برای حضور در بازار داخلی فرصت می خواهیم

شاید در سال ۱۹۸۹ که اولین حمله سایبری به سیستم کامپیوتری سازمان فضایی آمریـکا (ناسا) به عنوان ابـزار قدرت و نفوذ به کشورها و سرقت اطلاعات آن ها انجام شد، کمتر کسی فکر می کرد، بدافزارها و ویروس های جاسوس روزی بتوانند بدون هیچ جنگ و خونریزی به عنوان یکی از بزرگترین و قدرتمندترین روش های حمله به کشورها تلقی شوند.

طی سال های اخیر و به ویژه با گستـرش فعالیت هـای هسته ای ایران، یکی از کانـون های اصلی و همچنین مرکز توجه نفـوذگران، ایران و فعالیت هـای هسته ای آن بوده است.

به طوریکه از دو سال قبل تاکنون، تهدیدات سایبری گسترده و البته هدفمندی تحت عنوان استاکس نت ، دوکو و بعدتر از آن فلیم، با هدف سرقت اطلاعات و ضربه زدن به زیرساخت های صنعتی ایران طراحی شد. از این رو بیش از هر زمان دیگری سازمان هـا و شرکت هـای داخلی به فکر تامین امنیت شبکه ها در مقابله با این تهدیدات افتادند و در این راه به عنوان اولین قدم اقدام به خریداری تجهیـزات امنیتی نمودند.

با واردات گستـرده تجهیزات امنیتی به کشور، حال این سوال مطرح می شـود که آیا در وضعیت جدید و همچنین با وجود تولیدکنندگان داخلی که سعی در بومی سازی تجهیزات امنیتی دارند، آیا باز هم سازمان های بزرگ برای تامین امنیت و حفظ اطلاعات خود و مقابله با تهدیدات سایبری، باید به تجهیزات امنیتی خارجی تکیه کنند؟

در راستـای برگزاری سلسله میزگردهای تخصصی، افتانـا برای پاسخ به این سوالات، این بار بررسی توانمندی های بخش خصوصی و تولیدات داخلی در مقابله با تهدیدات سایبری را موضوع میزگرد جدیدی قرار داده است.

مهندس عامر نجفیان پور (رئیس هیئت مدیره گروه داده پـردازان دوران)، مهندس حمیدرضا سعدی (عضو هیئت مدیره شرکت مهران رایانـه)، مهندس محمود محسنی نیـا (معـاون اجرایی شرکت امن افزار گستر شریف) و مهنـدس کاظم قنبـری (مدیر عـامل شرکت قاصدک سامانه) و مهندس علیرضا صالحی (دبیر کمیسیون افتای سازمان نظام صنفی تهـران) حاضران در این میـزگرد بودند. مشـروح این گفت و گـو را بخوانیـد.

صالحـی: دو سال قبل ویروسی به نام استاکس نت به عنوان یکی از جدی ترین تهدیدات سایبری وارد کشور شد. حالا بعد از گذشت زمان، شاهد تهدیدات جدیدتری چون ویروس فلیم هستیم. در میزگرد امروز می خواهیم به بررسی توان تولیدکنندگان داخلی در مقابله با تهدیدات سایبری بپردازیم. متاسفانه یکی از مهمترین دغدغه های مدیران شرکت های بخش خصوصی صرف نظر از راهکارهای داخلی یا خارجی برای مقابله با تهدیدات، عدم همکـاری بخش دولتـی در این زمینه است. برای شروع لطفاً هر یک از مدیران که در این زمینه تجربه ای دارند بفرمایند.

سعـدی: متاسفانه ویژگی ویروس ها این است که خیلی زودتر از اینکه از وجودشان خبردار شویم، به شبکه ما نفوذ کرده و عملیات تخریبی را انجام داده و بعد از اینکه تاثیر مخرب شان بر شبکه ما وارد شد، شناسایی و تحلیل می شوند.

مثلاً در مورد ویروس استاکس نت، کارشناسان پس از گذشت یک سال که آسیب های زیادی به شبکه ها وارد شده بود، پی به وجود این ویروس برده و پس از دو ماه شروع به تحلیل عملکرد آن کردند.در مورد ویروس فلیم هم همین اتفاق افتاد.
اما در توضیح اینکه چرا معمولاً ویروس ها اینقدر دیر شناسایی می شوند، سرورهای داخلی ما روزانه بین ۴۰ تا۵۰ هزار بدافزار را جمع آوری می کنند که بین آن ها ممکن است چندین جاسوس افزار هم وجود داشته باشد.

