گفت‌وگو با احسان عدالت؛ کارشناس و مشاور امنیت سایبری معاونت علم و فناوری ریاست جمهوری

گفت‌وگو با احسان عدالت؛ کارشناس و مشاور امنیت سایبری معاونت علم و فناوری ریاست جمهوری

۱,۷۱۵

معاونت علمی و فناوری ریاست جمهوری و پلتفرم باگ‌بانتی راورو با هدف ارتقای امنیت سایبری، در فروردین‌ماه سال جاری تفاهم‌نامه‌ی همکاری‌ای امضا کردند. طبق این تفاهم‌نامه، پلتفرم باگ بانتی راورو در کمپین سرزمین امن دانش‌بنیان‌ها به ارائه‌ی خدمت باگ بانتی به کسب‌وکارهای دانش‌بنیان و خدمت تست نفوذ به سامانه‌‌های زیرمجموعه‌ی معاونت علمی و فناوری ریاست جمهوری به‌صورت تخفیف‌دار پرداخت.
در بلاگ‌پست‌های تخفیف ۵۰% باگ‌بانتی برای ۱۰۰ کسب‌وکار در کمپین سرزمین امن دانش‌بنیان‌ها
و گزارش تست نفوذ سامانه‌های زیرمجموعه‌ی معاونت علمی و فناوری ریاست جمهوری می‌توانید در این باره بیش‌تر بخوانید.

به بهانه‌ی این همکاری سراغ مصاحبه با احسان عدالت، کارشناس و مشاور امنیت سایبری معاونت علم و فناوری ریاست جمهوری، رفتیم تا چند کلامی درباره‌ی موضوعات پیرامون امنیت سایبری در کشور، با ایشان گفت‌وگو کنیم.

شما وضعیت حوزه‌ی امنیت سایبری در حال حاضر ایران و آینده را از نگاه خود، چطور می‌بینید؟

من در سال‌های تجربه‌ام در حوزه‌ی امنیت سایبری، با شرکت های مختلف خصوصی و دولتی سروکار داشته‌ام. به‌طور ملموسی متوجه تفاوت فرهنگ‌های سازمانی شده‌ام. در ایران مقوله‌ی امنیت سایبری نسبت به سال های قبل رشد قابل‌توجهی کرده است. آگاهی نسبت به اهمیت بحث امنیت سایبری روزبه‌روز درحال افزایش است. نقطه‌ای که درحال‌حاضر از نظر وضعیت امنیت سایبری در آن قرار داریم، نقطه‌ی مطلوبی نیست. اتفاق‌هایی که اخیرا اتفاق افتاده‌اند، نشان‌دهنده‌ی این وضعیت هستند. اتفاق‌هایی مانند؛ حمله به ابرآروان، حمله به پمپ بنزین‌ها و ... . همه‌ی این‌ها نشان می‌دهند که ما هنوز به نقطه مطلوبی در امنیت سایبری نرسیده‌ایم. لازم است که آگاهی در خصوص امنیت سایبری بیش‌تر شود؛ مخصوصا در لایه‌ی مدیریتی. چون در بسیاری از مواقع، نقص‌های موجود ریشه در عدم آگاهی مدیران دارند. مدیرانی که نمی‌دانند که این قضیه چقدر اهمیت دارد. هم در سطح دولتی، هم در سطح جامعه نیاز به ارتقای آگاهی و افزایش اقدام‌های لازم در زمینه‌ی امنیت سایبری وجود دارد.

