم هم سر درآورد. بعد هم ایمیل ملی، ذخیرهساز ملی، WAF ملی، UTM ملی آمدند؛ اما اکنون هیچ خبری از خیلی از آنها نیست و حالا هم آنتیویروس ملی!
این همه پروژه شکست خورده ملی با صرف این همه هزینه نشان میدهد قطعا یک جای کار میلنگد. من به وزارت ارتباطات پیشنهاد میکنم یک سمینار برای بررسی علل شکست پروژههای بومیسازی برگزار کند و به تحلیل عمق ماجرا بپردازد تا در پروژههای آتی کمتر دچار شکستهای مشابه شویم.
در مورد آنتیویروس ملی هم همین است. ما اولینبار نیست که آنتیویروس بومی تولید میکنیم. قبلا هم آنتیویروسهایی مثل ایمن، سورنا، ققنوس تولید کردهبودیم و همگی به نقطه مشترک شکست منتهی شدهبودند و حالا هم از پادویش سخن میگوییم. اگر به تاریخچه این قضایا نگاه کنیم، ذهنیت جامعه متخصصان درباره محصولات بومی بهخصوص در حوزه امنیت بهشدت منفی است. اکنون هم یک بخشنامه روی میز ادمینهای سازمانها آمدهاست. آنها با نگرانی با ما تماس میگیرند و میگویند با این بخشنامه چه کنیم؟ اصلا از کجا معلوم پادویش تا سال دیگر سرجایش باشد. میپرسند کدام مرجع استانداردی این محصول را تست کردهاست؟ به نظر من، شما و دولت، این نگرانیهای بهحق را ارزیابی نکردهاید. این دغدغهها را ندیده گرفتید و صرفا از یک زاویه به قضیه نگاه کردهاید. این قضیه را بهصورت بخشنامه ارسال کردید و یک مقاومت شدید به وجود آوردید.
متخصصان احساس میکنند این بخشنامه، شعور فنی آنها را نادیده گرفتهاست. این مقاومت شدید بالاخره شکسته خواهدشد. حیف است پادویش در برابر این همه مقاومتی که هست یکمرتبه از بین برود. من فکر میکنم جای رشد زیادی وجود دارد.
ادامه دارد
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بحث الزامی شدن استفاده از آنتیویروس بومی در بخش دولتی با واکنشهای متفاوتی همراه بود. البته بهدلیل محرمانه بودن بخشنامه دولت، ظاهرا کسی آن را ندیدهاست؛ ولی همه کمابیش از مفاد آن آگاه هستند. دکتر علیرضا صالحی، مدیرعامل هلدینگ دیدهبان میزبان مهندس سید عباس حسینی، مدیرعامل شرکت امنپرداز، مهندس علی کیاییفر، مدیر توسعه محصول شرکت مدبران، مهندس حمید بابادینیا، مدیرعامل گیلاس کامپیوتر در یک میزگرد بود تا این موضوع از دیدگاه فنی و مدیریتی بررسی شود. در ادامه، بخش اول این میزگرد را بخوانید.
صالحی: مهمترین دغدغهای که میبینیم درباره این بخشنامه وجود دارد آن است که با این بخشنامه که انحصار یکجانبهای ایجاد شدهاست، حتی نه انحصار دو یا چندجانبه بلکه انحصار یکجانبه و این میتواند خیلی آسیبزا باشد.
حسینی: باید ببینیم مولفههایی که برای ایجاد انحصار تعریف میشود در این مورد وجود دارد یا نه. ما میدانیم که فعلا محصول داخلی دومی وجود ندارد. درواقع دولت بین چند محصول داخلی یک محصول را انتخاب نکردهاست و تنها محصول داخلی موجود را انتخاب کردهاست و بازار خودش را به آن محصول اختصاص دادهاست. از بعد محصولات خارجی هم ما هیچ محصول خارجی نداریم که تعهدات و الزامات موجود در سرویس خود را برای کشور ما پیادهسازی کند. ما نمایندگیهای غیررسمی داریم که محصول را باواسطه و حتی گاهی با بیش از یک واسطه میخرند. مهمترین موضوع در این صنعت، پشتیبانی است؛ یعنی خود محصول اساسا قیمتی ندارد و حتی میتوان محصول را بهصورت رایگان در دسترس داشت. ما در بین تمام محصولات خارجی محصولی را نداریم که وقتی مرکز راهبردی افتا الزامات ارائه گواهینامه به سرویسهای خارجی را اعلام کرد، آن شرایط را احراز کردهباشند و مجوز گرفتهباشند. از طرفی این تجربه را از حملات سایبری در داخل کشور داریم که نمایندههای داخلی هم در قبال مسئولیتی که از ناحیه استفاده از محصولات خارجی باید برعهده آنها باشد قادر به پاسخگویی نیستند.
