صالحـی: دو سال قبل ویروس استاکس نت به عنوان یکی از جدیترین تهدیدات سایبری وارد کشور شد و حالا شاهد تهدیدات جدیدتری همچون ویروس فلیم هستیم. امروز میخواهیم به بررسی توان تولیدکنندگان داخلی در مقابله با تهدیدات سایبری بپردازیم. یکی از مهمترین دغدغههای مدیران شرکتهای بخش خصوصی صرفنظر از راهکارهای داخلی یا خارجی برای مقابله با تهدیدات، همکـاری نکردن بخش دولتـی در این زمینه است. شما در این زمینه چه تجربیاتی دارید؟
سعـدی: ویژگی ویروسها این است که پیش از اینکه از وجودشان خبردار شویم، به شبکه نفوذ کرده، عملیات تخریبی انجام میدهند و بعد از اینکه تاثیر مخربشان بر شبکه وارد شد، شناسایی و تحلیل میشوند. مثلا در مورد استاکس نت، کارشناسان پس از گذشت یک سال که آسیبهای زیادی به شبکهها وارد شده بود، پی به وجود این ویروس بردند و پس از دو ماه شروع به تحلیل عملکرد آن کردند. در مورد ویروس فلیم هم همین اتفاق افتاد. اما در توضیح اینکه چرا معمولا ویروسها اینقدر دیر شناسایی میشوند، سرورهای داخلی ما روزانه بین 40 تا 50 هزار بدافزار را جمعآوری میکنند که بین آنها ممکن است چندین جاسوس افزار هم وجود داشته باشد. اما اینکه کدام یک از اینها ارزش تحلیل و بررسی را دارند، مثل گشتن به دنبال یک سوزن در انبار کاه است و عملا امکانپذیر نیست. با اینکه ویروس فلیم بهمن ماه شناسایی شد اما تحلیل و بررسی عملکرد آن اواسط تیرماه انجام شد.
رسالت آزمایشگاه مهران رایانه این است که وقتی وجود ویروسی به طور جدی مطرح شد، در آرشیو آزمایشگاه آن را جستوجو کرده و در نهایت اقدام به تحلیل آن میکند. اما به دلیل اینکه این کار هیچ ارزش افزودهای برای ما ندارد و همچنین متولی دستگاههای دولتی در بحث اطلاعرسانی نیستیم، عجلهای هم برای انتشار اطلاعات حاصل از تحلیل ویروسها نداریم!
صالحـی: برخورد سازمانها در زمان کشف ویروس چگونه است؟ آیا برخورد حراستی است؟ آیا به کارشناسان شما برای بررسی و نمونهبرداری اجازه ورود به سـازمان داده میشود؟
سعـدی: دقیقا مشکل ما در آزمایشگاه همین است. هر سازمانی بعد از بروز مشکل با ما تماس میگیرد. اما متاسفانه نه برای تحلیل ویروس هزینهای پرداخت میکنند و نه تمایلی به رسانهای شدن موضوع دارند.
قنبـری: در سایر کشورها با یک روال مشخصی مثلا داشتن امضا و یا نشانه، کارشناسان مرتبط حق ورود به سازمان و نمونهبرداری دارند. اما در کشور ما اگر در سازمان، اطلاعاتی هم در مورد ویروس وجود داشته باشد، به دلایل امنیتی مشکل را سربسته مطرح کرده و میترسند اطلاعاتی در اختیار ما قرار دهند!
محسنینیـا: بحث ویروسها و بدافزارهای جاسوسی تمام شدنی نیست و نه تنها ایران، بلکه در کل دنیا اتفاق میافتد. به نظر من باید در این جلسه به دنبال راهکارهایی باشیم تا اجازه ندهیم بیشتر از این به ما صدمه بزنند.
قنبـری: به نظر من بزرگترین ویروسی که تاکنون باعث خروج اطلاعات از سازمان شده و به عنوان یک تهدید مهم شناخته میشود، ویروس دوپا یا همان نیروی انسانی شاغل در سازمانهاست. اما متاسفانه ما همیشه به دنبال فرار از این واقعیت بودیم و سعی میکنیم همه خطاها را به گردن ویروس بیندازیم.
