Gerdab.IR | گرداب

از سوی انديشكده بنياد هريتيج صورت گرفت؛

بررسي خلا‌های طرح امنيت سايبري آمريكا

تاریخ انتشار : ۲۵ تير ۱۳۹۰

دولت آمريكا طرح پيشنهادي جديدي را براي افزايش امنيت سايبري به كنگره ارائه داده که از نقاط قوت و ضعفي برخوردار است و تصويب اين طرح بدون اعمال اصلاحات موجب نتايج منفي براي آمريكا خواهد شد.

به گزارش گرداب به نقل از فارس، انديشكده بنياد هريتيج در مقاله‌اي به قلم "پاول روزنزويگ" به بررسي طرح پيشنهادي جديد دولت براي افزايش امنيت سايبري پرداخته و نقاط ضعف و قوت آن را برشمرده است. در اين مقاله آمده است:

لزوم اعمال اصلاحات در طرح پيشنهادي دولت از سوی كنگره
دولت در ماه مه قانون پيشنهادي را در مورد امنيت سايبري ارائه داد كه اكنون در كنگره در حال بررسي است. اين قانون يكي از چندين بسته قانوني است كه تاكنون به منظور تلاش براي افزايش امنيت و ارتجاع زيرساخت‌هاي سايبري آمريكا پيشنهاد شده است.
 
اصلاح نقش دولت فدرال در امنيت سايبري ضروري است. يكي از اصول كليدي در بررسي هر قانون پيشنهادي اين است كه كنگره زمان كافي را صرف كند و راه‌حل صحيح را بیابد. آن چه دولت به شكل آنلاين انجام مي‌دهد بايد همزمان امنيت، آزادي و پيشرفت مردم آمريكا را به يك ميزان افزايش دهد. در طرح پيشنهادي دولت به اين اولويت‌ها به ميزان كافي اهميت داده نشده است.
 
نكات مثبت در اين طرح پيشنهادي
مدت‌ها است كه شركت‌هاي ملي با افزايش تعداد قوانيني مواجه بوده‌اند كه شركت‌هاي خدمات اينترنتي را موظف مي‌كنند تا در صورت تجاوز به داده‌ها و يا افشاي اطلاعات شخصي كاربران، مشتركان را در جريان بگذارند. امروزه در 47 ايالت از مجموع 50 ايالت آمريكا قوانيني در اين زمينه وجود دارد كه هركدام با ديگري تفاوتي جزئي دارد. اين كار دولت عاقلانه است كه در اين بازار حقيقتاً ملي - هر چند در اصل بين‌المللي - استانداردي يك‌دست و ملي تعيين كند.
 
ابهام در قوانين ناظر بر ارتباط ميان دولت و بخش خصوصي
شركت‌هاي بخش خصوصي گاهي به طور داوطلبانه در زمينه مقابله با نفوذ بي‌اجازه اينترنتي از سوي ديگران از دولت تقاضاي كمك مي‌كنند. با اين حال، قوانين در مورد اجازه داشتن يا نداشتن دولت (به عنوان مثال وزارت امنيت داخلي) در كمك به بخش خصوصي واضح نيستند. اين عدم وضوح در قوانين بي‌معني است و طرح پيشنهادي دولت با هوشياري اين ابهام‌ها را برطرف مي‌كند.
 
براي اصلاح: دستگيري مجرمين سايبري
دولت پيشنهاد داده است تا مجازات مجرمين رايانه‌اي افزايش يابد. به طور كلي، افرادي كه از اينترنت براي عمداً هدف قرار دادن زيرساخت‌ها و يا سيستم‌هاي كنترل و فرماندهي آمريكا استفاده مي‌كنند بايد شديداً مجازات شوند. اما احتياط ضروري است. قانون كلاهبرداري و سوء استفاده رايانه‌اي (CFAA) كه در مورد اعمال مجازات مجرمين رايانه‌اي تدوين شده، به شدت كلي و مبهم است. برخي از اعمال مجازات‌هاي مطابق با اين قانون مثال‌هاي خوبي براي پديده‌اي هستند كه آن را "جرم‌انگاري بيش از حد" مي‌ناميم؛ هيچ را تبديل به جرم كردن. كنگره پيش از آن كه مجازات تعرض از قانون كلاهبرداري و سوء استفاده رايانه‌اي را افزايش دهد، بايد قانون زيربنايي مجازات مجرمين را اصلاح كند تا تنها مجرمين واقعي مشمول آن شوند.
 
