ایجاد یک راهبرد ملی در حوزه فضای مجازی مهمترین هدف این قانون است.
به گزارش گرداب، کاخ سفید روز پنجشنبه ۲ مارس ۲۰۲۳ از طرح استراتژی ملی امنیت سایبری رونمایی کرد که رویکردی جامع برای بهبود امنیت دیجیتال در سراسر کشور است. این طرح بر اساس پنج رکن ایجاد شده است:
• حداقل الزامات امنیت سایبری برای زیرساختهای حیاتی
• مقابله جدی با هکرها و تهدیدات دولت ملی
• افزایش حس مسئولیتپذیری در تولیدکنندگان نرمافزار
• تنوع و گسترش نیروی کار سایبری
• ایجاد مشارکتهای بینالمللی
رئیس جمهور جو بایدن در بیانیهای ضمیمه شده گفته است: «این طرح نشان میدهد که همکاری قوی بین بخشهای دولتی و خصوصی برای تأمین امنیت فضای سایبری ضروری است. همچنین این مورد در نظر گرفته شده است که مسئولیت بیش از حد امنیت سایبری بر دوش کاربران فردی و سازمانهای کوچک قرار دارد. ما باید بین این مسئولیتها تعادل ایجاد کنیم تا وضعیت عادلانهتر شود و اقدامات مؤثرتری انجام گیرد».
او در ادامه میافزاید: «ما برای حمایت از سرمایهگذاریهای بلندمدت در امنیت، قابلیت ریکاوری سریع و فناوریهای پیشرفته، مشوقهایی را در نظر خواهیم گرفت. ما با متحدان و شرکای خود برای تقویت روحیه مسئولیتپذیری در دولت، پاسخگو ساختن کشورها برای رفتارهای غیرمسئولانه در فضای سایبری و مختل کردن شبکه مجرمان سایبری خطرناک در سراسر جهان همکاری خواهیم کرد. همچنین با همکاری کنگره سعی داریم منابع و ابزارهای لازم برای اطمینان از اجرای روشهای مؤثر امنیت سایبری در زیرساختهای حیاتی را تأمین کنیم».
این اولین طرح امنیت سایبری کشور بعد از انتشار استراتژی ملی سایبری از سوی دولت دونالد ترامپ در سال ۲۰۱۸ است. از آن زمان، حملات سایبری در سطح گسترده مانند حمله به شرکت نرمافزاری SolarWinds در سال ۲۰۲۰، حملات روزانه باجافزارها، افشای دادهها و افزایش تهدیدات از جانب گروههای هکری تحت حمایت دولتی باعث شده است که نیاز به یک برنامه هماهنگ در حوزه امنیت سایبری بیش از پیش احساس شود.
مقررات جدید
این طرح بر بسیاری از مقررات امنیت سایبری که قبلاً برای خطوط لوله نفت و گاز طبیعی، هوانوردی، راه آهن و سیستمهای آبی وضع شدهاند تأکید میکند. اما به این هم اشاره دارد که اقدامات بیشتری باید صورت بگیرند و کاخ سفید با همکاری کنگره قصد دارد تا شکافهای موجود در بخشهای قانونی را برای اجرای حداقل الزامات امنیت سایبری از بین ببرد یا حداقل جلوی شکستهای مرتبط با بازار را بگیرد.
مقامات ارشد دولت هنوز درباره این که کنگره برای تنظیم مقررات کدام صنایع اقدام خواهد کرد یا چه بخشهایی در فهرست مقررات اجباری قرار خواهند گرفت، حرفی نزدهاند. اما به این یک مورد اشاره کردند که سازمان حفاظت از محیط زیست قرار است در چند ماه آینده قوانین جدید امنیت سایبری در خصوص تأسیسات آبی معرفی کند.
علاوه بر این که آژانس امنیت سایبری و امنیت زیرساخت (CISA) پیشرو در اجرای طرح ملی جدید واکنش به حوادث سایبری بوده و در حال ایجاد قوانینی برای گزارش حوادث است، در این طرح استراتژی به وضوح به این موضوع اشاره میشود که دولت فدرال باید بهتر توضیح دهد که چطور شرکای بخش خصوصی میتوانند به هنگام وقوع حوادث با آژانسهای فدرال برای دریافت کمک ارتباط برقرار کنند و دولت چه نوع حمایتی میتواند به آنها ارائه دهد.
در این طرح به شدت بر نیاز آژانسهای ایالات متحده برای مقابله جدی با عوامل تهدید سایبری به کمک ابزارهای قوی و روشهایی مانند تحریم و اقدامات از سوی دادگاه، تأکید میشود.
باجافزار؛ تهدیدی برای امنیت ملی
در طرح ارائه شده تأکید قابل توجهی به باجافزار شده است. آن نوبرگر معاون مشاور امنیت ملی در امور سایبری و فناوریهای نوپا گفت که یکی از مهمترین اقدامات، معرفی باجافزار به عنوان یک تهدید برای امنیت ملی است. او به اقدامات اخیر FBI برای از بین بردن زیرساختهای استفاده شده توسط گروه باجافزار هایو (Hive) و طرح بینالمللی مقابله با باجافزار که ایالات متحده و ۳۶ کشور در آن شرکت دارند، اشاره کرد و گفت: «طرح ارائه شده ملزم میکند که با استفاده از همه ابزارهای تحت قدرت با مجرمان سایبری و عوامل تهدید که امنیت ملی و امنیت عمومی را مختل میسازند برخورد کنیم».