صالحی: شما فکر میکنید با این انحصار چنین مشکلاتی برطرف میشود؟
حسینی: میخواهم بگویم از بعد محصول، انحصاری بهوجود نیامدهاست. درواقع ما محصولی نداشتهایم. ما یک بازار غیررسمی داشتهایم که محصولات خارجی بدون اینکه مسئولیتی را قبول کنند فقط از سود آن بهرهمیبردهاند. مسئولیت در بازار دولت قطعا با دولت بودهاست و دولت اکنون مسئولیتش را متناسب با اختیاری که داشت بر عهده خودش گرفت تا تبعات مسئله امنیت در شبکه مجازی سازمانهای دولتی بر شانه خودش باشد. اگر محصول دومی ایرانی یا حتی محصول خارجی هم میتواند بیاید این الزامات را انجام دهد. الزامات هم موضوعات جدیدی نیستند، مثلا همین الان در انگلیس، روسیه، اتحادیه اروپا این الزامات وجود دارند. وقتی شما میخواهید چنین سرویسی ارائه دهید در خیلی از کشورها باید سرور خود را به آن کشور انتقال دهید. قوانینی را که رگولاتوری تصویب میکند باید عینا در آنجا پیاده کنید. از همه مهمتر مسائل مربوط به پشتیبانی است. درواقع من معتقدم که در این بحث فعلا محصول دومی وجود ندارد. محصولاتی که بودهاند غیررسمی کار میکردهاند و من ندیدهام هیچ نمایندگی هم ادعا کند ما نماینده رسمی هستیم. البته یکی دو محصول غیرمشهور هستند که این کار را میکنند، ولی بهطور مشخص محصولی مانند کسپرسکی، اسم ایران را حذف کردهاست.
بابادینیا: من بخش زیادی از صحبتهای مهندس حسینی را قبول دارم و میپذیریم که بهخاطر خلاءهای قانونی و مشکلات ناشی از تحریم و عدم همکاری شرکتهای ارائهکننده آنتیویروسهای خارجی با پلیس فتا دارند، دغدغههایی هست. ما چند سال قبل با کسپرسکی جلسهای داشتیم که آن زمان همکاری نکردند، اما بعدها به نوعی همکاری کردند. اینها از کوچکترین کار مثل گذاشتن اسم ایران بهعنوان نماینده در سایتشان ممانعت میکنند. موافقام که نبود نرمافزارهای خارجی به معنی واقعی کلمه در بازار ایران و عدم همکاری با توجه به خواستههای سیستم حاکمیت ما، باعث صدور چنین بخشنامهای شدهاست. تفسیر مهندس حسینی از انحصار به یک طریقی درست است. ما ظاهر را میبینیم که این محصول الزامی شدهاست، ولی واقعا هم محصول دومی وجود ندارد و میشود تعبیر ایشان را پذیرفت. حالا با فرض انحصاری بودن این محصول، من بهعنوان کسی که مسئولیت کمسیون افتا را در دو دوره داشتهام هیچ مخالف این قضیه نیستم، ولی با سازوکار آن کمی مسئله دارم.
هر حاکمیتی در هر کشوری میخواهد یکسری کنترلها داشتهباشد و مایل است در یکجا از یک محصول استفاده کند که آن را تحت کنترل بگیرد. این یک خواسته حاکمیتی قابل احترام است. بار خیلی از مسائل پشتیبانی را بهدلیل وجود مهندسی خوب حوزه امنیت، شرکتهای داخلی در غیاب شرکتهای خارجی به دوش میکشند. کمااینکه ما در ایران خیلی از شرکتهای آمریکایی را که نباید در ایران سرویس دادهشوند پشتیبانی میکنیم، بنابراین تاکنون این کار را کردهاند و از این به بعد هم اینگونه است. خوشبختانه ما مشکل خاصی برای پشتیبانی نداشتهایم. چیزی که اینجا مطرح است اینکه ما برای محول کردن چنین قضیه بزرگی، شکل حمایتمان اشتباه است؛ یعنی من انتظار دارم که شخص وزیر یا مسئولان دغدغهمند این حوزه که مسائل حاکمیتی را مطرح میکنند، حمایت بهموقع و بهجا داشتهباشند. فکر میکنم حدود سه سال پیش بود- زمانی که مهندس حسینی در اوج مشکلات بودند، هیچگونه حمایتی از ایشان نمیشد. من آن زمان دغدغه ایشان را با تمام وجود لمس میکردم. دنبال راهکاری بودیم که بتوانیم به گونهای مشکل ایشان را حل کنیم. آن موقع که این محصول نیاز به حمایت در بخش توسعه داشت هیچ حمایتی نشد. حمایت از شخص کارآفرینی مثل مهندس حسینی که یک محصول ایرانی را در زمینه آنتیویروسها ارائه داهاست کاری بهجاست، اما این شکل حمایت به نظر من نادرست و دور از اصول مهندسی است. این شکل حمایت، من را به یاد حمایت از صنایع خودروسازی میاندازد. من اگر جای دوستان بودم از آقای حسینی میپرسیدم که دغدغههایش برای اینکه بخواهد چنین مسئولیت بزرگی را بر عهده بگیرید، چیست؟ در حوزه پشتیبانی لجستیک و منابع انسانی چه مشکلاتی دارد؟ برای اینکه این محصول را در تعاملات بینالمللی مطرح کنید، چه دغدغهای دارد؟ برای اینکه آن را در بازارهای بینالمللی ببرد چه هزینههایی را باید متقبل شود؟
یک فرد کارآفرین و فنی مثل مهندس حسینی میخواهد این محصول را از مرزهای این کشور به بیرون ببرد. این محصول باید به قول معروف محک بخورد و اشکالات آن در بیاید. صد درصد، حفرههای امنیتی و آسیبپذیریهایی دارد که باید توسط کارشناسان حوزه امنیت شناسایی شود. به تیم امنیت ایشان گزارش شود و ایشان سیستم خود را بهطور مرتب بهینهسازی کند. حمایت باید در این بخش و به این شکل باشد.
