حملات سایبری گسترده اخیر نشان داد که امنیت، تنها یک دغدغه فنی نیست؛ بلکه مؤلفه‌ای بنیادین برای بقا و پیشرفت در دنیای دیجیتال است. «فرزاد رحمانی»، مدیرعامل چارگون، در گفتگو با دیجیاتو، از مسئولیت‌پذیری سازمان‌ها، تجربه باگ‌بانتی، تفکر امنیت‌محور در توسعه محصول و لزوم شکل‌گیری یک اکوسیستم امنیتی می‌گوید. رحمانی در این گفتگو نگاهی ساختاری، فرهنگی و فنی به امنیت اطلاعات دارد و تأکید می‌کند: «امنیت نباید در لحظه آخر به محصول دوخته شود؛ بلکه باید از لحظه تولدش در تار و پود آن تنیده باشد.»

متن این گفتگو را می‌خوانید.

امنیت سایبری؛ نبردی خاموش در عصر دیجیتال

فرزاد رحمانی، مدیرعامل چارگون، با اشاره به سلسله حملات سایبری مخربی که اخیراً بخش‌های حیاتی زیرساخت‌های کشور، از جمله خدمات بانکی و رمزارزی را هدف قرار داده و باعث اختلال جدی در آن‌ها شد، وضعیت کنونی را به یک جنگ تمام عیار تشبیه می‌کند. او معتقد است ما در یکی از پرمخاطره‌ترین برهه‌های تاریخ فناوری کشور به سر می‌بریم؛ نبردی که هرچند صدای گلوله ندارد، اما پیامدهای آن به مراتب واقعی‌تر و ملموس‌تر از یک درگیری فیزیکی است.

این حملات، نه فقط به داده‌ها و زیرساخت‌ها آسیب می‌زند، بلکه مستقیماً زندگی روزمره شهروندان را مختل می‌کند. زمانی که سامانه‌های بانکی از کار می‌افتد، یا دسترسی به پلتفرم‌های تبادل رمزارز قطع می‌شود، مردم به وضوح درک می‌کنند که امنیت اطلاعات دیگر یک مفهوم انتزاعی نیست، بلکه مستقیماً با امنیت مالی، امنیت روانی و پایداری زندگی اجتماعی آن‌ها گره خورده است. این تجربیات تلخ، ضرورت توجه جدی و همه‌جانبه به امنیت سایبری را بیش از پیش آشکار می‌سازد.

جامعه امروزی، به ویژه پس از این دست حوادث، دیگر نمی‌تواند امنیت سایبری را نادیده بگیرد. هک شدن بانک‌ها، از دسترس خارج شدن صرافی‌ها، یا تهدید داده‌های شخصی، همگی نشانه‌هایی از آسیب‌پذیری عمیق در برابر حملات هستند. این واقعیت تلخ، بر اهمیت امنیت در تمامی ابعاد زندگی دیجیتال تأکید می‌کند و آن را به یک مؤلفه حیاتی برای تضمین آسایش و اعتماد عمومی تبدیل می‌نماید.

امنیت از نطفه محصول: رویکردی بنیادین در چارگون

مدیرعامل چارگون بر این باور است که امنیت نباید به عنوان یک وصله یا “پَچ” در مراحل پایانی توسعه محصول به آن افزوده شود، بلکه باید از همان لحظه اولیه شکل‌گیری ایده و طراحی محصول، جزء جدایی‌ناپذیر آن باشد. این بدان معناست که تفکر امنیت‌محور (Security-by-Design) باید در تمام فرآیند چرخه عمر توسعه نرم‌افزار (SDLC) جاری و ساری باشد؛ از مرحله جمع‌آوری نیازمندی‌ها و طراحی اولیه، تا کدنویسی، تست، استقرار و نگهداری.

به گفته رحمانی، اگر این رویکرد اتخاذ نشود، حتی خلاقانه‌ترین و کاربردی‌ترین محصول نیز بدون داشتن بنیانی مستحکم از امنیت، ارزش واقعی خود را از دست خواهد داد. امنیت، در واقع، ارزش افزوده نیست، بلکه پیش‌شرط و ستون فقرات هر محصول دیجیتال مدرن است. این دیدگاه، نیازمند یک تغییر فرهنگی عمیق در سازمان‌هاست، به طوری که هر یک از اعضای تیم، از توسعه‌دهنده گرفته تا طراح رابط کاربری و مدیر پروژه، خود را در قبال امنیت محصول مسئول بدانند و نقش خود را در تقویت آن ایفا کنند.

در چارگون، مفهوم “امنیت” فراتر از صرفاً دریافت یک گواهینامه یا رعایت چک‌لیست‌های فنی است. این مفهوم در تار و پود فرهنگ سازمانی شرکت نهادینه شده است. هر فردی در تیم باید آگاهی داشته باشد که محصولی که در دست ساخت است، باید قادر باشد در برابر تهدیدات واقعی و پیچیده سایبری مقاومت کند و داده‌های کاربران را در هر شرایطی محافظت نماید. این دیدگاه جامع و فراگیر، به ایجاد محصولاتی با سطح بالاتری از اطمینان و پایداری منجر می‌شود.

