به گزارش گرداب به نقل از فارس، انديشكده بنياد هريتيج در مقالهاي به قلم "پاول روزنزويگ" به بررسي طرح پيشنهادي جديد دولت براي افزايش امنيت سايبري پرداخته و نقاط ضعف و قوت آن را برشمرده است. در اين مقاله آمده است:
لزوم اعمال اصلاحات در طرح پيشنهادي دولت از سوی كنگره
دولت در ماه مه قانون پيشنهادي را در مورد امنيت سايبري ارائه داد كه اكنون در كنگره در حال بررسي است. اين قانون يكي از چندين بسته قانوني است كه تاكنون به منظور تلاش براي افزايش امنيت و ارتجاع زيرساختهاي سايبري آمريكا پيشنهاد شده است.
اصلاح نقش دولت فدرال در امنيت سايبري ضروري است. يكي از اصول كليدي در بررسي هر قانون پيشنهادي اين است كه كنگره زمان كافي را صرف كند و راهحل صحيح را بیابد. آن چه دولت به شكل آنلاين انجام ميدهد بايد همزمان امنيت، آزادي و پيشرفت مردم آمريكا را به يك ميزان افزايش دهد. در طرح پيشنهادي دولت به اين اولويتها به ميزان كافي اهميت داده نشده است.
نكات مثبت در اين طرح پيشنهادي
مدتها است كه شركتهاي ملي با افزايش تعداد قوانيني مواجه بودهاند كه شركتهاي خدمات اينترنتي را موظف ميكنند تا در صورت تجاوز به دادهها و يا افشاي اطلاعات شخصي كاربران، مشتركان را در جريان بگذارند. امروزه در 47 ايالت از مجموع 50 ايالت آمريكا قوانيني در اين زمينه وجود دارد كه هركدام با ديگري تفاوتي جزئي دارد. اين كار دولت عاقلانه است كه در اين بازار حقيقتاً ملي - هر چند در اصل بينالمللي - استانداردي يكدست و ملي تعيين كند.
ابهام در قوانين ناظر بر ارتباط ميان دولت و بخش خصوصي
شركتهاي بخش خصوصي گاهي به طور داوطلبانه در زمينه مقابله با نفوذ بياجازه اينترنتي از سوي ديگران از دولت تقاضاي كمك ميكنند. با اين حال، قوانين در مورد اجازه داشتن يا نداشتن دولت (به عنوان مثال وزارت امنيت داخلي) در كمك به بخش خصوصي واضح نيستند. اين عدم وضوح در قوانين بيمعني است و طرح پيشنهادي دولت با هوشياري اين ابهامها را برطرف ميكند.
براي اصلاح: دستگيري مجرمين سايبري
دولت پيشنهاد داده است تا مجازات مجرمين رايانهاي افزايش يابد. به طور كلي، افرادي كه از اينترنت براي عمداً هدف قرار دادن زيرساختها و يا سيستمهاي كنترل و فرماندهي آمريكا استفاده ميكنند بايد شديداً مجازات شوند. اما احتياط ضروري است. قانون كلاهبرداري و سوء استفاده رايانهاي (CFAA) كه در مورد اعمال مجازات مجرمين رايانهاي تدوين شده، به شدت كلي و مبهم است. برخي از اعمال مجازاتهاي مطابق با اين قانون مثالهاي خوبي براي پديدهاي هستند كه آن را "جرمانگاري بيش از حد" ميناميم؛ هيچ را تبديل به جرم كردن. كنگره پيش از آن كه مجازات تعرض از قانون كلاهبرداري و سوء استفاده رايانهاي را افزايش دهد، بايد قانون زيربنايي مجازات مجرمين را اصلاح كند تا تنها مجرمين واقعي مشمول آن شوند.
تشويق به اشتراك اطلاعات
شركتهاي خصوصي اغلب تمايل دارند تا اطلاعاتي را در زمينه هر تهديدي كه كشف كردهاند با دولت به اشتراك بگذارند، اما گاهي گفته ميشود كه قانون موجود - اساساً قانون حفظ حريم ارتباطات الكترونيكي (ECPA) - در صورتي كه به موجب اين اطلاعات، يك فرد شناسايي شود، مانع اشتراك اطلاعات از سوی بخش خصوصي با دولت ميشود. ممكن است اين برداشت از قانون حفظ حريم ارتباطات الكترونيكي اشتباه باشد، اما ابهام در اين قانون شركتهاي خدمات اينترنتي را محتاط كرده است. دولت ميخواهد با هوشياري اين ابهام را از ميان بردارد.
