ضرورت بهبود زيرساخت‌ ايمني سازمان‌ها براي شرايط بحران

امنيت شبكه مجموعه‌اي از تدابير فني و فيزيكي براي حفاظت از سيستم‌ها، شبكه‌ها و داده‌ها در يك شبكه كامپيوتري است. هدف اصلي امنيت شبكه، جلوگيري از دسترسي غيرمجاز، تغيير داده‌ها، حفاظت از حريم خصوصي و سلامتي سيستم‌ها است. دو دهه اخير، بسياري از فعاليت‌هاي روزمره به ابزارهاي ديجيتالي گره خورده‌اند. فعالان حوزه امنيت سايبري باگ بانتي را، راهكاري مهم اما ناكافي در زمينه كشف باگ‌هاي امنيتي در زمان‌هاي بحران مي‌دانند، آنها معتقدند آنچه به باگ‌بانتي هويت و ارزش بيشتري مي‌بخشد آماده بودن تمام زيرساخت‌هاي امنيتي سازمان در كنار استفاده از خردجمعي در باگ‌بانتي است.

جهان امروزي به سرعت در حال تغيير است و با نگاهي اجمالي به اطراف‌مان و با مرور اخبار، انبوهي از نوآوري‌ها، ابزارها و فرآيندهاي جديد مشاهده مي‌شوند كه همگي سعي دارند روش‌هاي پيشين اجراي امور را تغيير دهند، آنها را در هم ادغام كنند، نيازهاي جديدي مطرح كنند و تا جايي كه امكان دارد اين امور را با محوريت خواست‌هاي كاربران و مشتريان پيش ببرند. بي‌آنكه مشخص باشد چه زماني اين تكاپو به پايان خواهد رسيد، كسب‌وكارها به صورت مستمر به دنبال سهمي از اين بازار هستند و تمام سعي خود را به كار مي‌برند تا توجه كاربران را به خود معطوف كنند. همگي در تلاشند تا در اين رشد سريع زيست‌بوم ديجيتالي سهيم باشند و از آن براي كسب درآمد و ايجاد ارزش استفاده كنند. كسب‌وكارهاي سنتي هم به‌ناچار به دنياي ديجيتالي مهاجرت كرده‌اند و چند گام عقب‌تر از پيشروان اين حوزه، چشم به فرصت‌هاي بقا و رشد خود دارند. همچون تمام پديده‌هاي طبيعي، سوء‌استفاده نكردن از مولفه‌هاي جديد در زيست‌بوم جديد و جلوگيري از تخريب و به سرقت رفتن آنها- در يك كلام امنيت آنها- موضوعي مهم و حياتي به شمار مي‌رود. نسخه‌هاي امنيتي از پيش تعريف‌شده هزينه‌هاي گزافي براي سازمان‌ها به بار مي‌آورند و همچنين دستاوردهاي اندكي به سازمان اضافه مي‌كنند؛ اين وظيفه مديران ارشد امنيت است كه بهترين و به‌صرفه‌ترين راه‌حل‌ها را با الگوبرداري از به‌روش‌ها و استانداردها، براي سازمان‌ها تعريف و نتايج ملموس آنها را در سازمان به ديگران معرفي كنند چه كسي/كساني مالكيت مولفه‌هاي ديجيتالي ايجادشده را در اختيار دارند؟ چه كساني و در چه زمان و مكاني، اجازه دسترسي و استفاده از مولفه‌هاي مزبور را دارند؟ چالش‌هايي هستند كه صاحبان كسب‌وكارها، حاكميت و كاربران را به خود مشغول كرده است. فعالان حوزه امنيت سايبري بر اين باورند هرگونه تحول اجتماعي مي‌تواند به احتمال نفوذ و حملات سايبري دامن زند، از همين روست كه در دوره كرونا به نسبت حملات سايبري در ايران و جهان افزايش قابل توجهي مي‌يابد و اينجاست كه باگ بانتي مي‌تواند يكي از راهكارهاي كاهش اين خطرات باشد. بهناز آريا نايب‌رييس نصر تهران و رييس كميسيون افتا در اين باره مي‌گويد: باگ‌بانتي در ايران و جهان نقشي كاربردي پيدا كرده است و يكي از راهكارهاي مهم كشف آسيب‌پذيري حملات سايبري است. اما از آنجا كه باگ‌بانتي در مدت زماني كوتاه‌تر كسب و كارها را به نتيجه مي‌رساند نقش آن در دوران بحران اهميت بيشتري نيز پيدا مي‌كند.

