در پناه هکرهای اخلاقی؛ باگبانتیهای بیحساب و کتاب بحرانزاست
اخبار حمله و نشت اطلاعات سازمانها در هفتههای اخیر نه بهصورت رسمی بلکه در بسیاری از شبکههای اجتماعی دستبهدست میشد. این موضوع به خودی خود نشاندهنده اهمیت شناخت باگهای سیستم و در نتیجه حفظ امنیت دادههای سازمان و کاربران است و شاید از همین روست شرکتها تقریبا با افزایش نسبی میزان حملهها به سامانهها و پلتفرمهای مختلف با افزایش مبالغ باگبانتی مدتی است که سعی کردهاند نقاط ضعف و باگهای سیستم خود را شناسایی کنند، اما مدیران امنیتی شرکتها به همان میزان که باگ بانتی را کارآمد میدانند، افزایش بیحساب وکتاب آن را نادرست و حتی از عوامل ناامنی فضای فناوری اطلاعات کشور برمیشمرند.
در پی افشای دادههای کاربران ایرانی در سالهای اخیر پلتفرمهای آنلاین موضوع باگ بانتی را نیز بیش از گذشته جدی گرفتهاند و برخی از پلتفرمها نیز مدتی است با بالابردن مبالغ باگبانتی در تلاشند تا با راهکارهای تهاجمی امنیت بیشتری را در فضای پلتفرمهای خود ایجاد کنند. مضاف بر این که شرکتها با افزایش مبالغ باگ بانتی در کنار افزایش امنیت میخواهند از اعتماد بیشتر کاربران نیز بهرهمند شوند.
پیوست در گفتوگویی با مدیران امنیت سایبریِ پلتفرمهایی که به تازگی مبالغ باگبانتی خود را افزایش دادهاند، راجع به باگبانتی در دوران تحولات اجتماعی و تاثیر آن بر امنیت دادههای کاربران صحبت کرده است.
دیوار:مبلغ باگ بانتی بیش از دوران بحران، به تورم مرتبط است
پویا رضایی، مدیر فنی (CTO) دیوار راجع به پاداش کشف و گزارش باگ یا همان باگبانتی دیوار به رقم یک میلیارد تومان میگوید: امنیت مسئلهای مقطعی نیست و بر همین اساس ما در دیوار، آن دسته از پژوهشگران امنیت که با کشف و گزارش آسیبپذیری باعث بالا رفتن سطح امنیت محصولات و کاربران میشوند را به رسمیت شناخته و از همکاری با آنها استقبال میکنیم. علاوه بر اینکه گزارش باگ یا همان باگبانتی دیوار را تا یک میلیارد تومان افزایش دادهایم تا هکرهای کلاه سفید(متخصصان امنیت) را تشویق به گزارش باگها کنیم.
اما به باور رضایی مبالغ باگبانتی بیش از آنکه به دوران بحران مرتبط باشد به شرایط اقتصادی و تورم در جامعه برمیگردد. او در این باره میگوید: پاداش کشف باگ یا همان باگبانتی قطعا در تشویق پژوهشگران امنیت برای فعالیت و گزارش این موارد به پلتفرمها موثر است، اما مبلغ آن به دوران بحران ارتباطی ندارد و بیشتر به فضای رقابتی و میزان تورم مرتبط است. اینکه به خاطر افزایش ریسک، عکسالعملهای مقطعی نشان داده شود ناشی از نگرشهای کوتاهمدت است و خود همین موضوع یکی از عوامل ناامنی فضای فناوری اطلاعات کشور است.
او اینگونه گفته خود را ادامه میدهد: با توجه به خطراتی که همیشه درباره نشت و افشای اطلاعات کاربران وجود دارد ما در دیوار، تیمهای خودمان را به نگهداری حداقل دیتا صرفاً در ۲ مورد مشخص ملزم کردهایم. یکی در بازه زمانی تعیین شده از سوی قانون و برای انجام تکالیف قانونی و دیگری دادههای مورد استفاده در تحلیل فرآیندهای کسبوکار. در این زمینه نیز دیتا را به صورت ناشناس ذخیرهسازی میکنیم چون استفاده کلان از آنها مورد نیاز ماست و نیازی به ذخیره کردن دیتای شخصی کاربران نداریم.در کنار این همچنین ناشناس کردن دیتای کاربران را نیز تبدیل به یکی از روندهای اصلی دیوار کردهایم.
