گزارش نكسترو؛
مروری بر وضعیت مقررات امنیت سایبری در ایالات متحده آمریکا
نکسترو: امروزه خیلی از کشورها در عرصه توسعه فناوری های پیشرفته به وضع قوانین و مقررات شدید برای کنترل بحران های امنیت سایبری پرداخته اند و آمریکا نیز در این راه سخت گیری های جدیدی اعمال کرده است.
به گزارش نکسترو به نقل از مهر، امنیت سایبری، چالشی کلیدی برای دولت ها، شرکت و کاربران جهان شمرده می شود. تعداد و خسارات ناشی از انواع حملات سایبری طی سالهای اخیر و همگام با رشد فناوری افزایش محسوسی یافته است. برمبنای پیش بینی متخصصان، هزینه جهانی حملات سایبری برای ذی ربطان این حوزه تا سال ۲۰۲۵ به حدود ۱۰.۵ تریلیون دلار خواهد رسید. از همین رو، خیلی از دولت های جهان به این نتیجه رسیده اند که امنیت سایبری باید یکی از اولویت های اساسی و محورهای تمرکز آنها باشد. امروزه خیلی از کشورهای پیشرو جهان در عرصه توسعه فناوری های پیشرفته به وضع قوانین و مقررات شدید برای کنترل بحران های امنیت سایبری و کاهش خسارات حملات این حوزه روی آورده اند. کارشناسان عمده ترین چالش این حوزه را مسئله فقدان جبهه جهانی واحد مسئول در امر تامین امنیت سایبری می دانند. در چنین شرایطی، خیلی از نهادهای قضائی سرتاسر جهان از طرف دولت مردان موظف به وضع قوانین این حوزه در مقیاس ملی شده اند. همین مورد می تواند فضایی مساعد برای مجرمان سایبری بوجود آورد تا از شکاف های موجود در مقررات بهره ببرند. گزارش های آماری حاکی از آنست که بخش عمده خسارات ناشی از حملات سایبری و نفوذ به زیرساخت های دیجیتال، متوجه بخش مالی است. این بخش در مقابل حملات و جرایم سایبری بسیار لطمه پذیر است؛ برای اینکه بانکها و مؤسسات مالی، به حجم عظیمی از داده های شخصی کاربران دسترسی دارند. بعلاوه، بدون اقدامات لازم و اتخاذ سیاست های مقتضی، یک تهدید امنیت سایبری می تواند موجب هرج و مرج و فروپاشی برای مؤسسات مالی شود. بنا بر این است که کارشناسان، وضع مقررات سایبری مؤثر و کارآمد برای این حوزه بسیار مهم و حیاتی می دانند. در این نوشتار به مرور تعدادی از قوانین حوزه امنیت سایبری در کشور آمریکا می پردازیم. تنظیم گری امنیت سایبری در آمریکا بطور کلی، یک قانون فدرال امنیت سایبری در ایالات متحده آمریکا وجود دارد. این در حالیست که تعدادی از ایالات این کشور نیز قوانین منطقه ای خاص خودرا برای تامین امنیت سایبری تصویب کرده اند. قانون گرام لیچ بلیلی (Gramm-Leach Bliley Act) (1999) این اقدام نخستین اقدام امنیت سایبری برای مؤسسات مالی در ایالات متحده است. برمبنای متن این قانون، بانک ها، اتحادیه های اعتباری و سایر مؤسسات تحت نظارت باید امنیت داده ها را در طول پروسه فعالیت خود، ایجاد، اجرا و حفظ کنند. این مساله توسط کمیسیون تجارت فدرال ایالات متحده اجرا می شود و در سطح پایه، مؤسسات وادار می کند تا مشتریان را در مورد داده هایی که جمع آوری می کنند باخبر ساخته و به آنها اجازه انصراف می دهد. علاوه بر این، تیم های مسئول ارزیابی انطباق سازمان ها و مؤسسات با این قوانین باید برنامه های خودرا برای نشان دادن ایمنی داده های فیزیکی، اداری و فنی تدوین کنند. در همین