هکرهای کلاه سفید به حمایت حقوقی احتیاج دارند

به گزارش بانیما، تهران (پانا) - مهدی محمدی دبیر ستاد توسعه اقتصاد دیجیتال و هوشمندسازی معاونت علمی و فناوری ریاست جمهوری از برنامه ریزی برای شناسایی و احراز هویت متخصصان حوزه امنیت و هکرهای کلاه سفید در راستای ساماندهی فعالیت این افراد در کشور اطلاع داد و گفت: با این اقدام امکان بازاریابی و جذب این افراد به وسیله شرکت هایی که احتیاج به متخصص امنیت دارند فراهم می گردد؛

به گزارش ایران، در پی این اقدام، نظر کارشناسان حوزه فناوری و اطلاعات امنیت سایبری را در این زمینه جویا شدیم.

به رسمیت شناختن هکرهای کلاه سفید

میلاد نوری کارشناس فناوری اطلاعات اعتقاد دارد هکرهای کلاه سفید همان توانمندی و استعدادهای هکرهای کلاه سیاه را دارند، اما از توانمندی های خود در جهت بهبود سیستم ها و برطرف مسائل و ضعف های امنیتی کشف شده استفاده می نمایند و برخلاف هکرهای کلاه سیاه و هکرهای انتحاری قصد خرابکاری در سیستم ها ندارند. نوری گفت: این هکرها به اصول اخلاقی بسیار پایبند هستند و حضور و فعالیت آنها حتی به صورت ناشناس بسیار مفید و کارآمد است و زمانی که یک هکر انتخاب می نماید که کلاه سفید باشد، نباید نگران فعالیت او در هر قالب (حتی به صورت ناشناس) بود. نوری درباره ساماندهی و شناسایی هکرهای کلاه سفید نیز گفت: در جهان بسیاری از هکرها (چه کلاه سفید و چه کلاه سیاه) معمولاً به صورت ناشناس یا با اسم مستعار فعالیت می نمایند. بنابراین این گروه از شناسایی، ساماندهی و احراز هویت استقبال نمی نمایند و فرصت استفاده از پتانسیل این گروه از هکرها که ترجیح می دهند، ناشناس باقی بمانند از بین می رود.

وی اضافه نمود: گروهی از کلاه سفیدها هم به انتخاب خود با هویت تعیین در این حوزه مشغول فعالیت هستند و حتی با بعضی شرکت ها در جهت شناسایی نقاط ضعف و آسیب پذیری های امنیتی آنها قرارداد تجاری دارند. نوری با بیان اینکه دسترسی به هکرهای کلاه سفید با هویت تعیین هم کار سختی نیست، گفت: شرکت ها یا سازمان هایی که قصد داشته باشند از همکاری آنها در جهت محک زدن سیستم های خود بهره ببرند جهت سختی پیش رو ندارند. بنابراین در صورت استقبال این گروه از کلاه سفیدها هم از این طرح صرفاً شناسایی و احراز هویت یاری قابل توجهی به افزایش استفاده از ظرفیت های این گروه نخواهد کرد. این کارشناس فناوری اطلاعات اضافه نمود: به نظرم به جای شناسایی و احراز هویت، باید در جهت برطرف مسائل فعالان شناس و ناشناس این حوزه قدم برداشت، چرا که یکی از مسائل کلاه سفیدها در کشور ما ترس از برخوردهای بعدی است، همان طور که قبلاً در شبکه های اجتماعی شاهد آن بودیم حتی شرکت های خصوصی، پس از دریافت گزارش آسیب پذیری از سوی یک متخصص و پس از برطرف آن، برای شانه خالی کردن از مسئولیت پذیری و اهدای پاداش (که در جهان مرسوم است) و... افراد را به اقدام حقوقی بعدی تهدید می نمایند. این موضوع باعث می گردد خیلی از این افراد در صورت کشف یک آسیب پذیری در سیستم های مرتبط با سازمان ها و نهادها که کمتر به این موضوع علاقه مند هستند، به جای گزارش موضوع از کنار آن بگذرند.

