دومین مرحله از مسابقات کشف باگ و آسیبپذیری وبسایتهای دولتی توسط مرکز ماهر سازمان فناوری اطلاعات ایران در سامانه کلاهسفید برگزار شد.
مرکز ماهر اعلام کرد، این مرکز در راستای ماموریتهای خود به منظور ارتقای امنیت در سامانههای کشور، اقدام به برگزاری مسابقات ارزیابی امنیتی و کشف باگ (Bug bounty) در سطح وبسایتها و سامانههای دولتی تحت شبکه اینترنت کرده است.
در این راستا سامانه کلاه سفید مرکز ماهر (https://kolahsefid.cert.ir)، برای ارزیابی امنیتی سامانهها از طریق برگزاری مسابقات عمومی و خصوصی راه اندازی شده است.
برخلاف قراردادهای مرسوم و سنتی آزمون نفوذ، با استفاده از سامانه کلاه سفید، تنها به ازای آسیبپذیریهای کشفشده توسط متخصصین امنیتی شرکتکننده در مسابقه و با داوری تیم مرکز ماهر هزینه ارزیابی امنیتی پرداخت میشود. همچنین پس از برگزاری مسابقه و ارزیابی نهایی سامانه توسط داوران، گواهی تاییدیه ارزیابی امنیتی سامانه به سازمان مربوطه اعطا میشود.
سامانه کلاه سفید با توجه به همین چالشها، راهکار ارائه خدمات برگزاری مسابقه ارزیابی امنیتی را مطرح و بستری فراهم کرده تا متخصصان مجرب امنیتی و سازمانها و شرکتهای تولید نرمافزار با حداکثر سرعت و حداقل هزینه در کنار یکدیگر قرار بگیرند. با توجه به تعداد بالای متخصصین این سامانه، که تعداد آنها تا کنون به بیش از ۵۰۰ نفر رسیده است، طیف وسیعی از دانش و مهارت مورد نیاز برای ارزیابی امنیتی فراهم شده است.
این مسابقات به دو صورت عمومی و خصوصی در حال برگزاری است. در مسابقات عمومی کلیه متخصصین عضوشده در سامانه کلاه سفید امکان مشاهده جزئیات و شرکت در آن را دارند و در مسابقه خصوصی تنها متخصصان شناختهشده و منتخب، امکان شرکت دارند.
در مرحله اول، ارزیابی امنیتی برخی از سامانههای مرکز ماهر و سازمان فناوری اطلاعات به مسابقه گذاشته شده است. سایر دستگاههای دولتی نیز میتوانند در صورت تمایل جهت ارزیابی سامانههای خود در این مسابقات با مرکز ماهر تماس برقرار کنند.