به حملات مختلفی مثل حمله‌ی آروان و حمله به پمپ‌بنزین‌ها اشاره کردید. نکته‌ی جالبی که در حملات سایبری و مقوله‌ی امنیت سایبری به آن اشاره کردید، این بود که امنیت سایبری را محدود به یک ارگان یا سطح کسب و کار خاصی ندانستید. از امنیت سایبری شرکت های خصوصی و سازمان های دولتی حرف به میان آوردید.
بگذارید سراغ موضوعی مثل "مشارکت هکرها در ارتقای امنیت سایبری" برویم. قبل از سال ۱۳۹۷ با فضای بسته‌‌تری در حوزه‌ی امنیت روبه‌رو بودیم؛ طوری‌که هکر با مجرم یکی دانسته می‌شد. اما پس از گذشت زمان، این نگاه دست‌خوش تغییر شد و به این منتهی شده است که حالا به هکر به‌عنوان همکار نگاه می‌شود و به‌عنوان کسی که هک قانونی می‌کند، به رسمیت شناخته شده است. بهمن‌ماه ۱۳۹۷ که در تیتر خبری جالب‌توجهی، از سمت دبیر ستاد هوشمندسازی معاونت علمی بیان شده بود:"فعالیت هکرهای کلاه سفید در کشور قانونی می شود." این‌که از سمت یک نهاد دولتی از هکرهای کلاه‌سفید حمایت می شد، بسیار قابل‌توجه بود. این نیاز دیده شده بود هکرهای کلاه‌سفید برای فعالیت قانون‌مند خود، به حمایت قانونی و حقوقی نیاز دارند. برای ما که در این حوزه کار می‌کردیم، حقیقتا خبر جذابی بود. از اولین بارهایی بود که این تجربه را داشتیم. معاونت علمی و فناوری ریاست جمهوری، در این حوزه‌ی نوظهور، پیش‌قدم شده بود. دوست داریم درباره‌ی نگاه شما نسبت به فعالیت هکرهای کلاه‌سفید بیش‌تر بدانیم.

من حمایت از فعالیت هکرهای کلاه‌سفید را مربوط به زمان‌های قبل‌تری می‌بینم. اواخر سال ۱۳۹۶ و اوایل سال ۱۳۹۷ بود که قضیه‌ی باگ بانتی و هکر کلاه سفید در بازار امنیت ایران وارد شد. شروعش با پلتفرم باگ بانتی کلاه‌سفید رقم خورد. اکثر مخاطبین این پلتفرم باگ بانتی، ارگان های دولتی بودند. این ارگان‌ها با پیوستن به باگ بانتی و به رسمیت شناختن آن، پیش‌قدم شدند که هکرها هم بتوانند فعالیت قانونی داشته باشند. تا جایی که اطلاع دارم، حتی یکی از ارگان‌های مربوط به قوه‌ی قضایی هم برای تست و ارزیابی امنیتی پا به میدان باگ بانتی گذاشتند. هیچ اتفاق ناگواری هم در این پروسه روی نداد؛ آمدند، بررسی شدند، کلی هم آسیب‌پذیری پیدا شد که قبلا از آن‌ها خبر نداشتند و ممکن بود سبب سوءاستفاده شوند... ولی با مبلغ محدودی که پرداخت کردند، توانستند به امنیت بهتری برسند. وقتی که یک نهاد دولتی مثل قوه‌ی قضاییه و مجلس در یک پلتفرم باگ بانتی شرکت می‌کند و ارزیابی می‌شود، زمینه‌سازی فرهنگی هم می‌شود و آگاهی را در مدیران سطح بالا ایجاد می‌کند. این زنجیره ی اتفاقات از سال ۱۳۹۷ اتفاق افتاد، که شروع پلتفرم باگ بانتی کلاه سفید و استقبال قوه‌ی قضائیه بود. به خاطر دارم که در همان زمان، قوه‌ی قضاییه مصاحبه‌ای هم داشتند که خبرساز شد و برخی خبرگزاری‌های خارجی هم خبرش را کار کردند. بعدا قراردادهای بیش‌تری بسته شدند و پلتفرم‌های جدیدی مثل باگدشت و راورو وارد بازار امنیت شدند که هر کدام به سمتی رفتند و سعی کردند این مسیر را ادامه دهند و این راه را برای فعالیت هکرها هموارتر کنند. امروز نسبت به سال ۹۷ وضعیت و شرایط فعالیت هکرها خیلی بهتر شده است و هکرها می‌توانند از این راه درآمد قانونی کسب کنند. قبل‌تر فقط کسانی که توانایی تست نفوذ داشتند، می‌توانستند از طریق همکاری با شرکت‌ها کسب درآمد کنند. اما در باگ بانتی محدودیت مکانی برای همکاری برداشته شده است. فردی که ساکن شهری در استان های محروم است، هم می‌تواند به واسطه این پلتفرم‌ها از توانایی خود کسب درآمد داشته باشد.

