امنیت سامانه ها و اطلاعات مشتریان و کارکنان، جایگاهی برای ملاحظات سیاسی سازمان ندارد. پیگیری نقش اساسی در پروسه رفع باگ ایفا میکند. فقط در سال گذشته برای نشت اطلاعاتی هر ۲۵ هزار رکورد اطلاعاتی در حدود ۴ میلیون دلار خسارت ایجاد شده است.
در طول ۵ سال گذشته این روند ۱۲ درصد رشد داشته است و صنایع مختلفی را به خود اختصاص داده است.
یکی از عواملی که میتواند هزینه خسارت رخداد امنیتی سایبری را کاهش دهد کاهش زمان شناسایی یا Dwell Time و حذف فرایندهای غیر شفاف در پاسخگویی به رخدادهای امنیتی است. بطوریکه سازمانهایی که توانستهاند ۵۰ درصد بهبود در این زمان ایجاد کنند، به میزان ۱ میلیون دلار کمتر خسارت متحمل شدهاند. به عنوان مثال آلمان و آفریقای جنوبی بهترین زمان شناسایی و پاسخگویی در سال گذشته داشتهاند و کشورهای خاورمیانه و برزیل آمار نامناسبی در این زمینه دارند. خسارات واردشده به کسبوکارها شامل جریمههای مراکز رگلاتوری، افت میزان محبوبیت در میان مشتریان و کاهش ناگهانی ارزش سهام آنها است.
راهکارهای متفاوتی برای افزایش میزان منابع اطلاعاتی مدیران امنیت سازمانها برای ارتقا زمان شناسایی و پاسخگویی رخدادهای امنیتی برای کاهش و جلوگیری از خسارتهای ناشی از رخدادهای وجود دارند که یکی از راهکارهای نوین در این حوزه مفهوم باگ بانتی است. بزرگترین جنبه مثبت برنامه باگ بانتی زمان این برنامه میباشد به نحوی که هر سازمان میتواند با درخواست ایجاد برنامه باگ بانتی از منابع نامحدود متخصصان امنیت در زمان نامحدود بهرمند شود و سازمان نیازی به استخدام متخصص امنیت ندارد. شرکتهای به نام مانند Apple، Microsoft، GitHub، Tesla، General Motors، AT&T، Verizon و غیره که خود دارای تیمهای امنیتی متخصص هستند، مزیت استفاده از اجتماع متخصصین امنیتی بهواسطه باگبانتی بهصورت مقرونبهصرفه را درک کرده و در برنامه سالانه خود لحاظ کردهاند. بر اساس گزارش موسسه Forrester، کسبوکارهایی که در سال گذشته از پلتفرمهای باگ بانتی استفاده کرده اند و خود را مجهز به فرآیند پاسخگویی و ایمنسازی شفاف کردهاند، به میزان ۱۱۵ درصد نرخ بازگشت سرمایه را ارتقا داده و ۵۰ درصد بهبود در میزان ساعات مصرفی کارکنان خود بهمنظور شناسایی باگها را ایجاد کردهاند.
باگ بانتی، مفهومی جدید برای ارزیابی مستمر سامانههای تجاری سازمانهاست که به سازمان کمک میکند تا با سرعت بیشتر به مشکلات امنیتی خود بهصورت مقرونبهصرفه دسترسی یابد. ارزیابی امنیتی توسط هکرهای اخلاقی که برای شناسایی باگهای مرتبط با آن سرویس و یا برنامههای کاربردی پاداش دریافت میکند اجرا میشود. این متخصصین دسترسی به سامانه مورد آزمون را شبیه به دیگر مشتریان سازمان دارند. حداقل بازه زمانی باگ بانتی ۳ تا ۶ ماه است که بازههای زمانی بیشتر ایدهآل هستند. فرآیندهای شفاف پذیرش باگ، مسائل حقوقی و تخصص در ارزشگذاری ازجمله مفاهیم اصلی باگ بانتیها هستند.
رفع باگ سریع در روش باگ بانتی به سازمان کمک مینماید تا مشتریان و برند خود را از آسیبپذیری دور نماید و همچنین به متخصصین اخلاقی این فرصت را میدهد که مشکلات امنیتی را گزارش کرده و اکوسیستم سالم شکل بگیرد. امنیت سامانه و اطلاعات مشتریان و کارکنان، جایگاهی برای موارد سیاسی سازمان ندارد. پیگیری نقش اساسی در پروسه رفع باگ ایفا میکند. هنگامیکه یک باگ امنیتی بحرانی شناسایی شد، پروسه ثبت تیکت سازمانی و منتظر ماندن برای بررسی آنها توسط تیم توسعه کافی نیست. حتی اگر از نظر سازمانی این موضوع در حوزه چند دپارتمان قرار میگیرد باید سریعا بهصورت مسئولیتپذیر در زمان کوتاه باگ رفع شود. باگهای امنیتی هیچگاه نباید در بخش طراحی و توسعه در صف باقی بماند. زمان متوسط بینالمللی رفع باگ در سال گذشته در صنایع مختلف که دارای باگ بانتی بودهاند، ۱۷ روز است.
در کشور ایران نیز این مفهوم پیادهسازی شده است و باگ بانتی باگدشت بهعنوان پلتفرم امنیتی باگ بانتی ایرانی، از سال ۱۳۹۷ با سرمایهگذاری شتابدهنده فینووا آغاز به فعالیت کرده است. در سال گذشته بهواسطه متخصصین امنیتی کشور بیش از ۴۰۰ گزارش امنیتی را در سریعترین زمان ممکن به سازمانها و کسبوکارهای کشور اعلام کرد.
