امنیت پشت درهای بسته / گفت‌و‌گو با بهناز آریا، مدیرعامل گروه شرکت‌های کهکشان

المیرا حسینی / گروه فناوری اطلاعات و گسترش ارتباطات هوشمند کهکشان در ابتدا یک مؤسسه آموزشی بود که در برهوت سال 1379، از معدود مکان‌هایی به حساب می‌آمد که دوره‌های آموزش تخصصی در حوزه فناوری برگزار می‌کرد. اما به گفته بهناز آریا، مدیرعامل گروه شرکت‌های کهکشان، با پیش رفتن فعالیت‌ها و نیازی که در بازار مشاهده کردند، به‌مرور شرکت‌های دیگری تأسیس شد که کارشان ارائه مشاوره در زمینه امنیت اطلاعات، ارتباط برقرار کردن میان کارجو و کارفرما و… بود. آریا که رئیس کمیسیون افتا در سازمان نظام صنفی رایانه‌ای تهران است، در گفت‌و‌گوی پیش رو از مسیر رشد کسب‌و‌کارش می‌گوید، درباره دو قسمت مهم آموزش نیروی کار و امنیت اطلاعات در ایران توضیح می‌دهد و با گریزی به وظایف و مسئولیت‌هایش در سازمان نصر تهران، از مشکلات کار صنفی در کشور صحبت می‌کند.

بهتر است برای شروع، بیشتر با گروه شرکت‌های کهکشان آشنا شویم. شما از چه زمانی فعالیت خود را آغاز کردید؟

فعالیت گروه شرکت‌های کهکشان، در حقیقت با مؤسسه فرهنگی – هنری کهکشان نور در چهارم مهرماه سال 1379 شروع شد و این مؤسسه اولین شرکت ما بود. محور کاری‌اش فعالیت‌های آموزشی بود. ما در آن زمان جزو معدود مؤسساتی بودیم که دوره‌های آموزش تخصصی فناوری داشتیم و همچنین اولین جایی که در حوزه امنیت اطلاعات آموزش ارائه می‌دادیم. تا سال‌ها بعد بیشتر فعالیت‌های ما معطوف به بخش آموزش بود و حتی در حال حاضر هم ما را بیشتر با این بخش می‌شناسند.

در ادامه دیدیم پروژه‌های بسیاری به ما ارجاع می‌شود و درخواست مشاوره دارند. به همین دلیل تصمیم گرفتیم شرکت «کهکشان مشاور ایمن» را تأسیس کنیم که کارش مشاوره و پیاده‌سازی پروژه‌های امنیت اطلاعات و شبکه بود. این شرکت بیشتر در بخش مالی اعتباری فعال است. در لیست مشتریان کهکشان مشاور ایمن، بانک‌های بزرگ کشور و جهان اسلام مانند ملت، ملی و تجارت وجود دارد که این شرکت به آنها سرویس‌های مختلف از جمله مشاوره امنیت ارائه می‌دهد.

با وجود اینکه آن زمان هنوز کلمه دانش‌بنیان مطرح نبود، ما عملاً تفکر دانش‌بنیان داشتیم و پایه فعالیت‌هایمان نیز بر همین اساس بود. بنابراین بسیار علاقه‌مند به انجام کارهای نوآورانه بودیم. به همین دلیل شرکت دیگری را با نام «فناور کهکشان دانا» تأسیس کردیم که کارش ارائه راه حل‌های فناورانه در حوزه‌های مختلف فناوری و امنیت اطلاعات بود. این دو شرکت اخیر به عنوان شرکت دانش‌بنیان به ثبت رسیده‌اند. در این حوزه ثبت اختراع نیز داریم و وارد بخش تولید محصولات بومی فناورانه به‌خصوص در بخش امنیت شدیم.

پس از آن شرکت کارسازان اندیشه‌های نوآفرین «کاران» را ایجاد کردیم که در بخش جذب و استخدام فعالیت دارد. یکی، دو شرکت دیگر نیز در کنار این شرکت‌ها تأسیس شد. در نهایت دیدیم شرکت‌های ما ماهیت گروهی دارند و تصمیم گرفتیم این ماهیت را حقوقی کنیم. بر این اساس گروه شرکت‌های کهکشان ایجاد شد و چشم‌انداز ما تجمیع تمامی فعالیت‌های شرکت‌های مختلف کهکشان در گروه شرکت‌های کهکشان بود تا بتوانیم تمامی چرخه فعالیت‌های مرتبط با فناوری اطلاعات مثل آموزش، مشاوره، ارائه راه حل و هر آنچه که در لبه فناوری، سازمان‌های بزرگ به آن نیاز دارند، ارائه دهیم.

