تولیدکنندگان ضدبدافزار برای حضور در بازار فرصت می‌خواهند

صالحـی: دو سال قبل ویروس استاکس نت به عنوان یکی از جدی‌ترین تهدیدات سایبری وارد کشور شد و حالا شاهد تهدیدات جدیدتری همچون ویروس فلیم هستیم. امروز می‌خواهیم به بررسی توان تولیدکنندگان داخلی در مقابله با تهدیدات سایبری بپردازیم. یکی از مهم‌ترین دغدغه‌های مدیران شرکت‌های بخش خصوصی صرف‌نظر از راهکارهای داخلی یا خارجی برای مقابله با تهدیدات، همکـاری نکردن بخش دولتـی در این زمینه است. شما در این زمینه چه تجربیاتی دارید؟
سعـدی: ویژگی ویروس‌ها این است که پیش از اینکه از وجودشان خبردار شویم، به شبکه نفوذ کرده، عملیات تخریبی انجام می‌دهند و بعد از اینکه تاثیر مخرب‌شان بر شبکه وارد شد، شناسایی و تحلیل می‌شوند. مثلا در مورد استاکس نت، کارشناسان پس از گذشت یک سال که آسیب‌های زیادی به شبکه‌ها وارد شده بود، پی به وجود این ویروس بردند و پس از دو ماه شروع به تحلیل عملکرد آن کردند. در مورد ویروس فلیم هم همین اتفاق افتاد. اما در توضیح اینکه چرا معمولا ویروس‌ها اینقدر دیر شناسایی می‌شوند، سرورهای داخلی ما روزانه بین 40 تا 50 هزار بدافزار را جمع‌آوری می‌کنند که بین آنها ممکن است چندین جاسوس افزار هم وجود داشته باشد. اما اینکه کدام یک از اینها ارزش تحلیل و بررسی را دارند، مثل گشتن به دنبال یک سوزن در انبار کاه است و عملا امکان‌پذیر نیست. با اینکه ویروس فلیم بهمن ماه شناسایی شد اما تحلیل و بررسی عملکرد آن اواسط تیرماه انجام شد.
رسالت آزمایشگاه مهران رایانه ‌این است که وقتی وجود ویروسی به طور جدی مطرح شد، در آرشیو آزمایشگاه آن را جست‌وجو کرده و در نهایت اقدام به تحلیل آن می‌کند. اما به دلیل اینکه این کار هیچ ارزش افزوده‌ای برای ما ندارد و همچنین متولی دستگاه‌های دولتی در بحث اطلاع‌رسانی نیستیم، عجله‌ای هم برای انتشار اطلاعات حاصل از تحلیل ویروس‌ها نداریم!

صالحـی: برخورد سازمان‌ها در زمان کشف ویروس چگونه است؟ آیا برخورد حراستی است؟ آیا به کارشناسان شما برای بررسی و نمونه‌برداری اجازه ورود به سـازمان داده می‌شود؟
سعـدی: دقیقا مشکل ما در آزمایشگاه همین است. هر سازمانی بعد از بروز مشکل با ما تماس می‌گیرد. اما متاسفانه نه برای تحلیل ویروس هزینه‌ای پرداخت می‌کنند و نه تمایلی به رسانه‌ای شدن موضوع دارند.
قنبـری: در سایر کشورها با یک روال مشخصی مثلا داشتن امضا و یا نشانه، کارشناسان مرتبط حق ورود به سازمان و نمونه‌برداری دارند. اما در کشور ما اگر در سازمان، اطلاعاتی هم در مورد ویروس وجود داشته باشد، به دلایل امنیتی مشکل را سربسته مطرح کرده و می‌ترسند اطلاعاتی در اختیار ما قرار دهند!
محسنی‌نیـا: بحث ویروس‌ها و بدافزارهای جاسوسی تمام شدنی نیست و نه تنها ایران، بلکه در کل دنیا اتفاق می‌افتد. به نظر من باید در این جلسه به دنبال راهکارهایی باشیم تا اجازه ندهیم بیشتر از این به ما صدمه بزنند.
قنبـری: به نظر من بزرگ‌ترین ویروسی که تاکنون باعث خروج اطلاعات از سازمان شده و به عنوان یک تهدید مهم شناخته می‌شود، ویروس دوپا یا همان نیروی انسانی شاغل در سازمان‌هاست. اما متاسفانه ما همیشه به دنبال فرار از این واقعیت بودیم و سعی می‌کنیم همه خطاها را به گردن ویروس بیندازیم.
