پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
از تضمین امنیت اطلاعات تا تحلیل دیتا در گفتگو با قائم مقام شرکتی که ادعا میکند در ایران HSM تولید کرده
امنیت و تضمین آن در دنیایی که به عصر ارتباطات شهرت دارد، از اهمیت بالایی برخوردار است و نمیتوان به سادگی از کنار آن گذشت. همین مسئله باعث شده همزمان با ظهور و گسترش شرکتهای بزرگ طراحی و تولید نرمافزار، شرکتهای امنیتی هم شکل بگیرند. حصینایمن یکی از این شرکتها است. این سازمان کوچک یکی از شرکتهای زیرمجموعه هولدینگ حصین محسوب میشود و از نخستین شرکتهایی بود که سال 88 به صورت مستقل از هولدینگ حصین فعالیت کرد.
حصین ایمن در ابتدا کار خود را با سه نفر از اعضای اصلی شرکت حصین آغاز کرد، اما اکنون بیش از بیست نفر پرسنل دارد و محصولات و خدمات زیادی ارائه میکند. مخاطبان این شرکت را اپراتورهای تلفن همراه، شرکتهای بانکی و پرداخت و شرکتهای ارائهدهنده سرویسهای اینترنتی تشکیل میدهد. از ابتدا تاکنون مهندس سجاد بنابی یکی از مؤسسان حصین، مدیرعامل شرکت حصین ایمن بوده است و از تابستان 91 علیرضا دانش به عنوان قائممقام مدیرعامل در حصین ایمن فعالیت میکند. گفتگوی راه پرداخت با علیرضا دانش در زمینه دامنه فعالیتهای حصین ایمن و محصولات این شرکت در ادامه آمده است.
بازار امنیت حصین ایمن
شرکت حصین از ابتدا حوزه کاری بانکی را برای فعالیت خود انتخاب کرده بود و محصولاتی مانند دستگاه کارتخوان، کارتهای هوشمند و راهکارهای سختافزاری و نرمافزاری بانکی را ارائه میکرد. اما پس از گذشت زمان، بازار فناوریهای امنیتی در کشور بیشتر مورد توجه قرار گرفت. به گفته علیرضا دانش همین مسئله در ادامه منجر به تأسیس شرکت حصین ایمن شد.
دانش درباره بازار امنیت در ایران و جهان میگوید: «بازار امنیت در ایران دو بخش دارد. یکی بخش خدماتی است که شرکتها به صورت سختافزاری و نرمافزاری به مشتریان خود ارائه میکنند. بخش دیگر هم شامل فروش تجهیزات سختافزاری میشود. این بخش عملاً کار بازرگانی است و واردات، فروش و پشتیبانی محصول را پوشش میدهد.»
او در ادامه توضیح میدهد: «در بخش خدمات، کارهایی مانند نصب و راهاندازی نرمافزارهای امنیتی وجود دارد که جزو حوزه کاری ما محسوب نمیشود. بخش دیگر، خدمات ارزیابی محصول نرمافزاری و سختافزاری به لحاظ امنیتی است که ما آن را انجام میدهیم. به عنوان مثال شما یک نرمافزار مانند هلو برای سازمان خود تهیه میکنید که شناخته شده هم هست. شرکت تولید نرمافزار آن را تولید میکند و به دست مشتری هم میرسد و نرمافزار کارایی خوبی هم دارد. اما در همه جای دنیا این نگرانی هست که آیا ایراد امنیتی در این نرمافزار وجود دارد؟ آیا میتوان آن را هک کرد یا اطلاعات را به نحوی از داخل نرمافزار از آن خارج کرد؟ آیا فردی از خارج از شرکت میتواند به این اطلاعات بدون اینکه متوجه شویم دسترسی پیدا کند؟»
به گفته دانش این نگرانیها از ده پانزده سال پیش برای شرکتهایی که میخواستند از چنین نرمافزارهایی استفاده کنند، به وجود آمده و از همان زمان هم که حصین ایمن تأسیس شد، اهمیت بیشتری پیدا کرده است. او درباره علت اهمیت تست نرمافزارها میگوید: «شرکتها به مرور زمان با مواردی شبیه به این مواجه شدهاند. نرمافزاری از خارج از کشور تهیه کرده و استفاده کردهاند و بعد از مدتی متوجه شدهاند به لحاظ امنیتی مشکل دارد و باید حتماً آن را تست کرد. این نشت اطلاعات از آنجا اتفاق میافتد که نرمافزاری را بدون اینکه آن را تست کنند به بازار میدهند.»
