گفتوگو با مهندس مسعود رجایی مدیرعامل شرکت مهندسی ارتباطی پیامپرداز
امنيت در هر پروژه فناوري اطلاعات حرف اول را ميزند
استراتژی ما، نوآوری است
شرکت پيامپرداز در سال 1375 بهوسيله گروهی از اساتيد و دانشجويان رشته مهندسی مخابرات و کامپيوتر تاسيس شد. قبل از تاسيس شرکت، اين گروه به مدت 10 سال در قالب يک تيم تحقيقاتی در جهاد دانشگاهي دانشگاه صنعتی اصفهان، پروژههای تخصصی در زمينه رمزنگاری و امنيت را تجربه کرده بودند. دو دهه فعاليت مستمر اين مجموعه در حوزه رمزنگاری و امنيت اطلاعات، ما را بر آن داشت تا گفتوگویی داشتهباشيم با مهندس مسعود رجایی، مديرعامل شرکت مهندسی ارتباطی پيامپرداز.
شرکت پیامپرداز تا امروز که در آستانه بیست سالگی قرار دارد چه مسیری را طی کردهاست؟
شرکت در این بیست سال توانسته است بخش بزرگی از فعالیتهای حوزه امنیت کشور را در قالب پروژههای ملی و سازمانی انجام دهد. پیامپرداز هماکنون سه شرکت زیرمجموعه دارد؛ شرکت امنگستر پیامپرداز که انجام پروژههای خدمات امنیت مثل تست نفوذ و ISMS در آن انجام میشود.
بعضی از فعالیتهای بازرگانی در شرکت امید آتیه پیامپرداز انجام میشود و در سال جاری نیز یک شرکت در بخش دانشگاهی در حوزه رمزنگاری نوین راهاندازی کردهایم. ما در پیامپرداز از لحاظ کادر تخصصی جزء برترینهای کشور در بخش خصوصی بودهایم.
این شرکت اکنون یک سبد متنوع از محصولات امنیت فناوری اطلاعات را در اختیار دارد. ازجمله پروژه های ملی شرکت عبارتند از: تهیه پیشنویس سند افتا، بررسي انتخاب صنعت افتا بهعنوان فناوری پيشتاز و سياستهای حمايت از توليد داخل در حوزه افتا.
در چه کارهایی پیشرو بودهاید و وجه تمایز خود را در چه میدانید؟
استراتژی شرکت ما، نوآوری است و با این وجه تمایز به سرآمدی محصولاتمان در این حوزه دست یافتهایم. ما یک شرکت پژوهشمحوریم و در آغاز بیش از 80 درصد شرکت در حوزه تحقیق و توسعه محصولات کار میکرد که این نسبت برای یک شرکت خصوصی عدد نسبتا بالایی است. همچنین ما تنها شرکت خصوصی هستیم که در حوزه نظری رمزنگاری شامل طراحی و تحلیل الگوریتمهای رمز و پروتکلهای امنیتی کار میکنیم و این ویژگی باعث شده که تمام محصولات این شرکت مجهز به الگوریتمها و پروتکلهای بومی باشند. پشتوانه این جریان ارتباط عمیق شرکت با دانشگاههای معتبر کشور است که در بحث رمز و امنیت صاحب دعوی هستند.
این شرکت در سال 90 در اولین دوره جشنواره ملی فناوری اطلاعات وزارت ارتباطات و فناوری اطلاعات و همچنین در سال 93 در این جشنواره، عنوان شرکت برتر در حوزه امنیت فضای تبادل اطلاعات را از آن خود کرد. در سال 92 در چهاردهمین جشنواره ملی تجلیل از پژوهشگران و فناوران برتر از سوی وزارت علوم، تحقیقات و فناوری بهعنوان واحد فناور برتر شناخته شد. کسب مقام دوم در بخش فنآفرینان نهمین جشنواره ملی فنآفرینی و علمی شیخ بهایی در سال 92 نیز از دیگر افتخاراتی است که در پیامپرداز به آن دست یافتیم. شرکت پیامپرداز درحالحاضر رتبه یک شورای عالی انفورماتیک را در موضوع امنیت فضای تولید و تبادل اطلاعات داراست. ما عضو انجمن رمز و نیز عضو انجمن صنفی کارفرمایی صنعت افتا (یا همان سندیکای افتا) هستیم که در قالب آن با بیش از 100 شرکت عضو در ارتباط هستیم. ما بهعنوان عضوی از این سندیکا برای استیفای حقوق بخش خصوصی در ارتباط و تعامل با بخش دولتی و نهادهای سیاستگذاری این حوزه هستیم تا از توان بخش خصوصی در افزایش سطح امنیت آیتی کشور استفاده بهینه شود.
