تلاش اتحادیه اروپا برای کاهش جرایم سایبری و افزایش انعطاف‌پذیری


نویسنده:
کمیسیون اروپا، برای اصلاح استانداردهای اروپا و تقویت انعطاف‌پذیری در برابر تهاجم سایبری، سازمان سایبری خود را ارتقا می‌دهد.
اندروس آنسیپ، معاون کمیسیون اروپا

به گزارش کارگروه بین‌الملل سایبربان؛ طبق اعلام کمیسیون اروپا، هر روز در سرتاسر اروپا، بیش از 4 هزار حمله باج افزاری انجام می‌شود و 80 درصد از شرکت‌های اروپایی، حداقل یک حادثه امنیت سایبری را از سر گذرانده‌اند. این نفوذها چه هزینه‌ای داشته است؟ ارزیابی‌ها، رقمی معادل سالانه 265 میلیارد یورو (318 میلیارد دلار) را برآورد می‌کند.

اظهارات معاون کمیسیون اروپا، اندروس آنسیپ (Andrus Ansip) که سه‌شنبه گذشته، بسته تازه‌ای از ابتکارات را معرفی کرد، مسئله را مهم‌تر از آنچه تصور می‌شد، به تصویر کشید. او به کنایه گفت:

«دو نوع شرکت وجود دارد. شرکت‌هایی که مورد حمله سایبری قرار گرفتند و شرکت‌هایی که هنوز خبر ندارند که به آنها حمله سایبری شده است.»

آنسیپ، به همراه همکار امنیتی عالی‌رتبه خود، جولیان کینگ (Julian King) و مسئول امور دیجیتال، ماریا گابریل (Mariya Gabriel)، جزئیات برنامه ارتقای سازمان امنیت سایبری و تشویق شرکت‌ها به ارتقای تدابیر دفاعی خود و حتی تصدیق آن را بیان کرد. این برنامه با هدف بهبود توانایی‌های شهروندان و شرکت‌های اتحادیه اروپا برای مقابله با سوءاستفاده اینترنتی اجرایی می‌شود.

کینگ خاطرنشان ساخت که اتحادیه اروپا از سال 2013، یک راهبرد امنیت سایبری داشته است اما افزایش حملات – به ویژه حملاتی از جنس باج افزارهایی مشابه واناکرای – نشان می‌دهد که انعطاف‌پذیری، بازدارندگی و سیاست‌های دفاعی اتحادیه اروپا در سطح مطلوب و رضایت‌بخشی قرار ندارد.

پیرت پرنیک (Piret Pernik)، پژوهشگر امنیت سایبری در مرکز بین‌المللی دفاع و امنیت تالین در مصاحبه‌ای اظهار داشت:

«دیر رسیدن، بهتر از هرگز نرسیدن است.»

او از پیشنهاد کمیسیون برای تبدیل کردن سازمان امنیت اطلاعات و شبکه اروپا که مأموریتش در سال 2020 به پایان می‌رسد، به سازمانی دائمی استقبال کرد. بودجه سالانه این سازمان دو برابر شده و به 23 میلیون یورو خواهد رسید و تعداد کارکنان آن از 84 نفر به 125 نفر می‌رسد.

 

امنیت همرسانی

پرنیک اظهار داشت:

«به گمان من، راه‌اندازی مراکز همرسانی و تحلیل داده در بخش‌های حیاتی، سازماندهی رزمایش‌های سالانه و پشتیبانی از اجرای سایر دستورالعمل‌های امنیت اطلاعات، در کنار موارد دیگر، گام‌هایی است که در مسیر درستی برداشته می‌شود.»

با وجود این، درخواست کمیسیون برای تسریع همرسانی اطلاعات ممکن است ثمری در بر نداشته باشد چراکه دولت‌ها و شرکت‌ها همیشه در انجام این کار اکراه دارند و پرنیک عقیده دارد که هیچ راهی برای اصلاح این تفکر وجود ندارد:

«من فکر می‌کنم که باید از صحبت کردن درباره لزوم همرسانی اطلاعات دست برداریم و با تعیین روش‌ها و شرایطی برای تبادل اطلاعات، مشخص کنیم که از این اطلاعات، چگونه برای پیشگیری از وقوع حوادث سایبری و واکنش به‌موقع، استفاده کنیم.»

 

بازخوردهای متفاوت طرح صدور گواهینامه امنیت سایبری

بخش دیگری از طرح پیشنهادی، با هدف پیشگیری، شامل ایجاد چارچوبی برای صدور گواهینامه امنیت سایبری می‌شود. چارچوب مذکور قرار است استانداردهای فنی را در سرتاسر اروپا مقرر نماید و مقامات ملی هر کشور مشخص خواهند ساخت که کدام شرکت این استانداردها را رعایت کرده است.

