همچون دیگر کسب‌وکارهای خلاقیت محور که پس از اجرایی‌سازی آن‌ها و توسعه فرهنگ‌سازی نسبت به آن خدمت، قوانین مرتبط با آن کسب‌وکار نیز به‌مرور توسعه یافت، باگ بانتی نیز از این قضیه مستثنی نبوده است و مجوز کشف نقص امنیتی به این امر تخصیص یافت.

برنامه‌های باگ بانتی به دلیل گزارش باگ‌ها، به‌خصوص باگ‌هایی که باعث سواستفاده و آسیب‌پذیری می‌شوند، موردتوجه بسیاری از وب‌سایت‌ها و توسعه‌دهندگان نرم‌افزار قرار گرفته است. این برنامه‌ها به توسعه‌دهندگان اجازه می‌دهند که باگ‌ها را قبل از اینکه عموم مردم از آن‌ها مطلع شوند کشف کنند و مانع از حوادثی چون سواستفاده گسترده شوند. این حوزه در ایران نسبت به دنیا دیر شکل گرفت و اکنون در سال‌های اولیه خود است. با این حال اکنون چند مجموعه در کشور در این حوزه فعالیت می‌کنند و اخیرا نیز مجوز باگ بانتی تحت عنوان «مسابقات کشف نقص امنیتی» جزو مجوزهای حوزه امنیت در لیست مجوز‌های افتا تعریف شده است و به شرکت‌های دارای شرایط تخصیص پیدا می‌کند.

در این گزارش به بخشی از گفتگوی انجام شده توسط راه‌پرداخت با امیر ناظمی رئیس سازمان فناوری اطلاعات ایران و رویا دهبسته مدیرعامل باگدشت درباره اهمیت شرکت‌های فعال در حوزه باگ بانتی و وضعیتی که این حوزه در کشور می‌پردازیم.

فعالیت هکرهای کلاه سفید قانونی می‌شود

امیر ناظمی رئیس سازمان فناوری اطلاعات ایران درباره اهمیت وجود شرکت‌های فعال در حوزه کشف نقص امنیتی در کشور صحبت کرد و توضیح داد: «اهمیت مجموعه‌های فعال در حوزه کشف نقص امنیتی از چند جنبه هست؛ اولین جنبه از لحاظ مشارکت اجتماعی است که ایجاد می‌کنند تا هکرهای کلاه سفید بتوانند به مجموعه‌های مختلف کمک کنند. جنبه دوم برای شرکت‌هایی است که باگ ‌بانتی خود را اعلام می‌کنند و می‌توانند از یک خدمت عمومی استفاده کنند؛ خدمتی که اغلب اوقات ازطریق ابزارهای تکنولوژیک قابل ارائه نیستند و در این نقطه است که مجموعه‌ای از خلاقیت افراد و هکرها به علاوه با ابزارهای فناورانه کمک می‌کند تا آسیب‌پذیری‌ها شناسایی شوند.

جنبه سوم نیز این است که به هر حال هکرها بخشی از اکوسیستم حوزه فناوری اطلاعات و ارتباطات هستند و قاعدتا وقتی هکرهای کلاه سفید هستند، باید برای آن‌ها منابع درآمدی نیز در نظر گرفته شود تا این منابع درآمدی کمک کنند تا فعالیت‌های خود را توسعه دهند و فرصت تعمیق کارهای خود را نیز پیدا کنند و اینکه آسیب‌هایی که می‌توانند پیش راه آن فرد قرار گیرد نیز کاسته شود؛ این جنبه سوم یک نوع جنبه توسعه اکوسیستم نیز در آن در نظر گرفته می‌شود. مورد آخر اینکه ما باید این ادراک را بدست آوریم که امنیت دسته‌جمعی به وجود می‌آید و هیچ وقت در هیچ اکوسیستمی چه کلان و چه خرد تنها عده‌ی محدودی نمی‌توانند امنیت کل آن اکوسیستم را بوجود آورند. امنیت توسط کل و توسط انواع بازیگران به وجود می‌آید و اگر مکانیزم‌هایی برای جذب کسانی که در این حیطه می‌خواهند فعالیت کنند وجود نداشته باشد، قاعدتا با یک ناامنی گسترده روبه‌رو خواهیم شد.»

ناظمی صحبت‌هایش را در این باره این‌گونه ادامه داد: «در حوزه اکوسیستم بانکی و پرداخت نیز این موضوع بسیار اهمیت دارد. باتوجه‌به اینکه ما قوانینی داریم که هر نوع تلاش برای هک را ممنوع می‌شمارد و همین موضوع باعث می‌شود حتی اگر فردی با نیت خیرخواهانه و یا از سر کنجکاوی آسیب‌پذیری را شناسایی می‌کند، مکانیزمی برای اعلام آن به مراجع وجود نداشته باشد که همین امر باعث می‌شود آن فرد به نوع دیگری از رفتار وسوسه شود یا اینکه آن فرد دیگر آسیب‌پذیری شناسایی‌شده را اعلام نکند. در نتیجه، مجموع وضعیت امنیت سایبری قربانی می‌شود.»