نوری با اشاره به اینکه در قوانین جرایم رایانه ای نیز بندهای مختلفی وجود دارد که سازمان ها و نهادها با استناد به آنها می توانند علیه هکر کلاه سفید اعلام جرم نمایند، گفت: مواد 729 و 730 از جمله قوانین هستند، به عنوان مثال در ماده 729 آمده است: هرکس به طور غیرمجاز به داده ها یا سامانه های رایانه ای یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده دسترسی یابد، به حبس از 91 روز تا یک سال یا جزای نقدی از پنج تا 20 میلیون ریال یا هر دو مجازات محکوم خواهد شد، یا اینکه در ماده 730 آمده است: هر کس به طور غیرمجاز محتوای در حال انتقال ارتباطات غیرعمومی در سامانه های رایانه ای یا مخابراتی یا امواج الکترومغناطیسی یا نوری را شنود کند، به حبس از 6 ماه تا دو سال یا جزای نقدی از 10 تا 40 میلیون ریال یا هر دو مجازات محکوم خواهد شد. وی گفت: مشکل دیگر این است که در ایران، هکر کلاه سفید از طرف بسیاری از شرکت های خصوصی، نهادها و سازمان ها به عنوان شغل به رسمیت شناخته نمی گردد و وقتی گزارشی از وجود آسیب پذیری یا ضعف امنیتی ارائه می دهد به او طبق روال جهان حق الزحمه یا پاداش پرداخت نمی نمایند و باید به این موضوع مهم توجه جدی کرد، چرا که اگر یک هکر کلاه سفید از توانایی خود به کسب درآمد نرسد ممکن است به یک هکر کلاه سیاه تبدیل گردد.

نوری درباره اینکه برای برطرف مسائل چه باید کرد، گفت: برای برطرف مسائل عمده فعالیت کلاه سفیدهای شناس و ناشناس باید از پلتفرم های شناسایی و گزارش اشکال (باگ بانتی) که چند نمونه ایرانی نیز وجود دارد، اقدام و از آنها حمایت و حتی به گسترش آنها یاری کرد؛ استفاده از رمزارزها به عنوان روشی برای پرداخت ناشناس به هکرهای کلاه سفید علاقه مند به ناشناس ماندن را باید پذیرفت تا درکنار افراد شناس، از پتانسیل و ظرفیت غیر قابل انکار بخش ناشناس این جامعه نیز استفاده کرد.این کارشناس فناوری اطلاعات اعتقاد دارد باید ظرفیت استفاده از این افراد در سازمان ها و نهادهای دولتی ایجاد گردد و شرکت های خصوصی را به این موضوع تشویق کرد و آنها را برای حضور در پلتفرم های باگ بانتی آموزش داد.نوری گفت: باید از نظر حقوقی نیز از هکرهای کلاه سفید شناس و همچنین از هکرهای کلاه سفید ناشناس در صورت شناسایی حمایت کرد تا شرکت های خصوصی و سازمان ها و نهادها بعد از دریافت گزارش، علیه این افراد اقدام به جرم ننمایند. وی اضافه نمود: اگر روزی شاهد حضور سازمان های دولتی در پلتفرم های باگ بانتی بودیم که هر هکر کلاه سفیدی فارغ از شناس بودن یا ناشناس بودن بتواند آن را آنالیز کند و بدون دردسر، حق الزحمه دریافت کند، می توانیم مدعی شویم از عمده ظرفیت این حوزه بدرستی استفاده می کنیم.

پرداخت حق الزحمه و پاداش

کاظم فلاحی کارشناس امنیت سایبری معتقد است،این اقدام معاونت علمی و فناوری در صورت داشتن سازوکار درست می تواند از توان ظرفیت هکرهای کلاه سفید داخلی بخوبی استفاده کند.

فلاحی گفت: اگر هدف صرفاً شناسایی و احراز هویت هکرهای کلاه سفید باشد برای بخش امنیت سایبری کشور هیچ فایده ای ندارد، چون آنها حاضر نیستند با دولت و حاکمیت ارتباط مستقیمی بگیرند و خود را با آنها درگیر نمایند، چون به علت برخوردهای پیشین سازمان ها حس اعتماد از بین رفته است. وی با بیان اینکه این اقدام خود با چالش هایی نیز روبه رو خواهد بود، گفت: متأسفانه چالشی که وجود دارد این است وقتی حاکمیت دنبال شناسایی هکرها چه کلاه سفید و کلاه سیاه باشد، این حس ایجاد می گردد که آنها تنها به دنبال تهیه دیتابیسی از هکرها هستند تا اگر فردا روزی مسئله ای پیش آمد، آن را گردن این گروه بیندازند.

