أحدث المقالات
چطور میتوان بر بیقانونی اینترنت غلبه کرد؟
اندیشکده استراتفور در تحلیلی در این باره نوشت: اما امروز فضای سایبر بهعنوان جدیدترین عرصه دفاع ملی ظهور کرده و این در حالی است که دولتهای سراسر جهان بیشتر عملکردها و عملیاتهای روزانه خود را بهصورت آنلاین انجام میدهند. اینترنت پدیدهای جدید است که برخلاف دیگر عرصههای دفاعی فاقد توافقات و مؤسسات بینالمللی برای اداره آن است.
دستکم در حال حاضر شرایط به این صورت است. برای پاسخگویی به نقایص نظام مقرراتی فعلی (یا فقدان آن) اداره خدمات مالی ایالت نیویورک اجرای سری جدیدی از مقررات امنیت سایبری را در تاریخ 28 اوت آغاز کرد. شرکتهای خدمات مالی در نیویورک از بعد از اجرایی شدن این مقررات 180 روز فرصت دارند تا عملیاتهای خود را با تدابیر جدید که اولین بار در ماه مارس اجرا شد، مطابقت دهند.
این مقررات جامع است و از شرکتها میخواهد یک برنامه امنیت سایبری باسیاستهایی برای حفاظت از دادهها، محدود کردن دسترسی، هشیاری در خصوص حملات و پاسخ به آنها – همهچیزهایی که مستلزم داشتن یک مسئول امنیت اطلاعاتی برای نظارت بر اجرای آنها است- داده باشد.
ایالت نیویورک با تصویب این مقررات جدید به جنبشی رو به رشد در میان نهادهای دولتی با این هدف پیوست که شرکتها و شهروندان خصوصی در خصوص امنیت سایبری خود مسئولانهتر عمل کنند. این موج از مقررات وعده ورود به عصری جدید در توسعه اینترنت و بحثی قدیمی درباره این مسئله را میدهد که دولت برای پیشبرد منافع امنیت ملی تا کجا میتواند پیش برود.
پایبندی به قوانین
خوب یا بد؛ هزاران قانون در سطوح فدرال، ایالتی و محلی وجود دارد تا آنچه را میتوان برای حصول منافع تجاری یا خصوصی انجام داد، محدود سازد. دولت آمریکا قوانین مشخصات خودروها را تنظیم میکند و از طریق اداره ملی ایمنی ترافیک بزرگراهها (NHTSA) سعی در ترویج بهترین رویهها دارد و درعینحال دولتهای ایالتی حداقل ملزومات ایمنی را برای وسایل نقلیهای که در جادههای عمومی حرکت میکنند، تعیین میکنند. اداره غذا و دارو (FDA) داروها و دستگاههای جدید پزشکی را تأیید میکند. و کمیسیون اوراق بهادار و بورس (SEC) مؤسسات مالی را که با دشمنان سیاسی آمریکا تجارت کنند، مجازات میکند.
بااینحال واشنگتن در قلمرو فضای مجازی از ابزارهای مقرراتی کمتری برخوردار است. شرکتهایی نظیر Verizon و AT&T بخش عمده زیرساختی را کنترل میکنند که استفاده از اینترنت را در آمریکا مقدور میسازد. غولهای فناوری نظیر آمازون، فیسبوک و گوگل مراکزی را در اختیاردارند که دادهها را ذخیره میکند و به اشتراک میگذارد. شرکتهایی نظیر اپل، مایکروسافت و لنووو گروپ بخش عمده سختافزار فیزیکی را تولید میکنند که از شبکهها پشتیبانی میکند. بنابراین اگرچه دولت آمریکا مالکیت و اداره شبکهها و سختافزارهای ضروری برای حفظ آنها را در اختیار دارد اما بهزحمت میتوان گفت که نیروی حاکم در این عرصه است. زیرا فضای سایبر بهشدت متنوع است و درنتیجه نظارت بر آن پراکنده است. هیچ نهادی بهتنهایی مسئول اداره اینترنت به همان شیوهای که اداره هوانوردی فدرال، گارد ساحلی یا گمرک و حفاظت مرزی عرصه زمین، دریا و هوا را ایمن میکنند، نیست.
