استراتژی سایبری ایالات متحده و الزامات قانونی آن

استراتژی سایبری ایالات متحده و الزامات قانونی آن
تاریخ انتشار : ۲۰ فروردين ۱۴۰۲

ایجاد یک راهبرد ملی در حوزه فضای مجازی مهم‌ترین هدف این قانون است.

به گزارش گرداب، کاخ سفید روز پنجشنبه ۲ مارس ۲۰۲۳ از طرح استراتژی ملی امنیت سایبری رونمایی کرد که رویکردی جامع برای بهبود امنیت دیجیتال در سراسر کشور است. این طرح بر اساس پنج رکن ایجاد شده است:

• حداقل الزامات امنیت سایبری برای زیرساخت‌های حیاتی
• مقابله جدی با هکر‌ها و تهدیدات دولت ملی
• افزایش حس مسئولیت‌پذیری در تولیدکنندگان نرم‌افزار
• تنوع و گسترش نیروی کار سایبری
• ایجاد مشارکت‌های بین‌المللی

رئیس جمهور جو بایدن در بیانیه‌ای ضمیمه شده گفته است: «این طرح نشان می‌دهد که همکاری قوی بین بخش‌های دولتی و خصوصی برای تأمین امنیت فضای سایبری ضروری است. همچنین این مورد در نظر گرفته شده است که مسئولیت بیش از حد امنیت سایبری بر دوش کاربران فردی و سازمان‌های کوچک قرار دارد. ما باید بین این مسئولیت‌ها تعادل ایجاد کنیم تا وضعیت عادلانه‌تر شود و اقدامات مؤثرتری انجام گیرد».

او در ادامه می‌افزاید: «ما برای حمایت از سرمایه‌گذاری‌های بلندمدت در امنیت، قابلیت ریکاوری سریع و فناوری‌های پیشرفته، مشوق‌هایی را در نظر خواهیم گرفت. ما با متحدان و شرکای خود برای تقویت روحیه مسئولیت‌پذیری در دولت، پاسخگو ساختن کشور‌ها برای رفتار‌های غیرمسئولانه در فضای سایبری و مختل کردن شبکه مجرمان سایبری خطرناک در سراسر جهان همکاری خواهیم کرد. همچنین با همکاری کنگره سعی داریم منابع و ابزار‌های لازم برای اطمینان از اجرای روش‌های مؤثر امنیت سایبری در زیرساخت‌های حیاتی را تأمین کنیم».

این اولین طرح امنیت سایبری کشور بعد از انتشار استراتژی ملی سایبری از سوی دولت دونالد ترامپ در سال ۲۰۱۸ است. از آن زمان، حملات سایبری در سطح گسترده مانند حمله به شرکت نرم‌افزاری SolarWinds در سال ۲۰۲۰، حملات روزانه باج‌افزار‌ها، افشای داده‌ها و افزایش تهدیدات از جانب گروه‌های هکری تحت حمایت دولتی باعث شده است که نیاز به یک برنامه هماهنگ در حوزه امنیت سایبری بیش از پیش احساس شود.

مقررات جدید

این طرح بر بسیاری از مقررات امنیت سایبری که قبلاً برای خطوط لوله نفت و گاز طبیعی، هوانوردی، راه آهن و سیستم‌های آبی وضع شده‌اند تأکید می‌کند. اما به این هم اشاره دارد که اقدامات بیشتری باید صورت بگیرند و کاخ سفید با همکاری کنگره قصد دارد تا شکاف‌های موجود در بخش‌های قانونی را برای اجرای حداقل الزامات امنیت سایبری از بین ببرد یا حداقل جلوی شکست‌های مرتبط با بازار را بگیرد.

مقامات ارشد دولت هنوز درباره این که کنگره برای تنظیم مقررات کدام صنایع اقدام خواهد کرد یا چه بخش‌هایی در فهرست مقررات اجباری قرار خواهند گرفت، حرفی نزده‌اند. اما به این یک مورد اشاره کردند که سازمان حفاظت از محیط زیست قرار است در چند ماه آینده قوانین جدید امنیت سایبری در خصوص تأسیسات آبی معرفی کند.

علاوه بر این که آژانس امنیت سایبری و امنیت زیرساخت (CISA) پیشرو در اجرای طرح ملی جدید واکنش به حوادث سایبری بوده و در حال ایجاد قوانینی برای گزارش حوادث است، در این طرح استراتژی به وضوح به این موضوع اشاره می‌شود که دولت فدرال باید بهتر توضیح دهد که چطور شرکای بخش خصوصی می‌توانند به هنگام وقوع حوادث با آژانس‌های فدرال برای دریافت کمک ارتباط برقرار کنند و دولت چه نوع حمایتی می‌تواند به آن‌ها ارائه دهد.

در این طرح به شدت بر نیاز آژانس‌های ایالات متحده برای مقابله جدی با عوامل تهدید سایبری به کمک ابزار‌های قوی و روش‌هایی مانند تحریم و اقدامات از سوی دادگاه، تأکید می‌شود.

باج‌افزار؛ تهدیدی برای امنیت ملی

در طرح ارائه شده تأکید قابل توجهی به باج‌افزار شده است. آن نوبرگر معاون مشاور امنیت ملی در امور سایبری و فناوری‌های نوپا گفت که یکی از مهم‌ترین اقدامات، معرفی باج‌افزار به عنوان یک تهدید برای امنیت ملی است. او به اقدامات اخیر FBI برای از بین بردن زیرساخت‌های استفاده شده توسط گروه باج‌افزار هایو (Hive) و طرح بین‌المللی مقابله با باج‌افزار که ایالات متحده و ۳۶ کشور در آن شرکت دارند، اشاره کرد و گفت: «طرح ارائه شده ملزم می‌کند که با استفاده از همه ابزار‌های تحت قدرت با مجرمان سایبری و عوامل تهدید که امنیت ملی و امنیت عمومی را مختل می‌سازند برخورد کنیم».

