قوانین نقض امنیت سایبری در آمریکا

به گزارش کارگروه امنیت سایبربان؛ چندی پیش کاخ سفید با انتشار منشوری، جزییات آسیب‌پذیری (VPE) که توسط باراک اوباما تعیین‌شده بود را مشخص نمود. منشور نام‌برده به دولت اجازه افشای آسیب‌پذیری‌ها را در صورت لزوم می‌دهد. در این میان قوانین ارائه‌شده، اجازه افشای آسیب‌پذیری‌های موجود را در راستای منافع ملی امکان‌پذیر می‌نماید.

در ادامه کاخ سفید این‌گونه اعلام کرد که بیشترین ریسک در نظر گرفته‌شده برای محدود کردن دانش آسیب‌پذیری بوده و تنها راه برای کشف ورودی‌های قابل‌توجه است که به امنیت و حفظ حریم خصوصی آسیب می‌رسانند. این در حالی است که آسیب‌پذیری‌های شناسایی‌شده در قالب آسیب‌پذیری‌های روز صفرم فعالیت می‌کنند که بااین‌وجود مهاجم می‌تواند با استفاده از آسیب‌پذیری وصله نشده بهره‌برداری مخرب خود را از سامانه یا تجهیزات مدنظر اعمال کند.

دولت‌ها برای دست‌یابی به آسیب‌پذیری‌ها می‌توانند از طریق شناسایی و کشف یا خرید آسیب‌پذیری‌ها از مهاجمان فعالیت خود را پیش ببرند. واشنگتن‌پست در گزارش خود که در سال 2013 منتشر شد اعلام کرد تابه‌حال آژانس امنیت ملی 25 میلیون دلار در رابطه با آسیب‌پذیری روز صفرم هزینه کرده است.

زمانی که یک آسیب‌پذیری روز صفرم شناسایی می‌شود گروهی از کارشناسان که متشکل از نمایندگان 10 سازمان برای نظارت ارائه می‌شود. پس‌ازاین ارائه گروه تصمیم‌های لازم را در رابطه با انتشار یا عدم انتشار آسیب‌پذیری را صادر می‌کند.

این در حالی است که در صورت عدم موافقت یک سازمان با دیگر سازمان‌ها نتیجه را با همکاری دبیرخانه اجرایی VEP در آژانس امنیت ملی منتشر می‌کنند.

طی گزارشی که از کاخ سفید ارائه شد نشان می‌دهد آژانس امنیت ملی پس از تحلیل و بررسی جزییات آسیب‌پذیری نام‌برده آن را ظرف مدت 7 روزبه مرحله انتشار کلی می‌رساند.

بااین‌حال، این منشور می‌گوید که تصمیم دولت برای افشای آسیب‌پذیری‌ها می‌تواند محدودیت‌هایی مانند موافقت‌نامه‌های غیررسمی، یادداشت تفاهم یا توافق‌های دیگر از سوی بخش خصوصی یا شرکای خارجی باشد.

امروزه روزنامه‌نگاران با انتشار و تهیه برنامه VEP مهم‌ترین واقعه را اجازه دسترسی به صلاح‌های دیجیتال می‌دانند که از طریق روش‌های مختلف فعالیت مخرب خود را اجرا می‌کنند.

اگر آسیب‌پذیری در تجهیزات NSA یافت شود، منشور می‌گوید که باید به NSA گزارش شود که مسئولیت آسیب‌پذیری را بر عهده خواهد گرفت.

این منشور همچنین می‌گوید که تصمیم برای حفظ یک آسیب‌پذیری، همیشه دوتایی نیست. دولت تجزیه‌وتحلیل ریسک را انجام می‌دهد و گاهی تصمیم می‌گیرد که از آسیب‌پذیری استفاده کند، يا به دولت‌های متحد ديگر در مورد آسیب‌پذیری بپردازد، يا از «معيارهای غيرمستقيم» برای اطلاع دادن به فروشندگان در مورد آسیب‌پذیری استفاده کند.

WannaCry را به‌عنوان یکی از مهم‌ترین انتشارهایی که تابه‌حال انجام‌شده است می‌توان نام برد که نشان می‌دهد مهاجمان با استفاده از این باج افزار موفق به سرقت اطلاعات 200000 رایانه از 150 کشور شدند.

رئیس کمیته امنیت سایبری کاخ سفید در صحبت‌های خود با رد این موضوع که دولت تمامی آسیب‌پذیری‌ها را در اختیار دارد این‌گونه اعلام کرد که مدیریت و کنترل این ابزار مخرب با فعالیت‌های دولتی در ارتباط نیست.