نمیتوان گفت که دولت آمریکا در خصوص امنیت سایبری سرمایهگذاری نمیکند. وزارتهای دفاع و امنیت داخلی تقویت شبکههای دولتی در برابر حملات را در اولویت قرار دادهاند و آن را در صدر تهدیدهای در حال ظهور و تواناییهای تهاجمی در نظر میگیرند. حتی بااینوجود هم واشنگتن متوجه است که نمیتواند اینترنت را مانند دیگر عرصههای دفاعی کنترل کند. برای پر کردن این شکافها ادارات دولتی با شرکتها و افراد خصوصی کار میکنند تا مانع از آن شوند که نقش رو به رشد فضای سایبر در تقریباً تمامی وجوه زندگی روزمره به یک مسئولیت کمرشکن تبدیل شود.
اما در غیاب نظارت مقرراتی گهگاه تلاشهای آنها به نتیجه نرسیده است. بهعنوان نمونه در اکتبر 2016 یک حمله منع سرویس توزیعشده (DDoS) به بیش از 100000 دستگاه (از دستگاه ضبط ویدئوی دیجیتالی گرفته تا مانیتورهای نظارتی کودک) صورت گرفت تا فعالیت شرکت داین (Dyn) را مختل کند. این شرکت ترافیک اینترنت برای شرکتهایی نظیر نتفلیکس و توییتر را اداره میکند. اغلب دستگاههایی که در این حمله به کمک گرفته شد از محافظت کمی برخوردار بودند زیرا سازندگان آنها یا مصرفکنندگانشان ویژگیها امنیتی اساسی ازجمله گذرواژه منحصربهفرد و بهروزرسانیهای منظم نرمافزار را نادیده گرفته بودند. بدون این حفاظتها مهاجمان برای جمعآوری لشکر بات نت ها دردسری نخواهند داشت. بسیاری از شرکتهایی که ابزارهای موردحمله واقعشده را تولید کرده بودند به این حمله با فراخوان برای جمعآوری و تقویت ویژگیهای امنیتی این دستگاهها پاسخ دادند. بااینحال احتمالا اقدامات آنها برای دفع حملات سایبری مشابه در آینده کافی نیست. کمیسیون ارتباطات فدرال هنوز مقرراتی را وضع نکرده که مشخص سازد سازندگان برای پیشگیری از دسترسی بیاجازه مزاحمان به ابزارهایی که با اینترنت کار میکنند چه ویژگیهایی را باید لحاظ کنند و یا اینکه در چه بازههای زمانی باید نسخههای بهروزرسانی شده نرمافزارها را در دسترس قرار دهند. در شرایطی که روزانه هزاران دستگاه و اسباب “هوشمند” آنلاین میشوند؛ مادامیکه دستگاهها آسیبپذیر باشند، اینترنت اشیاء با ریسک امنیتی بیشتری روبرو میشود.
نهادهای دولتی برای کاهش تهدید و تقویت اقدامات امنیت سایبری در حال تنظیم مقررات و دستورالعملهای خود هستند. ادارات اجراکننده قانون در تلاشاند تا مجموعه قوانینی را تدوین کنند که محدوده رفتار قابلپذیرش در فضای سایبری را تعیین کند، حوزهای که حتی اگر خارج از کنترل باشد، در حوزه صلاحیت آنها قرار گیرد. مجلس نمایندگان آمریکا در حال تدوین پیشنویس قوانین جدید و بهبود اساسنامههای موجود است تا با چشمانداز بهسرعت در حال تغییر اینترنت سازگاری داشته باشد. درحالیکه کامپیوترها هرروز بیشتر به کالاهای مصرفی راه پیدا میکنند و گسترش مییابند، دستکم در آمریکا، بوروکراسی مرتبط با امنیت سایبری نیز رشد خواهد کرد. این کشور تمایل دارد یک رویکرد قانونی به مسائلی نظیر امنیت سایبری داشته باشد. کشورهایی نظیر چین و روسیه ترجیح میدهند برای نگهداشتن کاربران اینترنت در خط نظامهای سیاسی خود از زور و سختگیری استفاده کنند.
