حوزه باگ بانتی و رگولاتوری آن در کشور چه وضعیتی دارند؟

نویسنده: مینا حاجی انتشار: 1 دی سال 1399 ساعت 11:09 به‌روز‌رسانی: 1 دی سال 1399 ساعت 11:42 0

برنامه باگ بانتی یا کشف و اعلام آسیب‌پذیری برای دریافت جایزه، سازوکاری رایج در دنیا است که در این سازوکار، متخصصان امنیت شبکه با هدف ایمن‌سازی سامانه‌ها، سعی می‌کنند آسیب‌های موجود در سامانه‌ها را به سازمان یا شرکت مسئول اطلاع دهند و در قبال آن جایزه دریافت کنند. برنامه‌های باگ بانتی به دلیل گزارش باگ‌ها، به‌خصوص باگ‌هایی که باعث سواستفاده و آسیب‌پذیری می‌شوند، موردتوجه بسیاری از وب‌سایت‌ها و توسعه‌دهندگان نرم‌افزار قرار گرفته است. این برنامه‌ها به توسعه‌دهندگان اجازه می‌دهند که باگ‌ها را قبل از اینکه عموم مردم از آن‌ها مطلع شوند کشف کنند و مانع از حوادثی چون سواستفاده گسترده شوند. این حوزه در ایران نسبت به دنیا دیر شکل گرفت و اکنون در سال‌های اولیه خود است. با این حال اکنون چند مجموعه در کشور در این حوزه فعالیت می‌کنند و اخیرا نیز مجوز باگ بانتی تحت عنوان «مسابقات کشف نقص امنیتی» جزو مجوزهای حوزه امنیت در لیست مجوز‌های افتا تعریف شده است و به شرکت‌های دارای شرایط تخصیص پیدا می‌کند. در این گزارش با امیر ناظمی رئیس سازمان فناوری اطلاعات ایران، رویا دهبسته مدیرعامل باگدشت و مرضیه لکزایی راهبر کسب‌وکار راورو درباره اهمیت شرکت‌های فعال در حوزه باگ بانتی و وضعیتی که این حوزه در کشور دارد، گفت‌وگو کردیم.

فعالیت هکرهای کلاه سفید قانونی می‌شود

امیر ناظمی رئیس سازمان فناوری اطلاعات ایران درباره اهمیت وجود شرکت‌های فعال در حوزه کشف نقص امنیتی در کشور صحبت کرد و توضیح داد: «اهمیت مجموعه‌های فعال در حوزه کشف نقص امنیتی از چند جنبه هست؛ اولین جنبه از لحاظ مشارکت اجتماعی است که ایجاد می‌کنند تا هکرهای کلاه سفید بتوانند به مجموعه‌های مختلف کمک کنند. جنبه دوم برای شرکت‌هایی است که باگ ‌بانتی خود را اعلام می‌کنند و می‌توانند از یک خدمت عمومی استفاده کنند؛ خدمتی که اغلب اوقات ازطریق ابزارهای تکنولوژیک قابل ارائه نیستند و در این نقطه است که مجموعه‌ای از خلاقیت افراد و هکرها به علاوه ابزارهای فناورانه کمک می‌کند تا آسیب‌پذیری‌ها شناسایی شوند.

جنبه سوم نیز این است که به هر حال هکرها بخشی از اکوسیستم حوزه فناوری اطلاعات و ارتباطات هستند و قاعدتا وقتی هکری، کلاه سفید هست باید برای آن منابع درآمدی نیز در نظر گرفته شود تا این منابع درآمدی به او کمک کند تا فعالیت خود را توسعه دهد و فرصت تعمیق کارهای خود را نیز پیدا کند و هم اینکه از آسیب‌هایی که می‌تواند پیش راه آن فرد قرار گیرد نیز کاسته شود؛ این جنبه سوم یک نوع جنبه توسعه اکوسیستم نیز در آن در نظر گرفته می‌شود. مورد آخر اینکه ما باید این ادراک را بدست آوریم که امنیت دسته‌جمعی به وجود می‌آید و هیچ وقت در هیچ اکوسیستمی چه کلان و چه خرد تنها عده‌ی محدودی نمی‌توانند امنیت کل آن اکوسیستم را بوجود آورند. امنیت توسط کل و توسط انواع بازیگران به وجود می‌آید و اگر مکانیزم‌هایی برای جذب کسانی که در این حیطه می‌خواهند فعالیت کنند وجود نداشته باشد، قاعدتا با یک ناامنی گسترده روبه‌رو خواهیم شد.»

