آیا کالاهای وارداتی زیرساختی آلوده هستند؟ فعالان صنفی: ادعاها بدون سند است

به گزارش پیوست، در حالی که سایه‌ تحریم‌ها واردات تجهیزات فناوری را با چالش‌ روبه‌رو کرده است، اظهارات تازه‌ مدیرعامل شرکت ارتباطات زیرساخت، موجی از واکنش‌ها را در بین فعالان بازار ICT برانگیخته است. او اخیرا مدعی شده است که ۷۰ تا ۸۰ درصد سرورهایی که وارد کشور می‌شوند، دست‌دوم، ناامن و دارای ریسک امنیتی هستند. اکبری در سخنرانی رسمی خود، این تجهیزات را «عامل بالقوه آلودگی سایبری کشور» معرفی کرد و آنها را یکی از ریشه‌های اصلی ضعف امنیت شبکه دانست. این اظهارات در شرایطی مطرح می‌شود که واردات سرورها در تحریم، محدودیت ارزی و نبود دسترسی به برندهای معتبر، با دشواری انجام می‌شود.

در واکنش به این موضوع مازیار نوربخش، رئیس کمیسیون نوآوری اتاق تهران در یادداشتی نوشت که ارجاع مستقیم به «تجهیزات آلوده» بدون بررسی زنجیره کامل حمله (Kill Chain)، نوعی ساده‌سازی خطرناک از مسئله‌ای پیچیده است. به گفته او، وجود هر نوع درب‌پشتی (Backdoor) سخت‌افزاری تنها زمانی معنا دارد که همراه با آن، کد مخرب اجرا شود، دسترسی شبکه‌ای فراهم باشد یا کاربر اشتباهی مرتکب شود. بدون تحلیل دقیق لایه‌های نرم‌افزاری، فریم‌ور و تعاملات شبکه‌ای، نمی‌توان عامل را صرفا به «سخت‌افزار وارداتی» تقلیل داد.

بعدتر فرامز رستگار، دبیر سندیکای مخابرات ایران، صراحتاً به این اظهارات اعتراض کرده و در نامه‌ای به وزیر ارتباطات، گفته است که این صحبت‌ها توهین به واردکنندگان، مهندسان و دانشگاه‌های کشور است. اگر این تجهیزات چنین تهدید بزرگی هستند، پس چرا مدیرعامل زیرساخت 6 ماه قبل از شبکه کشور تعریف می‌کرد؟

رستگار اضافه کرد که بیان چنین گزاره‌هایی باعث تشویش افکار عمومی و زیر سؤال رفتن کیفیت تجهیزات وارداتی می‌شود، در حالی‌که اصل مشکل، سیاست‌گذاری‌های اشتباه در شرایط تحریم است، نه صرف واردات تجهیزات کارکرده.

در همین زمینه رئیس هیات‌مدیره سندیکای مخابرات، حسین ریاضی نیز در گفت‌وگو با پیوست تاکید کرد که تاکنون هیچ سند یا گزارش رسمی درباره وجود بدافزار در تجهیزات وارداتی ارائه نشده است، اما به‌صورت تئوریک امکان آلودگی وجود دارد. او گفت: ما احتمال وجود سخت‌افزار آلوده را رد نمی‌کنیم، اما اینکه بخواهیم واردات را با این بهانه متوقف کنیم، مثل این است که بگوییم چون شاید کسی جاسوس باشد، هیچ خارجی نباید وارد کشور شود.

ریاضی راه‌حل را در ممنوعیت واردات نمی‌بیند، بلکه معتقد است باید کنترل فنی سخت‌گیرانه‌تر شود و آزمایشگاه‌های بررسی امنیت تجهیزات پیش از ورود یا نصب در سازمان‌ها فعال‌تر و هوشمندتر شوند. او توضیح داد: احتمال واردات کالاهای آلوده وجود دارد اما با اسکن می‌توانند تشخیص بدهند. از طرفی نمی‌شود گفت چند درصد کالاها آلوده است پس وارد نشود. تجهیزات از هر جای دنیا باید وارد شود اما برای سلامت کالا چک شود.

با وجود این‌که بحث سخت‌افزارهای دست‌دوم مدت‌هاست در صنعت فناوری کشور مطرح بوده، اما احتمالاً این اولین بار است که یک مقام دولتی چنین صراحتاً این تجهیزات را عامل تهدید امنیت ملی می‌داند. در سوی دیگر ماجرا، واردکنندگان هشدار می‌دهند که در صورت ادامه این فضا، ورود تجهیزات باکیفیت به کشور با مشکلات جدی‌تری روبه‌رو خواهد شد؛ زیرا فعالان اقتصادی، نگران نگاه امنیتی به محصولات وارداتی هستند. دبیر سندیکای مخابرات ایران گفت: آقای اکبری به عنوان یک مقام رسمی به این موضوع اشاره کرده است که واردات کالاهای سخت‌افزار از دلایل عمده آلودگی شبکه است که من طی نامه‌ای بابت این موضوع به وزیر ارتباطات اعتراض کردم. آقای اکبری در فاصله ۶ ماهه یک‌بار از شبکه تعاریف زیادی کرده است اما در هفته گذشته ایشان در یک رویداد رسمی در وزارت ارتباطات ضد حرف‌های قبلش را عنوان می‌کند و می‌گوید شبکه ایران یکی از آلوده‌ترین شبکه‌های دنیاست. نکته دومی که او مطرح می‌کند این است که ۷۰ تا ۸۰ درصد سرورهای ما نوسازی و بازسازی شده است یا دست دوم است که از مورد اولی بدتر است. این صحبت ۶ ماه پیش او برای دیده شدن در ترانزیت بین‌الملل است.

رستگار تاکید کرد: وقتی آقای اکبری که خودش متولی است و این موارد را می‌گوید، چه کسی باید حواسش به این موضوع باشد. من در نامه‌ای که به وزیر نوشتم عنوان کردم که آقای اکبری با این حرف‌‌ها به چیزی دامن می‌زند که با این وسعت نیست. ما می‌دانیم که در واردات بی‌دقتی‌های شده است و ما هم به این وضعیت معترض بودیم اما عمق قضیه را به این اندازه نمی‌دیدیم.

از طرفی رئیس هیات مدیره سندیکای مخابرات تاکید کرده است که احتمال چنین چیزی وجود دارد اما نمی‌شود توضیح داد که چند درصد از این کالاها می‌تواند عامل حمله سایبری شود. تشخصیص این موضوع به این شکل است که چند درصد از افرادی که وارد کشور می‌شوند جاسوس هستند و این اتفاق محال نیست. نمی‌شود از این موضوع نتیجه‌گیری کرد که با چنین گزاره‌ای واردات دچار خدشه شود. ممکن است مثلا ۲ درصد از افرادی که وارد ایران می‌شوند جاسوس باشند اما نمی‌شود مانع ورود افراد به کشور شد.

به گفته او، ممکن است برای آموزش استفاده از سخت‌افزار لازم باشد افراد خارجی وارد کشور شوند آیا باید مانع ورود آنها شد؟ در برخی از سازمان‌ها اجبار است که قبل از نصب، دستگاه‌ها چک شود که اگر بدافزاری در آنها باشد تشخیص داده شود. باید به جای این صحبت‌ها آزمایشگاه‌های امنیت را هوشمند کنیم؛ نباید دولت نبود هوشمندی خود را سمت مردم ببرد؛ مانند قطعی اینترنت و فیلترینگ. تست محصولات در گمرک برای کالاهای انتظامی و نظامی وجود دارد اما باید دقیق‌تر شود.

به نظر می‌رسد در چنین شرایطی وزارت ارتباطات باید مدارک فنی این ادعا را شفاف منتشر کند که چند درصد کالاهای وارداتی می‌تواند عامل حملات سایبری در کشور باشد.