یک مقام ارشد دولت گفت که تصمیم برای طبقهبندی باجافزار به عنوان یک تهدید امنیت ملی و نه یک تخلف کیفری به این دلیل انجام شد که از لحاظ قانونی نمیتوان با مجرمانی که در کشورهایی مانند روسیه، کره شمالی و ایران پناه گرفتهاند برخورد کرد. این مقام افزود که دولت قصد دارد زمینه را برای هکرهای باجافزار تنگ سازد تا نتوانند بدون ترس از دستگیری از پناهگاههای خود خارج شوند.
مسئولیت تولیدکنندگان نرمافزار
یکی دیگر از مهمترین و بحث برانگیزترین ارکان این طرح، پاسخگو کردن تولیدکنندگان به خاطر آسیبپذیریهای نرمافزاری است. جن ایسترلی مدیر CISA در اواخر ماه فوریه ۲۰۲۳ طی یک سخنرانی این مورد را مطرح کرد که باعث نگرانی برخی از کارشناسان امنیتی شد. دلیل این نگرانی این بود که چطور مقامات میتوانند تعیین کنند چه کسی مسئول آسیبپذیری موجود در محصولات است در حالی که هزاران جزء در آن دخالت دارند.
مقامات کاخ سفید تصریح کردند که نمیخواهند توسعهدهندگان منابع باز را که بودجه کافی ندارند جریمه کنند، در عوض مسئولیت بر دوش مونتاژکنندگان کالاهای نهایی است که از نرمافزار سود میبرند. یک مقام ارشد دولت اظهار داشت: «شرکتی که نرمافزار را میسازد و میفروشد، باید در قبال آن چه در آن قرار دادهاند مسئول باشد و برای کاهش آسیبپذیریها با استفاده از بهترین شیوهها تلاش کند.
ما نمیتوانیم این مسئولیت را بر دوش یک پروژه منبع بازی که دو نفره انجام شده است بگذاریم در حالی که در پنج سال گذشته هیچ بودجهای دریافت نکردهاند. ما با این وضعیت نمیتوانیم به نتیجهای که میخواهیم برسیم. ما تغییر روند مسئولیتپذیری را یک فرآیند بلندمدت میبینیم؛ بنابراین پیشبینی ما این است که فرآیند را آغاز کنیم و اجازه دهیم تا تدریجاً حوزههای موردنظر با شیوههای بهتر توسعه نرمافزاری آشنا و خود را وفق دهند».
کاخ سفید با همکاری سهامداران و کنگره در نظر دارد تا قوانینی پیرامون این مفاهیم ایجاد کند، اما مقامات بر این باورند که قانونگذاران به این زودیها نمیتوانند تصمیم قطعی بگیرند. کریس اینگلیس که اخیراً از سمت مدیر ملی سایبری کنارهگیری کرد، رهبری این طرح را برعهده داشت.
پیادهسازی و نتایج
به گفته کریس اینگلیس، دفتر او از سهامداران از جمله بیش از ۳۰۰ سازمان در دولت و بخش خصوصی ایالات متحده برای بازخوردشان در مورد این سند درخواست کرده است. او گفت که شورای امنیت ملی، FBI، CISA و بسیاری از سازمانها و ادارات فدرال پاسخ دادند. او افزود در سپتامبر ۲۰۲۲، دو سوم از سازمانهایی که با آنها در مورد استراتژی مشورت کردند مربوط به بخش خصوصی میشدند.
این طرح ۳۵ صفحهای شامل دهها اقدام دیگر میشود که توسط شورای امنیت ملی، دفتر مدیریت و بودجه کاخ سفید (OMB) و دفتر مدیریت ملی سایبری (ONCD) هماهنگ و تنظیم خواهد شد. اجرای این طرح در درجه اول توسط مدیر سایبری سازماندهی میشود که دفتر او روند پیشرفت، نتایج و میزان اثربخشی را تحت نظر خواهد داشت. ONCD سالانه روند پیشرفت را به رئیس جمهور و کنگره گزارش خواهد داد. ONCD و OMB با هم روی صدور دستورالعمل سالانه در مورد اولویتهای بودجهبندی امنیت سایبری به ادارات و سازمانها کار خواهند کرد و در عین حال کاخ سفید با کنگره جهت تأمین بودجه همکاری خواهد کرد.
بایدن گفت: «امنیت سایبری برای عملکرد اساسی اقتصاد ما، بهرهبرداری از زیرساختهای حیاتی، تقویت دموکراسی و نهادهای دموکراتیک، حفظ حریم خصوصی دادهها و ارتباطات و دفاع ملی ما ضروری است. از همان ابتدای آغاز به کار دولت جدید، ما قاطعانه در جهت تقویت امنیت سایبری تلاش کردهایم. اقداماتی که انجام میدهیم و تصمیماتی که میگیریم تعیینکننده مسیر کشور ما برای دهههای آینده است».