اما اینکه کدامیک از اینها ارزش تحلیل و بررسی را دارند، مثل گشتن به دنبال یک سکه در انبار سیلو است و عملاً امکان پذیر نیست. با اینکه ویروس فلیم بهمن ماه شناسایی شد اما تحلیل و بررسی عملکرد آن از دو هفته قبل (اواسط تیرماه) انجام شد.

رسالت آزمایشگاه مهران رایانه این است که وقتی وجود ویروسی به طور جدی مطرح شد، در آرشیو آزمایشگاه آن را جستجو کرده و در نهایت اقدام به تحلیل آن می کند اما به دلیل اینکه این کار هیچ ارزش افزوده ای برای ما ندارد و همچنین متولی دستگاه های دولتی در بحث اطلاع رسانی نیستیم، عجله ای هم برای انتشار اطلاعات حاصل از تحلیل ویروس ها نداریم!

صالحـی: برخورد سازمان ها در زمان کشف ویروس چگونه است؟ آیا برخورد حراستی است؟ آیا به کارشناسان شما برای بررسی و نمونه برداری اجازه ورود به سـازمان داده می شود؟

سعـدی: دقیقاً مشکل ما در آزمایشگاه همین است. به دلیل رسالت آزمایشگاه مهران رایانه، هر سازمانی بعد از بروز مشکل با ما تماس می گیرد. اما متاسفانه نه برای تحلیل ویروس هزینه ای پرداخت می کنند و نه تمایلی به رسانه ای شدن موضوع دارند.

مهندس حمید رضا سعدی -عضو هیئت مدیره شرکت مهران رایانه

قنبـری: در سایر کشورها با یک روال مشخصی مثلاً داشتن امضا و یا نشانه، کارشناسان مرتبط حق ورود به سازمان و نمونه برداری دارند. اما در کشور ما اگر در سازمان اطلاعاتی هم در مورد ویروس وجود داشته باشد، به دلایل امنیتی مشکل را سربسته مطرح کرده و می ترسند اطلاعاتی در اختیار ما قرار دهند!

محسنی نیـا: بحث ویروس ها و بدافزارهای جاسوسی نظیر استاکس نت و

فلیم تمام شدنی نیست و نه تنها برای ایران بلکه در کل دنیا اتفاق می افتد. به نظر من باید در این جلسه به دنبال راهکارهایی باشیم تا اجازه ندهیم، بیشتر از این به ما صدمه بزنند.

قنبـری: به نظر من بزرگترین ویروسی که تاکنون باعث خروج اطلاعات از سازمان شده و به عنوان یک تهدید مهم شناخته می شود، ویروس دوپا یا همان نیروی انسانی شاغل در سازمان ها است. اما متاسفانه ما همیشه به دنبال فرار از این واقعیت بودیم و سعی می کنیم همه خطاها را به گردن ویروس بیاندازیم.

نجفیـان: من موافقم در مورد راهکارها صحبت کنیم اما این نکته را هم نباید فراموش کنیم، همین حالا هم خیلی از شرکت ها راهکار دارند، اما شاید راهکار جامع و کاملی نباشد.

مهندس عامر نجفیان پور-رئیس هیئت مدیره گروه داده پردازان دوران

استفاده از ضدویروس و فایروال وایجاد شبکه های امنیتی یک لایه و دو لایه از راهکارهای سازمان ها برای مقابله با نفوذ است اما اینکه چرا فلیم توانست اینقدر خوب نفوذ پیدا کند، موضوع مهمی است.

تقریبا همه تائید می کنند ویروس فلیم، یکی از قوی ترین ویروس هایی بوده که تاکنون نوشته شده است. به نظر من تیمی که این ویروس را نوشته، یک تیم ویروس نویس صرف نبوده بلکه هر بخش آن توسط تیمی متخصص نوشته شده است.

ویروس فلیم برای ورود به سیستم، الگوریتم MD۵ ویندوز را هک می کنـد. چند سال قبل متخصصان قابل نفوذ بودن MD۵ را به مایکروسافت تذکر دادند.

مایکروسافت هم این امکان را از همه بخش های ویندوز به جز بخش Auto Update حذف کرد. ویروس فلیم هم دقیقاً از همین نقطه، سوءاستفاده کرد. این ویروس روی بخش Auto update ویندوز نشسته و اصلاحیه های مایکروسافت را می گیرد. خودش هم چند فایل دیگر به آن اضافه می کند.

از آنجائیکه فایل های اضافی در کنار اصلاحیه های مایکروسافت امضا می شوند، هیچ ضدویروسی نمی تواند فایل های مخرب را از سایر فایل ها تشخیص دهد. کاربران همه فایل ها را نصب می کنند، بی خبر از اینکه فایل های مخرب هم بین آن ها وجود دارد. با این توضیح می خواهم به این نتیجه برسم که این تکنیک ها فراتر از یک ویروس نویسی ساده است.

