1. صفحه اصلی
  2. کارآفرینی
  3. با کارآفرینان
۱۶ آبان ۱۴۰۲ - ۰۹:۱۶

کارآفرینی برای هکرها

تجربه‌های رؤیا دهبسته، کارآفرینی که با راه‌اندازی یک کسب و کار در حوزه امنیت سایبری توانسته ده‌ها هکر ماهر کشور را در راستای تشخیص و سپس رفع ضعف‌های امنیتی سازمان‌های مختلف به کار بگیرد و بدین ترتیب از تهدید هکرها به عنوان فرصتی برای کارآفرینی استفاده کند برای علاقمندان این موضوع بسیار خواندنی است.

کارآفرینی برای هکرها

به دهه شصت اصلا نمی‌زند؛ انگار که یک دختر متولد ۱۳۷۳ یا نهایتا ۱۳۷۴ باشد اما دقیقا متولد نیمه دهه شصت است. ماجراهایی از ورود پلتفرم‌های تامین امنیت سامانه‌ها و سیستم‌های سکیوریتی سرویس تعریف می‌کند که یک جورهایی، تاریخ شفاهی استارتاپ‌های ایرانی محسوب می‌شوند. از دست و پنجه نرم کردن با قوانین جرم‌انگارانه بگیر تا چالش‌های سازمانی که داشته است. حالا اینجا روبه‌وری من نشسته است؛ صبور و مصمم. آن قدر مصمم که به عزم و تلاشش غبطه می‌خورم. در ارگان‌های زیادی کار کرده که تنها به دلیل زن بودنش، نتوانسته سمت رسمی مدیریتی بگیرد اما ناامید نشده؛ نه به فکر مهاجرت افتاده و نه جا زده. نامش رویا دهبسته است و در ماه‌های اولیه کارش، درست زمانی که کارآموز بوده، ‌ دو پروژه مهم بانکی انجام داده است. او در تاسیس مرکز ماهر- که سال‌ها مرجع واقعی امنیت کشور بود- نقش مهمی بازی کرده و البته که این همه ماجرا نیست. رویا دهبسته، همچنین توانسته که در راه‌اندازی واحد امنیتی رایتل نقش کلیدی داشته باشد. همه این‌ها، او را تبدیل به کارآفرینی می‌کند که به نوعی تاریخ زنده پلتفرم‌های امنیتی‌ کشور محسوب شود و خاطراتش را بسیار ارزشمند می‌کند. برخلاف آنچه که به نظر می‌رسید اصلا مغرور نیست و با طمانینه هر سوالی که داشته باشم را جواب می‌دهد. بدون سانسور و بدون اغراق.   همه این‌ها در کنار هم مصاحبه کارآفرین‌نیوز با رویا دهبسته را جالب و خواندنی می‌کند.


شما در چه خانواده‌ای متولد شدید و چند فرزند بودید؟ من متولد ۲۹ فروردین ماه سال ۱۳۶۵ هستم؛ من  فرزند اول خانواده‌ام و دوتا خواهر و یک برادر دارم که برادرم اکنون با من همکار است. یکی از خواهرهایم هم در مقطع ارشد تحصیل می‌کند ودیگری هم در همین حوزه فعال است. پدرم مدت‌ها پیش در در وزارت صنایع بودند و الان مدرس دانشگاه هستند. مادرم نیز معلم و فرهنگی بودند که حالا بازنشست شده اند. البته هر دو الان در کار کمک می‌کنند

یعنی پدرتان در وزارت «صمت» مشغول به کار بود؟ پس چه ‌شد که از صنایع سنتی که بیشتر با آن آشنا بودید، به صنایع فناورانه و های‌تک علاقمند شدید؟

فکر می‌کنم پیش از آن، به کامپیوتر علاقمند شدم. علاقه به همراهی  پدر در محل کارش، موجب شد با کامپیوتر آشنا شوم. سازمانی که پدر در آن کار می‌کرد، سنتی بود؛ اما منابع انسانی به روز و خوبی داشت. به جز این هم، پدرم دوست داشت که من دوره‌های بنیادی کامپیوتر را بگذارنم و بعد از آن، کم کم علاقه به کامپیوتر در من بیشتر شکل گرفت. آن زمانی که ما یاد گرفته بودیم با کامپیوتر کار کنیم، یعنی در زمان دبستان، به جای عروسک بازی، با کامپیوتر سرگرم بودم. آن زمان کامپیوتر برای من، جایگزین همه چیز شده بود. البته پدر و مادرم هم از من حمایت می‌کردند، دهه ۱۳۷۰ و ۱۳۸۰ آی‌تی و کامپیوتر تازه داشت جای خود را در سازمان‌ها و زندگی مردم پیدا می‌کرد. در همان زمان هم دوره‌های آموزش کامپیوتر برگزار می‌شد که من هم در آن‌ها شرکت می‌کردم.

این که دهه شصتی‌ها همیشه و برای هر فعالیتی یک صف طولانی جلوی خود داشتند، حالا دیگر تبدیل به یک مثل شده اما این داستان واقعا صادق بود. زمانی که ما، دهه شصتی‌ها باید در آزمون سراسری کنکور شرکت می‌کردیم، احساس می‌کردیم این آزمون بسیار دشوار است زیرا تعداد متقاضیان بسیار بالا بود. من در دانشگاه آزاد تهران قبول شدم و پدر و مادرم هم در تمام طول دانشجو بودنم از من حمایت می‌کردند و مساله‌ای با شهریه دانشگاه آزاد نداشتند؛ اما به نظر خودم هزینه‌های دانشگاه زیاد بود و من هم به عنوان فرزند اول خانواده، ‌ دوست نداشتم چنین مبلغی را بابت شهریه دانشگاه آزاد هزینه کنم.

