عصر جدید "کشاورزی هوشمند" - کانونی برای جرایم سایبری؟

عواملی چون جمعیت رو به رشد جهان، افزایش تقاضا برای عملکرد بهتر محصول، نیاز به استفاده بهینه از منابع طبیعی، استفاده روزافزون و پیچیدگی فناوری اطلاعات و ارتباطات و ... بر لزوم استفاده از کشاورزی هوشمند می­افزاید. از اینرو در طول دهه گذشته، مزارع در سراسر جهان در تلاش به منظور ارتقاء بازده و پایداری، استفاده از فناوری‌­های دیجیتال از جمله اینترنت اشیاء، کلان داده، محاسبات ابری و هوش مصنوعی را افزایش داده‌اند. کشاورزی هوشمند در کنار مزایای بسیاری که دارد، در عین حال گاهی منجر به بروز برخی چالش­ها نیز می­گردد. از جمله این چالش­ها؛ تهدیدات امنیت سایبری را می­توان نام برد که امروزه بسیار شایع شده است و به طور بالقوه زنجیره‌های تأمین منطقه‌ای، ملی و جهانی را درگیر نموده است و از اختلالات عملیاتی گرفته تا سرقت داده‌های حساس را برای همه مشاغل این صنعت موجب می­شود. مانند سایر بخش‌ها، آن دسته از مشاغل که در جوامع غذایی و کشاورزی کار می کنند باید در این زمینه هوشیار باشند؛ چرا که با توجه به نیاز حیاتی برای تغذیه رو به رشد جهانی، شرکت‌های کشاورزی هدف مهمی برای حملات باج افزار‌ها هستند.

آیا ایمن سازی فضای مجازی در بخش غذا و کشاورزی حیاتی است؟
همه‌گیری کووید-19 تحول دیجیتالی کسب‌ و کارهای مواد غذایی و کشاورزی را، همچون کسب‌ و کارهای سایر بخش‌ها، سرعت بخشید. دیجیتالی شدن وعده مزایای اقتصادی و اجتماعی را به همراه دارد، اما با هزینه‌هایی همراه است. تهدیدات سایبری در سراسر جهان در حال افزایش است و مشاغل غذایی و کشاورزی نیز از این تهدیدات در امان نیستند. در مارس 2021، JFC International فاش کرد که مورد حمله باج افزاری قرار گرفته و چندین سیستم IT آن را مختل کرده است. JFC یک توزیع کننده و عمده فروش محصولات غذایی آسیایی است و به بازارهای اروپا و ایالات متحده خدمات ارائه می‌دهد. همچنین در آوریل 2021، یک حمله باج ‌افزاری، یک توزیع ‌کننده مواد غذایی هلندی را مورد هدف قرار داد و ارتباط شرکت با مشتریان، انبارهای بزرگ و شبکه‌های حمل و نقل را مختل نمود. این حمله به اصطلاح "هک پنیر" باعث شد قفسه‌های پنیر در یک سوپرمارکت هلندی برای چند روز خالی شود، زیرا مانع از تحویل محصولات توسط توزیع‌کننده شد. دو ماه پس از این حادثه، یک حمله باج افزار دیگر به JBS که بزرگترین توزیع کننده صنعت گوشت در دنیا است، صورت گرفت و این مجموعه را مجبور به تعطیلی فعالیت‌های خود در ایالات متحده، کانادا و استرالیا کرد. همچنین شرکت­های بزرگی چون Molson Coors، Campari Group و Brown-Forman از موارد حملات باج افزار به شرکت­های بزرگ مواد غذایی و نوشیدنی در سال 2021 است. علاوه بر این، در سال 2015، چندین رستوران زنجیره‌ای و فست فود ایالات متحده از جمله Caribou Coffee، Applebee’s، Panera Bread، Chipotle، Sonic Drive-In، Pizza Hut، KFC، Wendy’s و Dunkin’ مورد حملات بدافزاری قرار گرفتند که منجر به ارائه شکایت­های بسیاری در رابطه با نقض اطلاعات گردید. نمونه‌های حملات سایبری به زنجیره تامین مواد غذایی نشان می‌دهد که این بخش نیاز به افزایش امنیت و توجه بیشتر جهت سیاست گذاری دارد.