نجفیـان: موافقم در مورد راهکارها صحبت کنیم. همین حالا هم خیلی از شرکتها راهکار دارند، اما شاید راهکار جامع و کاملی نباشد. استفاده از ضدویروس و فایروال و ایجاد شبکههای امنیتی یک لایه و دولایه از راهکارهای سازمانها برای مقابله با نفوذ است، اما اینکه چرا فلیم توانست اینقدر خوب نفوذ پیدا کند، موضوع مهمی است. تقریبا همه تایید میکنند ویروس فلیم، یکی از قویترین ویروسهایی بوده که تاکنون نوشته شده است. به نظر من تیمی که این ویروس را نوشته، یک تیم ویروس نویس صرف نبوده، بلکه هر بخش آن توسط تیمی متخصص نوشته شده است.
ویروس فلیم برای ورود به سیستم، الگوریتم MD5 ویندوز را هک میکنـد. چند سال قبل متخصصان قابل نفوذ بودن MD5 را به مایکروسافت تذکر دادند. مایکروسافت هم این امکان را از همه بخشهای ویندوز به جز بخش Auto update حذف کرد. ویروس فلیم هم دقیقا از همین نقطه، سوءاستفاده کرد. این ویروس روی بخشAuto update ویندوز نشسته و اصلاحیههای مایکروسافت را میگیرد. خودش هم چند فایل دیگر به آن اضافه میکند.
از آنجاکه فایلهای اضافی در کنار اصلاحیههای مایکروسافت امضا میشوند، هیچ ضدویروسی نمیتواند فایلهای مخرب را از سایر فایلها تشخیص دهد. کاربران همه فایلها را نصب میکنند، بیخبر از اینکه فایلهای مخرب هم بین آنها وجود دارد. با این توضیح میخواهم به این نتیجه برسم که این تکنیکها فراتر از یک ویروس نویسی ساده است.
قنبـری: قطعا دانش ویروسها و ویروس نویسها به مرور زمان بیشتر شده، اما مشکلی که به ویژه در سازمانهای دولتی با آن روبهرو هستیم، این است که برای نفوذ به شبکه این سازمانها نیازی به این همه پیچیدگی نیست. ویروسهای خیلی سادهتر از ویروس فلیم، منجر به خروج انبوهی از اطلاعات از سازمانها میشود. گهگاه در سازمانها دیدهایم پس از نصب یک برنامه، رمز عبور آن را یک تا شش گذاشته اند. به نظر من در شرایط فعلی شاید تکنولوژی پشت این ویروسها آنقدر مهم نباشد. بلکه روندی که باید در سازمانها تعریف شود تا اساسا نفوذ را غیرممکن کند، مهمتر است. به نظر من قبل از هرچیز باید فرهنگ سازمانهای ما در حفظ امنیت اطلاعات سازمانی تغییر کند. اینکه بدانند حمله چیست؟ چه اقدامات پیشگیرانهای وجود دارد و حتی بعد از بروز حمله چه باید کرد. در حالی که رویکرد فعلی سازمانها در مواقع این چنینی، اطلاعرسانی نکردن و همچنین جلوگیری از ورود کارشناسان به داخل سازمان است. من در دفتر رییس یکی از بانکها بودم و رییس بانک به من گفت همین حالا که شما در دفتر من هستید، یعنی بانک ما امن نیست. باید چنین دیدگاههایی تغییر کند.
سازمانهای ما فقط به دنبال خرید سختافزارهای امنیتی هستند که هنوز فرهنگ استفاده از آنها را ندارند. بسیار اتفاق افتاده ما به سازمانی سختافزار فروختهایم اما هنوز برای دریافت رمز عبورش با ما تماس نگرفتهاند، این یعنی که آن سختافزار در سازمان بلااستفاده مانده است.