طبق گفته‌های رئیس سازمان فناوری اطلاعات ایران، فعالیت در حوزه کشف نقص امنیتی در کشور تاکنون قانونی نبوده و کاری که اکنون انجام شده این است که بر اساس توافقاتی که با نهادهای امنیتی انجام شده، این فعالیت‌ها به‌صورت مشروط و برای کسانی که صاحب صلاحیت شناخته می‌شوند، آزاد و قانونی می‌شود. ناظمی توضیح داد: «شرکت‌هایی که مجوز خود را در این حوزه دریافت می‌کنند، می‌توانند به‌صورت دائم و یا دوره‌ای مسابقات باگ‌ بانتی برگزار کنند. به‌مرورزمان نیز قاعدتا بسیاری از شرکت‌های بزرگ ازجمله بانک‌ها و نهادهای مالی این موضوع را موردتوجه قرار می‌دهند و بخشی از بودجه امنیت خود را برای جایزه هکرهای کلاه سفیدی که هکی را انجام می‌دهند و به آنها اطلاع می‌دهند، اختصاص خواهند داد.»

مفهوم نوپای باگ بانتی در کشور

رویا دهبسته مدیرعامل باگدشت، در ابتدای صحبت‌های خود تعریفی از باگ بانتی ارائه کرد. طبق گفته‌های او، باگ بانتی در فارسی به عبارات متفاوتی مانند کشف باگ، انعام باگ یا مسابقه کشف نقص امنیتی شناخته می‌شود. ایده اصلی در توسعه باگ بانتی استفاده از پتانسیل و خلاقیت تعداد بیشتری از متخصصین امنیتی و همکاری میان آنها است.

«در خدمات سنتی صنعت امنیت اطلاعات محوریت بر تفکیک‌سازی و ایجاد مرز بوده که تمرکز بر این دیدگاه نتوانست موفقیت بالایی را کسب کند. متخصصین امنیتی پلتفرم‌های باگ بانتی دسترسی‌هایی معادل مشتریان عمومی سازمان را دارند و به‌صورت مستمر به ارزیابی امنیتی سامانه‌ها می‌پردازند، درصورتی‌که هریک از متخصصین بتواند بر اساس قوانین سازمان، مشکل امنیتی را شناسایی کند، آن را در پلتفرم گزارش کرده و پس از صحت سنجی و ارزش‌گذاری فنی توسط پلتفرم، موارد سریعا به سازمان اعلام می‌شود. به دلیل تغییرات مستمر در سامانه‌های تجاری، سازمان‌ها می‌توانند به‌صورت مستمر از ارزیابی امنیتی و دریافت مشکلات امنیتی واقعی خود اطمینان حاصل کنند و از سوی دیگر به‌ازای هر گزارش امنیتی تایید شده و صحت سنجی شده هزینه کنند که منجر به بهبود نرخ بازگشت سرمایه سازمان در حوزه امنیت می‌شود. حداقل مسئولیت‌های پلتفرم‌های باگ بانتی، صحت سنجی فنی، حقوقی، کمک به سازمان برای ایجاد قوانین هر بانتی و تعامل با متخصص و سازمان به‌منظور رفع سریع مشکلات امنیتی است.»

مدیرعامل باگدشت با بیان اینکه مفهوم باگ بانتی سال‌های اولیه خود را در کشور سپری می‌کند، گفت: «همچون دیگر کسب‌وکارهای خلاقیت محور که پس از اجرایی‌سازی آن‌ها و توسعه فرهنگ‌سازی نسبت به آن خدمت، قوانین مرتبط با آن کسب‌وکار نیز به‌مرور توسعه یافت، در باگ بانتی نیز ما با همین روال روبرو شدیم. با توجه به وقوع نشت اطلاعات‌های متفاوت سازمان‌های بزرگ دولتی یا خصوصی، لزوم اجرایی‌سازی این خدمت در کشور و استفاده از پتانسیل متخصصین متعهد غیر قابل چشم‌پوشی است. مجموعه باگدشت تمرکز خود را از ابتدای فعالیت خود روی فرهنگ‌سازی و آشنایی سازمان‌ها با این مفهوم با همکاری متخصصین امنیتی قرار داد که نتایج مثبتی نیز دریافت شد.»