صالحی: دوباره به این موضوع برمیگردیم و مفصلتر بحث میکنیم. در اینجا نظر مهندس کیاییفر را بشنویم که احتمالا خیلی موافق نیستند.
کیاییفر: قبل از هرچیز باید بگویم اینکه یک شرکت موفق شدهاست یک محصول بومی در حوزه آنتیویروس بومی تولید کند بسیار ارزشمند است. اگر هم انتقادی وجود دارد به نحوه حمایت دولت از این محصولات است. در مورد اینکه مهندس حسینی معتقدند آنتیویروسهای خارجی پشتیبانی ندارند و از این جهت ممکن است در نقاط بحرانی دست ما زیر سنگ باشد و نتوانیم از خدمات خارجی استفادهکنیم، جامعه آیتی ما به این قضیه عادت کردهاست؛ از سرور تا سیستمعامل و اپلیکیشنهای کاربردی آفیس تا بالاتر از آن در استفاده از اینترنت و استفاده از مقالات دانشگاهی و غیره ما همیشه تحریم بودهایم. اکنون تعداد زیادی ادمین در کشور داریم که از محصولات مایکروسافت استفاده میکنند و این دانش را کسب کردهایم که بدون پشتیبانی از مایکروسافت بهره بگیریم. در حوزه آنتیویروس هم دقیقا به همین شکل است. درباره آنتیویروس فقط موضوع محروم شدن از یکسری خدمات شرکت تولیدکننده مطرح نیست. طبق معماری امنیت سازمان در دسترس بودن سرویس هم نکته مهمی است. در صنایع مختلف، مراکز حساس و کلیدی زیادی داریم که در آنها به استفاده از یک محصول نابالغ مثل پادویش حتی نمیتوانیم فکر هم بکنیم.
نکته دیگر اینکه اشاره کردید انحصاری برای پادویش نیست. اگر نامه وزیر را خواندهباشید دقیقا بر اسم پادویش و ویژگیهای آن تاکید شدهاست. انحصار واقعا بر روی پادویش وجود دارد. بیاییم تمام اجزا از سرور و سیستمعامل تا اپلیکشینهای کاربردی و آنتیویروس، فایروال و همه را بومیسازی کنیم. بومیسازی شعار خیلی قشنگی است، اما آیا باید همه چرخها را از اول بسازیم؟ آن هم به شکل مربع؟!
ما چرا بومیسازی میکنیم؟ معمولا بومیسازی را دو جا باید انجام دهیم؛ یکی آنجا که توجیه اقتصادی داشتهباشد، مثلا وقتی یک محصول خارجی خیلی گران است و میبینیم اگر همان محصول را در داخل کشور بومیسازی کنیم با قیمت تمامشده پایینتر بهدست مصرفکننده میرسد. درواقع مزیت نسبی ایجاد کنیم. در حوزه فناوری اطلاعات، غالبا نمیتوانیم محصولی را با قیمت تمامشده کمتر تولید کنیم. عمدهترین مشکلمان هم کپیرایت است. در ایران کپیرایت نداریم و شما هر محصولی را تولید کنید چون نمونه خارجی بهصورت کرکشده در دسترس است نمیتوانید با آن رقابت کنید. مورد دومی که باید سراغ بومیسازی برویم، بحث توجیه استراتژیکی است؛ یعنی تولید بومی این محصول قیمت بالایی خواهد داشت، اما بهدلیل اهمیت استراتژیکی که دارد باید آن را تولید کنیم. اتفاقا من موافقام که آنتیویروس جزو محصولات استراتژیک است و باید تولید بومی داشتهباشد؛ مثل UTM که تولید کردیم، اما خیلی اوقات استدلال میشود که باید کشوری مثل چین را الگو قرار دهیم. امروزه در چین هیچ محصولی نداریم که بومی نشدهباشد؛ اما آیا چین الگوی مناسبی برای ما است؟ چین با یکمیلیارد نفر جمعیت به اندازه جمعیت تهران، کارشناس آیتی دارد و در هر حوزهای اعم از نرمافزار، سختافزار، بلاکچین، هوش مصنوعی و موبایل و ... متخصص دارند که میتوانند در یک حوزه و بومیسازی متمرکز شوند. ما چنین امکاناتی نداریم. تعداد متخصصانمان محدودند. بازارمان هم محدود است. چین اگر محصولی را تولید کند یک بازار یکمیلیاردی دارد که کافی است مصرفکننده آن محصول باشند، اما ما این ظرفیت را در کشور نداریم که همهچیز را از اول اختراع کنیم. ضمن اینکه این کار اصولا غلط است.