گواهی‌نامه‌های امنیتی؛ نمادی از تعهد و مسئولیت‌پذیری

فرزاد رحمانی نگاه تزئینی به گواهی‌نامه‌های امنیتی را به شدت رد می‌کند و تأکید دارد که این اسناد، نه صرفاً یک برچسب یا لوگوی اعتماد، بلکه سند تعهد و مسئولیت‌پذیری سازمان در قبال امنیت است. چارگون نه تنها برای محصولات خود گواهی‌نامه افتا (سازمان فناوری اطلاعات) را داراست، بلکه تأییدیه‌های امنیتی از سازمان پدافند غیرعامل را نیز اخذ کرده است. با این حال، او معتقد است که دریافت این گواهی‌ها پایان راه نیست، بلکه مهر تأییدی بر بینش و فرآیندهای امنیتی است که به صورت مستمر در سازمان جاری و ساری است.

همانطور که مصرف‌کننده از یک دارو انتظار دارد گواهی تأییدیه سلامت داشته باشد تا با اطمینان کامل از آن استفاده کند، کاربران نرم‌افزارها و خدمات دیجیتال نیز حق دارند مطمئن باشند که محصولات مورد استفاده آن‌ها از منظر امنیت مورد ارزیابی دقیق قرار گرفته‌اند. این اطمینان، با صرف ادعا به دست نمی‌آید، بلکه نتیجه یک فرآیند پیچیده و مسئولانه است که شامل تعهد به استانداردهای بین‌المللی و ملی، آمادگی کامل برای پاسخگویی در برابر حوادث، و شفافیت حداکثری در مواجهه با تهدیدات امنیتی می‌شود.

رحمانی به چالش‌های ساختاری در فرآیندهای اخذ گواهی در کشور، از جمله طولانی بودن مراحل و تعدد نهادهای ناظر، اشاره می‌کند. با این حال، او تأکید دارد که راه‌حل این مشکلات، کنار گذاشتن گواهی‌ها نیست، بلکه باید این مسیر را حرفه‌ای‌تر، چابک‌تر و کارآمدتر ساخت. استانداردهای امنیتی، هرچند ممکن است سخت‌گیرانه به نظر برسند، اما لازمه و پیش‌نیاز توسعه پایدار در فضای دیجیتال هستند. چارگون سال‌ها پیش از آنکه اخذ این گواهی‌ها اجباری شود، به صورت داوطلبانه این مسیر را طی کرده است، زیرا به خوبی می‌دانسته که مشتریانش به این سطح از اطمینان نیاز دارند و این اعتماد، جز با عمل اثبات نمی‌شود.

باگ‌بانتی: پنجره‌ای رو به شفافیت و مشارکت

مدیرعامل چارگون به ضرورت و اهمیت اجرای برنامه‌های باگ‌بانتی (Bug Bounty) به عنوان یک رویکرد پیشرو در تأمین امنیت اشاره می‌کند. چارگون با هدف ارتقاء امنیت محصولات خود و استفاده از ظرفیت جامعه متخصصان امنیت، تصمیم گرفت محصول اصلی خود را در معرض ارزیابی عمومی قرار دهد. این فرآیند با همکاری دو شرکت معتبر ناظر، «باگ‌دشت» و «راورو»، به مرحله اجرا درآمد. در این برنامه، هر متخصص امنیتی با توانایی کشف آسیب‌پذیری، دعوت شد تا محصول را بررسی کرده و گزارش‌های خود را ارائه دهد.

این اقدام نه تنها به شناسایی و رفع نقاط ضعف احتمالی کمک کرد، بلکه نقش مهمی در فرهنگ‌سازی امنیت ایفا نمود. رحمانی تأکید می‌کند که امنیت همیشه با هاله‌ای از ترس و نگرانی دیده شده و غالباً به عنوان موضوعی محرمانه که تنها باید در گوشه‌ای از سازمان درباره آن صحبت کرد، تلقی می‌شود. اما او توصیه می‌کند که باید با شفافیت و جسارت با آن روبه‌رو شد. امنیت واقعی، با ترس به دست نمی‌آید، بلکه حاصل دانایی، مشارکت فعال و همکاری جمعی است.

چارگون متعهد است که برنامه‌های باگ‌بانتی را به صورت مستمر ادامه دهد، ارزیابی‌های امنیتی دوره‌ای را به طور منظم انجام دهد، گواهی‌نامه‌های امنیتی خود را به روز نگه دارد و با مشاوران برجسته امنیتی در تعامل دائم باشد. علاوه بر این، یک تیم امنیتی اختصاصی در چارگون وجود دارد که به صورت مستمر بر روی تقویت امنیت در لایه‌های مختلف محصولات و خدمات تمرکز دارد. این رویکرد جامع، نشان از درک عمیق چارگون از ماهیت پویا و رو به تکامل تهدیدات سایبری دارد و تعهد آن به حفظ بالاترین استانداردهای امنیتی را به اثبات می‌رساند.