تشويق به اشتراك اطلاعات
شركت‌هاي خصوصي اغلب تمايل دارند تا اطلاعاتي را در زمينه هر تهديدي كه كشف كرده‌اند با دولت به اشتراك بگذارند، اما گاهي گفته مي‌شود كه قانون موجود - اساساً قانون حفظ حريم ارتباطات الكترونيكي (ECPA) - در صورتي كه به موجب اين اطلاعات، يك فرد شناسايي شود، مانع اشتراك اطلاعات از سوی بخش خصوصي با دولت مي‌شود. ممكن است اين برداشت از قانون حفظ حريم ارتباطات الكترونيكي اشتباه باشد، اما ابهام در اين قانون شركت‌هاي خدمات اينترنتي را محتاط كرده است. دولت مي‌خواهد با هوشياري اين ابهام را از ميان بردارد.
 
يكي از مشكلات طرح پيشنهادي: انتقال يك طرفه اطلاعات از بخش خصوصي به دولت
البته در اين طرح پيشنهادي مشكلي نيز وجود دارد: قانون پيشنهادي دولت تنها بر انتقال اطلاعات از بخش خصوصي به دولت تمركز مي‌كند؛ گويي تنها راه دست‌يابي به امنيت سايبري، دولت است، اما اين گونه نيست. بخش خصوصي مي‌تواند و بايد خود را مديريت كند و از اشتراك اطلاعات ميان شركت‌هاي خدمات اينترنتي به عنوان روشي براي افزايش امنيت سايبري استفاده کند، اما پيش‌نويس طرح پيشنهادي در مورد اشتراك اطلاعات درون بخش خصوصي صحبتي نمي‌كند. اين قانون انتقال اطلاعات از بخش خصوصي به دولت به منظور حفاظت از يك سيستم اطلاعاتي را بيان مي‌كند كه همين موضوع ممكن است باعث شود تا از اين قانون اين گونه برداشت شود كه اشتراك اطلاعات ميان شركت‌هاي بخش خصوصي ممنوع و يا داراي حدودي خاص است. اگر از اين قانون چنين برداشتي شود، در حقيقت پيش‌نويس اين طرح پيشنهادي موجب ضرر مي‌شود. اين پيشنهاد بايد پيش از اجرا، اصلاح شود.
 
لزوم اجتناب از تشريفات غير ضروري
طرح پيشنهادي دولت موجب تسريع در استفاده از سيستم‌هاي مقابله با نفوذ اطلاعاتي مي‌شود كه مي‌تواند واقعاً از نفوذ سايبري و حملات عليه رايانه‌هاي دولتي جلوگيري كند. اين طرح پيشنهادي تأكيد مي‌كند كه وزارت امنيت داخلي (DHS) مسئول نظارت بر سيستم‌هاي مقابله با نفوذ اطلاعاتي در تمام رايانه‌هاي شخصي افراد درون قوه مجريه در سراسر آمريكا است. اين قانون همچنين موجب آسان‌تر شدن روندي مي‌شود كه به موجب آن شركت‌هاي خدمات اينترنتي (ISP‌هايي) كه اقدام به ارائه اين سيستم‌ها از طرف وزارت امنيت داخلي مي‌كنند، از مسئوليت به علت كمك به دولت مصون خواهند بود.
 
وجود تشريفات غير ضروري در طرح پيشنهادي موجب كاهش سرعت در روند سيستم‌هاي مقابله با نفوذ اطلاعاتي
البته اشكال اين قانون در تحميل ارائه گزارش‌هاي سنگين كنگره، الزام به داشتن يك گواهي يك ساله و حفاظت غيرضروري از حريم خصوصي و آزادي‌هاي مدني است. طرح پيشنهادي تنها شامل سيستم‌هاي مقابله با نفوذ اطلاعاتي است كه از رايانه‌هاي دولتي حفاظت مي‌كنند؛ اما مملو از بخش‌هاي مربوط به حفاظت از حريم خصوصي است. وزارت دادگستري به درستي اعلام كرد كه فردي كه اطلاعاتي را در اختيار دولت قرار مي‌دهد، هيچ گاه انتظار ندارد در ارتباطاتش حريم خصوصي رعايت شود؛ به هر حال او خود "تمايل داشته" كه نامه‌اي كه فرستاده است به دست دولت خوانده شود. شيوه‌هاي حفاظتي اضافي تنها تشريفات بيش از حدي هستند كه موجب كاهش سرعت در روند توسعه و به كارگيري سيستم‌هاي كارآمد مقابله با نفوذ اطلاعاتي مي‌شوند.
 
