هکرهای کلاه سفید به حمایت حقوقی نیاز دارند

به‌گزارش ایران، در پی این اقدام، نظر کارشناسان حوزه فناوری و اطلاعات امنیت سایبری را در این زمینه جویا شدیم.

به رسمیت شناختن هکرهای کلاه سفید
میلاد نوری کارشناس فناوری اطلاعات اعتقاد دارد ‌هکرهای کلاه سفید همان توانمندی‌ و استعدادهای هکرهای کلاه سیاه را دارند، اما از توانمندی‌های خود در جهت بهبود سیستم‌ها و رفع مشکلات و ضعف‌های امنیتی کشف شده استفاده می‌کنند و برخلاف هکرهای کلاه سیاه و هکرهای انتحاری قصد خرابکاری در سیستم‌ها ندارند. نوری گفت: این هکرها به اصول اخلاقی بسیار پایبند هستند و حضور و فعالیت آنها حتی به‌صورت ناشناس بسیار مفید و کارآمد است و زمانی که یک هکر انتخاب می‌کند که کلاه سفید باشد، نباید نگران فعالیت او در هر قالب (حتی به‌صورت ناشناس) بود. نوری درباره ساماندهی و شناسایی هکرهای کلاه سفید نیز گفت: در دنیا بسیاری از هکرها (چه کلاه سفید و چه کلاه سیاه) معمولاً به‌صورت ناشناس یا با اسم مستعار فعالیت می‌کنند. بنابراین این گروه از «شناسایی»، «ساماندهی» و «احراز هویت» استقبال نمی‌کنند و فرصت استفاده از پتانسیل این گروه از هکرها که ترجیح‌ می‌دهند، ناشناس باقی بمانند از بین می‌رود.

وی افزود: گروهی از کلاه سفیدها هم به انتخاب خود با هویت مشخص در این حوزه مشغول فعالیت هستند و حتی با برخی شرکت‌ها در جهت شناسایی نقاط ضعف و آسیب‌پذیری‌های امنیتی آنها قرارداد تجاری دارند. نوری با بیان اینکه دسترسی به هکرهای کلاه سفید با هویت مشخص هم کار سختی نیست، گفت: شرکت‌ها یا سازمان‌هایی که قصد داشته باشند از همکاری آنها در جهت محک زدن سیستم‌های خود بهره ببرند مسیر سختی پیش رو ندارند. بنابراین در صورت استقبال این گروه از کلاه سفیدها هم از این طرح صرفاً شناسایی و احراز هویت کمک قابل توجهی به افزایش استفاده از ظرفیت‌های این گروه نخواهد کرد. این کارشناس فناوری اطلاعات افزود: به‌ نظرم به‌ جای شناسایی و احراز هویت، باید در جهت رفع مشکلات فعالان شناس و ناشناس این حوزه قدم برداشت، چرا که یکی از مشکلات کلاه سفیدها در کشور ما ترس از برخوردهای بعدی است، همان‌طور که قبلاً در شبکه‌های اجتماعی شاهد آن بودیم حتی شرکت‌های خصوصی، پس از دریافت گزارش آسیب‌پذیری از سوی یک متخصص و پس از رفع آن، برای شانه خالی کردن از مسئولیت‌پذیری و اهدای پاداش (که در دنیا مرسوم است) و... افراد را به اقدام حقوقی بعدی تهدید می‌کنند. این موضوع باعث می‌شود خیلی از این افراد در صورت کشف یک آسیب‌پذیری در سیستم‌های مرتبط با سازمان‌ها و نهادها که کمتر به این موضوع علاقه‌مند هستند، به‌جای گزارش موضوع از کنار آن بگذرند.

