پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
در پاسخ به راه پرداخت مطرح شد: ابرآروان بر اساس قوانین جمهوری اسلامی ایران فعالیت میکند
ابرآروان در سایت رسمی خود ذکر کرده که فعالیتهای آن تحت قوانین جمهوری اسلامی ایران است و به گفته مدیران این شرکت هر دستور قضایی که به ابرآروان داده شود از آن تبعیت خواهد کرد.
۲۶ اسفند ۱۳۹۹ زیرساخت رایانش ابری ابرآروان که یکی از ۱۰ محصول این شرکت است مورد حمله سایبری قرار گرفت. این حمله سایبری باعث شد ۱۶ درصد از مشتریان غیر رایگان ابرآروان که ۱۰ درصد از کل مشتریان ابرآروان را تشکیل میدهند دچار آسیب شوند. ابرآروان بعدازاین حمله سایبری با توجه به زمینهای که در افکارعمومی داشت بار دیگر در شبکههای اجتماعی به بحثی داغ تبدیل شد. آسیبهای حاصل از این حمله سایبری از یک سو و همکاری ابرآروان در پروژه ابرایران، گمانهزنیها مبنیبر برخورداری از حمایت یا ارتباط ویژه این شرکت با دولت را افزایش داد.
ابرآروان در همه این مراحل هرگونه ارتباط یا همکاری مستقیم با پروژههای کنترل اینترنت را تکذیب کرد. یکی از مهمترین دفاعیههای این شرکت نیز در مصاحبه روابطعمومی ابرآروان با BBC انجام شد. اما این مصاحبه در شرایطی بود که ابرآروان با هیچ رسانه داخلی مصاحبه نکرده بود. از همین رو در پی چنین مصاحبهای بار دیگر افکارعمومی علیه ابرآروان تشدید شد. آسیب این حمله سایبری برای کسبوکارهای نوپا بسیار جدی بود و همین موضوع منجر به طرح شکایت کسبوکارهای آسیبدیده علیه ابرآروان شد. این موضوع اما همچنان وارد مراحل قانونی نشده و باید در انتظار واکنشهای بعدی بود.
این موضوع که ابرآروان شرکتی امنیتی است و باید در حوزه حفظ امنیت داده مشتریان خود جدیتر عمل کند همچنان موضوعی است که برای مشتریان این شرکت مطرح است. اما عملکرد ابرآروان به گونهای است که نشانههای کسبوکارهای نوآورانه در آن بیشتر ملموس است. اما در نهایت این مجموعه چه رویکردی دارد؟ آیا امنیتی بودن فعالیت خود را پذیرفته یا مدعی است که فعالیتی در حوزه امنیت ندارد. نشست خبری ابرآروان روز سهشنبه ۱۷ فروردین ۱۴۰۰ برگزار شد تا این شرکت پاسخهای خود را به رسانهها در روندی که گذشت ارائه دهد.
نوآوری و امنیت در تضاد نیستند
پویا پیرحسینلو، ناخدای اجرایی ابرآروان و همبنیانگذار این شرکت در پاسخ به سؤال راه پرداخت مبنیبر اینکه ابرآروان خود را شرکتی امنیتی میداند یا یک شرکت نوآورانه گفت: «ابرآروان به طور مشخص زیرساخت یکپارچه ابری است. ابرآروان بهعنوان زیرساخت یکپارچه ابری مجموعهای از خدمات برای امنتر، سریعتر و در دسترس قرارگرفتن کسبوکارها انجام میدهد. یکی از محصولات این سامانه یکپارچه ابری سامانه cloude security یا سامانه امنیت ابری آروان است که به طور مستقیم ارتباطی به محصولی که در این حمله مورد آسیب قرار گرفته ندارد.»