در حال حاضر یکی از بزرگ‌ترین مشکلات شرکت‌ها این است که یا برای موقعیت‌های شغلی تخصصی، نیروی آموزش‌دیده و حرفه‌ای پیدا نمی‌کنند یا نیروی متخصص شرایطی دارد که شرکت‌ها نمی‌توانند آن را تأمین کنند. با توجه به اینکه دو شرکت از گروه کهکشان در این حوزه فعال هستند، شما برای حل این مشکل چه راهکارهایی اندیشیده‌اید؟

چیزی که به آن اشاره کردید، مسئله‌ای است که سال‌هاست با آن مواجه‌ایم. با توجه به ذات آموزشی‌مان، همیشه همکاران‌مان از شرکت‌های مختلف با ما تماس می‌گرفتند و از ما می‌خواستند از افراد مستعدی که در کلاس‌هایمان شرکت می‌کنند، نیروی کار به آنها معرفی کنیم یا آگهی استخدام‌شان را در کلاس‌هایمان قرار دهیم. ما در تمام این سال‌ها این کارها را به صورت دوستانه برای شرکت‌ها انجام می‌دادیم. اما خصوصاً در چند سال اخیر و با افزایش مهاجرت متخصصان دیدیم این یکی از بزرگ‌ترین مشکلات شرکت‌هایی است که در حوزه آی‌تی فعالیت می‌کنند. به‌علاوه فناوری‌های جدیدی به میدان آمدند که نیروی متخصص در کشور برای آن کم است. از اینجا بود که این موضوع را جدی‌تر دنبال کردیم.

تصمیم گرفتیم بستری ایجاد کنیم که در آن به نحوی کارفرما و کارجو به هم مرتبط شوند. غیر از ایجاد این بستر، لزوم آموزش دادن هم بسیار جدی دیده می‌شد، زیرا دریافتیم که بزرگ‌ترین مشکل فقدان نیروی کار نیست، بلکه مشکل اصلی این است که نیرو آموزش ندیده یا تعریف درستی از شغل ندارد. حتی در مورد شرح مشاغل نیز ما دچار مسئله هستیم.

اگر می‌گوییم برنامه‌نویس ارشد، چه تعریفی برای آن داریم؟ این مفهومی است که از شرکتی به شرکت دیگر کاملاً متفاوت است، زیرا در کشورمان معیارهای استاندارد تعریف‌شده نداریم، در حالی که در دنیا شرح مشاغل وجود دارد و این استانداردها و سطح حقوق تعریف‌شده‌اند. حتی فرد نمی‌داند برای دست‌یابی به یک موقعیت شغلی، باید چه چیزهایی بخواند و اگر استخدام شد، چه انتظاری از آن شغل داشته باشد؟

در نتیجه طی سال‌ها به این سمت حرکت کردیم که نگرش دوره‌ها را تغییر دهیم و به جای اینکه این دوره‌ها را مبتنی بر اخذ گواهینامه تعریف کنیم، بر اساس موقعیت شغلی بچینیم. اگر کسی بخواهد مدیر شبکه، مدیر امنیت و… شود، باید چه مسیری طی کند و چه دوره‌هایی را بگذراند؟ بر این اساس از چندین سال پیش به سراغ شغل‌محور کردن آموزش‌هایمان رفتیم. این آموزش‌ها لزوماً تخصصی نیستند و آموزش مهارت‌های نرم نیز در میان مباحث درسی و دوره‌ها وجود دارد.

بعد از مدتی به این نتیجه رسیدیم که لازم است پلتفرمی ایجاد کنیم، چون تعداد زیادی دانشجو داشتیم و تعداد زیادی دوست و همکار که به دنبال نیرو بودند. در این پلتفرم می‌خواستیم عملاً کارجو و کارفرما را به هم برسانیم و راه حل‌ها را همان‌جا ارائه دهیم. سپس متوجه شدیم این نیاز فقط در حوزه آی‌تی مطرح نیست و سایر حوزه‌ها هم به آن احتیاج دارند. به این ترتیب شرکت کاران متولد شد و امروز  با راه‌اندازی اولین موتور جست‌و‌جوی مشاغل و پیاده‌سازی راه حل‌های هوشمند به مسیر خود ادامه می‌دهد.