نجفیـان: موافقم در مورد راهکارها صحبت کنیم. همین حالا هم خیلی از شرکت‌ها راهکار دارند، اما شاید راهکار جامع و کاملی نباشد. استفاده از ضدویروس و فایروال و ایجاد شبکه‌های امنیتی یک لایه و دولایه از راهکارهای سازمان‌ها برای مقابله با نفوذ است، اما اینکه چرا فلیم توانست اینقدر خوب نفوذ پیدا کند، موضوع مهمی‌ است. تقریبا همه تایید می‌کنند ویروس فلیم، یکی از قوی‌ترین ویروس‌هایی بوده که تاکنون نوشته شده است. به نظر من تیمی ‌که این ویروس را نوشته، یک تیم ویروس نویس صرف نبوده، بلکه هر بخش آن توسط تیمی ‌متخصص نوشته شده است.
ویروس فلیم برای ورود به سیستم، الگوریتم MD5 ویندوز را هک می‌کنـد. چند سال قبل متخصصان قابل نفوذ بودن MD5 را به مایکروسافت تذکر دادند. مایکروسافت هم این امکان را از همه بخش‌های ویندوز به جز بخش Auto update حذف کرد. ویروس فلیم هم دقیقا از همین نقطه، سوءاستفاده کرد. این ویروس روی بخشAuto update ویندوز نشسته و اصلاحیه‌های مایکروسافت را می‌گیرد. خودش هم چند فایل دیگر به آن اضافه می‌کند.
از آنجاکه فایل‌های اضافی در کنار اصلاحیه‌های مایکروسافت امضا می‌شوند، هیچ ضدویروسی نمی‌تواند فایل‌های مخرب را از سایر فایل‌ها تشخیص دهد. کاربران همه فایل‌ها را نصب می‌کنند، بی‌خبر از اینکه فایل‌های مخرب هم بین آنها وجود دارد. با این توضیح می‌خواهم به این نتیجه برسم که این تکنیک‌ها فراتر از یک ویروس نویسی ساده است.
قنبـری: قطعا دانش ویروس‌ها و ویروس نویس‌ها به مرور زمان بیشتر شده، اما مشکلی که به ویژه در سازمان‌های دولتی با آن روبه‌رو هستیم، این است که برای نفوذ به شبکه این سازمان‌ها نیازی به این همه پیچیدگی نیست. ویروس‌های خیلی ساده‌تر از ویروس فلیم، منجر به خروج انبوهی از اطلاعات از سازمان‌ها می‌شود. گهگاه در سازمان‌ها دیده‌ایم پس از نصب یک برنامه، رمز عبور آن را یک تا شش گذاشته اند. به نظر من در شرایط فعلی شاید تکنولوژی  پشت این ویروس‌ها آنقدر مهم نباشد. بلکه روندی که باید در سازمان‌ها تعریف شود تا اساسا نفوذ را غیرممکن کند، مهم‌تر است. به نظر من قبل از هرچیز باید فرهنگ سازمان‌های ما در حفظ امنیت اطلاعات سازمانی تغییر کند. اینکه بدانند حمله چیست؟ چه اقدامات پیشگیرانه‌ای وجود دارد و حتی بعد از بروز حمله چه باید کرد. در حالی که رویکرد فعلی سازمان‌ها در مواقع این چنینی، اطلاع‌رسانی نکردن و همچنین جلوگیری از ورود کارشناسان به داخل سازمان است. من در دفتر رییس یکی از بانک‌ها بودم و رییس بانک به من گفت همین حالا که شما در دفتر من هستید، یعنی بانک ما امن نیست. باید چنین دیدگاه‌هایی تغییر کند.
سازمان‌های ما فقط به دنبال خرید سخت‌افزارهای امنیتی هستند که هنوز فرهنگ استفاده از آنها را ندارند. بسیار اتفاق افتاده ما به سازمانی سخت‌افزار فروخته‌ایم اما هنوز برای دریافت رمز عبورش با ما تماس نگرفته‌اند، این یعنی که آن سخت‌افزار در سازمان بلااستفاده مانده است.
