فرق هکرهای کلاه‌سفید با کلاه‌سیاه چیست؟

به گزارش آرمان ملی آنلاین به نقل از  اطلاعات؛  مواجهه بنگاه‌های اقتصادی دولتی و خصوصی و همچنین صاحبان کسب‌وکارها در ایران با هک اطلاعات نشان می‌دهد که این موضوع هنوز آنطور که باید و شاید جدی گرفته نشده. خلاءهای قانونی مانعی بزرگ سر راه هکرهای کلاه‌سفیدی است که قصدشان کشف آسیب‌پذیری در سیستم‌ها و کمک به رفع آن تا قبل از سر رسیدن هکرهای کلاه‌سیاه و سودجو است. در مقابل، بسیاری از کاربران خدمات دیجیتال به این باور رسیده‌اند که هک‌های سایبری امروزه چیزی فراتر از درز اطلاعات غیر ضروری است؛ هک‌های بزرگی که در سال‌های گذشته در سیستم‌های بانکی کشور اختلال ایجاد کرده، افشای اطلاعات کاربران در فضای مجازی و حتی خرابکاری‌های بزرگی که در صنایع مختلف رخ داده همه گواه این است که باید به امنیت داده در کسب‌وکارها و خدمات توجه ویژه‌ای شود؛ اتفاقی که در دنیا با سرمایه‌گذاری داوطلبانه شرکت‌ها و بنگاه‌های اقتصادی و البته دولت‌ها همراه است و امنیت داده را به الزامی قانونی تبدیل کرده است.

سرمایه‌گذاری در امنیت سایبری

۱۰ سال پیش شاید تصورش سخت بود که هر شهروندی، یک شعبه از بانک را در موبایل خود داشته باشد، فروشگاهی بزرگ را که همه نیازهای ریز و درشت را بتوان از آن تامین کرد؛ از خرید طلا و سرمایه‌گذاری گرفته تا خرید مایحتاج روزمره. «محمدامین کریمان» کارشناس امنیت سایبری در گفتگو با «اطلاعات‌آنلاین» اهمیت امنیت داده در فضای مجازی را اینگونه شرح می‌دهد: «بنگاه‌های اقتصادی و شرکت‌های ارائه دهنده خدمات در شکل سنتی خود، برای حفظ امنیت خود و مشتریانشان اقدامات مختلفی انجام می‌دهند. مثلا هنگام جابجایی پول در بانک‌ها، مامورانی مسلح مراقب اوضاع هستند یا مشتریان از قدیم می‌دانستند که برای جابجایی پول نقد باید آن را در کیسه‌ای غیر شفاف قرار دهند که جلب توجه نکند. این شکل از امنیت امروزه با عجین شدن زندگی ما به خدمات دیجیتال، تغییر کرده و در قالب امنیت سایبری معرفی می‌شود. اما چقدر از شرکت‌ها و کسب‌وکارهایی که می‌شناسید حاضرند در این زمینه سرمایه‌گذاری کنند؟»

هک؛ سودجویی از دارایی دیگران

پای حمله‌های سایبری در سال‌های گذشته بیش از پیش به میدان کسب‌وکارهای اینترنتی باز شده و از پلتفرم‌های کوچک تا سوپراپلیکیشن‌ها و حتی بانک‌های دولتی نیز درگیر رخدادهای سایبری بوده‌اند. با این حال هنوز هم آنطور که انتظار می‌رود، فرهنگ مراقبت از داده و امنیت سایبری برای بسیاری از شرکت‌ها و فعالان اقتصاد دیجیتال جا نیفتاده است؛ نشان به این نشان که امروز تنها ۳ شرکت باگ‌بانتی در ایران دارای مجوز رسمی فعالیت هستند که یکی از آن‌ها عملا فعالیت چندانی ندارد. کریمان، مدیرعامل یکی از این شرکت‌ها می‌گوید :«هرجا در تاریخ چیزی با ماهیت دارایی وجود داشته، افرادی به دنبال سودجویی از آن بودند. امروزه نیز فقط زمین این بازی تغییر کرده و دارایی‌ها، داشته‌ها و تامین نیازهای ما در بستر دنیای دیجیتال قرار گرفته است و همچنان افرادی هستند که برای کسب منافع شخصی، به دنبال تصاحب این دارایی‌ها از طریق روش‌های غیر قانونی هستند. در دنیای دیجیتال به این افراد هکرهای کلاه‌سیاه می‌گویند.»

ایجاد اختلال در سیستم‌ها، باج‌گیری از طریق تهدید به افشای اطلاعات و اقدام به خرابکاری با اهداف سیاسی، اجتماعی از جمله انگیزه‌های هکرهای کلاه‌سیاه برای انتخاب قربانیان در فضای مجازی است؛ دستبردی که به دلیل ضعف در دیوارهای امنیتی سیستم‌ها رخ می‌دهد. امروزه قوانین بین‌المللی سخت‌گیرانه‌ای درباره هک شدن کسب‌وکارها وضع شده است به طوری که اگر کسب‌وکاری هک شود، طبق قانون باید جریمه سنگینی برای عدم حفاظت از داده‌ها به دولت یا کاربرها بپردازد؛ موضوعی که در ایران اغلب با بیانیه و تکذیبیه رفع و رجوع می‌شود.

