امنیت پشت درهای بسته! / گفت‌و‌گو با بهناز آریا، مدیرعامل گروه شرکت‌های کهکشان

گروه فناوری اطلاعات و گسترش ارتباطات هوشمند کهکشان در ابتدا یک مؤسسه آموزشی بود که در برهوت سال 1379، از معدود مکان‌هایی به حساب می‌آمد که دوره‌های آموزش تخصصی در حوزه فناوری برگزار می‌کرد. اما به گفته بهناز آریا، مدیرعامل گروه شرکت‌های کهکشان، با پیش رفتن فعالیت‌ها و نیازی که در بازار مشاهده کردند، به‌مرور شرکت‌های دیگری تأسیس شد که کارشان ارائه مشاوره در زمینه امنیت اطلاعات، ارتباط برقرار کردن میان کارجو و کارفرما و… بود.

آریا که رئیس کمیسیون افتا در سازمان نظام صنفی رایانه‌ای تهران است، در گفت‌و‌گوی پیش رو از مسیر رشد کسب‌و‌کارش می‌گوید، درباره دو قسمت مهم آموزش نیروی کار و امنیت اطلاعات در ایران توضیح می‌دهد و با گریزی به وظایف و مسئولیت‌هایش در سازمان نصر تهران، از مشکلات کار صنفی در کشور صحبت می‌کند.

بهتر است برای شروع، بیشتر با گروه شرکت‌های کهکشان آشنا شویم. شما از چه زمانی فعالیت خود را آغاز کردید؟

فعالیت گروه شرکت‌های کهکشان، در حقیقت با مؤسسه فرهنگی – هنری کهکشان نور در چهارم مهرماه سال 1379 شروع شد و این مؤسسه اولین شرکت ما بود. محور کاری‌اش فعالیت‌های آموزشی بود. ما در آن زمان جزو معدود مؤسساتی بودیم که دوره‌های آموزش تخصصی فناوری داشتیم و همچنین اولین جایی که در حوزه امنیت اطلاعات آموزش ارائه می‌دادیم. تا سال‌ها بعد بیشتر فعالیت‌های ما معطوف به بخش آموزش بود و حتی در حال حاضر هم ما را بیشتر با این بخش می‌شناسند.

در ادامه دیدیم پروژه‌های بسیاری به ما ارجاع می‌شود و درخواست مشاوره دارند. به همین دلیل تصمیم گرفتیم شرکت «کهکشان مشاور ایمن» را تأسیس کنیم که کارش مشاوره و پیاده‌سازی پروژه‌های امنیت اطلاعات و شبکه بود. این شرکت بیشتر در بخش مالی اعتباری فعال است.

در لیست مشتریان کهکشان مشاور ایمن، بانک‌های بزرگ کشور مانند ملت، ملی و تجارت وجود دارد که این شرکت به آنها سرویس‌های مختلف از جمله مشاوره امنیت ارائه می‌دهد.

با وجود اینکه آن زمان هنوز کلمه دانش‌بنیان مطرح نبود، ما عملاً تفکر دانش‌بنیان داشتیم و پایه فعالیت‌هایمان نیز بر همین اساس بود. بنابراین بسیار علاقه‌مند به انجام کارهای نوآورانه بودیم. به همین دلیل شرکت دیگری را با نام «فناور کهکشان دانا» تأسیس کردیم که کارش ارائه راه حل‌های فناورانه در حوزه‌های مختلف فناوری و امنیت اطلاعات بود. این دو شرکت اخیر به عنوان شرکت دانش‌بنیان به ثبت رسیده‌اند. در این حوزه ثبت اختراع نیز داریم و وارد بخش تولید محصولات بومی فناورانه به‌خصوص در بخش امنیت شدیم.

پس از آن شرکت کارسازان اندیشه‌های نوآفرین «کاران» را ایجاد کردیم که در بخش جذب و استخدام فعالیت دارد. یکی، دو شرکت دیگر نیز در کنار این شرکت‌ها تأسیس شد. در نهایت دیدیم شرکت‌های ما ماهیت گروهی دارند و تصمیم گرفتیم این ماهیت را حقوقی کنیم.