یک مقام ارشد دولت گفت که تصمیم برای طبقه‌بندی باج‌افزار به عنوان یک تهدید امنیت ملی و نه یک تخلف کیفری به این دلیل انجام شد که از لحاظ قانونی نمی‌توان با مجرمانی که در کشور‌هایی مانند روسیه، کره شمالی و ایران پناه گرفته‌اند برخورد کرد. این مقام افزود که دولت قصد دارد زمینه را برای هکر‌های باج‌افزار تنگ سازد تا نتوانند بدون ترس از دستگیری از پناهگاه‌های خود خارج شوند.

مسئولیت تولیدکنندگان نرم‌افزار

یکی دیگر از مهم‌ترین و بحث برانگیزترین ارکان این طرح، پاسخگو کردن تولیدکنندگان به خاطر آسیب‌پذیری‌های نرم‌افزاری است. جن ایسترلی مدیر CISA در اواخر ماه فوریه ۲۰۲۳ طی یک سخنرانی این مورد را مطرح کرد که باعث نگرانی برخی از کارشناسان امنیتی شد. دلیل این نگرانی این بود که چطور مقامات می‌توانند تعیین کنند چه کسی مسئول آسیب‌پذیری موجود در محصولات است در حالی که هزاران جزء در آن دخالت دارند.

مقامات کاخ سفید تصریح کردند که نمی‌خواهند توسعه‌دهندگان منابع باز را که بودجه کافی ندارند جریمه کنند، در عوض مسئولیت بر دوش مونتاژکنندگان کالا‌های نهایی است که از نرم‌افزار سود می‌برند. یک مقام ارشد دولت اظهار داشت: «شرکتی که نرم‌افزار را می‌سازد و می‌فروشد، باید در قبال آن چه در آن قرار داده‌اند مسئول باشد و برای کاهش آسیب‌پذیری‌ها با استفاده از بهترین شیوه‌ها تلاش کند.

ما نمی‌توانیم این مسئولیت را بر دوش یک پروژه منبع بازی که دو نفره انجام شده است بگذاریم در حالی که در پنج سال گذشته هیچ بودجه‌ای دریافت نکرده‌اند. ما با این وضعیت نمی‌توانیم به نتیجه‌ای که می‌خواهیم برسیم. ما تغییر روند مسئولیت‌پذیری را یک فرآیند بلندمدت می‌بینیم؛ بنابراین پیش‌بینی ما این است که فرآیند را آغاز کنیم و اجازه دهیم تا تدریجاً حوزه‌های موردنظر با شیوه‌های بهتر توسعه نرم‌افزاری آشنا و خود را وفق دهند».

کاخ سفید با همکاری سهامداران و کنگره در نظر دارد تا قوانینی پیرامون این مفاهیم ایجاد کند، اما مقامات بر این باورند که قانون‌گذاران به این زودی‌ها نمی‌توانند تصمیم قطعی بگیرند. کریس اینگلیس که اخیراً از سمت مدیر ملی سایبری کناره‌گیری کرد، رهبری این طرح را برعهده داشت.

پیاده‌سازی و نتایج

به گفته کریس اینگلیس، دفتر او از سهامداران از جمله بیش از ۳۰۰ سازمان در دولت و بخش خصوصی ایالات متحده برای بازخوردشان در مورد این سند درخواست کرده است. او گفت که شورای امنیت ملی، FBI، CISA و بسیاری از سازمان‌ها و ادارات فدرال پاسخ دادند. او افزود در سپتامبر ۲۰۲۲، دو سوم از سازمان‌هایی که با آن‌ها در مورد استراتژی مشورت کردند مربوط به بخش خصوصی می‌شدند.

این طرح ۳۵ صفحه‌ای شامل ده‌ها اقدام دیگر می‌شود که توسط شورای امنیت ملی، دفتر مدیریت و بودجه کاخ سفید (OMB) و دفتر مدیریت ملی سایبری (ONCD) هماهنگ و تنظیم خواهد شد. اجرای این طرح در درجه اول توسط مدیر سایبری سازماندهی می‌شود که دفتر او روند پیشرفت، نتایج و میزان اثربخشی را تحت نظر خواهد داشت. ONCD سالانه روند پیشرفت را به رئیس جمهور و کنگره گزارش خواهد داد. ONCD و OMB با هم روی صدور دستورالعمل سالانه در مورد اولویت‌های بودجه‌بندی امنیت سایبری به ادارات و سازمان‌ها کار خواهند کرد و در عین حال کاخ سفید با کنگره جهت تأمین بودجه همکاری خواهد کرد.

بایدن گفت: «امنیت سایبری برای عملکرد اساسی اقتصاد ما، بهره‌برداری از زیرساخت‌های حیاتی، تقویت دموکراسی و نهاد‌های دموکراتیک، حفظ حریم خصوصی داده‌ها و ارتباطات و دفاع ملی ما ضروری است. از همان ابتدای آغاز به کار دولت جدید، ما قاطعانه در جهت تقویت امنیت سایبری تلاش کرده‌ایم. اقداماتی که انجام می‌دهیم و تصمیماتی که می‌گیریم تعیین‌کننده مسیر کشور ما برای دهه‌های آینده است».