بله، همان‌طور که اشاره کردید پلتفرم باگ بانتی کلاه سفید، با آغاز این مسیر حکم یک خط‌ شکن را داشت. بعد از آن هم پلتفرم ما و پلتفرم باگدشت به صورت خصوصی وارد این حوزه شدند. البته که هنوز همگی در اول این راه هستیم و تا نقطه‌ی مطلوب فاصله‌ی زیادی داریم. اسم قوه‌ی قضاییه را آوردید. از نظر قانونی هم در این حوزه خلاهایی وجود دارد؛ طبق بررسی‌های ما، در بحث جرائم سایبری چیزی به عنوان مجرم وجود ندارد و به این شکل نیست که فردی به‌ازای اسکن‌کردن به‌عنوان مجرم شناخته شود. ولی اشاره هم نشده که بلامانع است و تشویقی هم نشده. این خلا هم بوده و تا حالا هم به آن پرداخته نشده است. یک بحث این است که از نظر جرم و بزه به آن نگاه نکنیم و به‌هرحال این مفهوم، مفهوم جدیدی‌ است، مفهوم امنیت سایبری هم عمر درازی ندارد. ما در ساختار سازمانی و بودجه‌بندی سازمان‌های دولتی چنین عنوانی را نداریم. نه‌تنها باگ بانتی، بلکه به حوزه‌ی امنیت سایبری، نیز چندان پرداخته نشده‌است. برای این موارد چه پیشنهاداتی دارید؟ چه نکاتی را قابل‌توجه می‌دانید؟

من براساس تجربه‌هایی که دارم، پاسخ می‌دهم: فرهنگ امنیت سایبری و توجه به آن را از چند جهت می‌شود گسترش داد. به‌نظرم باید بحث شرکت‌های خصوصی را از شرکت‌های دولتی جدا کرد. شرکت های دولتی طبق اساس‌نامه‌ها و دستورالعمل‌ها عمل می‌کنند. در خیلی از اوقات، بودجه‌ای مختص به چنین فعالیت‌هایی هم برایشان درنظر گرفته نشده و از نظر مالی ممکن است به مشکل برخورند. فکر می‌کنم برای شرکت های دولتی باید یک حرکت از بالا به پایین اتفاق بی‌افتد؛ سیاست‌گذاری‌ای از بالا به پایین انجام شود که نهادهای دولتی، زیرمجموعه‌های دولتی، قوه‌ی قضاییه و مجلس، همه، ملزم شوند که سطح مطلوبی از امنیت را در سامانه‌های خود برقرار سازند و درهمین راستا از راهکارهای امنیتی کمک بگیرند.
اما در مورد شرکت های خصوصی، خیلی نمی‌شود مشابه روند شرکت‌های دولتی را پیشنهاد کرد؛ نمی‌شود از اجبار به‌عنوان ابزار ترویج فرهنگ امنیت سایبری استفاده کرد. اما خب ممکن است عدم ارتقای امنیت، عواقب دیگری برایشان داشته باشد؛ از نظر تجاری و ... . در چنین موقعیتی، دولت می‌تواند طور دیگری عمل کند. می‌تواند روی جنبه‌ی تشویقی و حمایتی متمرکز شود. که نمونه‌اش می‌شود فعالیتی که معاونت علمی و فناوری ریاست جمهوری با پلتفرم‌های باگ بانتی پیش برد. قراردادی با باگدشت و راورو بست و مبلغی حمایتی برای ارتقای امنیت سامانه‌ی کسب‌وکارها را به میان آورد و قرار بر این شد که این پلتفرم‌ها به ارائه‌ی تخفیف در خدمت امنیتی باگ بانتی به شرکت‌های دانش بنیان بپردازند. این اقدام در این راستا بود که شرکت‌ها با صرف هزینه‌ی کم‌تری بتوانند از آسیب پذیری‌ها و حفره‌های امنیتی خود آگاه شوند و امنیت سایبری سامانه‌ی خود را ارتقا دهند. می‌توان جور دیگری هم به ماجرا نگریست و اقدام دیگری هم کرد؛ " برگزار کردن یک‌سری جشنواره و فستیوال". به‌این ترتیب که در جشنواره به‌صورت فصلی، بین استارتاپ‌ها سازمان‌ها تست امنیتی انجام شوند و سازمان یا شرکتی که از سطح امنیت بالاتری برخوردار است، معرفی شود. از طریق رسانه‌ها نیز می‌توان پوشش خبری برای جشنواره درنظر گرفت تا برروی بُعد تبلیغی، اعتباری و فرهنگ‌سازی برای کسب‌وکارها و هکرها هم موثر باشد. برگزاری چنین جشنواره و فستیوالی، نیازمند آن است که از سمت دولت بودجه‌ای به آن اختصاص داده شود.