محسنینیـا: چند وقتی است موجی از خرید سختافزارهای امنیتی بین شرکتها شکل گرفته و همه به فکر افزایش تجهیزات امنیتی خود هستند. اما خرید تجهیزات امنیتی به معنی افزایش امنیت نیست و حتی ممکن است باعث ناامنی بیشتر هم بشود. مهم مدیریت بحران از طریق فرآیندهای تعریف شده است. حمله سایبری در همه جای دنیا اتفاق میافتد و در واقع تبدیل به یک سلاح برای کشورها شده است. پس برای آمادگی در مقابله با این شرایط، مهمترین نیاز، آموزش است.
نجفیـان: دلیل اینکه من در ابتدای صحبتم وارد مباحث فنی شدم، دقیقا همین بود. در تایید صحبتهای مهندس محسنینیـا، باید اضافه کنم صرفا خرید تجهیزات، عامل ایمنی بیشتر و مقابله با تهدیدات نیست. در بحث امنیت سه عامل مهم و اساسی وجود دارد؛ نخست نیروی انسانی، دوم به کارگیری روالهایی چون ISMS و در نهایت تکنولوژی. اما متاسفانه نخستین اقدام هر سازمانی تنها خریداری تکنولوژی و تجهیزات است.
نیروی انسانی به عنوان مهمترین عامل ناامنی شناخته میشود و کم هزینهترین راهحل برای تامین امنیت شبکه هم همین نیروی انسانی است. مرحله بعدی، ایجاد روالهای متعارف در سازمان است. مثلا اگر قرار است سندی رد و بدل و امنیت آن هم حفظ شود، باید طبق روال خاصی انجام شود. ISMS در واقع معرفی استانداردها و ایجاد روالهای امن در سازمان است.
مرحله سوم و آخر، استفاده از تکنولوژی و تجهیزات امنیتی است اما متاسفانه در ایران، سازمانها در نخستین قدم برای تامین امنیت به فکر خرید تکنولوژی میافتند و با خریدن یک فایروال میخواهند امنیت همه جانبهای برقرار کنند!
سازمانها بعد از برقراری تمامی این جوانب، باید به دنبال پیادهسازی یک راهحل امنیتی هم باشند. مدتی است مبحثی با عنوان SOC در بعضی سازمانها مطرح میشود. SOC مرکز عملیات امنیت به عنوان چتری روی همه راهحلهای امنیتی قرار میگیرد. با اینکه هیچ زمانی هیچ ضدویروسی قادر به شناسایی کل ویروسها نخواهد بود، از طریق شواهد و همچنین ابزارهای مختلف میتوان پی به وقوع یک اتفاق مشکوک برد. ویروسهای رایانهای هم مثل ویروس سرماخوردگی به مرور بیشتر شده و کهنه میشوند. هر قدر سازمان دیرتر متوجه حضور و فعالیت آنها شود، جلوگیری از گسترش اثرات مخرب آنها هم سختتر خواهد شد.
اما چه کار میتوان کرد تا زودتر متوجه فعالیتهای مخرب شد؟ ابزارهایی وجود دارند که تمامی گزارشهای شبکه را در جایی متمرکز، جمعآوری میکنند. هر کدام از این ابزارها به نوبه خود اتفاق کوچکی از آن اتفاق اصلی و بزرگ را گزارش میکنند. با کنار هم قرار دادن این اطلاعات، میتوان از وقوع یک اتفاق غیرعادی باخبر شد. این اقدامات حتما باعث خواهد شد سازمانها نسبت به وجود ویروس، خیلی زودتر واکنش نشان داده و اقدامات لازم، برای مقابله با آن نیز انجام شود.
صالحـی: خیلی از سازمانهای دولتی این اتفاقات را ثبت میکنند، اما در اغلب موارد این اطلاعات بدون تحلیل و بررسی رها میشود.
سعـدی: به نظر من یک ویروس گنجی از اطلاعات فنی است که هنوز کسی متوجه آن نشده است. در واقع ویروسها فرصتهای مناسبی برای شرکتهای خصوصی هستند تا نسبت به بروز کردن اطلاعات خود اقدام کنند. البته شرکتهای خارجی در این زمینه بسیار فعال عمل کردهاند، اما سازمانهای ما در مواجهه با این شرایط، حالت تدافعی به خود میگیرند.