عمده پروژههای شما در چه بخشی بوده و چه محصولات متفاوت و ویژهای در بازار دارید؟
ما بیش از 150 پروژه تحقیقاتی و توسعهای در این شرکت اجرا کردهایم که در حدود 110 پروژه از آن متعلق به کارفرمای خارج از شرکت و 40 پروژه با سرمایهگذاری داخلی در جهت توسعه محصولات شرکت بودهاست. تاکنون بیش از 30 محصول نرمافزاری و سختافزاری در شرکت ساختهایم و تلاش میکنیم هر ساله یکی دو محصول جدید را وارد بازار کنیم. خوشحالیم که در این 20 سال توانستهایم امنیت بخش بسیار بزرگی از فضای سایبری کشور را چه در بعد امنسازی ارتباطات بین شبکهای و چه در بعد حفاظت از شبکههای داخلی سازمانها بهبود بخشیده و در بخشهای راهبردی نظام نیز فعالیت داشتهباشیم.
فعالیت اصلی شرکت در این 20 سال حول محور امنیت فناوری اطلاعات و ارتباطات بوده و در این مدت بخش بزرگی از بازار امنیت کشور را بهدست آوردیم. برخی محصولات ما دارای ثبت اختراع هستند؛ مانند توکن امنیت «کیا» که پیامپرداز برای اولینبار در کشور تولید کرد. اکنون نسل 2 و 3 این توکن در بازار موجود است و بیش از 400 هزار کاربر از آن استفاده میکنند. محصول دیگر ثبت اختراع شده ما سامانه امنساز ارتباطات کلاینت/سرور موسوم به «کیهان» است که یک سامانه بومی با ویژگیهای منحصربهفرد برای تامین امنیت سرورهای سازمانها تلقی میشود. سامانه کیهان مورد استقبال گسترده مراکز مختلف دولتی و شرکتهای خصوصی قرار گرفته است و هماکنون بیش از 160 سازمان بزرگ و متوسط برای ارائه سرویسهای الکترونیکی امن به بیش از 300 هزار کاربر خود در سراسر کشور از آن استفاده میکنند. بهعنوان نمونه دفاتر پیشخوان دولت، سامانه استعلام ثبتاحوال، دفاتر پلیس+10، دفاتر خدمات ارتباطی برای سرویسدهی به مشترکان همراه اول و فروش شارژ ایرانسل از این سامانه برای امنسازی ارتباطات خود استفاده میکنند.
ما در ابتدا صرفا روی امنیت ارتباطات مخابراتی کار میکردیم اما با افزایش سرویسهای آیتی و گسترش شبکههای رایانهای وارد این حوزه نیز شدیم و در این راستا محصول «طریق» در زمینه سیستم مدیریت یکپارچه تهدیدات UTM تولید شد که هماکنون در بسیاری از وزارتخانهها اسباب امنسازی ارتباطات بین شبکهای را فراهم میسازد.
از سال 88 در قالب یک کنسرسیوم با همکاری بخش دانشگاهی و یک شرکت بزرگ آیتی، پروژه بزرگ طراحی و ساخت مرکز عملیات امنیت را آغاز کردیم. سال 89 مناقصه طراحی و پیادهسازی مرکز عملیات امنیت بومی مرکز تحقیقات مخابرات را برنده شدیم و با انجام 120 هزار نفرساعت کار تحقیقاتی در اردیبهشت 92 آن را به مرکز تحقیقات مخابرات بهعنوان کارفرما تحویل دادیم. این محصول پس از توسعههای بیشتر در داخل شرکت و خرید مالکیت دانش فنی آن از مرکز تحقیقات مخابرات در اوایل سال 94 تحت نام «راوین» به بازار عرضه شد. این محصول درحالحاضر در آزمایشگاههای مختلف کشور تست شده و در بخشهای استراتژیک، راهبردی و کشوری بهکار گرفته شدهاست. ضمنا چند محصول دیگر برای تحلیل ناهنجاری جریان ترافیک، تشخیص نفوذ شبکه و سیستمهای تشخیص نفوذ مبتنیبر میزبان نیز در کنار این محصول ساخته شده و مورد استقبال مشتریان قرار گرفتهاست. راوین اکنون سهم بزرگی از بازار مرکز عملیات امنیت را از آن خود کردهاست.
الکامپ گذشته با چه دستاوردهایی در نمایشگاه حضور یافتید و چه برنامهای برای الکامپ 2016 دارید؟
در الکامپ قبلی سه محصول جدید ارائه کردیم و در حال برنامهریزی برای الکامپ جدید هستیم. در الکامپ قبل علاوهبر نسخههای ارتقایافته محصولات قبلی، محصول «رایمون» را رونمایی کردیم که سامانهای برای نظارت بر پروتکلهای دسترسی راه دور نظیر RDP، SSH و Telnet است. این محصول برای اولینبار در کشور تولید میشد. کار این محصول کنترل و نظارت بر دسترسیهای از راه دور به سرورها است. محصول دیگر مرکز عملیات امنیت راوین بود که قبلا درباره آن توضیح دادم. محصول سوم به نام «راد»، یک فلش امن است که کاربران اعم از خانگی و سازمانی میتوانند اطلاعات خود را در فضای امن موجود در این فلش بهصورت رمز شده نگهداری کنند.
