Gerdab.IR | گرداب

به گزارش گرداب، کای لین تای (Kai Lin Tay) پژوهشگر حوزه سایبری در موسسه‌ی بین‌المللی مطالعات استراتژیک (IISS) مستقر در انگلیس در مقاله‌ای به بررسی چالش‌های موجود در مسیر رسیدن به یک بستر مشترک همکاری‌های امنیت سایبری در منطقه جنوب‌شرقی آسیا پرداخت.

در بخش‌های قبلی این پژوهش نظام واکنش‌دهی بین بخشی به حوادث سایبری در آمریکا و اروپا مورد بررسی قرار گرفته بود.

بخش‌های دیگر این پژوهش را بخوانید:

الگوی واکنش به شرایط اضطراری سایبری در آمریکا

الگوی واکنش به شرایط اضطراری سایبری در اروپا

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».

همکاری کشور‌های ASEAN در زمینه‌ی امنیت سایبری: حرکت به سوی یک چهارچوب منطقه‌ای برای واکنش به شرایط اضطراری

خلاصه:

در طول حداقل یک دهه‌ی گذشته، تهدیدات سایبری در جنوب‌شرق آسیا از نظر کمی رو به افزایش بوده و از نظر پیچیدگی نیز پیشرفت داشته‌اند. عوامل متعددی در این‌باره موثر بوده‌اند؛ از گسترش ارتباطات در دوره‌ی پس از همه‌گیری COVID-۱۹، استفاده‌ی بیشتر از فناوری‌های پیشرفته نظیر هوش مصنوعی و رایانش ابری و همچنین افزایش جذابیت این منطقه برای اجرای عملیات‌های جاسوسی سایبری به علت اهمیت فزاینده‌ی این منطقه از نظر ژئوپلیتیک.

این گزارش به دنبال ارائه‌ی یک نگاه کلی به شرایط کنونی همکاری‌های کشور‌های عضو «اتحادیه کشور‌های جنوب‌شرق آسیا» (آسه‌آن)^[۱] در زمینه‌ی امنیت سایبری و پرداختن به موضوع واکنش‌های منطقه‌ای به شرایط اضطراری سایبری در چهارچوب جغرافیایی جنوب‌شرق آسیاست. این گزارش با بررسی الگو‌های واکنش اضطراری سایبری در اتحادیه اروپا و ایالات متحده، شکاف‌های موجود در ساختار کنونی همکاری‌های امنیت سایبری آسه‌آن را شناسایی کرده حوزه‌های کلیدی که توسعه‌ی آن‌ها برای پی‌ریزی یک چهارچوب شرایط اضراری سایبری ضروری است را ارائه می‌کند. همچنین یافته‌های این گزارش از هدف‌گذاری بلندمدت آسه‌آن برای اجرایی کردن هنجار‌های پیشنهادی سازمان ملل متحد در زمینه‌های همکاری‌های متقابل در هنگام حملات سایبری پشتیبانی می‌کند.

سطوح بالایی از همکاری بین کشور‌های عضو آسه‌آن در خصوص تیم‌های واکنش اضطراری رایانه‌ای^[۲] وجود دارد که علت آن تلاش‌هایی است که در دهه‌ی ۲۰۰۰ برای پیشرفت بخش ارتباطات و فناوری اطلاعات در این کشور‌ها انجام شد. با این وجود، تنها در چند سال اخیر بوده که آسه‌آن به سمت رسمی کردن همکاری‌های موجود بین این تیم‌ها حرکت کرده است. در حالی که سابقاً با مسائل امنیت سایبری در قالب بستر‌های گسترده‌تر اقتصادی و سیاسی-امنیتی برخورد می‌شد، اکنون بستر‌هایی به وجود آمده‌اند که مختص گفتگو در زمینه‌ی امنیت سایبری به صورت درون و برون منطقه‌ای هستند.

این گزارش هم‌چنین به مسأله‌ی حفاظت از زیرساخت‌های اطلاعاتیِ حیاتی در زمان شرایط اضطراری سایبری می‌پردازد. در ۵ سال گذشته ابتکار‌های متعددی با حضور طرف‌های گفتگو، سازمان‌های بین‌المللی و بخش خصوصی برای ارتقای قابلیت‌های منطقه‌ای در زمینه‌ی امنیت سایبری و تقویت اعتماد متقابل میان کشور‌های عضو آسه‌آن شکل گرفته است. در این منطقه، کشور‌های سنگاپور و مالزی نقشی حیاتی در جهت‌دهی به ابتکار‌های چندذی‌نفعی برای توسعه‌ی قابلیت‌های جدید و همچنین ایجاد سازوکار‌های به‌اشتراک‌گذاری اطلاعات در بخش‌های مالی و دفاعی داشته‌اند.