چگونه قانون امنیت سایبری امنیت زنجیره تامین مواد غذایی را تنظیم می‌کند؟
حملات اخیر و افزایش دیجیتالی شدن در این بخش، نیاز فزاینده‌ای را به امنیت محصولات و خدمات فناوری اطلاعات و ارتباطات (ICT^[1]) ایجاد می‌کند. با این حال، این بخش تاکنون از سوی نهادهای قانونگذار چندان مورد توجه قرار نگرفته است. قوانین مربوط به امنیت سایبری عمدتاً به اتخاذ یک رویکرد برای بخش خاص می­پردازد و تاکنون بر تعداد محدودی از بخش‌ها متمرکز شده است. به عنوان مثال می‌توان به دستورالعمل زیرساخت‌های حیاتی اروپا اشاره نمود که فقط به بخش‌های انرژی و حمل و نقل مربوط می‌شود.
دستورالعمل امنیت شبکه و سیستم­های اطلاعاتی (دستورالعمل NIS^[2]) دومین قانونی است که (صریحا) بخش غذا و کشاورزی را پوشش نمی‎دهد، اما با اینحال برای بخش کشاورزی نیز به دلیل گستردگی دامنه پتانسیل آن قابل استفاده است. دستورالعمل NIS اولین و اساسی‌ترین قانون ثانویه در سراسر اتحادیه اروپا است که در سال 2016 برای ایجاد الزامات امنیتی و اطلاع رسانی برای اپراتورهای خدمات رسان ضروری (OES^[3]) و ارائه دهندگان خدمات دیجیتال به تصویب رسید. این دستورالعمل مجموعه‌ای از معیارها و فهرستی از بخش‌ها و زیربخش‌ها را ارائه می‌دهد که باید OES را به عنوان حداقل تعریف کنند. براساس این معیارها و بخش‌ها، هر کشور عضو به طور دقیق‌تر مشخص می‌کند که کدام نهادها در قلمرو خود به عنوان OES در نظر گرفته می‌شوند.
انتظارات دستورالعمل NIS به هفت بخش محدود می‌شود: انرژی، حمل و نقل، بانکداری، مالی، بهداشت، تامین آب آشامیدنی و زیرساخت دیجیتال. این بدان معناست که کشورهای عضو مجبور نیستند الزامات مربوطه را فراتر از این بخش‌ها اجرا کنند. انتظار می‌رود که نهاد نظارتی آژانس اروپایی امنیت سایبری (ENISA^[4])، که وظیفه مدیریت طرح‌های امنیت سایبری داوطلبانه را بر عهده دارد، تخصص و دستورالعمل‌های امنیت سایبری را بطور ویژه برای این بخش‌ها نیز ارائه نماید (بند 39 قانون امنیت سایبری). از جمله موارد مطرح در دستورالعمل NIS عبارت است از؛ شناسایی شیوه‎های صحیح در کشورهای عضو در خصوص اجرای دستورالعمل ­NIS؛ حمایت از فرآیند گزارش‌دهی در سراسر اتحادیه اروپا برای حوادث امنیت سایبری، با ایجاد آستانه‌ها، الگوها و ابزارها؛ توافق بر روی رویکردها و رویه‌های مشترک؛ کمک به کشورهای عضو برای رسیدگی به مسائل مشترک امنیت سایبری.
دستورالعمل NIS یک سرویس را در صورتی ضروری می‌داند که، اگر (1) این سرویس برای حفظ فعالیت‌های حیاتی اجتماعی-اقتصادی ضروری باشد، (2) به شبکه و سیستم‌های اطلاعاتی وابستگی داشته باشد، و (3) ارائه این سرویس می‌تواند تحت تاثیر یک حادثه سایبری مختل شود. در مورد معیار اول، دسترسی به غذا برای حفظ معیشت حیاتی است، و خدمات زنجیره تامین غذا، درست مانند تامین آب آشامیدنی به عنوان خدمات ضروری طبقه بندی می‌شود. این خدمات همچنین از نظر اقتصادی با ارائه سایر خدمات ضروری مانند حمل و نقل وابسته هستند. در مورد معیار دوم و سوم، حملات به زنجیره غذایی نشان می‌دهد که تأمین غذا (به طور فزاینده‌ای) به شبکه و سیستم‌های اطلاعاتی بستگی دارد و در نتیجه این امکان وجود دارد که به طور مخرب تحت تأثیر حوادث سایبری قرار گیرد. بنابراین، خدمات غذایی و کشاورزی به طور بالقوه حداقل معیارهای دستورالعمل NIS را به عنوان خدمات ضروری دارد.
علاوه بر این، کمیسیون اروپا در سال 2019 گزارش داد که، بسیاری از کشورهای عضو ،20 بخش اضافی را به عنوان خدمات ضروری در قوانین ملی خود شناسایی نموده­اند. دو بخش از آن را تولیدکنندگان مواد غذایی و مکان‌های تجاری به عنوان OES شناسایی کردند و از آنها انتظار داشتند که الزامات امنیتی را رعایت کنند. این بدان معناست که برخی از بخش‌هایی که از نظر تضمین امنیت سایبری به توجه بیشتری نیاز دارند، ممکن است در سطح اتحادیه اروپا توجه لازم را نداشته باشند.

