در آغاز این پنل رضا عالیان از مهمان‌های پنل درباره الزامات امنیتی استفاده از موبایل در شرایط فعلی و با وجود استفاده از فیلترشکن‌های مجانی برای استفاده از اینترنت پرسید.

در این بخش سیدمرتضی مهدوی عضو هیات مدیره انجمن شرکت‌های نرم‌افزاری استفاده از وی‌پی‌ان‌های مجانی را یک چالش امنیتی دانست که در عمل گوشی موبایل شهروندان را به ابزاری تبدیل می‌کنند که می‌تواند تمام اطلاعات آن‌ها در معرض دسترسی دیگران قرار دهد.

عالیان در ادامه خطاب به سعید کاظمی مسئول امنیت دیجی‌کالا از او پرسید استفاده از وی‌پی‌ان‌ برای این کسب‌وکار چه چالش‌هایی به همراه داشته است.

کاظمی در پاسخ با اشاره به کثرت استفاده از وی‌پی‌ان‌ گفت: با توجه به استفاده گسترده از این ابزارها در وبسایت دیجی‌کالا محدودیتی برای دسترسی از این طریق ایجاد نشده است اما همین موضوع باعث ایجاد حملاتی به سایت شده که تقریبا ۱۰۰ درصد آن‌ها از بیرون ایران هدایت می‌شوند. این حملات بخشی از چالش‌های موجود بوده که البته تا به امروز به شکل موفق مدیریت شده‌اند.

عالیان در سوال دیگری از هاشم حبیبی مدیرعامل شرکت امن‌افزار گستر شریف درباره امنیت کاربران موبایلی در سطوح مختلف از امنیت گوشی گرفته تا امنیت اپلیکیشن و مودم پرسید. 

حبیبی در پاسخ گفت: بحث امنیت موبایل را شاید بتوان یکی از مهم‌ترین چالش‌های امروز در نظر گرفت. در گام اول بحث امنیت برند گوشی مطرح است که برای مثال آیفون به دلیل محدودیت‌ها یا گوشی‌های مجهز به نسخه‌های جدید اندروید‌ به دلیل تمهیدات امنیتی جدید شرایط بهتری دارند. اما سوای نوع گوشی روی هر سیستم عاملی در هر حال کثرت نصب نرم افزار از منابع نامشخص باعث کاهش امنیت می‌شود. اما نهایتا درباره مسیر فعالیت هم باید اشاره کرد که آی‌سی‌های شبکه در بسیاری مواقع می‌توانند داده‌ها را به مسیری که می‌خواهند ارسال کنند. پس فارغ از سیستم عامل مودم، آی‌سی شبکه در این بخش نقش‌آفرینی دارد.

رضا عالیان دبیر ستاد برگزاری کنگره موبایل ایران و مجری این پنل سوال بعدی خود را خطاب به دکتر تدین طرح کرده و از او درباره مطالعات‌ش در حوزه امنیت موبایل در فضای فعلی اینترنت ایران پرسید.

تدین در پاسخ با اشاره به پژوهش‌های انجام شده در این حوزه گفت: در بحث موبایل متاسفانه سواد رسانه‌ای و دانش کاربران بسیار پایین است و متولیان هم عملکرد موفقی نداشته‌اند. در کنار موضوع آگاهی، استفاده توسعه‌دهندگان از منابع متن‌باز است که در بسیاری موارد توسعه‌دهندگان این بخش هم به امنیت توجهی ندارند. نهایتا فروشگاه‌های اپلیکیشن هم تمایلی به راه‌اندازی آزمایشگاه‌هایی برای سنجش کیفیت امنیتی محصولات خود ندارند چرا که معتقدند صرفا در نقش ویترینی برای عرضه محصولات عمل می‌کنند. امروز البته با اضافه‌شدن مساله استفاده از انواع وی‌پی‌ان‌های مجانی شرایط پیچیده‌تر هم شده.

عالیان در ادامه همین بحث از تدین پرسید که آیا صرفا دغدغه‌های امنیتی به وی‌پی‌ان‌های مجانی محدود است یا هر نوع وی‌پی‌ان‌ ممکن است حفره امنیتی داشته باشد؟

تدین پاسخ این پرسش را چنین تشریح کرد: نمی‌توان به شکل قطعی گفت هر وی‌پی‌ان مجانی مساله‌دار و هر وی‌پی‌ان پولی بی‌مشکل است. صرفا می‌توان توصیه کرد از منبعی استفاده کنید که به آن اعتماد دارید.

در ادامه این پنل بحث آسیب‌ کسب‌وکارها در نتیجه اختلال اینترنت طرح شد.

سیدمرتضی مهدوی عضو هیات مدیره انجمن شرکت‌های نرم‌افزاری در پاسخ به این بحث گفت: متاسفانه تعداد زیادی از کسب‌وکارهای کوچک بر بستر شبکه‌های اجتماعی خارجی آسیب دیده‌اند. بسیاری از توسعه‌دهندگان هم دچار مشکل شده‌اند چرا که نتوانستند ابزارهایشان‌ را بروزرسانی کنند. شاید ۴۰ تا ۵۰ درصد بازار دچار مشکلات جدی شده یا از بین رفته است.

در ادامه این پنل هاشم حبیبی در بخش‌ الزامات امنیتی کاربران به بحث فرهنگ‌سازی و استاندارد‌سازی اشاره کرد و گفت: طبیعتا ورود تکنولوژی به ایجاد بستر فرهنگی آن مقدم بوده است. طبق تجربیات جهانی در بسیاری کشورها استانداردهای روشنی برای طراحی اپ‌ها تدوین شده تا کاربران فاقد سواد رسانه‌ای بتوانند در یک قالب روشن و شفاف بدون مشکل از هر اپلیکیشنی استفاده کنند اما متاسفانه در کشور ما حتی فرد واجد آگاهی درباره تکنولوژی‌های روز هم ممکن است از یک اپلیکیشن استفاده کرده اما برای مثال در فرایند ثبت‌نام یک اپلیکیشن مشابه در همان حوزه دچار مشکل شود چرا که طراحی اپلیکیشن‌ها از یک رویه ثابت دست کم در سطح دسترسی اولیه استفاده نمی‌کنند. ارتقای این فرهنگ می‌تواند به افزایش امنیت هم منجر شود.