با وجود اینکه اقدامات برای توسعه‌ی قابلیت‌های جدید و به‌اشتراک‌گذاری اطلاعات توانسته‌اند آمادگی این منطقه را در برابر حملات سایبری به زیرساخت‌های اطلاعاتی حیاتی افزایش دهند، تا زمانی که ساختار کلی امنیت سایبری در آسه‌آن گسسته باقی بماند، هرگونه پیشرفت جدید با موانع جدی روبه‌رو خواهد شد. نه‌تنها کشور‌های عضو هر کدام در سطح متفاوتی از نظر بلوغ قابلیت‌های امنیت سایبری خود هستند، بلکه این منطقه فاقد یک چهارچوب مفهومی مشترک در زمینه‌ی سایبری و تعداد کافی از متخصصان حرفه‌ای امنیت سایبری است و هنوز توافقی منطقه‌ای بر سر رویکرد استراتژیک به امنیت سایبری وجود ندارد.

این گزارش گام‌های اصلی برای ایجاد یک چهارچوب واکنش اضطراری سایبری در آسه‌آن را برمی‌شمرد. گزارش پیشنهاد می‌کند بخش‌های حائز اولویت در زیرساخت‌های اطلاعاتی حیاتی هر یک از کشور‌های عضو شناسایی شود و حمایت منطقه‌ای از هنجار‌های سایبری پیشنهادشده از سوی سازمان ملل نیز تقویت گردد.

در جهانی که روزبه‌روز متصل‌تر می‌شود، ساختن یک چهارچوب واکنش اضطراری سایبری برای آسه‌آن یک اقدام به‌موقع برای ارتقای تاب‌آوری سایبری در این منطقه است و همچنین می‌تواند تضمین کند که کشور‌های عضوی که قابلیت‌های کمتری برای مقابله با بحران‌های سایبری دارند از کمک کشور‌های عوض بهره‌مند خواهند شد.

محدودیت‌های ساختار همکاری سایبری آسه‌آن:

فقدان ساختار‌های نهادی منطقه‌ای برای واکنش اضطراری سایبری

الگو‌های واکنش به حوادث در اروپا و آمریکا که در این گزارش مورد بررسی قرار گرفتند، عناصر کلیدی برای یک چهارچوب واکنش اضطراری سایبری را نشان می‌دهند:

• یک مجموعه برای تصمیم‌گیری کلی در واکنش به شرایط اضطراری سایبری
• یک سکو یا تعدادی سکوی متصل به هم برای برقرای ارتباط بین تمام ذی‌نفعان حوزه‌ی امنیت سایبری، به‌اشتراک‌گذاری اطلاعات یا هماهنگی فعالیت‌ها
• پروتکل‌های عملیاتی استاندارد برای هماهنگی
• نقش‌ها و مسئولیت‌های تعریف‌شده برای تمام ذی‌نفعان حوزه‌ی امنیت سایبری.

اما بر خلاف این‌ها، ساختار فعلی همکاری سایبری آسه‌آن فاقد اختیارات سیاسی است و بین سکو‌های بخشی مختلف پراکنده شده است. نیاز واضحی به بستری برای مرتبط کردن تمام گروه‌های امنیت سایبری که در سکو‌های مختلف فعالیت می‌کنند وجود دارد که بتواند بخش‌های فنی، اقتصادی، سیاسی-امنیتی و انتظامی را پوشش دهد تا از یک واکنش هماهنگ به شرایط اضطراری سایبری در سطوح فنی و عملیاتی پشتیبانی شود. کمیته‌ی هماهنگی امنیت سایبری آسه‌آن که اخیراً تشکیل شده هرچند ذاتاً بین بخشی است، در طول هر سال تنها یک جلسه برای ارتقای هم‌گرایی سیاستی و هم‌جهت‌سازی سیاست منطقه‌ای امنیت سایبری با ملاحظات عملیاتی ملی برگزار می‌کند.