بر این اساس گروه شرکت‌های کهکشان ایجاد شد و چشم‌انداز ما تجمیع تمامی فعالیت‌های شرکت‌های مختلف کهکشان در گروه شرکت‌های کهکشان بود تا بتوانیم تمامی چرخه فعالیت‌های مرتبط با فناوری اطلاعات مثل آموزش، مشاوره، ارائه راه حل و هر آنچه که در لبه فناوری، سازمان‌های بزرگ به آن نیاز دارند، ارائه دهیم

ظرف این سال‌ها یکی از بحران‌های سیستم‌های کسب‌و‌کارها به‌خصوص در حوزه دیجیتال، موضوع امنیت بوده و شاهد از‌دست‌رفتن اطلاعات کاربران، پخش این اطلاعات و… بوده‌ایم. مشکل از کجاست؟ آیا نیروی متخصص نداریم؟ تجهیزات‌مان اندک است؟ یا داریم درباره ضعف امنیتی در کشورمان بزرگ‌نمایی می‌کنیم و این در همه جای دنیا اتفاق می‌افتد؟ آیا واقعاً در کشور بحران امنیت اطلاعات داریم؟

ببینید در حقیقت این بحران امنیت اطلاعات در همه جای دنیا وجود دارد. آیا بزرگ‌نمایی می‌شود؟ به نظر من باید بزرگ‌نمایی شود. زیرا آن‌قدر این موضوع حساس است و دغدغه ایجاد می‌کند که بهترین کار همین بزرگ‌نمایی است. تازه با این وجود، ما هنوز به راه حل‌های درست نرسیده‌ایم.

اما واقعاً این بحران جهانی است. زمانی در دنیا جنگ فیزیکی موضوع اصلی بود، اما بیشتر جنگ‌ها در دنیای امروز جنگ سایبری است. قدرتی که ما در دنیا مخصوصاً در سال‌های آینده به آن نیاز داریم، قدرت سایبری است و این اصلاً چیزی نیست که بخواهیم از آن غفلت کنیم یا آن را جدی نگیریم. اینکه چرا حملات سایبری به ما می‌شود و مشکل کجاست، باید بگویم که یکی، دوتا نیست. وقتی رویداد امنیتی اتفاق می‌افتد و نفوذی رخ می‌دهد، چند اقدام لازم است.

اول یکسری اقدامات پیشگیرانه است و کنترل‌هایی که ما باید از قبل انجام می‌دادیم. پس بخشی اقدامات پیشگیرانه است و هزینه‌هایی که سازمان‌ها و شرکت‌های ما باید برای حوزه امنیت اطلاعات بپردازند. اما متأسفانه در همین مرحله مشکلی وجود دارد؛ وقتی صحبت از تجهیزات می‌شود، چون قابل لمس است، راحت برای آن هزینه می‌کنند، در حالی که تجهیزات حوزه امنیت قابل لمس نیست.

در نتیجه برای آن کمتر هزینه می‌شود و متوجه اهمیت و تبعات آن نیستیم. اگرچه با اتفاقاتی که افتاده، کم‌کم سازمان‌ها متوجه اهمیت این موضوع می‌شوند که از بین رفتن اطلاعات چه مشکلات و دردسرهایی دارد. در این زمینه اولاً باید فرهنگ‌سازی اتفاق بیفتد، قوانین کاربردی‌تر تدوین شود و ضمانت اجرایی داشته باشد.

ما در حال حاضر در کشورمان متولیان زیادی در حوزه امنیت داریم؛ متولیانی که هم ناظر هستند و هم وضع‌کننده قوانین و اتفاقاً قوانین هم وجود دارند، اما بسیاری از اوقات به‌درستی اجرا نمی‌شوند، زیرا بازخواست کارآمدی صورت نمی‌گیرد. این عدم پاسخگویی مسائلی را ایجاد می‌کند.

اما مرحله دوم؛ با همه اقدامات پیشگیرانه، ما همیشه می‌گوییم هرگز امنیت 100 درصدی وجود ندارد. یعنی اگر شما تمامی تمهیدات را هم در نظر بگیرید، باز هم امکان بروز مشکل هست. حالا که یک اتفاق پیش آمده، چطور آن بحران را مدیریت کنیم؟ فرایندهای این بخش هم باید از قبل تعریف شده باشند.

باید پیگیری، پاسخگویی، روش‌های مقابله با بحران و بازیابی وجود داشته باشد که هرکدام از اینها استانداردها و چهارچوب‌های بین‌المللی و ملی خودش را دارد.