دنیا اکنون دنیایی نیست که هر کشوری خودش هر چیزی را از آغاز اختراع کند که دیگران اختراع کردهاند. اگر قرار باشد این فرایند ادامه پیدا کند ما همیشه عقب هستیم. دانشمندان در دنیای امروز روی دوش همدیگر سوار میشوند و نتایج تحقیقات و دستاوردهای یکدیگر را تکمیل میکنند و توسعه می دهند و فناوری را به پیش می برند. پس باید محصول استراتژیک را انتخاب کنیم که آنتیویروس هم یکی از این محصولات است. بحث من بیشتر روی نحوه حمایت از آنتیویروس داخلی بود.
صالحی: آقای بابادینیا شما چقدر با نظر مهندس کیاییفر موافقاید که ما در تولید آنتیویروس مزیت نسبی نداریم؟ اصلا چرا باید بهجای محصولاتی که ممکن است احتمالا مزیتهایی در آنها داشتهباشیم روی چنین محصولی تاکید کنیم؟
بابادینیا: مزیت نسبی ما نیروهای متخصصمان هستند. نیروهای مهندسی که توانایی نوشتن برنامهها را دارند، کدنویسی بلدند و پایه فنی خوبی دارند. آدمهای هوشمندی هستند. ما در این حوزه مزیت نسبی داریم.
مهندس کیاییفر میگویند که آیا واقعا میتوانیم با این محصول وارد تعاملات بینالمللی شویم؟ آیا میتوانیم محصولی تولید کنیم که با کسپرسکی یا موارد مشابه رقابت کند؟ صد البته، تیم آقای حسینی در این مقطع به این فکر نیستند، ولی چیزی که وجود دارد این است که من به این محصول اعتقاد دارم. من معتقدم ما یک محصول استراتژیک آنتیویروس بومی را نیاز داریم. کمااینکه تمام کشورهای پیشرفته چنین محصولی را دارند. ما هم ادعا داریم که میتوانیم جزو کشورهای پیشرفته منطقه باشیم، بنابراین باید به این سمت برویم. البته من درباره سازوکار رفتن به سمت آن، حرف دارم. شیوه کار مانند حمایت از صنعت خودروسازی است که اگر کارساز بود ایرانخودرو تا الان خیلی پیشرفت کردهبود و لااقل میتوانست با هیوندای کره رقابت کند. هیوندا چطور هیوندا شد؟ بهخاطر اینکه اجازه دادند در همان بازار کره با بنز و ماشینهای تراز اول اروپا حضور پیدا کنند و بتوانند در تعامل بینالملل ضعفهای خود را پیدا کنند. هیچوقت هم بازار آمریکا بر روی برندی همچون هیوندا بسته نبود و اجازه عرض اندام دادند. آنها وقتی توانستند با برندهای جهانی رقابت کنند توانستند عرض اندام کنند.
بحث این است که من فکر میکنم خود مهندس حسینی اگر بخواهند واقعبینانه به این مسئله نگاه کنند که آیا همین حالا میتوانند مسئولیت تمام ویروسهای کامپیوتری را در کشور برعهده بگیرند؟ آیا مجموعه شما نیروهای لازم پشتیبانی و فنی را دارد؟
از یک طرف، خود من هم از نحوه پشتیبانی نرمافزارهای خارجی دلخورم؛ از نحوه تعاملاتشان با مهندسان ایرانی و نمایندگیهایی که چندین و چند سال با آنها کار کردهاند، دلخورم. چون واقعا پشتیبانی خوبی به ما ندادهاند. همانطور که مهندس حسینی گفتند در بحثهای فنی، تمام این بار بر دوش بچههای فنی ایرانی بودهاست. از یک طرف راضی به حذف این خارجیها هستم، اما از یک طرف هم دوست ندارم طوری شود که یک مجموعه تلاشگر ایرانی و فردی مثل مهندس حسینی در یک رقابت نابرابر با آنها قرار گیرد. باید این حمایت صورت گیرد، اما به شکلی درست که ایشان بیاید بگوید من مینیمومهای لازم را برای رقابت با اینها و ایستادن جلوی آنها در تعاملات اولیه دارم. این هم یک فرایند زمانبر است. نمیتوان یکشبه همه درها را ببندیم و بگذاریم پادویش برود داخل گود. باید در یک روند آرام پایلوت کنیم، یعنی یک سازمان یا یک وزارتخانه را انتخاب کنیم و کمکم پادویش استفاده شود و مورد آزمون قرار گیرد. باید تست بخورد و ورژنهای جدید آن بیرون بیاید. تیم فنی آن قوی شود. شرکت بتواند در استانها بر اساس معیارهای صحیح مهندسی حضور یابد، نه اینکه بگوید من در اصفهانم و نماینده دارم، بلکه باید واقعا خود پادویش حضور داشتهباشد. نیروهای فنی آن حضور داشتهباشند و بتوانند مسائل و مشکلات را بگیرند و در یک بازه زمانی مشخص پاسخگویی کنند.