البته این را هم اضافه کنم که درست است بحث کمبود نیروی انسانی در سال‌های اخیر به‌خصوص در حوزه امنیت مطرح است و موضوع نگهداشت هم همین‌طور. اما اینکه فقط این مشکل را ببریم سمت شرکت‌ها و کارفرما، درست نیست. در حالی که همه چیز از خودمان شروع می‌شود و ما اختیار هیچ چیزی در دنیا جز خودمان را نداریم. در نتیجه ما باید از خودمان شروع کنیم. چه در شرکت خودمان، چه به عنوان نیروی کار و چه یک فرد صنفی و… پس چرا به جای نشستن و گلایه کردن، آدم عملیاتی و اجرایی نباشیم؟ من در تمام سال‌ها تلاش کرده‌ام آدم اجرا باشم و معتقدم اول خودم، بعد بقیه.

از تمام متخصصان تا کارفرماها و شرکت‌ها باید بدانند که اول باید به خودمان بپردازیم و ببینیم از دست خودمان چه کاری برمی‌آید. اگر هر کسی کاری که از دست خودش برمی‌آید، انجام دهد، از نتایجش شگفت‌زده می‌شویم.

با چه شرکت‌هایی همکاری داشتید؟ آماری دارید از اینکه چه تعداد از نیروهایی که آموزش داده‌اید، جذب شرکت‌های مختلف شده‌اند؟

می‌توانم بگویم با توجه به سابقه‌مان در زمینه آموزش، شرکت یا سازمانی در ایران نیست که از مجموعه کهکشان در آن نیروی آموزش‌دیده وجود نداشته باشد. حتی بسیاری از کسانی که از پایه‌ای‌ترین سطوح در این مجموعه درس خوانده‌اند و گاهی کار کرده‌اند، در حال حاضر جزء نیروهای ارشد شرکت‌هایی چون آمازون، اچ‌پی و گوگل هستند. هرجایی که فکر کنید، رد پای ما وجود دارد. این خاصیت آموزش است. با اینکه کار بسیار سختی است و برگشت مالی کمی دارد، اما لذتش در همین بخش است و عملاً بنیان همه کارهای دیگر است.

ظرف این سال‌ها یکی از بحران‌های سیستم‌های کسب‌و‌کارها به‌خصوص در حوزه دیجیتال، موضوع امنیت بوده و شاهد از‌دست‌رفتن اطلاعات کاربران، پخش این اطلاعات و… بوده‌ایم. مشکل از کجاست؟ آیا نیروی متخصص نداریم؟ تجهیزات‌مان اندک است؟ یا داریم درباره ضعف امنیتی در کشورمان بزرگ‌نمایی می‌کنیم و این در همه جای دنیا اتفاق می‌افتد؟ آیا واقعاً در کشور بحران امنیت اطلاعات داریم؟

ببینید در حقیقت این بحران امنیت اطلاعات در همه جای دنیا وجود دارد. آیا بزرگ‌نمایی می‌شود؟ به نظر من باید بزرگ‌نمایی شود. زیرا آن‌قدر این موضوع حساس است و دغدغه ایجاد می‌کند که بهترین کار همین بزرگ‌نمایی است. تازه با این وجود، ما هنوز به راه حل‌های درست نرسیده‌ایم. اما واقعاً این بحران جهانی است. زمانی در دنیا جنگ فیزیکی موضوع اصلی بود، اما بیشتر جنگ‌ها در دنیای امروز جنگ سایبری است. قدرتی که ما در دنیا مخصوصاً در سال‌های آینده به آن نیاز داریم، قدرت سایبری است و این اصلاً چیزی نیست که بخواهیم از آن غفلت کنیم یا آن را جدی نگیریم.