تست نرمافزار، مهمتر از طراحی و تولید آن
برای تست نرم افزارها سازمان NIST آمریکا یک سند تهیه و تنظیم کرده است که در آن نرمافزارها به محک گذاشته میشوند و به لحاظ امنیتی ردهبندی میشوند. در انتها درجه خطر آنها اعلام خواهد شد. به عنوان مثال مشخص میشود نرمافزار موجود ریسک درجه B ،A و یا C دارد. اما آیا خود شرکتهای تولید نرمافزار نمیتوانند محصولات تولیدی خود را تست کنند؟ دانش در پاسخ میگوید: «برخی از شرکتهای نرمافزاری بزرگ دنیا گاهی تست را انجام میدهند. به عنوان مثال گوگل گروه تست نرمافزاری معروفی دارد که که محصولات تولیدی این شرکت را تست میکند. نرمافزار به صورت کلی دو مرحله دارد. مرحله طراحی و تولید نرمافزار و مرحله تست و آزمون. تست نرمافزار دانش مجزایی دارد و پایه آن محسوب میشود. در طراحیهای نرمافزاری مدرن اول نرمافزار تست میشود و بعد آن را تولید میکنند. اما به صورت کلی پس از تولید نرمافزار از دو بعد امنیتی و کارایی مورد آزمون قرار میگیرد.»
با این همه تست نرمافزار در شرکتهای داخلی اتفاق نمیافتد. به عقیده قائممقام حصین ایمن، شرکتهای تولید نرمافزار داخلی نه دانش کافی برای تست نرمافزار را دارند و نه تمایل انجام آن را دارند. علت ساده است. هزینه تست نرمافزار از هزینه تولید آن بیشتر است و همین مسئله باعث میشود شرکتهای تولید نرمافزار تمایلی برای تست آن نداشته باشند.
دانش در توضیح میگوید: «در ایران قوانین مشخصی برای حقوق مشتری و کپیرایت وجود ندارد. بنابراین شرکتهای تولید نرمافزار کارایی و امنیت محصول خود را تضمین نمیکنند. اخیراً این فرهنگ جا افتاده که شرکتهای تولیدکننده، تست نرمافزاری را جدی میگیرند و یا خودشان آن را انجام میدهند یا به شرکت دیگری برون سپاری میکنند. به تازگی از سال 91 به بعد نهاد ریاستجمهوری مجموعهای درست کرده است تا شرکتهای تست امنیتی نرم افزار را قانونمند کند.»
بنابراین خط اصلی کاری در حصینایمن تست نرمافزارها و بهدنبال آن تضمین امنیت محصولات است. کارشناسان در این شرکت میتوانند به استفادهکنندگان از یک نرمافزار اطلاع دهند خطایی که در نرمافزار پیدا کردهاند طبیعی یا قابل سؤاستفاده است.
این شرکت از ابتدای شروع فعالیت خود تاکنون چیزی حدود 65 پروژه تست نرمافزار دریافت کرده است و یکی از پنج شرکتی است که مجوز انجام چنین کاری را دارند.
