روسيا تنشئ نقابة للهاكرز الأخلاقيين

x32x01 · 31 أكتوبر 2024

روسيا بتفكر تعمل نقابة للـ White Hat Hackers - إيه القصة؟

فيه حوار دلوقتي ما بين أجهزة المخابرات ووزارة الداخلية وكذا وزارة في روسيا بخصوص فكرة غريبة ومهمة: إنهم يعملوا هيئة أو نقابة للـ White Hat Hackers - يعني نقابة للـ Penetration Testers وSecurity Researchers

يطلعولهم كارنيهات رسمية ويعترفوا بيهم قدام الدولة. الفكرة شكلها حلوة على الورق، لكن لو بصينا من ناحية أمنية وسياسية، فيها كتير من المخاطر واللخبطة.

هنا هاحاول ألخص لك الموضوع بالمصري وبأسلوب واضح عشان تعرف الحكاية من أولها لآخرها.

إيه اللي خلاهم يفكروا في النقابة دي؟

روسيا دولة كبيرة مستثمرة جدًا في الـ Cyber Warfare، وعندها أنواع كتير من الهاكرز: من الـ State-sponsored وAPT Groups لحد Ransomware Gangs وHacktivists. الفكرة إنهم عايزين يميّزوا الناس اللي شغالين في المجال بشكل شرعي (bug hunters / pentesters) عن الناس اللي ليها أجندات تانية أو بتتبع جهات خارجية. عايزين يعملوا سجل رسمي ويدّوا صلاحيات معينة للناس دول علشان يديهم access على الـ CII (Critical Information Infrastructure) - ودي حاجة حساسة جدًا.

بس السؤال اللى محدش سهل عليه: إزاي تفرق بين الـ Penetration Tester الحقيقي والهاكر اللي لباسه أبيض؟ وده اللي مخلي الموضوع كله مليان نقاشات واجتماعات.

إيه المزايا اللي الدولة شايفاها؟

تنظيم المهنة: تسجيل رسمي، كارت هوية مهنية، واعتماد من الدولة.
تسهيل الوصول للأنظمة الحساسة لمن يستحق - بدل ما يبقى في فوضى وتجارب عشوائية.
تمويل ودعم: تطوير، أدوات، وشراكات مشاريع مع الدولة.
رفع مستوى الاحتراف: تدريب واعتماد قياسي يخلّي المهنة واضحة عند الجهات الرسمية.

والعيوب والمخاطر؟ - وهنا الخطر الكبير

الفكرة ممكن تبدو مفيدة، لكن فيها مشاكل عملية وأخطار أمنية وسياسية:

قوائم أسماء حساسة: الحكومة هتعرف مين اللى عنده صلاحيات دخول على بنيتها التحتية الحساسة - ده يخلي القايمة هدف واضح للاغتيالات الإلكترونية أو الفيزيائية أو التجنيد.
التجنيد والتسريب: لو جهة معادية قدرت تقنع حد في النقابة أو تزرع عميل جوه، هتبقى عندها بوابة داخلية لأنظمة حساسة.
الخلافات الدولية: في تصريحات إن أجهزة استخبارات أجنبية بتطارد security researchers في روسيا - وجود سجل رسمي ممكن يسهل تتبع الأشخاص دول عبر القنوات القانونية أو الغير قانونية.
خليط بين أدوات دفاع وهجوم: الدولة لما توفر أدوات وحقوق وصول، ممكن بعض العناصر تستغلها لأجندات خاصة أو تباع/تتسرب.

ليهم أمثلة وخلفية بتخلي الموضوع أكبر من تصريح واحد

في تصريحات رسمية وأحداث مرتبطة بتصعيد الاتهامات بين دول، فيه اتهامات مثل ادعاءات أن شركات تصنيع هاردوير زى Intel ممكن تكون فيها Backdoors - والموضوع ده اتنقل لمستوى الخطورة الوطنية في بعض الدول. لما يكون عندك بنية تحتية هاردويرية + شبكة مخفية داخلية منظمة، بتتصنع عندك سيناريوهات مخيفة لو الحاجة اتوظفت غلط.

الربط ده بيخلي الدولة تستعجل ان هي تنظّم اللي ليهم وصول حساس، بس التنظيم نفسه لازم يكون متزن جداً ومش بس ورقي.

إزاي بيحاولوا يفرّقوا بين الـ Pentesters والهاكرز؟

حسب الحوارات، بيشتغلوا على نظام تصنيف بيركز على:

سجل العمل السابق والتحقق من المشاريع اللي اشتغل فيها الشخص.
سلوك الشخص في المجتمع: إزاي بيتعامل، هل عنده علاقات مع جهات خارجية؟
اختبارات تقنية ومقابلات معيارية للتأكد من الكفاءة والنزاهة.
آليات للسرية: بيانات المسجلين هتتخزن بشكل سري ومحمي - بس برضه السرية دي نفسها بتخليهم هدف.

تجربة عالمية: هل الفكرة دي جديدة؟

مش جديدة خالص إن الدول تحاول تنظم مهن تقنية حساسة، لكن تنفيذها على أرض الواقع صعب وملئ بالمخاطر. فى تجارب في دول تانية بتنظيم شهادات لمهن تقنية، لكن موضوع السماح بصلاحيات على أنظمة حيوية ومشاركة الدولة في تطوير الأدوات هو اللي بيخلّي الموضوع حساس جداً.

لو نفّذوا النقابة - إيه السيناريوهات الممكنة؟

سيناريو إيجابي: تنظيم فعّال، حماية قانونية للباحثين، وتعاون دولة-مجتمع أمنى يرفع مستوى الدفاع السيبرانى.
سيناريو سلبي: قائمة مسربة أو تجنيد عناصر، استغلال صلاحيات داخلية، أو تحول بعض الأدوات لتُستخدم في هجمات خارجية.
سيناريو معقّد: توازن هش بين حماية أفراد النقابة وحماية الأمن القومي، مع ضغوط دولية وقضايا تجسس.

الخلاصة - فين الحل؟

الفكرة نفسها فيها قيمة لو اتطبقت صح: تنظيم المهنة، دعم الباحثين، وتسهيل التعاون بين الدولة والقطاع الخاص. لكن لازم يكون فيه:

ضوابط قانونية قوية تحمي الأفراد وتمنع التجاوزات.
آليات تحقق مستقلّ ومكفول حقوقياً.
حماية فعّالة لقوائم المسجلين ومعلوماتهم.
إطار دولي أو على الأقل تعاون عبر مؤسسات مستقلة للتخفيف من مخاطر الاستهداف الخارجي.

وديه المصادر يا شباب للى عايز يطلع عليها :
https://habr.com/ru/news/837170/
https://www.vedomosti.ru/technology...lih-hakerov-mozhet-bit-sozdan-otdelnii-reestr

في النهاية، الموضوع مش مجرد "نقابة" وخلاص - ده قرار بيأثر على الأمن القومي، حرية الباحثين، وسلامة الشبكات الحيوية. لازم نفكر بعقل بارد ونسأل: هل الحماية هتكون فعلاً أقوى لو الناس دي اتسجلت؟ ولا هنزرع باب خلفي جديد للخطر؟

روسيا تنشئ نقابة للهاكرز الأخلاقيين

روسيا بتفكر تعمل نقابة للـ White Hat Hackers - إيه القصة؟ ​

إيه اللي خلاهم يفكروا في النقابة دي؟ ​

إيه المزايا اللي الدولة شايفاها؟ ​

والعيوب والمخاطر؟ - وهنا الخطر الكبير ​

ليهم أمثلة وخلفية بتخلي الموضوع أكبر من تصريح واحد​

إزاي بيحاولوا يفرّقوا بين الـ Pentesters والهاكرز؟ ​

تجربة عالمية: هل الفكرة دي جديدة؟ ​

لو نفّذوا النقابة - إيه السيناريوهات الممكنة؟ ​

الخلاصة - فين الحل؟ ​