اینکه چرا حملات سایبری به ما می‌شود و مشکل کجاست، باید بگویم که یکی، دوتا نیست. وقتی رویداد امنیتی اتفاق می‌افتد و نفوذی رخ می‌دهد، چند اقدام لازم است. اول یکسری اقدامات پیشگیرانه است و کنترل‌هایی که ما باید از قبل انجام می‌دادیم. پس بخشی اقدامات پیشگیرانه است و هزینه‌هایی که سازمان‌ها و شرکت‌های ما باید برای حوزه امنیت اطلاعات بپردازند. اما متأسفانه در همین مرحله مشکلی وجود دارد؛ وقتی صحبت از تجهیزات می‌شود، چون قابل لمس است، راحت برای آن هزینه می‌کنند، در حالی که تجهیزات حوزه امنیت قابل لمس نیست.

در نتیجه برای آن کمتر هزینه می‌شود و متوجه اهمیت و تبعات آن نیستیم. اگرچه با اتفاقاتی که افتاده، کم‌کم سازمان‌ها متوجه اهمیت این موضوع می‌شوند که از بین رفتن اطلاعات چه مشکلات و دردسرهایی دارد. در این زمینه اولاً باید فرهنگ‌سازی اتفاق بیفتد، قوانین کاربردی‌تر تدوین شود و ضمانت اجرایی داشته باشد. ما در حال حاضر در کشورمان متولیان زیادی در حوزه امنیت داریم؛ متولیانی که هم ناظر هستند و هم وضع‌کننده قوانین و اتفاقاً قوانین هم وجود دارند، اما بسیاری از اوقات به‌درستی اجرا نمی‌شوند، زیرا بازخواست کارآمدی  صورت نمی‌گیرد. این عدم پاسخگویی مسائلی را ایجاد می‌کند.

اما مرحله دوم؛ با همه اقدامات پیشگیرانه، ما همیشه می‌گوییم هرگز امنیت 100 درصدی وجود ندارد. یعنی اگر شما تمامی تمهیدات را هم در نظر بگیرید، باز هم امکان بروز مشکل هست. حالا که یک اتفاق پیش آمده، چطور آن بحران را مدیریت کنیم؟ فرایندهای این بخش هم باید از قبل تعریف شده باشند. باید پیگیری، پاسخگویی، روش‌های مقابله با بحران و بازیابی وجود داشته باشد که هرکدام از اینها استانداردها و چهارچوب‌های بین‌المللی و ملی خودش را دارد.

قدم سوم اقدامات اصلاحی است. از هر اتفاقی باید درس‌هایی را بیاموزیم که حداقل دوباره از همان نقطه ضربه نخوریم. اما متأسفانه بعضی اوقات برای موضوع امنیت با امنیتی بودن مرزبندی مشخصی تعیین نمی‌شود. یکی از مسائلی که بخش خصوصی خیلی روی آن تأکید دارد، این است که به عنوان بازوی اجرایی دولت، لازم است در جریان یکسری از موارد قرار گیرد تا بتواند در اجرای آنها به دولت کمک کند. اما معمولاً در یک رخداد امنیتی، همه‌چیز پشت درهای بسته می‌ماند و ما با درخواست‌های فراوان باز هم به نتیجه نمی‌رسیم که مشکل کجاست و ما کجا می‌توانیم کمک ارائه دهیم و به عنوان بخش خصوصی چه راه حل‌هایی برای دولت داشته باشیم تا مجدداً این اتفاق نیفتد و درس‌آموخته‌ها را عملیاتی کنیم.

تأکید می‌کنم که ما با طبقه‌بندی اطلاعات و مشکلات و محرمانگی که وجود دارد، کاملاً آشنا هستیم و انتظار اعلام عمومی نداریم. اما در سطوح طبقه‌بندی‌شده انتظار تعامل با بخش خصوصی و ارائه راه حل‌های اصلاحی و پیاده‌سازی آنها را داریم. به‌اشتراک‌گذاری تجربه‌های به‌دست‌آمده بسیار مسئله مهمی است. البته برای همان اقدام اصلاحی هم باید ضمانت اجرایی و پاسخگویی وجود داشته باشد.

