مروری بر وضعیت مقررات امنیت سایبری در ایالات متحده آمریکا

به گزارش دانستنی نیوز، امنیت سایبری، چالشی کلیدی برای دولت‌ها، شرکت و کاربران جهان محسوب می‌شود. تعداد و خسارات ناشی از انواع حملات سایبری طی سال‌های اخیر و همگام با رشد فناوری افزایش محسوسی یافته است. بر اساس پیش‌بینی متخصصان، هزینه جهانی حملات سایبری برای ذی‌ربطان این حوزه تا سال ۲۰۲۵ به حدود ۱۰.۵ تریلیون دلار خواهد رسید.

از همین رو، بسیاری از دولت‌های جهان به این نتیجه رسیده‌اند که امنیت سایبری باید یکی از اولویت‌های اساسی و محورهای تمرکز آن‌ها باشد. امروزه بسیاری از کشورهای پیشرو جهان در حوزه توسعه فناوری‌های پیشرفته به وضع قوانین و مقررات شدید برای کنترل بحران‌های امنیت سایبری و کاهش خسارات حملات این حوزه روی آورده‌اند.

کارشناسان عمده‌ترین چالش این حوزه را مسئله فقدان جبهه جهانی واحد مسئول در امر تأمین امنیت سایبری می‌دانند. در چنین شرایطی، بسیاری از نهادهای قضائی سراسر جهان از سوی دولت‌مردان موظف به وضع قوانین این حوزه در مقیاس ملی شده‌اند. همین امر می‌تواند فضایی مساعد برای مجرمان سایبری ایجاد کند تا از شکاف‌های موجود در مقررات بهره ببرند.

گزارش‌های آماری حاکی از آن است که بخش عمده خسارات ناشی از حملات سایبری و نفوذ به زیرساخت‌های دیجیتال، متوجه بخش مالی است. این بخش در برابر حملات و جرایم سایبری بسیار آسیب‌پذیر است؛ زیرا بانک‌ها و مؤسسات مالی، به حجم عظیمی از داده‌های شخصی کاربران دسترسی دارند. به علاوه، بدون اقدامات لازم و اتخاذ سیاست‌های مقتضی، یک تهدید امنیت سایبری می‌تواند باعث هرج و مرج و فروپاشی برای مؤسسات مالی شود.

به همین دلیل است که کارشناسان، وضع مقررات سایبری مؤثر و کارآمد برای این حوزه بسیار مهم و حیاتی می‌دانند.

در این نوشتار به مرور برخی از قوانین حوزه امنیت سایبری در کشور آمریکا می‌پردازیم.

تنظیم‌گری امنیت سایبری در آمریکا

به طور کلی، یک قانون فدرال امنیت سایبری در ایالات متحده آمریکا وجود دارد. این در حالی است که برخی از ایالات این کشور نیز قوانین منطقه‌ای خاص خود را برای تأمین امنیت سایبری تصویب کرده‌اند.

قانون گرام لیچ بلیلی (Gramm-Leach Bliley Act) (1999)

این اقدام اولین اقدام امنیت سایبری برای مؤسسات مالی در ایالات متحده است. بر اساس متن این قانون، بانک‌ها، اتحادیه‌های اعتباری و سایر مؤسسات تحت نظارت باید امنیت داده‌ها را در طول فرایند فعالیت خود، ایجاد، اجرا و حفظ کنند.

این موضوع توسط کمیسیون تجارت فدرال ایالات متحده اجرا می‌شود و در سطح پایه، مؤسسات وادار می‌کند تا مشتریان را در مورد داده‌هایی که جمع‌آوری می‌کنند مطلع ساخته و به آن‌ها اجازه انصراف می‌دهد.

علاوه بر این، تیم‌های مسئول ارزیابی انطباق سازمان‌ها و مؤسسات با این قوانین باید برنامه‌های خود را برای نشان دادن ایمنی داده‌های فیزیکی، اداری و فنی تدوین کنند. در همین راستا، سازمان‌ها و نهادهای تحت نظارت ملزم به رعایت قواعد به شرح زیر هستند:

• آن‌ها باید ماهیت فعالیت‌های خود را اعلام کنند.
• نهادهای تحت نظارت باید دامنه فعالیت خود را شفاف و آشکار کنند.
• خطر بالقوه فعالیت‌های خود را برای مشتریانشان مشخص کنند.

قانون مذکور، یکی از قدیمی‌ترین اقدامات حقوقی در راستای تعیین استاندارهای امنیت سایبری برای فعالیت سازمان‌ها به شمار می‌رود. با این وجود، فضای قانون‌گذاری در این حوزه یکی از بخش‌های بسیار پویا در نظام قضائی ایالات متحده محسوب می‌شود و قانونگذاران این کشور با توجه به اقتضائات این حوزه، همواره در حال به روز رسانی قواعد هستند.

الزامات امنیت سایبری دستگاه‌های متصل به اینترنت

دولت بایدن به تازگی برنامه برچسب‌گذاری امنیت سایبری اینترنت اشیا (IoT) را با هدف محافظت از شهروندان آمریکا در برابر خطرات امنیتی بیشمار مربوط به دستگاه‌های متصل به اینترنت تدوین کرده است. برنامه یاد شده، با نام «U.S. Cyber Trust Mark»، در زمینه خرید دستگاه‌های متصل به اینترنت امن و مقاوم در برابر حملات سایبری به شهروندان آمریکایی کمک می‌کند.

از جمله الزامات این استاندارد اجباری جدید که از سوی مؤسسه ملی استاندارد و فناوری آمریکا (NIST) وضع شده است، می‌توان به برخورداری دستگاه‌ها از رمزهای عبور پیش‌فرض منحصربه‌فرد و قوی، محافظت از داده‌های ذخیره‌شده و انتقال‌یافته، ارائه به‌روزرسانی‌های امنیتی منظم و داشتن قابلیت تشخیص حوادث اشاره کرد.

همکاری نهادهای ناظر متعدد برای نظارت امنیتی بر بخش‌های تخصصی

علاوه بر قوانین موجود در ساختار قضائی فدرال این کشور، سازمان‌های بسیاری نیز در این کشور مسئول رسیدگی به امور مربوط به حفاظت از امنیت سایبری و کاهش موارد نقض داده‌های کاربران هستند.

مقامات ارشد امنیت سایبری ایالات‌متحده، همواره بر مسئله همرسانی اطلاعات در راستای محافظت از شبکه‌های داخلی این کشور در برابر حملات هکری تأکید دارند. بر اساس داده‌های منتشر شده در این مورد، اشتراک اطلاعات میان فرماندهی سایبری (U.S. Cyber Command) و سازمان امنیت سایبری و زیرساخت وزارت امنیت داخلی آمریکا (CISA) در موارد متعدد سبب خنثی‌سازی حملات سایبری مخرب به انتخابات آمریکا شده است.

فرماندهان حوزه سایبری در وزارت دفاع این کشور و سازمان عالی امنیت سایبری غیرنظامی فدرال آمریکا همواره مدعی هستند که رابطه بین این دو سازمان برای دفاع از این کشور در برابر هکرهای خارجی ضروری است.

اریک گلدشتاین، دستیار اجرایی سازمان امنیت سایبری و زیرساخت وزارت امنیت داخلی آمریکا اخیراً طی اظهار نظری در حاشیه اجلاس «RSA2023» در این مورد ادعا کرد که بخش خصوصی همرسانی اطلاعات را چندان مفید نمی‌داند و معتقد است که این امر منجر به ارائه راهنمایی مؤثر در این زمینه نمی‌شود؛ با این حال، علی‌رغم عدم توفیق چندان در تحقق همکاری اطلاعاتی میان بخش دولتی و خصوصی، تبادل اطلاعات بین سازمان امنیت سایبری و زیرساخت ایالات‌متحده و فرماندهی سایبری این کشور ثمربخش بوده است.

انتشار منظم راهبرد امنیت سایبری در مقیاس ملی

تدوین و انتشار سند استراتژی امنیت سایبری، یکی دیگر از ابزار در اختیار سیاست‌مداران آمریکایی در راستای افزایش امنیت سایبری و پیشگیری از بروز حملات این حوزه، محسوب می‌شود. کاخ سفید در تاریخ ۲ مارس سال جاری، اقدام به انتشار تازه‌ترین نسخه استراتژی امنیت سایبری این کشور کرده است. سند مذکور، ارائه طریقی برای افزایش حفاظت بخش‌های مختلف این کشور در برابر تهدیدات روزافزون سایبری محسوب می‌شود.

استراتژی اخیر، بر مقررات سختگیرانه‌تر برای حصول اطمینان از تأمین امنیت سایبری صنایع و بهبود همکاری بین دولت و بخش خصوصی تأکید دارد. در این استراتژی از چین و روسیه به عنوان مهمترین تهدیدات امنیت سایبری برای ایالات‌متحده یاد شده است و به عقیده کارشناسان یکی از اهداف آن مهار توان سایبری روسیه است.

این استراتژی همچنین بر بهبود برخی استانداردها در سیستم‌های رایانه‌ای و الزام شرکت‌های ابری به تأیید هویت مشتریان خارجی خود، تاکید دارد.

محورهای راهبرد امنیت سایبری ۲۰۲۳ آمریکا

چارچوب استراتژی تأمین امنیت سایبری اخیر آمریکا که از سوی دولت بایدن تدوین و منتشر شده است، بر محورهای کلیدی متعددی تمرکز دارد که برخی سرفصل‌های آن به شرح زیر است:

• دفاع از زیرساخت‌های حیاتی کشور آمریکا
• اختلال و اقدام جهت مقابله و نابودسازی تهدیدات خارجی
• جهت‌دهی به بازار در راستای ارتقا شاخص‌های امنیت سایبری
• سرمایه‌گذاری استراتژیک در راستای افزایش تاب‌آوری
• افزایش مشارکت بین‌المللی به منظور دستیابی به اهداف مشترک

قوانین حفظ حریم خصوصی مصرف‌کنندگان کالیفرنیا و قانون حریم خصوصی کلرادو

مسئله حریم خصوصی داده‌ها جنبه‌ای کلیدی حفاظت در امنیت سایبری محسوب می‌شود. در همین راستا، ایالت‌هایی مانند کالیفرنیا و کلرادو با تصویب سیاست‌های حفاظت از داده‌های مختص به خود برای کسب‌وکارها در حوزه‌های قضائی خود، امور مربوط به الزامات حفاظت از داده‌ها را به دست گرفته‌اند.

این سیاست‌ها به واسطه مشابهت فراوان بسیاری از موارد نقض داده و مخاطرات امنیت سایبری، تا حدودی مشابه هستند و بر روی اقدامات و الزاماتی که کنترل کننده ها و پردازشگرهای داده می‌توانند انجام دهند، تمرکز دارند تا مشتریان را ایمن نگه دارند. هدف اصلی این مقررات این است که به مشتریان حق انصراف از جمع آوری داده‌ها و جلوگیری از انتقال اطلاعاتشان به اشخاص ثالث داده شود.

سخن پایانی

وجود یک نظام حقوقی پویا در مواجهه با تهدیدات امنیت سایبری در حال پیشرفت موجود در جهان دیجیتال، مبین آگاهی رهبران این کشور از ماهیت تهدید و لزوم اتخاذ تدابیر مقابله با چالش‌ها به صورت کارآمد، تطبیق‌پذیر و سریع است.

بی شک متخصصان و قانون‌گذاران این کشور در تلاش هستند که در طوفان تحولات روزانه این حوزه، از سیر پیچیدگی تهدیدات و حملات عقب نمانند. راهبردهای امنیت سایبری متعدد در طول سال‌های اخیر و حجم بالای قوانین امنیت سایبری این کشور نیز مؤید همین مدعا است. با این وجود، در جهان امروز حتی نخستین کشور توسعه دهنده اینترنت و نظام قانون‌گذاری آن نیز تاب مقاومت حداکثری در برابر تهدیدات روزافزون سایبری را ندارد و کاربران و شرکت‌های مستقر در آن، سالانه با حجم بالایی از حملات سایبری مواجه می‌شوند.