مدیرعامل چارگون: سازمان‌هایی که امنیت را نادیده بگیرند، بی‌اعتبار خواهند شد

رحمانی: امنیت محصولِ تعامل است؛ تعامل بین توسعه‌دهنده، ناظر، رگولاتور، کارفرما، کاربر و حتی رسانه

حملات سایبری گسترده‌ اخیر نشان داد که امنیت، فقط یک دغدغه فنی نیست؛ بلکه مؤلفه‌ای بنیادین برای بقا و پیشرفت در دنیای دیجیتال است. «فرزاد رحمانی»، مدیرعامل چارگون، در گفتگو با دیجیاتو، از مسئولیت‌پذیری سازمان‌ها، تجربه‌ باگ‌بانتی، تفکر امنیت‌محور در توسعه محصول و لزوم شکل‌گیری یک اکوسیستم امنیتی می‌گوید.

رحمانی در این گفتگو نگاهی ساختاری، فرهنگی و فنی به امنیت اطلاعات دارد و تأکید می‌کند: «امنیت نباید در لحظه آخر به محصول دوخته شود؛ بلکه باید از لحظه تولدش در تار و پود آن تنیده باشد.»

متن این گفتگو را می‌خوانید.

امنیت؛ جنگی خاموش، اما واقعی

رحمانی با اشاره به حملات سایبری اخیر که باعث اختلال جدی در خدمات بانکی و رمزارزی کشور شد، می‌گوید: «ما در یکی از پرمخاطره‌ترین برهه‌های تاریخ فناوری کشور زندگی می‌کنیم. این یک جنگ واقعی است؛ فقط صدای گلوله ندارد. جنگی که زیرساخت‌های بانکی، صرافی‌های دیجیتال، و حتی زندگی روزمره مردم را هدف قرار می‌دهد.»

او ادامه می‌دهد: «دیگر کسی نمی‌تواند بگوید امنیت سایبری یک موضوع دور از ذهن یا انتزاعی است. مردم در هفته‌های اخیر و با حملات سایبری به دو بانک و یکی از بزرگترین صرافی‌های دیجیتال کشور با پوست و استخوان‌شان درک‌ کردند که آسیب به زیرساخت‌های دیجیتال و اطلاعات یعنی مختل شدن زندگی روزمره‌. اینکه بانک کار نمی‌کند، صرافی قطع شده، یا داده‌هایشان در خطر است. این یعنی امنیت اطلاعات، امنیت دارایی‌ها و امنیت روانی  جامعه.»

امنیت، جزئی از DNA محصول

رحمانی با تاکید بر اینکه امنیت باید در همه‌ سطوح طراحی، توسعه، تست و ارائه خدمات جاری باشد، می‌گوید: «از زمانی که به یک محصول فکر می‌کنیم، امنیت در ذهن ما اولویت دارد. اگر این کار را نکنیم، حتی بهترین محصول هم بدون امنیت، ارزشی برای ارائه ندارد. امنیت چیزی نیست که مثل یک پَچ در آخرین لحظه اعمال شود، بلکه باید از ابتدا طراحی و پیاده‌سازی شود.»

مدیرعامل چارگون ادامه می‌دهد:«برای ما، امنیت فقط گرفتن گواهی نیست. تفکر امنیت‌محور باید در فرهنگ سازمانی نهادینه شود. هرکس در تیم باید بداند محصولی که می‌سازد، باید بتواند در برابر تهدیدات واقعی دوام بیاورد.»

گواهی امنیت؛ برچسب نیست، سند مسئولیت است

مدیرعامل چارگون با رد نگاه تزئینی به گواهی‌نامه‌های امنیتی می‌گوید:«ما گواهی افتا هم برای محصول و هم برای  خدمات‌مان داریم، همچنین تأییدیه امنیتی از سازمان پدافند غیرعامل. اما برای ما، گواهی پایان راه نیست. اینها فقط مهر تأییدی بر بینش و فرآیندی ا‌ست که در سازمان ما جاری است. از دید ما، گواهی یک لوگو نیست؛ یک سند تعهد است.»

او در ادامه با اشاره به گواهی‌ها و مجوزهای امنیتی توضیح می‌دهد: «بحث گواهی امنیتی برای برخی صرفاً یک مدرک یا لوگوی اعتماد است، اما معتقدم این موضوع، نتیجه یک فرآیند پیچیده و مسئولانه است. همان‌طور که شما از یک دارو انتظار دارید گواهی تأییدیه سلامت داشته باشد تا با اطمینان خاطر از آن استفاده کنید، کاربران هم باید مطمئن باشند که نرم‌افزارها از منظر امنیت مورد ارزیابی قرار گرفته‌اند. اما مهم‌تر از خود گواهی، مسیری ا‌ست که به آن ختم می‌شود. یعنی تعهد به استاندارد، آمادگی پاسخگویی، و شفافیت در مواجهه با تهدیدات.»

