اشتراک اطلاعات سایبری و بهبود وضع امنیت
مینا محمدی
هفته گذشته، مجلس سنای امریکا با اضافه کردن قانون اشتراک اطلاعات سایبری (CISA) به قانون دفاع ملی (NDAA) مخالفت کرد. قانون اشتراک امنیت سایبری سال2015 پیش از این به تصویب مجلس نمایندگان امریکا رسیده بود اما تصویب آن در سنا با مشکلاتی روبهرو بوده است. این قانون درواقع تلاشی برای حل چالشهای پیش روی امریکا در زمینه تامین امنیت در فضای دیجیتالی و تهدیدات اقتصادی و سیاسی ناشی از حملات سایبری بهشمار میرود. به موجب این قانون، بستر حقوقی لازم برای اشتراک اطلاعات پیرامون انواع تهدیدات میان شرکتهای خصوصی و دولت فراهم میشود. بهعبارت دیگر، درصورت تصویب این قانون، شرکتهایی که اطلاعات خود را با دولت به اشتراک میگذارند در برابر قوانین ضدانحصاری از مصونیت حقوقی برخوردار خواهند بود. پیش از این، اوباما اقداماتی در جهت تشویق شرکتها برای به اشتراک گذاشتن اطلاعات پیرامون تهدیدات در فضای سایبری انجام داده و از ایجاد سازمانهایی برای تحلیل چنین اطلاعاتی خبر داده بود. دولت امریکا علاوه بر سرمایهگذاری در تامین امنیت سایبری بخشهای حساس دولتی، نسبت به امنیت سایبری بخش خصوصی بیتفاوت نبوده است. دلایل عمده این مساله اهمیت
زیاد بخش خصوصی در زنجیره تامین دولت و نقش حیاتی آن در رشد و رونق اقتصادی است.
بحث امنیت سایبری در سالهای اخیر بسیار موردتوجه قرار گرفته است. امروزه، 80درصد ارزش 500شرکت برتر دنیا در ردهبندی فورچون را مالکیت فکری یا IP و سایر داراییهای ناملموس تشکیل میدهند. باتوجه به روند بهشدت رو به رشد دیجیتالی شدن داراییها، متصل شدن تجهیزات به یکدیگر و ظهور پدیده «اینترنت اشیا»، ریسکهای جدیدی نیز بهوجود آمدهاند. از طرفی، مهاجمان سایبری نیز روزبهروز قدرتمندتر شده و از ابزارها و روشهای جدیدی برای حملات خود استفاده میکنند. حملات سایبری برای مهاجمان در مقایسه با سایر انواع حملات، کمهزینه بوده و حاشیه سود بالایی دارد؛ این درحالی است که برای دولتها و شرکتهایی که هدف مهاجمان بودهاند، تخمین هزینههای مربوط به این حملات دشوار بوده و ایجاد زیرساختهای امنیتی لازم بهشدت هزینهبر است. در سراسر دنیا، شرکتها سالانه میلیاردها دلار برای از دست دادن مالکیت فکری، محاسبات تجاری، اطلاعات مربوط به مشتریان یا فرآیندهای مالی، خدشهدار شدن اعتبار و... متضرر میشوند و شرایط روز به روز وخیمتر میشود. همه این مسایل حاکی از آن است که همه دولتها به نوعی درگیر چالشها و تهدیدات در فضای سایبری هستند.
حملات سایبری با تهدید دو محرک اصلی اقتصاد امریکا یعنی داراییهای معنوی و اینترنت، رشد اقتصادی در این کشور را تحتتاثیر منفی قرار میدهند. براساس مطالعهیی که در سال2012 توسط مککینزی انجام شد، داراییهای معنوی بخش خصوصی بیش از سایر بخشها در خطر تهدیدات سایبری قرار دارند. با درنظر گرفتن سهمی در حدود 8تریلیون دلار در اقتصاد امریکا برای داراییهای معنوی، توجه اساسی به امنیت سایبری آنها در این کشور برانگیخته شده است. این مساله برخی شرکتهای خصوصی را وادار به انجام مطالعات جدی و شبیهسازیهای متعدد کرده است. براساس بررسیهایی که در دو صنعت خدمات مالی و انرژی انجام شده است، ارتباط موثر و اشتراک اطلاعات پیرامون حملات سایبری میان شرکتهای فعال در یک صنعت بهعنوان یکی عوامل تاثیرگذار برای مبارزه با تهدیدات سایبری معرفی شدهاند. با این حال، شرکتها تمایل چندانی به اشتراک اطلاعات با یکدیگر و دولت ندارند زیرا ممکن است به دلیل تخطی از قوانین حریم شخصی و ضدانحصار تحتپیگرد قرار گرفته یا داراییهای معنوی آنها در دسترس رقبا قرار گیرد. همچنین درصورت افشای عمومی خبر حمله به یکی از این شرکتها، اعتبار آن شرکت و اعتماد
مشتریان آن در معرض خطر قرار میگیرد.