فقدان یک چهارچوب مفهومی مشترک در زمینه‌ی سایبری

یکی دیگر از موانع بر سر راه تشکیل یک قابلیت منطقه‌ای برای واکنش اضطراری به حوادث سایبری، نبود یک چهارچوب مفهومی مشترک است که تاثیرات مشخص هر حادثه سایبری مهم یا هر شرایط اضطراری سایبری را بر زیرساخت‌های اطلاعاتی حیاتی تعریف کند. برای مثال دستورالعمل شماره‌ی ۲۴ شورای امنیت ملی مالزی حوادث سایبری را به ۵ سطح دسته‌بندی می‌کند. یه حادثه‌ی سایبری زمانی در سطح ۴ تعریف می‌شود که موجب «اخلال یا آسیب گسترده به آژانس‌های مسئول زیرساخت‌های اطلاعاتی حیاتی کشور و/یا سازمان‌های دولتی شود و تاثیر زیادی برا کشور بگذارد». یک حادثه‌ی سطح ۵ نیز زمانی یک «بحران» اعلام می‌شود که موجب «تاثیر اساسی بر آژانس‌های مسئول زیرساخت‌های اطلاعاتی حیاتی کشور و/یا سازمان‌های دولتی شود». با این حال نه «اخلال یا آسیب گسترده» تعریف شده و نه «تاثیر اساسی».

در نقطه‌ی مقابل، ویتنام ویژگی‌های یک «حادثه‌ی جدی امنیت اطلاعات سایبری» را که موجب قطعی شدن واکنش ملی می‌شود را به دقت مشخص کرده است. این واکنش زمانی اجرایی می‌شود که سیستم اطلاعاتی هدف قرار گرفته، مشکلاتی نظیر اخلال در خدمت‌رسانی، نشت اطلاعات طبقه‌بندی‌شده یا اسرار دولتی، آسیب به داده‌های مهم شود یا حمله در مقیاس کلان و به صورت بین بخشی باشد. سایر کشور‌های منطقه نظیر کمبوجیه و اندونزی نیز هنوز شرایط اضطراری سایبری را نظیر مالزی و ویتنام تعریف نکرده‌اند.

موانع ساختاری ناشی از ماهیت آسه‌آن

سومین عامل مزاحم نیز این است که بر خلاف اتحادیه اروپا که یک مجموعه‌ی فرادولتی است، ساختار آسه‌آن به صورت یک سازمان بین دولتی چالش‌هایی در برابر رسمی شدن ساختار‌های همکاری در زمینه‌ی واکنش‌های سایبری است. ”راه و روش آسه‌آن“ بر مبنای همکاری دولت‌های عضو بر اساس اصول احترام به حاکمیت ملی، تصمیم‌گیری‌های اجماعی و عدم مداخله است. این ”راه و روش“ در سال ۲۰۰۷ در منشور آسه‌آن پایه‌گذاری شد. از همین رو، فرآیند سیاست‌گذاری در آسه‌آن کُندتر از سازمان‌های منطقه‌ای دیگر نظیر اتحادیه اروپا است. برای مثال زمانی که کشور‌های عضو آسه‌آن در سال ۲۰۱۲ در بیانیه‌ی «همکاری در خصوص تامین امنیت سایبری»^[۳] بر کاهش ریسک سوءتفاهم، تشدید تنش‌ها و درگیری‌ها تاکید کردند، طرح اجرایی امنیت ICT سه سال بعد و در سال ۲۰۱۵ توسعه یافت و پیاده‌سازی آن نیز تنها پس از برگزاری جلسه‌ی میان‌دوره‌ای مجمع گفتگوی آسه‌آن^[۴] در سال ۲۰۱۷ ممکن شد. علاوه‌براین به دلیل تفاوتات فراوان تاریخی فرهنگی و سیاسی در این منطقه یک فضای بی‌اعتمادی عمومی بر آن حاکم است که موجب محدود شدن به‌اشتراک‌گذاری اطلاعات تهدید می‌شود. برای مثال در مورد جرائم سایبری، هرچند اعضای آسه‌آن توانسته‌اند به همکاری‌های عملی مانند اجرای عملیات‌های مشترک زیر نظر میز قابلیت‌های سایبری آسه‌آن^[۵] دست پیدا کنند، هنوز نتوانسته‌اند به دلیل اختلافات کلی در زمینه‌ی قوانین و مبارزه با جرائم سایبری به یک مقررات‌گذاری کلی و مشترک برسند.

افزون بر این، به دلیل وجود شکاف دیجیتالی بین اعضای آسه‌آن، مسأله‌ی بروز شرایط اضطراری ناشی از حوادث سایبری در کشور‌های در حال توسعه‌ای مانند کمبوجیه، لائوی و میانمار که در ابتدای مسیر توسعه‌ی ظرفیت‌های اولیه ICT و اقتصاد دیجیتالی خود هستند، اولویت کمتری دارد. دیدگاه دولت‌های عضو آسه‌آن به حکمرانی فضای سایبر نیز تحت تاثیر ملاحظات سیاست داخلی آن‌هاست. برای مثال قانون امنیت سایبری سنگاپور در سال ۲۰۱۸ بر حفاظت از زیرساخت‌های اطلاعاتی حیاتی تمرکز دارد در حالی که قانون امنیت سایبری ویتنام که آن هم مصوب ۲۰۱۸ است، بر محلی‌سازی داده‌ها و کنترل محتوا متمرکز است.