جای خالی تضمین امنیت در تولید نرمافزار
مشتریان حصین ایمن جالب توجه هستند. آنها مشتریان نرمافزارها هستند، نه تولیدکنندگان آنها. سازمانها و شرکتهایی که میخواهند از نرمافزاری استفاده کنند به دنبال تست امنیت و کاربری آن هستند و شرکتهای تولیدکننده و طراح نرمافزاری چنین مسئولیتی را بهعهده نمیگیرند. به صورتی که از بین 65 پروژهای که تنها شرکت حصین ایمن دریافت کرده است، تنها دو مورد از طرف قرارداد آنها شرکتهای تولید نرمافزاری هستند. این درحالی است که نه مشتریان، بلکه شرکتهای تولیدکننده باید هزینه تست نرمافزار خود را پرداخت کنند. این وضعیت به ایران محدود نمیشود و در سایر شرکتهای دیگر بینالمللی هم تست نرمافزار به عهده مشتریان است.
دانش درباره علت این مسئله میگوید: «هزینه بالای تست نرمافزار باعث میشود شرکتهای تولیدکننده به دنبال تست محصول خود نباشند. هزینه تست ویندوز از هزینه ساخت آن بیشتر است. بنابراین شرکت مایکروسافت هیچگاه این هزینه را به عهده نمیگیرد تا تست آن را به شرکت دیگری برونسپاری کند.» علت بالا بودن هزینه این است که افرادی که این کار را انجام میدهند باید به دانش نرمافزاری بیش از طراحان این حوزه احاطه داشته باشند و بتوانند مهندسی معکوس انجام دهند. به این معنی که حدس بزنند مهندس طراح چه چیزهایی را در نظر داشته است تا ایراد کار را بیابند. کارشناسان تست نرمافزار هیچ اطلاعی از خود نرمافزار در اختیار ندارند و اطلاعاتی از طرف شرکت تولیدکننده نیز به آنها ارائه نمیشود. در نتیجه باید تلاش کنند به صورت مستقل به اطلاعات نرمافزار دسترسی پیدا کنند و در عین حال هم به لحاظ امنیتی آن را محک کنند.
شرکتهای تولیدکننده و طراح گاوصندوق و حتی گاهی نیروهای پلیس در دنیا همیشه افرادی را استخدام میکنند که میتوانند به بهترین گاوصندوقها نیز نفوذ کنند و ایراد فنی آنها را بیابند. کارشناسان حصین ایمن، کاری شبیه به آنها دارند.
تحقق رویای تولید رمزنگار غیرقابل نفوذ
فعالیتهای حصین ایمن به تست نرمافزاری ختم نمی شود و آنها پروژههای دیگری را نیز در کنار خود دنبال میکنند. یکی از آنها تولید HSM یا Hardware Security Module است که به گفته دانش حدودا 10 شرکت دیگر در دنیا قادر به تولید آن هستند و از این تعداد چهار شرکت اعتبار جهانی دارند و شناختهشده هستند. این دستگاه تکنولوژی پیچیدهای دارد و تولید انبوه آن کار سادهای نیست.
دانش درباره کارکرد این محصول توضیح میدهد: «زمانی که شما به عنوان کاربر پشت دستگاه عابربانک میروید و رمز خود را وارد میکنید و کلید ثبت را فشار میدهید، پسورد و اطلاعات کارت را در اختیار دستگاه قرار دادهاید. این خطر وجود دارد که فردی بتواند پشت نرمافزار دستگاه قرار گیرد و به اطلاعات کارت دسترسی پیدا کند. کپی کردن این اطلاعات کار سادهای است و راههای سؤاستفاده از آن بسیار زیاد است. اطلاعات شما در شبکه شتاب به سمت بانکی میرود که کارت شما را صادر کرده است و پس از تأیید به شما برمیگردد و عملیات انجام میشود. برای جلوگیری از سرقت این اطلاعات باید آنها را پیش از آنکه وارد شبکه شتاب شود رمزنگاری کرد. اطلاعات رمزنگاری شده به مقصد میرسد، رمزگشایی میشود و پس از تأیید به جای اصلی خود بازمیگردد.»