در امریکا همزمان با همایش کلاه سیاهها، مسوولان امنیت اطلاعات سازمانها هم حضور دارند و سعی میکنند از توانمندیهای ویروسنویسان بهره ببرند. اما در ایران سازمانها از بررسی وضعیت و قابلیت نفوذ سازمانشان واهمه دارند. به نظر من خصوصی باید برای به چالش کشیدن این وضعیت وارد عمل شود و نمره منفی را به سازمانی بدهد که برای جلوگیری از نفوذ، شبکه دو تکه طراحی کرده و کلا شبکه داخلیاش قطع است!
صالحـی: خیلی از سازمانها اعتقاد دارند که تنها راهحل جلوگیری از نفوذ، داشتن یک شبکه دو تکه است.
سعـدی: دو هفته پیش با سازمانی تماس گرفتم و پیگیر سندی شدم که قرار بود برایشان ارسال کنیم. گفتند اینترنت ما قطع است لطفا برای ما پست کنید. اگر اینترنت قطع است، پس اصلا کار نمیکنید! یعنی میلیاردها تومان برای نیروی انسانی بیکار هزینه میشود. کارمندی در یک مجموعه دولتی میگفت، طی بخشنامهای به آنها اعلام کردهاند اگر سیستم کسی آلوده به ویروس فلیم باشد، اخراجش میکنیم، ما هم سیستمها را خاموش کردهایم و بیکار نشستهایم!
متاسفانه مشکلی که ما در حال حاضر با آن روبهرو هستیم، با محصول داخلی یا خارجی خریدن حل نمیشود. قبل از هر چیز باید به فکر آموزش نیروی انسانی باشیم. نیروی انسانی آموزش دیده، کارایی ابزارها را هم بیشتر میکند.
هنوز هم سازمانهای صنعتی دنبال ویروس استاکس نت در سیستمهایشان هستند و هر ویروسی را استاکس نت خطاب میکنند. اما در نهایت مشخص میشود که عامل انسانی باعث نفوذ و افشای اطلاعات بوده است.
تا زمانی که نیروی انسانی کارآمد نداشته باشیم، از بهترین تجهیزات امنیتی هم که استفاده کنیم، فایدهای ندارد و فقط آبروی شرکت داخلی و خارجی تولیدکننده میرود!
محسنینیـا: به نظر من ما در حال درد دل کردن هستیم. با توجه به اینکه کشور تا این حد مورد حمله جاسوسی قرار میگیرد، بهتر است به دنبال راهکار باشیم. متاسفانه ما عادت کردهایم جزیرهای کار کنیم. اگر اطلاعات امنیتی همه سازمانها، متمرکز و یکجا جمعآوری شود، تحلیل شده و در نهایت به اطلاع همه برسد، نتیجه بهتری خواهیم گرفت. کشورهای اروپایی هم مورد حمله جاسوسی قرار میگیرند و این اتفاق فقط مختص ایران نیست. سازمانی که متولی جمعآوری اطلاعات است، باید پروتکل و جلساتی هم با کشورهای دیگر داشته باشد تا بتوان با نگاه بینالمللی مشکلات را مطرح کرد.
قنبـری: ضمن تایید صحبتهای شما مثالی میزنم! در بحث ترافیک تهران، ارگانهای مختلفی از جمله سازمان راهنمایی و رانندگی و شهرداری تهران درگیر هستند. هر کدام هم به صورت مستقل و جزیرهای کار میکنند. در واقع هیچ مرجعی برای پاسخگویی به مشکلات ترافیک تهران وجود ندارد. در بحث حملات و نفوذ هم نهاد و متولی مشخصی برای پاسخگویی نداریم. سازمان فناوری اطلاعات، ارتباطات زیرساخت، مرکز تحقیقات مخابرات، وزارت اطلاعات و غیره همه به صورت موازی و در کنار هم فعالیت میکنند. البته شورای عالی فضای مجازی هم جدیدا در فضای گستردهتری شروع به فعالیت کرده است. اما بیشتر بر مباحث فرهنگی تاکید دارد. ما نیاز به یک نهاد و تشکیلات منسجم داریم تا هم بخش خصوصی و هم بخش دولتی به عنوان یک مرجع مشخص به آن مراجعه کند.