قنبـری: قطعا دانش ویروس ها و ویروس نویس ها به مرور زمان بیشتر شده است اما مشکلی که به ویژه در سازمان های دولتی با آن روبرو هستیم این است که برای نفوذ به شبکه این سازمان ها نیازی به این همه پیچیدگی نیست. ویروس های خیلی ساده تر از ویروس فلیم، منجر به خروج انبوهی از اطلاعات از سازمان ها می شود. گهگاه در سازمان ها دیده ایم پس از نصب یک برنامه، رمز عبور آن را ۱ تا ۶ گذاشته اند.

به نظر من در شرایط فعلی شاید تکنولوژی پشت این ویروس ها آنقدر مهم نباشد. بلکه روندی که باید در سازمان ها تعریف شود تا اساسا نفوذ را غیرممکن کند، مهم تر است. به نظر من قبل از هرچیز باید فرهنگ سازمان های ما در حفظ امنیت اطلاعات سازمانی تغییر کند. اینکه بدانند حمله چیست؟ چه اقدامات پیشگیرانه ای وجود دارد و حتی بعد از بروز حمله چه باید کرد.

در حالیکه رویکرد فعلی سازمان ها در مواقع این چنینی، عدم اطلاع رسانی و همچنین جلوگیری از ورود کارشناسان به داخل سازمان است. من در دفتر رئیس یکی از بانک ها بودم و رئیس بانک به من گفت همین حالا که شما در دفتر من هستید، یعنی بانک ما امن نیست. باید چنین دیدگاه هایی تغییر کند.

سازمان های ما در حالی فقط به دنبال خرید سخت افزارهای امنیتی هستند که هنوز فرهنگ استفاده از آنها را ندارند. بسیار اتفاق افتاده ما به سازمانی سخت افزار فروختیم اما هنوز برای دریافت رمز عبورش با ما تماس نگرفته اند این یعنی که آن سخت افزار در سازمان بلا استفاده مانده است.

محسنی نیـا: بله چند وقتی است، موجی از خرید سخت افزارهای امنیتی بین شرکت ها شکل گرفته و همه به فکر افزایش تجهیزات امنیتی خود هستند. اما خرید تجهیزات امنیتی به معنی افزایش امنیت نیست و حتی ممکن است باعث ناامنی بیشتر هم بشود. مهم مدیریت بحران از طریق فرایندهای تعریف شده است! حمله سایبری در همه جای دنیا اتفاق می افتد و در واقع تبدیل به یک سلاح برای کشورها شده است. پس برای آمادگی در مقابله با این شرایط، مهمترین نیاز، آمورش است.

مهندس محمد محسنی نیا -معاون اجرایی شرکت امن افزار شریف

نجفیـان: دلیل اینکه من در ابتدای صحبتم وارد مباحث فنی شدم دقیقاً همین بود. در تایید صحبت های مهندس محسنی نیـا، باید اضافه کنم صرفاً خرید تجهیزات، عامل ایمنی بیشتر و مقابله با تهدیدات نیست. در بحث امنیت سه عامل مهم و اساسی وجود دارد. اول نیروی انسانی، دوم به کارگیری روال هایی چون ISMS و در نهایت تکنولوژی. اما متاسفانه اولین اقدام هر سازمانی تنها خریداری تکنولوژی و تجهیزات است!

در حالی نیروی انسانی به عنوان مهمترین عامل ناامنی شناخته می شود که کم هزینه ترین راه حل برای تامین امنیت شبکه هم همین نیروی انسانی است. مرحله بعدی از تامین امنیت، ایجاد روال های متعارف در سازمان است. مثلا اگر قرار است سندی رد و بدل و امنیت آن هم حفظ شود، باید طبق روال خاصی انجام شود. ISMS در واقع معرفی استانداردها و ایجاد روال های امن در سازمان است.

مرحله سوم و آخر، استفاده از تکنولوژی و تجهیزات امنیتی است. اما متاسفانه در ایران، سازمان ها در اولین قدم برای تامین امنیت به فکر خرید تکنولوژی می افتند و با خریدن یک فایروال می خواهند امنیت همه جانبه ای برقرار کنند!

سازمان ها بعد از برقراری کلیه این جوانب، باید به دنبال پیاده سازی یک راه حل امنیتی هم باشند. مدتی است مبحثی تحت عنوان SOC در بعضی سازمان ها مطرح می شود. SOC مرکز عملیات امنیت به عنوان چتری بر روی همه راه حل های امنیتی قرار می گیرد.