محسنی‌نیـا: چند وقتی است موجی از خرید سخت‌افزارهای امنیتی بین شرکت‌ها شکل گرفته و همه به فکر افزایش تجهیزات امنیتی خود هستند. اما خرید تجهیزات امنیتی به معنی افزایش امنیت نیست و حتی ممکن است باعث ناامنی بیشتر هم بشود. مهم مدیریت بحران از طریق فرآیندهای تعریف شده است. حمله سایبری در همه جای دنیا اتفاق می‌افتد و در واقع تبدیل به یک سلاح برای کشورها شده است. پس برای آمادگی در مقابله با این شرایط، مهم‌ترین نیاز، آموزش است.
نجفیـان: دلیل اینکه من در ابتدای صحبتم وارد مباحث فنی شدم، دقیقا همین بود. در تایید صحبت‌های مهندس محسنی‌نیـا، باید اضافه کنم صرفا خرید تجهیزات، عامل ایمنی بیشتر و مقابله با تهدیدات نیست. در بحث امنیت سه عامل مهم و اساسی وجود دارد؛ نخست نیروی انسانی، دوم به کارگیری روال‌هایی چون ISMS و در نهایت تکنولوژی. اما متاسفانه نخستین اقدام هر سازمانی تنها خریداری تکنولوژی و تجهیزات است.
نیروی انسانی به عنوان مهم‌ترین عامل ناامنی شناخته می‌شود و کم هزینه‌ترین راه‌حل برای تامین امنیت شبکه هم همین نیروی انسانی است. مرحله بعدی، ایجاد روال‌های متعارف در سازمان است. مثلا اگر قرار است سندی رد و بدل و امنیت آن هم حفظ شود، باید طبق روال خاصی انجام شود. ISMS در واقع معرفی استانداردها و ایجاد روال‌های امن در سازمان است.
مرحله سوم و آخر، استفاده از تکنولوژی و تجهیزات امنیتی است اما متاسفانه در ایران، سازمان‌ها در نخستین قدم برای تامین امنیت به فکر خرید تکنولوژی می‌افتند و با خریدن یک فایروال می‌خواهند امنیت همه جانبه‌ای برقرار کنند!
سازمان‌ها بعد از برقراری تمامی این جوانب، باید به دنبال پیاده‌سازی یک راه‌حل امنیتی هم باشند. مدتی است مبحثی با عنوان SOC در بعضی سازمان‌ها مطرح می‌شود. SOC مرکز عملیات امنیت به عنوان چتری روی همه راه‌حل‌های امنیتی قرار می‌گیرد. با اینکه هیچ زمانی هیچ ضدویروسی قادر به شناسایی کل ویروس‌ها نخواهد بود، از طریق شواهد و همچنین ابزارهای مختلف می‌توان پی به وقوع یک اتفاق مشکوک برد. ویروس‌های رایانه‌ای هم مثل ویروس سرماخوردگی به مرور بیشتر شده و کهنه می‌شوند. هر قدر سازمان دیرتر متوجه حضور و فعالیت آنها شود، جلوگیری از گسترش اثرات مخرب آنها هم سخت‌تر خواهد شد.
اما چه کار می‌توان کرد تا زودتر متوجه فعالیت‌های مخرب شد؟ ابزارهایی وجود دارند که تمامی گزارش‌های شبکه را در جایی متمرکز، جمع‌آوری می‌کنند. هر کدام از این ابزارها به نوبه خود اتفاق کوچکی از آن اتفاق اصلی و بزرگ را گزارش می‌کنند. با کنار هم قرار دادن این اطلاعات، می‌توان از وقوع یک اتفاق غیرعادی باخبر شد. این اقدامات حتما باعث خواهد شد سازمان‌ها نسبت به وجود ویروس، خیلی زودتر واکنش نشان داده و اقدامات لازم، برای مقابله با آن نیز انجام شود.

صالحـی: خیلی از سازمان‌های دولتی این اتفاقات را ثبت می‌کنند، اما در اغلب موارد این اطلاعات بدون تحلیل و بررسی رها می‌شود.
سعـدی: به نظر من یک ویروس گنجی از اطلاعات فنی است که هنوز کسی متوجه آن نشده است. در واقع ویروس‌ها فرصت‌های مناسبی برای شرکت‌های خصوصی هستند تا نسبت به بروز کردن اطلاعات خود اقدام کنند. البته شرکت‌های خارجی در این زمینه بسیار فعال عمل کرده‌اند، اما سازمان‌های ما در مواجهه با این شرایط، حالت تدافعی به خود می‌گیرند.
