ایرانسل، اولین و بزرگترین اپراتور دیجیتال در ایران است. این کسب‌وکار این‌طور عنوان می‌کند که رویای آن را دارد تا در ارائه دنیایی از خدمات دیجیتالی جدید و جسورانه به مخاطبان پیشرو باشد. در همین راستا منابع خود را به روشنایی بخشیدن هر چه بیشتر به افق زندگی مشتریان اختصاص داده‌. ارزش‌آفرینی و خلق تجربه‌ای متفاوت برای مشتریان، بهبود مشتری‌مداری بخش‌های خدمات‌رسان به مشتریان و فعالیت بر اساس اصول نوآوری در همه امور بخشی از دغدغه‌های ایرانسل است تا بتواند همیشه بهترین خدمات را به مخاطبان خود ارائه دهد. 

ایرانسل از ۳ سال پیش، به پلتفرم باگ بانتی راورو پیوسته و برنامه‌ها و اهداف خود را در آن تعریف کرده است. اهداف این میدان تاکنون بیش‌از ۵۲۰۰ بار در میان میدان‌های راورو موردبازدید شکارچیان آسیب پذیری مختلف قرار گرفته است. تابه‌حال ۲۲۲ گزارش پذیری برروی آن ثبت شده که از میان آن‌ها، ۱۳۷ گزارش به تایید رسیده‌اند. میدان ایرانسل تاکنون بیش از ۱۷۵ میلیون تومان بانتی، بابت گزارش‌های آسیب پذیری خود به شکارچیان آسیب پذیری پرداخت کرده است.

در این بلاگ‌پست با علی جلال‌نژاد، مدیر تضمین امنیت ایرانسل، به گفت‌وشنود نشسته‌ایم.   

_ چه شد که باگ بانتی را به‌عنوان یک راهکار ارتقای امنیت انتخاب کردید؟ مشخص است که سازمان‌هایی در ابعاد و گستردگی ایرانسل به سایر راهکارها و به تیم‌های امنیتی متخصص و باتجربه‌ای دسترسی دارند.

هر قدر هم شرکت ما بزرگ باشد، امکان ندارد که ما این جامعه‌ی بزرگتر متخصصان امنیت و شکارچیان آسیب پذیری که ذهنیت کنجکاوی دارند را تماما استخدام کنیم و از نگاهشان بهره بگیریم. هر قدر هم تیم امنیت ما بزرگ باشد، بالاخره افرادی هستند که دیدگاه و خلاقیت و سناریوهایی در ذهن دارند که ما به آن دسترسی نداشته باشیم. به همین ترتیب ما تمایل داریم در سطح کشور و یا فراتر اگر کسی آسیب پذیری‌ای از وبسایت ما پیدا می‌کند، بتواند گزارش کند و ما هم در قبالش پاداشی که عنوان‌شده را پرداخت کنیم. هر چند که می‌دانیم این افراد زحمت زیادی می‌کشند و شاید مبلغ بانتی پرداختی، مبلغ درخوری نباشد. اما ما قصدمان این است که قدردانی‌ای داشته باشیم. ما تصمیم داریم که همواره در این مسیر حضور داشته باشیم تا بتوانیم از این خرد جمعی در جهت امن‌تر شدن بهره بگیریم. واقعا زمان‌هایی هست که می‌بینیم فردی بسیار جوان می‌تواند باگی از سامانه‌ها پیدا کند، خب ما هم استقبال می‌کنیم. 

_ به‌عنوان فردی که در حوزه‌ی امنیت سایبری تجربه‌ی فعالیت داشته‌اید، از دیدگاه شما چه کسب‌وکارهایی به امنیت سایبری نیاز الزامی دارند؟

به نظر من همه‌ی حوزه‌های آی‌تی لازم است برای امنیت سایبری‌شان کاری کنند. و لازم است این اقدام‌ها را به داشتن تست نفوذ و تاییدیه‌ی آزمایشگاه‌ها محدود نکنند. در موضوع حضور کسب‌وکارها، فکر می‌کنم به همان سرعتی که یک کسب‌وکار در حال توسعه و رشد است، به همان سرعت هم امکان آسیب پذیری‌اش افزایش می‌یابد. البته قابل‌درک است که برای همه‌ی مجموعه‌ها، امکان‌پذیر نیست که تیم‌های مفصل امینتی تشکیل دهند. پس می‌توانند از خدمات پلتفرمی مانند باگ بانتی استفاده کنند. من حتی از شرکت های کوچک هم من دعوت می‌کنم که از باگ بانتی استفاده کنند، چون مستقیما نتیجه‌اش را خودشان می‌بینند. 

_ هنگامی که یک گزارش آسیب پذیری را دریافت می‌کنید، چه معیارهایی در ارزش‌مندی آن برای شما اولویت و اهمیت دارد؟

در هر صورت هر فردی که در تیم‌ها مسئولیت دارد، علایق شخصی‌ای هم دارد. من هم به برخی آسیب پذیری‌ها، مانند SQL Injection، یا RCE علاقه‌ی بیشتری دارم. اما از این موارد که بگذریم، هر آسیب پذیری‌ای که بتواند کسب‌وکار ما را تحت‌تاثیر قرار دهد، اهمیت دارد. اگر کسی بتواند حتی یک شارژ رایگان هم داشته باشد یا به کوچک‌ترین داده های کاربران ما دسترسی پیدا کند، برایمان بسیار مهم خواهد بود. در زمینه‌ی نگارش گزارش هم، تاحالا دریافت فیلم همراه گزارش بیش از همه برایمان کمک‌کننده بوده است؛ فیلمی واضح که روند کشف آسیب پذیری و دسترسی را به ما نشان میدهد برای ما خیلی تاثیرگذار است. 

ممنون که وقت خود را به گفت‌وگو با ما اختصاص دادید. به امید آینده‌‌ای امن و سرشار از ارتباط‌های امن برای ایرانسل. ;)

بلاگ‌پست‌های مرتبط:

فلایتیو و باگ‌بانتی 

نقاط آسیب پذیر رایج در سامانه‌ی کسب‌وکارها 

امنیت سایبری شبیه به چیست؟