طبق گفته او: در ناشناس کردن اطلاعات یا همان Anonymization دادهها که برای حفاظت از دادههای کاربران و حفظ حریم شخصی آنها صورت میگیرد به صورت خودکار دادههای حساس کاربران مثل شماره تلفن، آدرس، مشخصات فردی و پس از پایان مهلت ۶ ماهه قانونی برای نگهداری دیتا حذف میشود. این کار باعث میشود در رویارویی با هک دیتایی از اطلاعات خصوصی و حساس کاربران در دسترس کسی قرار نگیرد.
اسنپ: هر برنامه باگ بانتی لزوما مناسب و موثر نیست
امیرحسین قاسمی، مدیر تیم امنیت سایبری گروه اسنپ هم معتقد است اهمیت برنامههای باگ بانتی در دوران بحران به طور قابل توجهی افزایش پیدا میکنند، چون در چنین شرایطی، برنامههای باگبانتی نقش حیاتی در شناسایی و رفع سریع آسیبپذیریها ایفا میکنند. او در این باره توضیح میدهد: این برنامهها با بهرهگیری از توانایی هکرهای اخلاقی (white hat hackers) که تخصص و دانش عمیقی در زمینه امنیت سایبری دارند، میتوانند نقاط ضعف سیستمها را پیش از سواستفاده هکرهای مخرب کشف کنند. این فرآیند باعث میشود شرکتها بتوانند به سرعت واکنش نشان داده و از بروز خسارت بیشتر جلوگیری کنند.
او ادامه میدهد:البته لزوما هر برنامه باگ بانتی ممکن است مناسب و موثر نباشد و کیفیت و کارایی آنها میتواند بسیار متفاوت باشد. عوامل و معیارهای متعددی وجود دارند که تعیین میکنند آیا یک برنامه باگبانتی خوب و موثر است یا خیر. در ابتدا باید مشخص شود که کدام سیستمها و سرویسها باید تحت پوشش قرار گیرند.در وهله بعد با افزایش پاداشهای مالی شرکتها میتوانند انگیزه هکرهای اخلاقی را برای کشف و گزارش سریع و دقیق آسیبپذیریها بالا ببرند. موضوع بعد مدیریت و ارزیابی گزارشهاست. ایجاد تیمهای اختصاصی برای بررسی سریع گزارشهای باگها در دوران بحران بسیار حیاتی است و هرگونه تاخیر میتواند عواقب جدی به همراه داشته باشد. در نهایت ارتباط موثر با هکرها و حفظ امنیت اطلاعات است. شرکتها باید دقت کند که اطلاعات حساس و مهم خود را به درستی مدیریت کرده و از افشای آنها حتی به هکرهای کلاهسفید جلوگیری کنند.
نوبیتکس: باگبانتی یکی از راهحل هاست
امیرعلی اکبری معاون فنی نوبیتکس هم در این باره توضیح میدهد: هدف از برنامه باگ بانتی این است که وقتی شرکتها به حد قابل قبولی از امنیت در محصول و سیستم رسیده و تستهای داخلی را به طور مستمر انجام دادند؛ با اعلام باگ بانتی بتوانند مشکلات احتمالی که تا آن زمان پیدا نشده را بفهمند و در یک روش سالم و عادلانه بابت آن پرداخت داشته باشند.
