هشدار درباره حاکميت فناوري خارجي گفتوگو با دکتر جليلي رسول جليلي، عضو هيأتعلمي دانشكده مهندسي كامپيوتر دانشگاه صنعتي شريف، اخيراً از سوي رييس جمهور به عضويت شوراي عالي فناوري اطلاعات منصوب شده است. گفتوگوي گروه طيف با ايشان که بنا به درخواست خودشان، به صورت کتبي انجام شد، حاوي نکات و نگرانيهاي مهمي در زمينه امنيت فضاي ICT کشور و لزوم توجه به توانمنديهاي داخلي و نير مباحثي همچون اينترنت ملي است؛ نگرانيهايي که بيان آنها از سوي عضو شوراي عالي فناوري اطلاعات، اهميت و لزوم توجه به آنها را چند برابر ميکند. مديريت مرکز امنيت شبکه دانشگاه صنعتي شريف، همکاري با مرکز صنايع نوين و توسعه اولين فناوري SMS ايراني، در کارنامه فعاليتهاي دکتر جليلي به چشم ميخورد. فصلنامه علمي تحليلي طيف برق • با تشکر از جنابعالي، لطفاً به عنوان اولين سؤال، ارزيابي خود را از وضعيت امنيت در فضاي ارتباطي و اطلاعاتي (ICT) کشور بفرماييد. ارزيابي بنده از وضعيت امنيت در فضاي ارتباطي و اطلاعاتي يا به عبارت مرسومتر، امنيت فضاي تبادل اطلاعات (افتا) به ارتباطات و اطلاعات شخصي بنده محدود ميشود. تصور نميکنم آمار و اطلاعاتي از نگرانيهاي ايجادشده و يا آسيبپذيريهاي گزارششده افتا، توليد يا جمعآوري شده باشد كه بتوان بر اساس آن اين مسأله را ارزيابي کرد. با وجود اين، بايد بگويم كه امنيت فتا بايد به نسبت خود فتا ارزيابي شود. اگر در كشوري به فتا و كاربري فناوري اطلاعات و ارتباطات بهاي زيادي داده شده است يا ميشود، بالطبع، زندگي روزانه مردم در گرو عملكرد صحيح و ايمن عناصر اين فضا است و هر گونه اختلالي در اين امر، باعث خسارت ميشود. اين خسارت قابل ارزيابي کمي است و بر اين اساس، تخصيص اعتبار براي امنيت فتا يا بازخواست مسؤولان اين بخش، توجيهپذير است. نکته قابل توجه آن است که همه مسؤولان کشور دغدغههاي فراوان امنيتي دارند و اين دغدغهها را بروز دادهاند؛ البته هنوز اتفاق قابلملاحظهاي گزارش نشده است؛ سند راهبردي افتا به تصويب دولت رسيده است و در سطوح عالي كشور، رهنگسازي اوليه انجام شده است؛ در مجموع، همه چيز مهيا است كه حركت مناسبي در اين زمينه شكل گيرد که البته به همت و هماهنگي و تمركز در تصميم نياز دارد. نقطه قوت ما، وجود و ابراز اين دغدغهها و اعتقاد همه مسؤولان تراز اول به استفاده از توان داخلي براي رفع اين دغدغهها است. اما نقطه ضعف ما، عدم باور مسؤولان ردههاي پايينتر است كه بعضاً كلِ موضوع را با نگرش خريد تجهيزات از خارج كشور مينگرند. • در حال حاضر، مکالمات کاربران ايراني (مقامهاي کشوري و مردم عادي) از طريق تلفنهمراه، ثابت، ماهوارهاي و اينترنتي (VoIP) تا چه حدي امن است؟ به اين سؤال به طور دقيق نميتوانم پاسخ دهم؛ ولي چند حقيقت را بيان ميكنم: اول اينكه شنود از هر رسانه پخش همگاني (Broad Cast) نظير سيستمهاي بيسيم (تلفن همراه، ماهوارهاي، Bluetooth، ...)، اِتِرنت (802.3 و 802.11) و ديگر رسانههاي موجود سيمي (مسي و نوري)، با کمي دانش و تجهيزات امکانپذير است؛ بنابراين، كپي اطلاعات درحالمبادله ما همواره در اختيار مهاجم قرار دارد. دوم اينكه در سيستمهاي ارتباطي ما، رمزنگاري وجود ندارد و يا در صورت وجود، همان فناوريهاي شكستهشده دشمنان ما به ما فروخته شده است. سوم اينكه هر چه تجهيزات راهيابي (Switching) و مسيريابي (Routing) ديجيتاليتر و كامپيوتريتر شده است، دسترسي، كشف كد، ذخيرهسازي، تكرار، ارجاع و حتي تغيير داده و ترافيك در حال مبادله، بسيار نرمافزاريتر، پوياتر و سادهتر شده است. چهارم اينكه وقتي تمامي تجهيزات ما از شركتهاي امريكايي و اروپايي (بهصورت مستقيم