«امنیت ۱۰۰٪ وجود ندارد»؛ مدیران چارگون توضیح میدهند چرا برای امنیت، به هکرهای کلاهسفید جایزه میدهند
در دنیای نرمافزارهای سازمانی که امنیت حرف اول را میزند، شرکت چارگون رویکرد متفاوتی را در پیش گرفته است. آنها معتقدند که استانداردهای رسمی بهتنهایی کافی نیستند و برای مقابله با تهدیدات واقعی، باید یک گام فراتر رفت. مدیران فنی و امنیت این شرکت توضیح میدهند که چرا «باگبانتی» (استفاده از هکرهای کلاهسفید برای کشف آسیبپذیری) دیگر یک شعار تبلیغاتی نیست، بلکه بخشی حیاتی از استراتژی توسعه آنهاست.
چرا استانداردهای امنیتی کافی نیستند
شهباز توکلی، مدیر فنی چارگون، تأکید میکند که امنیت باید به بخشی از «فرهنگ نرمافزاری» تبدیل شود. او توضیح میدهد که در ایران، نهادهایی مانند افتا و پدافند غیرعامل، استانداردهای امنیتی (مانند Protection Profile) را برای نرمافزارها تدوین میکنند و آزمایشگاههای تخصصی بر اساس همین چارچوبها، سیستمها را ارزیابی میکنند.
اما مشکل کجاست؟ توکلی میگوید:
«این الگوها نقشه راه امنیت هستند، اما نباید فراموش کنیم که محدود کردن امنیت به سناریوهای ازپیش تعریفشده کافی نیست. در واقعیت، حملات سایبری اغلب از مسیرهای پیشبینینشده و ترکیبی صورت میگیرند؛ روشهایی که حتی در پروفایلهای رسمی نیز پوشش داده نشدهاند.»
باگبانتی: یک سطح بالاتر از تعهد به امنیت
اینجاست که نقش باگبانتی مشخص میشود. مدیر فنی چارگون تأکید میکند: «باگبانتی جایگزین استانداردهای رسمی نیست، بلکه یک مکمل ضروری برای آنهاست.»
او میگوید: «ما از تجربه و ذهنیت افراد خارج از شرکت استفاده میکنیم؛ از کسانی که نگاه متفاوت دارند و میتوانند ترکیبهایی از ضعفهای کوچک را به یک رخنهی بزرگ تبدیل کنند. این همان دیدگاهی است که باعث میشود ما پیش از آنکه مهاجمان واقعی از نقاط ضعف سوءاستفاده کنند، آنها را شناسایی و اصلاح کنیم.»
امنیت یک فرآیند بیپایان است
توکلی یادآوری میکند که در امنیت نرمافزار، چیزی به نام «پایان» وجود ندارد. امنیت یک کار مداوم و پویا است.
او به مفهومی به نام Zero-Day (آسیبپذیری روز صفر) اشاره میکند: «مفاهیمی مانند Zero-Day دقیقاً به همین معناست: آسیبپذیریای که تازه کشف شده و هنوز اصلاحی (Patch) برایش ارائه نشده است. مثال سادهاش آسیبپذیری جدید مرورگر کروم بود که هفته گذشته منتشر شد.»
به گفته توکلی، این اتفاقات نشان میدهد امنیت مطلق وجود ندارد و راز بقا در «تداوم یادگیری و اصلاح» است.
یک سرمایهگذاری بلندمدت بر ایمنی
مهدی زرجوئی، مدیر امنیت چارگون، اضافه میکند که این رویکرد برای آنها یک سرمایهگذاری بلندمدت است. او به تجربه موفق سال گذشته در لیگ باگبانتی المپیک فناوری اشاره میکند که در آن، حدود ۷۰ متخصص امنیت (هکر کلاهسفید) سامانههای چارگون را آزمودند.
زرجوئی میگوید: «خروجی آن تجربه برای ما بسیار ارزشمند بود. چند آسیبپذیری واقعی کشف و اصلاح شد و به کاشفکنندگان نیز پاداشهای ارزشمندی تعلق گرفت.»
این تجربه موفق باعث شد نگاه چارگون از حالت «واکنشی» (دفاع پس از حمله) به حالت «پیشگیرانه» (جلوگیری پیش از حمله) تغییر کند و این رویکرد دائمی شود.
شفافیت و گسترش دایره دید
مدیر امنیت چارگون توضیح میدهد که اگرچه آنها تیمهای تست نفوذ داخلی دارند، اما هدف از باگبانتی، «گسترش دایرهی دید» با استفاده از تجربه متخصصان بیرون از سازمان است.
او تأکید میکند که این کار، نوعی سرمایهگذاری بلندمدت برای افزایش سطح ایمنی محصولات است. زرجوئی در مورد رویداد امسال (با همراهی شرکت باگدشت) میگوید:
«هیچ گزارشی بدون تحلیل در چارگون بایگانی نمیشود. رویکرد ما مبتنی بر شفافیت و پاسخگویی است و هدف نهایی، افزایش اعتماد سازمانهای مشتری به امنیت محصولات ماست.»
امنیت با همکاری انسانی پایدار میشود
در پایان، مدیران چارگون همنظرند که امنیت فقط شامل حفاظت فنی نیست، بلکه یک فرهنگ سازمانی، آموزش مداوم و تعامل سازنده با جامعهی امنیتی است. آنها باور دارند که امنیت، نه با مرزهای فنی، بلکه با «همکاری انسانی» پایدار میشود و مشارکت در این رویدیدادها بخشی از مسئولیت حرفهای آنها در برابر کاربران و جامعه فناوری کشور است.