قدم سوم اقدامات اصلاحی است. از هر اتفاقی باید درس‌هایی را بیاموزیم که حداقل دوباره از همان نقطه ضربه نخوریم. اما متأسفانه بعضی اوقات برای موضوع امنیت با امنیتی بودن مرزبندی مشخصی تعیین نمی‌شود. یکی از مسائلی که بخش خصوصی خیلی روی آن تأکید دارد، این است که به عنوان بازوی اجرایی دولت، لازم است در جریان یکسری از موارد قرار گیرد تا بتواند در اجرای آنها به دولت کمک کند.

اما معمولاً در یک رخداد امنیتی، همه‌چیز پشت درهای بسته می‌ماند و ما با درخواست‌های فراوان باز هم به نتیجه نمی‌رسیم که مشکل کجاست و ما کجا می‌توانیم کمک ارائه دهیم و به عنوان بخش خصوصی چه راه حل‌هایی برای دولت داشته باشیم تا مجدداً این اتفاق نیفتد و درس‌آموخته‌ها را عملیاتی کنیم.

تأکید می‌کنم که ما با طبقه‌بندی اطلاعات و مشکلات و محرمانگی که وجود دارد، کاملاً آشنا هستیم و انتظار اعلام عمومی نداریم. اما در سطوح طبقه‌بندی‌شده انتظار تعامل با بخش خصوصی و ارائه راه حل‌های اصلاحی و پیاده‌سازی آنها را داریم. به‌اشتراک‌گذاری تجربه‌های به‌دست‌آمده بسیار مسئله مهمی است. البته برای همان اقدام اصلاحی هم باید ضمانت اجرایی و پاسخگویی وجود داشته باشد.

غیر از اینها، مسئله‌ای که در همه دنیا مطرح است، مسئله فرهنگ‌سازی است. این فرهنگ‌سازی در تمامی لایه‌ها از آحاد مردم تا زیرساخت‌های حیاتی و مدیران ارشد باید اتفاق بیفتد. بسیاری از مشکلات امنیتی نشئت‌گرفته از خطاهای انسانی و از مهندسی اجتماعی است که با تربیت و آموزش انسان‌ها و ارتقای دانش آنها و فرهنگ‌سازی، می‌توانیم جلوی دسته‌ای از نفوذها را بگیریم.

انسان‌ها همیشه ضعیف‌ترین حلقه زنجیره امنیت سازمان‌ها هستند. پس فرهنگ‌سازی و آموزش بسیار مهم‌اند. این فرهنگ‌سازی نیز لازم است از بالا به پایین اتفاق بیفتد. این کار مسئولیت حاکمیت‌ها و دولت‌هاست. تا زمانی که تعهد کافی حاکمیت به فرهنگ‌سازی وجود نداشته باشد، ما در فرهنگ‌سازی مؤثر موفق نمی‌شویم.

مسئله مهم دیگر تخصیص بودجه است. باید امنیت را در سطح مایحتاج اولیه و ضروری ببینیم و همان‌طور که برای خرید تجهیزات مختلف بودجه در نظر گرفته می‌شود، برای امنیت نیز هزینه کنیم. اطلاعات امروز مهم‌ترین دارایی بشر است و ما باید متناسب با اهمیتش با آن رفتار کنیم. اما متأسفانه رفتار مناسبی با اطلاعات نداریم.

نیروها و شرکت‌هایی را که در ایران در حوزه امنیت کار می‌کنند، در چه سطحی می‌بینید؟ در مقایسه با جهان کجا ایستاده‌ایم؟

طبیعتاً از نظر سطح تخصص در سطح جهان نیستیم. تعارف نداریم و این واقعیت است. اما در تلاشیم و شرکت‌ها با وجود شرایط اقتصادی سخت و تحریم و فشارهای مختلفی که به آنها وارد می‌شود، در ارتقای تخصص سعی خود را می‌کنند. می‌دانید که ما در این مورد نمی‌توانیم تعامل و ارتباط چندانی با دنیا داشته باشیم. متخصصان خوبی در کشور داریم.

اصل مسلم این است که امنیت مطلوب هر کشوری در سطح زیرساخت‌های حیاتی باید بومی باشد. همه کشورهای دنیا تلاش می‌کنند که در سطوح لازم، به امنیت بومی برسند، حال اینکه چقدر می‌توانند موفق شوند بحث دیگری است. اما وقتی از امنیت اطلاعات حرف می‌زنیم، این را یادمان باشد که یکسری از فناوری‌ها کلاً در اختیار یکسری کشورهای خاص است.

ما تلاش خود را کرده‌ایم و می‌کنیم، اما برای شرکت‌ها، بخش خصوصی و نیروی انسانی ما باید بسترها و تسهیلاتی فراهم شود. در نزد متولیان امنیت فناوری اطلاعات کشور این دغدغه بزرگی است. در جلساتی که داشتیم، بحث این بود که باید بودجه بگذاریم و کارهای مختلفی بکنیم.