فکر می‌کنم جزو اولین گروه‌هایی باشید که کامپیوتر را به عنوان رشته تحصیلی انتخاب کردند. این طور نیست؟ ‌سال ۱۳۸۳  تقریبا اولین یا دومین سالی بود که آی‌تی به عنوان یک رشته تخصصی در دانشگاه ارائه ‌شد و من هم تصمیم گرفتم که آن را به عنوان حرفه و رشته تخصصی خود دنبال کنم. شیوه ما اصلا و به هیچ وجه صرف درس خواندن نبود و من هم خدا را شکر می‌کنم که استادهای خوبی داشتیم و در آن زمان توانستیم ارتباط خوبی با سازمان‌ها شکل دهیم. در همان چهار سال، تعامل خوبی با سازمان‌های مختلف شکل دادیم و بالاخره در سال ۱۳۸۷ جذب یک شرکت حرفه‌ای و حوزه تحصصی سیستم‌های مدیریتی و امنیت اطلاعاتی شدم.

چه شد که به حیطه سیستم‌های امنیتی علاقمند شدید؟

من کارم را با کارآموزی در این حوزه شروع کردم  و تخصص من هم سیستم‌های امنیت اطلاعات و مدیریتی بود.

حوزه کارم در ابتدا و در زمان کارآموزی سیستم مدیریت امنیت بود و دو پروژه خوب را با تیم مستقر در سازمانی که در آن بودم  جلو بردم. کار در آن محیط، باعث شد ذهن من با تفکر سیستمی پی‌ریزی شده و شکل بگیرد؛ زیرا همان جا فهمیدم باید سیستمی فکر کرد و بعد هم برای تقویت این نوع تفکر و همچنین علاقه‌ام تصمیم گرفتم در مقطع کارشناسی ارشد، مهندسی صنایع در سازمان مدیریت صنعتی بخوانم. آن جا تعامل خوبی با اساتید داشتم و برای دکتری دوباره به رشته مدیریت آی تی برگشتم؛ زیرا فکر می‌کردم بحث‌های مدیریت سیستمی را به خوبی یاد گرفته‌ام و حالا زمان آن رسیده که دوباره پایه‌های آکادمیک خودم را در آی‌تی قوی کنم.

شما کارشناسی ارشد و دکتری را در یک دانشگاه بودید؟ نه؛ من در مقطع کارشناسی دانشگاه آزاد پرند و در مقطع ارشد سازمان مدیریت صنعتی بودم که معمولا مدیران صنایع در آن جا تحصیل می‌کنند. به همین دلیل هم دروس کاردبردی‌تر آموزش داده می‌شود. مقطع دکتری را هم در دانشگاه آزاد تهران جنوب گذراندم که حالا دو سالی است به پایان رسیده است.

ذهنیت شما از مدیرانی که می‌دیدید چه بود؟ با خودتان فکر می‌کردید اگر جای فلانی بودم عملکرد بهتری داشتم؟ راستش مدیرانی که در دوران ما حضور داشتند، همگی حرفه‌ای و متخصص بودند و به همین دلیل هم من بیشتر به تجربه و توانمندی‌های آنان غبطه می‌خوردم. دوست داشتم بدانم که چطور توانستند چنین مجموعه‌های بزرگی را  ساماندهی کنند و چه قدرت مدیریت عجیبی دارند. من خیلی به نکات منفی و مثبت‌شان کاری نداشتم و  بیشتر سعی می‌کردم از آنان یاد بگیرم. اکنون هم با بیشتر آنان در ارتباطات  هستم. بیشتر سعی می‌کنم وقتی با افراد تعامل دارم نکات مثبت را یاد بگیرم که مجبور نباشم آن نکته را خودم با هزینه خودم تجربه کنم.

کارآفرینی برای هکرها

نسبت تعداد خانم‌ها و آقایان در دوران تحصیل شما چگونه بود؟ در دوران کارشناسی، طیف خوبی از دانشجویان آی‌تی، خانم‌ها بودند اما خب برخی آن‌ها از ایران رفتند و برخی دیگر هم وارد بازار کار شدند و ادامه تحصیل ندادند. بسیاری از آقایان همکار ما هم  در ایران و هم خارج از ایران به موقعیت‌های خوبی رسیدند. راستش را بخواهید ما جزو نسل اول آی‌تی خوانده‌ها بودیم و برای همین بازار کار برای ما کاملا فراهم بود. البته بعدها و در مقطع کارشناسی ارشد تعداد خانم‌ها در سازمان مدیریت صنعتی کمتر بود؛ زیرا سازمان برای مدیران دولتی سهمیه قائل می‌شد. برخی از دانشجویان مانند ما کنکور داده بودند؛ اما بیشتر دانشجویان، جزو افرادی بودند که از سهمیه سازمانی استفاده کرده بودند. در دوران دکتری هم مجددا تعداد آقایان بسیار بیشتر از خانم‌ها بود.

فکر می‌کنید چرا؟ چون تحصیل در مقطع دکتری بیشتر جنبه‌ ارتقای کاری دارد و ما دوست داشته باشیم یا نه، بیشتر مدیران حوزه صنعت آی‌تی آقا هستند. خود من در چند جا کار کرده‌ام که می‌گفتند نمی‌توانند به یک خانم سمت مدیریتی بدهند؛ یعنی من به طور اسمی سمت، حقوق و اختیار عمل یک مدیر را داشتم اما به طور رسمی در مقام یک مدیر خانم پذیرفته نشدم.