این فرایند به نظر من با چنین بخشنامههایی با مشکل روبرو میشود. مضافا اینکه ما مشابه این بخشنامه را در بحث فایروالهای بومی هم داشتهایم. وقتی کسی در این مورد میپرسد میگویم که چون بازار و نیاز آن را تحلیل نکردیم و اینکه ما در چه حوزههایی میتوانیم از تجهیزات بومی استفادهکنیم و یکباره فایروال بومی را بخشنامه کردیم موفق نشد. خود دوستانی که بخشنامه زدهبودند خودشان مناقصه برگزار میکردند و محصولات خارجی میخریدند. اکنون نیز شرکت زیرساخت و ارگانهای دولتی شروع کردند به مناقصه آنتیویروس و خریدشان را قبل از آنکه بخشنامه بهدستشان برسد قطعی کردند و آنتیویروس را میخرند. مگر شرکت زیرساخت و آقای جهرمی دو نقطه مقابل هستند؟ بخشی فنی آن است که خط میدهد. به نظر در جایگاه یک مسئول صنفی که وظیفهاش حمایت از کسی مثل مهندس حسینی و شرکت ایشان است؛ این شیوه حمایت درست نیست و ممکن است درنهایت ضربه سنگینی به شرکت ایشان بزند. اگر این محصول نتواند خود را به بازار جهانی برساند شاید اصلا نتواند در همین ایران هم بازار خود را داشتهباشد.
صالحی: بله. قبل از اینکه به بازار جهانی برسیم، بازار خودمان مهم است. آقای مهندس حسینی فکر میکنید حمایت لازم را برای یافتن بازار گرفتهاید یا شما هم موافق بازار به این شکل نیستید؟
حسینی: ما طبق یکسری واقعیتها صحبت میکنیم. وقتی مقایسه میکنیم باید توجه داشتهباشیم مولفههایی که با هم مقایسه میکنیم تعریفشان از اساس در کشورها متفاوت باشد و فقط دو اسم یکسان داشتهباشند، بنابراین بعضی از مسائلی که بهصورت ایدهآل مطرح میشود در کلام درست است، ولی در عمل، شکل این بازار بهصورت خاصی است و شاید در مورد نوع حمایت حرف درستی باشد و از نظر منطقی حرف کاملا صحیحی است که باید این مراحل را طی کنیم. صرفنظر از اینکه فرایندهایی در همین راستا طی شدهاست، اما خیلی از این مسائل نباید عمومی شود و طبیعی است که همه از آن باخبر نباشند؛ مثلا اکنون سه سال است که استفاده از پادویش در وزارت دفاع الزامی است و بالای هشتاد درصد وزارت دفاع از آن استفاده کردهاند. نزدیک به یکسال است که در وزارت ارتباطات الزامی شدهاست. یکسال است که نیمی از شرکت زیرساخت ملزم به کاربرد پادویش هستند. اینکه نیمی دیگر از کسپرسکی استفاده میکردهاند، همین فرایندها بودهاست که شما گفتهاید. ما الان باید نیمی را عملیاتی کنیم و بعد نیمه دیگر را. میتوانم بگویم موفقترین تجربه پادویش در دوره اخیر تجربه واناکرای بودهاست. صدماتی که برای کاربران کسپرسکی به وجود آمد برای آنهایی که از پادویش استفاده میکردند پیش نیامد. در مخابرات ایران بدون اینکه ربطی به این بخشنامه داشتهباشد و طی یک تصمیم کاملا فنی اکنون حدود یک سال و اندی است که از پادویش استفادهمیکنند. با مقایسه فنی به این نتیجه رسیدهاند که پادویش جایگزین خیلی بهتری است چون مسئله اصلی آنها، پشتیبانی است.
ما نمیخواهیم چرخ را مربع اختراع کنیم و این نگاه که به تولید ایرانی داریم متاسفانه یک نگاه فرهنگی است که خیال میکنیم اگر ما چرخ را اختراع کنیم مربع خواهدبود. خیلی از مهندسان برجسته دنیا ایرانی هستند. این هم یک تناقض است که از یک طرف میگوییم کارکنان پشتیبانی ما آنقدر قدرتمندند که بدون نیاز به شرکت سازنده به همه کشور پشتیبانی میدهند، ولی آنقدر توان مهندسی در داخل نداریم که محصول را بسازیم.