مثال این امر دستاوردهای کشور در زمان جنگ است که در آن زمان ما توانستیم کارهای بزرگی را با همت داخلی انجام دهیم. در نهایت به این نقطه رسیدیم که باید برای تحقق امنیت اطلاعات، جهاد اعلام کرد و عملاً نهضت امنیت اطلاعات باید راه‌اندازی شود.

وقتی کشوری از لحاظ ژئوپلتیک تا این حد در موقعیت حساسی قرار دارد و کشور بزرگی است که گستره بزرگی از صنایع را در اختیار دارد، امنیت اطلاعات اهمیتی دوچندان پیدا می‌کند. پس باید جهاد امنیت اطلاعات داشته باشیم. جهاد به چه معنا؟ یعنی تمرکز و دغدغه کشور این حوزه باشد. صنعت امنیت اطلاعات جزو اولویت‌های کشور باشد.

اما اگر در سطح ملی و حاکمیتی این دیدگاه وجود نداشته باشد، طبیعی است بخش خصوصی تا جایی می‌تواند کار را پیش ببرد و بیش از آن در توانش نیست. شرکت‌ها در حد توانی که داشتند، به‌خوبی تلاش و مقاومت کرده‌اند، اما به‌هیچ‌وجه در سطح بین‌المللی نیستیم و نیازمند همراهی‌ها و تسهیلات بسیاری هستیم که الزاماً مالی نیست.

لازم است شرایطی فراهم شود که بتوانیم دانش کشور را در این حوزه بالا ببریم. اگر این اتفاق بیفتد، شرکت‌هایمان و نیروی انسانی و محصولات ما قدرت می‌گیرند و اکوسیستم موفق می‌شود

وقتی صحبت از تجهیزات می‌شود، چون قابل لمس است، راحت برای آن هزینه می‌کنند، در حالی که تجهیزات حوزه امنیت قابل لمس نیست. در نتیجه برای آن کمتر هزینه می‌شود و متوجه اهمیت و تبعات آن نیستیم

شما سال‌هاست در سازمان نظام صنفی رایانه‌ای تهران عضو هیئت‌مدیره هستید. نهادی صنفی که اتفاقاً در هفته‌های اخیر مشکلاتی با سایر نهادهای صنفی دیگر داشته است. آیا این نهاد و سیاست‌های آن را در راستای رشد و توسعه اقتصاد دیجیتال که بخش مهمی از اقتصاد نوآوری را تشکیل می‌دهد، می‌دانید؟ چه مشکلاتی در این نهاد صنفی وجود دارد و نقد شما چیست؟

نقد به این سازمان یعنی نقد به خودم. چون من نظام صنفی را خانه همه بخش خصوصی می‌بینم.

گاهی ممکن است شخصی به خودش هم انتقاد داشته باشد.

بله، اتفاقاً می‌خواهم همین را بگویم که اگر نقدی به نظام صنفی وارد است، به همه ما که اعضای این نهاد هستیم، وارد خواهد بود. من سال‌هاست در این سازمان فعالیت دارم و چند دوره نیز رئیس کمیسیون افتا بوده‌ام و همچنان هستم. اینکه ما اصناف و تشکل‌های دیگری داریم، در همه دنیا مرسوم و طبیعی است.

اما سازمان نظام صنفی رایانه‌ای بزرگ‌ترین تشکل مردم‌نهاد حوزه فناوری اطلاعات است که در تمامی ایران شرکت‌ها و افراد حقیقی و مشاوران را در بر می‌گیرد. نظام صنفی نماینده بخش خصوصی مقابل دولت و حاکمیت به عنوان مطالبه‌گر بخش خصوصی است.

اینکه ما درون خودمان همگرایی و انسجام کافی نداشته باشیم، در مطالبه‌گری ما و تعامل‌مان با حاکمیت مسئله ایجاد می‌کند. این انسجام چطور اتفاق می‌افتد؟ در قدم اول با همراهی همه اعضا. اینکه ما بیرون بایستیم و به سایرین بگوییم شما چرا فلان کار را انجام نداده‌اید، درست نیست.

این چیزی است که من در تمامی این سال‌ها دیده‌ام. همان قانون 20-80 اینجا هم صدق می‌کند؛ همیشه فقط تعداد خاصی فعال بوده‌اند و سایرین بیرون ایستاده‌اند و انتقاد کرده‌اند و درخواست داشته‌اند. در حالی که اینجا یک سازمان مردم‌نهاد و داوطلبانه است و ما بودجه‌ای از جایی دریافت نمی‌کنیم.

خودمان باید برای خودمان کار انجام دهیم و بزرگ‌ترین مسئله اینجاست که به اندازه کافی خودمان را درگیر کار تشکلی و صنفی نمی‌کنیم. انسجام و اتحاد و همگرایی با دغدغه‌مندی خودمان اتفاق می‌افتد.

نکته دیگر این است که در نظام صنفی نیازمند افرادی هستیم که نگاه و اخلاق صنفی داشته باشند و این اخلاق صنفی را درون صنف اشاعه و آموزش دهیم. ما چقدر نگاه و رفتار تشکلی بلدیم؟ باید به طور جدی آن را تمرین کنیم.

این نگاه و اخلاق صنفی شامل چه چیزهایی می‌شود؟

وقتی شما در صنف نشسته‌اید، دیگر کسب‌و‌کارتان مهم نیست. در صنف شما دارید به نفع همه صنف صحبت می‌کنید. حتی ممکن است جایی به ضرر بخشی از کسب‌و‌کار خودتان هم باشد ولی در مجموع به نفع صنف است و باید منافع جمعی را در نظر بگیرید، نه منافع شخصی.

همچنین اینکه بتوانید همراهی و هم‌اندیشی کنید و بخشی از کار را انجام دهید. درک کنید که تصویر بزرگ وجود دارد و شما جزئی از آن کل هستید و برای اینکه به آن تصویر کلی برسید، باید هرکدام کارتان را درست انجام دهید. این تمرین می‌خواهد. یکی از مواردی که طی سال‌ها در نظام صنفی تمرین نشده، این رفتار بوده است.

ما موفق به جانشین‌پروری کافی نشده‌ایم و نتوانسته‌ایم این اخلاق و نگاه صنفی را آن‌قدر که باید و شاید تمرین کنیم و برای بسیاری از کسانی که در صنف بودند، ارزش لازم را قائل نشدیم. بسیاری از کسانی که می‌توانستند ستون‌های صنف باشند، دیگر نیستند.

اینکه ما بتوانیم افراد مؤثر و کلیدی‌مان را نگه داریم، هنری است که مدل و سیستم خاص خود را می‌خواهد. اما به طور کلی، انجام کار تشکلی بسیار سخت است؛ به‌خصوص در کشوری که کار تشکلی در آن رواج زیادی ندارد. کار صنفی در حوزه فناوری که هر گوشه‌اش یک صنعت جداگانه است، بسیار سخت‌تر می‌شود.

در نهادی که بودجه دولتی ندارد، باز هم سخت‌تر خواهد شد. بنابراین ما در جای سختی ایستاده‌ایم که جز همراهی و همدلی خودمان، از کس دیگری نمی‌توانیم انتظار داشته باشیم. من همیشه در جلسات صنفی می‌گویم ما دو وجه کاری داریم. یکی بیرون صنف و دیگری، درون صنف.

در بیرون صنف باید مطالبه‌گری کنیم و چانه بزنیم و… اما درون صنف دست ماست و ما باید برایش کاری انجام دهیم. اگر ما توانستیم اینجا کار درست انجام دهیم، بیرون هم بسیاری از موارد درست می‌شود.

به شکل موردی مثالی در ذهن‌تان هست که بگویید اگر این نگاه صنفی در سازمان وجود داشت، فلان اتفاق نمی‌افتاد؟
یک مثال خیلی ساده، تعرفه نظام صنفی است. نظام صنفی سال‌هاست تعرفه تدوین کرده و خودم هم جزو کمیسیون تدوین تعرفه و کمیسیون ساماندهی بازار بودم.

یکی از مشکلات ‌ما در صنف فناوری اطلاعات این است که هر کسی قیمتی می‌داده و خدمات شرح درستی نداشتند. ما تلاش کردیم با کمک کارشناسان دادگستری، یک تعرفه محکمه‌پسند ایجاد کنیم که کاملاً منطبق بر قوانین وزارت کار باشد و قابل دفاع. اما تا زمانی که حاکمیت این تعرفه را به‌عنوان تعرفه مرجع نپذیرد، الزام اجرایی ندارد.

ما سال‌هاست این تعرفه‌ها را منتشر می‌کنیم و از اعضای سازمان درخواست می‌کنیم که مبتنی بر این تعرفه قیمت بدهند. اما یکی از بزرگ‌ترین معضلات در مناقصات، دامپینگ است و شکست قیمت وحشتناکی که باعث می‌شود ارزش خدمات فناوری اطلاعات در کشورمان بسیار پایین باشد.

اگر منی که قیمت می‌دهم، خیالم راحت باشد که شرکت‌های عضو صنف هم بر همان مبنای صحیح و با ارزش واقعی قیمت می‌دهند و همه به آن متعهدیم، مسلماً کارفرما نمی‌تواند خلاف آن رفتار کند. اما خودمان کاری کرده‌ایم که مجبور باشیم با کمترین قیمت‌ها بهترین خدمات را ارائه دهیم.

لطفاً درباره کمیسیون افتا بگویید. وقتی صحبت از سازمان نظام صنفی می‌شود، نام یکسری افراد و کمیسیون‌ها را بیشتر می‌شنویم، اما در میان‌شان نام شما و کمیسیون افتا را نمی‌بینیم؛ علت چیست؟

در این حد می‌توانم بگویم که افتا جزو کمیسیون‌های پرکار و کم‌خبر است؛ زیرا حوزه امنیت اطلاعات حساسیت‌هایی دارد که در سایر حوزه‌ها وجود ندارد و همین باعث می‌شود خبر زیادی از فعالیت‌های آن منتشر نشود. البته یکی از اهداف کمیسیون خصوصاً در این دوره این است که روی فرهنگ‌سازی کار کنیم.

در این زمینه از 12، 13 سال پیش سمینارهایی نیز برگزار می‌کنیم. در این دوره قصد داریم فرهنگ‌سازی را به عنوان بخشی از اخبار صنف سازمان بیاوریم تا در مورد مسائل امنیتی که باید رعایت شود، اطلاع‌رسانی صورت گیرد.

---

دلایل کارنگ برای انتخاب کهکشان

---

کشور ما در حوزه آی‌تی با دو مسئله بزرگ مواجه است؛ یکی نیروی متخصص و کارآمد که این روزها حکم کیمیا دارد و دیگری امنیت اطلاعات. گروه شرکت‌های کهکشان روی هر دو موضوع دست گذاشته و به صورت جدی در آن فعالیت دارد.

در بخش آموزش که پایه اصلی فعالیت‌های گروه کهکشان است، بهناز آریا، مدیرعامل مجموعه نکته مهمی را یادآور می‌شود. اینکه بیشتر دوره‌های آموزشی مبنای کار خود را بر ارائه گواهینامه معتبر در پایان دوره می‌گذارند؛ این در حالی است که فرد ممکن است دوره‌های متنوعی را بگذراند اما همچنان برای قرار گرفتن در موقعیت شغلی مناسب نباشد.

بر این اساس، آنها از سال‌ها پیش تصمیم گرفته‌اند دوره‌های آموزشی مدونی را بر اساس موقعیت شغلی بچینند تا هم دانشجو را از سرگردانی نجات دهند و هم شرکت‌ها خیال‌شان راحت باشد که فردی که استخدام می‌کنند، تمام دوره‌های لازم را طی کرده است.

در بخش امنیت اطلاعات، آریا به اعلام جهاد در این زمینه معتقد است. جهاد به این معنی که تمام تمرکز حاکمیت و نهادهای بالادستی، به این مسئله معطوف باشد. او می‌گوید با وجود تلاش‌های بسیار بخش خصوصی، تا زمانی که اراده حاکمیت بر جدی گرفتن این موضوع نباشد، آنها نیز نمی‌توانند کار زیادی پیش ببرند.

اما بهناز آریا که مهره کلیدی گروه شرکت‌های کهکشان است، تمرکز خود را تنها روی کسب‌و‌کارش نگذاشته و سال‌هاست به‌صورت جدی فعالیت صنفی دارد و رئیس کمیسیون افتا در سازمان نظام صنفی رایانه‌ای تهران است. او با تجربه‌ای که از فعالیت در این نهاد صنفی دارد، دست روی نکات مهمی می‌گذارد.

فعالیت گروه شرکت‌های کهکشان و مدیرعامل آن در سه بخش مهم آموزش، امنیت اطلاعات و نهاد صنفی که از اهمیت بالایی در اقتصاد نوآوری برخوردارند، از جمله عواملی بود که سبب شد داستان جلد این شماره کارنگ را به بهناز آریا اختصاص دهیم.