در واقع این موضوع که بخش خصوصی کسی را به عنوان صاحب و متولی بحث امنیت اطلاعات نمیشناسد، مشکل اصلی است. شاید باید این متولی حتی یک سطح بالاتر از دولت، نهادی مثل شوراهای عالی باشد.
صالحـی: یعنی ما نیاز به یک نهاد فراحاکمیتی- فرا بخشی داریم تا به طور کلان وارد عمل شود؟
قنبـری: ما نخستین کشور نیستیم که مورد حملات سایبری قرار میگیریم. بالاخره کشورهای دیگر هم تسهیلاتی برای مقابله با این حملات به کار گرفتهاند. یعنی اگر بخش حاکمیتی بخواهد در این بخش سرمایهگذاری کند، دانش نهفته، مخفی و غیرقابل دسترسی نیست. صنایع موشکی ما چطور پیشرفت کرد؟ بالاخره عدهای دانش موجود در این کار را کسب، بومیکرده و ارگانی به عنوان متولی آنها را یکجا جمعآوری و به سامان رسانده است. قطعا در این راه سپاه پاسداران برای تامین تمامی ابعاد تاسیسات موشکی اش، به تنهایی وارد عمل نشده و با شرکتهای خصوصی هم تعامل داشته است. در مورد فضای سایبر هم میتوان این کار را کرد. در حالی که حساسیت آن به مراتب از تاسیسات هستهای و موشکی کمتر است.
محسنینیـا: دقیقا باید کارها از حالت جزیرهای فعلی بیرون بیاید و با بهرهگیری از تجربیات یکدیگر به نتیجه برسیم.
سعـدی: پیشنهاد همگی ما این است که دولت باید برای مقابله با تهدیدات سایبری از بخش خصوصی حمایت کند. اما نکته مهم اینکه در خارج از کشور، شرکتهای خصوصی همکاری گستردهای با بخش دولتی دارند. در حالی که در ایران بخش خصوصی باید با چنگ و دندان سهمش از بازار را بگیرد. به نظر من در این زمینه شرکتهای خصوصی باید با تعامل بیشتر با یکدیگر همکاری کرده و مطالباتشان را مطرح کنند. البته سازمان نظام صنفی رایانهای هم باید از حرکت خودجوش شرکتها برای ایجاد ضابطه استفاده کند.
مثلا یکی از اتفاقات مثبت در حمایت از تولیدکننده داخلی، اختصاص بیلبوردهای تبلیغاتی شهری به آنها بود. این اقدام یک فرصت و حرکت مناسب برای حضور شرکتهای داخلی و ایجاد یک ظرفیت برای آنهاست. راهکارهای ما هم باید از مسیر نظام صنفی رایانهای باشد و صنف به عنوان نماینده شرکتها، خواستههای ما را مطرح کند.
محسنینیـا: من فکر میکنم میتوان این کار را به عنوان یکی از وظایف کمیسیون افتای نظام صنفی قرار دهیم تا حداقل پیشنهادهای ما در این زمینه به گوش شرکت فناوری اطلاعات برسد.
صالحـی: جنس این پیشنهاد چیست؟ اینکه ما بخش دولتی را آگاه کنیم؟
محسنینیـا: نه! آگاه هستند، بلکه به یکدیگر اعتماد ندارد و هریک میخواهند خودشان در راس کار باشند.
سعـدی: یکی از پیشنهادات مثبت سازمان نظام صنفی رایانهای، گروه بندی شورای عالی انفورماتیک بود. دولت هم این پیشنهاد را قبول کرد و با توجه به وظایف هر شرکت گروهبندی انجام شد. به نظر من باید طی یک برنامه زمانبندی مشخص، نظام رتبهبندی شرکتها را پیاده کنیم تا با تشخیص دولت، قابلیتهای هر شرکتی مشخص شده و با توجه به آن، از توانمندی شرکتها استفاده کنند. با ایجاد پروتکل ارتباطی در این زمینه، شرکتها دیگر به فکر از میدان به در کردن یکدیگر نیستند و در کنار هم در بازار رقابت خواهند کرد. این موضوع باعث میشود شرکتها هم با برنامه وارد بازار شوند و از هرج و مرج جلوگیری شود. باید در حالی که ظرفیتهای خود را به بازار معرفی میکنیم، از دولت هم بخواهیم بازار را برای ما آماده کند. اما متاسفانه خودمان هم در صنف، منفعلانه عمل میکنیم.
