اروپا امنیت را فدای حاکمیت دیجیتال می‌کند؟

اروپا امنیت را فدای حاکمیت دیجیتال می‌کند؟
تاریخ انتشار : ۲۳ آبان ۱۴۰۲

کونستانتین کومیتاتوس پژوهشگر غیرمستقر در DFRLab در شورای آتلانتیک است که در یادداشتی در وب‌سایت سایبراسکوپ (Cyberscoop) از دلایل بد بودن لایحه پیشنهادی اتحادیه اروپا در زمینه قانون‌گذاری فضای سایبری می‌گوید.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».


چند ماه دیگر اوضاع در بروکسل آرام خواهد شد. از ماه فوریه نهاد‌های اروپا به حالت انتخاباتی خواهند رفت. با پایان یافتن دوره آن‌ها حالا تیری برتون کمیسر اتحادیه اروپا در زمینه مسائل دیجیتال سخت در تلاش است تا لوایح سیاست‌گذاری برجسته را به پیش ببرد.

یکی از این لوایح پیشنهادی، طرح صدور گواهی امنیت سایبری اتحادیه اروپا برای خدمات ابری است؛ تلاشی بی‌شرمانه از سوی کمیسیون اروپا برای تحمیل الزامات حاکمیتی سخت‌گیرانه بر زیرساخت‌های اینترنت. آژانس امنیت سایبری اروپا (ENISA) این طرح را نوشته است که شرکت‌های اروپایی به شکل داوطلبانه برای نشان دادن این که اقدامات امنیتی و حریم خصوصی را رعایت می‌کنند، ضوابط این لایحه را اجرا کنند.

هدف اصلی این طرح افزایش اعتماد و امنیت در محصولات و خدمات اینترنتی معرفی شده است. به گفته ENISA این طرح با هدف بهبود شرایط بازار داخلی و افزایش سطح امنیت طیف گسترده‌ای از خدمات ابری انجام می‌شود. مانند سایر نقاط جهان اروپا نیز در سال‌های اخیر با حملات سایبری گسترده و تعداد فزاینده‌ای از آسیب‌پذیری‌های امنیتی دست و پنجه نرم کرده است.

با این طرح، کمیسیون اروپا با هدف مقابله با پراکندگی بین کشور‌های عضو، تسهیل تجارت و بهبود درک ویژگی‌های امنیتی، چارچوبی در سراسر اتحادیه اروپا برای گواهی‌های امنیت سایبری ایجاد می‌کند. در حال حاضر، این طرح داوطلبانه است، اما برخی از ناظران نگرانند که در آینده اجباری شود.

علی‌رغم نیاز به یک ساختار قانونی امنیت سایبری جامع‌تر در اروپا، کمیسیون به این موضوع به شیوه‌ای اشتباه نگاه می‌کند که پیامد‌های بالقوه غیرقابل پیش‌بینی دارد. گنجاندن الزامات شدید حاکمیت و بومی سازی داده‌ها در قانون به این معنی است که شرکت‌های غیر اروپایی از شرکت در این طرح محروم می‌شوند. بر اساس پیش‌نویس افشا شده در ماه مه ۲۰۲۳، الزامات حاکمیتی برای «ارائه ضمانت‌هایی درباره استقلال از قوانین غیر اتحادیه اروپا» ضروری است و برای این منظور، بالاترین سطح تضمین امنیتی برای سرویس‌های ابری «فقط توسط شرکت‌هایی در این کشور» صادر خواهد شد. اتحادیه اروپا، بدون اینکه نهادی خارج از اتحادیه اروپا کنترل مؤثری بر CSP [ارائه‌دهنده خدمات ابری]نداشته باشد، برای کاهش خطر قدرت‌های مداخله گر غیر اتحادیه اروپا که مقررات، هنجار‌ها و ارزش‌های اتحادیه اروپا را تضعیف می‌کند.

به بیان ساده، چنین الزامی باعث می‌شود که شرکت‌های غیر اتحادیه اروپا یا شرکت‌های اتحادیه اروپا با سرمایه‌گذاری‌ها و عملیات بین‌المللی نتوانند در بالاترین سطوح امنیت سایبری اتحادیه اروپا و محیط‌های ابری کار کنند و رقابت در بازار ابری را به طور قابل توجهی به نفع ابر اروپایی محدود می‌کند. صنعتی که هنوز به طور کامل شکل نگرفته است. البته، هیچ اشکالی ندارد که اروپا بخواهد بازار ابری خود را تقویت کند، اما خود را از رقابت و صنعت امنیت سایبری جهانی جدا سازد، اقدامی نادرست است.