با اینکه هیچ زمانی هیچ ضدویروسی قادر به شناسایی کل ویروس ها نخواهد بود،

اما از طریق شواهد و همچنین ابزارهای مختلف می توان پی به وقوع یک اتفاق مشکوک برد.

ویروس های رایانه ای هم مثل ویروس سرماخوردگی به مرور بیشتر شده و کهنه می شوند. هرقدر سازمان دیرتر متوجه حضور و فعالیت آن ها شود، جلوگیری از گسترش اثرات مخرب آنها هم سخت تر خواهدشد. بی توجهی به اتفاقات کوچک و جزئی باعث می شود، ویروس تا جایی گسترش پیدا کند که قطع شبکه و اینترنت تنها راه حل باقی مانده می شود.

اما چه کار می توان کرد تا خیلی زودتر متوجه فعالیت های مخرب شد؟ ابزارهایی وجود دارند که کلیه گزارش های شبکه را در جایی متمرکز، جمع آوری می کنند. هر کدام از این ابزارها به نوبه خود خبر از اتفاق کوچکی از آن اتفاق اصلی و بزرگ را گزارش می کنند.

با کنار هم قرار دادن این اطلاعات، می توان از وقوع یک اتفاق غیرعادی باخبر شد. این اقدامات حتماً باعث خواهد شد سازمان ها نسبت به وجود ویروس، خیلی زودتر واکنش نشان داده و اقدامات لازم، برای مقابله با آن نیز انجام شود.

صالحـی: خیلی از سازمان های دولتی این اتفاقات را ثبت می کنند اما متاسفانه در اغلب موارد این اطلاعات بدون تحلیل و بررسی رها می شوند.

سعـدی: به نظر من یک ویروس گنجی از اطلاعات فنی است که هنوز کسی متوجه آن نشده است. در واقع ویروس ها فرصت های مناسبی برای شرکت های خصوصی هستند تا نسبت به بروز کردن اطلاعات خود اقدام کنند. البته شرکت های خارجی در این زمینه بسیار فعال عمل کرده اند اما سازمان های ما در مواجهه با این شرایط، حالت تدافعی به خود می گیرند.

در امریکا همزمان با همایش کلاه سیاه ها، مسئولان امنیت اطلاعات سازمان ها هم حضور دارند و سعی می کنند از توانمندی های ویروس نویسان بهره ببرند. اما در ایران سازمان ها از بررسی وضعیت و قابلیت نفوذ سازمانشان واهمه دارند. به نظر من بخش خصوصی باید برای به چالش کشیدن این وضعیت واردعمل شود و نمره منفی را به سازمانی بدهد که برای جلوگیری از نفوذ، شبکه دو تکه طراحی کرده و کلا شبکه داخلی اش قطع است!

صالحـی: متاسفانه خیلی از سازمان ها اعتقاد دارند که تنها راه حل جلوگیری از نفوذ، داشتن یک شبکه دو تکه است.

سعـدی: دو هفته پیش با سازمانی تماس گرفتم و پیگیر سندی شدم که قرار بود برایشان ارسال کنیم. گفتند اینترنت ما قطع است لطفاً برای ما پست کنید. اگر اینترنت قطع است، پس اصلاً کار نمی کنید! یعنی میلیاردها تومان برای نیروی انسانی بیکار هزینه می کنیم. کارمندی در یک مجموعه دولتی به ما گفت، طی بخشنامه ای به آنها اعلام کرده اند، اگر سیستم کسی آلوده به ویروس فلیم باشد، اخراجش می کنیم، ما هم سیستم ها را خاموش کردیم و بیکار نشسته ایم!

متاسفانه مشکلی که ما در حال حاضر با آن روبرو هستیم، با محصول داخلی یا خارجی خریدن حل نمی شود. قبل از هر چیز باید به فکر آموزش نیروی انسانی باشیم. نیروی انسانی آموزش دیده، کارایی ابزارها را هم بیشتر می کند.

هنوز هم سازمان های صنعتی دنبال ویروس استاکس نت در سیستم هایشان هستند و هر ویروسی را استاکس نت خطاب می کنند. اما در نهایت مشخص می شود که عامل انسانی باعث نفوذ و افشای اطلاعات بوده است.

تا زمانیکه نیروی انسانی کارآمد نداشته باشیم، از بهترین تجهیزات امنیتی هم که استفاده کنیم، فایده ای ندارد و فقط آبروی شرکت داخلی و خارجی تولیدکننده می رود!

