امروزه بسیاری از کشورها در حوزه توسعه فناوریهای پیشرفته به وضع قوانین و مقررات شدید برای کنترل بحرانهای امنیت سایبری پرداخته اند و آمریکا نیز در این مسیر سخت گیریهای جدیدی اعمال کرده است.
امنیت سایبری، چالشی کلیدی برای دولتها، شرکت و کاربران جهان محسوب میشود. تعداد و خسارات ناشی از انواع حملات سایبری طی سالهای اخیر و همگام با رشد فناوری افزایش محسوسی یافته است. بر اساس پیشبینی متخصصان، هزینه جهانی حملات سایبری برای ذیربطان این حوزه تا سال ۲۰۲۵ به حدود ۱۰.۵ تریلیون دلار خواهد رسید.
از همین رو، بسیاری از دولتهای جهان به این نتیجه رسیدهاند که امنیت سایبری باید یکی از اولویتهای اساسی و محورهای تمرکز آنها باشد. امروزه بسیاری از کشورهای پیشرو جهان در حوزه توسعه فناوریهای پیشرفته به وضع قوانین و مقررات شدید برای کنترل بحرانهای امنیت سایبری و کاهش خسارات حملات این حوزه روی آوردهاند.
کارشناسان عمدهترین چالش این حوزه را مسئله فقدان جبهه جهانی واحد مسئول در امر تأمین امنیت سایبری میدانند. در چنین شرایطی، بسیاری از نهادهای قضائی سراسر جهان از سوی دولتمردان موظف به وضع قوانین این حوزه در مقیاس ملی شدهاند. همین امر میتواند فضایی مساعد برای مجرمان سایبری ایجاد کند تا از شکافهای موجود در مقررات بهره ببرند.
گزارشهای آماری حاکی از آن است که بخش عمده خسارات ناشی از حملات سایبری و نفوذ به زیرساختهای دیجیتال، متوجه بخش مالی است. این بخش در برابر حملات و جرایم سایبری بسیار آسیبپذیر است؛ زیرا بانکها و مؤسسات مالی، به حجم عظیمی از دادههای شخصی کاربران دسترسی دارند. به علاوه، بدون اقدامات لازم و اتخاذ سیاستهای مقتضی، یک تهدید امنیت سایبری میتواند باعث هرج و مرج و فروپاشی برای مؤسسات مالی شود.
به همین دلیل است که کارشناسان، وضع مقررات سایبری مؤثر و کارآمد برای این حوزه بسیار مهم و حیاتی میدانند.
در این نوشتار به مرور برخی از قوانین حوزه امنیت سایبری در کشور آمریکا میپردازیم.
تنظیمگری امنیت سایبری در آمریکا
به طور کلی، یک قانون فدرال امنیت سایبری در ایالات متحده آمریکا وجود دارد. این در حالی است که برخی از ایالات این کشور نیز قوانین منطقهای خاص خود را برای تأمین امنیت سایبری تصویب کردهاند.
قانون گرام لیچ بلیلی (Gramm-Leach Bliley Act) (1999)
این اقدام اولین اقدام امنیت سایبری برای مؤسسات مالی در ایالات متحده است. بر اساس متن این قانون، بانکها، اتحادیههای اعتباری و سایر مؤسسات تحت نظارت باید امنیت دادهها را در طول فرایند فعالیت خود، ایجاد، اجرا و حفظ کنند.
این موضوع توسط کمیسیون تجارت فدرال ایالات متحده اجرا میشود و در سطح پایه، مؤسسات وادار میکند تا مشتریان را در مورد دادههایی که جمعآوری میکنند مطلع ساخته و به آنها اجازه انصراف میدهد.
علاوه بر این، تیمهای مسئول ارزیابی انطباق سازمانها و مؤسسات با این قوانین باید برنامههای خود را برای نشان دادن ایمنی دادههای فیزیکی، اداری و فنی تدوین کنند. در همین راستا، سازمانها و نهادهای تحت نظارت ملزم به رعایت قواعد به شرح زیر هستند:
آنها باید ماهیت فعالیتهای خود را اعلام کنند.
نهادهای تحت نظارت باید دامنه فعالیت خود را شفاف و آشکار کنند.
خطر بالقوه فعالیتهای خود را برای مشتریانشان مشخص کنند.
قانون مذکور، یکی از قدیمیترین اقدامات حقوقی در راستای تعیین استاندارهای امنیت سایبری برای فعالیت سازمانها به شمار میرود. با این وجود، فضای قانونگذاری در این حوزه یکی از بخشهای بسیار پویا در نظام قضائی ایالات متحده محسوب میشود و قانونگذاران این کشور با توجه به اقتضائات این حوزه، همواره در حال به روز رسانی قواعد هستند.
الزامات امنیت سایبری دستگاههای متصل به اینترنت
دولت بایدن به تازگی برنامه برچسبگذاری امنیت سایبری اینترنت اشیا (IoT) را با هدف محافظت از شهروندان آمریکا در برابر خطرات امنیتی بیشمار مربوط به دستگاههای متصل به اینترنت تدوین کرده است. برنامه یاد شده، با نام «U.S. Cyber Trust Mark»، در زمینه خرید دستگاههای متصل به اینترنت امن و مقاوم در برابر حملات سایبری به شهروندان آمریکایی کمک میکند.
از جمله الزامات این استاندارد اجباری جدید که از سوی مؤسسه ملی استاندارد و فناوری آمریکا (NIST) وضع شده است، میتوان به برخورداری دستگاهها از رمزهای عبور پیشفرض منحصربهفرد و قوی، محافظت از دادههای ذخیرهشده و انتقالیافته، ارائه بهروزرسانیهای امنیتی منظم و داشتن قابلیت تشخیص حوادث اشاره کرد.
همکاری نهادهای ناظر متعدد برای نظارت امنیتی بر بخشهای تخصصی
علاوه بر قوانین موجود در ساختار قضائی فدرال این کشور، سازمانهای بسیاری نیز در این کشور مسئول رسیدگی به امور مربوط به حفاظت از امنیت سایبری و کاهش موارد نقض دادههای کاربران هستند.
مقامات ارشد امنیت سایبری ایالاتمتحده، همواره بر مسئله همرسانی اطلاعات در راستای محافظت از شبکههای داخلی این کشور در برابر حملات هکری تأکید دارند. بر اساس دادههای منتشر شده در این مورد، اشتراک اطلاعات میان فرماندهی سایبری (U.S. Cyber Command) و سازمان امنیت سایبری و زیرساخت وزارت امنیت داخلی آمریکا (CISA) در موارد متعدد سبب خنثیسازی حملات سایبری مخرب به انتخابات آمریکا شده است.
فرماندهان حوزه سایبری در وزارت دفاع این کشور و سازمان عالی امنیت سایبری غیرنظامی فدرال آمریکا همواره مدعی هستند که رابطه بین این دو سازمان برای دفاع از این کشور در برابر هکرهای خارجی ضروری است.
اریک گلدشتاین، دستیار اجرایی سازمان امنیت سایبری و زیرساخت وزارت امنیت داخلی آمریکا اخیراً طی اظهار نظری در حاشیه اجلاس «RSA2023» در این مورد ادعا کرد که بخش خصوصی همرسانی اطلاعات را چندان مفید نمیداند و معتقد است که این امر منجر به ارائه راهنمایی مؤثر در این زمینه نمیشود؛ با این حال، علیرغم عدم توفیق چندان در تحقق همکاری اطلاعاتی میان بخش دولتی و خصوصی، تبادل اطلاعات بین سازمان امنیت سایبری و زیرساخت ایالاتمتحده و فرماندهی سایبری این کشور ثمربخش بوده است.
انتشار منظم راهبرد امنیت سایبری در مقیاس ملی
تدوین و انتشار سند استراتژی امنیت سایبری، یکی دیگر از ابزار در اختیار سیاستمداران آمریکایی در راستای افزایش امنیت سایبری و پیشگیری از بروز حملات این حوزه، محسوب میشود. کاخ سفید در تاریخ ۲ مارس سال جاری، اقدام به انتشار تازهترین نسخه استراتژی امنیت سایبری این کشور کرده است. سند مذکور، ارائه طریقی برای افزایش حفاظت بخشهای مختلف این کشور در برابر تهدیدات روزافزون سایبری محسوب میشود.
استراتژی اخیر، بر مقررات سختگیرانهتر برای حصول اطمینان از تأمین امنیت سایبری صنایع و بهبود همکاری بین دولت و بخش خصوصی تأکید دارد. در این استراتژی از چین و روسیه به عنوان مهمترین تهدیدات امنیت سایبری برای ایالاتمتحده یاد شده است و به عقیده کارشناسان یکی از اهداف آن مهار توان سایبری روسیه است.
این استراتژی همچنین بر بهبود برخی استانداردها در سیستمهای رایانهای و الزام شرکتهای ابری به تأیید هویت مشتریان خارجی خود، تاکید دارد.
محورهای راهبرد امنیت سایبری ۲۰۲۳ آمریکا
چارچوب استراتژی تأمین امنیت سایبری اخیر آمریکا که از سوی دولت بایدن تدوین و منتشر شده است، بر محورهای کلیدی متعددی تمرکز دارد که برخی سرفصلهای آن به شرح زیر است:
دفاع از زیرساختهای حیاتی کشور آمریکا
اختلال و اقدام جهت مقابله و نابودسازی تهدیدات خارجی
جهتدهی به بازار در راستای ارتقا شاخصهای امنیت سایبری
سرمایهگذاری استراتژیک در راستای افزایش تابآوری
افزایش مشارکت بینالمللی به منظور دستیابی به اهداف مشترک
قوانین حفظ حریم خصوصی مصرفکنندگان کالیفرنیا و قانون حریم خصوصی کلرادو
مسئله حریم خصوصی دادهها جنبهای کلیدی حفاظت در امنیت سایبری محسوب میشود. در همین راستا، ایالتهایی مانند کالیفرنیا و کلرادو با تصویب سیاستهای حفاظت از دادههای مختص به خود برای کسبوکارها در حوزههای قضائی خود، امور مربوط به الزامات حفاظت از دادهها را به دست گرفتهاند.
این سیاستها به واسطه مشابهت فراوان بسیاری از موارد نقض داده و مخاطرات امنیت سایبری، تا حدودی مشابه هستند و بر روی اقدامات و الزاماتی که کنترل کننده ها و پردازشگرهای داده میتوانند انجام دهند، تمرکز دارند تا مشتریان را ایمن نگه دارند. هدف اصلی این مقررات این است که به مشتریان حق انصراف از جمع آوری دادهها و جلوگیری از انتقال اطلاعاتشان به اشخاص ثالث داده شود.
سخن پایانی
وجود یک نظام حقوقی پویا در مواجهه با تهدیدات امنیت سایبری در حال پیشرفت موجود در جهان دیجیتال، مبین آگاهی رهبران این کشور از ماهیت تهدید و لزوم اتخاذ تدابیر مقابله با چالشها به صورت کارآمد، تطبیقپذیر و سریع است.
بی شک متخصصان و قانونگذاران این کشور در تلاش هستند که در طوفان تحولات روزانه این حوزه، از سیر پیچیدگی تهدیدات و حملات عقب نمانند. راهبردهای امنیت سایبری متعدد در طول سالهای اخیر و حجم بالای قوانین امنیت سایبری این کشور نیز مؤید همین مدعا است. با این وجود، در جهان امروز حتی نخستین کشور توسعه دهنده اینترنت و نظام قانونگذاری آن نیز تاب مقاومت حداکثری در برابر تهدیدات روزافزون سایبری را ندارد و کاربران و شرکتهای مستقر در آن، سالانه با حجم بالایی از حملات سایبری مواجه میشوند.