درعینحال فضای سایبر به شکلی فزاینده وارد حوزههایی میشود که بهشدت دارای قوانین مدون هستند؛ نظیر حوزههای خودرو، مراقبتهای بهداشتی و بخشهای مالی. در پی حمله اکتبر 2016 به شرکت داین، اداره ملی ایمنی ترافیک بزرگراههای آمریکا دستورالعملی را صادر و سازندگان خودروها را ترغیب کرد تا امنیت سایبری خودروها را در اولویت کاری قرار دهند و شیوههایی استاندارد را برای امنیت سایبری ایجاد کنند. هرقدر وسایل نقلیه مسافری از کامپیوترها برای عملیاتهای اساسی خود بیشتر استفاده کنند، فرصت سوءاستفاده از ضعف در این فناوری بیشتر فراهم میشود و حتی میتواند تأثیری مرگبار داشته باشد. (در یک حمله سایبری یک خودرو سلاحی خطرناکتر از مثلاً یک دستگاه ضبط کننده ویدئویی است.) در ماه آوریل اداره غذا و دارو تهدید کرد که اگر یک شرکت مراقبتهای بهداشتی (که به نامش اشاره نشد) ضعفهای موجود در ابزارهایش را رفع نکند این شرکت را محروم خواهد کرد. کمیسیون اوراق بهادار و بورس نیز در سال 2016شرکتی را بعدازآن که یکی از کارکنانش با اداره نامناسب دادههای مشتریان آنها را در برابر هکرها تضعیف کرد ، یکمیلیون دلار جریمه کرد. ظاهراً یک هکر از این دادهها برای اهداف تبهکارانه استفاده کرد اما درهرصورت کمیسیون شرکت را به دلیل قصور در پیشگیری از این رخنه جریمه کرد.
یک دنیای جدید جسور
به نظر میرسد که انباشته شدن رویههای حقوقی و ضخیمتر شدن کتب قوانین نوید پایان عصر رهایی اینترنت و آغاز فصلی جدید را میدهد. این گذار مزایا و درعینحال معایبی خواهد داشت. از یکسو تقویت اکوسیستم شبکههای کامپیوتری آمریکا به حفاظت از شرکتها و مصرفکنندگان در برابر حملات سایبری که میتواند به اختلالات مخرب و خسارات مالی منجر شود، کمک میکند. علاوه بر این، افزایش قواعد و قوانین به متمایز ساختن مسئولیتهای ایالتی از مسئولیتهای یک شرکت یا فرد کمک میکند و درنتیجه شرکتها و شهروندان را قادر میسازد تا بر این اساس بر منابعشان متمرکز شوند.
از سوی دیگر پایبندی به مقررات رفتاری پرهزینه است که میتواند شرکتهای کوچک نظیر استارت آپ هایی را که در بخش فناوری نوآوری میکنند، متوقف سازد. بهعلاوه بر اساس اقدامات اخیر اداره غذا و دارو و کمیسیون بورس و اوراق بهادار، ظاهراً تهدید به دعوای قضائی علیه شرکتها به خاطر رخنه در اطلاعات در حال افزایش است، یعنی ممکن است یک شرکت درحالیکه خودش قربانی حمله سایبری است با اتهاماتی روبرو شود. درعینحال بسیاری از شرکتها بهویژه در بخش فناوری نگراناند که کارکردن در قالب مقررات وضعشده برای امنیت سایبری مزایای رقابتی را آنها که در دوران بیقانونی اینترنت کسب کرده بودند کاهش دهد.
بااینوجود تقاضاها برای تقویت امنیت سایبری با هر حمله جدیدی که شرکتها و افراد آمریکایی را تحت تأثیر قرار دهد، بیشتر میشود. تنظیمکنندگان مقررات با تعیین حداقل ملزومات امنیتی برای شبکه بهسرعت در حال گسترش کالاهای مصرفی با میکرو تراشههایی که درونشان جای گرفته است، به این حملات پاسخ میدهند. بوروکراسی امنیت سایبری به بلوغ خواهد رسید همانطور که تا الآن نیز کاملتر شده است. آمریکا انبوهی از تسلیحات سایبری را جمعآوری خواهد کرد، گردآوری اطلاعات را افزایش خواهد داد و در کنترل منازعات در فضای سایبر قاطعانهتر عمل خواهد کرد. در حال حاضر اینترنت همچنان زمینبازی مهندسین و کارآفرینان است اما آنها بهزودی مجبور خواهند شد آن را به وکلا، مسئولین تطبیق و حسابرسان واگذار کنند.
نکات مهم
- دولت آمریکا در شرایطی که کامپیوترها هرروز بیشازپیش به کارها و وظایف روزمره راه پیدا میکنند، توجه زیادی را به تدوین یک سیاست دفاع سایبری قاطع معطوف داشته است.
- آژانسهای فدرال و ایالتی به تلاشهای خود برای مقاومسازی شبکههای آمریکایی در برابر حملات سایبری ادامه خواهند داد.
- مقررات حاصل ریسک اقامه دعوای قضائی را برای شرکتهای خصوصی و افرادی که در حملات سایبری هدف گرفتهشدهاند، افزایش میدهد.
0 Comments