اکوسیستم امنیتی؛ لازمه بقا در دنیای متصل

رحمانی به نکته‌ای حیاتی اشاره می‌کند: امنیت سایبری، مسئولیتی نیست که یک شرکت یا یک فرد به تنهایی بتواند آن را تضمین کند. امنیت، محصول یک اکوسیستم است؛ اکوسیستمی که نیازمند تعامل و همکاری نزدیک بین تمامی حلقه‌های درگیر است. این حلقه‌ها شامل توسعه‌دهندگان نرم‌افزار، نهادهای ناظر و رگولاتور، کارفرمایان، کاربران نهایی و حتی رسانه‌ها می‌شوند. او هشدار می‌دهد که تا زمانی که تنها یک حلقه از این زنجیره فعال باشد و سایرین در بی‌تفاوتی به سر ببرند، پیشرفت واقعی و پایداری در حوزه امنیت حاصل نخواهد شد.

مدیرعامل چارگون بر لزوم شکل‌گیری یک فرهنگ امنیتی فراگیر در سطح جامعه و سازمان‌ها تأکید می‌کند. این فرهنگ باید از مدیران ارشد سازمان‌ها آغاز شود؛ چرا که وقتی مدیران ارشد اهمیت امنیت را درک کرده و آن را جدی بگیرند، این دیدگاه به لایه‌های پایین‌تر سازمان نیز منتقل شده و به یک ارزش محوری تبدیل می‌گردد. این دیدگاه باید جایگزین تصور سنتی از امنیت به عنوان یک “هزینه” شود و به عنوان یک “سرمایه‌گذاری” برای آینده و بقای کسب‌وکار نگریسته شود.

او نتیجه‌گیری می‌کند که نرم‌افزار، فراتر از یک محصول صرف است؛ آن یک مسئولیت اجتماعی و اقتصادی محسوب می‌شود. هرچه تعامل بین توسعه‌دهندگان، نهادهای ناظر، مصرف‌کنندگان و رسانه‌ها بیشتر و عمیق‌تر باشد، امنیت واقعی‌تری شکل خواهد گرفت و پایداری بیشتری در فضای دیجیتال به وجود خواهد آمد. این همکاری چندجانبه، کلید مقابله با تهدیدات پیچیده و در حال تحول سایبری است.

امنیت؛ سرمایه‌گذاری برای اعتبار آینده

در دنیای امروز که به سرعت به سمت دیجیتالی شدن پیش می‌رود و اقتصاد دیجیتال حرف اول را می‌زند، امنیت دیگر یک انتخاب لوکس نیست، بلکه یک ضرورت انکارناپذیر برای بقای هر سازمانی است. فرزاد رحمانی در پایان سخنان خود با قاطعیت تأکید می‌کند که در آینده‌ای بسیار نزدیک، سازمان‌هایی که امنیت را نادیده بگیرند، نه تنها آسیب‌پذیر و در معرض حملات خواهند بود، بلکه اعتبار و مشروعیت خود را نیز از دست خواهند داد.

مردم امروز آگاه‌تر از گذشته‌اند و به مسائل امنیتی حساسیت بیشتری نشان می‌دهند. رسانه‌ها نیز نقش مطالبه‌گرانه خود را در این زمینه ایفا کرده و افکار عمومی را نسبت به حوادث امنیتی آگاه می‌سازند. از سوی دیگر، سرمایه‌گذاران نیز به ریسک‌های امنیتی بسیار حساس شده‌اند و حاضر نیستند سرمایه خود را در سازمان‌هایی که امنیت را جدی نمی‌گیرند، به خطر بیندازند. این عوامل، همگی دست به دست هم می‌دهند تا امنیت را به یکی از مهم‌ترین ستون‌های شهرت و اعتبار هر برندی تبدیل کنند.

در نهایت، رحمانی یادآور می‌شود که اعتماد، بزرگ‌ترین سرمایه هر برند در اقتصاد دیجیتال است. این اعتماد به سختی به دست می‌آید و به راحتی از دست می‌رود. بدون یک چارچوب امنیتی مستحکم و رویکردی مسئولانه نسبت به حفاظت از داده‌ها و حریم خصوصی کاربران، این اعتماد به هیچ وجه دوام نخواهد آورد. بنابراین، سرمایه‌گذاری در امنیت، در واقع سرمایه‌گذاری برای حفظ اعتبار، پایداری و موفقیت بلندمدت در فضای کسب‌وکار دیجیتال آینده است.

منبع: دیجیاتو