به نقل از خبرنامه‌ی شماره‌ی 34 پادیوم :

عصر سه‌‎شنبه 12 اسفندماه، گپی با مدیرعامل و راهبر کسب‌وکار راورو داشتیم و از زبان خود آن‌ها درباره‌ی تجربه‌ی راورو در راستای افزایش امنیت در فضای سایبری کسب‌وکارها و نهادهای کشور شنیدیم. محمدامین کریمان و مرضیه لکزایی، مدیرعامل و راهبر کسب‌وکار راورو در این مصاحبه با ما همراه بودند.

در ابتدای صحبت از تجربیاتتان بگویید و این‌که چطور تصمیم به راه‌اندازی سامانه‌ی راورو گرفتید؟

محمدامین کریمان: داستان شکل‌گیری راورو به سال 1397 برمی‌گردد. من و کاظم فلاحی که جزو موسس‌های اصلی راورو است، از سال 1390 در پروژه‌های مختلف امنیت سایبری (Cyber Security) درگیر بودیم. با توجه به تجربه‌ای که داشتیم، هم به‌صورت کارفرما و هم به‌صورت پیمان‌کار کار کرده بودیم و به نوعی هر دو سمت میز امنیت نشسته بودیم و با تمام چالش‌ها آشنایی کامل داشتیم. سال 1397 در اثر هک و افشای اطلاعاتی که برای یکی از کسب‌وکارها پیش آمد و رسانه‌ای شد، همراه با یکی دیگر از محققین امنیتی، تجربه‌ی ارائه‌ی گزارش آسیب‌پذیری به یکی از آن کسب‌وکارها را داشتیم؛ اما متاسفانه آن کسب‌وکار راهکاری برای ارائه‌ی پاداش و »باگبانتی» نداشت و همان‌جا جرقه‌ی راورو برایمان زده شد. در سال 2012 ،باگب‌انتی در سراسر جهان جا افتاده بود؛ اما در ایران شرکت‌های بسیار کمی بودند که به این مسئله اهمیت می‌دادند. به طور مثال، مجموعه‌ی کافه بازار، ابرآروان و ... به باگبانتی توجه داشتند؛ اما به جز این چند مورد، این مسئله موردتوجه شرکت‌های دیگر قرار نگرفته بود. به همین دلیل، ایده‌ی راه‌اندازی پلتفرم باگ‌بانتی بومی به ذهنمان رسید و کار را از آنجا شروع کردیم.

تفاوت باگ‌بانتی و باگ‌هانتینگ را برای ما توضیح می‌دهید؟

محمدامین کریمان: باگ‌بانتی و باگ‌هانتینگ یک تفاوت عمده دارند. در هر دو مورد، در نهایت گزارش آسیب‌پذیری اعلام می‌شود؛ اما در باگ‌بانتی چارچوب از قبل مشخص شده است و شرکت‌ها با توجه به قوانینشان اعلام می‌کنند که اگر آسیب‌پذیری خاصی گرفته شود برایشان مهم است و حاضرند بابت آن هزینه پرداخت کنند. هم‌چنین عنوان می‌کنند که بعضی از آسیب‌پذیری‌ها برایشان اهمیتی ندارند. در مقابل، در بحث باگ‌هانتینگ، متخصص امنیتی در اینترنت می‌گردد و اگر آسیب‌پذیری را کشف کند، از یک کانال سعی می‌کند اطلاعات را به آن کسب‌وکار ارائه بدهد. در باگ‌هانتینگ چون هیچ چارچوب و زیرساختی برای پذیرش آسیب‌پذیری در کسب‌وکار تعریف نشده، با متخصص به درستی برخورد نمی‌شود. از طرفی چون متخصص نمی‌داند دقیقا باید چه کاری انجام بدهد، ممکن است خطوط قرمز کسب‌وکار را نقض کند که این ماجرا چالش‌های بسیاری را به وجود می‌آورد.

یعنی به نوعی کسب‌وکار می‌تواند مدعی شود که مورد حمله یا باج‌گیری واقع شده؟در این زمینه قوانین ایران چه می‌گویند؟

محمدامین کریمیان: در باگ‌هانتینگ عموما ادبیات مشترک بین کسب‌وکار و فرد شکل نمی‌گیرد. خیلی از کسب‌وکارها ممکن است با دریافت گزارش آسیب‌پذیری از شما تقدیر کنند؛ اما در عین حال ممکن است یک کسب‌وکار به مراجع قضایی شکایت کند؛ چون خلا قانونی در این مسئله وجود دارد. در دنیا در حوزه‌ی باگ‌هانتینگ، گزارش‌های آسیب‌پذیری‌ای که عموما متخصصین به‌صورت آزاد پیدا می‌کنند، توسط نهادهای ناظر و متولی دریافت می‌شود. ما در کشور سه نهاد ناظر در زمینه امنیت اطلاعات داریم: پلیس فتا، مرکز ماهر و افتا نهاد ریاست جمهوری. این سه نهاد گزارش‌های باگ‌هانتینگ را دریافت می‌کنند و به غیر از این سه نهاد، ورود اشخاص و شرکت‌های خصوصی غیرقانونی است. در باگ‌بانتی چارچوب کاملا مشخص است و محدوده‌ی پرداخت مشخص شده و متخصص می‌داند کاری که انجام می‌دهد غیرقانونی نیست و کسب‌وکار می‌داند در ازای گزارش‌های آسیب‌پذیری‌ای که دریافت می‌کند باید هزینه پرداخت کند.

ارزشی که شما به‌عنوان یک پلتفرم خلق می‌کنید چیست؟ چه نگرانی‌هایی در این زمینه وجود دارد و چه راهکاری دارید؟

مرضیه لکزایی: قبل از ما تلاش‌هایی با هدف ارائه‌ی باگ‌بانتی به‌صورت پلتفرم انجام شده بود. اما مهم‌ترین مسئله در پلتفرم این است که شما زبان مشترک برای هر دو سمت پروژه داشته باشید. در واقع ما سعی می‌کنیم در مسیر باگ‌بانتی هم‌قدم و همراه متخصصان امنیت و کسب‌وکارها باشیم تا در صورت وجود چالش، با کمک هم آن را بررسی و حل کنیم.

چه تضمینی وجود دارد که یک کسبوکار، در فرآیند شناسایی آسیب، خود آسیب نبیند؟

محمدامین کریمان: اتفاقا این نکته چالش بسیاری از کسب‌وکارها است. حقیقت این است که ما در راورو به هیچ عنوان امنیت را صددرصد تضمین نمی‌کنیم و با مشتریانمان صادقانه برخورد می‌کنیم؛ اما نکته‌ی اصلی که گفته می‌شود این است که ما یک معامله انجام می‌دهیم. یک کسب‌وکار یک سری آسیب‌پذیری‌ها دارد که خودش هم از آن‌ها خبر ندارد. ما بر اساس توافقی که از قبل کردیم، با ارائه‌ی گزارشی که مناسب باشد، هزینه را دریافت می‌کنیم ولی اگر آن سند به کار کسب‌وکار نیاید هیچ هزینه‌ای پرداخت نمی‌کند. شکارچی‌ها با هکرهای کلاه سیاه تفاوت زیادی دارند. شکارچیان، محققان امنیتی هستند، قصد کمک دارند و مشکلی برای چارچوب‌های کسب‌وکارها به وجود نمی‌آورند. ما به هر دو طرف این اطمینان را داده‌ایم. اگر شکارچی بر اساس قوانین گزارش را کامل کند، مطمئنا پولش می‌رسد. همچنین کسب‌وکار هم، زمانی پول را پرداخت می‌کند که متخصص بر اساس قوانین رفتار کرده باشد. در نهایت این یک اتفاق برد-برد است. روند ما پارامترهای مختلفی تعریف کردهایم تا فرآیند کاملا شفاف باشد. روند ارزش‌گذاری کاملا در سایت توضیح داده شده است و راورو به عنوان واسط و شخص ثالث کار ارزیابی را انجام می‌دهد. با این روش، هر دو طرف اعتماد بیش‌تری می‌کنند. تمام این‌ها باعث شده تا میزان خطر احتمالی به حداقل برسد و این قضیه برای کسب‌وکار و متخصص امنیتی یک نقطه‌ی برد محسوب شود.

رمزنگاری تمام اطلاعات در راورو چه منفعتی برای کسب وکارها دارد؟

محمدامین کریمان: دست باالی دست بسیار است! ما با این‌که خودمان محقق امنیتی هستیم، می‌دانیم که یک یا چند متخصص پیدا می‌شوند که آسیب‌پذیری خود ما را کشف کنند. در سامانه‌ی ما اطلاعات آسیب‌پذیر و اطلاعات خیلی حساس از سامانه‌های دیگر تجمیع شده است. برای همین راورو هدف بسیار خوبی برای حمله است و اگر کسی به اطلاعات دیتابیس راورو دسترسی پیدا کند، مطمئنا به آسیب‌پذیری بسیاری از مشتریان راورو دسترسی پیدا کرده است. این دغدغه را از همان ابتدا داشتیم و راه‌حل این بود که تمام اطلاعات حساس، شامل اطلاعات حیاتی کسب‌وکارها یا اطلاعات هویتی متخصصان امنیتی را به صورت استاندارد رمز کنیم و رمزنگاری شده در دیتابیس ذخیره کنیم. کسب‌وکارها یا میدان‌هایی که بخواهند از این سرویس رمزنگاری شده استفاده کنند، اطلاعاتشان به شکل کاملا رمزنگاری‌شده بارگذاری می‌شود. و این به عنوان شرط و مزیت اصلی پلتفرم ماست که به آن بسیار اهمیت می‌دهیم.

متن کامل این گفت‌وگو را در منبع اصلی خبر، خبرنامه‌ی شماره‌ی 34 پادیوم بخوانید.