او ادامه میدهد: باگبانتی حتما برای حل برخی مسائل و از همه مهمتر به عنوان یک روش سالم و شفاف ارتباطی با افراد متخصص حوزه امنیت موثر است اما تنها یکی از راهکارهای پیشگیری از بحران و به نوعی یک کمربند ایمنی است. او ادامه میدهد: باگبانتی باید شیوهای شفاف داشته باشد تا برای افراد متخصص جذابیت بیشتری ایجاد کرده و امکان تعامل را فراهم کند. در واقع باگ بانتیِ بد با اعداد و شروط ناعادلانه و غیر شفاف میتواند بیش از فایده برای کسب و کارها مضر باشد. مثلا زمانی که هیچ تست نفوذی روی محصولات انجام نشده باشد برنامه باگ بانتی بحرانزا هم هست.
مدیرزیرساخت کافه بازار: استانداردها باید رعایت شوند
کوثر بخشی، مدیر زیرساخت کافهبازار هم در این باره معتقد است هر سال میزان باگبانتی باید بر اساس شرایط روز تنظیم شود. او در این باره میگوید: کافهبازار در جهت رفع ایرادها و نقایص امنیتی، سال گذشته باگ بانتی را تا یک میلیارد تومان افزایش داد چون با تشدید حملههای هکری به کسب و کارهای داخلی و با توجه به اینکه «بازار» مرجع دانلود هزاران برنامه و مورد استفاده میلیونها کاربر است، باید باگبانتی را در حد استانداردهای بینالمللی بالا میبردیم.
او ادامه میدهد:باگبانتی باید در کنار سایر همسانسازیهای امنیتی صورت گیرد تا ضمن اینکه هکرها همواره انگیزه بررسی ایرادها و نقایص امنیتی شرکتهای داخلی را داشته باشند اما شرکت هم از لحاظ زیرساختی آماده باشد.
تپسی: شروع باگبانتی در زمان بحران راهگشا نیست
مدیر ارشد امنیت اطلاعات تپسی سعید کاظمی هم در این باره توضیح میدهد: اگر شرایط بحرانی را شرایطی در نظر بگیریم که احتمال حمله به شرکتها و زیرساختهای کشور زیاد است، اطمینان از نداشتن ضعف امنیتی در تمام لایهها یکی از موارد مهم است و باگبانتی نیز به عنوان یکی از روشها برای ارزیابی امنیتی و کشف ضعفهای امنیتی که از بیرون از شبکه قابل شناسایی هستند میتواند به این هدف کمک کند. البته باید در نظر داشت که اغلب اتفاقات امنیتی که اصطلاحا در زمانهای پرتنش سیاسی یا اجتماعی واقع میشوند، حاصل تلاش تیمهای هکری در ماهها و حتی سالهای قبل و دسترسیهای قبلی است که فقط در زمان بحران سیاسی آشکار شدهاند، بنابراین اقداماتی که باید در جهت شناسایی و مقابله با حوادث امنیتی اتخاذ شوند، باید اقداماتی بلندمدت و پیوسته باشند تا مؤثر واقع شوند. بنابراین باگبانتی نیز نه فقط در زمان بحران بلکه در زمانهای قبل از آن و بعد از آن هم باید به صورت جدی مدنظر قرار گیرند.
او ادامه میدهد: نکتهای که در حوزه باگبانتی وجود دارد این است که در طول زمان تعداد زیادی از افراد با مهارت با توجه به تفاوت بسیار در جوائز اعلام شده در پلتفرمهای خارجی با پلتفرمهای داخلی و همچنین اعتبار بیشتری که کار در آنها میتواند برایشان به ارمغان بیاورد فقط روی شرکتهای خارجی کار میکنند. بنابراین جذب چنین افرادی برای شرکتهای داخلی هم کار آسانی نیست. علاوه بر اینکه اگر سازمان فرآیندهای مناسب برای اطمینان از توسعه امن محصول، تست امنیتی داخلی، تست نفوذ و باگبانتی با جوایز قابلقبول را داشته باشد، احتمالا نیازی به افزایش جوایز در زمان بحران نخواهد داشت. اما اگر فرآیندهای اولیه را نداشته باشد، از نظر من شروع باگبانتی و یا افزایش آن در زمان بحران کمک خاصی برای حفاظت سازمان نخواهد کرد.