مقایسه جمعیتی هم در حوزه آیتی کار اشتباهی است. یک مرد جنگی به از صدهزار است. میبینید که گاهی یک هکر یا یک نخبه، کار برجستهای میکند. جمعیت آلمان معلوم است که چقدر است. بسیاری از مسائل امنیتی در دست آلمان است. همچنین در خود حوزه نرمافزار ما هم توجیه اقتصادی داریم و هم مزیت رقابتی. اینجا دستمزدها خیلی پایین است. متوسط قیمت تمامشده محصولی که در ایران تولید میکنیم شاید یکپنجم محصول جهانی تمام شود. مشکل فروش غیرقانونی محصولات خارجی در ایران هست. آنها نه میگذارند تولید محصول ایرانی شکل بگیرد و نه کپیرایت. خود آنتیویروسهای خارجی راه تقلب را در ایران باز کردهاند؛ ایست سریالهای فیک با شکل کاملا معتبر در بازار میفروشد و باعث میشود لایسنسش از هزار تومان تا چندصد هزار تومان فروختهشود. برخی محصولات کاملا بدون سریال فروختهمیشدند. ما آزمایشگاه داریم و تمام اینها را آزمایش کردهایم.
صالحی: یعنی شما معتقدید دادن این بازار کار درستی بودهاست؟
حسینی: من میخواهم بگویم موضوع را صفر و یکی نبینید. بیاییم راجعبه یک واقعیت عینی صحبت کنیم تا همه زوایای آن بهتر دیدهشود. امنیت در کشور در هر بخشی متولی دارد. شما در هر بخشی مسئولیتی دارید که درواقع وظایف شما را تعیین میکند. از این زاویه، دولت تجربههایی در استفاده از محصولات خارجی دارد. متخصصان توانمند ایرانی وقتی که استاکسنت آمد تا مدتها نمیدانستند موضوع چیست. وقتی هم که فهمیدند نتوانستند کاری انجام دهند. چرا؟ چون اصولا در سطح تولیدکننده نیستند. متخصصان ما در حد دکترا هم که باشند تکنسین هستند و نه تولیدکننده. اساسا من معتقدم از مفاهیم تولید صد درصد بیخبر هستند و چون مهندس بابادینیا به شرکت ما آمدهاند بهعنوان کسی که جزو قدمای بازار هستند میتوانند این را بدانند، ولی شاید مهندس کیاییفر آن را ندیدهاند. من حاضرم با تمام آنها مناظره کنم و ثابت کنم بیاطلاع هستند و حتی مفاهیم را نمیدانند. اگر بپرسیم فرق دو نوع نرمافزار از نظر تکنیکال و مهندسی چیست، قطعا نمیدانند. طبیعی هم هست که ندانند چون حوزه کاری آنها نیست. ما الان میگوییم دولت یک پارادیمی داشتهاست. پارادیم اول این است که وضعیت موجود را ادامه دهیم. نتیجهای که اتفاق میافتد این است که بازار در حال تغییر و تحول است و ما در حال عقبافتادگی هستیم. نسخههای جدید آنتیویروس میآید و سیستمعاملها تغییر میکنند، بنابراین ما شکاف را بیشتر میکنیم. از آن طرف، میخواهیم از مدل حمایتی که آنجا تجربه کردهایم استفاده کنیم، یعنی بیاییم پول تحقیقات و لجستیک را بدهیم. اولا محدودیت قانونی زیادی وجود دارد. اگر بخواهیم پولی به حسینی بدهیم هزار نهاد قانونی میآیند و میگویند چرا این پول را به دیگری نمیدهید.
محصولات خارجی در ایران با دامپینگ گسترده در حال فروش هستند. چون پشتیبانی ندارند هر پولی که میگیرند عملا سود است. حتی اگر یک سنت باشد. من معتقدم هیچ انحصاری نیست، چون در بخش تولید هیچ محصولی نبودهاست؛ از نظر فنی. در بحث فروش از ابتدا عرض کردم که ما فروشنده نیستیم. ما به دوستانی که محصول خارجی توسط آنها فروخته میشود عرض کردیم که بیایند این محصول را بفروشند. در حوزه دولت، مسئولیت امنیت آن را خود دولت قبول کردهاست و این برای فروشندگان سایر محصولات بهتر شدهاست، چون اگر در زیرساخت اتفاقی رخ دهد دیگر شرکت شما که محصولات خارجی به آنها فروختهاست مسئولیتی در این اتفاق ندارد.