حرکت رو به جلو با ارائه یک پیشنهاد جدید
برای پاسخ به تهدیدات فزاینده ناشی از فرایند دیجیتالی شدن و افزایش حملات سایبری، کمیسیون، پیشنهادی را برای جایگزینی «دستورالعمل NIS2» با هدف پوشش دادن سهم بیشتری از اقتصاد و جامعه، ضمن گنجاندن بخش‌های بیشتر و ایجاد سطح بالاتری از هماهنگی در مورد الزامات امنیتی و تعهدات گزارش جهت افزایش سطح امنیت سایبری در اروپا در بلند مدت ارائه نمود. دستورالعمل NIS2 پیشنهادی با اضافه کردن تولیدکنندگان، پردازش‌کنندگان و توزیع‌کنندگان مواد غذایی به‌عنوان نهادهای مهم، علاوه بر بسیاری از بخش‌های دیگر، دامنه نسخه قبلی خود را گسترش می‌دهد. علاوه بر این، حداقل معیارها را با یک قانون سقف اندازه جایگزین می‌نماید. این بدان معنی است که تمام نهادهای بزرگ و متوسط در زنجیره تامین مواد غذایی ممکن است در آینده با تعهدات مدیریت ریسک و گزارش دهی در سراسر اتحادیه اروپا مواجه شوند. شرکت‌های کوچک از این الزامات مستثنی خواهند شد، مگر اینکه کشورهای عضو آن‌ها را برای امنیت عمومی، ایمنی عمومی یا سلامت عمومی حیاتی تشخیص دهند. در حال حاضر، در پارلمان اروپا، پرونده رسیدگی به این دستورالعمل به کمیته صنعت، تحقیقات و انرژی واگذار شده است. کمیته در 28 اکتبر 2021 دستور ورود به مذاکرات بین نهادی را تصویب کرد. متن قوانین در 13 مه 2022 پیشنهاد شده اما اکنون باید به طور رسمی توسط هر دو نهاد تصویب شود و پارلمان در ماه­های آینده در جلسه عمومی درباره آن رأی گیری نماید.

آیا در چارچوب قانونی جایی برای ایمن سازی فضای سایبری غذا و کشاورزی وجود دارد؟
اگرچه امنیت سایبری در مواد غذایی و کشاورزی هنوز مورد توجه زیادی قرار نگرفته است، قوانین بالقوه‌ای برای تامین امنیت در این زمینه وجود دارد، مانند اصل امنیت داده‌ها در مقررات حفاظت از داده‌های عمومی (GDPR^[5]). اپراتورهای مواد غذایی، صرف نظر از اندازه آنها، باید اقدامات مناسب (به عنوان مثال، سیاست‌های فنی، داخلی) را برای امنیت فناوری اطلاعات انجام دهند. از آنجایی که GDPR فقط برای داده‌های شخصی اعمال می‌گردد، این اصل به تجهیزات کشاورزی که فقط داده‌های غیر شخصی را پردازش می‌کنند مربوط نمی‌شود. با این حال، همچنان می‌تواند بعنوان مثال؛ رایانه‌ها یا پوشش‌های هوشمندی که کارمندان استفاده می­کنند، را پوشش دهد. این اصل همچنین به مرحله طراحی و توسعه محصولات و تجهیزات فناوری اطلاعات و ارتباطات مورد استفاده در زنجیره تامین مواد غذایی که قادر به پردازش داده‌های شخصی هستند، گسترش می‌یابد. حفاظت از داده‌های GDPR بر اساس طراحی و بطور پیش ‌فرض، مستلزم امنیت است و تولیدکنندگان و توسعه‌دهندگان را تشویق می‌کند تا از امنیت سخت‌افزار و نرم‌افزار مراقبت کنند، بطوریکه کاربران قادر به انجام تعهدات خود برای جلوگیری و کاهش خسارات احتمالی یا حملات سایبری باشند.
قوانین امنیتی همچنین از قوانین ایمنی ارائه شده توسط اتحادیه اروپا، متشکل از مجموعه‌ای از ابزارهای قانونی که برای طیف وسیعی از ماشین‌آلات و تجهیزات اعمال می‌شود، سرچشمه می‌گیرد. برخی از این ابزارها تعهدات امنیتی را براساس طراحی برای تولیدکنندگان محصولاتی که در تولید و توزیع مواد غذایی استفاده می‌شوند، فراهم می‌کنند. به عنوان مثال؛ اخیرا" دستورالعمل تجهیزات رادیویی و مقررات تفویض شده آن در اروپا، سازندگان را ملزم می‌سازد تا اطمینان حاصل کنند که تجهیزات متصل به اینترنت به شبکه آسیب نمی‌رساند. پیروی از این تعهد در تولید تجهیزات، مانند دوربین‌های هوشمند متصل به اینترنت که برای جمع‌آوری داده‌های محصولات یا حیوانات استفاده می‌شوند، احتمالاً انعطاف‌پذیری امنیتی در زنجیره تأمین مواد غذایی را افزایش می‌دهد.
با این حال، قوانین ایمنی محصول ممکن است در پرداختن به مسائل امنیت سایبری ناکافی باشد، زیرا فاقد تعهدات امنیتی برای بسیاری از محصولات مورد استفاده در زنجیره تامین مواد غذایی مانند ماشین آلات تنظیم شده تحت دستورالعمل ماشین آلات (MD^[6]) است. MD خطرات امنیتی را تا حدی پوشش می‌دهد که، به طور محدود به امنیت ماشین مربوط می‌شود و نه امنیت سایبری یک شبکه به طور وسیع‌تر. حملات سایبری همچنین می‌تواند ایمنی ماشین آلات و افراد پیرامون آن را تهدید کند، اما MD در مورد تعهدات سازندگان در برابر حملات سایبری شفاف نیست.
علاوه بر این، کمیسیون اروپا خاطر نشان می‌سازد که بخش بزرگی از قوانین ایمنی موجود، مانند اتصال، به روز رسانی نرم افزار و قابلیت ردیابی، قبل از ظهور مسائل مربوط به امنیت، به تصویب رسیده است و به همین دلیل است که فاقد الزامات اجباری خاص در برابر تهدیدات سایبری است. بنابراین کمیسیون دریافته که قوانین صریح‌تری در این زمینه لازم می‌باشد. باید دید که آیا بازنگری در قوانین موجود و پیشنهاد ایجاد الزامات امنیت سایبری برای سیستم‌های هوش مصنوعی پرخطر می‌تواند این شکاف را برطرف سازد یا خیر. در این زمینه، دستورالعمل‌های خط‌مشی مرتبط با هوش مصنوعی مانند دستورالعمل‌های اخلاقی برای هوش مصنوعی قابل اعتماد، که به طور ویژه اصل استحکام فنی و ایمنی را در بر می‌گیرد، می‌تواند راهی برای تشویق کسب ‌و کارها به اتخاذ تدابیر امنیتی فراهم کند.

چگونه شرکت ها می‌توانند از خود در برابر حمله سایبری محافظت کنند؟
برای ایجاد سیستم­های قوی و کارآمد در کشاورزی هوشمند، باید اطمینان حاصل کرد که تولید، انتقال و پردازش صحیح و کامل داده­ها انجام و سیستم دارای ویژگی­های امنیتی کافی برای جلوگیری از حملات باشد. ناهمگونی منابع، نگرانی­های امنیتی زیادی را ایجاد می­کند، مانند حفظ حریم خصوصی، حفظ اعتماد و قابلیت اطمینان، که می­تواند برای برآوردن تقاضا و پتانسیل برنامه­های کاربردی نوظهور بسیار مهم باشد.
در مرحله اول، همه دستگاه‌ها را باید به ابزارهای فناوری به روز مجهز کرد تا ایمن کار کنند، مانند مدیریت رمز عبور، احراز هویت دو مرحله­ای و شبکه­های خصوصی مجازی (VPN). فراتر از آن، همه افراد شرکت باید در مورد بهترین شیوه­های مهار خطر آموزش ببینند. باید متذکر شد که این آموزش در قالب یک دوره آموزشی یکباره یا مشاهده در قالب ویدیو نخواهد بود، بلکه یک آموزش ادامه دار همگام با ظهور تهدیدات جدید است.
مانند همه اقدامات امنیت سایبری، سلامت سایبری بر یک رویکرد سه جانبه متکی است: مردم، فناوری و محیط. افراد برای شناسایی تهدیدهای امنیتی به آموزش اجباری نیاز دارند. علاوه بر این رهبر شرکت باید از امنیت آگاه باشد و الگوی ارزشمندی برای دیگران باشد.
از آنجائیکه برای یک مشکل ترکیبی، باید یک راه حل ترکیبی وجود داشته باشد. بهبود آموزش کارکنان می‌تواند شامل کارگاه های فشرده در سطح شرکت، آموزش آنلاین و خدمات آموزش شخص ثالث باشد. برخی از کارکنان به یک روش بهتر از روش دیگر پاسخ می‌دهند، بنابراین انعطاف پذیری ضروری است. با این حال، اجرا نیز مهم است، زیرا نظرسنجی اخیر HLB در مورد امنیت سایبری نشان داده که اگرچه 90٪ از کسب و کارها اعلام داشتند که کارکنان خود را آموزش می­دهند، اما در 33٪ موارد دائماً با عدم انطباق برخورد می­کنند.

جمع بندی
جرایم سایبری یک تهدید جدی است. هکرها قادرند از هر نقطه در دنیای شبکه‌ای حمله کنند و باج افزارها نیز معمولاً با استفاده از پرداخت‌ ارزهای دیجیتال صورت می­گیرند که به سختی می­توان آن­ها را ردیابی نمود. سیستم‌های قدیمی به دلیل عدم برخورداری از آخرین تدابیر حفاظتی و امکان داشتن حفره‌هایی در دفاع نرم افزاری، شدیدا" آسیب پذیر هستند. بعلاوه کارمندان ممکن است اشتباهات ساده‌ای مرتکب شوند، توسط هکرها فریب بخورند یا مورد تهدید قرار گیرند. بدین منظور ارائه‌ی یک فرهنگ آگاهانه جهت برقراری امنیت در فضای کسب و کار و اجرای مداوم برنامه آموزشی برای کلیه‌ی کارمندان، از کارآموزان گرفته تا سطوح بالاتر بسیار مهم است.
غذا بخش مهمی از اقتصاد است. از آنجایی که زنجیره‌های تأمین مواد غذایی آسیب‌ پذیر هستند، یک حمله سایبری می‌تواند موجب تداوم آسیب‌های پایدار گردد. همانطور که در نشریه NCC Group امنیت سایبری در کشاورزی انگلستان اشاره شده است؛ خطرات امنیت سایبری ناشی از دیجیتالی شدن در بخش مواد غذایی باید با حکمرانی مناسب مدیریت شود. ایمنی هر فناوری جدید باید با دقت و با تصمیم گیری باز و شفاف ایجاد شود. همینطور مدیریت فناوری‌های نوین باید در نظر داشته باشد که چگونه ممکن است رابطه بین منافع تجاری و تولیدکنندگان مواد غذایی را تغییر دهد.
امنیت سایبری در حوزه غذا و کشاورزی تاکنون در قوانین و سیاستگذاری در کشور ما نیز مورد توجه کمی قرار داشته است. قوانین موجود می‌تواند راه حلی را ارائه دهد، که البته به دلیل دامنه محدود آنها با محدودیت‌هایی همراهند و باید دید این خلأ چگونه پر خواهد شد. آنچه در حال حاضر واضح است، این است که امنیت بخش غذا و کشاورزی یک نیاز روزافزون می‌باشد که توجه سیاست گذاران را می‌طلبد.


نسیم حسینی، کارشناس ارشد منابع طبیعی، دانشگاه فردوسی مشهد
گروه کشاورزی و منابع طبیعی دیجیتال پژوهشگاه فضای مجازی


منابع:
Rettore de Araujo Zanella, Angelita., da Silva, Eduardo., Carlos Pessoa Albini, Luiz. (2020). Security challenges to smart agriculture: Current state, key issues, and future directions. Array, 8 . https://doi.org/10.1016/j.array.2020.100048.
Yasar , Burcu. (2022). Securing European Cyberspace: Is the Food and Agriculture Sector Critical?. Securing European Cyberspace: Is the Food and Agriculture Sector Critical? - CITIP blog (kuleuven.be)
The North East Business Resilience Centre (NEBRC). (2022). The new era of “smart agriculture” – a hotspot for cyber crime?. The new era of “smart agriculture” – a hotspot for cyber crime? - North East Business Resilience (nebrcentre.co.uk).