مينا محمدي
اشتراك اطلاعات سايبري و بهبود وضع امنيت
هفته گذشته، مجلس سناي امريكا با اضافه كردن قانون اشتراك اطلاعات سايبري (CISA) به قانون دفاع ملي (NDAA) مخالفت كرد. قانون اشتراك امنيت سايبري سال2015 پيش از اين به تصويب مجلس نمايندگان امريكا رسيده بود اما تصويب آن در سنا با مشكلاتي روبهرو بوده است. اين قانون درواقع تلاشي براي حل چالشهاي پيش روي امريكا در زمينه تامين امنيت در فضاي ديجيتالي و تهديدات اقتصادي و سياسي ناشي از حملات سايبري بهشمار ميرود. به موجب اين قانون، بستر حقوقي لازم براي اشتراك اطلاعات پيرامون انواع تهديدات ميان شركتهاي خصوصي و دولت فراهم ميشود. بهعبارت ديگر، درصورت تصويب اين قانون، شركتهايي كه اطلاعات خود را با دولت به اشتراك ميگذارند در برابر قوانين ضدانحصاري از مصونيت حقوقي برخوردار خواهند بود. پيش از اين، اوباما اقداماتي در جهت تشويق شركتها براي به اشتراك گذاشتن اطلاعات پيرامون تهديدات در فضاي سايبري انجام داده و از ايجاد سازمانهايي براي تحليل چنين اطلاعاتي خبر داده بود. دولت امريكا علاوه بر سرمايهگذاري در تامين امنيت سايبري بخشهاي حساس دولتي، نسبت به امنيت سايبري بخش خصوصي بيتفاوت نبوده است. دلايل عمده اين مساله اهميت زياد بخش خصوصي در زنجيره تامين دولت و نقش حياتي آن در رشد و رونق اقتصادي است.
بحث امنيت سايبري در سالهاي اخير بسيار موردتوجه قرار گرفته است. امروزه، 80درصد ارزش 500شركت برتر دنيا در ردهبندي فورچون را مالكيت فكري يا IP و ساير داراييهاي ناملموس تشكيل ميدهند. باتوجه به روند بهشدت رو به رشد ديجيتالي شدن داراييها، متصل شدن تجهيزات به يكديگر و ظهور پديده «اينترنت اشيا»، ريسكهاي جديدي نيز بهوجود آمدهاند. از طرفي، مهاجمان سايبري نيز روزبهروز قدرتمندتر شده و از ابزارها و روشهاي جديدي براي حملات خود استفاده ميكنند. حملات سايبري براي مهاجمان در مقايسه با ساير انواع حملات، كمهزينه بوده و حاشيه سود بالايي دارد؛ اين درحالي است كه براي دولتها و شركتهايي كه هدف مهاجمان بودهاند، تخمين هزينههاي مربوط به اين حملات دشوار بوده و ايجاد زيرساختهاي امنيتي لازم بهشدت هزينهبر است. در سراسر دنيا، شركتها سالانه ميلياردها دلار براي از دست دادن مالكيت فكري، محاسبات تجاري، اطلاعات مربوط به مشتريان يا فرآيندهاي مالي، خدشهدار شدن اعتبار و... متضرر ميشوند و شرايط روز به روز وخيمتر ميشود. همه اين مسايل حاكي از آن است كه همه دولتها به نوعي درگير چالشها و تهديدات در فضاي سايبري هستند.
حملات سايبري با تهديد دو محرك اصلي اقتصاد امريكا يعني داراييهاي معنوي و اينترنت، رشد اقتصادي در اين كشور را تحتتاثير منفي قرار ميدهند. براساس مطالعهيي كه در سال2012 توسط مككينزي انجام شد، داراييهاي معنوي بخش خصوصي بيش از ساير بخشها در خطر تهديدات سايبري قرار دارند. با درنظر گرفتن سهمي در حدود 8تريليون دلار در اقتصاد امريكا براي داراييهاي معنوي، توجه اساسي به امنيت سايبري آنها در اين كشور برانگيخته شده است. اين مساله برخي شركتهاي خصوصي را وادار به انجام مطالعات جدي و شبيهسازيهاي متعدد كرده است. براساس بررسيهايي كه در دو صنعت خدمات مالي و انرژي انجام شده است، ارتباط موثر و اشتراك اطلاعات پيرامون حملات سايبري ميان شركتهاي فعال در يك صنعت بهعنوان يكي عوامل تاثيرگذار براي مبارزه با تهديدات سايبري معرفي شدهاند. با اين حال، شركتها تمايل چنداني به اشتراك اطلاعات با يكديگر و دولت ندارند زيرا ممكن است به دليل تخطي از قوانين حريم شخصي و ضدانحصار تحتپيگرد قرار گرفته يا داراييهاي معنوي آنها در دسترس رقبا قرار گيرد. همچنين درصورت افشاي عمومي خبر حمله به يكي از اين شركتها، اعتبار آن شركت و اعتماد مشتريان آن در معرض خطر قرار ميگيرد.