آن‌طور که ما از صحبت‌های شما متوجه شدیم، "خلا فرهنگ امنیت سایبری" را نقطه‌ای می‌دانید که دولت می‌تواند به آن ورود پیدا کند؛ در این زمینه ارائه‌ی طرح های تشویقی، صدور دستور‌العمل و بخش‌نامه برای سازمان‌های دولتی و تعیین رگولاتوری و ... را مناسب می دانید. با این هدف که کسب‌وکارها و دستگاه‌ها به سمت توجه ویژه به دارایی‌های دیجیتال خود و ارتقای امنیت سایبری سوق داده شوند. مطلبی که شاید بد نباشد به آن بپردازیم، ظرفیت محدود متخصصان امنیتی‌ در ایران است؛ به‌عنوان هکر، به‌عنوان باگ‌هانتر یا شکارچی آسیب پذیری و ... . شما به عنوان کسی که سابقه‌ی فعالیت در این حوزه را داشته‌اید، این ظرفیت را چطور می‌بینید؟ آیا توان پاسخگویی به نیازهای امنیتی سامانه‌های داخل کشور را داریم؟ یا این خدمت را باید از بیرون بیاوریم؟ یا یک برنامه‌ریزی بلندمدت برای پرورش نیروهای امنیتی داشته باشیم؟ همان‌طور که احتمالا در جریانید، یکی از فیلدهایی که تا سال ۲۰۲۵ به شدت بازار به آن نیاز پیدا می‌کند و تقاضا در آن زیاد می‌شود، حوزه‌ی Cyber Security است. امنیت سایبری صنعت نوپایی ست که در دنیا عمر زیادی ندارد و پیوسته در حال‌رشد است.

