الزام صنایع خصوصی به ارائه دادههای تهدید سایبری
به گزارش کارگروه بین الملل سایبربان؛ به نقل از cyberscoop، قانون موسوم به نظارت بر تهدیدات عمومی امنیت سایبری و اقدامات کاهشی از شرکتهای خصوصی فعال در چین میخواهد که اطلاعات مرتبط با تهدید سایبری را به وزارت صنعت و فناوری اطلاعات چین گزارش داده و تحویل دهند.
چین در سال 2008، وزارت صنعت و فناوری اطلاعات را با هدف کنترل صنعت نوپای فناوری اطلاعات خود تأسیس کرد.
قانون تازه مصوب شرکتها را ملزم میکند که اطلاعات مربوط به حملات سایبری را که برای آنها رخ داده است و همچنین هرگونه «اطلاعات تهدید سایبری» را که در اختیار دارند، به دولت ارائه کنند. اطلاعات تهدید سایبری نوعاً توسط شرکتهای امنیت سایبری و غولهای نرمافزاری نظیر مایکروسافت جمعآوری شده و برای تقویت عملیاتهای امنیتی استفاده میشود.
در این قانون آمده است: «بعد از کشف تهدیدات امنیت سایبری توسط سازمانهای حرفهای مرتبط، شرکتهای اصلی مخابرات، شرکتهای امنیت سایبری، شرکتهای اینترنتی، نهادهای مدیریت و خدماتدهی ثبتنام دامنه و اطلاعات باید بهموقع و مطابق با محتوا، شاخصها و روال قانونی، به وزارت صنعت و فناوری اطلاعات، مقامات استانی، منطقه خودمختار و ارتباطات شهری ارائه شود.»
طبق اسناد سیاستی دیگری که اخیراً از سوی چین منتشر شده است، این جریان مستمر اطلاعات وارد یک «پایگاه داده تهدید سایبری» ملی و متمرکز میشود که مدیریت بخشی از آن بر عهده مرکز هماهنگی گروه فنی پاسخ به فوریتهای رایانهای چین است.
نحوه استفاده دولت چین از این پایگاه داده مشخص نشده است.
شرکتهایی که تحت تأثیر قانون تازهمصوب قرار میگیرند، طیفی از شرکتهای ارائهدهنده خدمات اینترنتی گرفته تا توسعهدهندگان بزرگ بسترهای فناوری تجاری را شامل میشود. شرکتهایی که خود را با این قوانین وفق ندهند، مشمول جریمههای سنگین یا مجازاتهای شدیدتر میشوند.
در قانون یادشده آمده است: «در مواردی که شرکتهای مخابراتی، شرکتهای اینترنتی، نهادهای مدیریت و خدماتدهی ثبتنام دامنه و غیره در اتخاذ تدابیری برای برخورد با تهدیدات امنیت سایبری مطابق با الزامات مشخص شده شکست بخورند، صدور اخطاریه، وضع جریمه و دیگر مجازاتهای اداری اقدام کنند.»
با وجود مهلت زمانی تعیین شده، کارشناسان عقیده دارند که به منظور تشویق سطحی از مشارکت داوطلبانه، اجرای این طرح به این زودی عملی نمیشود.
سم سکز (Samm Sacks)، از اعضای ارشد برنامه سیاست فناوری در مرکز مطالعات راهبردی و بینالمللی میگوید: «تاکنون بخش بزرگی از اقدامات اجرایی در حوزه قانون امنیت سایبری، روی تخلفات محتوایی شرکتهای داخلی چینی متمرکز بوده است. در شرایطی که هنوز اجماع داخلی درباره گستره/ اجرا وجود ندارد، شاهد اجرای قانون امنیت سایبری نخواهیم بود.»
این طرح سیاستی فراگیر، در صورت موفقیت، یک روز گنجینهای از اطلاعات جاری درباره هکرها، نقض داده، آسیبپذیریهای نرمافزاری و دیگر تهدیدات دیجیتالی را در اختیار حزب کمونیست چین قرار خواهد داد.
طرح چین هیچ شباهتی با طرحهای جاری بین دولت امریکا و شرکتهای خصوصی ندارد. دولت امریکا به طور منظم با شرکتهای امنیت سایبری و شرکتهای بزرگ فناوری همکاری میکند، اما این همکاری را بدون استفاده از اهرمهای اینچنینی انجام میشود.
پل تریولو (Paul Triolo)، رئیس فناوری جغرافیایی گروه اوراسیا میگوید: «قانون تازه چین آخرین نمونه از سری اقدامات دولت چین است که با هدف محافظت از زیرساخت شبکه و شرکتهای خصوصی در برابر حملات سایبری سهمگین طراحی شده است. این واقعیت که این قوانین را وزارت صنعت و فناوری اطلاعات منتشر کرده است نشان میدهد که دولت چین میخواهد به اقتدار خود رنگ و بوی بروکراتیک بدهد.
به گفته کارشناسان، این سیاست تازه، همتای «قانون امنیت سایبری» چین محسوب میشود که در ماه ژوئن اجرایی شد.
اگرچه تصویب این قانون موجب نگرانی مدیران کسبوکار امریکایی شده است اما هنوز سخن گفتن از این که آیا اثری روی وضع کلی شرکتها به جای گذاشته است یا خیر، دشوار است.
سیاست جدید وزارت صنعت و فناوری اطلاعات میتواند روی برندهای مطرح فناوری امریکا نظیر فیسبوک، اپل، مایکروسافت، سیسکو و گوگل که همگی در حال حاضر مشغول تجارت در چین هستند، اثر بگذارد.