غیر از اینها، مسئله‌ای که در همه دنیا مطرح است، مسئله فرهنگ‌سازی است. این فرهنگ‌سازی در تمامی لایه‌ها از آحاد مردم تا زیرساخت‌های حیاتی و مدیران ارشد باید اتفاق بیفتد. بسیاری از مشکلات امنیتی نشئت‌گرفته از خطاهای انسانی و از مهندسی اجتماعی است که با تربیت و آموزش انسان‌ها و ارتقای دانش آنها و فرهنگ‌سازی، می‌توانیم جلوی دسته‌ای از نفوذها را بگیریم. انسان‌ها همیشه ضعیف‌ترین حلقه زنجیره امنیت سازمان‌ها هستند. پس فرهنگ‌سازی و آموزش بسیار مهم‌اند. این فرهنگ‌سازی نیز لازم است از بالا به پایین اتفاق بیفتد. این کار مسئولیت حاکمیت‌ها و دولت‌هاست. تا زمانی که تعهد کافی حاکمیت به فرهنگ‌سازی وجود نداشته باشد، ما در فرهنگ‌سازی مؤثر موفق نمی‌شویم.

مسئله مهم دیگر تخصیص بودجه است. باید امنیت را در سطح مایحتاج اولیه و ضروری ببینیم و همان‌طور که برای خرید تجهیزات مختلف بودجه در نظر گرفته می‌شود، برای امنیت نیز هزینه کنیم. اطلاعات امروز مهم‌ترین دارایی بشر است و ما باید متناسب با اهمیتش با آن رفتار کنیم. اما متأسفانه رفتار مناسبی با اطلاعات نداریم.

نیروها و شرکت‌هایی را که در ایران در حوزه امنیت کار می‌کنند، در چه سطحی می‌بینید؟ در مقایسه با جهان کجا ایستاده‌ایم؟

طبیعتاً از نظر سطح تخصص در سطح جهان نیستیم. تعارف نداریم و این واقعیت است. اما در تلاشیم و شرکت‌ها با وجود شرایط اقتصادی سخت و تحریم و فشارهای مختلفی که به آنها وارد می‌شود، در ارتقای تخصص سعی خود را می‌کنند. می‌دانید که ما در این مورد نمی‌توانیم تعامل و ارتباط چندانی با دنیا داشته باشیم. متخصصان خوبی در کشور داریم. اصل مسلم این است که امنیت مطلوب هر کشوری در سطح زیرساخت‌های حیاتی باید بومی باشد. همه کشورهای دنیا تلاش می‌کنند که در سطوح لازم، به امنیت بومی برسند، حال اینکه چقدر می‌توانند موفق شوند بحث دیگری است. اما وقتی از امنیت اطلاعات حرف می‌زنیم، این را یادمان باشد که یکسری از فناوری‌ها کلاً در اختیار یکسری کشورهای خاص است. ما تلاش خود را کرده‌ایم و می‌کنیم، اما برای شرکت‌ها، بخش خصوصی و نیروی انسانی ما باید بسترها و تسهیلاتی فراهم شود.

در نزد متولیان امنیت فناوری اطلاعات کشور این دغدغه بزرگی است. در جلساتی که داشتیم، بحث این بود که باید بودجه بگذاریم و کارهای مختلفی بکنیم. مثال این امر دستاوردهای کشور در زمان جنگ است که در آن زمان ما توانستیم کارهای بزرگی را با همت داخلی انجام دهیم. در نهایت به این نقطه رسیدیم که باید برای تحقق امنیت اطلاعات، جهاد اعلام کرد و عملاً نهضت امنیت اطلاعات باید راه‌اندازی شود. وقتی کشوری از لحاظ ژئوپلتیک تا این حد در موقعیت حساسی قرار دارد و کشور بزرگی است که گستره بزرگی از صنایع را در اختیار دارد، امنیت اطلاعات اهمیتی دوچندان پیدا می‌کند. پس باید جهاد امنیت اطلاعات داشته باشیم. جهاد به چه معنا؟ یعنی تمرکز و دغدغه کشور این حوزه باشد.

صنعت امنیت اطلاعات جزو اولویت‌های کشور باشد. اما اگر در سطح ملی و حاکمیتی این دیدگاه وجود نداشته باشد، طبیعی است بخش خصوصی تا جایی می‌تواند کار را پیش ببرد و بیش از آن در توانش نیست. شرکت‌ها در حد توانی که داشتند، به‌خوبی تلاش و مقاومت کرده‌اند، اما به‌هیچ‌وجه در سطح بین‌المللی نیستیم و نیازمند همراهی‌ها و تسهیلات بسیاری هستیم که الزاماً مالی نیست. لازم است شرایطی فراهم شود که بتوانیم دانش کشور را در این حوزه بالا ببریم. اگر این اتفاق بیفتد، شرکت‌هایمان و نیروی انسانی و محصولات ما قدرت می‌گیرند و اکوسیستم موفق می‌شود.

