شرکت چارگون با هدف ارتقای سطح پایداری امنیتی و ایجاد ارتباط موثر با جامعه متخصصان امنیت سایبری، در ششمین رویداد CTB باگبانتی شرکت باگدشت حضور پیدا کرد؛ رویدادی که تداوم تجربهی موفق این شرکت در لیگ باگبانتی المپیک فناوری ۲۰۲۴ با همراهی شرکت راورو محسوب میشود.
شهباز توکلی، مدیر فنی چارگون: «باگبانتی سطح بالاتری از اهتمام به امنیت است»
شهباز توکلی، مدیر فنی چارگون، با توضیح نگاه فنی و ساختاری چارگون در این مسیر میگوید:«ما در حوزهی نرمافزارهای سازمانی یکی از معدود شرکتهایی هستیم که بهصورت عملی وارد فرایندهای باگبانتی شدهایم. این نشان میدهد امنیت برای چارگون نه یک شعار تبلیغاتی، بلکه بخشی از راهبرد توسعه است. ما تلاش میکنیم امنیت را به بخشی از فرهنگ نرمافزاری خود تبدیل کنیم.»
او ادامه میدهد: «در کشور ما نهادهایی مانند افتا و پدافند نقش قانونگذار و تدوینکنندهی استانداردها را دارند. این نهادها برای هر حوزهی کاری سندی تحت عنوان Protection Profile (PP) تعیین میکنند تا مشخص شود هر سکتور از مشتریان باید از نرمافزارهایی استفاده کنند که مطابق با چه سطح و نوعی از الزامات امنیتی طراحی شدهاند. آزمایشگاههای تخصصی امنیت، زیر نظر و با تایید همین نهادها فعالیت میکنند و بر اساس چارچوبهای مشخصشده، تستها و ارزیابیهای فنی را انجام میدهند. چنین الگوهایی نقشهی راه امنیت سیستمها هستند، اما نباید فراموش کنیم که محدود کردن امنیت به سناریوهای ازپیش تعریفشده کافی نیست؛ زیرا در واقعیت، حملات سایبری اغلب از مسیرهای پیشبینینشده و ترکیبی صورت میگیرند؛ روشهایی که حتی در پروفایلهای رسمی امنیتی نیز بهطور کامل پوشش داده نشدهاند.»
توکلی تاکید میکند: «به همین دلیل است که باگبانتی را سطح دیگری از اهتمام به امنیت میدانیم؛ نه جایگزین استانداردهای رسمی، بلکه مکمل آنها. ما از تجربه و ذهنیت افراد خارج از شرکت استفاده میکنیم؛ از کسانی که نگاه متفاوت دارند و میتوانند ترکیبهایی از ضعفهای کوچک را به یک رخنهی بزرگ تبدیل کنند. این همان دیدگاهی است که باعث میشود شرکتهایی مثل ما، پیش از آنکه مهاجمان واقعی از نقاط ضعف سوءاستفاده کنند، بتوانند آنها را شناسایی و اصلاح کنند.»
مدیر فنی چارگون با تأکید بر اینکه در امنیت نرمافزار چیزی به نام پایان وجود ندارد، ادامه میدهد: «امنیت یعنی کاری مداوم و پویا. به همین دلیل، هر روزه شرکتهای بزرگ دنیا پچهای امنیتی منتشر میکنند؛ تصحیحهایی که یا توسط هکرهای کلاهسفید پیدا شدهاند یا پس از سوءاستفادهی کلاهسیاهها کشف میشوند. مفاهیمی مانند Zero‑Day دقیقاً به همین معناست: آسیبپذیریای که تازه کشف شده و هنوز اصلاحی برایش ارائه نشده است. یک مثال سادهاش همین آسیبپذیری جدید مرورگر کروم بود که هفتهی گذشته منتشر شد و به کاربران امکان دسترسی غیرمجاز به منابع سیستم میداد. این اتفاقها نشان میدهد امنیت مطلق وجود ندارد و راز بقا در تداوم یادگیری و اصلاح است.»
مهدی زرجوئی، مدیر امنیت چارگون: «سرمایهگذاری بلندمدت بر ایمنی نرمافزارها»
در ادامه، مهدی زرجوئی، مدیر امنیت چارگون، با اشاره به سابقهی تجربه موفق شرکت در پروژههای مشابه گفت: «ما از سال گذشته و با حضور در لیگ باگبانتی المپیک فناوری، این مسیر را آغاز کردیم. در آن رویداد، حدود ۷۰ متخصص امنیت یا بهاصطلاح هکر کلاهسفید از سراسر کشور سامانههای متنوع محصولات نرمافزاری ما را مورد آزمون قرار دادند. خروجی آن تجربه برای ما بسیار ارزشمند بود؛ چرا که چند آسیبپذیری واقعی کشف و اصلاح شد و به کشفکنندگان نیز پاداشهای ارزشمندی تعلق گرفت. همان همکاری باعث شد نگاه ما نسبت به تهدیدات امنیتی از حالت واکنشی به پیشگیرانه تقویت شده و تبدیل به یک رویکرد دائمی شود.»
زرجوئی ادامه میدهد:«در چارگون، «امنیت» بخشی از چرخهی توسعهی نرمافزار است. ما تیمهای تست نفوذ داخلی داریم که بهصورت دورهای سامانهها را از نظر امنیتی بررسی میکنند، اما هدف از شرکت در رویدادهایی مثل باگبانتی، گسترش دایرهی دید است؛ اینکه از جوانان، متخصصان و پژوهشگران بیرون از ساختار خودمان هم ایده و تجربه بگیریم. این رفتار، گرچه ممکن است در نگاه اول ریسکپذیر به نظر برسد، در واقع نوعی سرمایهگذاری بلندمدت است. هر گزارشِ امنیتی ثبتشده، حتی اگر در نهایت تأیید نشود، کمک میکند درک ما از سطح ایمنی افزایش یابد.»
زرجوئی با اشاره به مسئولیتپذیری چارگون در برابر گزارشهای دریافتشده اضافه میکند:«در رویداد امسال، با همراهی شرکت باگدشت، ما هنوز منتظر نتایج ارزیابی امنیتی هکرهای کلاه سفید و متخصصان امنیت هستیم.هیچ گزارشی بدون تحلیل در چارگون بایگانی نمیشود. رویکرد ما مبتنی بر شفافیت و پاسخگویی است و هدف نهایی، افزایش اعتماد سازمانهای مشتری به امنیت محصولات دیدگاه است.»
مدیر فنی چارگون در پایان تأکید میکند: «امنیت برای ما فقط شامل حفاظت فنی نیست، بلکه شامل فرهنگ سازمانی، آموزش مداوم و تعامل سازنده با جامعهی امنیتی است. ما باور داریم امنیت نه با مرزهای فنی بلکه با همکاری انسانی پایدار میشود. مشارکت در این رویدادها بخشی از مسئولیت حرفهای ما در برابر کاربران، سازمانها و جامعهی فناوری کشور است.»
