هماهنگی بین بخشهای مختلف برای واکنش به رخدادهای سایبری چالشی کلیدی به شمار میرود.
به گزارش گرداب، کای لین تای (Kai Lin Tay) پژوهشگر حوزه سایبری در موسسهی بینالمللی مطالعات استراتژیک (IISS) مستقر در انگلیس در مقالهای به بررسی نظام واکنشدهی بین بخشی به رخدادهای سایبری در آمریکا پرداخته است.
بخشهای دیگر این پژوهش را بخوانید:
الگوی واکنش به شرایط اضطراری سایبری در اروپا
«پایگاه رسانهای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزههای مختلف فناوری اقدام میکند. انتشار مطالب به معنای تایید محتوای آن نیست».
الگوی واکنش اضطراری سایبری در آمریکا
سند «طرح ملی واکنش به حوادث سایبری»[۱] که در سال ۲۰۱۶ از سوی وزارت امنیت داخلی آمریکا منتشر شد[۲] یک چهارچوب استراتژیک گسترده برای اینکه چگونه ذینفعان مختلف، از جمله دولت، بخش خصوصی و شرکای بینالمللی، میتوانند منابع خود را برای پشتیبانی از یک واکنش هماهنگ به حوادث سایبری مشارکت دهند ایجاد کرد. اگرچه این طرح «حوادث سایبری مهم» که زیرساختهای حیاتی را هدف قرار میدهند مدنظر قرار داده، راهنماییهای این طرح برای هماهنگسازی ساختارها و اقدامات موازی ارائه میدهد میتواند برای واکنش به شرایط اضطراری سایبری نیز مورد استفاده قرار گیرد، با این تفاوت که واکنش اضطراری سایبری نیازمند سطح بالاتری از هماهنگی است.
هنگام وقوع یک حادثهی سایبری مهم، مجموعههای بخش خصوصی یا سازمانهای دولتی تشویق شدهاند که مسأله را به نقاط تماس مشخصشده گزارش دهند که شامل طیفی از سازمانهای امنیت سایبری فدرال، مقامات انتظامی و آژانسهای بخشی[۳] هستند.
سازمانهای اصلی امنیت سایبری شامل اینها هستند:
این سازمانها مشترکاً و با هماهنگی با مالکان و مدیران بخش خصوصی برآورد میکنند که میزان اهمیت حادثه چقدر است. در صورت لزوم، یک «گروه واحد هماهنگی سایبری»[۸] تشکیل میشود تا در طول فرآیند واکنش هماهنگی را ایجاد کند. این گروه هماهنگی سایبری بر سه روند همزمان نظارت میکند: واکنش به تهدید، رسیدگی به داراییها و پشتیبانی اطلاعاتی.
وزارت امنیت داخلی از طریق NCCIC مسئول اصلی «رسیدگی به داراییها» است. این کار شامل کمکرسانیهای فنی برای حفاظت از داراییها، ترمیم آسیبپذیریها و برآورد کردن مخاطرات مربوط به آسیبپذیریهای مشابه است. وزارت دادگستری از طریق NCIJTF مسئول «واکنش به تهدید» است. این کار شامل فعالیتهای نیروهای پلیس و تحقیقات مرتبط با حوزه امنیت ملی است.
مدیر اطلاعات ملی نیز از طریق CTIIC وظیفهی «پشتیبانی اطلاعاتی» را برعهده دارد. این کار شامل ایجاد آگاهیهای موردی نسبت به تهدیدات، تهیهی تحلیلهای یکپارچه از روندهای تهدیدات سایبری و پشتیبانی از اقداماتیست که برای ساختن قابلیتها و گزینههای جدید برای تضعیف و مقابله با قابلیتهای نیروی تهدیدکننده لازم است.
علاوه بر سازمانهای اصلی، گروه واحد هماهنگی سایبری از حضور آژانسهای بخشی هم بهره میبرد. این گروه اهدافی مشترک برای واکنش به تهدید، رسیدگی به داراییها و پشتیبانی اطلاعاتی ترسیم میکند تا از تشریک مساعی سازمانهای فدرال اطمینان حاصل شود. ساختارهای موجود هماهنگی برای مقابله با حوادث سایبری عادی نیز با گروههای واحد هماهنگی یکپارچهسازی میشوند تا بهاشتراکگذاری سریع اطلاعات دربارهی واکنش به حوادث و بازیابی پس از حادثه را تسهیل کنند.
این طرح از یک رویکرد بخشپایه استفاده کرده که در آن ۱۶ بخش زیرساختی حیاتی شناسایی شدهاند و هر کدام از این بخشهای ساختارهای معمول برای هماهنگی در خصوص حوادث سایبری را دارند. یک شورای هماهنگی بخشی[۹] در هر یک از بخشها وجود دارد.
هر شورا یک مجموعهی خودگردان بخش خصوصی است که بستری را برای بهاشتراکگذاری اطلاعات، تحلیل و همکاری در خصوص شناسایی، پیشگیری، مقابله و واکنش به حوادث سایبری است؛ نهتنها در خود بخش صنعت بلکه در کنار همتایان دولتی، یعنی آژانسهای بخشی و شورای هماهنگی دولتی.[۱۰] جدا از شورای هماهنگی بخشی، مجموعههای خصوصیِ زیرساختهای حیاتی نیز اقدامات معمول خود در زمینهی امنیت سایبری را از طریق مجموعههایی خودگردان با نام «مرکز تحلیل اشتراک اطلاعات»[۱۱] هماهنگ میکنند. «شورای ملی مراکز تحلیل اشتراک اطلاعات» نیز هماهنگی بین بخشی بین بخش خصوصی و سازمانهای مختلف دولتی را تسهیل میکند. سازمانهای دولتی در سطوح ایالتی و محلی نیز عضوی از مراکز تحلیل اشتراک اطلاعات باشند. بعضی از این سازمانها که مسئول عملیات زیرساختهای حیاتی هستند، به اداره و هماهنگی واکنش به حادثه سایبری کمک میکنند.
برای حوادث سایبری که صرفاً برای شبکههای دولتی رخ میدهند، مراکز بین ایالتی وجود دارد که به عنوان نقطهی کانونی تبادل اطلاعات و همکاریهای فنی بین سازمانهای دولتی ایالتی و محلی و همچنین دولت فدرال عمل میکنند. اگر رسیدگی به یک حادثه سایبری فراتر از تواناییهای آنها باشد، سازمانهای ایالتی و محلی میتوانند از دولت فدرال بر اساس چهارچوبهایی نظیر «قانون استفورد»[۱۲] درخواست منابع بیشتر کنند.
در هنگام وقوع یک حادثه سایبری مهم، در هر کدام از سازمانهای فدرال رویههای بهبودیافتهی هماهنگی بر اساس توضیحاتی که ارائه شد برقرار میشود. سازمانها باید اطمینان حاصل کنند که ظرفیت و رویههای لازم برای عملکرد در شرایط چالشبرانگیز را دارند. این امر شامل حضور جدی مدیران ارشد سازمان، در دسترس بودن پرسنل پشتیبانی برای مدیریت تقاضاهای عملیاتی افزوده، شناسایی نقاط تماس مرتبط در سایر سازمانهای فدرال و پررنگ کردن فرآیندهای ارتباطی و تصمیمگیری موجود هستند که برای هماهنگی موثر در مقابله با حادثه ضروری میباشند. ارزیابی صلاحیتهای امنیتی نیز باید از پیش انجام شده باشد تا بهاشتراکگذاری سریع اطلاعات را تسهیل کند.
پینوشتها:
[1] National Cyber Incident Response Plan (NCIRP)
[2] Department of Homeland Security (DHS)
[3] Sector Specific Agencies (SSA) آژانسهای دولتی که دانش و تخصص لازم را در یک حوزه دارند
[4] Cyber Threat Intelligence Integration Center (CTIIC)
[5] Director of National Intelligence (DNI)
[6] National Cybersecurity and Communications Integration Center (NCCIC)
[7] National Cyber Investigative Joint Task Force (NCIJTF)
[8] Cyber Unified Coordination Group (UCG)
[9] Sector Coordinating Council (SCC)
[10] Government Coordinating Council (GCC)
[11] Information Sharing Analysis Centres (ISAC)
[12] Stafford Disaster Relief and Emergency Assistance Act