در تعاملات باگدشت طی دو سال اخیر با متخصصین و سازمان‌ها، به دلیل نبود این خدمت در کشور پیش از این، بسیاری ابهامات و چالش‌های اجرای قانونی باگ بانتی به دلیل به‌روز نبودن قوانین جرایم سایبری مطرح می‌شد که باگدشت با شرح نحوه ارائه خدمت، مزیت‌های دریافتی توسط سازمان و متخصص و همچنین شخصی‌سازی بر اساس شرایط هر سازمان سعی در مرتفع کردن آنها کرد که فرایندی زمان‌بر است. او در این باره ادامه داد: «به‌موازات، جلسات متعدد همفکری باگدشت با رگولاتوری‌ها برگزار شد و به‌مرورزمان حمایت‌های مراکز مذکور در خصوص نیاز به توسعه چارچوب جهت اجرای صحیح خدمت باگ بانتی مانند پلیس فتا، سازمان فناوری اطلاعات و مرکز افتای ریاست‌جمهوری ایجاد شد.»

به گفته دهبسته، مجوز تهیه شده در خصوص کشف نقص امنیتی با همفکری پلتفرم‌های موجود باگ بانتی و حمایت مرکز افتای ریاست جمهوری و سازمان فناوری اطلاعات تدوین شده است که مسلما به‌مرور زمان نیازمند به‌روزرسانی خواهد بود.

«امیدوار هستیم که ابلاغ این مجوز به سازمان‌ها بتواند در اجرایی‌سازی خدمات باگ بانتی در کشور به‌صورت قانونی و نظارت شده کمک کند. شرایطی در مجوز مذکور برای اجرای باگ بانتی در نظر گرفته شده است که سازمان‌ها بنا بر شرایط کسب‌وکاری خود با رعایت آنها می‌توانند مناسب‌ترین نتیجه را در خدمات امنیتی دریافت کنند. لازم به ذکر است اجرای پروژه‌های باگ بانتی به معنای عدم اجرای تست نفوذ یا پروژه‌های ایمن‌سازی دوره‌ای نیست و باگ بانتی یک کانال جدید و سریع برای بهبود ورودی‌های سازمان در زمینه شناسایی و یادگیری از مشکلات امنیتی است. در مجموع حمایت رگولاتوری و سازمان‌ها در جهت اجرای باگ بانتی با توجه به قوانین سازمان، می‌تواند اعطای مجوز را موثر کند.»

باگدشت از سال ۱۳۹۷ فعالیت خود را در زمینه باگ بانتی آغاز کرد و اکنون با دریافت مجوزهای قانونی به ارائه خدمات ایمن‌سازی سامانه‌ها علاوه بر باگ بانتی می‌پردازد. مسئله اصلی در باگ بانتی شناسایی باگ یا مشکل امنیتی نیست بلکه یادگیری از نحوه اجرای باگ و ایمن‌سازی سازمان در اولویت قرار دارد، از این رو خدمات ایمن‌سازی علاوه بر باگ بانتی در سبد خدمات امنیتی باگدشت قرار گرفت.

دهبسته با بیان اینکه متخصصین امنیت بر اساس نوع نگرش خود به متخصصین متعهد و مهاجم تقسیم‌بندی می‌شوند، توضیح داد: «همان‌طور که مطلع هستید روزانه اخبار زیادی در خصوص تبادل اطلاعات محرمانه سازمان‌ها یا دولت‌ها در دارک وب شنیده می‌شود؛ بنابراین مدیران سازمان‌ها باید بدانند که فعالیت افراد کلاه سیاه و یا مهاجمین متوقف نخواهد شد و حتی بزرگ‌ترین شرکت‌های امنیتی نیز مورد حمله هکرها قرار گرفته‌اند. از سوی دیگر متخصصین متعهد با همان سطح دانش فنی در کشور وجود دارند تا بتوانند سریعا مشکلات و آسیب‌پذیری‌های امنیتی را به سازمان اعلام کنند و سطح ایمنی سازمان را افزایش دهند. با توسعه پلتفرم های باگ بانتی در کشور و فعالیت قانونی آنها، این متخصصین امنیتی با رعایت قوانین، می‌توانند بدون ریسک و درگیر شدن در حواشی غیر فنی به ارائه گزارش بپردازند و کانال درآمدی جدیدی را نیز برای خود ایجاد کنند.»