صحبت‌های شما من را به فکر مهاجرت بچه‌های آی‌تی انداخت. آن زمان هم تب مهاجرت همین قدر قوی بود؟
نه به این شدت. حتی بچه هایی که الان ایران نیستند هم از ابتدا به فکر رفتن نبودند. مساله مهاجرت برای ما بعد از کارشناسی یا کارشناسی ارشد کمی پررنگ تر شد و اصلا در دوران کارشناسی به این شدت نبود. در آن زمان تنها افرادی که خانواده یا دوستانشان در کشوری دیگر مستقر شده بودند به خارج می‌رفتند. یعنی هیچکس دوست نداشت بدون هیچ دوست و آشنایی به یک کشور غریبه برود اما اکنون در دوران دکتری و ارشد همه می‌آیند که درس بخوانند و بروند
مساله مهاجرت چگونه به صنایع نوپا و جدیدی مانند شما آسیب نزده. تصور من این است که متخصصان حوزه شما بیشتر از بقیه صنایع به مهاجرت فکر می‌کنند.

در حوزه سایبرسکیورتی پذیرش خیلی راحت است و متخصصان امنیت می‌توانند هم به صورت تحصیلی و هم به صورت کاری، پذیرش بگیرند. ما برای برخی پروژه‌هایی با توانایی خاص، واقعا نیرو نداریم. مثلا شاید تنها پنج نفر در داخل ایران توانایی انجام یک پروژه خاص را دارند که از این پنج نفر،   یک نفر هم در حال انجام کارهای رفتن است و فرصت کافی برای انجام پروژه ندارد.

من وقتی پروژه‌هایی با توانایی خاص را قبول می‌کنم، واقعا حس می‌کنم که همه رفته‌اند اما برای پروژه‌های معمولی‌تر، این احساس چندان ملموس نیست. به هرحال، ما عادت کردیم در مصاحبه استخدامی از همه متقاضیان، بپرسیم که شما قرار است چند سال در ایران بمانید؟ به خصوص که متخصص امنیت به دیتاهای مهمی از سازمان‌ها دسترسی دارند و پراکنده شدن اطلاعات به این شکل واقعا خطرناک است

مساله امنیت که به درستی به آن اشاره کردید، تبدیل به یکی از نقطه‌های تاریک کشور شده است. آن هم در شرایط فعلی که vpn‌های ناامن امنیت برخی از کاربران را بیشتر از پیش به خطر می‌اندازند. شما که به دیتاهای خاص دسترسی دارید، ‌چه اقداماتی برای محافظت از داده‌هایی که محفوظ کردید، انجام می‌دهید؟

 به هرحال ما هم سخت‌گیری‌های خود را داریم و فیلترهای سختی برای کار می‌گذاریم ولی مهاجرت و از دست رفتن دیتاها، یکی از مسائلی است که باید آن را بپذیریم. علاوه بر این، یکی از مدیران امنیت، خانم آریا، به درستی می‌گفتند کارکنان سازمان‌های دولتی و خصوصی هم به دلیل نیاز به درآمدزایی بیشتر، جابه‌جا می‌شوند و این دیتاها مدام در حال چرخش است. یعنی متاسفانه همه می‌دانیم در کدام سازمان چه دیتایی وجود دارد. این مساله‌ای است که وقتی ریسورس‌ها محدود باشند و شما مجبور باشید از یک نفر برای بررسی سامانه چندین سازمان استفاده کنید، رخ می‌دهد و ریسک دسترسی به اطلاعات نیز بالاتر می‌رود.

راه‌حل ما این است که محیط یادگیری را در باگدشت گسترش دهیم تا هم مشکل امنیت حل شود و هم افراد رزومه قوی‌تری داشته باشند. من کارکنان اینجا را به سمتی سوق میدهم که برای هر یک سال که اینجا کار کنند، به اندازه پنج سال، روزمه‌شان را ارتقا دهند. به همین دلیل هم خارج رفتن دیگر آن قدرها، پررنگ نیست.

یعنی موفق شدید نیروهای جوان را حفظ کنید؟ من نمی‌گویم که آن‌ها نمی‌خواهند بروند؛ اما پیش خودشان فکر می‌کنند اگر پنج سال در این سازمان بمانم، به عنوان یک مدیر مهاجرت می‌کنم و نه به عنوان یک فرد جونیور. همین موجب شده بتوانیم نیروها را حفظ کنیم؛ زیرا آنان می‌بینند که پیشرفت می‌کنند و اتفاقات خوب کاری برای آنان رخ می‌دهد. درست است که همه می‌خواهند به سمت شرایط زندگی بهتر بروند؛ اما همین مساله نیروها را چند سال بیشتر نگه می‌دارد و اشتراک دانش صورت میگیرد.

همه این مسائل موجب نشده عرصه برای شما سخت شود و حالا خودتان به مهاجرت فکر کنید؟

همه این مسائل موجب نشده عرصه برای شما سخت شود و حالا خودتان به مهاجرت فکر کنید؟

راستش فکر کردن به مهاجرت برای هر کسی رخ می‌دهد؛ ولی خب موقعیت هر فرد با فرد دیگر متفاوت است. هر فرد اولویت‌های تصمیم‌گیری متفاوتی دارد. من فعلا  و در حال حاضر خوشحال هستم با تیمی که داریم و کاری که انجام می‌دهیم خشنودم. من حسی که باید از زندگی بگیرم را از مجموعه می‌گیرم و مهاجرت در حال حاضر، جزو اهداف ۴۰ سالگی من نیست.

