يبدو أن نموذج عمل شركة أوبر -والذي يقوم على تأمين الاتصال ما بين الركاب والسائقين المستقلين- قد امتدَّ من مجال النقل إلى مجال الأمن الرقمي، فقد بدأت شركات مثل باج كراود وهاكر ون باعتماد أسلوب عمل مماثل؛ وذلك بتأمين الاتصال ما بين هواة البحث عن الأخطاء البرمجية، والشركات المستعدة لدفع الأموال لقاء العثور على هذه الأخطاء.
وقد توسع الاقتصاد القائم على تأمين العمل الحر في الأمن السيبراني ليشمل مئات آلاف قراصنة المعلومات، ويمتلك الكثير منهم خبرات سابقة في الحماية الرقمية، بل إن البعض منهم ما زالوا في وظائفهم العادية ويمارسون صيد الأخطاء البرمجية في وقت الفراغ، في حين أن البعض الآخر يكسب عيشه بشكل كامل من هذا العمل الحر. ويلعب هؤلاء الأشخاص دوراً أساسياً في زيادة أمان الرماز البرمجي، خصوصاً مع تفاقم الهجمات وتصاعد تكاليف فرق الحماية المختصة التي توظفها الشركات إلى حد كبير للغاية.
ويستطيع نخبة صيادي الأخطاء أن يجنوا مقادير كبيرة من الأموال؛ تقول شركة هاكر ون -والتي تحوي أكثر من 200,000 مستخدم مسجل- إن حوالي 12% ممن يستخدمون خدماتها يجنون 20,000 دولار سنوياً على الأقل، ويجني حوالي 3% منهم أكثر من 100,000 دولار. وعلى الرغم من أن أكثر القراصنة الذين يستخدمون هذه المنصات أميركيون وأوروبيون، إلا أن هناك آخرين من بلدان أكثر فقراً، وهم يفضلون العمل بدوام كامل من أجل تحصيل ما أمكن من المال (ويمكنك قراءة هذه المقالة لتطَّلع على لمحة عن حياة قرصان معلوماتي أخلاقي فلبيني يعمل بشكل حر).
منظفو الرماز البرمجي
بدأت الشركات الكبيرة مثل جنرال موتورز ومايكروسوفت وستارباكس بإطلاق برامج "صيد جوائز للأخطاء البرمجية"؛ وذلك بعرض جوائز مالية على مَن يكتشفون أخطاء في برمجيات هذه الشركات ويبلغون عنها. كما يمكن لبعض المنصات -مثل باج كراود- أن تقدم مساعدتها في هذه الحالة؛ وذلك عن طريق تنبيه مستخدميها عند إطلاق برامج جديدة، وإعطاء الأولوية للأخطاء المرسلة إلى هذه الشركات، وتنظيم بعض الأمور مثل الدفعات المالية.
يقول ريتشارد راشينج (المسؤول الأساسي لأمن المعلومات في شركة موتورولا لتصنيع الهواتف الخلوية) إنه معجب للغاية بالتعهيد الجماعي (أي إسناد مهمة لعدد من الأشخاص من خارج الشركة) لعمليات البحث عن الأخطاء البرمجية؛ وذلك لأنها تعني تدقيق تفاصيل الرماز البرمجي (نصوص التعليمات البرمجية) من قِبل عدد كبير من الأشخاص باستمرار، ولأن صيادي الأخطاء الذين يعملون بشكل حر يبلِّغون عن المشاكل البرمجية بسرعة للحصول على الجوائز قبل منافسيهم. وبالإضافة إلى هذا يتوقع الخبراء أن يتم الاحتياج إلى 3.5 مليون شخص لشغل وظيفة في الأمن السيبراني على مستوى العالم بحلول العام 2021 بسبب عدم كفاية العاملين المؤهلين، ولهذا يمكن للعاملين الأحرار أن يخفِّفوا من العبء عن الفرق الداخلية بعض الشيء.
