پیش‌نویس جدید قانون امنیت سایبری اسرائیل

به گزارش کارگروه بین الملل سایبربان؛ دبورا هاسون کوریل (Deborah Housen-Couriel)، محقق مستقل در زمینه امنیت سایبری و عضو هیئت مشاور مرکز تحقیقات امنیت سایبری دانشگاه عبری، در مورد پیش‌نویس قانون جدید امنیت سایبری اسرائیل مطلبی نوشته که به شرح زیر است:

ماه گذشته، دولت اسرائیل پیش‌نویس قانون امنیت سایبری خود را منتشر کرد و با درخواست نظر عموم، در تاریخ 11 ژوئیه بسته خواهد شد. این پیش‌نویس نشان‌دهنده سال‌ها مشاوره و بحث در مورد رویکرد کشور در مورد امنیت سایبری است که عناصر قوانین و سیاست امنیت سایبری موجود را با نوآوری‌های قابل‌توجه ازجمله گسترش اختیارات آژانس دولتی پیشرو در زمینه امنیت سایبری، اداره سایبری ملی (NCD)، ادغام کرده است.

همانند دیگر کشورها، مسئولیت امنیت سایبری اسرائیل بر عهده چندین وزارتخانه دولتی و سازمان‌های بخش خصوصی است. دولت اداره سایبری ملی را در سال 2011 برای هماهنگی تلاش‌ها و سیاست‌های ملی امنیت سایبری و پاسخ مستقیم به نخست‌وزیر تأسیس کرد. طبق قانون پیشنهادی، موقعیت اداره سایبری ملی با تقویت نقش رهبری در ارزیابی خطرات سایبری ملی، برنامه‌ریزی برای آمادگی و انعطاف‌پذیری ملی و ارائه دستورالعمل‌هایی به سازمان‌های دولتی و بخش خصوصی اسرائیل ارتقاء خواهد یافت. به‌عنوان‌مثال، اختیارات نظارت کنونی اداره سایبری ملی بر دیگر رگلاتورهای دولتی با تنظیمات میرای محدود شده است. بر اساس این قانون، اداره سایبری ملی به‌طور خاص مسئولیت و قدرت بیشتری برای صدور دستورالعمل‌های ملی در مورد موضوعات سایبری، حتی با دیگر رگلاتورها در حوزه‌های مالی، بهداشتی، حمل‌ونقل، انرژی و ارتباطات بر عهده خواهد داشت.

در یادداشت‌های توضیحی همراه با این لایحه آمده است که تهیه‌کنندگان این قانون در مورد تعیین نیاز به مداخله و نظارت بر فضای سایبری تهاجمی به بحث پرداخته‌اند و دو اصول اساسی مشخص شده است: (الف) نیاز به توسعه رویکردی جدید در زمینه امنیت سایبری با ایجاد نوعی همکاری بی‌سابقه بین بخش‌های دولتی و خصوصی؛ و (ب) نیاز به اختصاص تلاش‌های ملی برای بهبود آمادگی سایبری و کاهش تلفات ناشی از حوادث. طراحان همچنین در نظر داشتند که جنبه‌های نظامی و مدنی امنیت سایبری را در قانون پیشنهادی جدا کند. به‌عنوان‌مثال، مقامات اداره سایبری ملی خواستار بهبود ارائه مسائل مرتبط با فعالیت‌های سایبری تهاجمی برای هدف قرار دادن اسرائیل مانند ارزیابی خطرات راهبردی، نقشه‌برداری آسیب‌پذیری‌های ملی و به اشتراک‌گذاری اطلاعات در زمان واقعی بودند اما مقامات اجازه پاسخ به مهاجمان و به خدمت گرفتن ارتش یا سازمان‌های امنیتی را ندارند.

بر اساس لایحه پیشنهادی، اداره سایبری ملی به‌عنوان رگلاتور اصلی امنیت سایبری ملی تأسیس شد که مسئولیت مستقیم از طرف نخست‌وزیر دارد. اداره سایبری ملی در کنار مسئولیت‌های اصلی خود، دو نهاد عملیاتی را به خدمت می‌گیرد: (1) مرکز مقابله با تهدیدات سایبری که تیم پاسخگویی اضطراری رایانه‌ای ملی (CERT-IL) مسئول این کار است؛ (2) مرکز تشخیص و تأیید برای هشدار سریع و کاهش حملات. این مرکز به اشتراک‌گذاری اطلاعات در میان عوامل مشخص بخش دولتی و خصوصی را تسهیل و اساساً یک پایگاه داده ملی از شاخص‌های تهدید و سایر اطلاعات ایجاد می‌کند. پایگاه داده پیشنهادی در رسانه‌های اسرائیلی به دلیل جمع‌آوری و پردازش اجتناب‌ناپذیر انبوه اطلاعات خصوصی و حقوقی موردبحث و جنجال زیادی به وجود آورده است.