برگردیم به تجربه‌های کاری شما؛ فکر می‌کنم نخستین جایی که مشغول به کار شدید، همان جایی بود که کارآموزی هم کردید. درست است؟ ‌

بعد از تقریباً یکی دو هفته که درسم تمام شد در شرکت پرورش داده‌ها جذب شدم. در اینجا هم به واسطه یکی از اساتیدم در حوزه ‌ISMS یعنی سیستم مدیریت امنیت اطلاعات کار می‌کردم. مشتری‌های این شرکت از سازمان‌های بزرگی بودند.

من همیشه روحیه‌ در جست‌وجوی ریسک‌ و چالش‌پذیر داشتم و اصلا به همین دلیل کارهای روتین را خیلی خوب انجام نمی‌دهم. در اولین شرکتی که کار را شروع کردم دو پروژه بزرگ انجام دادیم و در آن دو پروژه بسیار موفق عمل کردیم. بعد از آن دو پروژه، متوجه شدم دیگر قرار است همه چیز در آن سازمان تکراری باشد البته همان موقع هم حوزه‌های جدید دیگری وجود داشت که در آن‌ها مشغول به کار شوم؛ اما من نمی‌خواستم در حوزه‌ای که متخصص نیستم فعالیت کنم.

بعد از آن یک پیشنهاد همکاری داشتم. آن زمان یک کنفرانس در امارات در حوزه های جدید مفاهیم امنیت csirt برگزار شده بود. راجع به این همایش خواندم. امکان حضور در این کنفرانس را به دلیل محدودیت برای حضور مدیران، نداشتم اما محتوای ارائه‌شده در آن را خوب خواندم؛ درباره CERT بود و توانستم یک گایدلاین کاربردی از آن دربیاورم.

یکی دو ماه بعد از شرکت فناوری اطلاعات، تماسی از طرف یکی از دوستانم که می‌دانست من در حوزه ‌ISMS کار می‌کنم با من گرفته شد. او گفت که در حال راه‌اندازی مرکز «ماهر» هستند. سال ۱۳۸۸ بود. در یک مصاحبه شرکت کردم و چون می‌دانستم محتوای کار چیست خیلی علاقه‌مند بودم.

من شانس مشغول شدن در سازمان فناوری اطلاعات مرکز ماهر را داشتم. از آن جایی که خودم از پیش هم مراکز عملیاتی و امنیت را می‌شناختم و می‌دانستم چطور باید آن‌ها را پیاده‌سازی کنم، تصمیم گرفتم این چالش را قبول کنم. دوستان در مرکز ماهر بسیار به من لطف داشتند؛ از همان جا، چالش ساختن ایده نو در ماهر شکل گرفت. چیزی شبیه به همان اتفاقی که در شرکت رایتل هم رخ داد. موقعیت من هم در آن شرکت کاملا مشخص بود و من در حال رشد بودم؛ اما در آن زمان خیلی دغدغه مالی و ارتقای سطح اقتصادی نداشتم. راستش در آن دوره بیش از هر چیزی دوست داشتم درگیر فرصت‌ها و چالش‌های جدید و همچنین یادگیری باشم؛ زیرا من تصور می‌کنم که انسان تا ۳۰ سالگی باید خود را در معرض انواع چالش‌ها قرار دهد و سعی کند بیشتر یاد بگیرد تا بتواند دست پر به ۳۰ سالگی برسد. البته به خوبی می‌دانم بسیاری از افراد در همان زمان، بیشتر از من خود را در معرض چالش قرار می‌دادند؛ اما من هم در حد توان خودم، تمام سعی‌ام را کردم تا بتوانم آن تجربه‌هایی که لازم بود را کسب کنم. من در همان زمان و کم کم، به این نتیجه رسیدم که به هرحال مجبورم سازمان خودم را اداره کنم و دلیل محکمی هم برای این تصمیم داشتم؛ نقطه ضعف‌هایی در سازمان‌ها می‌دیدم که به نظرم ناشی از ایرادهای ساختاری و سیستمی بودند؛ بنابراین نمی‌شد آن‌ها را اصلاح کرد. درست است که موقعیت من در این شرکت‌ها، موقعیت خوبی بود اما هرچقدر هم که وضعیت شغلی من بهتر می‌شد، رضایت زیادی از جایگاهم نداشتم؛ زیرا اشکالاتی در سیستم وجود داشت که باید رفع می‌شد. به همین دلیل هم هر چقدر هم موقعیت شغلی من بهتر می‌شد، رفع برخی از مشکلات در توان من قرار نداشت.

همین هم یک دلیل خوب برای من بود که به جای این که همه توان و تلاش خود را به سازمانی اختصاص دهم که مشکلات سیستمی دارد، بر یک سازمان کوچک اما ایده‌آل تمرکز کنم. ما یک تیم کوچک شکل دادیم و شروع به پیشرفت کردیم؛ کم‌کم هم توسعه یافتیم. باگدشت دقیقا به همین سادگی شکل گرفت. البته باید در نظر بگیریم که در ابتدای این راه افراد بسیاری به ما کمک کردند.