یکی از ویژگیهای ابرآروان پوشش نوآروانه این مجموعه است. ابرآروان در بین کسبوکارهای اینترنتی حتی در نوع اصول سازمانی نیز عملکردی نوآورانه را پیش گرفته است. ایلیا وکیلی، مرشد ابرآروان در ادامه با پاسخ به این پرسش که چگونه یک شرکت امنیتی میتواند در عملکرد خود نوآوری داشته باشد گفت: «بحث نوآوری و امنیت دو مقوله جدا هستند. ابرآروان در حوزه امنیت best practice را رعایت میکند. تیم امنیت مستقر در ابرآروان و شرکایی که با ما همکاری میکنند، امنیت را در رتبهبندی به طور جدی بررسی میکنند. در حال حاضر هم به دنبال این هستیم که استانداردهای امنیتی از جمله iso 27000 را کسب کنیم. همچنین ما معتقدیم امنیت و نوآوری لزوماً در مقابل هم قرار نمیگیرند و میتوانند دو بال یک شرکت زیرساخت باشند.»
ابرآروان از پیشروان بازار
اما باید دید ازآنجاییکه ابرآروان فعالیت خود را بیشتر در حوزه امنیت میداند، چه میزان از سهم بازار در این حوزه را به خود اختصاص داده است. وکیلی در این باره توضیح داد و گفت: «قطعاً سهم ابرآروان از بازار ابری، سهم غالب است. در حوزه دیتاسنتری بازیگران قدر و قدیمی وجود دارد، اما در حوزه ابری، ابرآروان پیشرو است. این در حالی است که رقابت در حوزه امنیتی به گونه دیگری است. شفافیت ابرآروان باعث شده که چنین حادثهای در ابرآروان بیشتر دیده شود، در حالی که حادثه مشابه در شرکتهای مشابه شکل میگیرد و ازآنجاییکه با شفافیت موضوع بررسی نمیکنند موردتوجه قرار نمیگیرند. اما شفافیت از اصول اساسی ابرآروان است و کماکان تلاش بر شفافیت این مجموعه است.»
تاکید ابرآروان بر عدم همکاری در محدودیت اینترنت
به هر روی گستردگی آسیبی که ابرآروان بعد از حمله سایبری به آن دچار شد، روابطعمومی این مجموعه را بر آن داشت تا با BBC بهعنوان یک رسانه خارجی درباره این موضوع گفتوگو کند. ناخدای اجرایی ابرآروان دلیل مصاحبه با BBC را «انحصار رسانه تصویری در صداوسیما عنوان کرد.» یکی از نکات مهمی که در مصاحبه ابرآروان با BBC موردتوجه قرار گرفت تأکید هستی شهریزفر، قصه گوی ابرآروان بر عدم همکاری این شرکت در هر پروژهای منوط بر کنترل و قطع اینترنت بود، این در حالی است که بعد از مصاحبه سند همکاری ابرآروان با شرکت زیرساخت فناوری اطلاعات منتشر شد.
شهریزفر در توضیح درباره این موضوع به راهپرداخت گفت: «ابرآروان اعلام کرده که اجازه نمیدهد از زیرساخت خود، یعنی آنچه در اختیار ابرآروان قرار دارد در پروژههایی که مربوط به محدودسازی باشد استفاده شود، یا در این پروژهها مشارکت کند. پروژه ابرایران در حوزه مواردی است که در زمان سوءاستفاده از زیرساخت ابری همکاری کند.»
وکیلی در ادامه توضیحات او افزود: «قراردادهایی که با سازمان فناوری اطلاعات بسته میشود شفاف و در دسترس عموم است. بندی که در این قرارداد تحت عنوان شنود قانونی ذکر شده در همه زیرساختهای کشور وجود دارد. در دنیا فراهمکنندگان زیرساخت مجبور به در اختیار قراردادن این اطلاعات به پلیس هستند. این موضوع برای جلوگیری از جرایم سایبری بهمانند فیشینگ است. روشن است که بر اساس قانون اساسی شنود غیرقانونی است اما شنود قانونی موضوعی است که به دادگاه این اجازه را میدهد که با حکم به اطلاعات یک فعالیت مجرمانه دسترسی پیدا کند. این در حالی است که هیچ ابزار شنودی در دیتاسنترهای ابرآروان نصب نیست.»
پیرحسینلو در ادامه توضیحات این همکاری گفت: «این موضوع را باید به دو بخش مجزا تقسیم کرد. نخست باید دید آیا ابرآروان سرویسی را مبتنی بر کنترل اینترنت ارائه میدهد؟ در این باره باید گفت به هیچ عنوان چنین همکاری شکل نگرفته و در آینده هم شکل نمیگیرد. آروان سرویس یکپارچه ابری ارائه میدهد. ابرآروان خود مصرفکننده اینترنت است و هیچگونه همکاری با پروژههای مبنیبر محدودسازی اینترنت یا فیلترینگ یا موضوعات مشابه نداریم؛ بنابراین به لحاظ فنی ابرآروان نمیتواند همکاری داشته باشد.»
