استقبال محدود غولهای اقتصادی بریتانیا از طرح داوطلبانه امنیت سایبری دولت
به گزارش کارگروه بین الملل خبرگزاری سایبربان، این در حالی است که هشت ماه پیش، وزیران دولت بهصورت مستقیم برای رئیس هیئتمدیره و مدیرعامل تمامی این شرکتها نامه ارسال کرده و از آنها خواسته بودند به این طرح بپیوندند.
قرار بود رونمایی از این طرح پس از انتشار برنامه ملی اقدام سایبری بریتانیا انجام شود، اما انتشار این برنامه به دلیل استعفای نخستوزیر کییر استارمر به تعویق افتاد.
در مجموع، ۷۰ سازمان بهعنوان امضاکنندگان اولیه این تعهد معرفی شدند.
با این حال، ۲۰ مورد از آنها تأمینکنندگان راهبردی دولت بودند که پیشتر نیز بر اساس منشور سایبری دولت (Government Cyber Charter) ملزم به رعایت الزامات امنیت سایبری در ارائه خدمات حیاتی به دولت بودند.
بنابراین، در عمل تنها ۵۰ سازمان از بخشهای مختلف اقتصاد بهصورت کاملاً داوطلبانه به این ابتکار پیوستهاند.
در میان شرکتهای بزرگی که این تعهد را امضا کردهاند، نام شرکتهای آویوا (Aviva)، گروه لندن استاک اکسچنج (London Stock Exchange Group) و مارکس اند اسپنسر (Marks & Spencer) دیده میشود.
شرکت مارکس اند اسپنسر سال گذشته در پی یک حمله سایبری صدها میلیون پوند خسارت متحمل شد.
همچنین چند شرکت کوچک فعال در حوزه امنیت سایبری نیز به این طرح پیوستهاند که اهداف این تعهد با خدمات تجاری آنها همخوانی دارد.
بر اساس این تعهد، شرکتهای عضو باید سه اقدام اصلی را انجام دهند:
• امنیت سایبری را به یکی از مسئولیتهای اصلی هیئتمدیره تبدیل کنند.
• در سرویس رایگان هشدار زودهنگام (Early Warning) متعلق به مرکز ملی امنیت سایبری بریتانیا (NCSC) ثبتنام کنند تا هشدارهای تهدیدات سایبری را دریافت کنند.
• از رویکردی مبتنی بر مدیریت ریسک برای الزام تأمینکنندگان خود به دریافت گواهی الزامات سایبری (Cyber Essentials) استفاده کنند.
با این حال، اجرای این تعهدات کاملاً داوطلبانه است و هیچ سازوکار قانونی برای الزام شرکتها به رعایت آنها وجود ندارد.
این طرح در شرایطی معرفی شده که دولت بریتانیا به دلیل تکیه بر اقدامات داوطلبانه در حوزه امنیت سایبری تحت فشار قرار دارد.
پیشتر نیز مرکز ملی امنیت سایبری (NCSC) از بیتوجهی بسیاری از سازمانها به توصیهها و دستورالعملهای امنیتی خود انتقاد کرده بود.
دولت اعلام کرده است با توجه به تغییر مداوم فضای تهدیدات سایبری، طی یک دوره ۱۲ ماهه میزان موفقیت این طرح را ارزیابی خواهد کرد و در صورت نیاز، ممکن است مفاد آن را اصلاح یا تقویت کند.
جیمی مککال، پژوهشگر ارشد مؤسسه خدمات رویال یونایتد (Royal United Services Institute (RUSI))، تعداد اندک شرکتهای امضاکننده را ناامیدکننده توصیف کرد.
او گفت بسیاری از شرکتهای بزرگ FTSE 350 هماکنون استانداردهای امنیتی پیشرفتهتری نسبت به الزامات سایبری دارند و احتمالاً نیازی به پیوستن به این طرح احساس نمیکنند.
بر اساس برآورد دولت، هزینه متوسط یک حمله سایبری بزرگ برای هر کسبوکار بریتانیایی به حدود ۱۹۵ هزار پوند (حدود ۲۶۰ هزار دلار) رسیده و مجموع خسارت سالانه این حملات به سازمانهای کشور حدود ۱۴.۷ میلیارد پوند (۱۹.۷ میلیارد دلار) برآورد میشود؛ رقمی که آثار گستردهتر اقتصادی را نیز در بر نمیگیرد.
به اعتقاد مککال، این طرح ممکن است مقدمهای برای وضع مقررات اجباری باشد.
او گفت دولت معمولاً ابتدا از مشاوره، پژوهش و تعهدات داوطلبانه استفاده میکند و اگر استقبال کافی صورت نگیرد، در نهایت به سمت قانونگذاری و اعمال الزامات قانونی حرکت خواهد کرد.
به گفته وی، استقبال ضعیف شرکتها میتواند بهانه لازم را برای دولت فراهم کند تا در آینده مقررات سختگیرانهتری در حوزه امنیت سایبری وضع کند.