کاظمی مسئول امنیت دیجی‌کالا هم در همین بحث اشاره کرد: در هر حال برای استانداردسازی رویه‌ها دو راه متصور است. یکی حضور حاکمیت و قانون‌گذاری است و دیگر حضور نهادهای بخش خصوصی. برای مثال همین امروز در کشور هیچ مجموعه‌ای نداریم که نرم‌افزارها و اپلیکیشن‌های پراستفاده را بررسی کند و اشکالات امنیتی آن‌ها را گزارش دهد. شرکت‌های بزرگ می‌توانند خود چنین مجموعه‌ای را شکل دهند.

کاظمی در ادامه با بیان نکته‌ای در مورد امنیت مودم‌ها افزود: در این بحث پسورد ضعیف و پچ‌کردن مودم‌ها مطرح است. اگر مودم‌ با فرایندهای مناسب خدمات پس از فروش و از طریق شرکت‌های مشخصی ارائه شود که در زمینه بروزرسانی‌ها فعال عمل کنند مشکلات این بخش قابل حل است. 

رضا عالیان در بخش دیگر پنل از محمدحسام تدین عضو گروه فناوری امنیت اطلاعات و سامانه‌های پژوهشگاه ارتباطات پرسید که از منظر تنظیم‌گری و نظارت حوزه امنیت با فرض اینکه فقط مساله به تنظیم‌گری محدود بماند، متولی باید چه نهادی باشد و چه اقداماتی صورت دهد؟ 

تدین در پاسخ به این پرسش چنین توضیح داد: دست کم چندین نهاد در این بخش حضور دارند. تنظیم‌گری می‌تواند از طریق مصوبات حاکمیتی، مجلس و شورای عالی فضای مجازی پیش‌ برود. متاسفانه این وظایف عقب افتاده‌اند و در بخش فناوری هم به الزامات بحث اشراف کافی وجود ندارد. در حال حاضر در حوزه امنیت و حریم خصوصی قوانین کافی نداریم و به این دلیل که تنظیم‌گری حوزه امنیت پرهزینه است مشکل دوچندان شده.

تدین در ادامه افزود:

البته بعضا در دنیا هم چنین مشکلاتی وجود داشته و برای پاسخ به آن خود اکوسیستم به دنبال تاسیس نهادهایی رفته تا تمام متولیان بخش‌های مختلف امنیت را دور هم جمع کند. امروز در مطالعاتی که مثلا در آمریکا انجام شده می‌بینیم که بحث امنیت سایبری را به عنوان یکی از شاخصه‌های رفاه و امنیت ملی در نظر می‌گیرند. ما با ترکیب ارزش ریالی گوشی‌های هوشمند و ارزش زمانی که طی روز صرف استفاده از آن‌ها می‌شود نتیجه می‌گیریم یک اکوسیستم موبایلی ۵۰ میلیارد دلاری داریم. یعنی منبعی حتی بزرگ‌تر از نفت. اما متاسفانه کسی به این مساله توجه ندارد.

مجری به عنوان سوال پایانی از اعضای پنل درباره بستر بلاک‌چین و ادعای وجود امنیت کامل در این حوزه پرسید.

سیدمرتضی مهدوی عضو هیات مدیره انجمن شرکت‌های نرم‌افزاری در پاسخ به این پرسش گفت: این نکته درست است که بلاک‌چین‌ امنیت بالایی دارد اما در بسیاری موارد ادعای استفاده اصولی از آن صرفا در حد حرف برای جذب کاربر است. بعضی مجموعه‌ها البته در کشور روی بلاک‌چین کار کرده و صرافی‌هایی با رعایت نکات امنیتی تاسیس کرده‌اند اما در هر حال هر کس چنین ادعایی کند باید مورد راستی‌آزمایی قرار بگیرد.

هاشم حبیبی مدیرعامل شرکت امن‌افزار گستر شریف هم در همین مورد توضیح داد: در بحث امنیت سه حوزه پراهمیت وجود دارد. بحث قابل‌تشخیص‌بودن تغییر در طول حیات داده، بحث محرمانگی داده و موضوع دسترسی‌پذیری آن. در حوزه بلاکچین تغییرات داده در طول مسیر قابل تشخیص است و در عین حال در بخش دسترسی‌پذیری هم شرایط مناسبی وجود دارد اما فاکتور محرمانگی لزوما حفظ نمی‌شود.

حبیبی به عنوان جمع‌بندی خود از بحث هم گفت: این حوزه به مراقبت و قوانین بیشتر درون زیست بوم‌ برای تسهیل زندگی مردم نیاز دارد. موبایل فرهنگ‌ها را تغییر داده است. حاکمیت باید زیست بوم موبایل را به رسمیت بشناسد و برای ایجاد زندگی امن و سالم در آن ارزش بگذارد و روی آن سرمایه‌گذاری کند.

نهایتا سعید کاظمی هم در مورد بحث امنیت بلاکچین گفت: درست است که به شکل تئوریک بلاکچین امنیت خاصی دارد اما نه لزوما در همه جنبه‌ها. از طرفی سابقه‌دار است که در عمل صرافی‌های بزرگی هم هک شده‌اند یا در زیرساخت رمز ارز باگ پیدا شده.