امره کورسات کایات در یادداشتی که اندیشکده «ادام» (EDAM) در استانبول آن را منتشر کرد، نوشت: همانند نوآوری‌های گذشته، عرضه محصولات و خدمات جدید بر مکانیسم‌های امنیتی اولویت دارند. البته این به معنای عدم آزمایش فن‌آوری‌های جدید نیست، بلکه این آزمایش‌ها به‌جای پارامترهای مربوط به اعتبار امنیت سایبری، عمدتاً بر اساس پارامترهای عملکرد- محور انجام می‌گیرد. اگرچه برای مقابله با تهدیدات امنیت سایبری، تلاش‌های مختلفی انجام گرفته است، اما این تلاش‌ها با محدودیت‌هایی مواجه هستند.

امنیت سایبری و محدودیت‌های آن

مقامات دولتی، شرکت‌های فن‌آوری و مشتریان همه و همه برای امنیت هرچه بیشتر فن‌آوری‌های جدید تلاش می‌کنند. در سراسر جهان، امنیت سایبری ملی توسط دولت‌ها توسعه می‌یابد. زیرساخت‌های مدنی بیش از زیرساخت‌های نظامی در برابر حملات سایبری آسیب‌پذیر هستند، زیرا ارتباطات و دسترسی به زیرساخت‌های مدنی به‌موازات گسترش وسایل ارتباطی، کشف و ترمیم همه‌ی رخنه‌های امنیتی احتمالی را دشوار می‌سازد. اگرچه شرکت‌های بزرگ منابع کافی برای بخش امنیت فن‌آوری اطلاعات اختصاص می‌دهند، اما این امر در مورد شرکت‌های کوچک طرف تجاری آن‌ها صدق نمی‌کند. درواقع، 43 درصد از حملات آنلاین، شرکت‌های کوچک را هدف قرار می‌دهد درحالی‌که تنها 14 درصد از آن‌ها از تجهیزات امنیت سایبری کافی برخوردار هستند.

محدودیت دیگر، به تعداد نیروی انسانی موردنیاز مربوط است، چراکه نیاز به کارشناسان امنیت سایبری در جهان در حال افزایش است و این نیاز با رشد اینترنت اشیا دوچندان خواهد شد. از سوی دیگر، هرقدر که ارتباطات دنیا بیشتر می‌شود، ابزار سایبری مخرب نیز بیشتر تکثیر می‌شود. هکرها هم معمولاً از حملات موفق و ناموفق قبلی، درس می‌گیرند و تجارب خود را در گروه‌های چت و وبلاگ‌ها به اشتراک می‌گذارند. پیچیدگی منابع، انگیزه و انواع هکرها نیز دسته‌بندی آن‌ها را دشوار می‌سازد. ازاین‌رو، شرکت‌ها و مقامات دولتی همیشه دانش کافی از این هکرها نداشته و نمی‌توانند تهدیدهای ناشی از آن‌ها را اولویت‌بندی کنند.

نقش اعتبار سامانه ها

تهدید ناشی از تبهکاران سایبری مانع از گسترش فن‌آوری‌های جدید نخواهد شد؛ بنابراین، قبل از وقوع خطر حمله می‌توان اقداماتی انجام داد. وسایل و خدمات جدید قبل از ورود به بازار مورد آزمایش قرار می‌گیرند، اما این آزمایش معمولاً عملکرد محور است، به‌طوری‌که اعتبار یک سامانه زمانی زیر سؤال می‌رود که یک رخنه یا نقص عمده در محصول پیدا شوند یا انگیزه‌های ژئوپلیتیکی (مانند مورد هواوی) پشت آن باشد.

یکی از راه‌های افزایش اعتبار وسایل و خدمات دیجیتال جدید، تنظیم استانداردهای امنیت سایبری است. تنظیم استانداردهای امنیت سایبری موجب کاهش خطر و احتمالاً اجتناب از خطر خواهد شد. برخی کشورهای پیشرفته استانداردهای اجباری امنیت سایبری را ارائه کرده‌اند. به‌عنوان‌مثال، فرانسه در سال 2015 راهبرد امنیت سایبری ملی خود را ارائه داده است که آمیزه‌ای از اولویت‌ها و اقدامات قبل و بعد از حمله سایبری است. در آمریکا، بخش‌های مختلف استانداردهای متفاوتی را اجرا می‌کنند. کمیسیون تنظیم مقررات انرژی فدرال، وظیفه تعیین استانداردهای اعتبار امنیت زیرساخت‌های حیاتی را بر عهده دارد و این استانداردها در همه بخش‌ها، از تولیدکنندگان نرم‌افزار گرفته تا اپراتورهای شبکه‌ها، به کار گرفته می‌شود. بااین‌حال، این بخش‌ها دارای مقررات خاص خود نیز هستند و این رویکردهای داوطلبانه توسط موسسه ملی قوانین امنیت سایبری فن‌آوری و استاندارد، پشتیبانی می‌شوند.

علاوه بر تنظیم استاندارد، مقامات دولتی برای دستیابی به سطح امنیت سایبری کافی می‌توانند با شرکت‌ها همکاری کنند. این امر از طریق تشکیل کمیسیون‌ها یا تأسیس مراکز پژوهشی تحقق می‌یابد. این راهبرد می‌تواند مشروعیت شرکت‌های فن‌آوری را افزایش داده و برای عموم سودمند باشد.

همچنین، دولت‌ها می‌توانند فعالان خصوصی را به ارائه شیوه‌های بهینه تشویق و ترغیب کنند. کار نظام‌های حقوقی و قانونی هنوز بر پسا-حمله استوار است یعنی، در صورت پیشامد نقص، مجازات یک شرکت به خاطر عدم اقدام لازم صورت خواهد گرفت. بااین‌وجود، دولت‌ها می‌توانند محرک‌های پاداش-محور را برای شرکت‌هایی در نظر گیرند که با اقدامات ضروری امنیت سایبری از حملات پیشگیری می‌کنند.

به‌هرحال سرعت و شتاب ناشی از 5G و ارتباطات هرچه بیشتر ناشی از اینترنت اشیا به همان میزان باعث افزایش خطرات مربوط به امنیت سایبری خواهد شد. دیگر فن‌آور‌های جدید نظیر هوش مصنوعی و محاسبات کوانتومی نیز ابزار جدیدی در اختیار تبهکاران سایبری قرار خواهد داد. اگرچه اقدامات امنیت سایبری تابه‌حال انفعالی و واکنشی بوده است، اما اکنون برای بیشینه‌سازی امنیت زیرساخت‌های مدنی نیازمند اقدامات فعالانه و پیشگیرانه هستیم.