در حاشیه یکی از متفاوت‌ترین رویدادهای امنیتی سال، «باگ بانتی بلوبانک»، دیجیاتو گفتگویی با «اسماعیل ملااحمدی»، مدیر تیم امنیت بلو، کرده است و او با نگاهی به چشم‌اندازهای این بانک، از الزام تحول در مدل‌های امنیتی می‌گوید: «امنیت در بانک‌ها، فقط نیازی فنی نیست، مسئولیتی اعتبارمحور است. اگر باگ بانتی را فقطً رویدادی شوق‌انگیز بدانیم، قسمت بزرگی از ماجرا را ندیده‌ایم. این مسیر یعنی مطمعن دوجانبه بین سازمان و جامعه متخصصان. داریم دفاع را از حالت بسته و درون‌سازمانی به گفتگویی جمعی و فعال تبدیل می‌کنیم.» 

مدیر تیم امنیت بلو در این گفتگو علاوه‌بر تشریح جزئیات فنی اتفاقات، به تحول ذهنیت امنیت دیجیتال نگاهی می‌اندازد. شفافیت، همکاری و پذیرفتن ریسک‌های حساب‌شده، راه را برای آینده‌ای امن‌تر باز می‌کند. در ادامه مشروح این گفتگو را می‌خوانید.

تعداد بسیاری اعتقاد دارند رویدادهایی همانند باگ بانتی نتیجه دغدغه‌های امنیتی جدی درمورد رخدادهای تازه فضای فناوری سرزمین می باشند. شما چه نظری دارید؟

امنیت برای شرکت‌ها اهمیت بسیاری دارد و در حوزه بانکداری اهمیت آن دوچندان است. ما اندوخته‌گذاری بسیاری در امنیت کرده‌ایم و در همه فرایندها، ملاحظات امنیتی عمیقی در نظر گرفته شده است. هر شرکتی که داده‌های حساسی در اختیار دارد، به گمان زیادً از اتفاقاتی که برای پلتفرم‌های بزرگ رقم خورد، درس‌هایی گرفته است. وجود باگ امنیتی در سیستم‌های بانک می‌تواند به اعتبار آن صدمه جدی بزند؛ بهتر است متخصصان این حوزه، همان‌هایی که بهشان کلاه‌سفید می‌گوییم، این باگ‌ها را سریعتر گزارش دهند. در واقع بازی بُرد-بُرد است: این افراد به پاداش خود می‌رسند و کسب‌وکارها ازجمله بانک‌ها نیز می‌توانند نواقصشان را رفع کنند و امنیتشان را افزایش دهند. 

جدا از تأثیر سریع آن که بدون شک افزایش امنیت پلتفرم بوده است، این روال چه تأثیر بلندمدتی دارد؟

آشنایی متخصصان امنیت با حوزه مالی، علتمی‌بشود به‌سمت تست و برسی زیرساخت‌ها و پلتفرم‌های دیگر بروند. آنها با فضای بانکی و نئوبانک‌ها زیاد تر آشنا شده‌اند و این نوشته قطعاً برای همه سودمند است و در طویل مدت تأثیر مثبت آن زیاد تر نمایان می‌بشود.

باتوجه‌به هزینه‌های برگزاری این اتفاقات، آیا این منبع های نمی‌توانست صرف تحکیم مستقیم دیوار دفاعی بشود؟

فقطً به برگزاری اتفاقات یا تست ساده بسنده نمی‌کنیم. در ضمن، باگ بانتی از نظر هزینه‌ برای سازمان‌ها زیاد مقرون‌به‌صرفه است. مقصد این اتفاقات تشکیل شوق در فرایند شناسایی حفره‌ها است ولی طبیعتاً فقط محدود به فصلی خاص نیست. قاعدتاً طی سال هم جستوجو همکاری با هکرهای کلاه‌سفید هستیم. ما از قبل هم برنامه‌هایی برای باگ بانتی داشته‌ایم حتی پیش از برگزاری این اتفاقات، گزارش‌های امنیتی خوبی دریافت کرده بودیم که از آنها استقبال کردیم؛ هرچند جوایز آنها سنگین نبوده است، بی‌قیمت هم نبوده است. به‌عبارتی، نگاهمان به این نوشته کاملاً جدی و مثبت بوده است. در واقع فکر می‌کنم شرکت‌هایی همانند بلو چاره‌ای جز حرکت در این مسیر ندارند و این اتفاق به سود همه ماست. 

ضمن این که آخر این ایونت آخر راه نیست. هم چنان به‌صورت عمومی گزارش‌هایی را که در قالب موردنظر ما ارسال شوند، قضاوت می‌کنیم. هر گزارشی برای ما ارسال بشود، تیم قضاوت ما که متشکل از ۶ نفر از افراد متخصص و دقیق است، آن را بازدید می‌کنند.

در واقع ما مستمر، این برنامه را ادامه می‌دهیم و باور داریم در حوزه امنیت باید این‌طور عمل کرد. این فرایند علاوه‌بر کشف باگ و دریافت جایزه، علتشده شرکت‌کنندگان آشنایی عمیق‌تری با فناوری‌های بانکی اشکار کنند.

