به گزارش کارگروه بینالملل سایبربان؛ سناتورهای آمریکایی ازجمله مارک وارنر Mark Warner، مارکو روبیو و سوزان کالینز Susan Collins روز چهارشنبه 21 ژوئیه 2021 از لایحهای رونمایی کردند که بهموجب آن آژانسهای فدرال، بسیاری از پیمانکاران دولتی و صاحبان و اپراتورهای زیرساختهای مهم باید هرگونه حادثهی سایبری کشفشدهای که تهدیدی برای امنیت ملی آمریکا باشد را ظرف 24 ساعت به دولت گزارش دهند.
طبق پیشنویسی که توسط پایگاه خبری Breaking Defense به اشتراک گذاشته شد، یکی از اهداف این لایحه امکان ایجاد یک تصویر عملیاتی مشترک از تهدیدات سایبری در سطح ملی در آمریکا است.
این لایحه، قانون اطلاعرسانی حوادث سایبری 2021 (Cyber Incident Notification Act of 2021) نام دارد. مقامات آمریکایی معتقدند کمبود به اشتراکگذاری حوادث سایبری مانع توانایی دولت برای مقابله با حوادث بزرگ سایبری شده است.
آنها همچنین معتقدند عدم دسترسی بهموقع به اطلاعات بر یادگیری سریع و دفاع سایبری آژانسهای فدرال، شرکتها و سایر نهادها در برابر تهدیدات سایبری تأثیر میگذارد، مانند حمله سایبری مایکروسافت اکسچنج که 140 هزار شرکت را تحت تأثیر قرار داد.
مارک وارنر رئیس کمیته اطلاعات مجلس سنا و یکی از حامیان مالی این لایحه گفت:
ما برای حفاظت از زیرساختهای حیاتی خود نباید به گزارشهای داوطلبانه متکی باشیم. ما به یک استاندارد منظم در سطح فدرال نیاز داریم تا در صورت حمله سایبری به بخشهای مهم اقتصادیمان بتوانیم منابع کامل دولت را برای واکنش به آن حمله یا دفع اثرات آن حمله بسیج کنیم.
در حال حاضر هیچ قانون فدرالی وجود ندارد که گزارش حوادث سایبری به دولت فدرال را اجبار کرده باشد. گرچه برخی از ایالتها قوانین اعلام نقض داده دارند؛ اما این قوانین اغلب حول سرقت دادههای مالی یا اطلاعات شخصی است و در صورت بروز حملات سایبری این حوادث تنها به مشتریانی اطلاعرسانی میشود که تحت تأثیر آن حمله قرار گرفته باشند.
قوانین موجود در حوزه اطلاعرسانی نقض دادهها در مورد حوادث سایبری در آمریکا اعمال نمیشود چنانچه این موضوع در حوادث سایبری سولارویندز و کولونیال نیز قابلمشاهده بود.
نیاز به اجباری شدن گزارش حوادث سایبری در آمریکا پسازآن به کانون توجهات تبدیل شد که شرکت امنیت سایبری فایر آی بهطور داوطلبانه حادثه سایبری سولارویندز را گزارش داد و برندون ولز مدیر وقت سیسا هم در ماجرای حمله سایبری کلونیال به کنگره اعلام کرد آژانس سیسا در مورد حوادث سایبری اطلاعات فنی لازم را دریافت نمیکند.
این قانون از حمایت هر دو حزب سنا برخوردار است ازجمله سوزان کالینز که از اعضای کمیته اطلاعات سنا است و در سال 2012 یک لایحه تبادل اطلاعات را ارائه داد که موردتوجه قرار نگرفت. وی از این لایحه بهعنوان "عقل سلیم اما دیرهنگام" یادکرد.
وی مدعی شد:
داشتن یک دیدگاه واضح نسبت به خطرات ناشی از حملات سایبری برای اولویتبندی و اقدام در جهت پیشگیری و کاهش تهدیدات ضروری است. عدم تصویب یک قانون قوی در زمینه گزارش حوادث سایبری تنها به دشمنان ما فرصت میدهد از دولت ما اطلاعات جمعآوری کنند، مالکیت معنوی شرکتهای ما را بدزدند و به زیرساختهای حیاتی ما آسیب برسانند.
این قانون پیشنهادی، آژانسهای فدرال، صاحبان و اپراتورهای زیرساختهای مهم و پیمانکاران اصلی و فرعی دولت بهاستثنای آنهایی که خدمات خانهداری و نگهداری کالا و محصولات غیرفناورانه یا خدمات زیر آستانه خرد ارائه میدهند را ملزم میکند حوادث سایبری را پس از کشف، ظرف 24 ساعت به سیسا گزارش دهند.
طبق این قانون سیسا ملزم است قابلیتهایی برای گزارش حملات سایبری فراهم کند که ارائه بهموقع، ایمن و محرمانه گزارشهای سایبری را تسهیل کند.
همچنین این قانون با ملزم کردن سیسا برای حفاظت از حریم خصوصی و اطلاعات شخصی مشتریان شرکتهای گزارش دهنده و ارائه مصونیت محدود برای این شرکتها نگرانی قدیمی شرکتهای خصوصی را برطرف میکند.
قابلذکر است که این قانون اعلانهای مربوط به حوادث سایبری را از قانون آزادی اطلاعات معاف میکند. این قانون همچنین مانع این میشود که از این گزارشها بهعنوان مدرکی علیه شرکت گزارش دهنده در پروندههای مدنی یا کیفری استفاده شود یا شرکت گزارش کننده از این طریق مشمول احضاریههای دادگاهی شود، بهاستثنای موارد قانونی که به ترتیب توسط دولت فدرال یا احضاریههای کنگره برای نظارت انجام شود.
مارکو روبیو، نایبرئیس کمیته اطلاعات مجلس سنا و یکی از حامیان مالی این لایحه نیز گفت:
حملات سایبری از کنترل خارجشده و دولت باید اقدام قاطعی انجام دهد. همه سازمانهای آمریکایی پس از کشف یک حمله سایبری باید بلافاصله اقدام کنند. هرچقدر یک حمله بیشتر مخفی بماند، خسارات بیشتری به دنبال خواهد داشت. اطمینان از اطلاعرسانی سریع، به حفاظت از سلامتی و ایمنی تعداد بیشماری از آمریکاییها کمک میکند و همچنین به دولت ما کمک میکند تا افراد مسئول را ردیابی کند.