و غيرمستقيم) خريدار شده است، چگونه ميتوان مطمئن بود که آنها امكان شنود را در سيستمهاي سوئيچ قرار نداده باشند. پس در مجموع، هر عقل سليمي بايد به اين نتيجه برسد كه از نظر فناوري، كاربريهاي شبكه ارتباطي و اطلاعاتي موجود کشور امن نيستند. در اين ميان، تنها نقطه اتكاي به اين شبكه، كه بسيار هم مهم است، اعتماد كاربران به حكومت و اپراتورهاي دولتي است كه حريم خصوصي شهروندان را مطابق قانون محافظت و صيانت ميكنند. • در حال حاضر، شرکتهاي خارجي حضور پررنگي در فضاي ارتباطي کشور پيدا کردهاند؛ عمده تجهيزات از شرکتهاي خارجي تهيه ميشود؛ مشاور شرکت ارتباطات سيار، يک شرکت آلماني است؛ مديريت واقعي شبکههاي تاليا و ايرانسل برعهده زيمنس و MTN است؛ جهتگيري مخابرات، حرکت پرسرعت به سمت NGN است که سوئيچهاي آن برخلاف سيستم قبلي، همه از شرکتهاي چيني خريداري ميشود؛ حتي تجهيزاتي که در داخل امکان ساخت آن وجود دارد، مانند تجهيزات مرتبط با SMS نيز از خارج تهيه ميشود؛ تحليل جنابعالي بهعنوان يک فرد دانشگاهي متخصص در امور امنيت شبکههاي رايانهاي و فعال در عرصههاي مختلف اجرايي و تصميمگيري، از تهديدهاي ناشي از اين رويکرد (استفاده حداکثر از توان خارجي) چيست؟ موضوعي كه در متن سؤال به آن اشاره كرديد، ابعاد مختلفي دارد كه فقط يكي از آن ابعاد امنيت است. امنيت جنبه مهمي است، ولي مواردي نظير لزوم توسعه، برآوردن انتظارات مردم، لزوم سرمايهگذاري بهموقع دولت در كاشتِ بذر فناوري نيز بايد مورد توجه قرار گيرد. مسأله اصلي از منظر امنيتي، حاكميت بر شبكه است؛ اين حاكميت در دو سطح مطرح است: حاكميت اپراتور و قانون كه كم و بيش (به جز موردي كه كل كار به زيمنس تقديم شده است) وجود دارد. همچنين، حاكميت فناوري، تجهيزات و عملكرد آنها كه به دليل وجود رويکردي که به آن اشاره ميکنيد (حداكثر استفاده از توان خارجي)، اين حاکميت وجود ندارد. امنيت يا بهتر بگويم ناامنيِ منبعث از فناوري و محصول خارجي، ما را به ورطهاي خواهد كشاند كه بايد طبقه بالاي ساختمان مديرانمان را براي حضور مستشاران چشمبادامي و چشمآبي زيباسازي كنيم تا مبادا تراكنشهاي اداري، حكومتي، مالي، و شخصي با ايست مواجه نگردند. اين امر يعني خدشه به Availability به عنوان يكي از سه ركن امنيت! از خدشه به محرمانگي (Confidentiality) و تغييرنايافتگي (Integrity) بگذريم!! • امروزه دسترسي به تمامي اطلاعات سايتهاي ايراني از طريق ديتاسنترهاي خارجي (آمريکا و اروپا) صورت ميگيرد که به دليل ارزاني و خدماترساني بهينه است؛ از سوي ديگر، در کشور ما فعاليتهايي نيز براي راهاندازي ديتاسنتر داخلي انجام شده است؛ تحليل جنابعالي در اين زمينه چيست؟ متأسفانه اين يك واقعيت است؛ واقعيت ديگر عدم سرمايهگذاري بنيادي، مداوم و پايدار دولت براي ايجاد چنين مراكزي با كيفيت سرويس قابل قبول است. اين در حالي است که همه دلسوزان مملکت، نگران اين امر هستند و يقين دارم كه در سطوح رهبري و رياستجمهوري هم حساسيت اين موضوع طرح و ابراز شده است. اميد است به زودي چاره مناسبي انديشيده شود. • آمريکا تسلط فراواني بر مديريت اينترنت دارد؛ با توجه به نگرانيها و مسايل سياسي در کشور و بهويژه مبحث انرژي هستهاي، تحليل جنابعالي از اين موضوع و راهکارهاي ممکن براي اجتناب از مشکلات احتمالي چيست؟ راهكار اين است كه با اتكا به توان داخلي، براي رقابت با پيشرفتهاي بينالمللي، فكر كنيم، برنامهريزي كنيم، فعاليتهاي مناسب و قابل قبول انجام دهيم تا بر مشكلات فائق آييم. متأسفانه پول نفت و طبع شاعرانه و غرور ناشي از تواناييهاي فردي، ما ايرانيان را تنبل بار آورده است. • تحليل جنابعالي در زمينه حرکت به سمت فناوريهاي مبتني بر IP و تبادل اطلاعات در فضاي اينترنتي (مجازي، VPN و عمومي) چيست؟ اگر چه اين امر يك ضرورت است، اما از حول حليم داخل ديگ نيفتيم. بايد با شتاب و سرعت مناسب، برنامهريزي و حركت كنيم؛ همچنين بايد بهگونهاي از صنعتگران داخلي حمايت كنيم تا آنها هم براي همراهي دولت و رفع نياز مردم آماده شوند. • تا کنون صحبت از امنيت شبکههاي رايانهاي (ويروسها، هکرها و ...) بوده است؛ پيشبيني جنابعالي از چالشهاي آتي ديگر شبکههاي ارتباطي (مانند تلفن همراه) چيست؟ هر آنچه كه امروز در عرصه رايانه به عنوان ناامني و نگراني قلمداد ميشود، در آينده عيناً و با گستردگي و تنوع بيشتري به حوزه تلفنهاي همراه، سيستمهاي كنترلي ادارهها، جادهها، منازل و خودروها تسري پيدا ميکند. عرصه ناامنيهاي آينده بسيار پيچيده، سريع و نامحدود به مرزهاي جغرافيائي كنوني خواهد بود. مقابله با آن فقط مغزافزار ميخواهد و بس. • تحليل جنابعالي از وضعيت دانشگاهها در زمينه آموزش و تحقيقات بنيادي و کاربردي در زمينه امنيت تبادل اطلاعات چيست؟ متأسفانه اين وضعيت با نيازهاي فعلي و آتي كشور تناسبي ندارد و بايد تقويت شود. • توانمندي شرکتهاي ايراني را در افزايش توانمندي تکنولوژيک در زمينه امنيت تبادل اطلاعات چگونه ارزيابي ميکنيد؟ در اين زمينه پتانسيل وجود دارد؛ فقط باغباني دلسوز ميخواهد تا به اميد چيدن ميوه آن در يك دهه بعد، با دلسوزي تمام محيط پرورش را فراهم کند. • تحليل جنابعالي از سطح آگاهيهاي عمومي در زمينه راههاي افزايش امنيت فضاي رايانهاي چيست؟ تاکنون در کشور چه فعاليتهايي در اين زمينه صورت گرفته است؟ با همت انجمن رمز ايران و با اقداماتي كه در دو سال گذشته در سطح معاون اول سابق رييسجمهور انجام گرفته است، در حال حاضر وضعيت مناسبي در اين زمينه حاکم است. • ديدگاه و تحليل جنابعالي در زمينه "اينترنت ملي"، "سيستمعامل ملي" و به طور کلي، National Solutions چيست؟ بايد در ابتدا مقصودمان را از مفهوم "ملي" مشخص کنيم. نگرش "ملي" در مقابل نگرش "شخصي" يا نگرش "جهاني"، فينفسه ارزشمند است؛ ولي نبايد تصور کرد كه افزودن واژه "ملي" به يک مفهوم، مشكلگشاست. دم زدن از اين مفاهيم با پسوند "ملي"، بدون توجه به ابعاد موضوع ارزشي ندارد. نکته ديگر آنکه، سيستم عامل "ملي" معني ندارد؛ ميتوان رابط كاربري يك سيستم عامل را فارسي کرد يا بر اساس زبان و نيازها و سمبلهاي ايراني، يك سيستم عامل را توسعه داد، ولي ملي كردن سيستم عامل ناممكن است. همچنين بايد توجه کرد که "اينترنت ملي" هم عبارتي است كه در حال حاضر، به جاي يك نياز ديگر به كار ميرود؛ يعني تلاش براي كاهش نقاط اتصال بينالمللي جزاير شبكهاي موجود، به منظور كاهش هزينههاي مسيريابي و كاهش اتكا به موجوديتهاي خارجي در مديريت واقعي ترافيك درونكشوريِ ما (ترافيكي كه از يك ايراني در داخل ايران به يك ايراني در داخل ايران مبادله ميگردد.). همه راهحلها بايد با يك نگرش ملي به معناي تبعيت از استانداردهاي ملي، خطمشيهاي ملي، توجه به حوزه كشوري، جلوگيري از چندبارهكاري و لحاظ کردن موضوعات در گستره بزرگ جغرافياي كشور طرح شوند. • با توجه به مطالعات جنابعالي، آيا کشور ما در زمره کشورهاي فعال در زمينه مقابله با مشکلات امنيتي فضاي تبادل اطلاعات قرار دارد؟ خير؛ كشور ما در ليست اين كشورها نيست. • و در نهايت! وظيفه کانونهاي تفکر (مانند گروه طيف) را در زمينه تقويت توانمنديهاي امنيتي در فضاي تبادل اطلاعات، چگونه ارزيابي ميکنيد؟ هدف گروههايي مانند شما بايد فرهنگسازي در سطح تصميمگيران باشد. آنچه تاکنون انجام دادهايد، مناسب بوده است.