همكاري دولت و بخش خصوصي، نه تحميل خواسته دولت
بنا به طرح پيشنهادي دولت، وزارت امنيت داخلي نقش كنترلي بسيار قوي‌تري را در مديريت امنيت سايبري در بخش خصوصي به عهده خواهد داشت. از آن جا كه وزارت امنيت داخلي با صنعت همكاري دارد، بخش‌هاي مركزي زيرساختي مهم و خاصي (احتمالاً بخش‌هايي مانند شبكه برق‌رساني و بازارهاي مالي) را شناسايي و سپس ليستي را از اولويت‌ها در تهديدات سايبري و نقاط آسيب‌پذير در اين بخش‌ها تهيه خواهد كرد.
 
با تهيه چنين ليستي، عامل‌هاي زيرساختي ملزم خواهند شد تا برنامه‌هاي خود را براي مقابله با تهديدات سايبري ارائه و براي بررسي به يك بازرس بازرگاني ثالث تحويل دهند. همچنين برخي عامل‌ها ملزم خواهند شد تا برنامه‌هاي خود را به كميسيون بورس و اوراق بهادار گزارش و ضمانت دهند كه برنامه‌هايشان كافي است. بازرسين ثالث مسئول بررسي عمل شركت‌هاي خدمات اينترنتي به قانون خواهند بود. اگر وزرات امنيت داخلي تشخيص دهد كه چارچوب امنيتي كه يكي از بخش‌هاي مهم زيرساختي از آن استفاده مي‌كند كافي نيست، اين وزارت اجازه خواهد داشت تا با مؤسسه ملي فناوري و استاندارد (NIST) همكاري و چارچوبي اصلاح شده را در آن بخش اعمال كند. در نهايت، وزارت امنيت داخلي اجازه خواهد داشت تا نام شركت‌هاي خدمات زيرساختي مهم را كه اين وزارت برنامه‌هاي امنيتي آنها را ناكافي تشخيص مي‌دهد، به طور عمومي اعلام كند.
 
نتيجه نهايي طرح پيشنهادي در صورت عدم اصلاح: تحميل خواست دولت و از بين رفتن خلاقيت در بخش خصوصي
اين طرح پيشنهادي يك گرداب مديريتي به وجود مي‌آورد. به نظر مي‌آيد اين روش با مشورت اندك و يا بدون هيچ گونه مشورت با بخش خصوصي اتخاذ شده است. اين روش به مقدس شمردن يك ساختار توسعه اولويت‌بندي و كنترلي منجر خواهد شد كه ناچار از پيشرفت فناوري بسيار عقب خواهد ماند. در نهايت نيز اين طرح موجب به وجود آمدن يك دولت فدرال مي‌شود كه استانداردهاي امنيت خود را به صنايع خصوصي تحميل مي‌كند كه از دولت بسيار متخصص‌تر و خلاق‌تر است.
 
امنيت سايبري تنها با همكاري ميان دولت و بخش خصوصي به دست مي‌آيد و نبايد دولت به تنهايي چارچوب اين امنيت را تعيين كند
مي‌توان امنيت بخش خصوصي را بهبود بخشيد؛ امنيت سايبري بخش خصوصي اهميت بسياري براي دولت فدرال دارد. با اين وجود، امنيت سايبري نبايد به عنوان يك دستور از جانب وزارت امنيت داخلي و يا مؤسسه ملي فناوري و استاندارد صادر شود، بلكه تنها مي‌توان اين امنيت را از طريق همكاري ميان دولت و بخش خصوصي تأمين كرد. اين جنبه از طرح پيشنهادي دولت با آن چه بايد باشد فاصله زيادي دارد.
 
اصلاحات لازم
طرح پيشنهادي دولت نقطه شروع مناسبي براي بحث است. كنگره بايد نقاط قوت اين طرح را ارزيابي كند و طرح را متناسب با اصول محافظه‌كارها اصلاح كند.

کنگره باید تمام جنبه‌هاي اين طرح پيشنهادي را با دقت بررسي کند، به ويژه پيش‌بيني‌هاي موجود در طرح در مورد مجرمين، پيشنهادها در مورد اشتراك اطلاعات از سوی بخش خصوصي و پيشنهاد كنترل زيرساخت‌هاي مهم.

بر اعمال اصلاحات در طرح پيشنهادي اصرار كند؛ اصلاحاتي كه موجب افزايش ظرفيت براي همكاري ميان دولت و بخش خصوصي در زمينه افزايش امنيت سايبري، اما بدون انزواي صنايع خصوصي شود.

تنها در صورتي قانون اجرايي در زمينه امنيت سايبري را تصويب كند كه اين قانون موجب بهبود وضعيت دفاعي آمريكا شود و از نوآوري جلوگيري نكند. عدم تصويب قانون بهتر از تصويب قانوني است كه مضر باشد و موجب كاهش قدرت رقابتي آمريكا شود.