محسنی نیـا: به نظر من ما در حال درد دل کردن هستیم. با توجه به اینکه کشور تا این حد مورد حمله جاسوسی قرار می گیرد، بهتر است به دنبال راهکار باشیم. متاسفانه ما عادت کرده ایم جزیره ای کار کنیم. اگر اطلاعات امنیتی همه سازمان ها، متمرکز و یکجا جمع آوری شود، تحلیل شده و در نهایت به اطلاع همه برسد، نتیجه بهتری خواهیم گرفت.

کشورهای اروپایی هم مورد حمله جاسوسی قرار می گیرند و این اتفاق فقط مختص ایران نیست. سازمانی که متولی جمع آوری اطلاعات است باید پروتکل و جلساتی هم با کشورهای دیگر داشته باشد تا بتوان با نگاه بین المللی مشکلات را مطرح کرد.

قنبـری: ضمن تایید صحبت های شما مثالی می زنم! در بحث ترافیک تهران، ارگان های مختلفی از جمله سازمان راهنمایی و رانندگی و شهرداری تهران درگیر هستند. هر کدام هم به صورت مستقل و جزیره ای کار می کنند. در واقع هیچ مرجعی برای پاسخگویی به مشکلات ترافیک تهران وجود ندارد.

مهندس کاظم قنبری -مدیر عامل شرکت قاصدک سامانه

در بحث حملات و نفوذ هم نهاد و متولی مشخصی برای پاسخگویی نداریم. سازمان فناوری اطلاعات، ارتباطات زیرساخت، مرکز تحقیقات مخابرات، وزارت اطلاعات و... همه به صورت موازی و در کنار هم فعالیت می کنند. البته شورای عالی مجازی هم جدیداً در فضای گسترده تری شروع به فعالیت کرده است اما بیشتر بر مباحث فرهنگی تاکید دارد.

ما نیاز به یک نهاد و تشکیلات منسجم داریم تا هم بخش خصوصی و هم بخش دولتی به عنوان یک مرجع مشخص به آن مراجعه کند.
در واقع این مسئله که بخش خصوصی کسی را به عنوان صاحب و متولی بحث امنیت اطلاعات نمی شناسد، مشکل اصلی است. شاید باید این متولی حتی یک سطح بالاتر از دولت، نهادی مثل شوراهای عالی باشد.

صالحـی: یعنی ما نیاز به یک نهاد فراحاکمیتی- فرا بخشی داریم تا به طور کلان وارد عمل شود؟

قنبـری: ما اولین کشور نیستیم که مورد حملات سایبری قرار می گیریم. بالاخره کشورهای دیگر هم تسهیلاتی برای مقابله با این حملات به کار گرفته اند. یعنی اگر بخش حاکمیتی بخواهد در این بخش سرمایه گذاری کند، دانش نهفته، مخفی و غیرقابل دسترسی نیست. صنایع موشکی ما چطور پیشرفت کرد؟

بالاخره عده ای دانش موجود در این کار را کسب، بومی کرده و ارگانی به عنوان متولی آن ها را یکجا جمع آوری و به سامان رسانده است. قطعا در این راه سپاه پاسداران برای تامین کلیه ابعاد تاسیسات موشکی اش، به تنهایی وارد عمل نشده و با شرکت های خصوصی هم تعامل داشته است. در مورد فضای سایبر هم می توان این کار را کرد. درحالیکه حساسیت آن به مراتب از تاسیسات هسته ای و موشکی کمتر است.

محسنی نیـا:

دقیقاً باید کارها از حالت جزیره ای فعلی بیرون بیاید و با بهره گیری از تجربیات یکدیگر به نتیجه برسیم.

سعـدی: پیشنهاد همگی ما این است که دولت باید برای مقابله با تهدیدات سایبری از بخش خصوصی حمایت کند. اما نکته مهم اینکه در خارج از کشور، شرکت های خصوصی همکاری گسترده ای با بخش دولتی دارند. در حالیکه در ایران بخش خصوصی باید با چنگ و دندان سهمش از بازار را بگیرد. به نظر من در این زمینه شرکت های خصوصی باید با تعامل بیشتر با یکدیگر همکاری کرده و مطالباتشان را مطرح کنند. البته سازمان نظام صنفی هم باید از حرکت خودجوش شرکت ها برای ایجاد ضابطه استفاده کند.

مثلاً یکی از اتفاقات مثبت در حمایت از تولید کننده داخلی، اختصاص بیلبوردهای تبلیغاتی شهری به آن ها بود. این اقدام یک فرصت و حرکت مناسب برای حضور شرکت های داخلی و ایجاد یک ظرفیت برای آن ها است. راهکارهای ما هم باید از گذر نظام صنفی باشد و صنف به عنوان نماینده شرکت ها، خواسته های ما را مطرح کند.