در امریکا همزمان با همایش کلاه سیاه‌ها، مسوولان امنیت اطلاعات سازمان‌ها هم حضور دارند و سعی می‌کنند از توانمندی‌های ویروس‌نویسان بهره ببرند. اما در ایران سازمان‌ها از بررسی وضعیت و قابلیت نفوذ سازمان‌شان واهمه دارند. به نظر من خصوصی باید برای به چالش کشیدن این وضعیت وارد عمل شود و نمره منفی را به سازمانی بدهد که برای جلوگیری از نفوذ، شبکه دو تکه طراحی کرده و کلا شبکه داخلی‌اش قطع است!

صالحـی: خیلی از سازمان‌ها اعتقاد دارند که تنها راه‌حل جلوگیری از نفوذ، داشتن یک شبکه دو تکه است.
سعـدی: دو هفته پیش با سازمانی تماس گرفتم و پیگیر سندی شدم که قرار بود برای‌شان ارسال کنیم. گفتند اینترنت ما قطع است لطفا برای ما پست کنید. اگر اینترنت قطع است، پس اصلا کار نمی‌کنید! یعنی میلیاردها تومان برای نیروی انسانی بیکار هزینه می‌شود. کارمندی در یک مجموعه دولتی می‌گفت، طی بخشنامه‌ای به آنها اعلام کرده‌اند اگر سیستم کسی آلوده به ویروس فلیم باشد، اخراجش می‌کنیم، ما هم سیستم‌ها را خاموش کرده‌ایم و بیکار نشسته‌ایم!
متاسفانه مشکلی که ما در حال حاضر با آن روبه‌رو هستیم، با محصول داخلی یا  خارجی خریدن حل نمی‌شود. قبل از هر چیز باید به فکر آموزش نیروی انسانی باشیم. نیروی انسانی آموزش دیده، کارایی ابزارها را هم بیشتر می‌کند.
هنوز هم سازمان‌های صنعتی دنبال ویروس استاکس نت در سیستم‌های‌شان هستند و هر ویروسی را استاکس نت خطاب می‌کنند. اما در نهایت مشخص می‌شود که عامل انسانی باعث نفوذ و افشای اطلاعات بوده است.
تا زمانی که نیروی انسانی کارآمد نداشته باشیم، از بهترین تجهیزات امنیتی هم که استفاده کنیم، فایده‌ای ندارد و فقط آبروی شرکت داخلی و خارجی تولیدکننده می‌رود!
محسنی‌نیـا: به نظر من ما در حال درد دل کردن هستیم. با توجه به اینکه کشور تا این حد مورد حمله جاسوسی قرار می‌گیرد، بهتر است به دنبال راهکار باشیم. متاسفانه ما عادت کرده‌ایم جزیره‌ای کار کنیم. اگر اطلاعات امنیتی همه سازمان‌ها، متمرکز و یکجا جمع‌آوری شود، تحلیل شده و در نهایت به اطلاع همه برسد، نتیجه بهتری خواهیم گرفت. کشورهای اروپایی هم مورد حمله جاسوسی قرار می‌گیرند و این اتفاق فقط مختص ایران نیست. سازمانی که متولی جمع‌آوری اطلاعات است، باید پروتکل و جلساتی هم با کشورهای دیگر داشته باشد تا بتوان با نگاه بین‌المللی مشکلات را مطرح کرد.
قنبـری: ضمن تایید صحبت‌های شما مثالی می‌زنم! در بحث ترافیک تهران، ارگان‌های مختلفی از جمله سازمان راهنمایی و رانندگی و شهرداری تهران درگیر هستند. هر کدام هم به صورت مستقل و جزیره‌ای کار می‌کنند. در واقع هیچ مرجعی برای پاسخگویی به مشکلات ترافیک تهران وجود ندارد. در بحث حملات و نفوذ هم نهاد و متولی مشخصی برای پاسخگویی نداریم. سازمان فناوری اطلاعات، ارتباطات زیرساخت، مرکز تحقیقات مخابرات، وزارت اطلاعات و غیره همه به صورت موازی و در کنار هم فعالیت می‌کنند. البته شورای عالی فضای مجازی هم جدیدا در فضای گسترده‌تری شروع به فعالیت کرده است. اما بیشتر بر مباحث فرهنگی تاکید دارد. ما نیاز به یک نهاد و تشکیلات منسجم داریم تا هم بخش خصوصی و هم بخش دولتی به عنوان یک مرجع مشخص به آن مراجعه کند.
در واقع این موضوع که بخش خصوصی کسی را به عنوان صاحب و متولی بحث امنیت اطلاعات نمی‌شناسد، مشکل اصلی است. شاید باید این متولی حتی یک سطح بالاتر از دولت، نهادی مثل شوراهای عالی باشد.

صالحـی: یعنی ما نیاز به یک نهاد فراحاکمیتی- فرا بخشی داریم تا به طور کلان وارد عمل شود؟
قنبـری: ما نخستین کشور نیستیم که مورد حملات سایبری قرار می‌گیریم. بالاخره کشورهای دیگر هم تسهیلاتی برای مقابله با این حملات به کار گرفته‌اند. یعنی اگر بخش حاکمیتی بخواهد در این بخش سرمایه‌گذاری کند، دانش نهفته، مخفی و غیرقابل دسترسی نیست. صنایع موشکی ما چطور پیشرفت کرد؟ بالاخره عده‌ای دانش موجود در این کار را کسب، بومی‌کرده و ارگانی به عنوان متولی آنها را یکجا جمع‌آوری و به سامان رسانده است. قطعا در این راه سپاه پاسداران برای تامین تمامی ابعاد تاسیسات موشکی اش، به تنهایی وارد عمل نشده و با شرکت‌های خصوصی هم تعامل داشته است. در مورد فضای سایبر هم می‌توان این کار را کرد. در حالی که حساسیت آن به مراتب از تاسیسات هسته‌ای و موشکی کمتر است.
محسنی‌نیـا: دقیقا باید کارها از حالت جزیره‌ای فعلی بیرون بیاید و با بهره‌گیری از تجربیات یکدیگر به نتیجه برسیم.
سعـدی: پیشنهاد همگی ما این است که دولت باید برای مقابله با تهدیدات سایبری از بخش خصوصی حمایت کند. اما نکته مهم اینکه در خارج از کشور، شرکت‌های خصوصی همکاری گسترده‌ای با بخش دولتی دارند. در حالی که در ایران بخش خصوصی باید با چنگ و دندان سهمش از بازار را بگیرد. به نظر من در این زمینه شرکت‌های خصوصی باید با تعامل بیشتر با یکدیگر همکاری کرده و مطالبات‌شان را مطرح کنند. البته سازمان نظام صنفی رایانه‌ای هم باید از حرکت خودجوش شرکت‌ها برای ایجاد ضابطه استفاده کند.
مثلا یکی از اتفاقات مثبت در حمایت از تولیدکننده داخلی، اختصاص بیلبوردهای تبلیغاتی شهری به آنها بود. این اقدام یک فرصت و حرکت مناسب برای حضور شرکت‌های داخلی و ایجاد یک ظرفیت برای آنهاست. راهکارهای ما هم باید از مسیر نظام صنفی رایانه‌ای باشد و صنف به عنوان نماینده شرکت‌ها، خواسته‌های ما را مطرح کند.
محسنی‌نیـا: من فکر می‌کنم می‌توان این کار را به عنوان یکی از وظایف کمیسیون افتای نظام صنفی قرار دهیم تا حداقل پیشنهادهای ما در این زمینه به گوش شرکت فناوری اطلاعات برسد.

صالحـی: جنس این پیشنهاد چیست؟ اینکه ما بخش دولتی را آگاه کنیم؟
محسنی‌نیـا: نه! آگاه هستند، بلکه به یکدیگر اعتماد ندارد و هریک می‌خواهند خودشان در راس کار باشند.
سعـدی: یکی از پیشنهادات مثبت سازمان نظام صنفی رایانه‌ای، گروه بندی شورای عالی انفورماتیک بود. دولت هم این پیشنهاد را قبول کرد و با توجه به وظایف هر شرکت گروه‌بندی انجام شد. به نظر من باید طی یک برنامه زمانبندی مشخص، نظام رتبه‌بندی شرکت‌ها را پیاده کنیم تا با تشخیص دولت، قابلیت‌های هر شرکتی مشخص شده و با توجه به آن، از توانمندی شرکت‌ها استفاده کنند. با ایجاد پروتکل ارتباطی در این زمینه، شرکت‌ها دیگر به فکر از میدان به در کردن یکدیگر نیستند و در کنار هم در بازار رقابت خواهند کرد. این موضوع باعث می‌شود شرکت‌ها هم با برنامه وارد بازار شوند و از هرج و مرج جلوگیری شود. باید در حالی که ظرفیت‌های خود را به بازار معرفی می‌کنیم، از دولت هم بخواهیم بازار را برای ما آماده کند. اما متاسفانه خودمان هم در صنف، منفعلانه عمل می‌کنیم.
