الگوی واکنش به شرایط اضطراری سایبری در آمریکا

الگوی واکنش به شرایط اضطراری سایبری در آمریکا
تاریخ انتشار : ۰۱ بهمن ۱۴۰۲

هماهنگی بین بخش‌های مختلف برای واکنش به رخداد‌های سایبری چالشی کلیدی به شمار می‌رود.

به گزارش گرداب، کای لین تای (Kai Lin Tay) پژوهشگر حوزه سایبری در موسسه‌ی بین‌المللی مطالعات استراتژیک (IISS) مستقر در انگلیس در مقاله‌ای به بررسی نظام واکنش‌دهی بین بخشی به رخداد‌های سایبری در آمریکا پرداخته است.

بخش‌های دیگر این پژوهش را بخوانید:

الگوی واکنش به شرایط اضطراری سایبری در اروپا

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».


الگوی واکنش اضطراری سایبری در آمریکا

سند «طرح ملی واکنش به حوادث سایبری»[۱] که در سال ۲۰۱۶ از سوی وزارت امنیت داخلی آمریکا منتشر شد[۲] یک چهارچوب استراتژیک گسترده برای اینکه چگونه ذی‌نفعان مختلف، از جمله دولت، بخش خصوصی و شرکای بین‌المللی، می‌توانند منابع خود را برای پشتیبانی از یک واکنش هماهنگ به حوادث سایبری مشارکت دهند ایجاد کرد. اگرچه این طرح «حوادث سایبری مهم» که زیرساخت‌های حیاتی را هدف قرار می‌دهند مدنظر قرار داده، راهنمایی‌های این طرح برای هماهنگ‌سازی ساختار‌ها و اقدامات موازی ارائه می‌دهد می‌تواند برای واکنش به شرایط اضطراری سایبری نیز مورد استفاده قرار گیرد، با این تفاوت که واکنش اضطراری سایبری نیازمند سطح بالاتری از هماهنگی است.

هنگام وقوع یک حادثه‌ی سایبری مهم، مجموعه‌های بخش خصوصی یا سازمان‌های دولتی تشویق شده‌اند که مسأله را به نقاط تماس مشخص‌شده گزارش دهند که شامل طیفی از سازمان‌های امنیت سایبری فدرال، مقامات انتظامی و آژانس‌های بخشی[۳] هستند.

سازمان‌های اصلی امنیت سایبری شامل این‌ها هستند:

  • مرکز یکپارچه‌سازی اطلاعات تهدیدات سایبری[۴] (CTIIC، زیرمجموعه مدیر اطلاعات ملی[۵])
  • مرکز ملی امنیت سایبری و یکپارچه‌سازی ارتباطات[۶] (NCCIC، زیرمجموعه وزارت امنیت داخلی)
  • گروه ضربت ملی تحقیقات سایبری[۷] (NCIJTF، زیرمجموعه وزارت دادگستری)

این سازمان‌ها مشترکاً و با هماهنگی با مالکان و مدیران بخش خصوصی برآورد می‌کنند که میزان اهمیت حادثه چقدر است. در صورت لزوم، یک «گروه واحد هماهنگی سایبری»[۸] تشکیل می‌شود تا در طول فرآیند واکنش هماهنگی را ایجاد کند. این گروه هماهنگی سایبری بر سه روند همزمان نظارت می‌کند: واکنش به تهدید، رسیدگی به دارایی‌ها و پشتیبانی اطلاعاتی.

وزارت امنیت داخلی از طریق NCCIC مسئول اصلی «رسیدگی به دارایی‌ها» است. این کار شامل کمک‌رسانی‌های فنی برای حفاظت از دارایی‌ها، ترمیم آسیب‌پذیری‌ها و برآورد کردن مخاطرات مربوط به آسیب‌پذیری‌های مشابه است. وزارت دادگستری از طریق NCIJTF مسئول «واکنش به تهدید» است. این کار شامل فعالیت‌های نیرو‌های پلیس و تحقیقات مرتبط با حوزه امنیت ملی است.

مدیر اطلاعات ملی نیز از طریق CTIIC وظیفه‌ی «پشتیبانی اطلاعاتی» را برعهده دارد. این کار شامل ایجاد آگاهی‌های موردی نسبت به تهدیدات، تهیه‌ی تحلیل‌های یکپارچه از روند‌های تهدیدات سایبری و پشتیبانی از اقداماتی‌ست که برای ساختن قابلیت‌ها و گزینه‌های جدید برای تضعیف و مقابله با قابلیت‌های نیروی تهدیدکننده لازم است.