آماده براي سناريوي وحشت

او در اين باره توضيح مي‌دهد: خطر آسيب‌پذيري‌ها در زمان بحران بيشتر مي‌شود و به تبع بايد كارشناسان امنيت سايبري بيش از حالت عادي به موضوع حملات سايبري فكر كنند و از آنجا كه باگ بانتي ماهيتي شبيه به مسابقه و پاداش دارد، راهكاري مهم و انگيزه بخش براي كشف آسيب‌پذيري‌هاي حياتي قلمداد مي‌شود. علاوه بر اينكه ايران به دليل موقعيت ژئوپلينيك، دايما با تهديدهاي هدفمند روبه‌روست و تقريبا نيروهاي حوزه امنيت سايبري هميشه در حال آماده‌باش هستند تا سناريوي وحشتناكي شكل نگيرد يا ريسك‌ها و خسارت آنها به حداقل برسد. سرعت كشف آسيب‌پذيري در باگ‌بانتي و تنوع و تعدد افراد متخصص در گير آن، باگ بانتي را در شرايط بحران به روشي موثرتر از ساير روش‌هاي مشابه كشف آسيب‌پذيري تبديل مي‌كند. او ادامه مي‌دهد: در گذشته اعداد بانگ بانتي واقعا جذاب و انگيزه بخش نبود اما خوشبختانه با درك شركت‌ها و حاكميت از موضوع امنيت، اميدواريم شرايط بهبود يابد و حتي حاكميت نيز در اين باره اقدامات و حمايت‌هاي خوبي كرده و برنامه‌هاي مدون موثري دارد. آريا درباره باگ‌بانتي در سازمان‌هاي دولتي مي‌گويد: در حال حاضر افتاي رياست‌جمهوري در زمينه اعداد باگ‌بانتي در پياده‌سازي طرح‌هاي امن‌سازي و انطباق سطح بلوغ امنيتي و بهبود و پايش پارامترهاي ارزيابي كارهاي مهمي انجام داده است اما با توجه به حساسيت‌هاي زيرساخت اين فرآيند در حلقه تخصصي‌تر با شركت‌هاي مرتبط باگ‌بانتي و امنيت سايبري به شكل اختصاصي انجام مي‌شود.

رويا دهبسته، مديرعامل باگدشت اما باگ‌بانتي را يكي از راهكارهاي مشكلات امنيتي در زمان بحران مي‌داند او در اين باره به پيوست توضيح مي‌دهد: سازمان‌هاي هر كشور دارايي‌هاي اطلاعاتي آن كشور هستند و بر اساس اهميت داده‌هاي هر سازمان به تعداد و سطح الزامات و استانداردهاي امنيتي سازمان‌ها افزوده مي‌شود. در شرايط خاص، بحران‌ها و تحولات اجتماعي طبيعي است كه ريسك امنيتي دچار فراز و نشيب شود و اين شرايط نيازمند واكنش‌هاي خاص‌تر و افزايش سطح مانورهاي امنيتي است و يكي از زيرمجموعه‌هاي مهم مانورهاي امنيتي بحث باگ‌بانتي است. او ادامه مي‌دهد: به شرطي باگ‌بانتي موفقيت آميز خواهد بود كه ديگر قابليت‌هاي امنيتي يك سازمان هم صحيح كار كرده باشند، باگ بانتي راه كوتاه و درستي براي كشف باگ‌هاي امنيتي است اما به اين معني نيست كه با داشتن باگ بانتي با مبالغ بالا، هيچ رخداد امنيتي رخ نمي‌دهد، باگ بانتي يك راهكار در زمره راهكارهاي تهاجمي است در كنار راهكارهاي ديگر و مديران امنيت سازمان‌ها بايد در زمان بحران همه مسائل امنيتي از پايه تا بالاترين سطح مانند مشاوره تخصصي، به‌روز بودن كاركنان و توانايي ايمن‌سازي را در كنار هم لحاظ كنند. محمد امين كريمان نيز در اين باره مي‌گويد: باگ بانتي راهكاري كارآمد براي ارتقاي امنيت در كوتاه‌مدت است، در باگ بانتي از خرد جمعي استفاده مي‌شود و هميشه يكي از بهترين و سريع‌ترين راهكارها در كنار ساير راهكارهاي امنيتي است. اما آنچه بايد به آن توجه شود اين موضوع است كه امنيت يك زيرساخت است و كالا و خدمت نيست كه بتوان آن را محدود به يك دوره دانست. امنيت يك زيرساخت است و با اضافه شدن هر كاربر، هر كارمند و هر بيت داده كه به سازمان اضافه مي‌شود بايد به‌روزرساني و تجهيز شود.

امنيت زيرساخت است نه كالا و نه خدمت

او ادامه مي‌دهد: بديهي است كه در زمان‌هاي بحران توجه به مقوله امنيت جدي‌تر مي‌شود و باگ‌بانتي نيز به عنوان راهكاري كه به‌شدت زودتر از ساير روش‌ها پاسخ مي‌دهد بايد از آن بهره برد. اما امنيت چيزي شبيه به فرآيند سلامتي است. يعني مادامي كه وجود دارد احساس نمي‌شود و هر زمان كه با يك حادثه اين مهم به خطر بيفتد متوجه اهميت آن خواهيم شد و اينجاست كه اگر سازمان‌ها هر روز خود را آماده كرده باشند، با مشكلات كمتري مواجه مي‌شوند. او توضيح مي‌دهد: در حال حاضر دولتي‌ها هم موضوع باگ‌بانتي را جدي‌تر گرفته‌اند و سازمان فناوري اطلاعات با مركز ماهر اقداماتي در اين باره انجام داده‌اند كه بتوانند در زمينه دريافت و پايش آسيب‌پذيري فعال‌تر عمل كنند. در نهايت اتفاقي كه مي‌تواند به امنيت داده كاربران و بيشتر جدي گرفته شدن بحث امنيت در سازمان‌ها كمك كند، تعريف قوانين‌ در جهت حفظ داده‌هاي كاربران است تا سازمان‌ها قبل از بحران به فكر اقدامات بازدارنده بيفتند.