پرنیک، اراده مسئولان برای اعمال این طرح در وسایل مصرفی و همچنین زیرساخت‌های حیاتی مرتبط با بخش‌های مالی، انرژی و حمل‌ونقل، و نیز توانمندی‌های دفاعی، - جایی که به گمان او برنامه صدور گواهینامه باید الزامی باشد، نه آن طور که پیش‌بینی شده، داوطلبانه - را ستود.

اتحادیه نرم‌افزارهای تجاری (BSA)، دیدگاهی متفاوت و البته مقدماتی دارد:

«ما گمان می‌کنیم که یک چارچوب صدور گواهینامه، اگر بر اساس استانداردهای جهانی شکل گرفته باشد و به‌کارگیری آنها داوطلبانه، مبتنی بر رضایت و تحت هدایت صنعت باشد، کارایی نخواهد داشت.»

مدیر سیاست اتحادیه، توماس بوئه (Thomas Boue) در مصاحبه‌ای توصیه کرده است که طرح‌های پیش‌بینی شده برای صدور گواهینامه، «بهتر است با به‌کارگیری مشوق‌های مبتنی بر بازار به مرحله اجرا درآید، نه از طریق قانون‌گذاری، شکل‌دهی بازارهای بیمه یا  مسئولیت قانونی. چنین رویکردی، تبعات ناخواسته‌ای در پی خواهد داشت؛ از جمله، مانعی بر سر راه استانداردهای منعطف و نتیجه-محور خواهد بود.»

گروه فوق که طیف گسترده‌ای از غول‌های صنعتی از قبیل اپل، آی‌بی‌ام، مایکروسافت و زیمنس را نمایندگی می‌کند، هشدار داده است که اگر اروپا صرفاً به سراغ استانداردهای منطقه‌ای برود، «نمی‌تواند کمبودها و آسیب‌پذیری‌های رویکرد نامنسجم نسبت به تهدیدات سایبری را به طرز مؤثری حل‌وفصل نماید.»

 

شناخت تهدید و واکنش، نیازمند هماهنگی

هفته گذشته، وزرای دفاع اتحادیه اروپا، در نخستین جلسه خود برای بحث و گفتگو درباره شبیه‌سازی حمله هکرها به مأموران نیروی دریایی این اتحادیه مستقر در دریای مدیترانه، آسیب‌پذیری‌های اشاره شده را مورد آزمون قرار دادند. یکی از پرسش‌های مقدماتی اما پیچیده‌ای که برای وزرای دفاع مطرح شد این بود که با موقعیت فرضی چه برخوردی باید کرد: باید آن را یک حمله دانست یا یک حادثه یا یک تهدید؟

پرنیک می‌گوید که پاسخ‌های متفاوت به چنین پرسش‌هایی، واکنش احتمالی اتحادیه اروپا را - که در حال حاضر واکنش پرزحمتی هم محسوب می‌شود- دشوارتر می‌سازد:

«ممکن یک حادثه امنیت سایبری، در یک کشور عضو، به عنوان نوعی اعمال زور تلقی شود که واکنش جمعی یا حتی اقدامات جنبشی را در پی داشته باشد و در کشوری دیگر، حادثه‌ای معمولی در نظر گرفته شود.»

او اظهار امیدواری کرده است که راهبرد جدید اتحادیه اروپا این مورد را اصلاح کند.

توماس بوئه، مدیر سیاست اتحادیه نرم افزارهای تجاری درباره این درخواست می‌گوید:

«اروپا باید با هماهنگ‌سازی و تسهیل رویکرد خود، نه تنها در اتحادیه اروپا، بلکه مهم‌تر از آن، در سطحی جهانی، جبهه‌ای یکپارچه از خود به نمایش بگذارد. بدون همکاری و همرسانی اطلاعات درباره تهدیدات و نحوه کاهش آنها، اروپا به انعطاف‌پذیری سایبری مد نظر خود دست نخواهد یافت.»

راج سامانی (Raj Samani)، دانشمند ارشد و همکار موسسه امنیت سایبری مک‌آفی گفته است که هم‌اکنون الگویی برای همکاری مناسب دولتی- خصوصی با مرکز جرایم سایبری یوروپل (EC3) وجود دارد که در سال 2013 برای مقابله و مجازات جرایم برخط، وضع گردیده است. وی افزوده است:

«چنین اقداماتی نشان می‌دهد که اقدامات مشارکت آمیز بین بخش‌های دولتی و خصوصی، چگونه می‌تواند با برقراری رابطه با کارشناسان در سرتاسر دنیا، به حل‌وفصل حملات سایبری جهانی بپردازد. هر تدبیری که نویدبخش امنیت بهتر باشد، باید مورد تشویق قرار گیرد و پیش‌بینی ابتکاراتی برای پشتیبانی از همکاری‌ها، اهمیت حیاتی در توسعه جامعه‌ای امن دارد.»

نظرات (0)