به عنوان مثال نظام صنفی در حالی بحث ساماندهی بازار محصولات خارجی را مطرح میکند که هنوز نتوانسته ایم بازار داخل را ساماندهی کنیم. این نشان دهنده این است که ما برنامه مدون و مشخصی نداریم. جلساتی هم که در نظام صنفی برگزار میشود، تنها به تازه شدن دیدارها میگذرد و خروجی مشخصی ندارد.
محسنینیـا: متاسفانه نظام صنفی رایانهای بسیار ضعیف عمل میکند. من نظام صنفی را با تشکل نظام مهندسی ساختمان مقایسه میکنم. این تشکل قدرت وضع قانون دارد. مثلا قانونی وضع کردهاند که اگر هر زمانی دلار بالا رفت حتی اگر قرارداد با قیمت قبلی منعقد شده باشد، همه قیمتهای مندرج در قرارداد براساس نرخ روز دلار محاسبه خواهد شد. در واقع آن نظام صنفی آنقدر به دولت فشار آورده که این موضوع را تبدیل به قانون کرده است. اما وقتی ما با شرکتهای دولتی قرارداد میبندیم، در خوشبینانهترین حالت، 10 درصد بعد از عقد قرار داد پرداخت میکنند. در حالی که من به عنوان تولیدکننده باید 90 درصد سرمایهگذاری کنم.
صالحـی: به نظرم بحث دوباره حالت درد دل پیدا کرد. من میخواهم بحث را به جایی ببریم که مشخص شود بخش خصوصی باید چه مطالباتی از بخش دولتی داشته باشد؟
محسنینیـا: من توضیحی در مورد بازار محصولات داخلی بدهم. یک ابزار خارجی قوی با پشتیبانی قوی را با یک ابزار بومیکه 70 درصد قابلیت و توانایی یک ابزار خارجی را دارد، مقایسه کنید. نکته مهم در این دو محصول میزان توانایی آنها نیست، بلکه مهم قرار گرفتن تولیدکننده پشت ابزار داخلی است. یعنی اگر مشکلی به وجود بیاید، مشتری حتی میتواند مستقیم با مدیر عامل تماس بگیرد تا مشکل حل شود. به نظر من واردکنندگان تجهیزات خارجی بیشتر به کار دلالی مشغولند. شما برای من یک شرکت بزرگ مثال بزنید که ضمن داشتن دانش قوی، فروشنده تجهیزات خارجی هم باشد. اصلا نداریم. چرا که آنها فقط یک تیم پشتیبانی قوی دارند که میتوانند تجهیزات را نصب و راهاندازی کرده و پول بگیرند. ولی دانشی به سازمان هدف، منتقل نمیکنند. در حال حاضر تجهیزات بسیار گران قیمتی در ایران وجود دارد که امکان بهروزرسانی آن قطع است. یعنی اصل کار مشکل دارد.
صالحـی: به نظر شما این بخش ماجرا دقیقا به دانش مصرف کننده مربوط نیست؟
محسنینیـا: متاسفانه همه بدون هیچ پشتوانه علمیخاصی، فکر میکنند فایروال خارجی خوب ولی فایروال ایرانی بد است. در بسیاری از آزمونهای دنیـا، فایروال فورتی نت جزو پرفروشترین UTMهای دنیا شناخته شده است. در واقع مبدع فایروال در دنیا فورتی نت است. حالا این شرکت ادعا میکند 8 گیگ تروپوت دارد. آیا این ادعا در شرایط واقعی هم حقیقت دارد؟ آزمایشگاه LAB NSS که در دنیا جزو بهترین و مجهزترین آزمایشگاههاست، طبق شرایط واقعی تجهیزات امنیتی را بررسی میکند. طبق متدولوژی این آزمایشگاه، 8 گیگ ادعای فورتی نت به 150 مگابایت رسیده است. در حالی که این شرکت همچنان به خودش افتخار میکند که از آزمون LAB NSS با موفقیت بیرون آمده است.
