پرسش و پاسخ هایی درمورد لایحه CISA

در جولای 2014 کمیته اطلاعات سنا به تصویب کلیات قانون جدید به اشتراک گذاری اطلاعات امنیت سایبری موسوم بهCISA  رای داد. در صورت تصویب نهایی این قانون، قدرت جمع آوری اطلاعات در سازمان های امنیتی و اطلاعاتی ایالات متحده به شکل چشم گیری افزایش خواهد یافت. برای شناخت بیشتر این لایحه ی جنجال برانگیز پرسش و پاسخ هایی تقدیم می گردد.

-قانون CISA چیست؟
به اشتراک گذاری اطلاعات امنیت سایبری (CISA (CyberSecurity Information Sharing Act، قانون جدیدی است که در حال حاضر مراحل تصویب را در سنای آمریکا می گذارند.  CISAراه را برای دسترسی نامحدود دولت به اطلاعات بخش خصوصی باز می کند. در این قانون هر نوع اطلاعاتی، "اطلاعات امنیت سایبری" نامیده می شود، در نتیجه بخش خصوصی ملزم خواهد بود حجم بسیار بزرگی از اطلاعات را بدون نیاز به هرگونه مجوز قانونی، به وزارت امنیت داخلی آمریکا منتقل کند. همین که شرکت ها اطلاعات را به این وزارتخانه ارائه کنند، سازمان امنیت ملی آمریکا NSA، فرماندهی سایبری آمریکا، و بخش های دیگر وزارت دفاع این کشور، به صورت خودکار و در لحظه به آن اطلاعات دسترسی خواهند داشت. در صورت تصویب نهایی این قانون، سازمان های دولتی مجوز ذخیره سازی این اطلاعات را تا هر زمان که لازم بدانند خواهند داشت. این تغییرات گسترده در قوانین، قدرت دخالت دستگاه های نظامی و احتمال ورود نظامیان به سیستم های الکترونیکی غیرنظامی را به شدت افزایش می دهد.

-در بهار 2013، زمانی که نسخه قبلی این لایحه موسوم به CISPA در اختیار کاخ سفید قرار گرفت، اوباما اعلام کرد هر لایحه ای مثل آنرا وتو خواهد کرد. تفاوفت CISPA و CISA در چیست؟
سال گذشته (CISPA (CyberSecurity Information Sharing and Protection Act به دلیل نقض حریم خصوصی افراد و آزادی های مدنی شهروندان آمریکایی مورد انتقاد شدید کارشناسان قرار گرفت. و حالا اکثر کارشناسانی که قصد دارند درمورد CISA روشنگری کنند تیترهایی شبیه به "CISPA بازگشته است!" را برای مقالات خود انتخاب می کنند. زیرا فقط عبارت محافظت از عنوان آن حذف شده است و در اصل موضوع هیچ تغییری رخ نداده، البته لایحه جدید توسط همان سناتور به سنا ارائه نشده است و نمایندگان دیگری آنرا به سنا ارائه داده اند.

-چه کسانی این لایحه جدید را به سنا برده اند؟
لایحه CISPA را مایک راجرز، نماینده میشیگان و تحلیلگر مسائل سایبری به سنا ارائه کرد ولی ارائه کنندگان لایحه جدید نمایندگان دیگری هستند؛ داین فاینشتاین، سناتور یهودی ایالت کالیفرنیا که دموکرات است و سَکسبی چمبلیس، سناتور آنجلیک ایالت جورجیا که نماینده جمهوری خواهان است. بنابراین مخالفان این لایحه برای تصویب نشدن آن نمی توانند روی اختلاف سلیقه دموکرات ها و جمهوری خواهان حساب کنند.

-آیا در صورت تصویب نهایی، امنیت سایبری در آمریکا تامین خواهد شد؟
کارشناسان معتقدند به این لایحه اشکالات مهمی وارد است و به طور کلی، این لایحه نمی تواند برای مقابله با تهدیدات سایبری "یک راه حل جامع" ارائه نماید چون تنها هدف آن دسترسی به اطلاعات است.

-در صورت تصویب این قانون چه مشکلاتی برای شهروندان آمریکایی بوجود خواهد آمد؟
در این قانون مفهوم "اطلاعات امنیت سایبری" آنقدر وسیع تعریف شده است که براساس آن دولت براحتی می تواند تمامی اطلاعات شخصی هر شهروند بی گناهی را جمع آوری کند. همچنین CISA به ادارات پلیس محلی هم قدرت اعمال نظارت های جدیدی را می دهد. پس از تصویب CISA مسئولان محلی و ایالتی می توانند از اطلاعات به دست آمده استفاده کنند، آنها را ذخیره کنند و به اشتراک بگذارند تا به تحقیقات در مورد جرائم مختلف کمک نمایند؛ حتی جرائمی کاملا بی ارتباط با امنیت سایبر.
مشکل دیگری که CISA برای شهروندان آمریکایی بوجود می آورد اینست که، این قانون راه را برای شرکت ها و سازمان های امنیتی باز می گذارد تا بتوانند کارهای خرابکارانه ای روی رایانه های مشتریان خود انجام دهند، کارهای خرابکارانه ای مثل بارگذاری نرم افزارهای جاسوسی و دیگر بدافزارها روی رایانه مشتریان.

-اگر مشتریان از این شرکت ها و سازمان ها به دلیل نقض حقوق شهروندی و یا حریم خصوصی خود به دادگاه شکایت کنند، چه خواهد شد؟
هیچ دادگاهی به شکایت مشتریان آسیب دیده از چنین اقداماتی رسیدگی نخواهد کرد زیرا در CISA پیش بینی هایی شده است تا از این شرکت ها و سازمانها در مقابل شکایات احتمالی حمایت شود. 

-آیا قانون اساسی ایالات متحده اجازه انجام چنین اقداماتی را می دهد؟
در صورت تصویب، این قانون فراتر از قانون اساسی آمریکا خواهد بود. بر اساس تعریف کلی ارائه شده از "اطلاعات امنیت سایبری"؛ لایحه CISA ضمانت های لازمه مصوب در متمم چهارم قانون اساسی آمریکا را دارا نیست. طبق این متمم دولت اجازه ندارد اطلاعات شخصی افراد از جمله ارتباطات تلفنی و یا اینترنتی را مستقیماً از شرکت های ارائه کننده این خدمات دریافت کند.

-آیا این لایحه قوانین دیگری را هم نقض می کند؟
این لایحه از قوانین دسترسی آزاد به اطلاعات و قوانین شفاف سازی مستثنی خواهد بود تا برنامه های دسترسی به اطلاعات از بررسی مو شکافانه توسط افکار عمومی در امان باشند.

-نظر مدافعان آزادی های مدنی و حریم خصوصی در آمریکا چیست؟
چندین سازمان حقوق شهروندی و نگهبان حریم خصوصی به مخالفت با لایحه CISA برخاسته اند. در گزارش بنیاد آمریکای نوین، CISA اینطور تحلیل شده است: "قانون جدید عقبگردی شدید در زمینه حریم خصوصی افراد است و وزارت امنیت داخلی تنها به عنوان دروازه نهادهای وزارت دفاع عمل خواهد کرد تا آن نهادها احتمالات تهدیدات سایبری را دریافت کنند. و هیچ تفاوت عملکردی میان اجازه دسترسی دادن به یک سازمان غیر دولتی و اجازه دسترسی مستقیم دادن به NSA وجود نخواهد داشت." در ادامه این گزارش آمده است: "هدف کلی CISA ممکن است اینطور تفسیر شود که دولت باید مجوز دسترسی مستقیم به اطلاعات یک شرکت را داشته باشد تا بتواند احتمالات وجود تهدیدات سایبری را به موقع دریافت کند."
مرکز مردم سالاری و فناوری آمریکا، قانون CISA را "در پشتی برای استراق سمع" توصیف کرده و نوشت: " CISA به هیچکدام از افشاگری های اسنودن توجه ندارد، و ارتباطات و اطلاعات شخصی بیشتری را به NSA تزریق خواهد کرد."
اتحادیه آزادی های مدنی آمریکا نیز به این لایحه اعتراض کرده و نوشت: "لایحه CISA تهدیدی جدی برای حریم خصوصی ماست و به دولت اختیارات هرچه بیشتری می دهد تا افشاگران احتمالی را ساکت کرده و به دادگاه بکشاند. نکته قابل تامل اینجاست که تمام این توانمندی های خطرناک از شمول قوانین شفاف سازی مستثنی خواهند بود."
برخی کارشناسان دیگر، لایحه CISA را "معجون مسموم" نامیده اند، زیرا محدودیت های بسیار کمی در آن در نظر گرفته شده و اطلاعات شخصی افراد را به خطر می اندازد.

-دولت از چه روش هایی برای بدست آوردن اطلاعات استفاده خواهد کرد؟
وب سایت CIPSAisBack.org که برای کنترل قانون امنیت سایبری آمریکا راه اندازی شده، اعلام کرد: "این لایحه به سازمان های اطلاعاتی اجازه می دهد برای جمع آوری اطلاعات کاربران اینترنت از روشdata mining  استفاده کنند و حتی این سازمان ها را به انجام  این کار تشویق می کند. آن هم برای اهداف تعریف نشده امنیت سایبری در خاک آمریکا."

منتقدان CISA می گویند این لایحه تلاشهای دولت برای"انباشت آسیب پذیری ها" را گسترش می دهد، چرا باید دولت آسیب پذیری ها را انباشته کند؟
انباشت آسیب پذیری ها موجب می شود اشکال های موجود در شبکه های رایانه ای از دید گردانندگان شبکه ها پنهان بمانند و بجای آن برای خرابکاری های احتمالی در آینده ذخیره شوند. با استفاده از این آسیب پذیری ها، گروه های هک دولت در زمانهای لازم خواهند توانست مراکز مورد نظر دولت را هدف حملات خود قرار دهند. 

-واکنش شرکت های ملزم به اجرای این قانون چه بوده است؟
ائتلافی از 30 شرکت و گروه مدافع حریم خصوصی از باراک اوباما خواستند لایحه جنجالی امنیت سایبر را رد کند. در نامه ای که این ائتلاف برای رئیس جمهور ایالات متحده نگاشته است، اشکالات مهمی به این لایحه وارد شده. آنها معتقدند به طور کلی، این لایحه نمی تواند برای مقابله با تهدیدات سایبری "یک راه حل جامع" ارائه نماید چون تنها هدف آن دسترسی به اطلاعات است. در این ائتلاف نام شرکت های مشهوری دیده می شود، که از آن جمله می توان به Reddit و موتور جستجوی DuckDuckGo اشاره کرد.

-از نظر این ائتلاف برای رسیدن به "یک راه حل جامع" چه باید کرد؟
لیستی دقیق و جزئی از اصلاحاتی که لازم است در لایحه CISA انجام شود تا به لایحه ای "جامع تر" تبدیل شود، در نامه این گروه گنجانیده شده است. تشویق شرکت ها به برطرف کردن هرچه سریع تر آسیب پذیری های موجود در شبکه های رایانه ای، یکی از اصلاحات ارائه شده در این نامه است. همچنین در این نامه از قانون گذاران خواسته شده تا فعالیت های غیرنظامی در حوزه امنیت سایبری، تحت کنترل سازمان امنیت ملی آمریکا NSA، یا دیگر سازمان های نظامی قرار نگیرند.

-مدافعان این لایحه چگونه از آن دفاع می کنند؟
مدافعان این لایحه معتقدند تهدیدات سایبری هم داخلی هستند و هم خارجی در نتیجه سازمان های نظامی که وظیفه تامین امنیت سایبری کشور را بر عهده دارند باید بتوانند در داخل آمریکا هم فعالیت کنند. با وجود منع قانونی عملیات نظامی و جاسوسی در داخل ایالات متحده، مقامات اطلاعاتی این کشور در مقاطع زمانی مختلف صراحتاً از تمایل خود برای رفع این محدودیت ها سخن گفته اند. در سال 2009 و در افتتاحیه بخش جدید پنتاگون با نام "واحد فرماندهی امنیت سایبری ایالات متحده" CYBERCOM، یک مامور ارشد اطلاعاتی در مصاحبه با نیویورک تایمز اعلام کرد: "حملات سایبری از کشورهای دیگر آغاز می شود ولی هکرها مرز نمی شناسند، پس چگونه می خواهیم با آنها مقابله کنیم اگر نتوانیم هم در خارج و هم در داخل کشور فعالیت کنیم؟"

-آیا ممکن است روزی نظامیان کنترل سیستم های اطلاعاتی غیر نظامی آمریکا را هم در دست بگیرند؟ 
در ماه می 2010، CYBERCOM زیر نظر کیث الکساندر وارد فاز عملیاتی شد. در همان زمان الکساندر اعلام کرد: "با وجود این که در حال حاضر CYBERCOM هیچ نقشی در شبکه های غیر نظامی کشور ندارد، در شرایط خاص با صدور یک فرمان اجرایی می توان کنترل سیستم های اطلاعاتی غیرنظامی را در اختیار آژانس های وزارت دفاع قرار داد."

-افشاگری های اخیر توسط اسنودن قطعاً برای دولت ایالات متحده نگران کننده است. به نظر می رسد این لایحه می تواند سوژه های مناسبی برای افشاگران و خبرنگاران فراهم آورد، راهکار دولت برای مقابله با این قبیل افشاگری ها چیست؟
دولت آمریکا این افشاگری ها را "تهدیدات داخلی" می نامد. در لایحه مذکور و در بخشی تحت عنوان "تهدیدات داخلی" به دولت اجازه داده شده از اطلاعات جمع آوری شده برای تحت تعقیب قرار دادن جاسوسان، خبرنگاران و افشاگران استفاده کند.

-حال که رفتار حاکمان آمریکا با مردم این کشور اینگونه است باید پرسید با دیگران چگونه رفتار می کنند و آیا به حریم خصوصی شهروندان دیگر کشورها احترام می گذارند یا خیر؟
پاسخ بسیار روشن است؛ خیر. مدتی پیش یک کارشناس تلویزیون آلمان گفت: "شما یا دشمن ایالات متحده هستید که در اینصورت شما را بمباران و یا حداقل تحریم می کند، یا دوست ایالات متحده هستید که در آن صورت از شما جاسوسی می کند." هر روز در گوشه ای از جهان اسنادی از جاسوسی دولت آمریکا کشف می شود و جاسوسی های سایبری، گسترده ترین نوع این جاسوسی ها هستند. این جاسوسی ها به حدی گسترده است که اکثر کشورها درحال تقویت سامانه های دفاع سایبری خود هستند. درمواردی حتی بازگشت به فناوری ها قدیمی در دستور کار قرار گرفته تا دست جاسوسان سایبری از اسناد مهم کشورها کوتاه شود. برای مثال آلمان در حال بررسی طرحی است که براساس آن رایانه ها از مراکز حساس این کشور جمع آوری شده و جای خود را به ماشین تحریرهای قدیمی بدهند! اقدامی که از سال گذشته در روسیه انجام می شود. استفاده روزافزون از تکنولوژی های پیشرفته در کشور ما، خبر خوبی به نظر می رسد. اما این خبر حقیقتاً برای چه کسی خوب است؛ ما یا دشمنان ما؟