این کارشناس امنیت سایبری با اشاره به اینکه به نظر نمی رسد هکرهای کلاه سفید از این اقدام استقبال نمایند، اضافه نمود: مگر اینکه معاونت علمی و فناوری ریاست جمهوری برنامه ای برد- برد را پیاده سازی کند، به عبارتی کلاه سفیدها به شرطی احراز هویت می شوند که کاری به آنها سپرده گردد و درآمدزایی نمایند و مزیتی برای آنها داشته باشد و حمایت شوند. این کارشناس امنیت سایبری اعتقاد دارد احترام و روی خوش نشان دادن به هکرهای کلاه سفید خط قرمز آنهاست و انتظار دارند وقتی باگی را شناسایی می نمایند نه تنها به آنها با احترام رفتار گردد، بلکه پاداشی دریافت نمایند. این در حالی است که در کشور ما برعکس است و سازمان ها و نهادها نه تنها روی خوش نشان نمی دهند، بلکه علیه شان اعلام جرم می نمایند. وی گفت: هکرهای کلاه سفید که قصد تخریب ندارند و اگر آنها به دنبال تخریب بودند که آسیب پذیری را به سازمان ها یا نهادهای مربوطه اعلام نمی کردند. آنها می توانستند به طریق دیگری اقدام نموده و برای سازمان مشکل ساز شوند. کاظمی اضافه نمود: باید سازمان ها و نهادها دید خود را درباره این دسته از هکرها بهتر نمایند دقیقاً مانند امریکا؛ وزارت دفاع امریکا برای اینکه باگ های خود را شناسایی کند، پلتفرمی باگ بانتی به نام Hack the Pentagon را راه اندازی نموده و به هر کسی که باگی را شناسایی و اطلاع دهد، پاداش پرداخت می نماید و باید گفت این فرایند از سال 2010 ادامه دارد و حتی دیگر شرکت های عظیم مانند گوگل و فیسبوک و... نیز از این اقدام استقبال می نمایند.

این کارشناس معتقد است شرایط سایبری کشورمان خوب نیست ،اکنون سازمانی نمی تواند ادعا کند که تا به امروز هک نشده است و گاهی هم خبرهایش منتشر می گردد. بنابراین برای شناسایی آسیب پذیری ها باید دست به دامن هکرهای کلاه سفید شد چون فقط آهن، آهن را می برد. براین اساس قبل از این که در سازمان ها و نهادها اقدام های تخریبی صورت بگیرد هکرهای کلاه سفید می توانند آنها را شناسایی نموده و مانع تخریب شوند.پارسا یوسفی دیگر کارشناس امنیت سایبری اعتقاد دارد که شناسایی و احراز هویت هکرهای کلاه سفید که به دنبال شناسایی آسیب پذیری های فضای سایبری و برطرف آنها هستند برای بخش امنیت شرکت ها هیچ آورده ای ندارد .بنابراین به نظرم اگر هکرهای کلاه سفید به وسیله پلتفرم های باگ بانتی که در کشور ما هم شکل گرفته دور هم جمع شوند بهتر است. یوسفی گفت: هم اکنون سه پلتفرم باگ بانتی به نام های راورو، باگ دشتی و کلاه سفید در کشور فعال هستند و هکرهای کلاه سفید می توانند در آنجا احراز هویت شوند و رابط بین شرکت ها و سازمان هایی که احتیاج به شناسایی آسیب پذیری دارند، باشند.این کارشناس با بیان اینکه هنوز تعیین نیست که ساز و کار معاونت علمی و فناوری ریاست جمهوری برای احراز هویت و شناسایی و ساماندهی هکرهای کلاه سفید چیست، اضافه نمود: مجوز راه اندازی پلتفرم های باگ بانتی را مرکز افتای ریاست جمهوری صادر می نماید و با این اقدام اگر سازمان ها و نهادها نسبت به اهداف استفاده از هکرهای کلاه سفید اشنا باشند، این پلتفرم ها بهترین جا برای استفاده از آنها برای شناسایی آسیب پذیرهایی حتی در بخش زیرساخت های حیاتی کشور است.وی اعتقاد دارد وقتی نهادی به وسیله این پلتفرم های باگ بانتی برای شناسایی آسیب های امنیت سامانه و سایت و... خود استفاده می نماید، مسئول پلتفرم و مورد اطمینان خواهد بود.