تلاش اتحادیه اروپا برای کاهش جرایم سایبری و افزایش انعطافپذیری
به گزارش کارگروه بینالملل سایبربان؛ طبق اعلام کمیسیون اروپا، هر روز در سرتاسر اروپا، بیش از 4 هزار حمله باج افزاری انجام میشود و 80 درصد از شرکتهای اروپایی، حداقل یک حادثه امنیت سایبری را از سر گذراندهاند. این نفوذها چه هزینهای داشته است؟ ارزیابیها، رقمی معادل سالانه 265 میلیارد یورو (318 میلیارد دلار) را برآورد میکند.
اظهارات معاون کمیسیون اروپا، اندروس آنسیپ (Andrus Ansip) که سهشنبه گذشته، بسته تازهای از ابتکارات را معرفی کرد، مسئله را مهمتر از آنچه تصور میشد، به تصویر کشید. او به کنایه گفت:
«دو نوع شرکت وجود دارد. شرکتهایی که مورد حمله سایبری قرار گرفتند و شرکتهایی که هنوز خبر ندارند که به آنها حمله سایبری شده است.»
آنسیپ، به همراه همکار امنیتی عالیرتبه خود، جولیان کینگ (Julian King) و مسئول امور دیجیتال، ماریا گابریل (Mariya Gabriel)، جزئیات برنامه ارتقای سازمان امنیت سایبری و تشویق شرکتها به ارتقای تدابیر دفاعی خود و حتی تصدیق آن را بیان کرد. این برنامه با هدف بهبود تواناییهای شهروندان و شرکتهای اتحادیه اروپا برای مقابله با سوءاستفاده اینترنتی اجرایی میشود.
کینگ خاطرنشان ساخت که اتحادیه اروپا از سال 2013، یک راهبرد امنیت سایبری داشته است اما افزایش حملات – به ویژه حملاتی از جنس باج افزارهایی مشابه واناکرای – نشان میدهد که انعطافپذیری، بازدارندگی و سیاستهای دفاعی اتحادیه اروپا در سطح مطلوب و رضایتبخشی قرار ندارد.
پیرت پرنیک (Piret Pernik)، پژوهشگر امنیت سایبری در مرکز بینالمللی دفاع و امنیت تالین در مصاحبهای اظهار داشت:
«دیر رسیدن، بهتر از هرگز نرسیدن است.»
او از پیشنهاد کمیسیون برای تبدیل کردن سازمان امنیت اطلاعات و شبکه اروپا که مأموریتش در سال 2020 به پایان میرسد، به سازمانی دائمی استقبال کرد. بودجه سالانه این سازمان دو برابر شده و به 23 میلیون یورو خواهد رسید و تعداد کارکنان آن از 84 نفر به 125 نفر میرسد.
امنیت همرسانی
پرنیک اظهار داشت:
«به گمان من، راهاندازی مراکز همرسانی و تحلیل داده در بخشهای حیاتی، سازماندهی رزمایشهای سالانه و پشتیبانی از اجرای سایر دستورالعملهای امنیت اطلاعات، در کنار موارد دیگر، گامهایی است که در مسیر درستی برداشته میشود.»
با وجود این، درخواست کمیسیون برای تسریع همرسانی اطلاعات ممکن است ثمری در بر نداشته باشد چراکه دولتها و شرکتها همیشه در انجام این کار اکراه دارند و پرنیک عقیده دارد که هیچ راهی برای اصلاح این تفکر وجود ندارد:
«من فکر میکنم که باید از صحبت کردن درباره لزوم همرسانی اطلاعات دست برداریم و با تعیین روشها و شرایطی برای تبادل اطلاعات، مشخص کنیم که از این اطلاعات، چگونه برای پیشگیری از وقوع حوادث سایبری و واکنش بهموقع، استفاده کنیم.»
بازخوردهای متفاوت طرح صدور گواهینامه امنیت سایبری
بخش دیگری از طرح پیشنهادی، با هدف پیشگیری، شامل ایجاد چارچوبی برای صدور گواهینامه امنیت سایبری میشود. چارچوب مذکور قرار است استانداردهای فنی را در سرتاسر اروپا مقرر نماید و مقامات ملی هر کشور مشخص خواهند ساخت که کدام شرکت این استانداردها را رعایت کرده است.