در واقع همه هم‌کلاسی‌هایی که در دوران کارشناسی داشتم، تمام همکارانم در سازمان‌هایی که پیش از باگدشت در آن‌ها مشغول به کار بودم و حتی افرادی که زمانی کارفرمای آن‌ها بودم، همه به من و تیم باگدشت کمک کردند که بالاخره به اینجا رسیدیم و حالا حدود دو هزار هکر در کشور داریم. ۱۰۰ سازمان کوچک و بزرگ به ما اعتماد می‌کنند و قراردادهای متفاوتی در راستای تامین امنیت سایبری خود با ما می‌بندند. ما هم هر سال سرویس‌های خود را با خلاقیت‌ زیاد شکل می‌دهیم. تقریبا هر شش ماه یکبار هم هدف جدیدی برای خودمان در نظر می‌گیریم که باید به آن برسیم. این هدف‌ها، بر اساس نیازی که در سازمان‌ها احساس می‌کنیم شکل می‌گیرند و در واقع، در حد خودمان و بسیار بیشتر از پتانسیل‌های شرکتی که تازه پنج سال است که تاسیس شده، تلاش می‌کنیم و سرویس‌های خود را به روزرسانی می‌کنیم.

یعنی می‌شود گفت اصلاحات ساختاری و ایده‌آل‌گرا بودن، شما را به سمت کارآفرینی سوق داد یا این که خود کارآفرینی از ابتدای امر برای شما مقوله جذابی بود؟ ‌

قبل از این که وارد مباحت کارآفرینی شوم، اصلا نمی‌دانستم که کارآفرینی یعنی چه یا حتی متوجه نبودم که کارافرینی، چقدر سخت یا شیرین است. اما بیشتر از همه یک، مساله مرا تحت تاثیر قرار می‌داد و آن هم این که ممکن است محیط کار در برهه‌ای از مسیری که برای زندگی ترسیم کردید، جدا شود و به سمت دیگر برود. زمانی که مسیر شما از سازمان جدا شود، ادامه دادن امکان‌پذیر نیست. یعنی نقشه زندگی شما از نقشه راه سازمان جداست و نمی‌توانید مسیر اصلی زندگی  را با مسیر سازمان، یکسان کنید. فکر می‌کنید هر کاری لازم است را کرده‌اید، اما بهره و راندمان لازم را ندیده‌اید.

یعنی شما به عنوان کارمند و عضو یک مجموعه، همه اقدامات لازم را می‌کنید و مطمئن هستید که به بهترین نحو وظیفه‌ای که بر عهده شما گذاشته‌اند را انجام دادید؛ اما بودن خودتان را و فردیت خودتان را از دست داده‌اید. چیزی که من را خوشحال می‌کند، کارهای روتین بی نتیجه نیست. حدود ۱۲ سال، مساله تکراری و مشکل سیستمی، در موقعیت‌های مختلف تکرار می‌شد. مثلا در ماهر، اعضای تیم به کارمندانی تبدیل شده بودند که صرفاً باید در محل کار حاضر می‌شدند و این با اصل محوری که در مرکز ماهر تعریف کرده بودیم در تضاد بود و با شخصیت من هم سازگار نبود. ساختار به سمت بیشتر شدن بوروکراسی پیش می‌رفت و تغییر مدیریت هم آن را تشدید کرد. روحیه جنگوی من می‌گفت که شاید من اشتباه کردم و با ترفند و مدل دیگری جلو می‌رفتم اما بعد از ۱۰ یا ۱۲ سال، تازه فهمیدم تا یک نقطه خاص، در سازمان تاثیرگذار هستم. بعد از آن که بودن خودم را از دست دادم، به شدت ناراحت بودم. مسلما اولویت هر کس در ابتدا، خوشحالی و خشنودی خودش در زندگی است. فقط با خوشحالی و خشنودی، می‌توان در سازمان شکوفا شد، رشد کرد و به بقیه هم کمک کرد. درست در همان زمان من ناامید شدم که چرا در سازمان‌ها با این همه منابع نمی‌توان به نتیجه مورد نظر رسید.

به نظرتان این عدم کامیابی تقصیر مدیران بود؟ نمی‌توانم با اطمینان بگویم که تقصیر مدیران ارشد سازمان است؛ یا فرد خاصی موجب این همه مشکل شده است؛ مساله واقعا مساله‌ای سیستمی است. اعتقاد به سیستم بهره ور وجود ندارد و به همین دلیل همه، سعی می‌کنند وظیفه خود را بصورت تکراری انجام دهند اما این سعی منجر به نتیجه به نفع سازمان نمی‌شود.

پس دلیلش چیست؟ منظورم این مساله سیستمی است. خود ایراد سیستمی چگونه به وجود می‌آید؟

ما در سازمان‌ها هرگز مشکلات را سیستمی نگاه نکردیم و بصورت جزیره ای فکر و تصمیم گیری انجام میدهیم. تنها می‌خواهیم یک کار را انجام دهیم که آن را تمام کرده باشیم. با یک نگاه خوشبین، همه سعی می‌کنند وظیفه را در بهترین حالت ممکن انجام دهند اما نتیجه، مطلوب نیست‌ و این آزاردهنده است؛ به خصوص از دید یک فرد ایده‌آلیست که تصور می‌کند اگر من برای کاری فلان ساعت زمان می‌گذارد، آن کار حداقل باید ۸۰ درصد به نتیجه برسد. به همین دلیل هم من آزار می‌دیدم که همه تلاشم را می‌کنم اما آن نتیجه‌ای که شایسته تلاش‌های من است، عاید من و سازمان نمی‌شد. این جدا برای من آزاردهنده بود. در چنین مقطعی ما باید تصمیم بگیریم راه‌حل چیست یا باید ادامه داد یا بودن خود را فراموش کرد؛ البته یک راه دیگر هم این که باید راه و مسیر زندگی خود را عوض کرد. مسلما اولویت اول هر کس، در ابتدا شادی و خوشحالی خودش است تا این گونه بتواند به  بقیه نیز کمک کند و برای جامعه‌اش مفید باشد. من زمانی که از رایتل جدا شدم، ایده باگدشت را در ذهنم نداشتم؛ بلکه صرفا می‌دانستم باید شرکت امنیتی داشته باشم که سرویس‌های را دقیقا همان طوری که سازمان‌ها به آن نیاز دارند، ارائه دهم و نه آن گونه که قبل از باگدشت، تجربه کرده بودم.