شما سال‌هاست در سازمان نظام صنفی رایانه‌ای تهران عضو هیئت‌مدیره هستید. نهادی صنفی که اتفاقاً در هفته‌های اخیر مشکلاتی با سایر نهادهای صنفی دیگر داشته است. آیا این نهاد و سیاست‌های آن را در راستای رشد و توسعه اقتصاد دیجیتال که بخش مهمی از اقتصاد نوآوری را تشکیل می‌دهد، می‌دانید؟ چه مشکلاتی در این نهاد صنفی وجود دارد و نقد شما چیست؟

نقد به این سازمان یعنی نقد به خودم. چون من نظام صنفی را خانه همه بخش خصوصی می‌بینم.

گاهی ممکن است شخصی به خودش هم انتقاد داشته باشد.

بله، اتفاقاً می‌خواهم همین را بگویم که اگر نقدی به نظام صنفی وارد است، به همه ما که اعضای این نهاد هستیم، وارد خواهد بود. من سال‌هاست در این سازمان فعالیت دارم و چند دوره نیز رئیس کمیسیون افتا بوده‌ام و همچنان هستم. اینکه ما اصناف و تشکل‌های دیگری داریم، در همه دنیا مرسوم و طبیعی است. اما سازمان نظام صنفی رایانه‌ای بزرگ‌ترین تشکل مردم‌نهاد حوزه فناوری اطلاعات است که در تمامی ایران شرکت‌ها و افراد حقیقی و مشاوران را در بر می‌گیرد. نظام صنفی نماینده بخش خصوصی مقابل دولت و حاکمیت به عنوان مطالبه‌گر بخش خصوصی است. اینکه ما درون خودمان همگرایی و انسجام کافی نداشته باشیم، در مطالبه‌گری ما و تعامل‌مان با حاکمیت مسئله ایجاد می‌کند. این انسجام چطور اتفاق می‌افتد؟

در قدم اول با همراهی همه اعضا. اینکه ما بیرون بایستیم و به سایرین بگوییم شما چرا فلان کار را انجام نداده‌اید، درست نیست. این چیزی است که من در تمامی این سال‌ها دیده‌ام. همان قانون 20-80 اینجا هم صدق می‌کند؛ همیشه فقط تعداد خاصی فعال بوده‌اند و سایرین بیرون ایستاده‌اند و انتقاد کرده‌اند و درخواست داشته‌اند. در حالی که اینجا یک سازمان مردم‌نهاد و داوطلبانه است و ما بودجه‌ای از جایی دریافت نمی‌کنیم. خودمان باید برای خودمان کار انجام دهیم و بزرگ‌ترین مسئله اینجاست که به اندازه کافی خودمان را درگیر کار تشکلی و صنفی نمی‌کنیم. انسجام و اتحاد و همگرایی با دغدغه‌مندی خودمان اتفاق می‌افتد.

نکته دیگر این است که در نظام صنفی نیازمند افرادی هستیم که نگاه و اخلاق صنفی داشته باشند و این اخلاق صنفی را درون صنف اشاعه و آموزش دهیم. ما چقدر نگاه و رفتار تشکلی بلدیم؟ باید به طور جدی آن را تمرین کنیم.

این نگاه و اخلاق صنفی شامل چه چیزهایی می‌شود؟

وقتی شما در صنف نشسته‌اید، دیگر کسب‌و‌کارتان مهم نیست. در صنف شما دارید به نفع همه صنف صحبت می‌کنید. حتی ممکن است جایی به ضرر بخشی از کسب‌و‌کار خودتان هم باشد ولی در مجموع به نفع صنف است و باید منافع جمعی را در نظر بگیرید، نه منافع شخصی. همچنین اینکه بتوانید همراهی و هم‌اندیشی کنید و بخشی از کار را انجام دهید. درک کنید که تصویر بزرگ وجود دارد و شما جزئی از آن کل هستید و برای اینکه به آن تصویر کلی برسید، باید هرکدام کارتان را درست انجام دهید. این تمرین می‌خواهد. یکی از مواردی که طی سال‌ها در نظام صنفی تمرین نشده، این رفتار بوده است. ما موفق به جانشین‌پروری کافی نشده‌ایم و نتوانسته‌ایم این اخلاق و نگاه صنفی را آن‌قدر که باید و شاید تمرین کنیم و برای بسیاری از کسانی که در صنف بودند، ارزش لازم را قائل نشدیم. بسیاری از کسانی که می‌توانستند ستون‌های صنف باشند، دیگر نیستند. اینکه ما بتوانیم افراد مؤثر و کلیدی‌مان را نگه داریم، هنری است که مدل و سیستم خاص خود را می‌خواهد.