میتوان لایحه اشتراک اطلاعات سایبری را یکی از اقدامات دولت امریکا برای هموار کردن چالش اول برای بخش خصوصی دانست. این لایحه برای نخستینبار در سال2011 مطرح شد، اما در همان سال و طی تلاشهای بعدی، باوجود تصویب در مجلس نمایندگان، سنا از تصویب آن خودداری کرد. دلیل اصلی عدم تصویب آن مخالفت شدید حامیان حریم شخصی شهروندان در امریکاست. این قانون بر این فرض استوار است که تشویق شرکتهای خصوصی به اشتراک اطلاعات مربوط به تهدیدات سایبری با دولت، منجر به جلوگیری از چنین حملاتی میشود. براساس قانون اشتراک اطلاعات سایبری، شرکتهای خصوصی که اطلاعات حساس امنیتی- که اغلب شامل اطلاعات شخصی کاربران یا مشتریان میشوند- را با نهادهای فدرالی مانند وزارت دادگستری، وزارت امنیت داخلی و متصدی اطلاعات ملی به اشتراک میگذارند، از حفاظتهای حقوقی بیشتری برخوردار خواهند بود. دلیل عمده نگرانی مخالفان آن است که قانون میتواند به یک ابزار نظارتی برای دولت تبدیل شود. نهادهای فدرالی مجاز به افشا، نگهداری و استفاده از اطلاعات به اشتراک گذاشته شده برای مقاصدی ورای امنیت سایبری هستند. برخی از این اهداف عبارتند از: مقابله با تروریسم، استفاده
جنسی از کودکان، قتلهای وحشیانه، کلاهبرداری، سرقت هویت و تجارتهای غیرقانونی. این قانون نه تنها آزادی مدنی را تهدید میکند، بلکه ممکن است در واقعیت باعث بدتر شدن وضع امنیت سایبری شود. کارشناسان امنیت اطلاعات با اشاره به عدم کارایی کافی سیستمهای اشتراک اطلاعات کنونی که توسط شرکتهای خصوصی مانند IBM و Dellتامین میشوند، توانایی قانون اشتراک اطلاعات سایبری در جلوگیری از وقوع حملات سایبری را زیرسوال میبرند. بهنظر میرسد دولت امریکا نتوانسته موج عظیم حملات سایبری به خود را مهار کند. تعداد خطاهای امنیت اطلاعاتی در دولت از 5502مورد در سال2006 به 61214مورد در سال2013 رسیده است. تقریبا 40درصد این موارد شامل اطلاعات شخصی کارمندان فدرالی یا افراد عادی بودند. با این تفاسیر، میتوان گفت قانون اشتراک اطلاعات سایبری در عمل هدف مناسب و بدون دفاعی را به هکرها تقدیم میکند!
براساس گزارش دفتر مدیریت و بودجه امریکا، بسیاری از نهادهای دولتی که به موجب قانون اشتراک اطلاعات سایبری باید مسوولیت مدیریت حجم زیادی از داده را متقبل شوند (مانند وزارت دادگستری و وزارت امنیت داخلی) در سال2014، با موارد متعدد نشتی اطلاعات مواجه بودند. سیستمهای امنیت اطلاعاتی این نهادها بهگونهای است که امکان ندارد تا زمان تصویب قانون اشتراک اطلاعات سایبری در برابر هکهای خارجی کاملا مقاوم شوند. درواقع، حجم انبوه اطلاعاتی که به واسطه این قانون به سمت این نهادها سرازیر میشود، بیشتر باعث سردرگمی آنها و افت عملکرد نه چندان مناسب آنها در زمینه امنیت سایبری میشود.
بهنظر میرسد کشمکش پیرامون حاکی از اختلاف اساسی میان دو طرز تفکر در رابطه با آینده فضای مجازی باشد. برخی معتقدند باید از دسترسی آزاد و بیدغدغه افراد به اینترنت حمایت کرد تا با دسترسی افراد بیشتری به اینترنت، فرصتهای اقتصادی بیشتری فراهم شوند. برخی دیگر نیز بر تهدیدهای رو به رشد در فضای دیجیتالی اشاره کرده و بر ضرورت اعمال کنترل در این فضا تاکید میکنند. به هر حال، خطر حملات سایبری اجتنابناپذیر بوده و در حال حاضر زیرساختهای قانونی مناسب برای برخورد با چنین حملاتی وجود ندارد (کمتر از 2درصد مجرمان سایبری تحت تعقیب قانونی قرار میگیرند). بدون شک تحقق امنیت در فضای سایبری در گرو همکاری میان طرفین آسیبپذیر و ایجاد اعتماد میان آنهاست.