واقعیت این است که خیلی از سازمانهای ما دانش لازم در این زمینه را ندارند و ما به عنوان تولیدکننده داخلی فرصت میخواهیم خودمان را در بازار نشان دهیم. اما متاسفانه مصرف کننده این فرصت را به ما نمیدهد. مثالی میزنم. اگر تجهیزات ما در شبکه یک سازمان دولتی قرار گرفته باشد، مشکل موجود در شبکه را گردن تجهیزات ما میاندازند اما اگر یک وسیله خارجی در شبکه باشد و شبکه همان مشکل را داشته باشد، میگویند شبکه یعنی همین!
خوشبختانه محصولات داخلی با سرمایه خودشان رشد کردهاند، اما نیاز به حمایت دارند. نمیخواهیم بگوییم محصولات خارجی خوب نیست، اما اطمینان داریم محصولات داخلی هم طراز با نمونههای خارجی هستند.
صالحـی: بیش از حد توان از مشتری انتظار ندارید؟ مشتری وظیفه آزمایش محصول را ندارد. اما شما از مشتری میخواهید که بفهمد محصول ایرانی بهتر است و همان را هم بخرد. چرا مشتری باید در این زمینه سرمایهگذاری کند؟
نجفیـان: اگرچه تعداد مراکزی که محصولات را آزمایش میکنند کم است، اما وجود دارند. باید روال و روندی را ایجاد کرد تا طی آن، هم محصولات خارجی و هم تولیدات داخلی در شرایط واقعی و یکسان آزمایش شوند.
محسنینیـا: لطفا جایی را هم در کشور به ما معرفی کنید که محصولات خارجی را آزمایش میکنند و رتبه میدهند. متاسفانه غربزدگی از همین جا شروع میشود. چطور محصول خارجی ادعا میکند که بهترین است و همه هم این ادعا را قبول میکنند، اما من هموطن که این ادعا را دارم کسی به من اعتماد نمیکند؟ باید در یک شرایط یکسان، هم محصولات خارجی و هم محصولات داخلی آزمایش شوند و یک کنکور واقعی از همه بگیرند. نه اینکه تولیدکننده خارجی کارنامه قبولیاش را در دست داشته باشد و به همه نشان دهد اما از ما امتحانهای خیلی سختی گرفته شود. از محصول داخلی انتظار دارند کل حملات را شناسایی کند. آیا محصول خارجی هم تضمینی برای شناسایی کل حملات دارد؟
سعـدی: به نظر من شرایط فعلی ما حکم ماشین زهوار در رفتهای را دارد که ظرف مدت زمان کوتاهی هم اصلاح نمیشود. باید همه بخشها به بلوغ برسند تا مشکلات برطرف شود. این مشکل تک تک ماست. یاد گرفتهایم تا وقتی میشود چیزی را مجانی به دست آورد، چرا پول بدهیم؟ اما اصلا به ضعیف شدن صنعت فکر نمیکنیم.
به نفع مردم است که محصول داخلی بخرند. منطقیترین علت آن هم این است که وقتی محصول مشکلی پیدا کند، دستشان به تولیدکننده میرسد.
صالحـی: این دقیقا به همان مساله فرهنگ سازی برمیگردد. خریـدار هنگام خرید، فـارغ از داخلی یا خارجی بـودن محصـول باید دقت کرده و سپس تصمیمگیری کند. اما نباید بعد از خرید محصول داخلی بیش از حد سختگیری کند و چون تولیدکننده نزدیکش است، برای هر مساله کوچکی نسبت به خرید محصول ابراز پشیمانی کند.
سعـدی: اگر دولت ما هم مثل سایر کشورها به مالکیت معنوی و حمایت از تولیدکننده پایبند باشد، مشکلات برطرف میشوند. یک نویسنده در اروپا با نوشتن یک کتاب، زندگیاش به کلی دگرگون میشود اما اینجا تولیدکنندگان داخلی به راحتی ورشکسته میشوند.