تجاری‌سازی صنعت امنیت در کشور بسیار نوپا است

مدیرعامل باگدشت درباره رگولاتوری این حوزه نیز صحبت کرد. به عقیده او، ایجاد قوانین حمایتی مسلما منجر خواهد شد تا کسب‌وکارهای ارائه‌دهنده آن خدمت بتوانند طبق چارچوب تعیین شده رشد سریع‌تری را تجربه کنند و سردرگمی‌ها و تصمیم‌گیری‌های چندگانه را کاهش خواهد شد. از سوی دیگر سازمان‌ها و مشتریان دریافت‌کننده این خدمات نیز اعتماد بالاتری را کسب خواهند بود و با تایید مراکز رگولاتوری، سیاستگذاری های سریع‌تری در سطح مدیران ارشد کسب‌وکارها در خصوص انتخاب و استفاده از خدمات صورت می‌گیرد. «تجاری‌سازی صنعت امنیت در کشور بسیار نوپا است و نیازمند حمایت‌های قانونی و بازنگری در قوانین سنتی را دارد

دهبسته در پاسخ به این سوال که مجموعه‌های فعال در حوزه باگ بانتی چقدر می‌توانند در مسائلی مانند امنیت درگاه‌های بانکی و پرداخت کمک کنند، این‌طور توضیح داد: «به دلیل رشد صنعت بانکداری و ارائه خدمات متنوع به تعداد بالایی از افراد کشور به‌صورت عمومی، ارزیابی امنیتی مستمر از طریق پلتفرم های باگ بانتی می‌تواند سازمان را در این زمینه به‌روز نگه داشته و نسبت به آخرین وضعیت سناریوهای امنیتی ایمن گرداند. به دلیل رشد و تنوع بسیار در آسیب‌پذیری‌های سیستم‌ها و روش‌های متفاوت مورداستفاده توسط مهاجمین، هیچگاه تامین امنیت تضمین شده نیست و استفاده از خدمات امنیتی همچون باگ بانتی راهکارهای کمک‌کننده در کاهش میزان نشت اطلاعات و مقابله با تخریب برند سازمان‌ها است.

مجموعه باگدشت طی دو سال اخیر همکاری‌های متنوعی را با مجموعه بانکی مالی صورت داده است و استقبال خوبی در این خصوص دریافت شده است. از آن جمله می‌توان به ارزیابی امنیتی به روش باگ بانتی خصوصی در چندین سازمان بانکی، درگاه پرداخت و شرکت‌های توسعه‌دهنده خدمات مالی با نظارت مراکز رگولاتوری اشاره کرد که گزارش‌های امنیتی مختلفی برای ایمن‌سازی به این سازمان‌ها ارائه شد. همچنین اجرای ایمن‌سازی سامانه‌ها و آموزش ایمن‌سازی در سطوح مختلف نیز از جمله همکاری‌های باگدشت با مجموعه‌های بانکی طی دو سال اخیر بوده است که با تصویب قانون جدید در این زمینه منجر به توسعه همکاری‌ها خواهد شد.»

وضعیت باگ بانتی در دنیا

او همچنین به شکل‌گیری این حوزه در دنیا نیز پرداخت و توضیح داد که سال ۲۰۱۰ آغاز تمرکز روی باگ بانتی به‌صورت فعال است که توسط شرکت گوگل اجرایی شد. BugCrowd پلتفرم واسط باگ بانتی در امریکا، در سال ۲۰۱۱ برای ارائه خدمات واسط فنی و حقوقی به سازمان‌ها و متخصصین امنیتی شروع به فعالیت کرد و پلتفرم Synack به‌صورت رسمی در سال ۲۰۱۳ این نقش را در نهادهای نظامی امریکا برعهده گرفت. پلتفرم مطرح دیگری به نام HackerOne در سال ۲۰۱۵ عملیاتی شد و مانند BugCrowd در نقش واسط فنی و حقوقی میان دو سوی پلتفرم فعالیت می‌کند که سه مجموعه فوق در حال حاضر به‌صورت بین‌المللی و گسترده با حوزه وسیعی از سازمان‌های فناوری محور و حتی امنیتی در دنیا به‌صورت باگ بانتی فعالیت می‌کنند.

طبق گفته‌های دهبسته، این صنعت در دنیا در فهرست ۱۰ کسب‌وکار خلاقیت محور فناوری اطلاعات معرفی شده است که این دیدگاه در کشور هنوز جاری نشده است. چالش‌های قانون‌گذاری در روند اجرایی‌سازی پلتفرم‌های مذکور نیز وجود داشته است و باتوجه‌به مزیت‌های ایجاد شده برای سازمان‌ها و مشتریان، به بازنگری قوانین سایبری خود پرداخته و قانون اعلام آسیب‌پذیری یا VDP (Vulnerability Disclosure Program) را مصوب کرده‌اند. این قانون که الزامات و ضوابط حقوقی و فنی ارزیابی و شناسایی مشکلات امنیتی را برای متخصصین امنیتی و همچنین سازمان‌ها مشخص می‌کند، توسط وزارت دادگستری امریکا به‌تمامی سازمان‌ها اعلام و در حال اجرا است و هرگونه تخلف دراین‌خصوص قابل‌پیگیری است.

منابع: