گفتگوی دیجیاتو با مدیر تیم امنیت بلو در حاشیه یک رویداد: باگ بانتی آغاز اعتماد دوجانبه بین سازمان و جامعه متخصصان است

در حاشیه یکی از متفاوت‌ترین رویدادهای امنیتی سال، «باگ بانتی بلوبانک»، دیجیاتو گفتگویی با «اسماعیل ملااحمدی»، مدیر تیم امنیت بلو، کرده است و او با نگاهی به چشم‌اندازهای این بانک، از ضرورت تغییر در مدل‌های امنیتی می‌گوید: «امنیت در بانک‌ها، فقط نیازی فنی نیست، مسئولیتی اعتبارمحور است. اگر باگ بانتی را صرفاً رویدادی هیجان‌انگیز بدانیم، بخش بزرگی از ماجرا را ندیده‌ایم. این مسیر یعنی اعتماد دوجانبه بین سازمان و جامعه متخصصان. داریم دفاع را از حالت بسته و درون‌سازمانی به گفتگویی جمعی و فعال تبدیل می‌کنیم.» 

مدیر تیم امنیت بلو در این گفتگو علاوه‌بر تشریح جزئیات فنی رویداد، به تحول ذهنیت امنیت دیجیتال نگاهی می‌اندازد. شفافیت، همکاری و پذیرش ریسک‌های حساب‌شده، راه را برای آینده‌ای امن‌تر باز می‌کند. در ادامه مشروح این گفتگو را می‌خوانید.

بسیاری معتقدند رویدادهایی مانند باگ بانتی نتیجه دغدغه‌های امنیتی جدی درباره رخدادهای اخیر فضای فناوری کشور هستند. شما چه نظری دارید؟

امنیت برای شرکت‌ها اهمیت زیادی دارد و در حوزه بانکداری اهمیت آن دوچندان است. ما سرمایه‌گذاری فراوانی در امنیت کرده‌ایم و در تمام فرایندها، ملاحظات امنیتی عمیقی در نظر گرفته شده است. هر شرکتی که داده‌های حساسی در اختیار دارد، احتمالاً از اتفاقاتی که برای پلتفرم‌های بزرگ رخ داد، درس‌هایی گرفته است. وجود باگ امنیتی در سیستم‌های بانک می‌تواند به اعتبار آن آسیب جدی بزند؛ بهتر است متخصصان این حوزه، همان‌هایی که بهشان کلاه‌سفید می‌گوییم، این باگ‌ها را زودتر گزارش دهند. در واقع بازی بُرد-بُرد است: این افراد به پاداش خود می‌رسند و کسب‌وکارها ازجمله بانک‌ها نیز می‌توانند نواقصشان را برطرف کنند و امنیتشان را افزایش دهند. 

جدا از تأثیر فوری آن که بدون شک افزایش امنیت پلتفرم بوده است، این روند چه تأثیر بلندمدتی دارد؟

آشنایی متخصصان امنیت با حوزه مالی، باعث می‌شود به‌سمت تست و ارزیابی زیرساخت‌ها و پلتفرم‌های دیگر بروند. آنها با فضای بانکی و نئوبانک‌ها بیشتر آشنا شده‌اند و این موضوع قطعاً برای همه مفید است و در بلندمدت تأثیر مثبت آن بیشتر نمایان می‌شود.

باتوجه‌به هزینه‌های برگزاری این رویداد، آیا این منابع نمی‌توانست صرف تقویت مستقیم دیوار دفاعی شود؟

صرفاً به برگزاری رویداد یا تست ساده بسنده نمی‌کنیم. در ضمن، باگ بانتی از نظر هزینه‌ برای سازمان‌ها بسیار مقرون‌به‌صرفه است. هدف این رویداد ایجاد هیجان در فرایند شناسایی حفره‌هاست ولی طبیعتاً فقط محدود به فصلی خاص نیست. قاعدتاً طی سال هم دنبال همکاری با هکرهای کلاه‌سفید هستیم. ما از قبل هم برنامه‌هایی برای باگ بانتی داشته‌ایم حتی پیش از برگزاری این رویداد، گزارش‌های امنیتی خوبی دریافت کرده بودیم که از آنها استقبال کردیم؛ هرچند جوایز آنها سنگین نبود، بی‌ارزش هم نبود. به‌عبارتی، نگاهمان به این موضوع کاملاً جدی و مثبت بوده است. در واقع فکر می‌کنم شرکت‌هایی مثل بلو چاره‌ای جز حرکت در این مسیر ندارند و این اتفاق به نفع همه ماست. 

ضمن اینکه پایان این ایونت پایان راه نیست. همچنان به‌صورت عمومی گزارش‌هایی را که در قالب موردنظر ما ارسال شوند، داوری می‌کنیم. هر گزارشی برای ما ارسال شود، تیم داوری ما که متشکل از ۶ نفر از افراد متخصص و دقیق است، آن را بررسی می‌کنند.

در واقع ما مستمر، این برنامه را ادامه می‌دهیم و باور داریم در حوزه امنیت باید این‌طور عمل کرد. این فرایند علاوه‌بر کشف باگ و دریافت جایزه، باعث شده شرکت‌کنندگان آشنایی عمیق‌تری با فناوری‌های بانکی پیدا کنند.

باوجود مزایای امنیتی، چنین رویدادی به معنی دسترسی به زیرساخت‌های بانکی است که حتی در شرایط کنترل‌شده هم ریسک‌ بالایی دارد. این ریسک را چطور مدیریت کردید؟

بلو همیشه سعی کرده ساختارشکن، خلاق و نوآور باشد. الان هم باتوجه‌به این مسیر، سایر بانک‌ها و مؤسسات مالی به همین سمت حرکت کرده‌اند؛ درنتیجه متخصصان امنیت با فضای مالی آشناتر شده‌اند و به‌سمت تست و ارزیابی پلتفرم‌ها و زیرساخت‌های دیگر می‌روند. آنها با فضای بانکی و نئوبانک‌ها آشنایی بیشتری دارند و قطعاً این برای دیگر بازیگران این حوزه هم مفید است. در واقع، اساس باگ بانتی اعتماد است؛ اعتماد سازمان‌ها به جامعه تخصصی و اعتماد متخصصان به سازمان‌ها اما نمی‌شود بی‌محابا جلو رفت. ما چارچوب مشخصی تعریف کرده‌ایم؛ به همین دلیل برخی اصول و مقررات باید رعایت شود. این‌طور نیست که همه‌چیز باز و بی‌حدومرز باشد. با این مدل از برنامه‌ریزی، مسیر آینده‌مان بازتر و ادامه کارمان گسترده‌تر خواهد شد. 

در همین رویداد، افراد در ۲۴ ساعت -در ۲ شیفت ۱۲ ساعته- روی اپلیکیشن بلو کار کردند. در واقع دامنه اصلی فعالیت ما همین اپ بلو بود اما هدف ما این است که در آینده اپلیکیشن‌ها و زیرساخت‌های دیگرمان را هم وارد این دامنه کنیم که امیدواریم طبق برنامه، اضافه شود.

همکاری با جامعه هکرهای کلاه‌سفید و پیاده‌سازی مدل‌های خلاقانه باز چه مزیتی نسبت به روش‌های دیگر دارد؟ برگزاری آن برای بلو چه چیزهایی را به همراه داشت؟

در بلوبانک در همه حوزه‌ها روحیه پیشرو بودن و جسارت در تصمیم‌گیری داریم. امنیت برای ما موضوعی پیوسته است، نه حاشیه‌ای یا موقتی. بااینکه تیم داخلی ما بسیار توانمندی است، ظرفیت انسانی و زاویه دید آنها محدود است.

برنامه‌هایی مانند باگ بانتی باعث می‌شود دیدگاه‌های تازه و متنوعی وارد فرایند ایمن‌سازی سیستم شود. این تعامل با متخصصان امنیتی از خارج از سازمان، به ما در ارتقای امنیت کمک زیادی می‌کند. 

آیا بلو برای ورود به تعاملات امنیتی در سطح جهانی نیز برنامه‌ای دارد؟ به‌عبارتی، آیا باید به ظرفیت داخلی اکتفا کرد یا تجربه بین‌المللی در این حوزه نیز باید وارد میدان شود؟

هرچقدر تیم داخلی ما قوی و توانمند باشد، طبیعتاً باید بتوانیم در سطح بین‌المللی هم کارهایی مانند تست نفوذ و باگ بانتی را اجرا کنیم. از طرفی، برای اینکه بتوانیم رویدادی رسمی را درست آغاز کنیم، تصمیم گرفتیم ابتدا زیرساخت‌های خودمان و میزان آمادگی‌مان را ارزیابی کنیم. به‌ نظر من، مسیر مشارکت عمومی باز است؛ هر کسی از هر جایی علاقه‌مند باشد، می‌تواند در این برنامه شرکت کند، گزارش بفرستد و ما هم آن را بررسی می‌کنیم.

در ایران هم متخصصان بسیار خوبی داریم. در تیم خودمان هم افراد بسیار توانمندی حضور دارند که واقعاً می‌توانند در سطح بین‌المللی مطرح شوند. نگرانی خاصی درباره اینکه از کشورهای دیگر در این حوزه فعال باشند، نداریم؛ چون مکانیزم‌هایی تعریف کرده‌ایم که روزبه‌روز هم تقویت می‌شوند. 

با این توضیح که تیم داخلی بسیار قوی داریم درعین‌حال، جایگاه باگ بانتی هم محفوظ است؛ هرکدام ارزش خاص خودشان را دارند و ما هر 2 را مکمل هم در نظر گرفته‌ایم و روی میز داریم.

ممکن است در برخی کشورها فعالیت‌های امنیتی از نظر تکنیکی سابقه بیشتری داشته باشد اما نباید توان داخلی خودمان را دست کم بگیریم؛ هکرهای ما واقعاً قوی هستند. حالا که بحث باور به توان داخلی است، باید بگویم اعتمادبه‌نفسی که تیم ما دارد، نشانه این است که آمادگی قرارگرفتن در معرض ارزیابی‌ها و حتی تلاش‌های نفوذ را دارند. این موضوع مهمی است و نشان می‌دهد به کارشان اطمینان دارند. خوشبختانه تیم داخلی بسیار قوی است؛ بچه‌هایی که واقعاً قابل‌اتکا هستند.

در این رویداد چه چیزی واقعاً شما را خوشحال می‌کند؟ صرفاً کشف باگ؟ یا اهداف عمیق‌تری هم وجود دارند؟

اگر متخصصان حوزه امنیت به ما اعتماد کنند، این خوشحال‌کننده‌ترین اتفاقی است که می‌تواند برای ما بیفتد. ما واقعاً دوست داریم با همه این دوستان در ارتباط باشیم. مایلیم افراد از حوزه‌های گسترده‌تر هم به ما کمک کنند و این ارتباط مستمر با جامعه تخصصی برای من یکی از لذت‌بخش‌ترین و ارزشمندترین دستاوردهاست.

به‌ نظر می‌رسد خروجی این رویداد بیشتر کیفی باشد تا صرفاً کمی و آنچه اهمیت دارد این است که میان متخصصان امنیت کشور و ما تعاملی سازنده و مبتنی‌بر اعتماد شکل بگیرد.