ناظمی صحبت‌هایش را در این باره این‌گونه ادامه داد: «در حوزه اکوسیستم بانکی و پرداخت نیز این موضوع بسیار اهمیت دارد. باتوجه‌به اینکه ما قوانینی داریم که هر نوع تلاش برای هک را ممنوع می‌شمارد و همین موضوع باعث می‌شود حتی اگر فردی با نیت خیرخواهانه و یا از سر کنجکاوی آسیب‌پذیری را شناسایی می‌کند، مکانیزمی برای اعلام آن به مراجع وجود نداشته باشد که همین امر باعث می‌شود آن فرد به نوع دیگری از رفتار وسوسه شود یا اینکه آن فرد دیگر آسیب‌پذیری شناسایی‌شده را اعلام نکند که در مجموع وضعیت امنیت سایبری هست که قربانی می‌شود.»

طبق گفته‌های رئیس سازمان فناوری اطلاعات ایران، فعالیت در حوزه کشف نقص امنیتی در کشور تاکنون قانونی نبوده و کاری که اکنون انجام شده این است که بر اساس توافقاتی که با نهادهای امنیتی انجام شده، این فعالیت‌ها به‌صورت مشروط و برای کسانی که صاحب صلاحیت شناخته می‌شوند، آزاد و قانونی می‌شود. ناظمی توضیح داد: «شرکت‌هایی که مجوز خود را در این حوزه دریافت می‌کنند، می‌توانند به‌صورت دائم و یا دوره‌ای مسابقات باگ‌ بانتی برگزار کنند. به‌مرورزمان نیز قاعدتا بسیاری از شرکت‌های بزرگ ازجمله بانک‌ها و نهادهای مالی این موضوع را موردتوجه قرار می‌دهند و بخشی از بودجه امنیت خود را برای جایزه هکرهای کلاه سفیدی که هکی را انجام می‌دهند و به آنها اطلاع می‌دهند، اختصاص خواهند داد.»

مفهوم نوپای باگ بانتی در کشور

رویا دهبسته مدیرعامل باگدشت یکی از شرکت‌های فعال در حوزه باگ بانتی در کشور، در ابتدای صحبت‌های خود تعریفی از باگ بانتی ارائه کرد. طبق گفته‌های او، باگ بانتی در فارسی به عبارات متفاوتی مانند کشف باگ، انعام باگ یا مسابقه کشف نقص امنیتی شناخته می‌شود. ایده اصلی در توسعه باگ بانتی استفاده از پتانسیل و خلاقیت تعداد بیشتری از متخصصین امنیتی و همکاری میان آنها است.

«در خدمات سنتی صنعت امنیت اطلاعات محوریت بر تفکیک‌سازی و ایجاد مرز بوده که تمرکز بر این دیدگاه نتوانست موفقیت بالایی را کسب کند. متخصصین امنیتی پلتفرم‌های باگ بانتی دسترسی‌هایی معادل مشتریان عمومی سازمان را دارند و به‌صورت مستمر به ارزیابی امنیتی سامانه‌ها می‌پردازند، درصورتی‌که هریک از متخصصین بتواند بر اساس قوانین سازمان، مشکل امنیتی را شناسایی کند، آن را در پلتفرم گزارش کرده و پس از صحت سنجی و ارزش‌گذاری فنی توسط پلتفرم، موارد سریعا به سازمان اعلام می‌شود. به دلیل تغییرات مستمر در سامانه‌های تجاری، سازمان‌ها می‌توانند به‌صورت مستمر از ارزیابی امنیتی و دریافت مشکلات امنیتی واقعی خود اطمینان حاصل کنند و از سوی دیگر به‌ازای هر گزارش امنیتی تایید شده و صحت سنجی شده هزینه کنند که منجر به بهبود نرخ بازگشت سرمایه سازمان در حوزه امنیت می‌شود. حداقل مسئولیت‌های پلتفرم‌های باگ بانتی، صحت سنجی فنی، حقوقی، کمک به سازمان برای ایجاد قوانین هر بانتی و تعامل با متخصص و سازمان به‌منظور رفع سریع مشکلات امنیتی است.»

مدیرعامل باگدشت با بیان اینکه مفهوم باگ بانتی سال‌های اولیه خود را در کشور سپری می‌کند، گفت: «همچون دیگر کسب‌وکارهای خلاقیت محور که پس از اجرایی‌سازی آنها و توسعه فرهنگ‌سازی نسبت به آن خدمت، قوانین مرتبط با آن کسب‌وکار نیز به‌مرور توسعه یافت، در باگ بانتی نیز ما با همین روال روبرو شدیم. با توجه به وقوع نشت اطلاعات‌های متفاوت سازمان‌های بزرگ دولتی یا خصوصی، لزوم اجرایی‌سازی این خدمت در کشور و استفاده از پتانسیل متخصصین متعهد غیر قابل چشم‌پوشی است. مجموعه باگدشت تمرکز خود را از ابتدای فعالیت خود روی فرهنگ‌سازی و آشنایی سازمان‌ها با این مفهوم با همکاری متخصصین امنیتی قرار داد که نتایج مثبتی نیز دریافت شد.»

طبق صحبت‌های دهبسته، در تعاملات باگدشت طی دو سال اخیر با متخصصین و سازمان‌ها، به دلیل نبود این خدمت در کشور پیش از این، بسیاری ابهامات و چالش‌های اجرای قانونی باگ بانتی به دلیل به‌روز نبودن قوانین جرایم سایبری مطرح می‌شد که باگدشت با شرح نحوه ارائه خدمت، مزیت‌های دریافتی توسط سازمان و متخصص و همچنین شخصی‌سازی بر اساس شرایط هر سازمان سعی در مرتفع کردن آنها کرد که فرایندی زمان‌بر است. او در این باره ادامه داد: «به‌موازات، جلسات متعدد همفکری باگدشت با رگولاتوری‌ها برگزار شد و به‌مرورزمان حمایت‌های مراکز مذکور در خصوص نیاز به توسعه چارچوب جهت اجرای صحیح خدمت باگ بانتی مانند پلیس فتا، سازمان فناوری اطلاعات و مرکز افتای ریاست‌جمهوری ایجاد شد.»

به گفته دهبسته، مجوز تهیه شده در خصوص کشف نقص امنیتی با همفکری پلتفرم‌های موجود باگ بانتی و حمایت مرکز افتای ریاست جمهوری و سازمان فناوری اطلاعات تدوین شده است که مسلما به‌مرور زمان نیازمند به‌روزرسانی خواهد بود.

«امیدوار هستیم که ابلاغ این مجوز به سازمان‌ها بتواند در اجرایی‌سازی خدمات باگ بانتی در کشور به‌صورت قانونی و نظارت شده کمک کند. شرایطی در مجوز مذکور برای اجرای باگ بانتی در نظر گرفته شده است که سازمان‌ها بنا بر شرایط کسب‌وکاری خود با رعایت آنها می‌توانند مناسب‌ترین نتیجه را در خدمات امنیتی دریافت کنند. لازم به ذکر است اجرای پروژه‌های باگ بانتی به معنای عدم اجرای تست نفوذ یا پروژه‌های ایمن‌سازی دوره‌ای نیست و باگ بانتی یک کانال جدید و سریع برای بهبود ورودی‌های سازمان در زمینه شناسایی و یادگیری از مشکلات امنیتی است. در مجموع حمایت رگولاتوری و سازمان‌ها در جهت اجرای باگ بانتی با توجه به قوانین سازمان، می‌تواند اعطای مجوز را موثر کند.»

مدیرعامل باگدشت همچنین به مجموعه‌هایی که در کشور در حوزه باگ بانتی فعالیت می‌کنند، پرداخت و درباره فعالیت باگدشت توضیحاتی ارائه کرد: «باگدشت از سال ۱۳۹۷ فعالیت خود را در زمینه باگ بانتی آغاز کرد و اکنون با دریافت مجوزهای قانونی به ارائه خدمات ایمن‌سازی سامانه‌ها علاوه بر باگ بانتی می‌پردازد. مسئله اصلی در باگ بانتی شناسایی باگ یا مشکل امنیتی نیست بلکه یادگیری از نحوه اجرای باگ و ایمن‌سازی سازمان در اولویت قرار دارد، از این رو خدمات ایمن‌سازی علاوه بر باگ بانتی در سبد خدمات امنیتی باگدشت قرار گرفت. علاوه بر باگدشت دو پلتفرم دیگر به نام‌های راورو و کلاه سفید در زمینه باگ بانتی فعالیت می‌کنند که هم‌افزایی صورت گرفته میان این سه شرکت باگ بانتی منجر به توسعه فرهنگ‌سازی در خصوص اجرای فعالیت‌ها، پروژه‌ها و توسعه بازار در این زمینه شده است.»