او در ادامه توضیحات خود افزود: «در پروژهای که هدف آن ابریسازی دیتاسنترها در استانهای مختلف است، طبق قانون تمام زیرساختها در تمام دنیا متعهد هستند که این اجازه را به دولتها بدهند. شرکت داخلی و شرکت بینالمللی ابرآروان تابع قوانین است. ابرآروان شرکتی است که بر اساس قوانین جمهوری اسلامی مشغول به فعالیت است و از قوانین تبعیت میکند.»
هم بنیانگذار ابرآروان با اشاره به این موضوع که برخی معتقدند ابریسازی دیتاسنترها هزینه قطعی اینترنت را کاهش میدهد گفت: «این ابریسازی برای ارتقاء کیفیت است و ارتباطی با ورود و خروج سرویسها ندارد. حتی اگر این انتقاد را هم وارد بدانیم ما خیلی شفاف و روشن ۵ دیتاسنتر در ۵ نقطه کشور اجاره کردهایم تا دیتاسنتر سنتی به دیتاسنتر ابری منتقل شود. سازمان فناوری اطلاعات هم این حق را بر خود در نظر گرفته که هر زمان دستور داد دیتاسنتر قطع شود. این موضوع به اینترنت بینالمللی هیچگونه ارتباطی ندارد.»
ابرآروان، تحت پوشش قانون جمهوری اسلامی ایران
پیرحسینلو در پاسخ به راهپرداخت مبنیبر اینکه بههرحال ابرآروان پذیرفته هر زمانبر اساس دستور مقامات دیتاسنتر داخلی را قطع کند گفت: «بله این موضوع را پذیرفتهایم. اما آیا این امکان وجود دارد که در ایران فعالیت کرد و بر اساس دستورات قانون دیتاسنتر را قطع نکرد؟ ابرآروان در سایت رسمی خود ذکر کرده که فعالیتهای آن تحت قوانین جمهوری اسلامی ایران است؛ بنابراین هر دستور قضایی که به شرکت ابرآروان داده شود از آن تبعیت خواهیم کرد.»
فعالیت تحت نظارت قوانین جمهوری اسلامی ایران برای شرکتهای فعال در کشور امری طبیعی است. اما در مقابل پاسخ روابطعمومی ابرآروان به BBC مبنیبر اینکه هیچ همکاری در این حوزه ندارد افکارعمومی را با پرسش و البته تعجب بیشتری روبرو کرده است. از همین رو است که انتشار قرارداد ابرآروان و گزارههای دیگر موجود مبنیبر کنترل دسترسی به دادهها جامعه را نگران میکند. از سویی دیگر همانطور که پیرحسینلو اشاره کرد همکاری ما ربطی به کاهش هزینه قطعی اینترنت بین المللی ندارد.
ناخدای ابرآروان اما در بخش دیگری از توضیحات خود تأکید کرد: «این شرکت وارد پروژههایی که به قطعی اینترنت مربوط میشود نخواهد شد. همچنین ابرآروان هیچ قضاوتی هم در این باره ندارد. این شرکت مصرفکننده اینترنت است و در ایران الزام داریم که از FCC های شرکت ارتباط زیرساخت اینترنت خریداری کند. این موضوع در هر کشور دیگری هم با توجه به قوانین آن کشور انجام میشود.»
ابرآروان مورد حمایت وزیر نیست
در ادامه ایلیا وکیلی هرگونه حمایت رسمی وزیر ارتباطات از ابرآروان را تکذیب و توضیح داد: «وزیر ارتباطات بعد از حمله سایبری به ابرآروان هیچ حمایتی از این شرکت نکرده است. در حقیقت هیچوقت حمایت ویژهای از ابرآروان نشده است و تصور این حمایت به دلیل جو عمومی علیه ابرآروان است.»