محسنی نیـا: من فکر می کنم می توان این کار را به عنوان یکی از وظایف کمیسیون افتای نظام صنفی قرار دهیم تا حداقل پیشنهادات ما در این زمینه به گوش شرکت فناوری اطلاعات برسد.

صالحـی: جنس این پیشنهاد چیست؟ اینکه ما بخش دولتی را آگاه کنیم؟

محسنی نیـا: نه! آگاه هستند، بلکه به یکدیگر اعتماد ندارد و هر یک می خواهند خودشان در راس کار باشند.

سعـدی: یکی از پیشنهادات مثبت سازمان نظام صنفی، گروه بندی شورای عالی انفورماتیک بود. دولت هم این پیشنهاد را قبول کرد و با توجه به وظایف هر شرکت گروه بندی انجام شد. به نظر من باید طی یک برنامه زمانبندی مشخص، نظام رتبه بندی شرکت ها را پیاده کنیم تا با تشخیص دولت، قابلیت های هر شرکتی مشخص شده و با توجه به آن، از توانمندی شرکت ها استفاده کنند.

با ایجاد پروتکل ارتباطی در این زمینه، شرکت ها دیگر به فکر از میدان به در کردن یکدیگر نیستند و در کنار هم در بازار رقابت خواهند کرد. این مسئله باعث می شود شرکت ها هم با برنامه وارد بازار شده و از هرج و مرج هم جلوگیری شود. ما باید در حالیکه ظرفیت های خود را به بازار معرفی می کنیم از دولت هم بخواهیم بازار را برای ما آماده کند. اما متاسفانه خودمان هم در صنف، منفعلانه عمل می کنیم.

به عنوان مثال نظام صنفی در حالی بحث ساماندهی بازار محصولات خارجی را مطرح می کند که هنوز نتوانستیم بازار داخل را ساماندهی کنیم. این نشان دهنده این است که ما هیچ برنامه مدون و مشخصی نداریم. جلساتی هم که در نظام صنفی برگزار می شود تنها به تازه شدن دیدارها می گذرد و هیچ خروجی مشخصی ندارد.

محسنی نیـا: متاسفانه نظام صنفی ما بسیار ضعیف عمل می کند. من نظام صنفی را با تشکل نظام مهندسی ساختمان مقایسه می کنم. این تشکل قدرت وضع قانون دارد. مثلاً قانونی وضع کرده اند که اگر هر زمانی دلار بالا رفت حتی اگر قرارداد با قیمت قبلی منعقد شده باشد، همه قیمت های مندرج در قرارداد براساس نرخ روز دلار محاسبه خواهد شد.

در واقع آن نظام صنفی آنها آنقدر به دولت فشار آورده که این مسئله را تبدیل به قانون کرده است. اما وقتی ما با شرکتهای دولتی قرارداد می بندیم، در خوش بینا ترین حالت، ۱۰ درصد بعد از عقد قرار داد پرداخت می کنند. در حالیکه من به عنوان تولید کننده باید ۹۰ درصد سرمایه گذاری کنم.

صالحـی: به نظرم بحث دوباره حالت درد دل پیدا کرد. من می خواهم بحث را به جایی ببرم که مشخص شود بخش خصوصی باید چه مطالباتی از بخش دولتی داشته باشد؟

محسنی نیـا: من توضیحی در مورد بازار محصولات داخلی بدهم. یک ابزار خارجی قوی با پشتیبانی قوی را با یک ابزار بومی که ۷۰ درصد قابلیت و توانایی یک ابزار خارجی را دارد، مقایسه کنید. نکته مهم در این دو محصول میزان توانایی آن ها نیست بلکه مهم قرار گرفتن تولیدکننده پشت ابزار داخلی است.

یعنی اگر مشکلی به وجود بیاید، مشتری حتی می تواند مستقیم با مدیر عامل تماس بگیرد تا مشکل حل شود. به نظر من واردکنندگان تجهیزات خارجی بیشتر به کار دلالی مشغولند. شما برای من یک شرکت بزرگ مثال بزنید که ضمن داشتن دانش قوی، فروشنده تجهیزات خارجی هم است. اصلا نداریم.

چرا که آنها فقط یک تیم پشتیبانی قوی دارند که میتوانند تجهیزات را نصب و راه اندازی کرده و پول بگیرند. ولی دانشی به سازمان هدف، منتقل نمی کنند. در حال حاضر تجهیزات بسیار گران قیمتی در ایران وجود دارد که امکان بروز رسانی آن قطع است. یعنی اصل کار مشکل دارد.