دهبسته با بیان اینکه متخصصین امنیت بر اساس نوع نگرش خود به متخصصین متعهد و مهاجم تقسیم‌بندی می‌شوند، توضیح داد: «همان‌طور که مطلع هستید روزانه اخبار زیادی در خصوص تبادل اطلاعات محرمانه سازمان‌ها یا دولت‌ها در دارک وب شنیده می‌شود؛ بنابراین مدیران سازمان‌ها باید بدانند که فعالیت افراد کلاه سیاه و یا مهاجمین متوقف نخواهد شد و حتی بزرگ‌ترین شرکت‌های امنیتی نیز مورد حمله هکرها قرار گرفته‌اند. از سوی دیگر متخصصین متعهد با همان سطح دانش فنی در کشور وجود دارند تا بتوانند سریعا مشکلات و آسیب‌پذیری‌های امنیتی را به سازمان اعلام کنند و سطح ایمنی سازمان را افزایش دهند. با توسعه پلتفرم های باگ بانتی در کشور و فعالیت قانونی آنها، این متخصصین امنیتی با رعایت قوانین، می‌توانند بدون ریسک و درگیر شدن در حواشی غیر فنی به ارائه گزارش بپردازند و کانال درآمدی جدیدی را نیز برای خود ایجاد کنند.»

تجاری‌سازی صنعت امنیت در کشور بسیار نوپا است

مدیرعامل باگدشت درباره رگولاتوری این حوزه نیز صحبت کرد. به عقیده او، ایجاد قوانین حمایتی مسلما منجر خواهد شد تا کسب‌وکارهای ارائه‌دهنده آن خدمت بتوانند طبق چارچوب تعیین شده رشد سریع‌تری را تجربه کنند و سردرگمی‌ها و تصمیم‌گیری‌های چندگانه را کاهش خواهد شد. از سوی دیگر سازمان‌ها و مشتریان دریافت‌کننده این خدمات نیز اعتماد بالاتری را کسب خواهند بود و با تایید مراکز رگولاتوری، سیاستگذاری های سریع‌تری در سطح مدیران ارشد کسب‌وکارها در خصوص انتخاب و استفاده از خدمات صورت می‌گیرد. «تجاری‌سازی صنعت امنیت در کشور بسیار نوپا است و نیازمند حمایت‌های قانونی و بازنگری در قوانین سنتی را دارد.»

دهبسته در پاسخ به این سوال که مجموعه‌های فعال در حوزه باگ بانتی چقدر می‌توانند در مسائلی مانند امنیت درگاه‌های بانکی و پرداخت کمک کنند، این‌طور توضیح داد: «به دلیل رشد صنعت بانکداری و ارائه خدمات متنوع به تعداد بالایی از افراد کشور به‌صورت عمومی، ارزیابی امنیتی مستمر از طریق پلتفرم های باگ بانتی می‌تواند سازمان را در این زمینه به‌روز نگه داشته و نسبت به آخرین وضعیت سناریوهای امنیتی ایمن گرداند. به دلیل رشد و تنوع بسیار در آسیب‌پذیری‌های سیستم‌ها و روش‌های متفاوت مورداستفاده توسط مهاجمین، هیچگاه تامین امنیت تضمین شده نیست و استفاده از خدمات امنیتی همچون باگ بانتی راهکارهای کمک‌کننده در کاهش میزان نشت اطلاعات و مقابله با تخریب برند سازمان‌ها است.

مجموعه باگدشت طی دو سال اخیر همکاری‌های متنوعی را با مجموعه بانکی مالی صورت داده است و استقبال خوبی در این خصوص دریافت شده است. از آن جمله می‌توان به ارزیابی امنیتی به روش باگ بانتی خصوصی در چندین سازمان بانکی، درگاه پرداخت و شرکت‌های توسعه‌دهنده خدمات مالی با نظارت مراکز رگولاتوری اشاره کرد که گزارش‌های امنیتی مختلفی برای ایمن‌سازی به این سازمان‌ها ارائه شد. همچنین اجرای ایمن‌سازی سامانه‌ها و آموزش ایمن‌سازی در سطوح مختلف نیز از جمله همکاری‌های باگدشت با مجموعه‌های بانکی طی دو سال اخیر بوده است که با تصویب قانون جدید در این زمینه منجر به توسعه همکاری‌ها خواهد شد.»