يكي از مشكلات طرح پيشنهادي: انتقال يك طرفه اطلاعات از بخش خصوصي به دولت
البته در اين طرح پيشنهادي مشكلي نيز وجود دارد: قانون پيشنهادي دولت تنها بر انتقال اطلاعات از بخش خصوصي به دولت تمركز ميكند؛ گويي تنها راه دستيابي به امنيت سايبري، دولت است، اما اين گونه نيست. بخش خصوصي ميتواند و بايد خود را مديريت كند و از اشتراك اطلاعات ميان شركتهاي خدمات اينترنتي به عنوان روشي براي افزايش امنيت سايبري استفاده کند، اما پيشنويس طرح پيشنهادي در مورد اشتراك اطلاعات درون بخش خصوصي صحبتي نميكند. اين قانون انتقال اطلاعات از بخش خصوصي به دولت به منظور حفاظت از يك سيستم اطلاعاتي را بيان ميكند كه همين موضوع ممكن است باعث شود تا از اين قانون اين گونه برداشت شود كه اشتراك اطلاعات ميان شركتهاي بخش خصوصي ممنوع و يا داراي حدودي خاص است. اگر از اين قانون چنين برداشتي شود، در حقيقت پيشنويس اين طرح پيشنهادي موجب ضرر ميشود. اين پيشنهاد بايد پيش از اجرا، اصلاح شود.
لزوم اجتناب از تشريفات غير ضروري
طرح پيشنهادي دولت موجب تسريع در استفاده از سيستمهاي مقابله با نفوذ اطلاعاتي ميشود كه ميتواند واقعاً از نفوذ سايبري و حملات عليه رايانههاي دولتي جلوگيري كند. اين طرح پيشنهادي تأكيد ميكند كه وزارت امنيت داخلي (DHS) مسئول نظارت بر سيستمهاي مقابله با نفوذ اطلاعاتي در تمام رايانههاي شخصي افراد درون قوه مجريه در سراسر آمريكا است. اين قانون همچنين موجب آسانتر شدن روندي ميشود كه به موجب آن شركتهاي خدمات اينترنتي (ISPهايي) كه اقدام به ارائه اين سيستمها از طرف وزارت امنيت داخلي ميكنند، از مسئوليت به علت كمك به دولت مصون خواهند بود.
وجود تشريفات غير ضروري در طرح پيشنهادي موجب كاهش سرعت در روند سيستمهاي مقابله با نفوذ اطلاعاتي
البته اشكال اين قانون در تحميل ارائه گزارشهاي سنگين كنگره، الزام به داشتن يك گواهي يك ساله و حفاظت غيرضروري از حريم خصوصي و آزاديهاي مدني است. طرح پيشنهادي تنها شامل سيستمهاي مقابله با نفوذ اطلاعاتي است كه از رايانههاي دولتي حفاظت ميكنند؛ اما مملو از بخشهاي مربوط به حفاظت از حريم خصوصي است. وزارت دادگستري به درستي اعلام كرد كه فردي كه اطلاعاتي را در اختيار دولت قرار ميدهد، هيچ گاه انتظار ندارد در ارتباطاتش حريم خصوصي رعايت شود؛ به هر حال او خود "تمايل داشته" كه نامهاي كه فرستاده است به دست دولت خوانده شود. شيوههاي حفاظتي اضافي تنها تشريفات بيش از حدي هستند كه موجب كاهش سرعت در روند توسعه و به كارگيري سيستمهاي كارآمد مقابله با نفوذ اطلاعاتي ميشوند.
همكاري دولت و بخش خصوصي، نه تحميل خواسته دولت
بنا به طرح پيشنهادي دولت، وزارت امنيت داخلي نقش كنترلي بسيار قويتري را در مديريت امنيت سايبري در بخش خصوصي به عهده خواهد داشت. از آن جا كه وزارت امنيت داخلي با صنعت همكاري دارد، بخشهاي مركزي زيرساختي مهم و خاصي (احتمالاً بخشهايي مانند شبكه برقرساني و بازارهاي مالي) را شناسايي و سپس ليستي را از اولويتها در تهديدات سايبري و نقاط آسيبپذير در اين بخشها تهيه خواهد كرد.