توسعه‌ی نامتوازن شبکه‌های واکنش اضطراری سایبری در منطقه‌ی آسه‌آن

توسعه‌ی شبکه‌های چندذی‌نفعی برای واکنش اضطراری سایبری بین کشور‌های عضو آسه‌آن نامتوازن است. شبکه‌های ملی واکنش اضطراری در سنگاپور و مالزی به طور نسبی پیشرفت خوبی داشته‌اند. در این دو کشور بخش خصوصی نسبت به سایر کشور‌های منطقه مشارکت بیشتری در شبکه‌های واکنش اضطراری دارند.

سنگاپور از سال ۲۰۱۶ تا کنون ۳ مرحله رزمایش ملی با نام «رزمایش ستاره‌ی سایبری»^[۶] را اجرا کرده که تمرکز آن بر تمرین مدیریت بحران‌های سایبری است و مدیران بخش‌های مختلف و مالکان زیرساخت‌های اطلاعاتی حیاتی را برای ارزیابی طرح‌های عملیاتی آن‌ها برای واکنش به حملات پیچیده مورد آزمایش قرار می‌دهد. همچنین آژانس امنیت سایبری سنگاپور به عنوان بخشی از طرح کلان امنیت سایبریِ فناوری عملیاتی که در سال ۲۰۱۹ با هدف پیشرفت واکنش بین بخشی به تهدیدات در فضای فناوری‌های عملیاتی ارائه شد، با «بنیاد جهانی تاب‌آوری»^[۷] برای تشکیل یک مرکز تحلیل و به‌اشتراک‌گذاری اطلاعات در زمینه‌ی امنیت سایبری همکاری کرد. اقدام مشابه مالزی نیز با نام «رزمایش ملی بحران سایبری X-Maya» شبیه‌سازی حملات سایبری در مقیاس کلان به زیرساخت‌های اطلاعاتی حیاتی بود. این رزمایش‌ها با هدف کمک به بهبود رویه‌ی ملی هماهنگی، ارتباطات و واکنش در زمینه‌ی امنیت سایبری است و مسیر‌های ارتباطات دستگاه‌های مسئول زیرساخت‌ها و بین وزارت‌خانه‌های بالادستی آن‌ها را مورد آزمایش قرار می‌دهد.

کشور‌هایی نظیر تایلند و فیلیپین هنوز یک طرح واکنش اضطراری ملی ندارند، اما شبکه‌های به‌اشتراک‌گذاری اطلاعات بین دولت و بخش خصوصی ایجاد شده است. برای مثال، آژانس توسعه‌ی تبادلات الکترونیک در تایلند^[۸] اطلاعات تهدیدات سایبری را با سیسکو در میان می‌گذارد. تیم واکنش حوادث رایانه‌ای ویتنام در سال ۲۰۱۸ وارد یک همکاری استراتژیک با شرکت PwC در خصوص واکنش به حوادث امنیتی سایبری شد. نیروی هوایی فیلیپین نیز اطلاعات تهدیدات سایبری را با PLDT به اشتراک می‌گذارد. تایلند و ویتنام و همچنین اندونزی تمایل خود را به توسعه‌ی طرح‌های ملی واکنش به حوادث سایبری نشان داده‌اند؛ طرح‌هایی که شامل همکاری بین بخش دولتی و خصوصی نیز می‌شود. با این حال طرح‌ریزی امنیت سایبری برای سایر کشور‌های این منطقه هنوز در مراحل ابتدایی خود قرار دارد. آن‌ها فاقد سازوکار‌های تعریف‌شده برای همکاری‌های دولتی-خصوصی در زمینه‌ی به‌اشتراک‌گذاری اطلاعات در حیطه‌ی امنیت سایبری هستند.

پی‌نوشت‌ها:

[1] Association of Southeast Asian Nations (ASEAN)

[2] Computer Emergency Response Team (CERT)

[3] Statement on Cooperation in Ensuring Cyber Security

[4] ASEAN Regional Forum Inter-Sessional Meeting on Security of and in the Use of Information and Communication Technologies

[5] ASEAN Cyber Capability Desk

[6] Exercise Cyber Star

[7] Global Resilience Foundation

[8] Electronic Transactions Development Agency