تأثیرات گسترده این سیاست در کل اکوسیستم امنیت سایبری، از جمله شرکت‌های اروپایی، مانند پیمانکاران فرعی، درگیر در ارائه خدمات ابری، احساس خواهد شد. این سیاست به طور موثر توانایی آن‌ها را برای توسعه خدمات خود محدود می‌کند و به آن‌ها اجازه نمی‌دهد در سطح جهانی رقابت کنند. علاوه بر این، اتحادیه اروپا تعهدات خود در سازمان تجارت جهانی را زیر پا گذاشته و تجارت جهانی را بیشتر تضعیف خواهد کرد. بر اساس توافقنامه عمومی WTO در مورد تجارت خدمات، اروپا متعهد به تعهدات دسترسی به بازار و همچنین عدم تبعیض بین تامین کنندگان خارجی و داخلی کامپیوتر و خدمات مرتبط است که شامل خدمات ابری نیز می‌شود.

این حرکت از سوی کمیسیون اروپا اتفاقی عجیب نیست. به جز کشور چین، اروپا قوی‌ترین طرفدار ایده «حاکمیت دیجیتال» است و بسیاری از قوانین اخیر آن برگرفته از این مفهوم است. کشور‌های عضو اتحادیه اروپا مشتاق به اشاره به حاکمیت دیجیتال هستند، اما این واقعیت که آن‌ها زحمت دستیابی به یک درک مشترک در مورد آن و حدود و ثغورش را به خود نداده اند، به کمیسیون اروپا فضایی برای تفسیر گسترده از این ایده می‌دهد.

در بسیاری از مقررات خود، کمیسیون اروپا یک رویکرد فرانسوی را بر اساس مداخلات نظارتی سنگین، حفاظت از داده ها، حاکم بر جریان داده‌ها در خارج از اروپا و امنیت زیرساخت‌های دیجیتال و مخابراتی اتخاذ کرده است. این با تفکری که در پس EUCS وجود دارد، مطابقت دارد، که عمدتاً بر این است که چگونه فرانسه امنیت ابری را می‌فهمد. دو سال پیش، دولت فرانسه استراتژی خود را برای استفاده از فناوری ابری برای محافظت از داده‌های شخصی، به دنبال افزایش نگرانی‌ها در مورد دسترسی شرکت‌های فناوری غیر اتحادیه اروپا به داده‌های متعلق به شهروندان اتحادیه اروپا، ترسیم کرد. بر اساس این استراتژی، تنها شرکت‌های اروپایی می‌توانند به عنوان ارائه دهندگان خدمات ابری در فرانسه با توانایی محدود برای انتقال داده‌ها به کشور‌های ثالث فعالیت کنند.

کشور‌های عضو اتحادیه اروپا بر سر الزامات حاکمیتی طرح EUCS چنددسته شده‌اند. کشور‌هایی مانند هلند و یونان آن‌ها را محدودیت‌هایی میدانند که به طور بالقوه می‌توانند آسیب‌پذیری‌ها و شکاف‌های امنیتی سایبری بیشتری ایجاد کنند. در همین حال، فرانسه و اسپانیا از دیدگاه کمیسیون اروپا حمایت می‌کنند. برتون از طرفداران دیدگاه فرانسه در مورد مقررات دیجیتال بوده است، و مانند سایر پرونده‌هایی که نظارت می‌کند، مانند پیشنهاد سیاست هزینه‌های شبکه، او به دنبال تقویت آینده دیجیتال اروپا با دور کردن آن از بقیه جهان بوده است. او نشان داده که در مورد جنبه‌های اساسی اینترنت و نحوه عملکرد آن عدم درک دارد.