محسنیـان: به نظر من بهتر است علاوه بر بحث فرهنگ سازی و همچنین حمایتهای دولتی، به این مساله هم بپردازیم که شرکتهای خصوصی خودشان باید برای خودشان چه کاری انجام دهند. به نظر من شرکتهای خصوصی قبل از هر چیز باید دانش خود را به سازمانها منتقل کنند. باید تفکر سازمانها را عوض کنند. چرا که سازمانهای دولتی ندانسته و از روی عدم دانش نسبت به خرید محصول خارجی تصمیمگیری میکنند. متاسفانه خودمان در جاانداختن این فرهنگ غلط که محصول خارجی بهتر از ایرانی است، اشتباه عمل کردهایم. باید قبل از هر چیز این نگاه را اصلاح کنیم. توضیح دهیم که ممکن است محصول شما بروز نشود و حتی هنگام بهروزرسانی، از آنجائیکه میدانند در ایران هستید، هزاران ویروس و بدافزار دیگر هم همراهش بفرستند. حتی ممکن است محصول خارجی قوی باشد، اما نیاز شما را برطرف نکند.
سعـدی: نباید از حق بگذریم، دولت نمیتواند برای تک تک سازمانهای دولتی نسبت به خرید محصول و تجهیزات امنیتی تعیین تکلیف کند. از اینجا به بعد به فرهنگ و دانش خود خریدار بستگی دارد. اینکه کمک کنند حتی اگر نقطه ضعفی دارید، این ضعفها برطرف شده و همچنان سرپا باقی بمانید.
محسنینیـا: اگرچه فرهنگسازی و حمایتهای دولتی بسیار مهم است اما ضربالمثلی داریم که میگوید کس نخارد پشت من جز ناخن انگشت من! خودمان باید شروع کنیم. نخست باید فرهنگ خودمان را اصلاح کنیم. مثلا سمیناری بگذاریم و دانشمان را منتقل کنیم. هزینهای هم برای این کار از سازمانی دریافت نکنیم تا فکر نکنند برایشان کیسه دوختهایم. با این کار وقتی شما حرفی بزنید قبول میکنند و یا حداقل برای خرید محصول از شما مشاوره میگیرند. باید کاری کنیم که اعتمادها به سمت ما جلب شود چراکه پیش زمینه فرهنگی ما عدم اعتماد به یکدیگر است.
نجفیـان: مهم است که شرکتهای تولیدی بدون تبلیغ برند خاصی به صورت مشترک، تنها به تبلیغ محصولات داخلی بپردازند.
صالحـی: به نظر من هم برگزاری سمیناری در حد انتقال دانش به مشتریان بسیار مهم و اساسی است.
محسنینیـا: من یک نکته دیگر هم اضافه کنم. هر شرکتی که در ایران فایروال تولید میکند، برای تولیدش نیاز به کسب مجوز از طرف سازمان فناوری اطلاعات دارد. پیشنهاد من این است که محصولات خارجی هم برای عرضه در بازار نیاز به کسب چنین مجوزی از شرکت فناوری اطلاعات داشته باشند.
قانونی داریم که اگر یک محصول خارجی، نمونه داخلی داشته باشد، مثل لوازم خانگی و صوتی تصویری، واردکننده محصول خارجی، باید 60 درصد حق گمرک بپردازد. اما برای واردات تجهیزات امنیت شبکه که نمونه داخلی هم دارد، چنین قانونی نداریم.
فرهنگ را با حرف نمیتوان عوض کرد؛ باید وارد عمل شویم. من در محیط عملیاتی نشان خواهم داد که محصول ایرانی بهتر است. اما آیا میتوانم برای هر مشتری چنین تشکیلاتی راه بیندازم؟ پس باید سازمان مشخصی به عنوان متولی اصلی اینکار معرفی شود.
سعـدی: به نظر من بد نیست که تولیدکنندگان ایرانی هم هرازگاهی هزینهای کرده و در آزمونهای بینالمللی شرکت کنند.
قنبـری: به نظرمن هم برگزاری سمیناری مشترک بین تولیدکنندگان داخلی برای انتقال دانش فنی میتواند در جلب اعتماد مشتریان و خرید تولیدات داخلی روش موثری باشد.