چرا شرکت‌ها هکرها را استخدام می‌کنند؟

بعضی‌ها هکرها را افرادی می‌دانند که محسور برنامه نویسی شده و زندگی اجتماعی معمولی را فراموش کرده اند. اما هکرها در اصل افرادی هستند که درباره طرز کار و ساختار داخلی کامپیوترها، شبکه‌ها و مهم تر از همه نرم‌افزارهایی که آنها را کنترل می‌کنند، اطلاع دارند.

با توسعه فناوری اطلاعات، امکان ارتکاب جرایم سایبری فراهم شد. از آنجایی که فقط هکرها مهارت انجام این جرایم را داشتند، اصطلاح هک و هکر به تدریج به صورتی که امروزه می‌شناسیم باب شد.

اما حتی با این تعریف جدید هکر، باز هم انواع مختلفی از هکرها وجود دارد. از جمله:

• هکر کلاه سیاه: این گروه شامل افرادی هستند که به شبکه‌ها نفوذ کرده و مرتکب جرایم سایبری می‌شوند. معمولاً انگیزه این افراد رسیدن به پول و ثروت است.
• هکر کلاه سفید: هکرهای کلاه سفید افرادی هستند که اجازه تلاش برای نفوذ به یک شبکه را دارند. این افراد با هدف محک زدن امنیت شبکه‌ی یک سازمان استخدام می‌شوند.

به غیر از این، چند دسته بندی دیگر هم وجود دارد یعنی:

• هکر کلاه خاکستری که مثل هکر کلاه سفید عمل می‌کند اما از قبل مجوز نفوذ دریافت نکرده است. این افراد پس از محک زدن امنیت یک سازمان گزارش کار را برای سازمان مورد نظر ارسال می‌کنند به این امید که پاداش کسب کنند. لازم به ذکر است که کار این افراد قانون شکنی محسوب می‌شود.
• هکر کلاه آبی فردی است که مهارت چندانی ندارد اما توانسته با استفاده از یک نرم‌افزار آماده، یک حمله اجرا کند. مثلاً کارمندان اخراج شده یک شرکت که به دنبال انتقام است، می‌تواند چنین تاکتیکی را به کار ببندد.
• هکر کلاه قرمز فردی است که هکرهای کلاه سفید را هدف می‌گیرد. کار این افراد هم مثل هکرهای کلاه خاکستری از نظر قانونی بحث برانگیز است. در واقع این افراد خارج از حوزه قانون و بدون محاکمه قانونی، به دنبال اجرای عدالت هستند.
• هکر کلاه سبز شخصی است که آرزوی تبدیل شدن به یک هکر را دارد. در واقع هدف این افراد این است که هکر کلاه سیاه شوند.

هکرهای مجرم و هکرهای حرفه ای

گاهی اوقات شرکت‌ها هکرهای اخلاقی را مستقیماً استخدام می‌کنند تا وضعیت امنیت سایبری خودشان را محک زده و بهبود ببخشند.

در این شرایط یک تیم قرمز وجود دارد که مسئولیت آن نفوذ به شبکه سازمان است. تیم آبی هم مسئول مقابله با تیم قرمز و پیشگیری از رخنه است. خیلی از سازمان‌ها در تمرین‌های بعدی اعضای این تیم‌ها را جابجا می‌کنند.

بعضی از هکرها مسیر امنیت سایبری را به عنوان یک حرفه در پیش می‌گیرند. مثلاً Kevin Mitnick که زمانی هکر شماره یک تحت تعقیب جهان بود، شرکت مشاوره امنیت سایبری خودش را تأسیس کرده است.

یا Peiter Zatko که زمانی عضو یک گروه هکر بود، در نوامبر 2020 به عنوان مدیر امنیت به توئیتر ملحق شد.

Charlie Miller که به افشای آسیب پذیری‌های امنیتی در محصولات اپل و هکر سیستم‌های شتاب و فرمان جیپ چروکی شناخته شده است، سابقه کار در جایگاه‌های امنیتی برتر در ناسا، اوبر و Cruise Automation را دارد.