غير أن هذه المنصات تواجه بعض التحديات الكبيرة؛ ومنها التوسيع المستمر لمجموعة صيادي الأخطاء، ووضع تصور قانوني واضح حول الأدوات والتقنيات التي يمكن للقراصنة الأخلاقيين استخدامها بأمان؛ حيث إن بعض الأساليب الشائعة مثل استخدام الهجمات بالحقن -أي إدخال رماز برمجي ضمن التطبيقات البرمجية لتغيير طريقة تنفيذها- قد تُعرِّض مستخدميها للملاحقة القضائية وفقاً لقوانين حظر القرصنة الإلكترونية، مثل القانون الأميركي لإساءة الاستخدام والاحتيال الحاسوبي (CFAA)، وقد ظهرت بعض الحالات التي تعرَّض فيها الباحثون عن الأخطاء والمبلِّغون عنها لاحتمال الملاحقة القضائية؛ وذلك بسبب الكشف عن نقاط الضعف التي تتخلل الرماز البرمجي الخاص بهذه الشركات والإبلاغ عنها. وفي الواقع لا يتطلب إحداث هزة في هذا المجال أكثر من قضيتين كبيرتين.
جامعة قراصنة المعلومات
قررت منصات التعهيد الجماعي -لمواجهة مشكلة نقص الكفاءات- أن تزيد نشر المحتوى إلى حد كبير؛ من أجل مساعدة القراصنة على تحسين مهاراتهم وجذب المزيد من الأشخاص إلى العمل الحر، وقد أعلنت باج كراود عن جامعة باج كراود؛ والتي تقدم ندوات إلكترونية مجانية وأدلة مكتوبة للتعامل مع أشياء مثل مجموعة بيرب البرمجية (ليس بالاسم الجذاب على الإطلاق)، وهي أداة برمجية لاختبار أمان تطبيقات الويب.
وقد طلبت المنصة أيضاً مساعدة القراصنة الأخلاقيين الخبراء لاكتشاف وتدريب العاملين الأحرار ذوي المواهب الواعدة، وعادة ما يتصف نخبة الملتحقين الجدد بالفضول، والعناد، والاستعداد للتكيف بسرعة؛ يقول فيليب وايلي (مكتشف المواهب من باج كراود في دالاس): "إن التقنيات تتطور بسرعة، لدرجة جعلت من الصعب مجاراتها في أغلب الأحيان".
وبدأت منصة هاكر ون أيضاً زيادة المواد التعليمية، وتدريب صيادي الأخطاء المستقلين على بعض المهارات اللازمة للتواصل بشكل أكثر فعالية مع الأقسام التقنية في الشركات؛ حيث إن بعضهم يتمتعون بشخصيات غريبة الأطوار، وجِلْفة في بعض الأحيان.
غطاء قانوني
أما من الناحية القانونية، فتسعى المنصات إلى زيادة "إجراءات الوقاية القانونية" في العقود التي تحكم عمليات تعقب الأخطاء البرمجية مقابل الجوائز، ويقول آدم باكوس (من هاكر ون) إن الهدف من هذا هو دفع الشركات إلى التصريح -بشكل واضح ولا لبس فيه- بأنها لن تلاحق القراصنة قضائياً إذا استخدموا أساليب معقولة في العمل.
وقد عقدت باج كراود شراكة مع أميت إيلازاري (باحثة في مجال الحماية الرقمية، وتركِّز في عملها على أهمية إجراءات الوقاية القانونية)؛ وذلك لإطلاق مبادرة disclose.io لوضع هيكلية معيارية لكشف الأخطاء والتبليغ عنها، وهو ما قد يؤمن إذناً صريحاً باستخدام تقنيات البحث عن الأخطاء، والتي تمثل في الحالة الطبيعية انتهاكاً لقوانين حظر القرصنة الإلكترونية.
وتندرج هذه المبادرة ضمن توجه أوسع في الولايات المتحدة، من قِبل مجموعات مثل مؤسسة الجبهة الإلكترونية؛ وذلك لمنع الشركات من استغلال قوانين حظر القرصنة مثل CFAA لإسكات الباحثين الذين يكتشفون مشاكل خطيرة ويبلغون عنها بأسلوب مسؤول؛ يقول كايسي إيليس (وهو مؤسس باج كراود ورئيس مجلس إدارتها) إن بعض البلدان الأخرى مثل ألمانيا والمملكة المتحدة تطبِّق قوانين صارمة ضد القرصنة لدرجة أن من الممكن أن تؤدي إلى تثبيط القرصنة الأخلاقية.
وهذه القوانين ضرورية بطبيعة الحال لمنع القراصنة من إثارة الفوضى، وإن التحدي المقبل هو في إيجاد توازن معقول بين حماية القراصنة الأخلاقيين وحماية الشركات من القرصنة الخبيثة التي تتسبب في أذى، ولن يكون تحقيق هذا التوازن سهلاً، ولكن نظراً للنقص الحاد في الكفاءات في مجال الأمن السيبراني، فإن هذه المسألة تحتاج لمعالجة سريعة.