به عنوان مثال نظام صنفی در حالی بحث ساماندهی بازار محصولات خارجی را مطرح می‌کند که هنوز نتوانسته ایم بازار داخل را ساماندهی کنیم. این نشان دهنده این است که ما برنامه مدون و مشخصی نداریم. جلساتی هم که در نظام صنفی برگزار می‌شود، تنها به تازه شدن دیدارها می‌گذرد و خروجی مشخصی ندارد.
محسنی‌نیـا: متاسفانه نظام صنفی رایانه‌ای بسیار ضعیف عمل می‌کند. من نظام صنفی را با تشکل نظام مهندسی ساختمان مقایسه می‌کنم. این تشکل قدرت وضع قانون دارد. مثلا قانونی وضع کرده‌اند که اگر هر زمانی دلار بالا رفت حتی اگر قرارداد با قیمت قبلی منعقد شده باشد، همه قیمت‌های مندرج در قرارداد براساس نرخ روز دلار محاسبه خواهد شد. در واقع آن نظام صنفی آنقدر به دولت فشار آورده که این موضوع را تبدیل به قانون کرده است. اما وقتی ما با شرکت‌های دولتی قرارداد می‌بندیم، در خوش‌بینانه‌ترین حالت، 10 درصد بعد از عقد قرار داد پرداخت می‌کنند. در حالی که من به عنوان تولیدکننده باید 90 درصد سرمایه‌گذاری کنم.

صالحـی: به نظرم بحث دوباره حالت درد دل پیدا کرد. من می‌خواهم بحث را به جایی ببریم که مشخص شود بخش خصوصی باید چه مطالباتی از بخش دولتی داشته باشد؟
محسنی‌نیـا: من توضیحی در مورد بازار محصولات داخلی بدهم. یک ابزار خارجی قوی با پشتیبانی قوی را با یک ابزار بومی‌که 70 درصد قابلیت و توانایی یک ابزار خارجی را دارد، مقایسه کنید. نکته مهم در این دو محصول میزان توانایی آنها نیست، بلکه مهم قرار گرفتن تولیدکننده پشت ابزار داخلی است. یعنی اگر مشکلی به وجود بیاید، مشتری حتی می‌تواند مستقیم با مدیر عامل تماس بگیرد تا مشکل حل شود. به نظر من واردکنندگان تجهیزات خارجی بیشتر به کار دلالی مشغولند. شما برای من یک شرکت بزرگ مثال بزنید که ضمن داشتن دانش قوی، فروشنده تجهیزات خارجی هم باشد. اصلا نداریم. چرا که آنها فقط یک تیم پشتیبانی قوی دارند که می‌توانند تجهیزات را نصب و راه‌اندازی کرده و پول بگیرند. ولی دانشی به سازمان هدف، منتقل نمی‌کنند. در حال حاضر تجهیزات بسیار گران قیمتی در ایران وجود دارد که امکان به‌روزرسانی آن قطع است. یعنی اصل کار مشکل دارد.

صالحـی: به نظر شما این بخش ماجرا دقیقا به دانش مصرف کننده مربوط نیست؟
محسنی‌نیـا: متاسفانه همه بدون هیچ پشتوانه علمی‌خاصی، فکر می‌کنند فایروال خارجی خوب ولی فایروال ایرانی بد است. در بسیاری از آزمون‌های دنیـا، فایروال فورتی نت جزو پرفروش‌ترین UTMهای دنیا شناخته شده است. در واقع مبدع فایروال در دنیا فورتی نت است. حالا این شرکت ادعا می‌کند 8 گیگ تروپوت دارد. آیا این ادعا در شرایط واقعی هم حقیقت دارد؟ آزمایشگاه  LAB NSS که در دنیا جزو بهترین و مجهزترین آزمایشگاه‌هاست، طبق شرایط واقعی تجهیزات امنیتی را بررسی می‌کند. طبق متدولوژی این آزمایشگاه، 8 گیگ ادعای فورتی نت به 150 مگابایت رسیده است. در حالی که این شرکت همچنان به خودش افتخار می‌کند که از آزمون  LAB NSS با موفقیت بیرون آمده است.