کسانی که اینترنت را ساخته، حفظ و پیشرفت کرده‌اند، می‌دانند که همکاری و مشارکت در قلب تکامل آن قرار دارد. این تصادفی نیست که اکثر مشکلات اینترنت توسط جوامعی که همکاری جهانی را تقویت و تشویق می‌کنند، ارگان‌هایی مانند کارگروه مهندسی اینترنت (IETF) یا کنسرسیوم وب جهانی (W۳C) حل می‌شود. امنیت مثال خوبی است. امنیت بخشی از طراحی اولیه اینترنت نبود. اکنون ممکن است این را یک نقص بدانیم، اما در آن زمان این ایده که کاربران می‌توانند سیستم را نابود کنند قابل تصور نبود. با این حال، این نقص همچنین شرایطی را ایجاد کرده است که تحت آن کارشناسان گرد هم می‌آیند تا به طور موفقیت آمیز و مداوم به آسیب پذیری‌های امنیتی و سایر آسیب‌ها رسیدگی کنند.

این واقعیت که اینترنت غیرمتمرکز است و از بلوک‌های ساختمانی استفاده می‌کند به این نفع است که می‌تواند مسائل را به صورت محلی و همانطور که اتفاق می‌افتد بدون به خطر انداختن کل شبکه رسیدگی کند. هنگامی که یک مسئله امنیتی ظاهر می‌شود، مهندسان از سراسر جهان برای رسیدگی به آن متحد می‌شوند، این دقیقا همان کاری است که پس از افشاگری اسنودن در مورد نظارت جمعی انجام دادند. جامعه IETF به سرعت از طریق مجموعه‌ای از جلسات رسمی و غیر رسمی، کارگاه ها، لیست‌های پستی و بهترین اسناد عملی پاسخ داد، که همگی منجر به پذیرش استاندارد‌های امنیتی پیشرفته، از جمله نسخه به روز شده پروتکل امنیت لایه حمل و نقل (TLS) شد. ابزار اصلی حفاظت از ارتباطات شبکه از طریق اینترنت است. این با تلاش جمعی مهندسان، مشاغل و دولت‌ها در سراسر جهان به دست آمد. غیر از این نمی‌شد.

اپراتور‌های شبکه پشتیبان هنجار‌های توافق شده متقابل برای "در طول تاریخ اینترنت، همکاری بین شرکت کنندگان و مسئولیت مشترک برای عملکرد روان آن، دو مورد از ستون‌های حمایت کننده از رشد و موفقیت فوق العاده اینترنت و همچنین امنیت و انعطاف پذیری آن بوده است. " Routing Security، تلاش مشترک دیگری برای رسیدگی به مسائل امنیتی آنلاین، در مانیفست سال ۲۰۱۴ نوشت. راه‌حل‌های فناوری در اینجا یک عنصر ضروری هستند، اما فناوری به تنهایی کافی نیست. برای برانگیختن پیشرفت‌های مشهود در این زمینه، تغییر بیشتر به سمت فرهنگ مسئولیت جمعی مورد نیاز است.»

در این زمینه، سیاستگذاران اروپایی در تلاش هستند تا اقدامات یکجانبه برای شکل دادن به سیاست امنیتی انجام دهند. ENISA فشار آورده است که EUCS یک عمل اجرایی باشد، فرآیندی که به کمیسیون اجازه می‌دهد قوانین الزام آور را تصویب کند و در عین حال نظارت پارلمان و شورای اروپا را محدود می‌کند. این امر کمیسیون و ENISA را برای تصمیم گیری در مورد چشم انداز امنیت سایبری در اروپا که قبلاً نگرانی‌هایی را در پارلمان اروپا ایجاد کرده است، تنها می‌گذارد. درسته. اگر این طرح همانطور که هست پیش برود، همکاری جهانی را فراموش کنید: اتحادیه اروپا باید برای مشکلات امنیتی خود راه حل‌هایی ارائه دهد و استاندارد‌های خود را تعیین کند. تا آن زمان، همه چیز احتمالاً بسیار پیچیده خواهد شد، زیرا آن استاندارد‌ها لزوماً با استاندارد‌های امنیتی جهانی تداخل ندارند. اروپا منزوی و آسیب پذیرتر خواهد شد.

اروپا در نقطه‌ای قرار دارد که باید به طور جدی در مورد چگونگی مشارکت در اکوسیستم اینترنتی و رفع نگرانی‌های امنیت سایبری تجدید نظر کند. راه‌هایی برای استقلال دیجیتالی اروپا وجود دارد، اما این امر با تحمیل قوانین غیرضروری و حمایت گرایانه به دست نمی‌آید.