چون من خودم هم دانشجوی همین حوزه بوده‌ام و کارشناسی ارشد امنیت اطلاعات را در دانشگاه صنعتی امیرکبیر گذرانده‌ام، اگر بخواهیم نگاهمان را معطوف به دانشگاه‌ها کنیم، می‌بینیم که در دانشگاه‌ها افرادی حضور دارند که بسیار مستعد و دارای پتانسیل هستند. ولی متاسفانه بسیاری از این افراد در داخل کشور مشغول به کار نمی‌شوند و اکثرا مهاجرت می‌کنند. چندی پیش یکی از اساتید از دانشجویی تعریف می‌کرد که دانش‌آموخته‌ی رشته‌ی امنیت امیرکبیر بوده و در حال حاضر در شرکت گوگل مشغول به کار است. ببینید. این مورد گواه آن است که ببینیم کسی که در دانشگاه داخل کشور تربیت شده، آن‌قدر پتانسیل و آن‌قدر استعداد داشته که الان در یکی از بزرگ‌ترین شرکت‌های دنیا در حوزه‌ی فناوری کار می‌کند! از نظر استعدادی و از نظر تربیت نیرو می‌توانیم بگویم که نیروهای خوبی را داریم، ولی مشکل این است که نمی‌توانیم نگهشان داریم. در نتیجه‌اش این‌گونه مشاهده می‌شود که در این حوزه، با کمبود نیروی انسانی مواجه هستیم. البته به این قضیه هم باید نگاه بکنیم که ظرفیت دانشگاه‌ها در جذب رشته‌ی امنیت کم است. مثلا سالی که من وارد دانشگاه شدم، ظرفیت کلاس ما ۱۰ نفر بود، این تعداد در سال بعد کاهش یافت و ۶ نفر شد. درست است که این جمعیت کم، استعداد زیادی دارند و خوب تربیت می‌شوند، اما در مجموع تعداد کمی می‌شوند . البته این‌که پذیرش دانشجوها در دانشگاه‌ها افزایش یابد،از طرح‌ها و برنامه‌های درازمدت محسوب می‌شود. لازم است فکری هم درمورد نگه‌داشتن دانشجوها و متخصصین در کشور داشته باشیم. موضوع مهاجرت نیروهای متخصص و فرار مغزها، موضوعی جدی ست و واقعا وجود دارد؛ ما با کمبود نیروی انسانی مواجه هستیم.

در واقع شما می‌گویید که در یک سمت تعدادی سازمان را داریم که دغدغه‌ی امنیت دارند و نیاز به دانش و توانایی متخصصین امنیتی وجود دارد تا بتوانند از دارایی‌های دیجیتال خود محافظت کنند. در سمت دیگر، یک سری افراد متخصص داریم که دانش و پتانسیل بالایی دارند ولی در حال مهاجرتند. نکته‌ی دیگر نیروهایی اند که در سطح کشور توزیع شده‌اند، درحالی‌که اکثر شرکت‌های بزرگ حوزه امنیتی، در کلان‌شهرها هستند. درواقع بسیاری از نیروهای مستعد، دسترسی معمولی به کسب‌وکارها ندارند. در گزارش های جهانی هم معمولا اشاره‌ شده است که برخی از باگ هانترها یا شکارچیان آسیب پذیری در رده‌ی سنی نوجوان‌ها هستند؛ این دسته هم یک دسته از استعدادها هستند که سن و شرایط قانونی را ندارند و اصلا نمی‌توانند استفاده کنند. در این میان، نقش پلتفرم‌ها را چگونه می‌بینید؟

نه به‌عنوان نماینده‌ی معاونت، بلکه به نظر شخصی خودم این‌طور فکر می‌کنم، پلتفرم‌هایی که به صورت آنلاین کار می‌کنند، باعث می‌شوند به‌عنوان مثال دسترسی برای یک نوجوان از استان‌ها مختلف کشور هم امکان‌پذیر و فراهم باشد. آن نوجوان بتواند به صورت کلاه سفید، در هک فعالیت بپردازد و کسب درآمد کند. به طور کلی گسترش و رشد بیزینس‌های آنلاین، باعث می‌شود که امکانات به صورت توزیع‌شده در نقاط مختلف کشور فراهم باشند. در بحث امنیت و Cyber Security هم، در تلاش هستیم که با همکاری با پلتفرم‌ها، امنیت و فعالیت امنیتی را به‌صورت توزیع‌شده در همه‌ی استان‌های کشور داشته باشیم.

در پروژه‌ی ارائه‌ی تخفیف‌دار خدمت باگ بانتی به شرکت‌ها دانش‌بنیان و پروژه‌ی تست نفوذ برخی از سامانه‌های زیرمجموعه‌ی معاونت علم و فناوری ریاست جمهوری، شما به‌عنوان کارشناس و مشاور امنیت سایبری از سمت معاونت حضور داشتید. ما مطلعیم که چنین پروسه‌ای به طور موازی با پلتفرم باگ بانتی باگدشت هم جلو رفته است و این نشان‌گر این است که نگاه انحصاری در این موضوع وجود نداشته است. می‌خواستیم در مورد این فرآیند بیش‌تر برایمان بگویید.