البته مواردی هم وجود دارد که در آنها افراد به دلیل اشتباهاتی که در گذشته مرتکب شده اند، نتوانسته اند شغل دلخواهشان را در حوزه امنیت سایبری پیدا کنند.

بعضی هکرهای حرفه‌ای برای سازمان‌های اطلاعاتی دولتی یا نظامی کار می‌کنند. این موضوع باعث پیچیده تر شدن شرایط می‌شود. چنین افرادی مسئول جمع آوری اطلاعات و انجام فعالیت‌های حمله یا دفاع سایبری می‌شوند تا به حفظ امنیت ملی و مقابله با تروریستم کمک کنند.

گاهی اوقات ممکن است این افراد بامهارت که حجم زیادی اطلاعات حساس را در اختیار دارند، اخراج شده یا دوره کارشان به اتمام برسد. سوال اینجاست که پس از این دوره سرنوشت آنها چه می‌شود؟ قطعاً چنین افرادی هم نیاز به گذراندن زندگی دارند. چه کسی آنها را استخدام می‌کند و آیا این موضوع مهم است؟

سرنوشت هکرهای حرفه ای

همه کشورهای توانمند، واحد اطلاعات سایبری دارند. کار این واحد جمع آوری، تفسیر و تحلیل اطلاعات استراتژیک، عملیاتی و فنی نظامی و غیرنظامی است. چنین افرادی به دولت‌ها برای جاسوسی کمک می‌کنند. هدف این افراد تلاش برای نفوذ به سیستم‌های طرف مقابل است. درست همانطور که طرف مقابل هم ابزارهای دفاعی و حمله مختلفی را طراحی و استفاده می‌کند.

اما در صورت استخدام چنین افرادی، نباید احتمال همکاری آنها با دشمن را نادیده گرفت.

چنین مسئله‌ای کاملاً متداول است. مثلاً Shift5 یک استارتاپ امنیت سایبری است که توسط دو کارمند قبلی «آژانس امنیت ملی» آمریکا (NSA) تأسیس شد. این افراد در یکی بخش‌های بسیار سری و مهم این سازمان به نام «عملیات دسترسی درخور» کار می‌کردند. Shift5 وعده داده که به حفاظت از زیرساخت‌های مهم آمریکا کمک می‌کند. این استارتاپ در اکتبر 2021 یک دور جذب سرمایه 20 میلیون دلاری اجرا کرد. اینکه استعدادهای پرورش داده شده در یک کشور به دنبال حفاظت از آن باشند کاملاً معقول به نظر می‌رسد.

اما مشکل وقتی ایجاد می‌شود که چنین افرادی با این استعداد و اطلاعات ارزشمند، خارج از کشور خودشان استخدام می‌شوند. مثلاً اخیراً مشخص شد که دو آمریکایی و یک تبعه پیشین آمریکا توسط گروه اماراتی DarkMatter استخدام شده اند. این گروه پروژه نظارتی مشهور Raven را برای دولت امارات اجرا می‌کند.

در سپتامبر 2021 این سه نفر وارد یک توافق تعقیب قضایی شدند که فعالیت‌های استخدامی آنها در آینده را محدود می‌کند و برای انجام این کار باید جریمه 1.68 میلیون دلاری را پرداخت کنند.

مهارت‌هایی جذاب، در بازاری محدود

شرکت‌ها هکرها را برای استفاده از دانش و تخصص آنها استخدام می‌کنند. اما اگر این افراد درگیر فعالیت‌های سایبری برای یک سازمان دولتی یا نظامی باشند، باید به محدودیت‌ها و کنترل‌های موجود پایبند بمانند. این محدودیت‌ها با هدف اطمینان از اینکه چنین افرادی خدماتشان را فقط برای سازمان‌های مورد قبول و مقاصد قابل قبول صرف می‌کنند، وضع می‌شوند.