قوانین از سرعت زندگی دیجیتال عقب ماندند

فعالیت هکرهای کلاه‌سفید درست در نقطه مقابل هکرهای کلاه‌سیاه، و برای کشف نقاط آسیب‌پذیر سیستم‌ها تعریف می‌شود. علیرضا دهقانی، راهبر استراتژی یکی از پلتفرم‌های باگ بانتی به اطلاعات‌آنلاین می‌گوید:«ما در قوانینمان جایی برای فعالیت قانونی هکرها ندیده‌ایم. برای همین جلب نظر هکرهای کلاه‌سفید و متقاعد کردن آن‌ها به همکاری برای پیدا کردن نقاط ضعف سیستم‌ها و برطرف کردن آن، کار بسیار سختی است. هکرها در ایران سال‌هاست که با درددسرهای زیادی روبرو هستند و یکی از آن‌ها به رسمیت شناخته نشدن فعالیت قانونی آن‌ها بوده. ما به عنوان شرکت فعال در حوزه باگ‌بانتی تلاش زیادی برای تضمین امنیت این هکرهای کلاه‌سفید کردیم. به طوری که امروز بیش از ۵ هزار و ۷۰۰ متخصص امنیت در پلتفرم با ما همکاری می‌کنند. ما تا کنون توانسته‌ایم بیش از ۱۵۰ کسب‌وکار بزرگ را به استفاده از باگ‌بانتی برای شناسایی آسیب‌پذیری‌ها متقاعد کنیم و در سال گذشته ۸ میلیارد تومان برای هکرها درآمدزایی کنیم.»

شکارچی‌های که امروز رویدادهای باگ‌بانتی این شرکت را پیش می‌برند گروه سنی بین ۱۳ تا ۶۳ سال دارند و در نقاط مختلف کشور زندگی می‌کنند از تبریز تا اهواز، از مازندران تا سیستان و بلوچستان. او می‌گوید :«ما شکارچی‌هایی داریم که با شرکت‌های معتبر جهانی همکاری می‌کنند و با کشف آسیب‌پذیری در پلتفرم‌ها و وب‌سایت‌های بزرگ جهانی، توانسته‌اند با متخصصان جهانی رقابت کنند و درآمدهای زیادی به دست بیاورند. ولی برای استفاده از تمام این ظرفیت در ایران هنوز راه درازی در پیش داریم. متقاعد کردن شرکت‌ها برای اهمیت دادن به سرفصل امنیت، کار ساده‌ای نیست. معمولا با گزاره‌های ما امن هستیم، یا ما چنین مشکلی تا به حال نداشتیم مواجه می‌شویم که متاسفانه این موضوع در بین شرکت‌ها و نهادهای دولتی بیشتر از بخش خصوصی به چشم می‌خورد.»

ایجاد بازار و تقویت اقتصاد امنیت سیابری برای فعالیت این هکرها، یکی از قدم‌های موثری است که می‌توان در زمینه ارتقا امنیت لایه‌های دفاع سایبری در کشور برداشت. به گفته دهقانی، وقتی یک متخصص به دنبال کشف آسیب‌پذیری و گزارش‌دهی آن می‌رود اما زیر ساختی برای به رسمیت شناخته شدن توانایی او  وجود ندارد و حقوق او نادیده گرفته شود، ناخواسته جامعه دارد آن شخص را به سمت خاکستری شدن سوق می‌دهد و ممکن است تمایل به فعالیت‌های غیرقانونی در این افراد شکل بگیرد. در حالی که با ایجاد بازار سالم برای ارائه این تخصص، می‌توان به یک معادله دو سر برد رسید.

هنوز اول راهیم

فعالان حوزه باگ‌بانتی و هکرهای کلاه‌سفید امروز مطالبه‌های جدی‌ای در زمینه توسعه‌ی بازار امنیت سایبری، اصلاح قوانین و به رسمیت شناخته شدن فعالیت خود دارند؛ اقداماتی از سوی دولت که می‌تواند مسیر را برای فعالیت حرفه‌ای و تخصصی آن‌ها هموار کند و از طرف دیگر راهگشای مطالبات کاربران فضای مجازی برای حفظ امنیت داده باشد. کریمان، مدیرعامل شرکت باگ‌بانتی راورو می‌گوید :«ریل‌گذاری در این مسیر و ایجاد زیرساخت‌های لازم از سمت دولت با به رسمیت شناختن ردیف اعتبار برای سازمان‌های دولتی، برداشته شدن نگاه امنیتی-اطلاعاتی از روی متخصصان این حوزه، اصلاح ساختار بیمه تامین اجتماعی و همچنین پیش قدم شدن نهادهای متولی امنیت در کشور مثل، سازمان پدافندغیرعامل، مرکز راهبردی افتا، مرکز ماهر، کاشف، بورس ایران و … در استفاده از خدمات باگ‌بانتی از جمله اقدام‌هایی است که می‌تواند راهگشا باشد. ما معتقدیم که امنیت سایبری یک کالای لوکس و یا یک خدمت نیست، یک زیرساخت با اهمیت است و لازم است که صاحب هر کسب‌وکار، به ازای هر بیت داده، هر کاربر جدید، هر خط کد و هر کارمندی که به مجموعه اضافه می‌شود، برای حفظ زیرساخت امنیت سایبری کسب‌و کار خود کاری انجام دهد. ما هنوز در ابتدای راهیم.»