صالحی: آیا شما مسئولیت میپذیرید؟
حسینی: بله. ما پذیرفتهایم. اکنون دو وزارتخانه و بالای چهارصد هزار مشترک خانگی داریم. اینکه ما فکر کنیم در سطح بعدی به این چیزها توجه نمیشود یک مقداری جفا است. ما تمام تاییدهای خارجی را داریم. اتفاقا از نظر زیرساخت بالای ۶۰ درصد الزامات را داریم و نتایج بعدی نیز خواهندآمد.
مسئله آخر هم مقایسه با صنعت خودرو است. توجه کنید که خودرو یک بازار گسسته است، اما بازار سایبر یک بازار پیوسته است. به جهت پیوستگی داده ما میتوانیم بگوییم فقط از یک محصول ایرانی استفاده کنند، ولی نمیتوانیم به تهدیدات بگوییم فقط برای ایران عمل کنند. کاربر هم نمینشیند که سیستماش آلوده شود. من به یقین میگویم که توان متخصصان ما در این حوزه برای کل بازار است. این موضوع نیاز به تعداد زیاد ندارد. اپراتورها، نصابها یا پشتیبانیکنندهها بر اساس یک استاندارد عرفی کار میکنند، یعنی اگر درباره محصول ما آموزش ببینید نود درصد مشابه محصولاتی است که اکنون کار میکنید. شاید ۱۰ درصد تفاوت داشتهباشد. بنابراین آنچه نیروی انسانی میخواهد نصب دستی است که همه تیمها انجام میدهند، اما آنجایی که پشتیبانی شرکت سازنده را میخواهد جایی است که ممکن است مشکلی پیش آید و یکمیلیون سیستم آلوده شود.
در این وضعیت ما هم یک آپدیت میدهیم و یکمیلیون سیستم پاکسازی میشود. ما امروز به این دانش رسیدهایم و با اطمینان میگوییم که شما خیالتان راحت باشد. شاید خیلی موارد بود که پادویش نگرفت، اما چندبرابر آن را کسپرسکی و یا بقیه آنتیویروسها هم نگرفتهاند. واقعیت این است که صنف با پیشرفتی که محصول داشت آشنا نیست. من فکر میکنم اگر ما بتوانیم بیشتر محصول را ارائه کنیم این آسودگی خاطر برای شما ایجاد میشود.
صالحی: آقای مهندس کیاییفر شما هم بر همین اعتقاد هستید؟
کیاییفر: چندسال پیش بخشنامهای داشتیم از سوی دولت که UTM ایرانی را برای سازمانهای دولتی الزامی کرد. درنتیجه این کار، ادمینهایی که با سیستمهای درجه یک دنیا مثل سیسکو و غیره کار میکردند با اکراه تمام ناچار شدند با این بخشنامه، یک دستگاه را از شبکه خود جدا کنند و یک دستگاه که اسم بومی روی آن بود جایگزین سازند. مثل اینکه یک نفر از بنز پیاده شده و سوار پراید شود و بخواهد به راه خودش ادامه دهد. نتیجه این شد که انتظارات را برآورده نکرد. نیمهشب هنگ میکرد و مشکلات طاقتفرسای دیگری داشت. درنتیجه یک مقاومت شدید در برابر محصول بخشنامهای ایجاد شد. با افزایش مقاومتها، بخشنامه شکسته شد. یعنی ادمینها راه دور زدن بخشنامه را یاد گرفتند. یک UTM بومی میگذاشتند و روشن میکردند و آن پشت یک UTM خارجی نصب میکردند. چون خرید UTM خارجی ممنوع شده بود در درخواست خرید عناوین مشابه دیگری مینوشتند، اما UTM خارجی میخریدند و نصب میکردند، بنابراین تا زمانی که اقناع عمومی برای متخصصان کشور ایجاد نشود هیچ محصول بخشنامهای به نتیجه نخواهدرسید، یعنی به زبان دیگر این بخشنامه بهترین روشی بود که میشد به یک محصول بومی با یک پیشرفت خوب، ضربه و آسیب زد.
بخشنامه باعث شد شک و تردید متخصصان نسبت به این محصول بومی تبدیل به خشم و نفرت شود. آقای مهندس حسینی و یا هر فرد دیگری که بخواهد محصول بومی تولید کند در همان آغاز کار، ۶ بر هیچ عقب است. چون تجربههایی که در زمینههایی بومیسازی وجود دارد ذهنیت جامعه متخصصان را نسبت به محصول بومی به شدت منفی کرده است.
اجازه دهید چند مثال تاریخی بزنم:
مثال ۱: لینوکس ملی در سال ۷۹ استارت زدهشد. گفتند چون مشخص نیست ویندوز روی سیستمهای ما و بهویژه دولت در پشت پرده چه میکند، باید خودمان یک سیستمعامل بسازیم. یک شعار قشنگ که با آن میشد کلی بودجه و حمایت دولتی هم دریافت کرد. پروژه تولید لینوکس ملی استارت زدهشد. این طرح در دانشگاه شریف با چندمیلیارد هزینه کلید خورد و قرار شد که طی برنامهای در سال ۸۴ جایگزین ویندوز در دولت شود، اما امروز نه اسمی از آن می شنویم و نه حتی سایتی وجود دارد.