برای حضور در الکامپ 2016 نیز در حال برنامهریزی هستیم تا بتوانیم برخی دستاوردها و محصولات جدید خود را به این نمایشگاه برسانیم. در این راستا تلاش میشود یک یا چند محصول از یکی از شرکتهای قمر خود در حوزه رمزنگاری نوین نیز به الکامپ امسال برسد.
آیا این تعامل بین بخش دولتی و خصوصی به وجود آمده است؟
بخشنامههایی صادر شده و ابلاغیاتی صورت گرفته است که این یعنی قصد حمایت وجود دارد و باید ببینیم کی و چگونه پیاده میشود. درحالحاضر و نسبت به 10 سال قبل یکسری قوانین بالادستی مصوب داریم که نشان میدهد هرچه پیش میرویم بهصرفه بودن و بهرهوری بخش خصوصی برای مسئولان آشکارتر شدهاست؛ اما این مسئله کمی هم به فرهنگسازی نیاز دارد و اینکه سازمانهای دولتی حاضر شوند از بخش خصوصی استفاده صد درصدی کنند. بخش دولتی در مواقعی تمایل دارد که خودش در بازار حضور داشته باشد و امیدواریم روزی بخش دولتی دست از رقابت با بخش خصوصی بردارد و به جای آن به نظارت بر عملکرد شرکتهای خصوصی بپردازد. البته اکنون سازمانهای بالادستی وجود دارند و با آزمایشگاههای خوب و مجهز چنین شرایطی را ایجاد میکنند اما این همه آنچه که در این مسیر نیاز داریم نیست. خوشبختانه در حوزه امنیت توجه کافی به بخش خصوصی وجود داشته و فعالیت و توانمندی این بخش اثبات شده و بخش زیادی از بازار را در دست گرفتهاست. امیدواریم این حضور به صد درصد برسد و دولت به وظیفه اصلی خود یعنی سیاستگذاری و نظارت بر عملکردها بپردازد.
ما نیز در پیامپرداز در زمینه رمز نوین کارهای تحقیقاتی و محصولاتی داشتهایم و اکنون بر روی چند محصول در حال کار هستیم و امیدواریم بتوانیم برخی از آنها را امسال عرضه کنیم. از آنجایی که پیامپرداز در این حوزه بهصورت نظری کار کرده است و فعالیتهای خوبی در این زمینه داشته، توانستهایم وجه تمایزی با محصولات خارجی بیابیم. عملکرد الگوریتمها و پروتکلهای ما قابل مقایسه با نمونههای خارجی است و حتی نسبت به آنها مزایایی هم دارد و نیاز است که با توجه به موقعیت استراتژیک کشور بتوان چنین محصولاتی در کشور تولید و از آنها در زیرساختهای آی تی کشور استفاده کرد.
آیا در پروژههای کلان دولتی در این حوزه مشارکتی دارید؟
در تمامی پروژهها اعم از دولت الکترونیک، اینترنت اشیا و رایانش ابری، امنیت حرف اول را میزند. به نظر من در صورت عدم امکان تامین امنیت کافی، بهکارگیری سیستمهای سنتی (غیر الکترونیکی) بهتر از بهکارگیری فناوریهای جدیدی است که زمینه را برای هکرها و دشمنان ما برای بهرهبرداری و سرقت اطلاعات فراهم میسازد. علاوهبر بهرهبرداری از محصولات ما برای امنسازی پروژههای بزرگ دولتی، ما یک بخش مشاوره معماری امنیت هم داریم که در لایههای مختلف شبکه و کاربرد به پیمانکاران و کارفرمایان پروژههای بزرگ فناوری اطلاعات مشاوره میدهد. نمونهای از این پروژهها، مشاوره برای امنسازی کنتورهای هوشمند است که قراردادهایی در این زمینه داشتهایم و قرار است شرکت توانیر از این توانمندی بهرهبرداری بیشتری داشته باشد.
جایگاه ایران را در زمینه امنیت سایبری چگونه می بینید؟
عصر ما، عصر اطلاعات است و ثروتها در اطلاعات نهفته شده است و قدرتهای بزرگ برای دسترسی به این ثروت و بهرهبرداری از آن برنامهریزیهای بلندمدت و سناریوهای مختلف برای راهانداری جنگهای سایبری طراحی و اجرا میکنند و هر از چندگاهی شاهد رزمایشها و عملیات آنها هستیم. بهنحوی که در آینده شاید از جنگافزارهای رایج استفاده نشود و بدون خونریزی و تنها با حمله به مراکز تجمیع اطلاعات بتوان کشوری را تصاحب کرد. جنگ آینده ما چنین جنگی خواهد بود و با توجه به شرایطی که کشور ما دارد باید از کشورهای دیگر منطقه پیشروتر باشیم.