وضعیت باگ بانتی در دنیا

او همچنین به شکل‌گیری این حوزه در دنیا نیز پرداخت و توضیح داد که سال ۲۰۱۰ آغاز تمرکز روی باگ بانتی به‌صورت فعال است که توسط شرکت گوگل اجرایی شد. BugCrowd پلتفرم واسط باگ بانتی در امریکا، در سال ۲۰۱۱ برای ارائه خدمات واسط فنی و حقوقی به سازمان‌ها و متخصصین امنیتی شروع به فعالیت کرد و پلتفرم Synack به‌صورت رسمی در سال ۲۰۱۳ این نقش را در نهادهای نظامی امریکا برعهده گرفت. پلتفرم مطرح دیگری به نام HackerOne در سال ۲۰۱۵ عملیاتی شد و مانند BugCrowd در نقش واسط فنی و حقوقی میان دو سوی پلتفرم فعالیت می‌کند که سه مجموعه فوق در حال حاضر به‌صورت بین‌المللی و گسترده با حوزه وسیعی از سازمان‌های فناوری محور و حتی امنیتی در دنیا به‌صورت باگ بانتی فعالیت می‌کنند.

طبق گفته‌های دهبسته، این صنعت در دنیا در فهرست ۱۰ کسب‌وکار خلاقیت محور فناوری اطلاعات معرفی شده است که این دیدگاه در کشور هنوز جاری نشده است. چالش‌های قانون‌گذاری در روند اجرایی‌سازی پلتفرم‌های مذکور نیز وجود داشته است و باتوجه‌به مزیت‌های ایجاد شده برای سازمان‌ها و مشتریان، به بازنگری قوانین سایبری خود پرداخته و قانون اعلام آسیب‌پذیری یا VDP (Vulnerability Disclosure Program) را مصوب کرده‌اند. این قانون که الزامات و ضوابط حقوقی و فنی ارزیابی و شناسایی مشکلات امنیتی را برای متخصصین امنیتی و همچنین سازمان‌ها مشخص می‌کند، توسط وزارت دادگستری امریکا به‌تمامی سازمان‌ها اعلام و در حال اجرا است و هرگونه تخلف دراین‌خصوص قابل‌پیگیری است.

در ایران پذیرش موضوع باگ بانتی سخت است

مرضیه لکزایی راهبر کسب‌وکار راورو نیز صحبت‌های خود را با تعریفی از باگ بانتی شروع کرد. طبق گفته‌های او، باگ ‌بانتی از دو کلمه باگ و بانتی تشکیل شده است. باگ به معنای حفره‌ی آسیب‌پذیری و بانتی به معنای پاداش است؛ معادل فارسی باگ بانتی پرداخت به‌ازایی گزارش آسیب‌پذیری تعریف می‌شود.

لکزایی در این باره توضیح داد: «شرکت‌هایی که در این حوزه فعالیت می‌کنند درواقع پلتفرم واسطی بین متخصصین امنیت و کسب‌وکارها، سازمان‌های دولتی و خصوصی هستند که با استفاده از توان متخصصان امنیت به کسب‌وکار‌ها کمک می‌کنند تا حفره‌های آسیب‌پذیری خود را شناسایی و برطرف کنند. کاری که پلتفرم‌های باگ بانتی انجام می‌دهند درواقع این هست که از متخصصین امنیت دعوت می‌کند تا با توجه به قوانین و میزان پاداشی که آن کسب‌وکار بر اساس نیازها و دغدغه‌های امنیتی خود تعریف کرده است، به ارزیابی آن بپردازند. متخصصین امنیت یا شکارچیان آسیب‌پذیری نیز چنانچه باگ یا حفره امنیتی پیدا کنند، از طریق پلتفرم باگ بانتی به کسب‌وکار مربوطه گزارش می‌دهند. درنتیجه پلتفرم‌های باگ بانتی به‌عنوان واسطی عمل می‌کنند تا علاوه بر داوری و ارزش گذاری صحیح باگ‌ها به کسب‌وکارها در خصوص برطرف کردن آسیب‌پذیری‌ها کمک کند.