من باید چنین شرکتی را تاسیس می‌کردم که خودم هم بتوانم ایده‌های خودم را در آن پیاده کنم. وقتی کاری درست انجام نمی‌شود و نتیجه درست نیست، هم سازمان ضربه می‌خورد و هم پیمان‌کار زیر سوال می‌رود که چرا وظیفه خود را درست انجام نداده است. این در حالی است که پیمان‌کار، وظایف خود را به نحو احسن انجام داده، اما مساله آنجاست که وظایف او، به درستی و سیستمی تعریف نشده است که عملکردش مورد قبول واقع شود

از شروع باگدشت توضیح دهید. این پلت‌فرم امنیتی چگونه شکل گرفت؟ من در آذر یا دی ماه سال ۱۳۹۷ زمان زیای برای آپدیت، مطالعه و بازار دنیا گذاشتم؛ در واقع از مهرماه ۱۳۹۷ همه کارهایم را کنار گذاشتم و چند ماهی را صرف خواندن و آپدیت دانسته‌هایم کردم تا اینکه در دی‌ماه ۱۳۹۷ شرکت جدید را با نام «تحلیلگران امن آریانا» ثبت کردم که اسم محصول‌مان را «باگدشت» گذاشتیم.

باگدشت یعنی چه؟ باگ (BUG) که مصطلح است. «دشت» هم دقیقاً از مفهوم عام کلمه «دشت کردن» برای همان Bounty (جایزه) گرفته شده است.

ایده چه بود؟ پلتفرم‌های «باگ‌بانتی» این ایده را از سال ۲۰۱۰ مطرح کرده‌اند که بیاییم و از قابلیت هکرهای فریلنس استفاده کنیم و مابه‌ازای آن هدیه و دستمزد یا بانتی بدهیم و حداقل از آنها تشکر کنیم. این تلاشی برای پاک کردن نگاه سیاهی بود که به واژه و تخصص «هکر» در دنیا وجود دارد.

لطفا بیشتر از شکل‌گیری باگدشت توضیح دهید.

زمانی که در سازمان فناوری رایتل ماهر یا سازمان‌های دیگه مشاور بودم، می‌دیدم ما پتانسیل‌های زیادی در حوزه  تخصصی امنیت داریم؛ اما متاسفانه به افراد متخصص اعتماد نمی‌شود و به نظرم لازمه استفاده از ایده‌های جدید، اعتماد و استفاده از تخصص آنان بود.

همکاران من در آن سازمان‌ها، می‌دانند که گاهی خیلی تلاش می‌کردم فردی که تخصص داشت را استخدام کنم؛ اما نمی‌شد. ایده استفاده از پتانسیل‌های جمع و متمرکز کردن آن، از اینجا برای من زنده شد. ما شرایط را دیدیم و حوزه کار خود را به وضعیت ایران نزدیک کردیم؛ بعد هم کفش آهنی پوشیدیم و با مراکز مختلفی که قرار بود در این حوزه‌ها به ما تاییده دهند، رایزنی کردیم. در واقع، ما برای آنان توضیح دادیم که چرا این حوزه قرار است برای ما تاثیرگذار باشد و چرا به ما کمک می‌کند. خدا را شکر که هیچ یک از آن‌ها سد محکمی برای ما نشدند و حتی ما را همراهی کردند. فرآیند بوروکراسی ما حدود یک سال طول کشید. هر وقت برای هر سازمانی توضیح می‌دادیم قرار است چگونه به آنان کمک کنیم، متوجه می‌شدند که در نهایت قرار است به نفع سازمان‌ها کار کنیم و همکاری طولانی مدت شکل میگیرد.

در سال ۱۳۹۸، چه اتفاقی رخ داد که کار شما دیگر جرم انگاری نشد؟

در سال ۱۳۹۷ ما با قوانین امنیت سایبری سال‌های قبل کار می‌کردیم؛ در این قانون ذکر شده انجام هر تستی، به هر نیتی از سامانه‌های دولتی و خصوصی که مخاطب عمومی دارند، بدون هماهنگی جرم است. البته این رویکرد در دنیا نیز بود اما در سال ۲۰۱۲ تبصره‌ای به آن اضافه شد که اگر متخصص امنیتی تست خود را بر روی پلتفرمی انجام دهد که مورد تایید و امن است، می‌تواند تاییدیه دریافت کند و اقدام او، جرم نیست. البته این اقدام، نباید برای سازمان پیامدی ایجاد کند.

من به واسطه تجربه قبلی‌ام، وندورهای خوب و افراد خبره را به خوبی شناخته بودم بنابراین با چند نفر درباره این ایده که آن زمان در ایران «جرم» تلقی می‌شد حرف زدم. رایزنی و همفکری‌های زیادی داشتیم که بفهمیم چطور باید این ایده را جرم‌زدایی کنیم و برای مخاطب‌مان جا بیندازیم. ما در نهایت، ‌کار بر روی دو سازمان را به عنوان نمونه نشان دادیم. این سازمان‌ها، سازمان‌هایی بودند که ما با آنان هماهنگ کرده بودیم و هکرهای ما تست امنیت را بر سامانه آنان انجام داده‌ بودند.