از سویی دیگر پیرحسینلو با تشریح این موضوع گفت: «چندی پیش وزیر ارتباطات در توییتی با معرفی کسبوکارهای نوپا به ابرآروان اشاره کرد و همچنین در نمایشگاه الکامپ هم در غرفه ابرآروان حاضر شد. این سطح از ارتباط وزیر ارتباط با کسبوکاری که سال ۹۴ با ۴ نفر آغاز شده و امروز در سال ۱۴۰۰ ، ۱۵۰ نفر پرسنل دارد و در سطح بینالمللی صادرات تکنولوژی انجام میدهد، منطقی است.»
تضمین امنیت ابرآروان چیست؟
یکی دیگر از نکات مهمی که بعدازاین حمله سایبری بهطورجدی درباره شرکت ابرآروان باید بررسی شود، تضمین حفظ امنیت برای مشتریان و همچنین بازگشت احساس امنیت برای مشتریان است. هرچند ابرآروان تأکید بر افزایش فرهنگسازی برای بکآپ گرفتن از اطلاعات است اما در نهایت برخی از مشتریان این شرکت با اعتماد به فضای ابری که ابرآروان در اختیار آنها قرار داده برخی یا در مواردی همه دادههای خود را ازدستدادهاند. رویکرد ابرآروان در چگونگی بازگشت احساس امنیت را باید مورد توجه قرارداد.
هستی شهریزفر با ارائه توضیحاتی به راهپرداخت در این باره گفت: «ابرآروان ۱۰ محصول ابری دارد. این حمله به یکی از این محصولات ابری انجام شد و به طور جزئی به بکی از سه دیتابیس که در رایانش ابری وجود دارد، حمله شد. چنین شرایطی به این معنی است که ابعاد این حمله گسترده نبوده است. دلیل توجه گسترده به این موضوع از آنجایی بود که پروسه فنی طولانی شد. ازآنجاییکه اولویت ابرآروان حفظ دیتای مشتری است پروسه را زمانبر کرد. گستره این اتفاق به اندازهای نیست که شرکتی مثل ابرآراوان را زمین بزند. این حادثه تنها ۱۶ درصد از مشتریان را متأثر کرده اما ابرآروان از این حادثه درس گرفته و با نگاه روبهجلو مسیر خود را ادامه میدهد.»
از سویی دیگر وکیلی با ارائه توضیحاتی مبنیبر تلاش برای تضمین امنیت داده مشتریان افزود: «پیادهسازی تسهیلاتی برای مشتریان که بتوانند از اطلاعات خود بهراحتی بکآپ بگیرند یکی از برنامههای ابرآروان است. همچنین تلاش میکنیم سرویسهای بکآپ گرفتن را خیلی ساده در اختیار مشتریان قرار دهیم. برنامه هایی هم تنظیم کردهایم که مشتریان کوچک هم به سادگی امکان بکآپ گرفتن داشته باشند. به هر حال مشتریان بزرگ ما در این حادثه خیلی دچار صدمه نشدند چون پروتکلهای مدیریت بحران را از سمت خود داشته اند. به لحاظ امنیت هم باید گفت که هیچ سیستمی در هیچ نقطهای از دنیا ۱۰۰ درصد امن نیست، مگر اینکه سیستم را به طور کامل قطع و آن را در گاوصندوقی قرار داده و ارتباط را با آن قطع کنید.»
استفاده ابرآروان از باگ بانتی فعال
او در ادامه تشریح کرد: « ابرآروان باگ بانتی فعال دارد و این در حالی است که کمتر شرکتی در ایران باگ بانتی فعال دارد. جوایز باگ بانتی را افزایش دادهایم. همچنین با مشاوران بیشتری در ارتباطیم تا سیستم امنیت خود را افزایش دهیم. همچنین به صورت مجزا توالی و تناوب بررسی امنیت را در ابرآروان افزایش دادهایم. اما در نهایت باید بدانیم که مشتریان باید از اطلاعات خود بکآپ داشته باشند. درباره این موضوع باید فرهنگسازی گسترده انجام شود. مثال ملموس آن این است که اگر هارد تهیه کنید، در صورت آسیب دیدن هارد، بر اساس گارانتی فقط یک هارد از پشتیانی گارانتی به مشتری تعلق میگیرد و در نهایت اطلاعات و دادهها از دست رفته است.»