انتشار شده در تاریخ 1400/05/04 - 07:53

پیشنهاد تصویب یک استاندارد یکپارچه برای گزارش حوادث سایبری در آمریکا

برخی کارشناسان آمریکایی معتقدند زمان تنظیم یک قانون جدید یکپارچه در حوزه گزارش حوادث سایبری فرا رسیده است.

به گزارش کارگروه بین‌الملل سایبربان؛ پایگاه خبری بلومبرگ در گزارشی نوشت، در 17 ژوئن، مجلس سنا به‌اتفاق آرا كریس اینگلیس را به‌عنوان مشاور بایدن در امور سایبری تأیید كرد. وی در آن روز از این ایده كه شرکت‌ها باید حوادث سایبری مهم را به دولت فدرال گزارش دهند حمایت كرد. حق با اوست. مدت‌هاست که قانون ملی حوادث سایبری منقضی شده است.

حملات سایبری افزایش یافته است؛ اما ازآنجاکه بیشتر شبکه‌های آمریکا در دست بخش خصوصی است و ازآنجاکه جامعه ما محدودیت‌های خاصی را در نظارت داخلی اعمال می‌کند، دیدگاه مقامات فدرال نسبت به تهدیدات سایبری دارای نقطه کور است؛ بنابراین این مقامات برای اطلاع از شواهد حملات سایبری به بخش خصوصی اعتماد می‌کنند.

اما ازآنجاکه هیچ الزام عمومی برای ارائه گزارش‌ها تحت عنوان قانون فدرال وجود ندارد، بیشتر حوادث سایبری هیچ‌گاه فاش نمی‌شوند. در مواردی هم که حوادث گزارش می‌شوند، اطلاعات اغلب ناقص هستند. حتی وقتی دولت یک حادثه احتمالی را به قربانی اطلاع دهد، قربانی معمولاً هیچ تعهدی نسبت به تأیید آن ندارد، چه رسد به اینکه اطلاعات مربوطه را به اشتراک بگذارد.

بنابراین وضع موجود انگیزه کمی به بخش‌های دولتی و خصوصی می‌دهد که بخواهند برای تحمیل هزینه به هکرها و محاکمه آن‌ها اطلاعات جمع‌آوری کنند.

الزامات ارائه گزارش مختص هر بخش است

گرچه حملات سایبری سولارویندز و مایکروسافت اکسچنج گزارش شدند؛ اما این‌ها استثنا هستند. اکثر شرکت‌ها وظیفه ندارند وقتی قربانی حملات سایبری می‌شوند به دولت فدرال گزارش دهند، بنابراین این کار را هم نمی‌کنند.

به‌طورمعمول الزامات دولت برای ارائه گزارش مربوط به نقض داده‌های شخصی در بخش‌های خاص می‌شود (برای مثال اطلاعات مالی و درمانی)، یا ناشی از شرایط خاصی در قراردادهای دولتی می‌شود.

به‌علاوه گرچه شرکت‌های دولتی تحت توصیه‌های SEC guidance ملزم به افشای تهدیدات و حوادث امنیت سایبری هستند؛ اما منتقدان معتقدند در عمل افشای اطلاعات مربوط به حوادث سایبری تکرار واضحات است و شرکت‌ها باید در افشاگری‌های خود جزئیات بیشتری ارائه دهند.

به‌عنوان‌مثال بعد از حادثه کولونیال دولت بایدن برای خطوط لوله یک دستورالعمل اجرایی صادر کرد. یا در ماه ژانویه سه آژانس فدرال پیشنهاد كردند كه بانک‌ها باید حوادث امنیت سایبری را به‌سرعت به تنظیم‌کنندگان خود اطلاع دهند. بااین‌حال، این پیشنهاد‌ها نیز مربوط به بخش‌های خاصی است و مشخص نیست که دامنه و چارچوب زمانی موردنظر آن‌ها چگونه با قوانین موجود ایالتی مطابقت دارد.

مدل‌های کنونی گزارش حوادث، مجزا، دشوار و گران هستند

با این مدل ازهم‌گسیخته همه ضرر می‌کنند. برای شرکت‌ها اینکه پس از حمله سایبری چه چیزی را و به چه کسی باید بگویند یک موضوع دست و پاگیر و گران است. شرکت‌ها اغلب مجبورند برای حل مشکلات خود از کارشناسان گران‌قیمت کمک بگیرند و افشای اطلاعات را به حداقل برسانند تا هم از هزینه شکایت‌های بعدی و هم از سوء شهرت خود جلوگیری کنند.

اگر ما بخواهیم شرکت‌ها را به گزارش وقایع و ارائه جزئیات مربوطه ترغیب کنیم، الزامات باید در کل کشور روشن، معقول و استاندارد باشد.

در شرایط فعلی حتی مصرف‌کنندگان هم ضرر می‌کنند. وقتی شرکتی که اطلاعات شخصی شما را در اختیار دارد هدف حمله قرار گرفته و اطلاعات آن نقض می‌شود، آنچه شما حق دارید بدانید تقریباً به محل زندگی‌تان بستگی دارد. اطلاع‌رسانی حوادث به مشتریان در ایالت‌های مختلف باید با یک استاندارد یکپارچه باشد که این امر فقط با قانون‌گذاری فدرال محقق می‌شود.

آنچه انتظار می رود در قانون گزارش حوادث سایبری گنجانده شود

انتظار می‌رود به‌زودی گروهی از قانون‌گذاران، قانون گزارش حوادث سایبری را معرفی کنند. هر قانون پیشنهادی باید دست‌کم این سه ویژگی اصلی را داشته باشد.

اولا این قانون باید شرکت‌ها را ملزم کند در صورت به خطر افتادن اطلاعات شخصی مشتریان، به آن‌ها اطلاع داده و بر اعتبار آن‌ها نظارت داشته باشند مگر اینکه این افشاگری منجر به آسیب شود.

دوما، این لایحه باید از خدمات ضروری ملی محافظت کند و با اجباری کردن گزارش حوادث سایبری در زیرساخت‌های حیاتی و نشت گسترده داده‌ها به دولت فدرال، نقاط کور را کاهش دهد.

نهایتاً، قوانین مختلف گزارش حوادث سایبری باید با تبدیل‌شدن به یک استاندارد سراسر واحد و ساده، بحث انطباق را آسان کنند و باید با ارائه مصونیت‌های قانونی مناسب و حفاظت‌های امنیتی منجر به انطباق این قانون شوند.

یک استاندارد فدرال یکپارچه برای گزارش حوادث سایبری یک دارو نخواهد بود. دشمنان ما پیچیده و پایدار هستند و اغلب برای فرار بهتر از نظارت‌ها از داخل ایالات‌متحده حمله می‌کنند.

بااین‌وجود تصویب یک قانون ملی در حوزه گزارش حوادث سایبری گام بزرگی خواهد بود. این کار یک پیروزی برای مصرف‌کنندگان، شرکت‌ها و وضعیت کلی سایبری آمریکا خواهد بود و این قانون، قانون‌گذاران را برای محافظت از حریم خصوصی، امنیت و رفاه آمریکایی‌ها متحد می‌کند.

اگر وقایع سایبری اخیر برای بیدار کردن کنگره برای تصویب یک استاندارد یکپارچه کافی نیست، تصور اینکه چه اتفاقاتی در آینده رخ خواهد داد لرزه به تن انسان می‌اندازد.