قبلترها، چه سرنوشتی نصیب گزارشهای آسیب پذیری میشد؟
پلتفرم باگ بانتی راورو بستری ست که تلاش میکند تا ارائهی خدمات امنیت سایبری برای خدماتدهنده و خدماتگیرنده را تسهیل کند. و در این راستا میکوشد تا در جهت کاهش چالشهای ارائهی خدمات و افزایش وضوح و شفافیت قدم بردارد. به بیان دیگر تمرکز اصلی راورو برروی این است که دانش و تجربهی متخصصان امنیت سایبری به نیاز سازمانها مرتبط شود. در این بلاگپست، کمی از تجربههایی که بهعنوان یک پلتفرم باگ بانتی، با آن مواجه شدهایم را با شما درمیان گذاشتهایم.
آنچه در این بلاگپست خواهید خواند:
مجمعالجزایر گروههای هکری
بیاعتمادی بین هکرها و سازمانها
تسهیل ارتباط و چالشهای آن
نقش پلتفرمی راورو بین دو گروه مخاطب
مجمعالجزایر گروههای هکری
این مسیر از روز اول هموار نبوده است. در این مسیر ناهموار، چالشهای فرهنگی و زیرساختی بسیاری در این زمینه وجود داشته است. در سالهای گذشته، متخصصان امنیت و هکرها به صورت جزیرهای فعالیت میکردند. آنها دورهم گروههایی را تشکیل میدادند و در این گروههای چندنفره فعالیتهای مرتبط به کشف آسیب پذیری انجام میدادند. این جریزهایبودن گروهها و عدم وجود یک شبکهی بزرگتر، یکی از دلایلی بود که سازمان شناخت کمتری از پتانسیلهای جمع هکرها داشته باشد و گروههای هکری را نیز به رسمیت نشناسند. این موضوع، خود باعث ایجاد یک فضای غیرشفاف و دامنزدن به رقابتهای ناسالم میشد. درحالیکه با درکنارهمقرارگرفتن و تشکیل یک شبکهی بزرگتر از متخصصین امنیت، میشد به مجمعالجزایر یا قارهای فکر کرد که سخت میشود آن را نادیده گرفت یا به رسمیت نشناخت.
پیشنهاد خواندنی: قوانین و فرهنگ باگ بانتی در ایران
بیاعتمادی بین هکرها و سازمانها
بهعلاوه به دلیل برخوردهای غلطی که برخی سازمانها با متخصصان داشتند، فضای عدماعتماد بین متخصصان و سازمانها شکل گرفته بود و ارتباط بین این دو گروه بهخوبی پیش نمیرفت. که این خود، کار را سختتر میکرد. به این معنی که در سالهای اول، وقتی یک متخصص میخواست یک گزارش آسیب پذیری را برای سازمانی ارسال کند، تصور قالب این بود که سازمان قرار است حق او را بخورد. شفافیتی در اینباره هم وجود نداشت که این حق چهقدر معتبر است و چه عددی دارد. جای خالی یک بستر ارتباطی و زبان مشترک بین هکر و سازمان به چشم میخورد.
نسترن سلیمان، راهبر دپارتمان شکارچیان راورو خاطرهای در این باره را اینطور نقل میکند:
"یکبار یک شکارچی خیلی زیاد از رد شدن دو گزارشش ناراحت بود و خیلی به من اعتراض کرد. در آخر هم گفت اصلا نمیخواهم اعتراضم را پیگیری کنید. اما از آنجایی که ما تلاش میکنیم، کار درست را انجام بدهیم، من هر دو گزارش را پیگیری کردم و مشخص شد که اشتباهی رخ داده و هردو گزارش صحیح بودهاند و بهشان بانتی تعلق میگرفته. شکارچی بهم پیام داد و گفت:" باورم نمیشد، وقتی که گفتید پیگیری میکنم، واقعا پیگیری کنید!"
