دولت بایدن روز دوم مارس از راهبرد جدید امنیت سایبری ملی آمریکا رونمایی کرد. این راهبرد به دنبال این است که بخش اعظم مسئولیت امنیت سایبری و مقابله با حملات هکری را بر عهده فعالان حوزه صنعت و تکنولوژی قرار دهد. درعینحال، افبیآی و وزارت دفاع در حال گسترش اقدامات و تلاشهای خود برای مبارزه با هکرها و گروههای باجافزاری در سرتاسر جهان هستند.
طی سالهای متمادی دولت شرکتها را تحت فشار قرار میداد تا به صورت داوطلبانه نفوذ در سیستمهای خود را گزارش و بهطور منظم برنامههای خود را اصلاح کنند تا نقاط آسیبپذیریِ جدید را ترمیم کنند. درست مانند آیفونها که هر چند هفته یک بار بهروزرسانی خودکار انجام میدهند.
اما راهبرد جدید امنیت ملی سایبری به این نتیجه رسیده است که با اینکه چنین تلاشهایی دارای حُسن نیت بوده و حتی میتوان گفت مفید هستند، اما کافی نخواهند بود؛ آن هم در دنیایی که هکرهای پیشرفته – که اغلب توسط روسیه، چین، ایران یا کره شمالی حمایت میشوند – پیوسته در تلاشند که به شبکههای مهم دولتی و خصوصی نفوذ کنند. اما طبق این راهبرد، شرکتها باید ملزم به رعایت حداقل استانداردها در حوزه امنیت سایبری باشند.
با اینکه این راهبرد یک سند خطمشیی بهشمار میرود و نه یک فرمان اجرایی، اما نشاندهنده تغییر قابل توجهی در نگرش نسبت به «همکاریهای بخشهای دولتی و خصوصی» است که دولت سالها مشغول صحبت درباره آن بوده است. در حالی که برخی از جنبههای این راهبرد جدید پیش ازین نیز وجود داشته است، اما برخی از جنبههای دیگر آن به تغییرات قانونی نیاز دارند - این مسأله به طور بالقوه یک چالش بزرگ در کنگره تحت سلطه جمهوریخواهان محسوب میشود و دولت فدرال توانایی تحمیل الزامات امنیت سایبری بر تأسیسات دولتی مانند بیمارستانها را ندارد؛ تأسیساتی که پیشتر هدف حمله هکرها قرار گرفتهاند.
آن نوبرگر
[1]، معاون مشاور امنیت ملی در امور سایبری و فناوریهای نوظهور، در نشستی در مرکز مطالعات راهبردی و بین المللی اظهار کرد که «ایده اساسی این راهبرد این است که رویکرد داوطلبانه برای ایمنسازیِ» زیرساختها و شبکههای حیاتی «ناکافی است».
از زمان جورج دبلیو بوش – یعنی از بیست سال پیش تا کنون – همه دولتها در دوره صدارتِ خود راهبرد امنیت سایبریِ مختصِ خود را منتشر کردهاند. اما نسخه دولت بایدن از چندین جهت با نسخههای قبلی متفاوت است. در این راهبردها از طرفی صنایع خصوصی، که اکثریت قریب به اتفاق زیرساختهای دیجیتال کشور را کنترل میکند، ملزم به انجام دستورات بیشتری شدهاند. و از طرف دیگر، دولت نقش خود را برای انجام اقدامات تهاجمی جهت جلوگیری از حملات سایبری گسترش داده است. حملاتی که بیشتر از خارج از کشور در حال انجام است.
راهبرد دولت بایدن پیشبینیِ «تغییرات اساسی در پویایی زیربنایی اکوسیستم دیجیتال» را دارد. اگر قوانین و مقررات جدید تصویب شود، شرکتها مجبور خواهند شد که حداقل اقدامات امنیت سایبری را برای زیرساختهای حیاتی خود به اجرا درآورند – این قانون احتمالاً مسئولیتی را متوجه شرکتهایی خواهد کرد که از امنیت شبکه کدهای خود کوتاهی میکنند. دقیقاً مانند خودروسازان و تامینکنندگان آنها که در صورت بروز اشکال در کیسه هوا یا سیستم ترمزها در خودرو، مسئول شناخته خواهند شد.
کمبا والدن
[2]، سرپرست دفتر فرماندهی سایبری ملی، میگوید: «این راهبرد صرفاً قرارداد اجتماعی سایبری آمریکا را یک بار دیگر ترسیم میکند.» خانم والدن که ماه گذشته پس از استعفای کریس اینگلیس
[3] - که اولین فرمانده سایبری ملیِ آمریکا و معاون سابق آژانس امنیت ملی بود – مسئولیت خود را بر عهده گرفته بود، اینچنین ادامه داد که «ما انتظارات بیشتری از مالکان و اپراتورهای زیرساختهای حیاتی خود داریم».
او افزود که دولت همچنین مسئولیت بیشتری برای تقویت دفاع و مبارزه با گروههای هکری بزرگ به عهده دارد. [برای مثال] مقابله با هکرهایی که سوابق بیماران را معدوم کرده یا عملیات بستهبندیهای گوشت در سراسر کشور را با مشکل روبرو کردهاند. این راهبرد در کنار عملیات دولتی در بالتیمور، آتلانتا و شهرهای کوچک در سراسر تگزاس خواهد بود.
خانم والدن گفت: «ما موظف به انجام این کار هستیم، زیرا اینترنت در حال حاضر یک امر مشترک در جهان به شمار میرود. بنابراین ما از شرکای خود در بخشهای خصوصی، سهامی عام و صنایع انتظار بیشتری داریم، اما همچنین انتظارت ما از خودمان نیز بیشتر شده است.»
در کنار راهبردهای امنیت سایبری وضع شده در زمان تصدی ریاست جمهوری سه دوره گذشته، سند جدید نشان میدهد که چگونه حمله و دفاع در این حوزه بیش از پیش به محور سیاست امنیت ملی تبدیل شدهاند.
دولت بوش هرگز به صورت علنی سخنی از تواناییهای حمله سایبری آمریکا به میان نیاورد، حتی زمانی که پیچیدهترین حمله سایبری را که تا به حال توسط یک کشور به کشور دیگر به انجام رسیده بود انجام داد: تلاشی پنهانی با استفاده از کدگشایی جهت خرابکاری در تأسیسات سوخت هستهای ایران. دولت اوباما تمایلی به نام بردن از روسیه و چین به عنوان پشتیبان حملات بزرگ هکرها به دولت ایالات متحده نداشت.
دولت ترامپ طرحهای تهاجمی آمریکا را علیه هکرها و بازیگران تحت حمایت دولت در خارج از کشور تقویت کرد. همچنین هشدار داد که هواوی، غول مخابراتی چین که دولت ترامپ آن را بازوی چین میخواند، شبکههای پرسرعت
5G را در ایالات متحده و در میان متحدان با اهداف جاسوسی و خرابکاری راهاندازی کرده است. دولت ترامپ بیم داشت که نصب و کنترل این شبکهها توسط هواوی میتواند نظارت چینیها را افزایش دهد و به پکن این توانایی را میداد که سیستمها را در زمان درگیری خاموش کند.
اما دولت ترامپ در الزام شرکتهای آمریکایی به ایجاد حداقل ایمنی از زیرساختهای حیاتی خود فعالیت کمی داشت. این شرکتها در صورت سوء استفاده از نقاط ضعفی که نادیده گرفتهاند، در معرض آسیب بودند و دولت ترمپ به این فکر نبود که آنها را در برابر این خطرات ایمن نگه دارد.
وضع اَشکال جدید مسئولیت مستلزم تغییرات قانونی عمده خواهد بود، و برخی از مقامات کاخ سفید اذعان داشتند که اگر بایدن بخواهد چنین مقررات جدید گستردهای را در مورد قانون شرکتها تصویب کند، ممکن است با مخالفت غیرقابل حل جمهوری خواهان کنگره مواجه شود.
گلن اس. گرستل
[4]، مشاور سابق آژانس امنیت ملی گفت: اقدام دولت بایدن برای ایجاد مسئولیت برای شرکتها در قبال عدم برآورده کردن نیازهای اساسی امنیتی «پیامدهای طولانی مدتی در پی خواهد داشت.»
او با اشاره به ماجرای معروف نقص فنی خودروهایی که منجر به فراخوانی بزرگ در سال ۱۹۸۷ شد، افزود: «در دنیای سایبری، ما در نهایت میگوییم که فورد مسئول آتش سوزی خودروی پینتوس است، زیرا آنها بودجهای را خرج ایمنی این خودرو نکردهاند».
بسیاری از عناصرِ راهبرد جدید در حال حاضر نیز وجود دارد. از برخی جهات، دولت بایدن پس از نخستین سال تلاش خود گامهایی را برداشته است. درهمین سال سیستمهای مورد استفاده صنایع خصوصی و ارتش دچار یک هک عمده شد.
پس از اینکه یک گروه باج افزار روسی فعالیت خط لوله کولونیال را که بخش عمدهای از بنزین و سوخت جت را در امتداد ساحل شرقی اداره میکند متوقف کرد، دولت بایدن از اختیارات قانونی تحت نظارت اداره امنیت حمل و نقل برای تنظیم شبکه گسترده انرژی خطوط لوله کشور استفاده کرد. اکنون صاحبان خطوط لوله و اپراتورها موظفند استانداردهای گستردهای را که عمدتاً توسط دولت فدرال تعیین شده است، رعایت کنند و در اواخر این هفته، انتظار میرود آژانس حفاظت از محیط زیست نیز همین کار را برای خطوط لوله انتقال آب انجام دهد.
به هیچ عنوان اختیارات فدرال مشابهی برای الزام حداقل استانداردهای امنیت سایبری در بیمارستانها که عمدتاً توسط ایالتها تنظیم میشود وجود ندارد. مراکز بهداشتی یکی دیگر از اهداف حملات از ورمونت تا فلوریدا بوده است.
خانم نوبرگر در مصاحبهای در روز چهارشنبه گفت: «ما باید بسیاری از این کارها را سالها پیش انجام میدادیم، پس از اینکه حملات سایبری برای اولین بار جهت مختل کردن برق هزاران نفر در اوکراین مورد استفاده قرار گرفت.» منظور وی مجموعهای از حملات به شبکه برق اوکراین بود که هفت سال پیش آغاز شد. او در ادامه افزود که «ما به معنای واقعی کلمه در حال ایجاد یک رویکرد بخش به بخش هستیم که زیرساختهای حیاتی را تحت پوشش قرار دهد.»
خانم نوبرگر از اوکراین به عنوان نمونهای از راهبرد دفاع سایبری پیشگیرانه یاد کرد: در هفتههای پس از تهاجم روسیه، اوکراین قوانین خود را تغییر داد تا به وزارتخانهها اجازه دهد پایگاههای داده خود و بسیاری از عملیات دولتی را به فضای ابری منتقل کنند و از سرورهای رایانهای و مراکز داده در اطراف کیف و شهرهای دیگری که بعدها هدف توپخانه روسیه قرار گرفتند پشتیبان تهیه کنند. در عرض چند هفته، بسیاری از آن زمینهای مملو از سرور ویران شدند، اما دولت همچنان به کار خود ادامه داد و با استفاده از سیستمهای ماهوارهای مانند استارلینک که پس از شروع جنگ نیز وارد شد، با سرورهای خارج از کشور ارتباط برقرار کرد.
راهبرد آمریکا در حال تطبیق با برنامه تهاجمی خود است که رویکردی فعالانه و رو به جلو اتخاذ کرده است. دو سال پیش، افبیآی استفاده از حکم جستجو برای یافتن و از بین بردن اجزاء کد مخرب یافت شده در شبکههای شرکتی را آغاز کرد. اخیراً، این سازمان موفق به هک و نفوذ به شبکههای یک گروه باجافزار شد، «کلیدهای رمزگشایی» را که قفل اسناد و سیستمهای متعلق به قربانیان این گروه را باز میکرد، حذف کرد و تلاشها برای یک اخاذی بزرگ از طریق باجافزار را خنثی کرد.
افبیآی میتواند در شبکههای داخلی نیز فعالیت کند. اما این بر عهده فرماندهی سایبری ایالات متحده است که به دنبال گروههای هکر روسی باشد. گروههایی مانند کیلنت
[5]، یک گروه طرفدار مسکو، که مسئول برخی حملات محرومسازی از سرویس
[6] در اوکراین است. این حملات از همان روزهای آغازین جنگ در اوکراین آغاز شده است. فرماندهی سایبری همچنین سرعت عملیات آژانسهای اطلاعاتی روسیه را در حول و حوش انتخابات ۲۰۱۸ و ۲۰۲۰ آمریکا کاهش داد.
اما هیچ کدام از اینها راهحل
های دائمی نیستند. برخی از گروههایی که ایالات متحده هدف قرار داده است، تحت اسمهای متفاوت، تغییرات تازهای در خود ایجاد کردهاند.
تنها دیدار مستقیم بایدن – به عنوان رئیس جمهور – با ولادیمیر پوتین به سال ۲۰۲۱ برمیگردد که تا حد زیادی در نتیجه نگرانیهای مربوط به تأثیرگذاری افزایش حملات باجافزاری بر زندگی مصرفکنندگان، بیماران بیمارستانی و کارگران کارخانه برگزار شد. بایدن در آن دیدار – که در ژنو انجام شد - به پوتین هشدار داد که دولت او مسئول حملاتی است که مبدأ آنها خاک روسیه باشد.
پس از این دیدار، برای چند ماه آرامش برقرار بود و مقامات روسی در مسکو به یک گروه هکر برجسته حمله کردند. اما این همکاری با آغاز جنگ در اوکراین پایان یافت.
جین ایسترلی
[7]، مدیر سازمان امنیت سایبری و امنیت زیرساخت (سیسا)
[8]، در سخنرانی این هفته خود در دانشگاه کارنگی ملون، تلاشهای دولت را این چنین توصیف کرد: «انتقال مسئولیت به نهادهایی که به وظایف مراقبتی که در قبال مشتریان خود دارند، عمل نمیکنند.»
خانم ایسترلی ادامه داد: «مصرفکنندگان و کسبوکارها به طور یکسان انتظار دارند که محصولات خریداریشده از یک ارائهدهنده معتبر، همانطور که باید عمل کند و ریسکهای غیرمنتظرهای ایجاد نکند». او اضافه کرد که دولت باید «قوانینی را تنظیم کند تا مانع از سلب مسئولیت تولیدکنندگان فناوری از طریق قرارداد شود»، یک رویه رایج که تعداد کمی از خریداران نرمافزار هنگام عقد قرارداد متوجه آن میشوند.
دیوید سانیِر
مترجم: مهدی سنگدوینی
گروه مطالعات فرهنگی و اجتماعی پژوهشگاه فضای مجازی
[8] Cybersecurity and Infrastructure Security Agency (CISA)
نظر کاربران
