روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ فکر می‌کنید چرا افراد یک آنتی‌ویروس را به آن یکی آنتی‌ویروس ترجیح می‌دهند؟ چون این یکی ارزا‌ن‌تر از آن یکی است؟ نه... چون به این آنتی‌ویروس اعتماد بیشتری دارند. چرا محققین امنیتی بیشتر وقت خود را صرف تحلیل فلان اپ می‌کنند و نه اپِ دیگری؟ چون به شرکت سازنده‌ی آن اپ اعتماد بیشتری دارند. هیچ کسب و کاری دلش نمی‌خواهد بهش خبر برسد میان محصولاتش آسیب‌پذیری پیدا شده است. پس، بله، اگر بخواهیم بطور کلی بگوییم، اساس انتخاب یک محصول یا شرکت همیشه بر پایه‌ی اعتماد است. تنها یک اشتباه برای سلب اعتماد کافیست؛ اما ایجاد اعتماد به مراتب کار سخت‌تریست. درست مثل یک برج می‌ماند که از هزاران آجر ساخته شده باشد- اگر یکی از آجرها را برداریم کل برج فرو خواهد ریخت؛ اما خود بخوبی می‌دانید ساختن برجی بلند چه کار طاقت‌فرسا و زمانبری است (باید با دقت یک به یک آجرها و خشت‌ها را روی هم بگذارید).

منطقه‌ی امنی برای محققین

ما در کسپرسکی از شما -مشتریان خودمان و البته مشتریان احتمالی‌مان- می‌خواهیم که به ما اعتماد کنید تا بتوانیم خشت خشتِ این برج را روی هم بگذاریم و آن را بلند و بلندتر سازیم. ما از پیش موفق به راه‌اندازی Global Transparency Initiative بوده‌ایم. امیدواریم از این طریق تا حد قابل‌قبولی در مورد کسب و کار خود شفاف‌سازی کرده باشیم. همچنین برنامه‌های باگ باونتی[1] خود را افزایش داده‌ایم.

و حالا با افتخار اعلام می‌کنیم به پروژه‌ی Disclose.io شرکت  Bugcrowd پیوسته‌ایم تا تضمین دهیم قرار نیست به لحاظ قانونی کسانی را که قصد دارند روی محصولات ما تحقیق انجام دهند و در آن‌ها آسیب‌پذیری پیدا کنند مورد حمله قرار دهیم (کما اینکه شرکت‌ها این کار را زیاد انجام می‌دهند).

شرکت Bugcrowd در آگوست سال 2018 با مشارکت محقق امنیتیِ برجسته آمیت الازاری، پروژه‌ی Disclose.io را راه‌اندازی کرد تا برای محفاظت از سازمان‌ها و محققین فریم‌ورک روشن و قانونی را ارائه دهد. اساساً پروژه‌ی Disclose.io کارش ارائه‌ی مجموعه‌ایست از توافقات بین کسب و کارها و محققین.

تمامی شرکت‌هایی که به Disclose.io ملحق شدند، پیروی از این توافقات را پذیرفته‌اند و متقابلاً محققین هم همینطور. این توافقات بسیار ساده‌اند. خیلی راحت می‌شود آن‌ها را خواند و درک کرد- بگذریم که صدها زیرمجموعه در آن وجود دارد و در جای‌جایِ متن فونت‌ ریز است (که شاید توافقات قانونی را غیرقابل پردازش کند). شما می‌توانید واژگان اصلی را روی GitHub پیدا کنید و همین می‌تواند به شفاف‌سازی بیشتر کمک کند؛ داکیومنت‌های روی GitHub را نمی‌شود بدون اینکه کل مجموعه بر آن صحه بگذارند تغییر داد.

این توافقات کسب و کارها را ترغیب می‌کند تا محققین را به خاطر پژوهش‌شان تنبیه نکنند و در عوض برای درک آسیب‌پذیری‌ها و برطرف‌سازی‌شان شانه به شانه با آن‌ها همکاری و مشارکت داشته باشند. کسب و کارها در حقیقت بر پایه‌ی همین مشارکت متوجه می‌شوند خود نیز می‌توانند سهمی در امنیت محصولات داشته باشند. از طرفی دیگر، این توافقات محققین را ملزم می‌دارد در مورد آسیب‌پذیری‌هایی که پیدا می‌کنند مسئول باشند- پیش از اینکه مشکل برطرف شود آن را علنی نکنند؛ بواسطه‌ی دسترسی‌شان به اطلاعات، سوءاستفاده نکنند؛ از فروشندگان پول اخاذی نکنند و غیره.

به طور خلاصه، Disclose.io اساساً می‌گوید: «محققین و کسب و کارهای گرامی، اگر هر دو رفتار درستی داشته باشید هر دو نیز از مزایایی بهره‌مند خواهید شد». ما تماماً این جمله را قبول داریم و به همین دلیل است که از این حرکت Disclose.io حمایت می‌کنیم.

البته مشتریان ما نیز از این اقدام نفع خواهند برد. هرچه محصول یا سرویس بیشتر به لحاظ امنیتی مورد برسی قرار گیرد ایمن‌تر خواهد شد. «امنیت» برای راه‌حل‌های امنیتی رکن اساسی است.

[1]Bug bounty program، برنامه‌ای که باگ‌ها را گزارش می‌دهد به خصوص باگ‌هایی که باعث سوء استفاده و آسیب پذیری می‌شوند، و اینکه در ازای گزارش این باگ‌ها افراد پاداش دریافت می‌کنند و یا به رسمیت شناخته می‌شوند.