مثال ۲: سال ۸۱ سیستمعامل زمین را مطرح کردند. کار این سیستمعامل دقیقا سال ۸۹ شروع شد و نسخه اولیه آن ارائه شد. وزارت ارتباطات و سازمان پدافند غیرعامل کسانی بودند که پشت این طرح بودند و روی آن سرمایهگذاری کردند. هدف این سیستمعامل هم این بود که جایگزین ویندوز شود. امروز حتی یک وبسایت از این سیستمعامل وجود ندارد و یک پروژه کاملا شکست خورده دیگر است درحالیکه زمانی زیادی هم از آن نگذشتهاست.
مثال ۳: این بار اسم پروژه عوض شد و تولید سیستمعامل امن قاصدک کلید زدهشد که الان سایت آن وجود دارد و میتوانیم به آن مراجعه کنیم. یکی از انتقادات جدی ما به محصولاتی که بهصورت بومی ارائه میشود این است که یکسری ادعاهایی میکنند که حتی نمیشود آنها را نقد کرد؛ مثلا در وبسایت همین سیستمعامل قاصدک امن نوشتهاست بدون نیاز به جداسازی شبکه اینترنت از شبکه سازمان، پنجبرابر سریعتر از ویندوز، دو برابر سریعتر از اپل!!!
من اعتقادم این است که اگر پراید میسازیم نگوییم بنز ساختهایم. بگوییم پراید است و توقع بنز برای مشتری ایجاد نکنیم. چون با این توقع وقتی مشتری سوار می شود میشود کلا ناامید میشود و پروژه شکست میخورد.
مثال ۴: بعد از اینها مروگر ملی ساینا آمد. پروژهای در سازمان فناوری اطلاعات تعریف شد. هزینه میلیاردی انجام شد. سمینار و کنفرانس هم برای آن برگزار کردند و در بخشهای خبری هم رپرتاژ رفت و بعد از مدت کوتاهی مشخص شد که این یک نسخه شخصیسازیشده از فایرفاکس است. فایرفاکس قابلیتی دارد که اجازه شخصیسازی را میدهد و میتوانید اسم و ظاهر آن را عوض کنید. حتی سایز فایل هم همان سایز فایرفاکس است. این پروژه ملی هم جمع شد.
مثالهای دیگر: بعد پروژه مرورگر ملی دوم هم سر درآورد. بعد هم ایمیل ملی، ذخیرهساز ملی، WAF ملی، UTM ملی آمدند؛ اما اکنون هیچ خبری از خیلی از آنها نیست و حالا هم آنتیویروس ملی!
این همه پروژه شکست خورده ملی با صرف این همه هزینه نشان میدهد قطعا یک جای کار میلنگد. من به وزارت ارتباطات پیشنهاد میکنم یک سمینار برای بررسی علل شکست پروژههای بومیسازی برگزار کند و به تحلیل عمق ماجرا بپردازد تا در پروژههای آتی کمتر دچار شکستهای مشابه شویم.
در مورد آنتیویروس ملی هم همین است. ما اولینبار نیست که آنتیویروس بومی تولید میکنیم. قبلا هم آنتیویروسهایی مثل ایمن، سورنا، ققنوس تولید کردهبودیم و همگی به نقطه مشترک شکست منتهی شدهبودند و حالا هم از پادویش سخن میگوییم. اگر به تاریخچه این قضایا نگاه کنیم، ذهنیت جامعه متخصصان درباره محصولات بومی بهخصوص در حوزه امنیت بهشدت منفی است. اکنون هم یک بخشنامه روی میز ادمینهای سازمانها آمدهاست. آنها با نگرانی با ما تماس میگیرند و میگویند با این بخشنامه چه کنیم؟ اصلا از کجا معلوم پادویش تا سال دیگر سرجایش باشد. میپرسند کدام مرجع استانداردی این محصول را تست کردهاست؟ به نظر من، شما و دولت، این نگرانیهای بهحق را ارزیابی نکردهاید. این دغدغهها را ندیده گرفتید و صرفا از یک زاویه به قضیه نگاه کردهاید. این قضیه را بهصورت بخشنامه ارسال کردید و یک مقاومت شدید به وجود آوردید.
متخصصان احساس میکنند این بخشنامه، شعور فنی آنها را نادیده گرفتهاست. این مقاومت شدید بالاخره شکسته خواهدشد. حیف است پادویش در برابر این همه مقاومتی که هست یکمرتبه از بین برود. من فکر میکنم جای رشد زیادی وجود دارد.
ادامه دارد
کد مطلب : 13789
https://aftana.ir/vdchwqnz.23nx6dftt2.htmlaftana.ir/vdchwqnz.23nx6dftt2.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