علاوه بر سازمان‌های اصلی، گروه واحد هماهنگی سایبری از حضور آژانس‌های بخشی هم بهره می‌برد. این گروه اهدافی مشترک برای واکنش به تهدید، رسیدگی به دارایی‌ها و پشتیبانی اطلاعاتی ترسیم می‌کند تا از تشریک مساعی سازمان‌های فدرال اطمینان حاصل شود. ساختار‌های موجود هماهنگی برای مقابله با حوادث سایبری عادی نیز با گروه‌های واحد هماهنگی یکپارچه‌سازی می‌شوند تا به‌اشتراک‌گذاری سریع اطلاعات درباره‌ی واکنش به حوادث و بازیابی پس از حادثه را تسهیل کنند.

این طرح از یک رویکرد بخش‌پایه استفاده کرده که در آن ۱۶ بخش زیرساختی حیاتی شناسایی شده‌اند و هر کدام از این بخش‌های ساختار‌های معمول برای هماهنگی در خصوص حوادث سایبری را دارند. یک شورای هماهنگی بخشی[۹] در هر یک از بخش‌ها وجود دارد.

هر شورا یک مجموعه‌ی خودگردان بخش خصوصی است که بستری را برای به‌اشتراک‌گذاری اطلاعات، تحلیل و همکاری در خصوص شناسایی، پیشگیری، مقابله و واکنش به حوادث سایبری است؛ نه‌تنها در خود بخش صنعت بلکه در کنار همتایان دولتی، یعنی آژانس‌های بخشی و شورای هماهنگی دولتی.[۱۰] جدا از شورای هماهنگی بخشی، مجموعه‌های خصوصیِ زیرساخت‌های حیاتی نیز اقدامات معمول خود در زمینه‌ی امنیت سایبری را از طریق مجموعه‌هایی خودگردان با نام «مرکز تحلیل اشتراک اطلاعات»[۱۱] هماهنگ می‌کنند. «شورای ملی مراکز تحلیل اشتراک اطلاعات» نیز هماهنگی بین بخشی بین بخش خصوصی و سازمان‌های مختلف دولتی را تسهیل می‌کند. سازمان‌های دولتی در سطوح ایالتی و محلی نیز عضوی از مراکز تحلیل اشتراک اطلاعات باشند. بعضی از این سازمان‌ها که مسئول عملیات زیرساخت‌های حیاتی هستند، به اداره و هماهنگی واکنش به حادثه سایبری کمک می‌کنند.

برای حوادث سایبری که صرفاً برای شبکه‌های دولتی رخ می‌دهند، مراکز بین ایالتی وجود دارد که به عنوان نقطه‌ی کانونی تبادل اطلاعات و همکاری‌های فنی بین سازمان‌های دولتی ایالتی و محلی و همچنین دولت فدرال عمل می‌کنند. اگر رسیدگی به یک حادثه سایبری فراتر از توانایی‌های آن‌ها باشد، سازمان‌های ایالتی و محلی می‌توانند از دولت فدرال بر اساس چهارچوب‌هایی نظیر «قانون استفورد»[۱۲] درخواست منابع بیشتر کنند.

در هنگام وقوع یک حادثه سایبری مهم، در هر کدام از سازمان‌های فدرال رویه‌های بهبودیافته‌ی هماهنگی بر اساس توضیحاتی که ارائه شد برقرار می‌شود. سازمان‌ها باید اطمینان حاصل کنند که ظرفیت و رویه‌های لازم برای عملکرد در شرایط چالش‌برانگیز را دارند. این امر شامل حضور جدی مدیران ارشد سازمان، در دسترس بودن پرسنل پشتیبانی برای مدیریت تقاضا‌های عملیاتی افزوده، شناسایی نقاط تماس مرتبط در سایر سازمان‌های فدرال و پررنگ کردن فرآیند‌های ارتباطی و تصمیم‌گیری موجود هستند که برای هماهنگی موثر در مقابله با حادثه ضروری می‌باشند. ارزیابی صلاحیت‌های امنیتی نیز باید از پیش انجام شده باشد تا به‌اشتراک‌گذاری سریع اطلاعات را تسهیل کند.


پی‌نوشت‌ها:

[1] National Cyber Incident Response Plan (NCIRP)

[2] Department of Homeland Security (DHS)

[3] Sector Specific Agencies (SSA) آژانس‌های دولتی که دانش و تخصص لازم را در یک حوزه دارند

[4] Cyber Threat Intelligence Integration Center (CTIIC)

[5] Director of National Intelligence (DNI)

[6] National Cybersecurity and Communications Integration Center (NCCIC)

[7] National Cyber Investigative Joint Task Force (NCIJTF)

[8] Cyber Unified Coordination Group (UCG)

[9] Sector Coordinating Council (SCC)

[10] Government Coordinating Council (GCC)

[11] Information Sharing Analysis Centres (ISAC)

[12] Stafford Disaster Relief and Emergency Assistance Act