نوری با اشاره به اینکه در قوانین جرایم رایانه‌ای نیز بندهای مختلفی وجود دارد که سازمان‌ها و نهادها با استناد به آنها می‌توانند علیه هکر کلاه سفید اعلام جرم کنند، گفت: مواد ۷۲۹ و ۷۳۰ از جمله قوانین هستند، به‌عنوان مثال در ماده ۷۲۹ آمده است: هرکس به‌طور غیرمجاز به داده‌ها یا سامانه‌های رایانه‌ای یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده دسترسی یابد، به حبس از ۹۱ روز تا یک سال یا جزای نقدی از پنج تا ۲۰ میلیون ریال یا هر دو مجازات محکوم خواهد شد، یا اینکه در ماده ۷۳۰ آمده است: هر کس به طور غیرمجاز محتوای در حال انتقال ارتباطات غیرعمومی در سامانه‌های رایانه‌ای یا مخابراتی یا امواج الکترومغناطیسی یا نوری را شنود کند، به حبس از ۶ ماه تا دو سال یا جزای نقدی از ۱۰ تا ۴۰ میلیون ریال یا هر دو مجازات محکوم خواهد شد. وی گفت: مشکل دیگر این است که در ایران، هکر کلاه سفید از طرف بسیاری از شرکت‌های خصوصی، نهادها و سازمان‌ها به‌عنوان شغل به‌رسمیت شناخته نمی‌شود و وقتی گزارشی از وجود آسیب‌پذیری یا ضعف امنیتی ارائه می‌دهد به او طبق روال دنیا حق‌الزحمه یا پاداش پرداخت نمی‌کنند و باید به این موضوع مهم توجه جدی کرد، چرا که اگر یک هکر کلاه سفید از توانایی خود به کسب درآمد نرسد ممکن است به یک هکر کلاه سیاه تبدیل شود.

نوری درباره اینکه برای رفع مشکلات چه باید کرد، گفت: برای رفع مشکلات عمده فعالیت کلاه سفیدهای شناس و ناشناس باید از پلتفرم‌های شناسایی و گزارش اشکال (باگ بانتی) که چند نمونه ایرانی نیز وجود دارد، اقدام و از آنها حمایت و حتی به گسترش آنها کمک کرد؛ استفاده از رمزارزها به‌عنوان روشی برای پرداخت ناشناس به هکرهای کلاه سفید علاقه‌مند به ناشناس ماندن را باید پذیرفت تا درکنار افراد شناس، از پتانسیل و ظرفیت غیر قابل انکار بخش ناشناس این جامعه نیز استفاده کرد.این کارشناس فناوری اطلاعات اعتقاد دارد باید ظرفیت استفاده از این افراد در سازمان‌ها‌ و نهادهای دولتی ایجاد شود و شرکت‌های خصوصی را به این موضوع تشویق کرد و آنها را برای حضور در پلتفرم‌های باگ بانتی آموزش داد.نوری گفت: باید از نظر حقوقی نیز از هکرهای کلاه سفید شناس و همچنین از هکرهای کلاه سفید ناشناس در صورت شناسایی حمایت کرد تا شرکت‌های خصوصی و سازمان‌ها و نهادها بعد از دریافت گزارش، علیه این افراد اقدام به جرم نکنند. وی افزود: اگر روزی شاهد حضور سازمان‌های دولتی در پلتفرم‌های باگ بانتی بودیم که هر هکر کلاه سفیدی فارغ از شناس بودن یا ناشناس بودن بتواند آن را بررسی کند و بدون دردسر، حق الزحمه دریافت کند، می‌توانیم مدعی شویم از عمده ظرفیت این حوزه بدرستی استفاده می‌کنیم.

پرداخت حق‌الزحمه و پاداش
کاظم فلاحی کارشناس امنیت سایبری معتقد است،این اقدام معاونت علمی و فناوری در صورت داشتن سازوکار درست می‌تواند از توان ظرفیت هکرهای کلاه سفید داخلی بخوبی استفاده کند.
فلاحی گفت: اگر هدف صرفاً شناسایی و احراز هویت هکرهای کلاه سفید باشد برای بخش امنیت سایبری کشور هیچ فایده‌ای ندارد، چون آنها حاضر نیستند با دولت و حاکمیت ارتباط مستقیمی بگیرند و خود را با آنها درگیر کنند، چون به علت برخوردهای پیشین سازمان‌ها حس اعتماد از بین رفته است. وی با بیان اینکه این اقدام خود با چالش‌هایی نیز روبه‌رو خواهد بود، گفت: متأسفانه چالشی که وجود دارد این است وقتی حاکمیت دنبال شناسایی هکرها چه کلاه سفید و کلاه سیاه باشد، این حس ایجاد می‌شود که آنها تنها به‌دنبال تهیه دیتابیسی از هکرها هستند تا اگر فردا روزی مشکلی پیش آمد، آن را گردن این گروه بیندازند.

این کارشناس امنیت سایبری با اشاره به اینکه به نظر نمی‌رسد هکرهای کلاه سفید از این اقدام استقبال کنند، افزود: مگر اینکه معاونت علمی و فناوری ریاست جمهوری برنامه‌ای برد- برد را پیاده‌سازی کند، به عبارتی کلاه سفیدها به شرطی احراز هویت می‌شوند که کاری به آنها سپرده شود و درآمدزایی کنند و مزیتی برای آنها داشته باشد و حمایت شوند. این کارشناس امنیت سایبری اعتقاد دارد احترام و روی خوش نشان دادن به هکرهای کلاه سفید خط قرمز آنهاست و انتظار دارند وقتی باگی را شناسایی می‌کنند نه تنها به آنها با احترام رفتار شود، بلکه پاداشی دریافت کنند. این در حالی است که در کشور ما برعکس است و سازمان‌ها و نهادها نه تنها روی خوش نشان نمی‌دهند، بلکه علیه‌شان اعلام جرم می‌کنند. وی گفت: هکرهای کلاه سفید که قصد تخریب ندارند و اگر آنها به‌دنبال تخریب بودند که آسیب‌پذیری را به سازمان‌ها یا نهادهای مربوطه اعلام نمی‌کردند. آنها می‌توانستند به طریق دیگری اقدام کرده و برای سازمان مشکل ساز شوند. کاظمی افزود: باید سازمان‌ها و نهادها دید خود را درباره این دسته از هکرها بهتر کنند دقیقاً مانند امریکا؛ وزارت دفاع امریکا برای اینکه باگ‌های خود را شناسایی کند، پلتفرمی باگ بانتی به‌نام Hack the Pentagon را راه‌اندازی کرده و به هر کسی که باگی را شناسایی و اطلاع دهد، پاداش پرداخت می‌کند و باید گفت این روند از سال ۲۰۱۰ ادامه دارد و حتی دیگر شرکت‌های بزرگ مانند گوگل و فیسبوک و... نیز از این اقدام استقبال می‌کنند.

این کارشناس معتقد است وضعیت سایبری کشورمان خوب نیست ،اکنون سازمانی نمی‌تواند ادعا کند که تاکنون هک نشده است و گاهی هم خبرهایش منتشر می‌شود. بنابراین برای شناسایی آسیب‌پذیری‌ها باید دست به دامن هکرهای کلاه سفید شد چون فقط آهن، آهن را می‌برد. براین اساس قبل از این که در سازمان‌ها و نهادها اقدام‌های تخریبی صورت بگیرد هکرهای کلاه سفید می‌توانند آنها را شناسایی کرده و مانع تخریب شوند.پارسا یوسفی دیگر کارشناس امنیت سایبری اعتقاد دارد که شناسایی و احراز هویت هکرهای کلاه سفید که به‌ دنبال شناسایی آسیب پذیری‌های فضای سایبری و رفع آنها هستند برای بخش امنیت شرکت‌ها هیچ آورده‌ای ندارد .بنابراین به نظرم اگر هکرهای کلاه سفید از طریق پلتفرم‌های باگ بانتی که در کشور ما هم شکل گرفته دور هم جمع شوند بهتر است. یوسفی گفت: هم اکنون سه پلتفرم باگ بانتی به‌نام‌های «راورو»، «باگ دشتی» و «کلاه سفید» در کشور فعال هستند و هکرهای کلاه سفید می‌توانند در آنجا احراز هویت شوند و رابط بین شرکت‌ها و سازمان‌هایی که نیاز به شناسایی آسیب‌پذیری دارند، باشند.این کارشناس با بیان اینکه هنوز مشخص نیست که ساز و کار معاونت علمی و فناوری ریاست جمهوری برای احراز هویت و شناسایی و ساماندهی هکرهای کلاه سفید چیست، افزود: مجوز راه‌اندازی پلتفرم‌های باگ بانتی را مرکز افتای ریاست جمهوری صادر می‌کند و با این اقدام اگر سازمان‌ها و نهادها نسبت به اهداف استفاده از هکرهای کلاه سفید اشنا باشند، این پلتفرم‌ها بهترین جا برای استفاده از آنها برای شناسایی آسیب پذیرهایی حتی در بخش زیرساخت‌های حیاتی کشور است.وی اعتقاد دارد وقتی نهادی از طریق این پلتفرم‌های باگ بانتی برای شناسایی آسیب‌های امنیت سامانه و سایت و... خود استفاده می‌کند، مسئول پلتفرم و مورد اطمینان خواهد بود.