واقعیت این است که خیلی از سازمان‌های ما دانش لازم در این زمینه را ندارند و ما به عنوان تولیدکننده داخلی فرصت می‌خواهیم خودمان را در بازار نشان دهیم. اما متاسفانه مصرف کننده این فرصت را به ما نمی‌دهد. مثالی می‌زنم. اگر تجهیزات ما در شبکه یک سازمان دولتی قرار گرفته باشد، مشکل موجود در شبکه را گردن تجهیزات ما می‌اندازند اما اگر یک وسیله خارجی در شبکه باشد و شبکه همان مشکل را داشته باشد، می‌گویند شبکه یعنی همین!
خوشبختانه محصولات داخلی با سرمایه خودشان رشد کرده‌اند، اما نیاز به حمایت دارند. نمی‌خواهیم بگوییم محصولات خارجی خوب نیست، اما اطمینان داریم محصولات داخلی  هم طراز با نمونه‌های خارجی هستند.

صالحـی: بیش از حد توان از مشتری انتظار ندارید؟ مشتری وظیفه آزمایش محصول را ندارد. اما شما از مشتری می‌خواهید که بفهمد محصول ایرانی بهتر است و همان را هم بخرد. چرا مشتری باید در این زمینه سرمایه‌گذاری کند؟
نجفیـان: اگرچه تعداد مراکزی که محصولات را آزمایش می‌کنند کم است، اما وجود دارند. باید روال و روندی را ایجاد کرد تا طی آن، هم محصولات خارجی و هم تولیدات داخلی در شرایط واقعی و یکسان آزمایش شوند.
محسنی‌نیـا: لطفا جایی را هم در کشور به ما معرفی کنید که محصولات خارجی را آزمایش می‌کنند و رتبه می‌دهند. متاسفانه غرب‌زدگی از همین جا شروع می‌شود. چطور محصول خارجی ادعا می‌کند که بهترین است و همه هم این ادعا را قبول می‌کنند، اما من هموطن که این ادعا را دارم کسی به من اعتماد نمی‌کند؟ باید در یک شرایط یکسان، هم محصولات خارجی و هم محصولات داخلی آزمایش شوند و یک کنکور واقعی از همه بگیرند. نه اینکه تولیدکننده خارجی کارنامه قبولی‌اش را در دست داشته باشد و به همه نشان دهد اما از ما امتحان‌های خیلی سختی گرفته شود. از محصول داخلی انتظار دارند کل حملات را شناسایی کند. آیا محصول خارجی هم تضمینی برای شناسایی کل حملات دارد؟
سعـدی: به نظر من شرایط فعلی ما حکم ماشین زهوار در رفته‌ای را دارد که ظرف مدت زمان کوتاهی هم اصلاح نمی‌شود. باید همه بخش‌ها به بلوغ برسند تا مشکلات برطرف شود. این مشکل تک تک ماست. یاد گرفته‌ایم تا وقتی می‌شود چیزی را مجانی به دست آورد، چرا پول بدهیم؟ اما اصلا به ضعیف شدن صنعت فکر نمی‌کنیم.
به نفع مردم است که محصول داخلی بخرند. منطقی‌ترین علت آن هم این است که وقتی محصول مشکلی پیدا کند، دست‌شان به تولیدکننده می‌رسد.

صالحـی: این دقیقا به همان مساله فرهنگ سازی برمی‌گردد. خریـدار هنگام خرید، فـارغ از داخلی یا خارجی بـودن محصـول باید دقت کرده و سپس تصمیم‌گیری کند. اما نباید بعد از خرید محصول داخلی بیش از حد سخت‌گیری کند و چون تولیدکننده نزدیکش است، برای هر مساله کوچکی نسبت به خرید محصول ابراز پشیمانی کند.
سعـدی: اگر دولت ما هم مثل سایر کشورها به مالکیت معنوی و حمایت از تولیدکننده پایبند باشد، مشکلات برطرف می‌شوند. یک نویسنده در اروپا با نوشتن یک کتاب، زندگی‌اش به کلی دگرگون می‌شود اما اینجا تولیدکنندگان داخلی به راحتی ورشکسته می‌شوند.
