فعالان حوزه امنیت سایبری: باگ‌بانتی کافی نیست

به گزارش پیوست، فعالان حوزه امنیت سایبری بر این باورند که هرگونه تحول اجتماعی می‌تواند به احتمال نفوذ و حملات سایبری دامن بزند، از همین روست که در دوره کرونا به‌نسبت حملات سایبری در ایران و جهان افزایش قابل توجهی می‌یابد و اینجاست که باگ‌بانتی می‌تواند یکی از راهکارهای کاهش این خطرات باشد.

بهناز آریا نایب‌رئیس نصر تهران و رئیس کمیسیون افتا دراین‌باره می‌گوید: «باگ‌بانتی در ایران و جهان نقشی کاربردی پیدا کرده است و یکی از راهکارهای مهم کشف آسیب‌پذیری حملات سایبری است. اما از آنجا که باگ‌بانتی در مدت‌زمانی کوتاه‌تر کسب‌وکارها را به نتیجه می‌رساند نقش آن در دوران بحران اهمیت بیشتری نیز پیدا می‌کند.»

آماده برای سناریوی وحشت

او توضیح می‌دهد: «خطر آسیب‌پذیری‌ها در زمان بحران بیشتر می‌شود و به‌طبع باید کارشناسان امنیت سایبری بیش از حالت عادی به موضوع حملات سایبری فکر کنند و از آنجا که باگ‌بانتی ماهیتی شبیه به مسابقه و پاداش دارد، راهکاری مهم و انگیزه‌بخش برای کشف آسیب پذیری‌های حیاتی قلمداد می‌شود. علاوه بر اینکه ایران به دلیل موقعیت ژئوپولیتیک، دائماً با تهدیدهای هدفمند روبه‌روست و تقریباً نیروهای حوزه امنیت سایبری همیشه در حال آماده‌باش هستند تا سناریوی وحشتناکی شکل نگیرد یا ریسک‌ها و خسارت آنها به حداقل برسد. سرعت کشف آسیب‌پذیری در باگ‌بانتی و تنوع و تعدد افراد متخصص درگیر آن، باگ‌بانتی را در شرایط بحران به روشی موثرتر از سایر روش‌های مشابه کشف آسیب‌پذیری تبدیل می‌کند.»

آریا ادامه می‌دهد: «در گذشته اعداد بانگ بانتی واقعاً جذاب و انگیزه‌بخش نبود اما خوشبختانه با درک شرکت‌ها و حاکمیت از موضوع امنیت، امیدواریم شرایط بهبود یابد و حتی حاکمیت نیز دراین‌باره اقدامات و حمایت‌های خوبی کرده و برنامه‌های مدون موثری دارد.» او درباره باگ‌بانتی در سازمان‌های دولتی می‌گوید: «در حال حاضر افتای ریاست‌جمهوری در زمینه اعداد باگ‌بانتی در پیاده‌سازی طرح‌های امن‌سازی و انطباق سطح بلوغ امنیتی و بهبود و پایش پارامترهای ارزیابی کارهای مهمی انجام داده است اما با توجه به حساسیت‌های زیرساخت این فرایند در حلقه تخصصی‌تر با شرکت‌های مرتبط باگ‌بانتی و امنیت سایبری به شکل اختصاصی انجام می‌شود.»

رویا دهبسته مدیرعامل باگدشت اما باگ‌بانتی را یکی از راهکارهای مشکلات امنیتی در زمان بحران می‌داند و دراین‌باره توضیح می‌دهد: «سازمان‌های هر کشور دارایی‌های اطلاعاتی آن کشور هستند و بر اساس اهمیت داده‌های هر سازمان به تعداد و سطح الزامات و استانداردهای امنیتی سازمان‌ها افزوده می‌شود. در شرایط خاص، بحران‌ها و تحولات اجتماعی طبیعی است که ریسک امنیتی دچار فراز و نشیب شود و این شرایط نیازمند واکنش‌های خاص‌تر و افزایش سطح مانورهای امنیتی است و یکی از زیرمجموعه‌های مهم مانورهای امنیتی بحث باگ‌بانتی است.»

او ادامه می‌دهد: «به شرطی باگ‌بانتی موفقیت‌آمیز خواهد بود که دیگر قابلیت‌های امنیتی یک سازمان هم صحیح کار کرده باشند، باگ‌بانتی راه کوتاه و درستی برای کشف باگ‌های امنیتی است اما به این معنی نیست که با داشتن باگ‌بانتی با مبالغ بالا، هیچ رخداد امنیتی رخ نمی‌دهد، باگ‌بانتی یک راهکار در زمره راهکارهای تهاجمی است در کنار راهکارهای دیگر و مدیران امنیت سازمان‌ها باید در زمان بحران همه مسائل امنیتی از پایه تا بالاترین سطح مانند مشاوره تخصصی، به‌روز بودن کارکنان و توانایی ایمن‌سازی را در کنار هم لحاظ کنند.»

محمد امین کریمان بنیان‌گذار راورو پلتفرم باگ‌بانتی نیز دراین‌باره می‌گوید: «باگ‌بانتی راهکاری کارآمد برای ارتقای امنیت در کوتاه‌مدت است، در باگ‌بانتی از خرد جمعی استفاده می‌شود و همیشه یکی از بهترین و سریع‌ترین راهکارها در کنار سایر راهکارهای امنیتی است. اما آنچه باید مد نظر قرار گیرد این است که امنیت یک زیرساخت است و کالا و خدمت نیست که بتوان آن را محدود به یک دوره دانست. امنیت یک زیرساخت است و با اضافه شدن هر کاربر، هر کارمند و هر بیت داده که به سازمان اضافه می‌شود باید به‌روزرسانی و تجهیز شود.»

امنیت زیرساخت است نه کالا و نه خدمت

او همچنین توضیح می‌دهد: «بدیهی است در زمان‌های بحران توجه به مقوله امنیت جدی‌تر می‌شود و باگ‌بانتی نیز چون راهکاری است که به‌شدت زودتر از سایر روش‌ها پاسخ می‌دهد باید از آن بهره برد. اما امنیت چیزی شبیه به فرایند سلامت است. یعنی مادامی که وجود دارد احساس نمی‌شود و هر زمان که با یک حادثه این مهم به خطر بیفتد متوجه اهمیت آن خواهیم شد و اینجاست که اگر سازمان‌ها هر روز خود را آماده کرده باشند، با مشکلات کمتری مواجه می‌شوند.»

کریمان در پایان می‌گوید: «در حال حاضر دولتی‌ها هم موضوع باگ‌بانتی را جدی‌تر گرفته‌اند و سازمان فناوری اطلاعات با مرکز ماهر اقداماتی دراین‌باره انجام داده‌اند که بتوانند در زمینه دریافت و پایش آسیب‌پذیری فعال‌تر عمل کنند. در نهایت اتفاقی که می‌تواند به امنیت داده کاربران و بیشتر جدی گرفته شدن بحث امنیت در سازمان‌ها کمک می‌کند، تعریف قوانین‌ به منظور حفظ داده‌های کاربران است تا سازمان‌ها قبل از بحران به فکر اقدامات بازدارنده بیفتند.»