قائممقام حصین ایمن درباره وضعیت قبلی امنیت این دستگاهها میگوید: «تا پیش از این نرمافزار امنیتی وجود داشت که میتوانست همه اطلاعات را کنار هم به صورت رشته بچیند و پس از رمزنگاری، آن اطلاعات را ارسال میکرد. این نرمافزار یا روی دستگاه کار گذاشته شده بود و یا در شبکه امنیت اطلاعات را به عهده میگرفت. اما پس از مدتی مشخص شد این فرآیند به اندازه کافی امن نیست. چرا که فردی میتواند کنترل نرمافزار را به عهده بگیرد و امنیت تمام اطلاعات شبکه به خطر خواهد افتاد. در نتیجه سختافزاری تهیه شد که فرآیند رمزنگاری را انجام میدهد. ما تنها دستور رمزنگاری را به دستگاه میدهیم، اما دیگر نمیگوییم با چه کلیدی باید آن را رمزنگاری کند و از چه منطق و دستورالعملی باید استفاده کند. اطلاعات رمزنگاری شده این دستگاه در شبکه سفر میکند و به پایگاه اطلاعات و دستگاه دیگر میرسد. تنها سختافزار HSM میتواند اطلاعاتی را که رمزنگاری شده، رمزگشایی کند.»
به گفته او با حذف عامل انسانی در کنترل چنین محصولی، امنیت اطلاعات تضمین شده است. به صورت دستی و غیردستی و با هیچ نرمافزاری نمیتوان به داخل دستگاه HSM راه پیدا کرد. دانش میگوید: «اگر در دستگاه را باز کنید، اطلاعات درون دستگاه پاک میشود. اگر فردی تلاش کند با مته آن را سوراخ کند، از آنجا که به لرزش حساست دارد، اطلاعات را پاک میکند. اگر بخواهند آن را با آهنربا یا جریانهای مغناطیسی باز کنند، بخاطر حسگرهای درون دستگاه، اطلاعات مجددا پاک خواهد شد. این دستگاه به نور هم حساس است و اگر داخل آن چراغ قوه انداخته شود، اطلاعات همه از بین میروند.»
این دستگاه به صورت محدود طراحی و تولید شده و ساخت آن تا اواخر آبان ماه به اتمام میرسد. به گفته دانش یک بانک بزرگ که شعب و دستگاههای آن در سطح کشور به طور گسترده پراکنده است به بیش از چهار دستگاه HSM نیاز پیدا نخواهد کرد. چراکه توان پردازشی آنها بالاست، میتوانند اطلاعات زیادی را در خود پردازش کنند و نه تولید آن ساده است و نه خرید آن.
حصین ایمن همچنین نمایندگی انحصاری شرکت آلمانی UTIMACO را نیز که به تولید محصولات HSM مشغول است، دریافت کرده تا بتواند بازار محصولات خارجی این دستگاه را نیز در خود داشته باشد. در حال حاضر نیاز بانکی کشور به دستگاههای HSM از طریق محصولات خارجی تأمین میشود. جالب اینجاست که این محصولات قیمت بیشتری نسبت به محصول داخلی خود دارند.
این شرکت محصولات خارجی HSM را که تولید UTIMACO است با قیمت 130 تا 140 میلیون تومان به فروش میرساند، درحالی که قیمت نسخههای مشابه این محصولات از شرکتهای خارجی دیگر تا 200 و 300 میلیون هم میرسد، درحالی که محصول حصین ایمن 80 میلیون قیمت دارد.
حصین ایمن از SSM، نسخه اول محصول خود که ترکیب نرمافزار و سختافزار بود، هشت محصول تولید کرد که توانست شش تای آنها را به فروش برساند. از HSM به عنوان محصول دوم نیز که مراحل ساخت آن ماه آینده به اتمام میرسد، چهار محصول تولید شده و تخمین زده میشود در سال جاری دوتا از آنها به فروش برسد.
به گفته دانش فروش این محصولات به علت وجود گواهینامه FIPS دشوار است. او توضیح میدهد: «FIPS گواهینامهای است که سازمان NIST آمریکا صادر میکند و کارایی سختافزار را تأیید میکند. ما نمیتوانیم محصول خود را در اختیار این شرکت قرار دهیم و در نتیجه گواهینامه FIPS را هم نمیتوانیم دریافت کنیم. برای دریافت گواهینامه ما باید طراحی کامل این سختافزار را در اختیار آنها قرار دهیم. اما از آنجایی که ما میخواهیم این محصول را در کشور به فروش برسانیم و بخشی از بازار ما را مشتریان بانکی و نظامی تشکیل میدهد، نمیتوان چنین کاری کرد.»
در ایران مرکزی با نام ریشه وجود دارد که کار مشابه سازمان NIST را انجام میدهد. حصین ایمن مذاکراتی با این شرکت انجام داده و اطلاعات مورد نیاز را در اختیار آنها قرار داده است.
تاکنون چیزی حدود سه تا چهار میلیارد تومان برای تولید این محصولات هزینه صرف شده است. دستگاههای HSM نمونههای آزمایشگاهی هستند و هزینه مطالعات تحقیق و توسعه روی آنها محاسبه شده است. بنابراین در صورتی که به صورت انبوه از این دستگاه تولید شود، قیمت آن کاهش پیدا میکند. به گفته دانش تنها برخی تجهیزات پایه این دستگاه خریداری شده و سایر موارد مانند طراحی کل محصول و تهیه مدار الکتریکی آن با خود کارشناسان این مجموعه بوده است.
این دستگاه جاسوسی نمیکند!
بوردی که حصین ایمن برای ساخت دستگاه HSM طراحی کرده است، محصولی عمومی است و استفادههای زیادی دارد. یکی از این استفادهها محصولی با عنوان ترافیک آنالایزر است. هدف این محصول در وهله نخست به گفته دانش، جاسوسی یا دخالت در حریم شخصی افراد نیست، بلکه ترافیک اینترنتی خارج شده از شرکت را بررسی میکند. دانش در این زمینه توضیح میدهد: «این نرمافزار از روی ترافیک خروجی یک سازمان یک نسخه کپی میکند و با الگوریتمهای خاصی آن را تحلیل میکند و تشخیص میدهد کاربران در طول روز از چه سایتهایی بازدید کردهاند، چه میزان اطلاعات از سازمان خارج و چه میزان دریافت کرده است. تحلیل این نرمافزار میتواند انعطاف بالایی داشته باشد و حتی مشخص کند کاربران از چه اپلیکیشنهایی استفاده کردهاند. حتی اگر کاربری عکسی در تلگرام فرستاده باشد را میتواند بازیابی و مشخص کند.»
نظارت بر ترافیک اینترنت به مفهومی با نام APT برمیگردد که در فارسی به «تهدید مقاوم پیشرفته» ترجمه شده است. اطلاعات در سازمانها و شرکتها حیاتی است و صاحبان کمپانیهای بزرگ نمیخواهند دچار نشت اطلاعات شوند. این اطلاعات هرچیزی میتواند باشد. یک شرکت تولید فیلم که نمیخواهد زودتر از موعد فیلم ساخته شدهاش منتشر شود، شرکت داروسازی که دستور ساخت محصولاتش را نزد خود نگه میدارد و بسیاری از شرکتها که علاقهای ندارند اطلاعات درون شرکت از آن سازمان توسط کارکنان به بیرون ارسال شود. محصولی که حصین ایمن ارائه میکند، تنها میتواند اطلاعات ردوبدل شده آنلاین را نظارت کند و اینترنت را بررسی کند. با این همه به گفته دانش این شرکت در حال تهیه و طراحی محصولی است که تمام اطلاعات آنلاین و آفلاین سیستمهای متصل به شبکه را میتواند بررسی کند.
با این همه، نظارت روی اینترنت میتواند مسئله بحثبرانگیزی باشد. شاید شرکتی بخواهد و بتواند روی ترافیک اینترنت خود نظارت داشته باشد و دلایل خوبی هم برای این کار ارائه کند. اما نظارت روی اینترنت عمومی میتواند چالشبرانگیز باشد. دانش در این زمینه میگوید: «نظارت روی اینترنت، چه بخواهیم و چه نخواهیم وجود دارد. سؤاستفاده در همه زمینهها میتواند وجود داشته باشد و در نتیجه زمینه پیشگیری از آن نیز باید فراهم شود. من از اینکه در ایران نظارت روی اینترنت عمومی و شرکتی هست یا نه، اطلاع ندارم، اما این جزو حقوق کاربران است که بدانند اگر نظارتی روی ترافیک اینترنت آنها هست، از آن مطلع شوند. با این حال قوانین در ایران در این زمینه مرزبندی مشخصی ندارند و نظارتها در کلیترین سطح ممکن وجود دارد. به عنوان مثال اپراتور تلفن همراه شما اعلام میکند خارج از کشور از دیتای تلفن استفاده کردهاید و در نتیجه باید تعرفه متفاوتی بپردازید. آنها در این سطح میتوانند روی مشتریان خود نظارت داشته باشند و بیشتر از آن حجم اطلاعات جمعآوری شده به قدری زیاد میشود که عملاً تحلیل و بررسی آنها برای هیچ سازمان و اپراتوری بهصرفه نیست.»
طراحی و ساخت این نرمافزار از ابتدای سال 95 شروع شد و بهمن همان سال به بازار عرضه شد. شرکت حصین ایمن همچنین نسخه سختافزاری این محصول را از سال 96 آغاز کرد و هنوز به مرحله عرضه به بازار و فروش نرسانده است. قیمت نرمافزار ترافیک آنالایزر از 10 میلیون آغاز میشود و تا سقف 180 میلیون میتواند افزایش پیدا کند. این تفاوت قیمت به میزان عمق پردازش بستگی دارد. همچنین دستگاه سختافزاری مربوط به این محصول شروع قیمتی با مبلغ 40 میلیون تومان خواهد داشت.
کمبود نیروی انسانی حرفهای، چالش دیگر
به گفته دانش، تست نرمافزار و تولید دو محصولی که در دست دارند به اندازه کافی برای اعضای این شرکت زمانگیر است. علاوه بر کمبود نیروی کاری متخصص، چالش دیگری است که این مجموعه مانند بسیار از شرکتهای مطرح ایرانی دیگر با آن مواجه است. او توضیح میدهد: «حصین ایمن در حال حاضر 20 نفر پرسنل دارد که به سه دسته تقسیم میشوند. هشت تا 9 نفر از آنها مسئولیت بخش سخت افزار را به عهده دارند، سه نفر تستهای نرم افزاری را انجام میدهند و بین شش تا هفت نفر هم به تولید نرمافزار مشغولاند.»
دانش وجه تمایز حصین ایمن را با رقبای داخلی خو در همین نیروی انسانی میداند و میگوید: «نخست آنکه حصین ایمن از هیچ رانتی استفاده نمیکند و به واسطه آن وارد هیچ مناقصه و مزایدهای نمیشود و تلاش دارد قیمتهای معقولی داشته باشد. همچنین بودجه و سرمایهگذاری از خارج از شرکت نداشتهایم و همه مواد لازم برای تولید محصولات را خودمان تهیه کردهایم. به همین خاطر نمیتوانیم نیروی انسانی زیادی داشته باشیم، چراکه هزینههای زیادی خصوصاً در بخش تحقیق و توسعه داریم و مجبوریم شرکت را کوچک نگه داریم. البته میانیگن حقوقی ما نیز بالاست و افرادی که با آنها همکاری داریم در حوزه کاری خود بهترین هستند. علاوه بر این، مشتری مداری و رعایت اخلاق برای ما اهمیت بالایی دارد. گاهی خدماتی بسیار بیشتر از آنچه به ما پرداخت شده انجام دادهایم و گاه حتی پس از مدت زمان گارانتی محصولی با ما تماس گرفته شده و پشتیبانی رایگان داشتهایم.»