پیشنهاد خواندنی: رفتار کسبوکارها نسبت به دریافت گزارش آسیب پذیری
تسهیل ارتباط و چالشهای آن
راورو در چنین فضایی شروع به کار کرد. قدم اولش ارتباط گرفتن با متخصصان امنیت و تلاش برای ایجاد فضایی قابلاعتماد برای آنها بود. بخشی از سختی و همچنین شیرینی این کار اینجا بود که در میان متخصصین امنیت و هکرها، تنوع زیادی به چشم میخورد؛ هر متخصص با تجربیات زیستهی متفاوت، پیشزمینهی قبلی، انتظارات و تصورات مخصوص به خود بود. افرادی که تعدد قابلتوجهی را در روش ارتباط داشتند و با توجه به تجربههای گذشتهشان حس ناامنی و بیاعتمادی را تجربه میکردند. لازم بود که بیشترین انعطافپذیری برای ارتباط درنظر گرفته شود. این تفاوت زبان و فرهنگ ارتباطی در سمت مخاطب دیگر پلتفرم، یعنی سازمانها، نیز به چشم میخورد. سازمانها نیز به نوبهی خود، شکل های متفاوتی داشتند و نیاز بود این تنوع موردتوجه باشد. هر سازمان ادبیات سازمانی، روال و رویهی خاص خودش را داشت. البته در بسیاری از موارد سازمانها هم برای ارتباط با پلتفرم سازوکار مشخصی نداشتند. یک نیاز پررنگ این بود که از سطوح بالای مدیریت در سازمان، اهمیت و ضرورت نیاز به امنیت سایبری به رسمیت شناخته شود. در فضای سازمانها نیز، به دلایل فرهنگی بیاعتمادیها و دیدگاههای غلطی نسبت به هکرها وجود داشت. لازم بود برای مرتبطشدن با سازمانها، بتوانیم نگرانیهای آنها را بشنویم، به رسمیت بشناسیم و هم ضمانتهایی که مورد نیازشان هست را ارائه دهیم. و همزمان توجه آنها را به امنیت سایبری بیش از پیش جلب کنیم. قدم اصلی اولیه، ایجاد بستر و زبانی مشترک بین طرفین این ماجرا بود.
پیشنهاد خواندنی: گفتنیهایی راجع به نقش پلتفرمی راورو بین شکارچی آسیب پذیری و میدان (گپوگفتی با کاظم فلاحی؛ همبنیانگذار راورو)
نقش پلتفرمی راورو بین دو گروه مخاطب
در سالهای اول حتی ارسال پیام مستقیمی بین متخصص امنیت و سازمان چالشساز بود؛ در بسیاری از اوقات، نوع ادبیاتی که سازمان در تعامل به کار میبرد، و یا ادبیاتی که متخصص به کار میبرد، باعث تشدید اختلاف و ایجاد فضای ناامنی میشد. یکی از نقشهای راورو تسهیل این تعاملات بود. در آن روزها موارد بسیاری را داشتیم که بابت به نتیجهرسیدن یک گزارش، همزمان از سمت سازمان و متخصص امنیت، موردسرزنش و انتقاد قرار میگرفتیم. یکی از کارهای ما این بود که تلخی یک سمت به سمت دیگر منتقل نشود. گاهی سعی میکردیم مترجم و معتدلکنندهی گفتهی یک سمت برای سمت دیگر باشیم. تلاشمان این بود که نیاز هردوطرف را بشنویم، بشناسیم و با طرف دیگر در اینباره وارد گفتوگو شویم. چشماندازمان این بود که دو طرف بتوانند دور یک میز بنشیند، درخواستهایشان را بهطور فنی بیان کنند و به صورت شفاف به توافقی برسند. شکلدادن به این فضا بسیار پرچالش و نیازمند صرف زمان و انرژی زیادی بود.
پیشنهاد خواندنی: گپوگفتی با نسترن سلیمان؛ راهبر دپارتمان شکارچیان راورو
سخن آخر:
می توانیم بیان کنیم که اکثر تلاشها و چالشهای راورو در سالهای اول فعالیت، در راستای بهبود این فضا بوده است. اینکه چه کار کنیم تا بتوانیم پلی ارتباط دهنده باشیم و در جهت رفع نیاز دو گروه، از طریق تسهیل فرآیند ارتباط، قدمی برداریم؛ تا متخصصان بتواند دانششان را بهتر منتقل کنند و سازمان ها نیز بتواند فرآیندهایشان را در راستای ارتقای امنیت را بهتر تسهیل کنند. به عنوان مثال لازم بود کاری کنیم که متخصص بتواند انتظاراتش را با واقعیت تطبیق دهد و سازمان بتواند میزان تهدید آسیب پذیریهای دریافتی را منصفانهتر شناسایی کند.
از این رو پشت بسیاری از فیچرها، رویدادها، سیاستها، محتواها و برنامه های راورو، اهدافی برای بهبود این فضا نهفته است. فکر می کنیم این مسیر برای پلتفرم راورو، مسیری بیانتها باشد و به تناسب نیازهای هر زمان لازم است در این جهت اقدام هایی متنوع داشته باشیم.
بلاگپستهای مرتبط:
آرزوهای جمعی برای حوزهی امنیت سایبری
در مسیر شکلگیری باگ بانتی به راورو چه گذشته است؟