حمله راه حل نيست؛ آموزش دهيد

اگرچه چند سالي مي‌شود که امنيت اطلاعات در نظر کاربران مهم‌تر و اساسي‌تر از گذشته جلوه کرده است اما شايد بتوان گفت بالا و پايين‌هاي سال ۹۱ در اين حوزه بيشتر از هر سالي نمود کرده است.

به گزارش افتانا (پايگاه خبري امنيت فناوري اطلاعات)، در حالي که سال ۹۱ به پايان خود نزديک مي‌شود، فرصت مناسبي است تا پاي صحبت‌هاي فعالان اين حوزه بنشينيم و به بررسي اوضاع امنيت اطلاعات در سالي که گذشت بپردازيم. در ادامه گفت وگوي افتانا با حميدرضا سعدي مدير عامل شرکت مهران رايانه مي‌خوانيد.

مهم‌ترين رويداد امنيتي حوزه افتا در سال ۹۱ از ديدگاه شما چيست؟

اما از ميان همه آن‌ها آنچه به اعتقاد من توانست به کشور ضربه وارد کند، حمله ويروس شعله (Flame) به سيستم‌هاي وزارت نفت و زير مجموعه هاي تابعه آن بود. چراکه متاسفانه باعث قطعي دو ماهه اينترنت در اين وزارتخانه و ايجاد اختلال در امور جاري شد و اين اتفاق قطعاً هزينه هاي زيادي را به کشور تحميل کرد.

با توجه اينکه کشور ايران طي سال‌هاي اخير آماج حملات سايبري شده است. لطفاً تحليل خود را از علت بوجود آمدن چنين شرايطي بفرمائيد و آينده را چطور ارزيابي مي‌کنيد؟

مهم‌ترين وظيفه کشور در مقابل حملات سايبري دفاع است چرا که با شرايط فعلي به نظر مي‌رسد که در آينده نيز اينگونه حملات افزايش خواهد داشت.

به نظرم وجود چنين شرايطي در کشور به دليل استفاده از ابزارهاي امنيتي خارجي است. اگرچه مصوبه استفاده از نرم افزارهاي داخلي در کشور ابلاغ شده است اما با وجود کاربراني که از نرم افزارهاي امنيتي قفل شکسته
متاسفانه دولتي‌ها با بخش خصوصي غريبه هستند. تا زمانيکه از محصول خارجي استفاده مي‌کنند و همه چيز مرتب است، سراغي از توليد کننده داخلي نمي‌گيرند اما به محض اينکه با مشکلي مواجه شوند انتظار دارند محصولي به مراتب بهتر از محصولات خارجي و با قيمت پائين تر به آن‌ها ارائه کنيم.
رايگان استفاده مي‌کنند و همچنين سازمان‌هاي بزرگي که اعتقادي به استفاده از محصولات داخلي ندارند، نمي‌توان انتظار دفاع در مقابله با اين حملات را داشت.

اين نکته که نرم افزارهاي امنيتي خارجي قابليت‌ها و همچنين امکانات بهتري نسبت به نرم افزارهاي توليد داخل دارند قابل قبول است اما استفاده از آن‌ها توجيه امنيتي ندارد.

اين موضوع مانند اين است که بگوييم سربازان امريکايي از سربازان ايراني بهتر هستند و لب مرز کشور از آن‌ها استفاده کنيم آيا خط مشي آن‌ها حفاظت از ما است؟

اين درحاليست که متاسفانه در ۹۵ درصد از سازمان‌هاي دولتي در خط مقدم امنيتشان از محصولات خارجي استفاده مي‌کنند. با وجود چنين تفکري چطور مي‌توان انتظار داشت در مقابل حملات سايبري مقاومت کنيم؟

به نظر شما رويکرد بخش دولتي نسبت به حضور بخش خصوصي در حفظ امنيت سايبري کشور چيست؟

متاسفانه دولتي‌ها با بخش خصوصي غريبه هستند. تا زمانيکه از محصول خارجي استفاده مي‌کنند و همه چيز مرتب است، سراغي از توليد کننده داخلي نمي‌گيرند اما به محض اينکه با مشکلي مواجه شوند انتظار دارند محصولي به مراتب بهتر از محصولات خارجي و با قيمت پائين تر به آن‌ها ارائه کنيم.