ریشه‌ی آغاز این پروژه به یک‌سری جلساتی که داشتیم برمی‌گردد. در آن جلسات تعیین کردیم که مسیر طرح باید چطور باشد و در آخر به چه اهدافی باید رسید. هدف ما این بود که تعداد سازمان‌های بیش‌تری را به ارتقای امنیت سایبری ترغیب و درگیر باگ بانتی کنیم. حالا از راه‌های مختلف؛ تبلیغات، تشویق، تخفیف و ... . عدد خیلی بزرگی هم مدنظرمان نبود، به طور مثال؛ اگر عدد سازمان‌هایی که به تست امنیتی و باگ بانتی می‌پرداختند، ۱۰ بود، می‌خواستیم تا درنهایت، این عدد بشود ۲۰ سازمان. هم‌چنین قصد داشتیم که در به بلوغ‌رسیدن این پلتفرم‌های سازمانی و نیروی انسانی،همراهی‌شان کنیم. بخشی از این طرح را به این اختصاص دادیم که نیروهایی که در این پلتفرم‌ها مشغول کار هستند، ثبات و امنیت بیش‌تری را تجربه کنند. از آن‌جا که اکثر استارتاپ‌ها مشکل ناپایداربودن را دارند؛ ممکن است هر لحظه، استارتاپ از هم بپاشد و نیروهایش متفرق شوند و هر یک به سمتی بروند. ما قصدمان این بود که آرامش نسبی برای تمرکز این استارتاپ‌ها و نیروهای انسانی‌شان در مسیر رشد را فراهم آوریم. به بیان ساده‌تر و به‌عنوان مثال می‌خواستیم که افرادی که با هر کدام از این پلتفرم‌ها مشغول همکاری هستند، قرارداد پاره‌وقتشان تبدیل به تمام‌وقت شود، حقوق مشخص و بیمه داشته باشند، مطمئن شوند که کارشان پایدار است. از طرفی دیگر، مقصود دیگرمان این بود که در فراهم‌آوری بستری برای جذب و فعالیت هکرهای بیش‌تر، پلتفرم‌ها را همراهی کنیم، به‌عنوان مثال؛ با حمایت مالی، با افزایش مبلغ جایزه‌ها و ... . اگر بخواهم جمع‌بندی کنم، باید بگویم؛ به‌طور کلی قصد ما این بود که سازمان‌های بیش‌تری به امنیت سایبری اهمیت بدهند و با پلتفرم‌های باگ بانتی به‌عنوان کسب‌وکاری در این حوزه آشنا شوند. هکرهای بیش‌تری نیز با پلتفرم‌های باگ بانتی آشنا شوند و در حوزه‌ی هک قانون‌مند فعالیت و کسب درآمد کنند. هم‌چنین درصدد این بودیم که در رشد پلتفرم‌های باگ بانتی و رسیدنشان به نقطه‌ی پایدار همراهیشان کنیم.

حمایت معاونت علمی و فناوری ریاست جمهوری، از استارتاپ راورو اقدامی ارزش‌مند برای ما بود. می‌توان عنوان کنیم، چراغی که معاونت در مسیر امنیت روشن کرد دل‌گرم‌کننده بود... سوال‌های ما به پایان رسید، از شما ممنونیم که در این گفت‌وگو حضور داشتید.

بلاگ‌پست‌های مرتبط:

چرا کسب‌وکارهای ایرانی امنیت اطلاعات را جدی نمی‌گیرند؟

در باگ بانتی، می‌توانید برای هک‌نشدن از هکرها کمک بگیرید!

باگ بانتی از کجا آمده‌است؟ آمدنش بهر چه بود؟

تفاهم‌نامه‌ی راورو و تریگ آپ