راستا، سازمان ها و نهادهای تحت نظارت ملزم به رعایت قواعد به شرح زیر هستند: آنها باید ماهیت کارهای خودرا اعلام کنند. نهادهای تحت نظارت باید دامنه فعالیت خودرا شفاف و آشکار کنند. خطر بالقوه کارهای خودرا برای مشتریانشان مشخص کنند. قانون مذکور، یکی از قدیمی ترین اقدامات حقوقی در امتداد تعیین استاندارهای امنیت سایبری برای فعالیت سازمان ها محسوب می شود. با وجود این، فضای قانون گذاری در این زمینه یکی از بخش های بسیار پویا در نظام قضائی ایالات متحده شمرده می شود و قانونگذاران این کشور باتوجه به اقتضائات این حوزه، همیشه درحال به روز رسانی قواعد هستند. الزامات امنیت سایبری دستگاه های متصل به اینترنت دولت بایدن بتازگی برنامه برچسب گذاری امنیت سایبری اینترنت اشیا (IoT) را با هدف صیانت از شهروندان آمریکا در مقابل خطرات امنیتی بیشمار مربوط به دستگاه های متصل به اینترنت تدوین کرده است. برنامه یاد شده، با نام «U.S. Cyber Trust Mark»، در حوزه خرید دستگاه های متصل به اینترنت امن و مقاوم در مقابل حملات سایبری به شهروندان آمریکایی کمک می نماید. همچون الزامات این استاندارد الزامی جدید که از طرف مؤسسه ملی استاندارد و فناوری آمریکا (NIST) وضع شده است، می توان به برخورداری دستگاهها از رمزهای عبور پیش فرض منحصربه فرد و قوی، صیانت از داده های ذخیره شده و انتقال یافته، ارائه بروزرسانی های امنیتی منظم و داشتن قابلیت تشخیص حوادث اشاره نمود. همکاری نهادهای ناظر گوناگون برای نظارت امنیتی بر بخش های تخصصی علاوه بر قوانین موجود در ساختار قضائی فدرال این کشور، سازمان های بسیاری نیز در این کشور مسئول رسیدگی به امور مربوط به صیانت از امنیت سایبری و کاهش موارد نقض داده های کاربران هستند. مقامات ارشد امنیت سایبری ایالات متحده، همیشه بر مسئله همرسانی اطلاعات در امتداد صیانت از شبکه های داخلی این کشور در مقابل حملات هکری تاکید دارند. برمبنای داده های انتشار یافته در این مورد، اشتراک اطلاعات میان فرماندهی سایبری (U.S. Cyber Command) و سازمان امنیت سایبری و زیرساخت وزارت امنیت داخلی آمریکا (CISA) در موارد گوناگون سبب خنثی سازی حملات سایبری مخرب به انتخابات آمریکا شده است. فرماندهان حوزه سایبری در وزارت دفاع این کشور و سازمان عالی امنیت سایبری غیرنظامی فدرال آمریکا همیشه مدعی هستند که رابطه بین این دو سازمان برای دفاع از این کشور در مقابل هکرهای خارجی ضرورت دارد. اریک گلدشتاین، دستیار اجرائی سازمان امنیت سایبری و زیرساخت وزارت امنیت داخلی آمریکا اخیراً طی اظهار نظری در حاشیه اجلاس «RSA2023» در این مورد ادعا کرد که بخش خصوصی همرسانی اطلاعات را چندان مفید نمی داند و معتقد می باشد که این امر منجر به ارائه راهنمایی مؤثر دراین زمینه نمی شود؛ با این وجود، با وجود عدم توفیق چندان در تحقق همکاری اطلاعاتی میان بخش دولتی و خصوصی، تبادل اطلاعات بین سازمان امنیت سایبری و زیرساخت ایالات متحده و فرماندهی سایبری این کشور ثمربخش بوده است. انتشار منظم راهبرد امنیت سایبری در مقیاس ملی تدوین و انتشار سند استراتژی امنیت سایبری، یکی دیگر از ابزار در اختیار سیاست مداران آمریکایی در