باگ بانتی قانونی: به شرکت‌های فعال حوزه «کشف نقص امنیتی» مجوز داده می‌شود

سازمان فناوری اطلاعات ایران برای صدور پروانه فعالیت به شرکت‌های فعال در حوزه «کشف نقص امنیتی» فراخوان داد. رییس سازمان فناوری اطلاعات ایران در گفتگو با دیجیاتو اعلام کرد یک سری شرکت‌ها وجود دارند که خدمات بررسی امنیتی به شرکت‌های آی‌تی محور می‌دهند و از هکرهای کلاه‌سفید تشکیل شده‌اند.

«امیر ناظمی» در همین رابطه گفت: «این شرکت‌ها به این صورت کار می‌کنند که یک شرکت متقاضی برای بررسی امنیت خود، از این مجموعه می‌خواهد که به یک سایت از زمان x تا y حمله کنید و هرکس باگ امنیتی پیدا کند، به ما اعلام کند. در این بین گروه داورانی نیز وجود دارد که بر اساس باگ به دست آمده، جایزه‌ای به هکر داده می‌شود.»

ناظمی اذعان دارد این موضوع در ایران به صورت قانونی وجود نداشته و اگر هم اتفاقی در این راستا رخ می‌داده، به صورت خودجوش بوده و در چارچوبی وجود نداشته است. او این کار را خطرناک می‌داند و توضیح می‌دهد: «در این حالت، به نوعی رسما مجوزی صادر می‌شود برای حمله کردن هکرها. اما زمانی که خود مجموعه این موضوع را اعلام کند، دیگر حمله‌کندگان محکوم شناخته نمی‌شوند و کار غیرقانونی انجام نداده‌اند.»

خدمت «مسابقات کشف نقص امنیتی» به عنوان یکی از گرایش‌های خدمات عملیاتی امنیت فضای تولید و تبادل اطلاعات تعریف شده است. این خدمت در جهت ارتقای امنیت سازمان‌ها صورت گرفته است. ناظمی باور دارد که به رسمیت شناختن این مساله می‌تواند به امنیت سازمان‌ها کمک کند و از نشت اطلاعاتی که در سال‌های گذشته در بسیاری از سازمان‌های بزرگ رخ داده جلوگیری نماید: «همچنین درآمد برای هکرهای کلاه سفید به وجود می‌آید و کسی نمی‌تواند حق و حقوق آنها را نیز نادیده بگیرد. همچنین باید گفت با تحقق این موضوع در مقابل رخدادها پیشوازانه حرکت می‌کنیم تا امنیت بیشتری صورت بگیرد.»

ناظمی می‌گوید با صدور پروانه فعالیت برای برگزاری چنین رویدادهایی که در اصطلاح عامیانه به آنها باگ بانتی گفته می‌شود، شرکت‌ها می‌توانند از سازمان فناوری اطلاعات درخواست کنند تا با مجوزهای قانونی و زیر نظر نظارت‌های دقیق، هکرهای کلاه سفید معتبر و کاربلد برای امنیت بیشتر شرکت آنها تلاش کنند.

متقاضیان دریافت پروانه فعالیت در گرایش مذکور می توانند ضمن رعایت تمامی دستورالعمل‌ها و مقررات مرتبط با شرایط اعلام شده در آیین نامه ساماندهی خدمات امنیت فضای تولید و تبادل اطلاعات و همچنین مطابق با شرایط و الزامات مرتبط با این خدمت، پس از عضویت در سامانه جامع خدمات و محصولات افتا به آدرس اینترنتی https://arzyabi.ito.gov.ir نسبت به تکمیل فرم های مربوطه در گرایش مذکور اقدام کنند.