باوجود مزایای امنیتی، این چنین رویدادی به معنی دسترسی به زیرساخت‌های بانکی است که حتی در شرایط کنترل‌شده هم ریسک‌ بالایی دارد. این ریسک را چطور مدیریت کردید؟

بلو همیشه تلاش کرده ساختارشکن، خلاق و نوآور باشد. الان هم باتوجه‌به این مسیر، دیگر بانک‌ها و مؤسسات مالی به همین سمت حرکت کرده‌اند؛ درنتیجه متخصصان امنیت با فضای مالی آشناتر شده‌اند و به‌سمت تست و برسی پلتفرم‌ها و زیرساخت‌های دیگر می‌روال. آنها با فضای بانکی و نئوبانک‌ها آشنایی بیشتری دارند و قطعاً این برای دیگر بازیگران این حوزه هم سودمند است. در واقع، مبنا باگ بانتی مطمعن است؛ مطمعن سازمان‌ها به جامعه تخصصی و مطمعن متخصصان به سازمان‌ها اما نمی‌بشود بی‌محابا جلو رفت. ما چارچوب مشخصی تعریف کرده‌ایم؛ به همین علت برخی اصول و مقررات باید مراعات بشود. این‌طور نیست که همه‌چیز باز و بی‌حدومرز باشد. با این مدل از برنامه‌ریزی، مسیر آینده‌مان بازتر و ادامه کارمان گسترده‌تر خواهد شد. 

در همین اتفاقات، افراد در ۲۴ ساعت -در ۲ شیفت ۱۲ ساعته- روی اپلیکیشن بلو کار کردند. در واقع دامنه مهم فعالیت ما همین اپ بلو می بود اما مقصد ما این است که در آینده اپلیکیشن‌ها و زیرساخت‌های دیگرمان را هم داخل این دامنه کنیم که امیدواریم مطابق برنامه، اضافه بشود.

همکاری با جامعه هکرهای کلاه‌سفید و پیاده‌سازی مدل‌های خلاقانه باز چه مزیتی نسبت به راه حلهای دیگر دارد؟ برگزاری آن برای بلو چه چیزهایی را به همراه داشت؟

در بلوبانک در همه حوزه‌ها روحیه پیشرو بودن و جسارت در تصمیم‌گیری داریم. امنیت برای ما موضوعی مدام است، نه حاشیه‌ای یا موقتی. بااینکه تیم داخلی ما زیاد توانمندی است، ظرفیت انسانی و زاویه دید آنها محدود است.

برنامه‌هایی همانند باگ بانتی علتمی‌بشود دیدگاه‌های تازه و متنوعی داخل فرایند ایمن‌سازی سیستم بشود. این تعامل با متخصصان امنیتی از خارج از سازمان، به ما در ترقی امنیت پشتیبانی بسیاری می‌کند. 

آیا بلو برای ورود به تعامل های امنیتی در سطح جهانی نیز برنامه‌ای دارد؟ به‌عبارتی، آیا باید به ظرفیت داخلی اکتفا کرد یا توانایی بین‌المللی در این حوزه نیز باید داخل میدان بشود؟

هرچقدر تیم داخلی ما قوی و توانمند باشد، طبیعتاً باید بتوانیم در سطح بین‌المللی هم کارهایی همانند تست نفوذ و باگ بانتی را اجرا کنیم. از طرفی، برای این که بتوانیم رویدادی رسمی را درست اغاز کنیم، تصمیم گرفتیم ابتدا زیرساخت‌های خودمان و مقدار آمادگی‌مان را برسی کنیم. به‌ نظر من، مسیر شراکت عمومی باز است؛ هر فردی از هر جایی علاقه‌مند باشد، می‌تواند در این برنامه شرکت کند، گزارش بفرستد و ما هم آن را بازدید می‌کنیم.

در ایران هم متخصصان زیاد خوبی داریم. در تیم خودمان هم افراد زیاد توانمندی وجود دارند که واقعاً می‌توانند در سطح بین‌المللی نقل شوند. نگرانی خاصی درمورد این که از کشورهای دیگر در این حوزه فعال باشند، نداریم؛ چون مکانیزم‌هایی تعریف کرده‌ایم که روزبه‌روز هم تحکیم خواهد شد. 

با این توضیح که تیم داخلی زیاد قوی داریم درعین‌حال، جایگاه باگ بانتی هم محفوظ است؛ هرکدام قیمت خاص خودشان را دارند و ما هر 2 را مکمل هم در نظر گرفته‌ایم و روی میز داریم.

امکان پذیر در برخی کشورها فعالیت‌های امنیتی از نظر تکنیکی سابقه بیشتری داشته باشد اما نباید توان داخلی خودمان را دست کم بگیریم؛ هکرهای ما واقعاً قوی می باشند. اکنون که او گفت و گو باور به توان داخلی است، باید بگویم اعتمادبه‌نفسی که تیم ما دارد، نشانه این است که آمادگی قرارگرفتن در معرض برسی‌ها و حتی کوششهای نفوذ را دارند. این نوشته مهمی است و مشخص می کند به کارشان مطمعن دارند. خوشبختانه تیم داخلی زیاد قوی است؛ بچه‌هایی که واقعاً قابل‌اتکا می باشند.

در این اتفاقات چه چیزی واقعاً شما را خوشحال می‌کند؟ فقطً کشف باگ؟ یا اهداف عمیق‌تری هم وجود دارند؟

اگر متخصصان حوزه امنیت به ما مطمعن کنند، این خوشحال‌کننده‌ترین اتفاقی است که می‌تواند برای ما بیفتد. ما واقعاً دوست داریم با همه این دوستان در ربط باشیم. مایلیم افراد از حوزه‌های گسترده‌تر هم به ما پشتیبانی کنند و این ربط مستمر با جامعه تخصصی برای من یکی از لذت‌قسمت‌ترین و ارزشمندترین دستاوردهاست.

به‌ نظر می‌رسد خروجی این اتفاقات زیاد تر کیفی باشد تا فقطً مقداری و آنچه اهمیت دارد این است که بین متخصصان امنیت سرزمین و ما تعاملی سازنده و مبتنی‌بر مطمعن شکل بگیرد.