صالحـی: به نظر شما این بخش ماجرا دقیقاً به دانش مصرف کننده مربوط نیست؟

محسنی نیـا: متاسفانه همه بدون هیچ پشتوانه علمی خاصی فکر می کنند، فایروال خارجی خوب است ولی فایروال ایرانی بد است. در بسیاری از آزمون های دنیـا، فایروال فورتی نت جزء پرفروش ترین UTMهای دنیا شناخته شده است. در واقع مبدع فایروال در دنیا فورتی نت است. حالا این شرکت ادعا می کند ۸ گیگ تروپوت دارد.

آیا این ادعا در شرایط واقعی هم حقیقت دارد؟ آزمایشگاه NSS LAB که در دنیا جزء بهترین و مجهزترین آزمایشگاه ها است، طبق شرایط واقعی تجهیزات امنیتی را بررسی می کند. طبق متدولوژی این آزمایشگاه، ۸ گیگ ادعای فورتی نت به ۱۵۰ مگابایت رسیده است. در حالیکه این شرکت همچنان به خودش افتخار می کند که از آزمون NSS LAB با موفقیت بیرون آمده است.

واقعیت این است که خیلی از سازمان های ما دانش لازم در این زمینه را ندارند و ما به عنوان تولید کننده داخلی فرصت می خواهیم خودمان را در بازار نشان دهیم. اما متاسفانه مصرف کننده این فرصت را به ما نمی دهد. مثالی می زنم. اگر تجهیزات ما در شبکه یک سازمان دولتی قرار گرفته باشد، مشکل موجود در شبکه را گردن تجهیزات ما می اندازند اما اگر یک وسیله خارجی در شبکه باشد و شبکه همان مشکل را داشته باشد، می گویند شبکه یعنی همین!

خدا

را شکر محصولات داخلی با سرمایه خودشان رشد کردند. اما نیاز به حمایت دارند. هدف ما این نیست بگوییم محصولات خارجی خوب نیست اما اطمینان داریم محصولات داخلی، همطراز با نمونه های خارجی هستند.

صالحـی: شما بیش از حد توان از مشتری انتظار ندارید؟ مشتری وظیفه آزمایش محصول را ندارد. اما شما از مشتری می خواهید که بفهمد محصول ایرانی بهتر است و همان را هم بخرد. چرا مشتری باید در این زمینه سرمایه گذاری کند؟

نجفیـان: اگرچه تعداد مراکزی که محصولات را آزمایش می کنند کم است اما وجود دارند. باید روال و روندی را ایجاد کرد تا طی آن، هم محصولات خارجی و هم تولیدات داخلی در شرایط واقعی و یکسان آزمایش شوند.

محسنی نیـا: لطفاً جایی را هم در کشور به ما معرفی کنید که محصولات خارجی را آزمایش می کنند و رتبه می دهند. متاسفانه غرب زدگی از همین جا شروع می شود. چطور محصول خارجی ادعا می کند که بهترین است و همه هم این مسئله را قبول می کنند اما من هموطن که این ادعا را دارم کسی به من اعتماد نمی کند؟ باید در یک شرایط یکسان، هم محصولات خارجی و هم محصولات داخلی آزمایش شوند و یک کنکور واقعی از همه بگیرند.

نه اینکه تولیدکننده خارجی کارنامه قبولی اش را در دست داشته باشد و به همه نشان دهد اما از ما امتحان های خیلی سختی گرفته شود. از محصول داخلی انتظار دارند کل حملات را شناسایی کند. آیا محصول خارجی هم تضمینی برای شناسایی کل حملات دارد؟

سعـدی: به نظر من شرایط فعلی ما حکم ماشین زهوار در رفته ای را دارد که ظرف مدت زمان کوتاهی هم اصلاح نمی شود. باید همه بخش ها به بلوغ برسند تا مشکلات برطرف شود. این مسئله مشکل تک تک ما است. یاد گرفته ایم تا وقتی می شود چیزی را مجانی به دست آورد، چرا پول بدهیم؟ اما اصلاً به ضعیف شدن صنعت فکر نمی کنیم.

به نفع مردم است که محصول داخلی بخرند. منطقی ترین علت آن هم این است که وقتی محصول مشکلی پیدا کند، دستشان به تولید کننده می رسد.

صالحـی: این دقیقاً به همان مسئله فرهنگ سازی برمی گردد. خریـدار هنگام خرید، فـارغ از داخلی یا خارجی بـودن محصـول باید دقت کرده و سپس تصمیم گیری کند. اما نباید بعد از خرید محصول داخلی بیش از حد سختگیری کند و چون تولیدکننده نزدیکش است، برای هر مسئله کوچکی نسبت به خرید محصول ابراز پشیمانی کند.