محسنیـان: به نظر من بهتر است علاوه بر بحث فرهنگ سازی و همچنین حمایت‌های دولتی، به این مساله هم بپردازیم که شرکت‌های خصوصی خودشان باید برای خودشان چه کاری انجام دهند. به نظر من شرکت‌های خصوصی قبل از هر چیز باید دانش خود را به سازمان‌ها منتقل کنند. باید تفکر سازمان‌ها را عوض کنند. چرا که سازمان‌های دولتی ندانسته و از روی عدم دانش نسبت به خرید محصول خارجی تصمیم‌گیری می‌کنند. متاسفانه خودمان در جاانداختن این فرهنگ غلط که محصول خارجی بهتر از ایرانی است، اشتباه عمل کرده‌ایم. باید قبل از هر چیز این نگاه را اصلاح کنیم. توضیح دهیم که ممکن است محصول شما بروز نشود و حتی هنگام به‌روزرسانی، از آنجائیکه می‌دانند در ایران هستید، هزاران ویروس و بدافزار دیگر هم همراهش بفرستند. حتی ممکن است محصول خارجی قوی باشد، اما نیاز شما را برطرف نکند.
سعـدی: نباید از حق بگذریم، دولت نمی‌تواند برای تک تک سازمان‌های دولتی نسبت به خرید محصول و تجهیزات امنیتی تعیین تکلیف کند. از اینجا به بعد به فرهنگ و دانش خود خریدار بستگی دارد. اینکه کمک کنند حتی اگر نقطه ضعفی دارید، این ضعف‌ها برطرف شده و همچنان سرپا باقی بمانید.
محسنی‌نیـا: اگرچه فرهنگ‌سازی و حمایت‌های دولتی بسیار مهم است اما ضرب‌المثلی داریم که می‌گوید کس نخارد پشت من جز ناخن انگشت من! خودمان باید شروع کنیم. نخست باید فرهنگ خودمان را اصلاح کنیم. مثلا سمیناری بگذاریم و دانش‌مان را منتقل کنیم. هزینه‌ای هم برای این کار از سازمانی دریافت نکنیم تا فکر نکنند برای‌شان کیسه دوخته‌ایم. با این کار وقتی شما حرفی بزنید قبول می‌کنند و یا حداقل برای خرید محصول از شما مشاوره می‌گیرند. باید کاری کنیم که اعتمادها به سمت ما جلب شود چراکه پیش زمینه فرهنگی ما عدم اعتماد به یکدیگر است. 
نجفیـان: مهم است که شرکت‌های تولیدی بدون تبلیغ برند خاصی به صورت مشترک، تنها به تبلیغ محصولات داخلی بپردازند.

صالحـی: به نظر من هم برگزاری سمیناری در حد انتقال دانش به مشتریان بسیار مهم و اساسی است.
محسنی‌نیـا: من یک نکته دیگر هم اضافه کنم. هر شرکتی که در ایران فایروال تولید می‌کند، برای تولیدش نیاز به کسب مجوز از طرف سازمان فناوری اطلاعات دارد. پیشنهاد من این است که محصولات خارجی هم برای عرضه در بازار نیاز به کسب چنین مجوزی از شرکت فناوری اطلاعات داشته باشند.
قانونی داریم که اگر یک محصول خارجی، نمونه داخلی داشته باشد، مثل لوازم خانگی و صوتی تصویری، واردکننده محصول خارجی، باید 60 درصد حق گمرک بپردازد. اما برای واردات تجهیزات امنیت شبکه که نمونه داخلی هم دارد، چنین قانونی نداریم.
فرهنگ را با حرف نمی‌توان عوض کرد؛ باید وارد عمل شویم. من در محیط عملیاتی نشان خواهم داد که محصول ایرانی بهتر است. اما آیا می‌توانم برای هر مشتری چنین تشکیلاتی راه بیندازم؟ پس باید سازمان مشخصی به عنوان متولی اصلی اینکار معرفی شود.
سعـدی: به نظر من بد نیست که تولیدکنندگان ایرانی هم هرازگاهی هزینه‌ای کرده و در آزمون‌های بین‌المللی شرکت کنند.
قنبـری: به نظرمن هم برگزاری سمیناری مشترک بین تولیدکنندگان داخلی برای انتقال دانش فنی می‌تواند در جلب اعتماد مشتریان و خرید تولیدات داخلی روش موثری باشد.