اما به طور کلی، انجام کار تشکلی بسیار سخت است؛ به‌خصوص در کشوری که کار تشکلی در آن رواج زیادی ندارد. کار صنفی در حوزه فناوری که هر گوشه‌اش یک صنعت جداگانه است، بسیار سخت‌تر می‌شود. در نهادی که بودجه دولتی ندارد، باز هم سخت‌تر خواهد شد. بنابراین ما در جای سختی ایستاده‌ایم که جز همراهی و همدلی خودمان، از کس دیگری نمی‌توانیم انتظار داشته باشیم. من همیشه در جلسات صنفی می‌گویم ما دو وجه کاری داریم. یکی بیرون صنف و دیگری، درون صنف. در بیرون صنف باید مطالبه‌گری کنیم و چانه بزنیم و… اما درون صنف دست ماست و ما باید برایش کاری انجام دهیم. اگر ما توانستیم اینجا کار درست انجام دهیم، بیرون هم بسیاری از موارد درست می‌شود.

به شکل موردی مثالی در ذهن‌تان هست که بگویید اگر این نگاه صنفی در سازمان وجود داشت، فلان اتفاق نمی‌افتاد؟

یک مثال خیلی ساده، تعرفه نظام صنفی است. نظام صنفی سال‌هاست تعرفه تدوین کرده و خودم هم جزو کمیسیون تدوین تعرفه و کمیسیون ساماندهی بازار بودم. یکی از مشکلات ‌ما در صنف فناوری اطلاعات این است که هر کسی قیمتی می‌داده و خدمات شرح درستی نداشتند. ما تلاش کردیم با کمک کارشناسان دادگستری، یک تعرفه محکمه‌پسند ایجاد کنیم که کاملاً منطبق بر قوانین وزارت کار باشد و قابل دفاع. اما تا زمانی که حاکمیت این تعرفه را به‌عنوان تعرفه مرجع نپذیرد، الزام اجرایی ندارد.

ما سال‌هاست این تعرفه‌ها را منتشر می‌کنیم و از اعضای سازمان درخواست می‌کنیم که مبتنی بر این تعرفه قیمت بدهند. اما یکی از بزرگ‌ترین معضلات در مناقصات، دامپینگ است و شکست قیمت وحشتناکی که باعث می‌شود ارزش خدمات فناوری اطلاعات در کشورمان بسیار پایین باشد. اگر منی که قیمت می‌دهم، خیالم راحت باشد که شرکت‌های عضو صنف هم بر همان مبنای صحیح و با ارزش واقعی قیمت می‌دهند و همه به آن متعهدیم، مسلماً کارفرما نمی‌تواند خلاف آن رفتار کند. اما خودمان کاری کرده‌ایم که مجبور باشیم با کمترین قیمت‌ها بهترین خدمات را ارائه دهیم.

لطفاً درباره کمیسیون افتا بگویید. وقتی صحبت از سازمان نظام صنفی می‌شود، نام یکسری افراد و کمیسیون‌ها را بیشتر می‌شنویم، اما در میان‌شان نام شما و کمیسیون افتا را نمی‌بینیم؛ علت چیست؟

در این حد می‌توانم بگویم که افتا جزو کمیسیون‌های پرکار و کم‌خبر است؛ زیرا حوزه امنیت اطلاعات حساسیت‌هایی دارد که در سایر حوزه‌ها وجود ندارد و همین باعث می‌شود خبر زیادی از فعالیت‌های آن منتشر نشود.

البته یکی از اهداف کمیسیون خصوصاً در این دوره این است که روی فرهنگ‌سازی کار کنیم. در این زمینه از 12، 13 سال پیش سمینارهایی نیز برگزار می‌کنیم. در این دوره قصد داریم فرهنگ‌سازی را به عنوان بخشی از اخبار صنف سازمان بیاوریم تا در مورد مسائل امنیتی که باید رعایت شود، اطلاع‌رسانی صورت گیرد.