 در این میان، جلسات ما با مسئولان بیشتر شد و آنان هم، وقتی دیدند که اقدامات ما چه مزایایی برای سازمان ایجاد می‌کند، با ما همراهی کردند. پلیس فتا، مرکز ماهر و سازمان پدافند که هر کدام ساختار سازمانی متفاوتی دارند، با همراهی هم یک تبصره جدید و قانون جدید به وجود آوردند که باعث شد ما هم بتوانیم در ایران فعالیت کنیم. حالا درست است که قانون نوشته شده و میزان پیچیدگی‌های آن کمی سفت و سخت‌تر از قانون سایبری در سایر کشورهای دنیاست؛ اما خب، خوب است که ما می‌توانیم با همین قانون کار کنیم و دست به فعالیت بزنیم. بنا بر آن قانون، قرار شد اگر هکری، از طریق پلتفرم‌های باگ‌بانتی که مجوز دارند، طبق قوانین سازمان تست انجام دهد و نتایج آن است را در اختیار سازمان قرار دهد، کارش جرم نباشد. این گونه، ما هم خیال‌مان بابت فعایت‌هایی که می‌کنیم و کار در این فضا راحت تر شد.  

کارآفرینی برای هکرها


از چه سالی موفق شدید مجوز کار بگیرید؟ ما استارت کار باگ‌بانتی را زده بودیم که در سال ۱۳۹۸ مجوزها آمد؛ سعی کردیم با سازمان‌هایی که از قبل ما را می‌شناختند و به ما  اعماد داشتند، کار را شروع کنیم تا برای آنان هم مشکلی پیش نیاید.   ما در ابتدا تنها هکرهایی که می‌شناختیم و به آنان اعتماد داشتیم را به پلتفرم آوردیم. در اواخر سال ۱۳۹۹ و اوایل سال ۱۴۰۰ باگ‌های سازمان‌ها را پیدا می‌کردیم و به سازمان اطلاع می‌دادیم. آن‌ها هم تست نفوذ را انجام می‌دادند و سامانه خود را به باگ‌بانتی می‌سپردند. در آن زمان، حدود ۱۰۰ هکر در آغاز هر کار و در سایت‌ها شروع به تست امنیت می‌کردند؛ زیرا ۱۰۰ ایده جدید به سامانه نگاه می‌کرد و مشکلات جدید پیدا می‌شد. زمانی که این سازمان‌ها می‌دیدند خروجی کار قابل قبول است، اعتمادسازی انجام می‌شد؛ زیرا پیش از آن مشکلاتی  به وجود می‌آمد که سازمان نمی‌دانست چطور باید آن را رفع کند. این‌ها، اولین قدم‌های سرویس‌های امنیتی در ایران بود و ما تلاش کردیم سرویس‌های امنیت را به پلتفرم بیاوریم. در سال ۱۴۰۰ ما تعداد بیشتری از سرویس‌های امنیت مانند آموزش سکیور کدینگ، مشاوره امنیت و تست نفوذ را به سرویس‌های خود اضافه کردیم. اکثر این خدمات جدید را کارکنان ما انجام می‌دادند؛ مگر این که شرایط قرارداد ما و سازمان، اجازه می‌داد از هکرهای دیگر هم استفاده کنیم. همین الان هم خدمات متفاوتی ارائه می‌دهیم و قرار است در سه ماه آینده، خدمات جدیدی که در حال تست آن هستیم به ما اضافه شود. ما می‌خواهیم همه سرویس‌های نو و جدید مورد نیاز سازمان‌ها را به پلت‌فرم بیاوریم تا این گونه چالش جدید برای متخصصین داخلی پلت‌فرم بسازیم و خلاقیت آن‌ها را شکوفا کنیم. مزیت دیگر این کار هم این است که مدل‌های جدید خدمات امنیتی دنیا را به سازمان‌ها ارائه دهیم و تمام آنها در قالب یک پلتفرم در دسترس هستند.

شما به کارآفرینان جوان چه توصیه‌ای می‌کنید؟

بعد از تجربه هم‌زیستانه در این حوزه، تا حدی با کلمه کارآفرینی و اکوسیستم آن آشنا شدم. چیزی که خیلی واضح دیدم و خوب است که همه افراد، آن را به عنوان نکته پیش‌نیاز ورود به عرصه کارآفرینی بدانند، این است که نباید به قصد پولدار شدن وارد حوزه کارآفرینی شد؛ زیرا بچه‌های کم سن‌تر، فکر می‌کنند اگر دو سال کارآفرین باشند، قرار است راهی طولانی را در یک شب طی کنند. نه؛ این اتفاق نمی‌افتد و باید تلاش زیادی کرد که محصول شما به فروش انبوه برسد. البته در همه دنیا همین طور است و نه تنها در ایران بلکه هر جایی باید تلاش زیادی کرد که محصول یا خدمت ارائه شده کارآفرین، دقیقا همانی باشد که طرف متقاضی می‌پسندد تا متقاضی ترغیب به خرید شود. پس ما به پشتکار بسیار زیادی نیاز داریم و زمانی که شما تصمیم می‌گیرید و وارد دنیای کارآفرینی شوید، این تصمیم باید آن قدر قوی باشد و شما مصمم باشید که برخی اولویت‌ها در زندگی شما تغییر کند. کارآفرینی باید با زندگی فرد کارآفرین آمیخته شود و برخی از اولویت‌های قبلی را از زندگی او حذف کند.