چالش ساختاری و راهکار پیشرو

رحمانی به چالش‌های موجود در ساختارهای امنیت سایبری کشور هم اشاره دارد: «ما در کشور با مشکلات ساختاری زیادی در این زمینه مواجه هستیم؛ از طولانی بودن فرآیندهای اخذ گواهی گرفته تا پراکندگی و تعدد نهادهای ناظر. اما راه‌حل، کنار گذاشتن گواهی نیست. اتفاقاً باید این مسیر را حرفه‌ای‌تر و چابک‌تر کنیم. نقد داریم، ولی اصل موضوع را انکار نمی‌کنیم. استاندارد، اگرچه ممکن است سخت‌گیرانه باشد، اما لازمه توسعه پایدار است.»

او تأکید می‌کند:«ما سال‌ها قبل از اینکه گرفتن گواهی الزامی شود، به‌طور داوطلبانه این مسیر را طی کردیم. چون می‌دانستیم مشتریان ما نیاز به اطمینان دارند و این اعتماد، با ادعا به‌دست نمی‌آید.»

باگ‌بانتی؛ نگاه آینده‌نگر به امنیت

رحمانی در باره ضرورت اجرای برنامه‌های باگ‌بانتی نیز توضیح می‌دهد:«ما در چارگون تصمیم گرفتیم محصولمان را در معرض ارزیابی عمومی متخصصان امنیت قرار دهیم. با همکاری دو شرکت ناظر (باگ‌دشت و راورو)، محصول را منتشر کردیم تا هر متخصص امنیتی که توانایی کشف آسیب‌پذیری دارد، بررسی و گزارش کند.»

او با اشاره به فرهنگ‌سازی این حرکت می‌گوید:«امنیت همیشه با ترس و نگرانی دیده شده. انگار موضوعی است که فقط باید درِ گوشی درباره‌اش صحبت کرد. اما توصیه‌ من این است که با شفافیت با آن روبه‌رو شویم. امنیت با ترس حاصل نمی‌شود، با دانایی و مشارکت حاصل می‌شود.»

رحمانی ادامه می‌دهد:«ما متعهدیم که باگ‌بانتی را ادامه دهیم، ارزیابی‌های امنیتی را به‌طور دوره‌ای انجام دهیم، گواهی‌ها را به‌روز کنیم و با مشاوران امنیتی در تعامل دائم باشیم. در کنار این، تیم امنیتی اختصاصی داریم که روی امنیت در لایه‌های مختلف تمرکز دارد.»

مدیرعامل چارگون به نقش کل اکوسیستم دیجیتال در امنیت اشاره می‌کند: «هیچ شرکت یا فردی به‌تنهایی نمی‌تواند امنیت را تضمین کند. امنیت محصولِ تعامل است؛ تعامل بین توسعه‌دهنده، ناظر، رگولاتور، کارفرما، کاربر و حتی رسانه. تا وقتی فقط یک حلقه فعال باشد و بقیه بی‌تفاوت، پیشرفتی حاصل نمی‌شود. ما نیاز به یک فرهنگ امنیتی فراگیر داریم. این فرهنگ باید از مدیران ارشد شروع شود؛ چون وقتی مدیر یک سازمان امنیت را جدی بگیرد، این اهمیت به لایه‌های پایین‌تر منتقل می‌شود.»

او نتیجه‌گیری می‌کند:«اگر امنیت را سرمایه‌گذاری ببینیم، نه هزینه، آن‌وقت مسیر متفاوتی می‌رویم. چون نرم‌افزار فقط یک محصول  نیست، یک مسئولیت است. هرچه تعامل بین توسعه‌دهنده، ناظر، مصرف‌کننده و رسانه بیشتر باشد، امنیت واقعی‌تری شکل می‌گیرد.»

رحمانی در پایان تاکید می‌کند:«در آینده‌ای نزدیک، سازمان‌هایی که امنیت را نادیده بگیرند، نه فقط آسیب‌پذیر، بلکه بی‌اعتبار خواهند شد. مردم امروز آگاه‌اند، رسانه‌ها مطالبه‌گرند، و سرمایه‌گذاران به ریسک امنیتی حساس‌اند. امنیت، شرط بقا در آینده‌ای ا‌ست که اقتصاد دیجیتال در آن حرف اول را می‌زند و اعتماد، بزرگ‌ترین سرمایه برند است. این اعتماد، بدون امنیت دوام نمی‌آورد.»