با تهيه چنين ليستي، عاملهاي زيرساختي ملزم خواهند شد تا برنامههاي خود را براي مقابله با تهديدات سايبري ارائه و براي بررسي به يك بازرس بازرگاني ثالث تحويل دهند. همچنين برخي عاملها ملزم خواهند شد تا برنامههاي خود را به كميسيون بورس و اوراق بهادار گزارش و ضمانت دهند كه برنامههايشان كافي است. بازرسين ثالث مسئول بررسي عمل شركتهاي خدمات اينترنتي به قانون خواهند بود. اگر وزرات امنيت داخلي تشخيص دهد كه چارچوب امنيتي كه يكي از بخشهاي مهم زيرساختي از آن استفاده ميكند كافي نيست، اين وزارت اجازه خواهد داشت تا با مؤسسه ملي فناوري و استاندارد (NIST) همكاري و چارچوبي اصلاح شده را در آن بخش اعمال كند. در نهايت، وزارت امنيت داخلي اجازه خواهد داشت تا نام شركتهاي خدمات زيرساختي مهم را كه اين وزارت برنامههاي امنيتي آنها را ناكافي تشخيص ميدهد، به طور عمومي اعلام كند.
نتيجه نهايي طرح پيشنهادي در صورت عدم اصلاح: تحميل خواست دولت و از بين رفتن خلاقيت در بخش خصوصي
اين طرح پيشنهادي يك گرداب مديريتي به وجود ميآورد. به نظر ميآيد اين روش با مشورت اندك و يا بدون هيچ گونه مشورت با بخش خصوصي اتخاذ شده است. اين روش به مقدس شمردن يك ساختار توسعه اولويتبندي و كنترلي منجر خواهد شد كه ناچار از پيشرفت فناوري بسيار عقب خواهد ماند. در نهايت نيز اين طرح موجب به وجود آمدن يك دولت فدرال ميشود كه استانداردهاي امنيت خود را به صنايع خصوصي تحميل ميكند كه از دولت بسيار متخصصتر و خلاقتر است.
امنيت سايبري تنها با همكاري ميان دولت و بخش خصوصي به دست ميآيد و نبايد دولت به تنهايي چارچوب اين امنيت را تعيين كند
ميتوان امنيت بخش خصوصي را بهبود بخشيد؛ امنيت سايبري بخش خصوصي اهميت بسياري براي دولت فدرال دارد. با اين وجود، امنيت سايبري نبايد به عنوان يك دستور از جانب وزارت امنيت داخلي و يا مؤسسه ملي فناوري و استاندارد صادر شود، بلكه تنها ميتوان اين امنيت را از طريق همكاري ميان دولت و بخش خصوصي تأمين كرد. اين جنبه از طرح پيشنهادي دولت با آن چه بايد باشد فاصله زيادي دارد.
اصلاحات لازم
طرح پيشنهادي دولت نقطه شروع مناسبي براي بحث است. كنگره بايد نقاط قوت اين طرح را ارزيابي كند و طرح را متناسب با اصول محافظهكارها اصلاح كند.
کنگره باید تمام جنبههاي اين طرح پيشنهادي را با دقت بررسي کند، به ويژه پيشبينيهاي موجود در طرح در مورد مجرمين، پيشنهادها در مورد اشتراك اطلاعات از سوی بخش خصوصي و پيشنهاد كنترل زيرساختهاي مهم.
بر اعمال اصلاحات در طرح پيشنهادي اصرار كند؛ اصلاحاتي كه موجب افزايش ظرفيت براي همكاري ميان دولت و بخش خصوصي در زمينه افزايش امنيت سايبري، اما بدون انزواي صنايع خصوصي شود.
تنها در صورتي قانون اجرايي در زمينه امنيت سايبري را تصويب كند كه اين قانون موجب بهبود وضعيت دفاعي آمريكا شود و از نوآوري جلوگيري نكند. عدم تصويب قانون بهتر از تصويب قانوني است كه مضر باشد و موجب كاهش قدرت رقابتي آمريكا شود.