ميتوان لايحه اشتراك اطلاعات سايبري را يكي از اقدامات دولت امريكا براي هموار كردن چالش اول براي بخش خصوصي دانست. اين لايحه براي نخستينبار در سال2011 مطرح شد، اما در همان سال و طي تلاشهاي بعدي، باوجود تصويب در مجلس نمايندگان، سنا از تصويب آن خودداري كرد. دليل اصلي عدم تصويب آن مخالفت شديد حاميان حريم شخصي شهروندان در امريكاست. اين قانون بر اين فرض استوار است كه تشويق شركتهاي خصوصي به اشتراك اطلاعات مربوط به تهديدات سايبري با دولت، منجر به جلوگيري از چنين حملاتي ميشود. براساس قانون اشتراك اطلاعات سايبري، شركتهاي خصوصي كه اطلاعات حساس امنيتي- كه اغلب شامل اطلاعات شخصي كاربران يا مشتريان ميشوند- را با نهادهاي فدرالي مانند وزارت دادگستري، وزارت امنيت داخلي و متصدي اطلاعات ملي به اشتراك ميگذارند، از حفاظتهاي حقوقي بيشتري برخوردار خواهند بود. دليل عمده نگراني مخالفان آن است كه قانون ميتواند به يك ابزار نظارتي براي دولت تبديل شود. نهادهاي فدرالي مجاز به افشا، نگهداري و استفاده از اطلاعات به اشتراك گذاشته شده براي مقاصدي وراي امنيت سايبري هستند. برخي از اين اهداف عبارتند از: مقابله با تروريسم، استفاده جنسي از كودكان، قتلهاي وحشيانه، كلاهبرداري، سرقت هويت و تجارتهاي غيرقانوني. اين قانون نه تنها آزادي مدني را تهديد ميكند، بلكه ممكن است در واقعيت باعث بدتر شدن وضع امنيت سايبري شود. كارشناسان امنيت اطلاعات با اشاره به عدم كارايي كافي سيستمهاي اشتراك اطلاعات كنوني كه توسط شركتهاي خصوصي مانند IBM و Dellتامين ميشوند، توانايي قانون اشتراك اطلاعات سايبري در جلوگيري از وقوع حملات سايبري را زيرسوال ميبرند. بهنظر ميرسد دولت امريكا نتوانسته موج عظيم حملات سايبري به خود را مهار كند. تعداد خطاهاي امنيت اطلاعاتي در دولت از 5502مورد در سال2006 به 61214مورد در سال2013 رسيده است. تقريبا 40درصد اين موارد شامل اطلاعات شخصي كارمندان فدرالي يا افراد عادي بودند. با اين تفاسير، ميتوان گفت قانون اشتراك اطلاعات سايبري در عمل هدف مناسب و بدون دفاعي را به هكرها تقديم ميكند!
براساس گزارش دفتر مديريت و بودجه امريكا، بسياري از نهادهاي دولتي كه به موجب قانون اشتراك اطلاعات سايبري بايد مسووليت مديريت حجم زيادي از داده را متقبل شوند (مانند وزارت دادگستري و وزارت امنيت داخلي) در سال2014، با موارد متعدد نشتي اطلاعات مواجه بودند. سيستمهاي امنيت اطلاعاتي اين نهادها بهگونهاي است كه امكان ندارد تا زمان تصويب قانون اشتراك اطلاعات سايبري در برابر هكهاي خارجي كاملا مقاوم شوند. درواقع، حجم انبوه اطلاعاتي كه به واسطه اين قانون به سمت اين نهادها سرازير ميشود، بيشتر باعث سردرگمي آنها و افت عملكرد نه چندان مناسب آنها در زمينه امنيت سايبري ميشود.
بهنظر ميرسد كشمكش پيرامون حاكي از اختلاف اساسي ميان دو طرز تفكر در رابطه با آينده فضاي مجازي باشد. برخي معتقدند بايد از دسترسي آزاد و بيدغدغه افراد به اينترنت حمايت كرد تا با دسترسي افراد بيشتري به اينترنت، فرصتهاي اقتصادي بيشتري فراهم شوند. برخي ديگر نيز بر تهديدهاي رو به رشد در فضاي ديجيتالي اشاره كرده و بر ضرورت اعمال كنترل در اين فضا تاكيد ميكنند. به هر حال، خطر حملات سايبري اجتنابناپذير بوده و در حال حاضر زيرساختهاي قانوني مناسب براي برخورد با چنين حملاتي وجود ندارد (كمتر از 2درصد مجرمان سايبري تحت تعقيب قانوني قرار ميگيرند). بدون شك تحقق امنيت در فضاي سايبري در گرو همكاري ميان طرفين آسيبپذير و ايجاد اعتماد ميان آنهاست.