متخصصین امنیت با بهره‌گیری از ظرفیت پلتفرم‌های باگ بانتی می‌توانند علاوه بر کسب‌ درآمد از تخصص خود در راه ارتقا امنیت مجموعه‌ها استفاده کنند (که به این افراد هکرهای کلاه سفید نیز گفته می‌شود) همچنین کسب‌وکارها می‌توانند از دانش این متخصصین استفاده کنند و امکان ارزیابی امنیتی و پایش مداوم تعداد زیادی از متخصصان امنیتی را بر روی محصولات خود فراهم کنند و مواردی که گزارش می‌شود را رفع کنند و از رخدادها و حوادث مخرب سایبری جلوگیری کنند.»

راهبر کسب‌وکار راورو با بیان اینکه موضوع باگ بانتی در ایران پدیده جدیدی محسوب می‌شود، گفت: «در جهان از سال ۲۰۱۲ پلتفرم‌های باگ بانتی شکل گرفتند. مجموعه‌هایی مانند هکروان و باگ‌کراود را به‌عنوان موفق‌ترین نمونه‌های خارجی می‌توان اشاره کرد که با بیش از نیم میلیون متخصص امنیت به امن‌تر شدن اینترنت کمک می‌کنند. اما در ایران پذیرش موضوع باگ بانتی سخت شکل گرفت. یکی از دلایل این موضوع این بود که هکر را مجرم می‌دیدند و بحث همکاری با هکرها را درست نمی‌دانستند.»

مجوز باعث می‌شود پلتفرم‌های باگ بانتی با سازوکار مشخص‌تری فعالیت کنند

لکزایی در خصوص رگولاتوری حوزه باگ بانتی در کشور نیز صحبت کرد. به گفته او، تا چند ماه پیش سازوکار این حوزه مشخص نبود و حتی بسیاری از ارگان‌ها و سازمان‌های دولتی از وجود این سرویس اطلاعی نداشتند. «از اسفندماه ۱۳۹۷ پیگیر ایجاد شفافیت در ارائه مجوز‌های لازم و مشخص کردن چهارچوب قانونی درباره فعالیت پلتفرم‌های باگ بانتی بودیم و به تمامی سازمان‌های متولی امنیت فضای سایبری کشور مراجعه کردیم. خوشبختانه امکانی فراهم شد تا پلتفرم‌های باگ‌بانتی فعال در تدوین سند این حوزه نظارت و پیشنهادات خود را ارائه کنند. در جلسات تدوین این سند ما تلاش کردیم تا با تعریف درست چهارچوب پلتفرم‌های باگ‌بانتی براساس استاندارد‌های روز دنیا با رویکرد حمایتی از متخصصان امنیت سندی را تدوین کنیم که خروجی آن منجر به ایجاد اعتماد و افزایش مشارکت متخصصان در امن سازی مجموعه‌ها شود. در حال حاضر مجوز باگ بانتی تحت عنوان «مسابقات کشف نقص امنیتی» جزو مجوزهای حوزه امنیت در لیست مجوز‌های افتا تعریف شده است و به شرکت‌های دارای شرایط تخصیص پیدا می‌کند.»

به گفته لکزایی، طبق قوانین جرائم رایانه‌ای هیچ منعی برای فعالیت سازمان‌های خصوصی، شرکت‌ها و استارت‌آپ‌ها با مجموعه‌های باگ بانتی وجود ندارد و مجوز افتا قرار است صرفا چهارچوب فعالیت شرکت‌های دولتی و مجموعه‌هایی که دارای زیرساخت‌های حیاتی حساس هستند را تعریف کند. به همین خاطر نیاز هست که پلتفرم‌هایی که می‌خواهند با مجموعه‌های دولتی و مجموعه‌هایی که دارای زیرساخت‌های حساس‌تری هستند، همکاری کنند این مجوز را اخذ کنند. «ولی شرکت‌های خصوصی و کوچک‌تر لزوم صددرصدی برای دریافت مجوز برای آنها وجود ندارد و منع قانونی نیز دراین‌خصوص وجود ندارد. ولی این مجوز در کل باعث می‌شود که پلتفرم‌های باگ بانتی بتوانند با سازوکار مشخص‌تری فعالیت کنند و سرویس باگ بانتی را برای مجموعه‌های دولتی نیز ارائه بدهند.»