پرنیک، اراده مسئولان برای اعمال این طرح در وسایل مصرفی و همچنین زیرساختهای حیاتی مرتبط با بخشهای مالی، انرژی و حملونقل، و نیز توانمندیهای دفاعی، - جایی که به گمان او برنامه صدور گواهینامه باید الزامی باشد، نه آن طور که پیشبینی شده، داوطلبانه - را ستود.
اتحادیه نرمافزارهای تجاری (BSA)، دیدگاهی متفاوت و البته مقدماتی دارد:
«ما گمان میکنیم که یک چارچوب صدور گواهینامه، اگر بر اساس استانداردهای جهانی شکل گرفته باشد و بهکارگیری آنها داوطلبانه، مبتنی بر رضایت و تحت هدایت صنعت باشد، کارایی نخواهد داشت.»
مدیر سیاست اتحادیه، توماس بوئه (Thomas Boue) در مصاحبهای توصیه کرده است که طرحهای پیشبینی شده برای صدور گواهینامه، «بهتر است با بهکارگیری مشوقهای مبتنی بر بازار به مرحله اجرا درآید، نه از طریق قانونگذاری، شکلدهی بازارهای بیمه یا مسئولیت قانونی. چنین رویکردی، تبعات ناخواستهای در پی خواهد داشت؛ از جمله، مانعی بر سر راه استانداردهای منعطف و نتیجه-محور خواهد بود.»
گروه فوق که طیف گستردهای از غولهای صنعتی از قبیل اپل، آیبیام، مایکروسافت و زیمنس را نمایندگی میکند، هشدار داده است که اگر اروپا صرفاً به سراغ استانداردهای منطقهای برود، «نمیتواند کمبودها و آسیبپذیریهای رویکرد نامنسجم نسبت به تهدیدات سایبری را به طرز مؤثری حلوفصل نماید.»
شناخت تهدید و واکنش، نیازمند هماهنگی
هفته گذشته، وزرای دفاع اتحادیه اروپا، در نخستین جلسه خود برای بحث و گفتگو درباره شبیهسازی حمله هکرها به مأموران نیروی دریایی این اتحادیه مستقر در دریای مدیترانه، آسیبپذیریهای اشاره شده را مورد آزمون قرار دادند. یکی از پرسشهای مقدماتی اما پیچیدهای که برای وزرای دفاع مطرح شد این بود که با موقعیت فرضی چه برخوردی باید کرد: باید آن را یک حمله دانست یا یک حادثه یا یک تهدید؟
پرنیک میگوید که پاسخهای متفاوت به چنین پرسشهایی، واکنش احتمالی اتحادیه اروپا را - که در حال حاضر واکنش پرزحمتی هم محسوب میشود- دشوارتر میسازد:
«ممکن یک حادثه امنیت سایبری، در یک کشور عضو، به عنوان نوعی اعمال زور تلقی شود که واکنش جمعی یا حتی اقدامات جنبشی را در پی داشته باشد و در کشوری دیگر، حادثهای معمولی در نظر گرفته شود.»
او اظهار امیدواری کرده است که راهبرد جدید اتحادیه اروپا این مورد را اصلاح کند.
توماس بوئه، مدیر سیاست اتحادیه نرم افزارهای تجاری درباره این درخواست میگوید:
«اروپا باید با هماهنگسازی و تسهیل رویکرد خود، نه تنها در اتحادیه اروپا، بلکه مهمتر از آن، در سطحی جهانی، جبههای یکپارچه از خود به نمایش بگذارد. بدون همکاری و همرسانی اطلاعات درباره تهدیدات و نحوه کاهش آنها، اروپا به انعطافپذیری سایبری مد نظر خود دست نخواهد یافت.»
راج سامانی (Raj Samani)، دانشمند ارشد و همکار موسسه امنیت سایبری مکآفی گفته است که هماکنون الگویی برای همکاری مناسب دولتی- خصوصی با مرکز جرایم سایبری یوروپل (EC3) وجود دارد که در سال 2013 برای مقابله و مجازات جرایم برخط، وضع گردیده است. وی افزوده است:
«چنین اقداماتی نشان میدهد که اقدامات مشارکت آمیز بین بخشهای دولتی و خصوصی، چگونه میتواند با برقراری رابطه با کارشناسان در سرتاسر دنیا، به حلوفصل حملات سایبری جهانی بپردازد. هر تدبیری که نویدبخش امنیت بهتر باشد، باید مورد تشویق قرار گیرد و پیشبینی ابتکاراتی برای پشتیبانی از همکاریها، اهمیت حیاتی در توسعه جامعهای امن دارد.»