امتداد افزایش امنیت سایبری و پیش گیری از بروز حملات این حوزه، شمرده می شود. کاخ سفید در تاریخ ۲ مارس امسال، مبادرت به انتشار تازه ترین نسخه استراتژی امنیت سایبری این کشور کرده است. سند مذکور، ارائه طریقی برای افزایش حفاظت بخش های مختلف این کشور در مقابل تهدیدات بیش از پیش سایبری شمرده می شود. استراتژی اخیر، بر مقررات سختگیرانه تر برای حصول اطمینان از تامین امنیت سایبری صنایع و بهبود همکاری بین دولت و بخش خصوصی تاکید دارد. در این استراتژی از چین و روسیه به عنوان با اهمیت ترین تهدیدات امنیت سایبری برای ایالات متحده یاد شده است و به عقیده کارشناسان یکی از اهداف آن مهار توان سایبری روسیه است. این استراتژی همین طور بر بهبود برخی استانداردها در سیستم های کامپیوتری و الزام شرکت های ابری به تأیید هویت مشتریان خارجی خود، تاکید دارد. محورهای راهبرد امنیت سایبری ۲۰۲۳ آمریکا چارچوب استراتژی تامین امنیت سایبری اخیر آمریکا که از طرف دولت بایدن تدوین و انتشار یافته است، بر محورهای کلیدی مختلفی تمرکز دارد که برخی سرفصل های آن به شرح زیر است: دفاع از زیرساخت های حیاتی کشور آمریکا اختلال و اقدام جهت مقابله و نابودسازی تهدیدات خارجی جهت دهی به بازار در امتداد ارتقا فاکتورهای امنیت سایبری سرمایه گذاری راهبردی در امتداد افزایش تاب آوری افزایش مشارکت بین المللی بمنظور دستیابی به اهداف مشترک قوانین حفظ حریم خصوصی مصرف کنندگان کالیفرنیا و قانون حریم خصوصی کلرادو مسئله حریم خصوصی داده ها جنبه ای کلیدی حفاظت در امنیت سایبری شمرده می شود. در همین راستا، ایالت هایی مانند کالیفرنیا و کلرادو با تصویب سیاست های صیانت از داده های مختص به خود برای کسب وکارها در عرصه های قضائی خود، امور مربوط به الزامات صیانت از داده ها را به دست گرفته اند. این سیاست ها بواسطه مشابهت فراوان خیلی از موارد نقض داده و مخاطرات امنیت سایبری، تا حدودی مشابه هستند و بر روی اقدامات و الزاماتی که کنترل کننده ها و پردازشگرهای داده می توانند انجام دهند، تمرکز دارند تا مشتریان را ایمن نگه دارند. هدف اصلی این مقررات این است که به مشتریان حق انصراف از جمع آوری داده ها و جلوگیری از انتقال اطلاعاتشان به اشخاص ثالث داده شود. سخن پایانی وجود یک نظام حقوقی پویا در برخورد با تهدیدات امنیت سایبری درحال پیشرفت موجود در جهان دیجیتال، مبین آگاهی رهبران این کشور از ماهیت تهدید و لزوم اتخاذ تدابیر مقابله با چالش ها بصورت کارآمد، تطبیق پذیر و سریع است. بی گمان متخصصان و قانون گذاران این کشور در تلاش هستند که در طوفان تحولات روزانه این حوزه، از سیر پیچیدگی تهدیدات و حملات عقب نمانند. راهبردهای امنیت سایبری گوناگون در طول سالهای اخیر و حجم بالای قوانین امنیت سایبری این کشور نیز مؤید همین مدعا است. با وجود این، در جهان امروز حتی اولین کشور توسعه دهنده اینترنت و نظام قانون گذاری آن نیز تاب مقاومت حداکثری در مقابل تهدیدات بیش از پیش سایبری را ندارد و کاربران و شرکت های مستقر در آن، سالانه با حجم بالایی از حملات سایبری مواجه می شوند.
منبع: نكسترو
مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب