قانون گزارش رویدادهای سایبری در آمریکا(بخش اول)

به گزارش کارگروه حملات سایبری سایبربان؛ پس از افزایش چشمگیر میزان حملات سایبری در دنیا، خصوصاً ایالات‌متحده؛ و با توجه به این که بسیاری از شرکت‌های آمریکایی قربانی این حملات، از دادن گزارش دقیق واقعه به دولت، طفره رفتند؛ مقامات آمریکایی، تصمیم گرفتند با تصویب قانونی، شرکت‌های را که قربانی این حملات می‌شوند، ملزم به دادن گزارش دقیق کنند و برای عدم انجام این کار، مجازات تعیین کنند.

مقامات آمریکایی مدعی هستند، این اقدام، به منظور الزام شرکت‌ها به رعایت پروتکل‌های امنیت سایبری انجام می‌شود و متخصصان دولتی، نواقص امنیتی را شناسایی و مرتفع خواهند کرد. شرکت‌های آمریکایی مدعی هستند، با این قانون، ارزش شرکت‌های آن‌ها بی‌دلیل بالا و پایین خواهد شد و هزینه‌های اضافی بر دوش شرکت‌ها تحمیل می‌شود.

اصل این قانون که به قانون سیرا (Cyber Incident Reporting Act) معروف است، توسط دو نماینده دموکرات و جمهوری‌خواه  تهیه شده و خواهان مرکزیت بخشیدن به آژانس امنیت زیرساخت و امنیت سایبری ایالات‌متحده (سیزا)، در مسئله داده‌ها و اخبار مربوط به رویدادهای این چنینی هستند.

بر اساس این قانون، دفتر جدید، در سیزا تأسیس خواهد شد که وظیفه این دفتر، جمع‌آوری گزارش‌ها و اخبار متعلق به رویدادهای سایبری است و شرکت‌هایی که هدف حملات سایبری قرار می‌گیرند، موظف‌اند، طی 24 ساعت پس از بروز حمله، آن را فوراً به این دفتر گزارش دهند.

حداکثر تا 72 ساعت بعد از وقوع رویداد، باید جزئیات بیشتر و گزارش‌های فنی از این رویداد، به دفتر مذکور ارسال شود. این قانون، برای شرکت‌هایی که کمتر از پنجاه نفر نیرو دارند، کارایی ندارد و پس از جمع آوری این اطلاعات و داده‌ها در طی هر 18 ماه، نهادهای مسئول، گزارشی تهیه می‌کنند که تهدیدات پیش روی دولت و نهادهای فدرال در آن دسته بندی شده و راهکارهای لازم ارائه می‌شود.

مرکزیت اطلاعات و داده‌ها

این قانون، به موضوع بسیار مهمی اشاره دارد که مرتبط با توزیع مسئولیت در زمینه امنیت سایبری بین همه بازیگران مؤثر و همچنین مرکزیت بخشیدن اطلاعات و اشتراک‌گذاری اجباری داده‌ها در این زمینه است.

به اعتقاد کارشناسان، تمایل عمومی به سمت حمایت از این قانون است؛ چرا که مردم معتقدند، دولت فدرال در زمینه مقابله با باج افزارها، باید اقدامات خاصی را انجام دهد.

البته برخی نیز هنوز در این زمینه تردید دارند و معتقدند این گونه اشتراک‌گذاری اجباری اطلاعات، نمی‌تواند تأثیر بسزایی در افزایش امنیت اطلاعات داشته باشد.

این عده معتقدند، جمع آوری این حجم بالا از اطلاعات، نمی‌تواند تأثیر بسزایی در آسیب‌پذیری‌هایی داشته باشد که حتی در داخل سیستم‌های دولتی وجود دارند و در دنیای واقعی، نمی‌تواند باعث امن سازی سامانه‌ها و شبکه‌ها شوند.

آن‌ها بر این موضوع تأکید دارند که متمرکز کردن اطلاعات در یک بخش دولتی، نمی‌تواند تأثیری بر تعهداتی بگذارد که دولت در برابر امن سازی داده‌ها، در برابر کاربران دولتی و خصوصی دارد.

ادامه در بخش دوم