با اين توضيح نقش دولت را در توانمند سازي بخش خصوصي در توليد محصولات بومي کمرنگ مي‌دانيد ؟

به اعتقاد من اگر در کشور قانون کپي رايت رعايت مي‌شد و کاربران به صورت رايگان به نرم افزارهاي مختلف دسترسي نداشتند، شرايط براي پرورش نبوغ بخش خصوصي و توليد نرم افزارهاي بومي نيز فراهم مي‌شد.
اما متاسفانه به دليل عدم حمايت دولت و عدم وجود چنين قانوني کاربران به راحتي و البته رايگان به انواع نرم افزارها دسترسي دارند و حاضر نيستند براي نمونه داخلي آن پول بدهند. در چنين شرايطي و بدون وجود بازار، توليد مقرون به صرفه نخواهد بود.
در بحث امنيت که بسيار مهم و حياتي است نيز با چنين شرايطي روبرو هستيم متاسفانه دولتي‌ها اقدامي براي بهبود شرايط بازار نمي‌کنند و بازار خودش را با شرايط تطابق مي‌دهد.
مثلاً در زمينه نرم افزارهاي حسابداري که امکان استفاده از نرم افزارهاي خارجي وجود ندارد، شرکت‌هاي خصوصي به خوبي وارد عمل شده و نرم افزارهاي خوبي هم ارائه کرده‌اند اما در ساير زمينه‌ها که خارجي‌ها بازار را قبضه کرده‌اند، دولت نيز اقدامي براي برون رفت از اين شرايط انجام نمي‌دهد.

پس مي‌توان اينطور نتيجه گرفت که به اعتقاد شما راهکار برون رفت از آسيب پذيري هاي امنيتي اجبار دولت‌ها به استفاده از نرم افزارهاي داخلي است؟

البته اجبار بدون زمينه سازي قبلي بي نتيجه خواهد بود. نمي‌توان از دولت انتظار داشت در اين زمينه سازمان‌ها را مجبور به استفاده کند اما زيرساخت و سرمايه گذاري در اين حوزه وجود نداشته باشد.
به عنوان مثال نمي‌توان انتظار داشت کاربران گوشي‌هاي داخلي دستشان بگيرند اما توليد کننده گوشي داخلي نداشته باشيم. قبل از هر چيز دولت بايد شرايط انگيزشي را براي سرمايه گذاري در اين حوزه فراهم کند اگر اين اتفاق نيفتد اجبار به ضرر توليد کننده داخلي تمام خواهد شد.

باتوجه به اظهارات اخير غرب در خصوص ارتش سايبري ايران لطفاً ديدگاه خود را در اين خصوص بفرمائيد. وجود چنين ارتشي تا چه اندازه در کنترل حملات موفق خواهد بود؟

روزانه بيش از ۱۵۰ هزار فايل آلوده در کشور شناسايي مي‌شود، ارتش سايبري با چه تعداد نيرو قرار است در مقابل اين حملات بايستد؟
دفاع و حمله لازم و ملزوم يکديگر هستند آيا دولت قصد دارد تنها از طريق حمله در مقابل ساير حملات دفاع کند.
اين درحاليست که مي‌توان گفت ۸۰ درصد حملاتي که به کشور وارد مي‌شود، از روي سهل انگاري کاربران است. پس اگر به کاربران شيوه درست حضور در فضاي سايبري آموزش داده شود از هر دفاع و حمله اي اثربخش‌تر خواهد بود.