سایتهایی مثل ویکیلیکس نشاندهنده این است که در جاهایی اطلاعات نشت پیدا کرده و اکنون منتشر میشود. اینکه حجم اطلاعات نشت شده چقدر است، نمیدانیم اما قطعا همه آنچه که تاکنون منتشر شده تمام این اطلاعات نشت شده را تشکیل نمیدهد.
در بخش سایبری ما دو نوع حمله داریم، یکی به قصد سرقت اطلاعات و دیگری تخریب اطلاعات و از کار انداختن سرویسها که این دومی اگر اقدامات لازم برای ایجاد افزونگی و دسترسپذیری داشتهباشیم، قابل رفع است؛ اما در مورد سرقت اطلاعات حتی مدتها میگذرد و ما حتی متوجه هم نمیشویم که قربانی چنین حملهای بودهایم. این مشکل اساسی و بسیار خطرناکی است که کمتر هم به آن توجه داریم و در نهادهای حاکمیتی باید به این موضوع پرداخته شود.
یکی از ابزارهای مفید در زمینه نظارت بر امنیت سازمان، مرکز عملیات امنیت (SOC) است. متاسفانه شاهد هستیم که بعضی از سازمانها این دیدهبانی را به محصولات خارجی سپردهاند. در واقع در چنین شرایطی نمیتوانیم برای تشخیص حمله و نفوذ روی آنها حساب کنیم و انتظار داشته باشیم که عوامل دشمن به موقع هشدارهای لازم را به ما درباره مورد حمله واقع شدن بدهند. باید این تفکر ایجاد شود که از محصولات بومی خصوصا در موقعیتهای حساس استفاده شود. از طرفی بخش خصوصی هم باید تلاش کند کیفیت محصولات خود را بالا ببرد و با محصولات مشابه خارجی برابری کند تا سازمانها با اطمینان و اعتماد کامل حاضر شوند که این محصولات داخلی را جایگزین خارجیها کنند و این یک ارتباط مشترک بین مشتری و تولیدکننده را میطلبد تا مطلوبترین و مناسبترین محصولات با توجه به شرایط امکانات موجود در کشور ایجاد شوند
بومیسازی محصولات حوزه آیتی در کشور را چگونه میبینید و اصولا آیا میشود هر محصولی را از صفر تا 100 آن در داخل بومیسازی کنیم؟
تاکنون در کشور ما بوميسازي 100 درصدي انجام نشده است. بوميسازي محصولات از نرمافزار شروع ميشود و در حوزه سختافزار هم ميتوان اين کار را انجام داد. اما سطح بالاتر از سختافزار بحث قطعات است. مثلا ما در موضوع توکن، نرمافزار، سفتافزار (firmware) و سختافزار را بهصورت بومي طراحي و پيادهسازي کرديم اما مجبور بوديم از قطعات و تراشههاي الکترونيکي آماده در بازار استفاده کنيم. البته اخيرا با يک شرکت دانشبنيان در حوزه ميکرو الکترونيک قراردادي را امضا کردهايم تا بتوانيم ميکروکنترلر بومي را در کشور توليد کنيم و چيپ بومي را جايگزين ميکرو خارجي سازيم. در واقع امکان توليد هر سختافزاري در داخل کشور به اين سادگي وجود ندارد و درحالحاضر برخي از اين فناوريها بسيار محدود و مختص برخي شرکتهاي معدود در دنياست. در اين موارد ما سعي ميکنيم از معتبرترين و مطمئنترين قطعات موجود استفاده کنيم. صحبتهايي نيز شده که مثلا سرورهاي صنعتي در کشور توليد شود اما حتي به شرط تحقق اين مطلب، باز هم در همين سرورها از يکسري قطعات و تراشههای پيشرفته غيربومی (نظير CPU) استفاده میشود که مجددا رسيدن به بحث 100درصد بومی را با مشکل مواجه میکند.
در مجموع هرچند در خيلي از تکنولوژیها اين ضرورت وجود ندارد اما در بحث امنيت بهدليل خطر دسترسی بيگانگان به اطلاعات، هرچه که بيشتر به سمت 100 درصد بومیشدن پيش برويم به نفع کشور ماست؛ لذا اين يک مسير حرکت رو به رشد است و در صورت حمايت نهادهای حکومتی از شرکتهای دانشبنيان در راستای بومی کردن فناوریهای جديد میتواند در آينده هم به رشد خود ادامه دهد.