پیش نیاز کارآفرینی، پیشنه مالی و تجربه است. در واقع نیاز است که کارآفرین با سازمان‌های مختلف ارتباط داشته باشد و نه شنیدن را هم یاد بگیرد. راستش را بخواهید من خیلی خوشحالم که افراد جوان‌تر وارد فضای کارآفرین شده‌اند اما از آن جایی که این افراد، تجربه نه نشنیدن ندارند؛ شنیدن جواب منفی در خیلی از موقعیت‌ها، روحیه آنان را از بین می‌برد؛ آن هم درست در حوزه‌ای که مهم‌ترین مساله، روحیه است. اگر روحیه کارآفرینی از دست برود، نمی‌توان ادامه داد.   پیشنهاد می‌کنم اگر می‌توانند ابتدا پشتوانه مالی و تجربی خود را بسازند؛ بعد وارد این حیطه شوند. چه بسا بعد از ساخت این پشتوانه، خودشان به این نتیجه برسند که اشتباه می‌کردند و نباید اصلا وارد این فضا می‌شدند. اگر کسی با پشتوانه تجربه وارد فضایی شود به خوبی می‌داند چه سرویس و خدماتی ارایه دهد که مطابق با نیاز تقاضاکننده است تا موفق باشد.

شما خودتان وقتی اینجا را تاسیس کردید، چقدر سرمایه داشتید؟ یعنی از قبل سرمایه مورد نظر را تامین کرده بودید؟ من پیش از تاسیس باگدشت، مدت‌ها در سازمان‌ها جایگاه شبه مدیریتی داشتم. آن زمان موقعیت من، از نظر حقوق و درآمد، موقعیت مناسبی بود. همین توان مالی، امکان ریسک کردن به من می‌داد زیرا وقتی محصول یا سرویسی را ارائه می‌دهید، نمی‌دانید که قرار است به درد سازمان‌ها بخورد یا این طور نیست. اگر همه چیز هم خوب پیش برود، ممکن است رقیبی قدرتمندتر از شما همزمان یا حتی یک سال بعد از شما به بازار بیاید یا اصلا شرکت پولداری باشد که بتواند همه رقیب‌ها را به زمین بزند. پس باید تمکن مالی وجود داشته باشد که در روزهای اول کار، بتوانید در مقابل تزریق مالی رقبا، کم نیاورید و از این که تراز مالی کم شود، نترسید. شما باید به سمت و سوی ساختن پیش بروید.   من در این سالها بیشتر متکی به توان مالی خودم بود و البته از حمایت خانواده هم کمک گرفتم.

برای مخاطب عام توضیح دهید شما و هکرها در شرکت دقیقا چه کار می‌کنید و خروجی شما چیست؟

حتی استفاده از کلمه هکر که می‌گویید زمانی برای ما بار منفی داشت و به یکدیگر می‌گفتیم که از این کلمه استفاده نکنیم؛ زیرا بار معنایی منفی دارد. چند سال است که دوباره می‌توانیم از آن استفاده کنیم. در حقیقت بچه‌ها واقعا متخصص امنیت هستند؛ زیرا با حسن نیت کار می‌کنند و ما پتانسیل‌های خوبی در کشور داریم حتی علیرغم مهاجرت‌ها هم اوضاع چندان بد نیست. البته، همه صنایع در حال مشاهده آثار سو مهاجرت هستند و ما هم از آن مبرا نیستیم.

روال این گونه است که وقتی یک سازمان اطمینان اولیه به سامانه خود پیدا می‌کند، از ما برای تست کمک می‌گیرد زیرا سازمان خودش سامانه را تست می‌کند یا از پیمان‌کار می‌خواهد که آن را تست کند. ممکن هم هست که به کارکنان داخلی بگوید سامانه را تست کنند. به هرحال، زمانی که سازمان اطمینان اولیه دارد که استانداردهای پایه رعایت شده و از متخصصین ما می‌خواهد با خلاقیت بیشتر، مشکلات سامانه را بیابند زیرا مشکلات بیشتر از باگ‌های منطقی به وجود می‌آیند. ابندا سامانه معرفی می‌شود و تست سامانه در ساعاتی خاص انجام می‌شود. بعد از آن که تایید انجام و سطح محرمانه بودن بانتی مشخص شد، به متخصص اعلام می‌شود که سامانه جدید اماده تست است و تست را شروع کنید. هکرها در بازه‌های سه تا شش ماهه به عنوان کاربر عادی و با دسترسی‌های یک کاربر ساده، شروع به تست می‌کنند؛ زیرا می‌خواهند ببینند از بیرون چگونه می‌توان به سایت نفوذ کرد. بعد این که کمیته فنی باگدشت، باگ را نظر فنی تایید و سطح بندی کرد، گزارش خود را برای سازمان ارسال می‌کند. سازمان  هیچ ارتباطی با هکر نخواهد داشت و مشاوره ایمن‌سازی توسط نیروهای داخلی باگدشت از اینجا آغاز می‌شود. بر اساس سطح باگ که مشخص شده به هکر بانتی داده می‌شود. درواقع ما به عنوان واسط فنی گزارش‌ها را از متخصصان می‌گیریم و ابهامات را با تیم خودمان رفع می‌کنیم. این طوری، یک کار فریلنسر خوب برای بچه‌های امنیت انجام می‌شود که درآمد خوبی هم برای آنها دارد. این روال در مورد تمامی خدمات امنیت البته با لحاظ کردن سطح محرمانگی آن انجام میشود.

خبرنگار: مریم رحیمی
    false true

برچسب‌ها

نظر شما

شما در حال پاسخ به نظر «» هستید.

پربازدیدترین