لکزایی درباره متخصصین امنیتی که به‌صورت فریلنسر فعالیت می‌کنند نیز صحبت کرد و با بیان اینکه شعار راورو معامله‌ای برد-برد برای طرفین است، توضیح داد: «یکی از بازوهایی که در پلتفرم‌های باگ بانتی فعال هستند، متخصصین امنیتی هستند که به‌صورت فریلنسر فعالیت می‌کنند. متاسفانه در گذشته به دلیل نبود سازوکار مشخص، در اکثر موارد برخوردهای سلیقه‌ای و نامناسب با این متخصصان صورت می‌گرفت که باعث می‌شد اکثر آنها با وجود تحریم و مشکلات تبادل مالی به دنبال فعالیت روی پلتفرم‌های خارجی باشند.»

او صحبت‌های خود را این‌گونه ادامه داد: «متخصصین امنیتی که به‌صورت فریلنسر در راورو در حال فعالیت هستند، سابقه‌ی ارائه گزارش آسیب‌پذیری از گوگل، فیس‌بوک، مایکروسافت و … را دارند. ما در راورو با مطالعه و نیازسنجی دقیق خواسته‌های این افراد به دنبال ایجاد محیطی مناسب جهت جلب اعتماد این متخصصان هستیم و در تلاشیم تا این فرصت را برای متخصصین به وجود آوریم که بتوانند به‌صورت قانونی از دانش خود برای ارتقای امنیت زیرساخت‌های فناوری اطلاعات کشور استفاده کنند و کسب درآمد داشته باشند. درواقع ما با ارائه پلتفرم راورو امکان ایجاد معامله‌ای برد-برد را برای طرفین فراهم کردیم. این معامله از یک طرف باعث می‌شود فریلنسرها در یک فرایند شفاف و قانونی از تخصص خود کسب درآمد کنند و از طرف دیگر کسب‌وکارها می‌توانند با هدفمند کردن هزینه‌های خود و در مدت زمان کمتری حفره‌های امنیتی خود را کشف و برطرف کنند.»

داشتن تخصص هک کردن جرم نیست و هکر مجرم نیست

لکزایی در پاسخ به این سوال که پلتفرم‌های باگ بانتی چقدر می‌توانند در مسائلی مانند امنیت درگاه‌های بانکی و پرداخت کمک‌کننده باشند؟ توضیح داد: «باگ بانتی تنها محدود به مجموعه‌های فین‌تکی و مجموعه‌هایی که در حوزه پرداخت فعالیت می‌کنند، نمی‌شود و هر شرکتی که صاحب نرم‌افزار، API، برنامه‌های موبایلی و وب‌سرویس باشد، می‌تواند به‌عنوان مشتری از خدمات باگ بانتی استفاده کند. به‌طورکلی هر شرکت ارائه‌دهنده خدمت بر بستر اینترنت می‌تواند از خدمات باگ بانتی بهرمند شود. یکی مزیت های اصلی در استفاده از باگ‌بانتی عدم نیاز به تهیه‌ی تجهیزات و یا ایجاد تغییر در ساختار فعلی جهت استفاده از این خدمت می‌باشد. بطور خلاصه در باگ بانتی شما صرفا چهارچوب و قوانین ارایه گزارش آسیب پذیری سرویس‌های موجود خود را تعریف می‌کنید.»

راهبر کسب‌وکار راورو در پایان صحبت‌هایش درباره لزوم افزایش فرهنگ امنیت سایبری صحبت کرد. به گفته او، واقعیت این است که «داشتن تخصص هک کردن جرم نیست و هکر مجرم نیست.» هک‌کردن در اصل هنر است و هکر یک هنرمند. «هکرها یا شکارچیان آسیب‌پذیری، متخصصانی هستند که سال‌ها برای به‌دست آوردن تخصص زحمت کشیده‌اند و با هوش و نبوغی که دارند، می‌توانند فراتر از نگاه طراحان و تولیدکنندگان یک محصول به دنبال کشف حفره‌هایی باشند که از دیدگاه آنها قابل‌مشاهده نبوده است. این ظرفیت و استعداد اگر در مسیر صحیح خود قرار بگیرد، می‌تواند به امن‌تر شدن فضای اینترنت کمک بسیاری کند. به قول سهراب سپهری، چشم‌ها را باید شست، جور دیگر باید دید… ما در مجموعه‌‌ راورو در تلاشیم تا این دیدگاه غلط نسبت به مقوله‌‌ هک و امنیت را با دیدگاه همکاری و تعامل جایگزین کنیم. بی‌شک در این معامله برد-برد هم سازمان‌ها و کسب‌وکار‌ها و هم شکارچیان آسیب‌پذیری سود خواهند برد.»