سعـدی: اگر دولت ما هم مثل سایر کشورها به مالکیت معنوی و حمایت از تولیدکننده پایبند باشد، مشکلات برطرف می شوند. یک نویسنده در اروپا با نوشتن یک کتاب، زندگی اش به کلی دگرگون می شود اما اینجا تولیدکنندگان داخلی به راحتی ورشکسته می شوند.

محسنیـان: به نظر من بهتر است علاوه بر بحث فرهنگ سازی و همچنین حمایت های دولتی، به این مسئله هم بپردازیم که شرکت های خصوصی خودشان باید برای خودشان چه کاری انجام دهند. به نظر من شرکت های خصوصی قبل از هر چیز باید دانش خود را به سازمان ها منتقل کنند.

باید تفکر سازمان ها را عوض کنند. چرا که سازمان های دولتی ندانسته و از روی عدم دانش نسبت به خرید محصول خارجی تصمیم گیری می کنند. متاسفانه خودمان در جاانداختن این فرهنگ غلط که محصول خارجی بهتر از ایرانی است، اشتباه عمل کرده ایم. باید قبل از هر چیز این نگاه را اصلاح کنیم.

توضیح دهیم که ممکن است محصول شما بروز نشود و حتی هنگام بروز رسانی، از آنجائیکه می دانند در ایران هستید، هزاران ویروس و بدافزار دیگر هم همراهش بفرستند. حتی ممکن است محصول خارجی قوی باشد، اما نیاز شما را برطرف نکند.

سعـدی: نباید از حق بگذریم، دولت نمی تواند برای تک تک سازمان های دولتی نسبت به خرید محصول و تجهیزات امنیتی تعیین تکلیف کند. از اینجا به بعد به فرهنگ و دانش خود خریدار بستگی دارد. اینکه کمک کنند حتی اگر نقطه ضعفی دارید، این ضعف ها برطرف شده و همچنان سرپا باقی بمانید

محسنی نیـا: اگرچه فرهنگ سازی و حمایت های دولتی بسیار مهم است اما ضرب المثلی داریم که می گوید کس نخارد پشت من جز ناخن انگشت من! خودمان باید شروع کنیم. اول باید فرهنگ خودمان را اصلاح کنیم. مثلاً سمیناری بگذاریم و دانش مان را منتقل کنیم.

هزینه ای هم برای این کار از سازمانی دریافت نکنیم تا فکر نکنند برایشان کیسه دوخته ایم. با این کار وقتی شما حرفی بزنید قبول می کنند و یا حداقل برای خرید محصول از شما مشاوره می گیرند. باید کاری کنیم که اعتمادها به سمت ما جلب شود. چراکه پیش زمینه فرهنگی ما عدم اعتماد به یکدیگر است.

نجفیـان: مهم است که شرکت های تولیدی بدون تبلیغ برند خاصی به صورت مشترک، تنها به تبلیغ محصولات داخلی بپردازند.

صالحـی: به نظر من هم برگزاری سمیناری در حد انتقال دانش به مشتریان بسیار مهم و اساسی است.
محسنی نیـا: من یک نکته دیگر هم اضافه کنم. هر شرکتی که در ایران فایروال تولید می کند، برای تولیدش نیاز به کسب مجوز از طرف سازمان فناوری اطلاعات دارد. پیشنهاد من این است که محصولات خارجی هم برای عرضه در بازار نیاز به کسب چنین مجوزی از شرکت فناوری اطلاعات داشته باشند.

قانونی داریم که اگر یک محصول خارجی، نمونه داخلی داشته باشد، مثل لوازم خانگی و صوتی تصویری، وارد کننده محصول خارجی، باید ۶۰ درصد حق گمرک بپردازد. اما برای واردات تجهیزات امنیت شبکه که نمونه داخلی هم دارد، چنین قانونی نداریم.

فرهنگ را با حرف نمی توان عوض کرد؛ باید وارد عمل شویم. من در محیط عملیاتی نشان خواهم داد که محصول ایرانی بهتر است. اما آیا می توانم برای هر مشتری چنین تشکیلاتی راه بیندازم؟ پس باید سازمان مشخصی به عنوان متولی اصلی اینکار معرفی شود.

سعـدی: به نظر من بد نیست که تولیدکنندگان ایرانی هم هرازگاهی هزینه ای کرده و در آزمون های بین المللی شرکت کنند.

قنبـری: به نظرمن هم برگزاری سمیناری مشترک بین تولیدکنندگان داخلی برای انتقال دانش فنی می تواند در جلب اعتماد مشتریان و خرید تولیدات داخلی روش موثری باشد.