ارتقای سیستم حفاظتی

۹ماه ابتدای سال 2021، موارد گزارش‌شده در مورد نفوذ به سیستم‌ها، از رقم مربوط به کل سال ۲۰۲۰ عبور کرد. در سال ۲۰۲۰، موارد حملات سایبری رکورد زده بود. در سال 2021، بیش از ۲۸۱‌میلیون نفر تحت تاثیر حملات گوناگون سایبری قرار گرفتند و هزینه این حملات برای شرکت‌ها ۸ /۱ میلیون دلار در هر دقیقه بود. این ارقام نگران‌کننده، به‌روشنی فراگیر بودن تاثیر ریسک‌های سایبری را نشان می‌دهد (ایزاک کوهن، فوربس). کسب‌وکارهای کوچک و متوسط هم باید بدانند که درست به‌اندازه کسب‌وکارهای بزرگ، در معرض حملات سایبری قرار دارند. در یک تحقیق مشخص شد، ۴۳ درصد حملات سایبری به کسب‌وکارهای کوچک انجام می‌شود و ۶۰ درصد این کسب‌وکارها، شش ماه پس از حمله سایبری مجبور می‌شوند به فعالیت خود پایان دهند؛ زیرا قادر نیستند تبعات این حملات را از سر بگذرانند (برندون پیترسون، ونچر برن).

در حوزه امنیت سایبری پنج چالش اصلی قابل تشخیص است: 1- پیچیدگی‌های حفاظت از امنیت سایبری در حال افزایش است.

2- مقررات این حوزه غیر یکپارچه و پیچیده است. 3- اجرای این مقررات در وابستگی به دیگر طرف‌هاست. 4- در حوزه امنیت سایبری کمبود متخصص وجود دارد. 5- ردگیری مجرمان سایبری دشوار است. ارتکاب جرم سایبری، پاداش‌های بزرگ و ریسک‌های محدود دارد. تا همین اواخر احتمال شناسایی و مجازات این مجرمان در آمریکا ۰۵ /۰ درصد بود. در بسیاری از کشورهای دیگر، احتمال یادشده از این مقدار هم کمتر است. حتی هنگامی‌که فعالیت مجرمانه از طریق روش‌هایی نظیر تاکتیک «وب تاریک» (Dark Web) پنهان نمی‌شود، اثبات اینکه اقدامی خاص از سوی یک بازیگر این حوزه انجام شده بسیار دشوار است. جرم سایبری یک مدل تجاری رو به رشد است (آلگیرد پیپیکایت، اجلاس جهانی اقتصاد). 

چین «قانون حفاظت از حریم اطلاعات شخصی» را از یکم نوامبر‌۲۰۲۱ اجرایی کرد. چین، شرکت‌های فناوری بزرگ خود را ملزم کرده تا اطلاعات کاربران را بهتر ذخیره کنند. علاوه بر آن باید دستورالعملی برای تضمین حفاظت از اطلاعات هنگام انتقال آنها به خارج از کشور ایجاد شود. شرکت‌هایی که اطلاعات خصوصی کاربران را در اختیار دارند باید افرادی را به‌عنوان مسوول حفاظت از اطلاعات تعیین کنند. همچنین باید فردی تعیین شود تا به‌طور دوره‌ای تحقیقاتی انجام دهد و همخوانی شرکت‌ها با قوانین را بررسی کند. «قانون امنیت داده» نیز از یکم سپتامبر ۲۰۲۱ اجرا شد. این قانون چارچوبی برای شرکت‌ها تعیین می‌کند تا داده‌ها را بر اساس ارزش اقتصادی و ارتباط آن با امنیت ملی کشور طبقه‌بندی کنند. این دو قانون دو بخش مهم از تلاش دولت چین برای نظارت بر اینترنت در آینده هستند.

مقررات عمومی حفاظت از داده‌ها (General Data Protection Regulation)ی اتحادیه اروپا به هفت حوزه اصلی شفافیت، محدودیت، جمع‌آوری حداقل اطلاعات، دقت، ذخیره‌سازی، یکپارچه‌سازی و مسوولیت‌پذیری اشاره دارند. اجرایی شدن هر یک از این اصول می‌تواند ریسک نشت اطلاعات را تا حد قابل‌توجهی کاهش دهد. ضمانت اجرایی چنین قانونی، جریمه تا چهار درصد از گردش مالی سال قبل شرکت‌هایی است که با هر نوعی از نشت اطلاعات مشتریان خود روبه‌رو می‌شوند و در صورت وقوع رخدادی امنیتی، بیشترین میزان از این جریمه اعمال خواهد شد.

در ایران وضعیت چندان مشخص نیست. در بند هشتم منشور حقوق شهروندی با عنوان «حق دسترسی به فضای مجازی» آمده که حق شهروندان است که از امنیت سایبری و فناوری‌های ارتباطی و اطلاع‌رسانی، حفاظت از داده‌های شخصی و حریم خصوصی برخوردار باشند. پیش‌ازاین هم در قانون تجارت الکترونیکی چندین ماده در مورد حفاظت از داده‌ها و اسرار تجاری آورده شده که فاش شدن داده‌ها و اسرار تجاری را جرم‌انگاری کرده است. به‌صورت کلی هم به موجب قانون مسوولیت مدنی، اگر سهل‌انگاری و اهمال یا عدم رعایت استانداردها به شهروندان خسارتی وارد کند، باید میزان مشخص خسارت پرداخت شود. در دولت دوم جناب روحانی نیز «لایحه صیانت از داده‌های شخصی» توسط سازمان فناوری اطلاعات کشور رونمایی شد که هنوز از وزارت ارتباطات و فناوری جهت بررسی بیشتر به دولت و سپس ارسال به مجلس خارج نشده است. هدف اصلی این لایحه، صیانت از حیثیت و کرامت اشخاص موضوع داده‌هاست که شامل تبیین حقوق اشخاص موضوع داده‌ها، به‌ویژه در تعامل با سایر حق‌های مشروع، ضابطه‌مندی فرآیند پردازش داده‌های شخصی، مسوولیت‌پذیری پردازش، هم‌افزایی امور تنظیمی و نظارتی پردازش و جبران‌پذیری زیان‌ها و آسیب‌های پردازش است.

در سال ۲۰۱۸ متوسط باجی که از سوی هکرها درخواست می‌شد، تنها هفت هزار دلار بود و تنها دو سال بعد، این رقم به بیش از ۲۰۰ هزار دلار افزایش یافت (ایزاک کوهن، فوربس). تهدیدهای امنیت سایبری ریسک‌هایی نیستند که به یک کشور محدود باشند یا مرزهای کشورها مانعی در برابر آنها محسوب شود. همین سبب می‌شود سازمان‌ها مجبور باشند با چند سیستم پیچیده قوانین و مقررات سازگار شوند و گاه محتوای این قوانین تناقض‌هایی دارد. بدون شک مقررات در حوزه حفظ حریم خصوصی و حفاظت از داده‌ها ضروری است؛ اما اگر این مقررات، پیچیده، غیریکپارچه و متناقض باشد، شرکت‌ها در اجرای آنها دچار مشکلات مختلف خواهند شد و هزینه‌های آنها بالا می‌رود. رعایت این مقررات گاه از توان مالی شرکت‌ها خارج است و گاه به همین دلیل، اقدامات حفاظتی ضروری انجام نمی‌شود. در این حالت سازوکارهای دفاعی در برابر حملات تضعیف می‌شود. سیاستمداران باید هنگام تدوین مقررات و تصمیم‌گیری به این موضوع توجه کنند. سیاست‌ها باید طوری تنظیم شود که از پیچیدگی‌های قانونی بکاهد و سیستم‌های حفاظتی را ارتقا دهد. همین امر همکاری بین نهادهای قانونگذار و تصمیم‌گیر را ضروری می‌کند. سازمان‌ها در اکوسیستم‌هایی فعالیت می‌کنند که گسترده‌تر و پرابهام‌تر از حدی است که تصور می‌شود. پیش‌بینی شده در سال 2021 به دلیل تداوم روندهایی نظیر اینترنت اشیا، شبکه نسل پنجم اینترنت و سیستم‌های هوشمند، تعداد ابزارهای متصل به اینترنت در جهان از ۲۷ میلیارد دستگاه عبور خواهد کرد. تعداد زیاد ارائه‌کنندگان فناوری در جهان، نقاط نفوذ متعدد برای مجرمان سایبری در کل زنجیره عرضه دیجیتال پدید می‌آورد. باید به این نکته توجه داشت که قدرت یک اکوسیستم، به‌اندازه ضعیف‌ترین اتصال آن است. نتیجه آنکه امنیت سایبری درست مانند هر مساله استراتژیک با اثرات فراگیر دیگر، باید از طریق همکاری‌های گسترده بین تمامی بازیگران ارتقا پیدا کند؛ به این معنا که مقابله با چالش یادشده صرفاً از عهده یک نهاد یا شرکت برنمی‌آید. به همین دلیل است که در موافقت‌نامه تشکیل بزرگ‌ترین گروه تجارت آزاد جهان، «گروه همکاری‌های اقتصادی جامع منطقه‌ای» (RCEP)، کشورهای عضو متعهد به همکاری و تبادل اطلاعات در مورد ارائه بهترین روش‌های مقابله با حوادث امنیت سایبری و ایجاد ظرفیت مقامات برای پاسخگویی شده‌اند. بنابر استدلال فوق، قانونگذاری ملی صِرف در رابطه با امنیت سایبری و صیانت از داده‌های اشخاص لازم ولی ناکافی است. به همین دلیل است که در آیین‌نامه «حمایت حقوقی از فعالیت پیامرسان‌های داخلی» مصوب رئیس محترم قوه قضائیه مورخ فروردین 1397 اگرچه مدیران پیامرسان‌های اجتماعی مسوول حفاظت از اطلاعات کاربران خود هستند و نمی‌توانند بدون رضایت کاربر یا الزامات قانونی، اطلاعات خصوصی اشخاص را ذخیره، پردازش، افشا یا منتشر کنند یا در دسترس دیگران قرار دهند؛ ولی با به‌کارگیری تمهیدات حفاظتی و امنیتی مناسب «صرفاً» موظف شده‌اند از دسترسی به این اطلاعات ممانعت به عمل‌ آورند و ضمانت اجرای مشخصی برای عواقب افشا یا انتشار اطلاعات خصوصی اشخاص نزد پیامرسان‌های داخلی تبیین نشده است.