اداره سایبری ملی همچنین قصد دارد طبق این قانون پیشنهادی اجازه دسترسی به اسناد و داده‌های کامپیوتری را در سازمان‌های بخش خصوصی برای شناسایی، جلوگیری و مقابله با فعالیت‌های سایبری دشمن و استفاده از هرگونه تجهیزات برای بازرسی همان اهداف را داشته باشد. اگرچه بعضی از این اقدامات، مانند دخالت اداره سایبری ملی در شبکه کامپیوتری یک سازمان، نیاز به مجوز قانونی دارد اما شاید تحت شرایط خاصی و با نظر رئیس اداره سایبری ملی این کار امکان‌پذیر باشد. این اختیارات در حال حاضر موضوع اختلافات عمومی است و شاید تا تصویب نهایی قانونی پایدار نباشد.

از سوی دیگر، نهادهای بخش خصوصی که با اداره سایبری ملی و رقبا در زمینه مسائل مربوط به امنیت سایبری همکاری می‌کنند، از مواردی نظیر عدم اعتماد و دیگر ادعاهای مدنی مصون بمانند. علاوه بر این، شرکت‌های خاصی که توسط نخست‌وزیر در مشورت با وزیر دادگستری تعیین‌شده‌اند، باید یک جلسه هیئت‌مدیره سالیانه در مورد مسائل دولتی سایبری، ازجمله تهدیدات سایبری بر روی عملیات تجاری، ارزیابی ریسک سایبری و اطلاع از میزان فعالیت‌های سازمان‌ها در راستای سیاست‌ها و دستورالعمل‌های اداره سایبری ملی داشته باشند.

درنهایت، قانون پیشنهادی یک نظام حفاظتی و طبقه‌بندی جدید داده‌ها را معرفی می‌کند که در مورد اطلاعات جمع‌آوری‌شده توسط خود اداره سایبری ملی یا به اشتراک‌گذاری و دسته‌بندی اطلاعات با خطرات موجود بکار می‌رود؛ بنابراین داده‌های ارزش امنیتی تکنو (مانند شاخص‌های رویداد سایبری تهاجمی)؛ داده‌های غیرقابل‌شناسایی (که به‌طور منطقی اجازه شناسایی یک فرد یا سازمان را نمی‌دهد)؛ و داده‌های محافظت‌شده (که نشان‌دهنده وضعیتشان در میان اطلاعات خصوصی و سایر قوانین داخلی اسرائیل هستند) موضوعاتی برای تأمین فرآیندهای مختلف توسط اداره سایبری ملی و به اشتراک‌گذاری اطلاعات به شمار می‌روند. کفایت این پوشش‌ها نقطه عطفی در نقد عمومی این لایحه خواهد بود.

به‌طور خلاصه، پیش‌نویس قانون سایبری، زمانی که اعتبار و بازدارندگی جهانی اسرائیل در مواجهه با تهدیدات سایبری بحرانی و مداوم بالاست، باعث ادغام نوآوری‌های نظارتی قوی را با ابتکارات بحث‌برانگیز می‌شود. اسرائیل همچنان بر بازار جهانی محصولات و خدمات سایبری تأثیر می‌گذارد و فراتر از حد انتظار، حدود 15 درصد از سرمایه‌گذاری‌های جهانی سایبری را به خود اختصاص داده است. طبق گزارش‌های اخیر، سرمایه‌گذاران سال گذشته 815 میلیون دلار در بازار سایبری اسرائیل سرمایه‌گذاری کرده‌اند؛ اما باوجود موفقیت‌های امنیت سایبری اسرائیل، قانون پیشنهادی چالش‌های متعددی را در مورد اقدام دشوار متعادل‌سازی موردنیاز در جوامع دموکراتیک و قانونی بین نیازهای امنیت ملی و حفاظت از حقوق فردی بنیادین مطرح می‌کند. فرصت مشورت عمومی در مورد پیش‌نویس قانون در هفته‌های آتی عرصه‌ای برای مشورت‌های شدید فراهم می‌کند که عموم مردم، شرکت‌ها و دانشگاهیان بدون هیچ مشکلی از آن استفاده خواهند کرد.