هشدار درباره حاکميت فناوري خارجي گفت‌وگو با دکتر جليلي رسول جليلي، عضو هيأت‌علمي دانشكده مهندسي كامپيوتر دانشگاه صنعتي شريف، اخيراً از سوي رييس‌ جمهور به عضويت شوراي عالي فناوري اطلاعات منصوب شده‌ است. گفت‌وگوي گروه طيف با ايشان که بنا به درخواست خودشان، به صورت کتبي انجام شد، حاوي نکات و نگراني‌هاي مهمي در زمينه امنيت فضاي ICT کشور و لزوم توجه به توانمندي‌هاي داخلي و نير مباحثي همچون اينترنت ملي است؛ نگراني‌هايي که بيان آنها از سوي عضو شوراي عالي فناوري اطلاعات، اهميت و لزوم توجه به آنها را چند برابر مي‌کند. مديريت مرکز امنيت شبکه دانشگاه صنعتي شريف، همکاري با مرکز صنايع نوين و توسعه اولين فناوري SMS ايراني، در کارنامه فعاليت‌هاي دکتر جليلي به چشم مي‌خورد. فصلنامه علمي تحليلي طيف برق • با تشکر از جنابعالي، لطفاً به عنوان اولين سؤال، ارزيابي خود را از وضعيت امنيت در فضاي ارتباطي و اطلاعاتي (ICT) کشور بفرماييد. ارزيابي بنده از وضعيت امنيت در فضاي ارتباطي و اطلاعاتي يا به عبارت مرسوم‌تر، امنيت فضاي تبادل اطلاعات (افتا) به ارتباطات و اطلاعات شخصي بنده محدود مي‌شود. تصور نمي‌کنم آمار و اطلاعاتي از نگراني‌هاي ايجادشده و يا آسيب‌پذيري‌هاي گزارش‌شده افتا، توليد يا جمع‌آوري شده باشد كه بتوان بر اساس آن اين مسأله را ارزيابي کرد. با وجود اين، بايد بگويم كه امنيت فتا بايد به نسبت خود فتا ارزيابي شود. اگر در كشوري به فتا و كاربري فناوري اطلاعات و ارتباطات بهاي زيادي داده شده است يا مي‌شود، بالطبع، زندگي روزانه مردم در گرو عملكرد صحيح و ايمن عناصر اين فضا است و هر گونه اختلالي در اين امر، باعث خسارت مي‌شود. اين خسارت قابل ارزيابي کمي است و بر اين اساس، تخصيص اعتبار براي امنيت فتا يا بازخواست مسؤولان اين بخش، توجيه‌پذير است. نکته قابل توجه آن است که همه مسؤولان کشور دغدغه‌هاي فراوان امنيتي دارند و اين دغدغه‌ها را بروز داده‌اند؛ البته هنوز اتفاق قابل‌ملاحظه‌اي گزارش نشده است؛ سند راهبردي افتا به تصويب دولت رسيده است و در سطوح عالي كشور، رهنگ‌سازي اوليه انجام شده است؛ در مجموع، همه چيز مهيا است كه حركت مناسبي در اين زمينه شكل گيرد که البته به همت و هماهنگي و تمركز در تصميم نياز دارد. نقطه قوت ما، وجود و ابراز اين دغدغه‌ها و اعتقاد همه مسؤولان تراز اول به استفاده از توان داخلي براي رفع اين دغدغه‌ها است. اما نقطه ضعف ما، عدم باور مسؤولان رده‌هاي پايين‌تر است كه بعضاً كلِ موضوع را با نگرش خريد تجهيزات از خارج كشور مي‌نگرند. • در حال حاضر، مکالمات کاربران ايراني (مقام‌هاي کشوري و مردم عادي) از طريق تلفن‌همراه، ثابت، ماهواره‌اي و اينترنتي (VoIP) تا چه حدي امن است؟ به اين سؤال به طور دقيق نمي‌توانم پاسخ دهم؛ ولي چند حقيقت را بيان مي‌كنم: اول اينكه شنود از هر رسانه پخش همگاني (Broad Cast) نظير سيستم‌هاي بي‌سيم (تلفن همراه، ماهواره‌اي، Bluetooth، ...)، اِتِرنت (802.3 و 802.11) و ديگر رسانه‌هاي موجود سيمي (مسي و نوري)، با کمي دانش و تجهيزات امکان‌پذير است؛ بنابراين، كپي اطلاعات درحال‌مبادله ما همواره در اختيار مهاجم قرار دارد. دوم اينكه در سيستم‌هاي ارتباطي ما، رمزنگاري وجود ندارد و يا در صورت وجود، همان فناوري‌هاي شكسته‌شده دشمنان ما به ما فروخته شده است. سوم اينكه هر چه تجهيزات راهيابي (Switching) و مسيريابي (Routing) ديجيتالي‌تر و كامپيوتري‌تر شده ‌است، دسترسي، كشف كد، ذخيره‌سازي، تكرار، ارجاع و حتي تغيير داده و ترافيك در حال مبادله، بسيار نرم‌افزاري‌تر، ‌پوياتر و ساده‌تر شده است. چهارم اينكه وقتي تمامي تجهيزات ما از شركت‌هاي امريكايي و اروپايي (به‌صورت مستقيم و غيرمستقيم) خريدار شده است، چگونه مي‌توان مطمئن بود که آنها امكان شنود را در سيستم‌هاي سوئيچ قرار نداده باشند. پس در مجموع، هر عقل سليمي بايد به اين نتيجه برسد كه از نظر فناوري، كاربري‌هاي شبكه ارتباطي و اطلاعاتي موجود کشور امن نيستند. در اين ميان، تنها نقطه اتكاي به اين شبكه، كه بسيار هم مهم است، اعتماد كاربران به حكومت و اپراتورهاي دولتي است كه حريم خصوصي شهروندان را مطابق قانون محافظت و صيانت مي‌كنند. • در حال حاضر، شرکت‌هاي خارجي حضور پررنگي در فضاي ارتباطي کشور پيدا کرده‌اند؛ عمده تجهيزات از شرکت‌هاي خارجي تهيه مي‌شود؛ مشاور شرکت ارتباطات سيار، يک شرکت آلماني است؛ مديريت واقعي شبکه‌هاي تاليا و ايران‌سل برعهده زيمنس و MTN است؛ جهت‌گيري مخابرات، حرکت پرسرعت به سمت NGN است که سوئيچ‌هاي آن برخلاف سيستم قبلي، همه از شرکت‌هاي چيني خريداري مي‌شود؛ حتي تجهيزاتي که در داخل امکان ساخت آن وجود دارد، مانند تجهيزات مرتبط با SMS نيز از خارج تهيه مي‌شود؛ تحليل جنابعالي به‌عنوان يک فرد دانشگاهي متخصص در امور امنيت شبکه‌هاي رايانه‌اي و فعال در عرصه‌هاي مختلف اجرايي و تصميم‌گيري، از تهديدهاي ناشي از اين رويکرد‌ (استفاده حداکثر از توان خارجي) چيست؟ موضوعي كه در متن سؤال به آن اشاره كرديد، ابعاد مختلفي دارد كه فقط يكي از آن ابعاد امنيت است. امنيت جنبه مهمي است، ولي مواردي نظير لزوم توسعه، برآوردن انتظارات مردم، لزوم سرمايه‌گذاري به‌موقع دولت در كاشتِ بذر فناوري نيز بايد مورد توجه قرار گيرد. مسأله اصلي از منظر امنيتي، حاكميت بر شبكه است؛ اين حاكميت در دو سطح مطرح است: حاكميت اپراتور و قانون كه كم و بيش (به جز موردي كه كل كار به زيمنس تقديم شده است) وجود دارد. همچنين، حاكميت فناوري، تجهيزات و عملكرد آنها كه به دليل وجود رويکردي که به آن اشاره مي‌کنيد (حداكثر استفاده از توان خارجي)، اين حاکميت وجود ندارد. امنيت يا بهتر بگويم نا‌امنيِ منبعث از فناوري و محصول خارجي، ما را به ورطه‌اي خواهد كشاند كه بايد طبقه بالاي ساختمان مديرانمان را براي حضور مستشاران چشم‌بادامي و چشم‌آبي زيباسازي كنيم تا مبادا تراكنش‌هاي اداري، حكومتي، مالي، و شخصي با ايست مواجه نگردند. اين امر يعني خدشه به Availability به عنوان يكي از سه ركن امنيت! از خدشه به محرمانگي (Confidentiality) و تغييرنايافتگي (Integrity) بگذريم!! • امروزه دسترسي به تمامي اطلاعات سايت‌هاي ايراني از طريق ديتاسنترهاي خارجي (آمريکا و اروپا) صورت مي‌گيرد که به دليل ارزاني و خدمات‌رساني بهينه است؛ از سوي ديگر، در کشور ما فعاليت‌هايي نيز براي راه‌اندازي ديتاسنتر داخلي انجام شده است؛ تحليل جنابعالي در اين زمينه چيست؟ متأسفانه اين يك واقعيت است؛ واقعيت ديگر عدم سرمايه‌گذاري بنيادي، مداوم و پايدار دولت براي ايجاد چنين مراكزي با كيفيت سرويس قابل قبول است. اين در حالي است که همه دلسوزان مملکت، نگران اين امر هستند و يقين دارم كه در سطوح رهبري و رياست‌جمهوري هم حساسيت اين موضوع طرح و ابراز شده است. اميد است به زودي چاره مناسبي انديشيده شود. • آمريکا تسلط فراواني بر مديريت اينترنت دارد؛ با توجه به نگراني‌‌ها و مسايل سياسي در کشور و به‌ويژه مبحث انرژي هسته‌اي، تحليل جنابعالي از اين موضوع و راه‌کارهاي ممکن براي اجتناب از مشکلات احتمالي چيست؟ راه‌كار اين است كه با اتكا به توان داخلي، براي رقابت با پيشرفت‌هاي بين‌المللي، فكر كنيم، برنامه‌ريزي كنيم، فعاليت‌هاي مناسب و قابل قبول انجام دهيم تا بر مشكلات فائق آييم. متأسفانه پول نفت و طبع شاعرانه و غرور ناشي از توانايي‌هاي فردي، ما ايرانيان را تنبل بار آورده است. • تحليل جنابعالي در زمينه حرکت به سمت فناوري‌هاي مبتني بر IP و تبادل اطلاعات در فضاي اينترنتي (مجازي، VPN و عمومي) چيست؟ اگر چه اين امر يك ضرورت است، اما از حول حليم داخل ديگ نيفتيم. بايد با شتاب و سرعت مناسب، برنامه‌ريزي و حركت كنيم؛ همچنين بايد به‌گونه‌اي از صنعت‌گران داخلي حمايت كنيم تا آنها هم براي همراهي دولت و رفع نياز مردم آماده شوند. • تا کنون صحبت از امنيت شبکه‌هاي رايانه‌اي (ويروس‌ها، هکرها و ...) بوده‌ است؛ پيش‌بيني جنابعالي از چالش‌هاي آتي ديگر شبکه‌هاي ارتباطي (مانند تلفن همراه) چيست؟ هر آنچه كه امروز در عرصه رايانه به عنوان نا‌امني و نگراني قلمداد مي‌شود، در آينده عيناً و با گستردگي و تنوع بيشتري به حوزه تلفن‌هاي همراه، سيستم‌هاي كنترلي اداره‌ها، جاده‌ها، منازل و خودروها تسري پيدا مي‌کند. عرصه نا‌امني‌هاي آينده بسيار پيچيده، سريع و نامحدود به مرزهاي جغرافيائي كنوني خواهد بود. مقابله با آن فقط مغزافزار مي‌خواهد و بس. • تحليل جنابعالي از وضعيت دانشگاه‌ها در زمينه آموزش و تحقيقات بنيادي و کاربردي در زمينه امنيت تبادل اطلاعات چيست؟ متأسفانه اين وضعيت با نيازهاي فعلي و آتي كشور تناسبي ندارد و بايد تقويت شود. • توانمندي شرکت‌هاي ايراني را در افزايش توانمندي تکنولوژيک در زمينه امنيت تبادل اطلاعات چگونه ارزيابي مي‌کنيد؟ در اين زمينه پتانسيل وجود دارد؛ فقط باغباني دلسوز مي‌خواهد تا به اميد چيدن ميوه آن در يك دهه بعد، با دلسوزي تمام محيط پرورش را فراهم کند. • تحليل جنابعالي از سطح آگاهي‌هاي عمومي در زمينه راه‌هاي افزايش امنيت فضاي رايانه‌اي چيست؟ تاکنون در کشور چه فعاليت‌هايي در اين زمينه صورت گرفته ‌است؟ با همت انجمن رمز ايران و با اقداماتي كه در دو سال گذشته در سطح معاون اول سابق رييس‌جمهور انجام گرفته است، در حال حاضر وضعيت مناسبي در اين زمينه حاکم است. • ديدگاه و تحليل جنابعالي در زمينه "اينترنت ملي"، "سيستم‌عامل ملي" و به طور کلي، National Solutions چيست؟ بايد در ابتدا مقصودمان را از مفهوم "ملي" مشخص کنيم. نگرش "ملي" در مقابل نگرش "شخصي" يا نگرش "جهاني"، في‌نفسه ارزش‌مند است؛ ولي نبايد تصور کرد كه افزودن واژه "ملي" به يک مفهوم، مشكل‌گشاست. دم زدن از اين مفاهيم با پسوند "ملي"، بدون توجه به ابعاد موضوع ارزشي ندارد. نکته ديگر آنکه، سيستم عامل "ملي" معني ندارد؛ مي‌توان رابط كاربري يك سيستم عامل را فارسي کرد يا بر اساس زبان و نيازها و سمبل‌هاي ايراني، يك سيستم عامل را توسعه داد، ولي ملي كردن سيستم عامل ناممكن است. همچنين بايد توجه کرد که "اينترنت ملي" هم عبارتي است كه در حال حاضر، به جاي يك نياز ديگر به كار مي‌رود؛ يعني تلاش براي كاهش نقاط اتصال بين‌المللي جزاير شبكه‌اي موجود، به منظور كاهش هزينه‌هاي مسيريابي و كاهش اتكا به موجوديت‌هاي خارجي در مديريت واقعي ترافيك درون‌كشوريِ ما (ترافيكي كه از يك ايراني در داخل ايران به يك ايراني در داخل ايران مبادله مي‌گردد.). همه راه‌حل‌ها بايد با يك نگرش ملي به معناي تبعيت از استانداردهاي ملي، خط‌مشي‌هاي ملي، توجه به حوزه كشوري، جلوگيري از چندباره‌كاري و لحاظ کردن موضوعات در گستره بزرگ جغرافياي كشور طرح شوند. • با توجه به مطالعات جنابعالي، آيا کشور ما در زمره کشورهاي فعال در زمينه مقابله با مشکلات امنيتي فضاي تبادل اطلاعات قرار دارد؟ خير؛ كشور ما در ليست اين كشورها نيست. • و در نهايت! وظيفه کانون‌هاي تفکر (مانند گروه طيف) را در زمينه تقويت توانمندي‌هاي امنيتي در فضاي تبادل اطلاعات، چگونه ارزيابي مي‌کنيد؟ هدف گروه‌هايي مانند شما بايد فرهنگ‌سازي در سطح تصميم‌گيران باشد. آنچه تاکنون انجام داده‌ايد، مناسب بوده است.