کمک قوانین سایبری پیشنهادی کمیسیون بورس و اوراق بهادار آمریکا به سلامت اکوسیستم امنیت سایبری

به گزارش کارگروه بین الملل خبرگزاری سایبربان، بسیاری از دست اندرکاران صنعت شکایت کرده‌اند که مقررات پیشنهادی کمیسیون بورس و اوراق بهادار ایالات متحده می‌تواند بر امنیت ملی تأثیر منفی بگذارد و احتمالاً با الزامات گزارش‌دهی جدیدی که در قانون گزارش‌دهی رویدادهای سایبری برای زیرساخت‌های حیاتی (CIRCIA) به زودی اجرا می‌شود، این قانون اضافی خواهد بود.
با انعکاس مناقشه بر سر این پیشنهاد، کمیسیون بورس و اوراق بهادار ایالات متحده روز پنجشنبه مهلت خود را برای ارائه قانون گزارش نهایی حادثه تا اکتبر به تعویق انداخت.
ابتدا قرار بود این قانون در ماه آوریل نهایی شود.
گزارشی که روز چهارشنبه توسط گروه نوآوری سایبری استیت کرفت (Statecraft) شورای آتلانتیک منتشر شد، ادعا می‌کند که قوانین پیشنهادی کمیسیون بورس و اوراق بهادار ایالات متحده که نیازمند افشای حوادث در عرض چهار روز است، به طور اساسی با مقررات قانون گزارش‌دهی رویدادهای سایبری برای زیرساخت‌های حیاتی متفاوت است.
همچنین استدلال می کند که نگرانی ها در مورد جدول زمانی پیشنهادی کمیسیون بورس و اوراق بهادار ایالات متحده برای اجرا و ترس از خطرات امنیت ملی به راحتی قابل غلبه هستند.
علاوه بر این، این قوانین به سرمایه‌گذاران کمک خواهند کرد تا تصمیم‌گیری کنند و داده‌های استاندارد شده و قابل دسترس عمومی درباره حوادث سایبری را ایجاد کنند.
این گزارش استدلال می کند که این واقعیت که کمیسیون بورس و اوراق بهادار ایالات متحده نیاز به گزارش‌های استاندارد و شفافیت قوی‌تر از آنچه در حال حاضر مورد نیاز است دارد، با بهبود عدم تقارن اطلاعات در بازار امنیت سایبری برای شرکت‌ها و مصرف‌کنندگان، به سلامت کلی اکوسیستم امنیت سایبری منفعت خواهد رساند و به قانون‌گذاران اجازه خواهد داد تا ابزار های سیاسی موجود را به‌طور مؤثرتری به کار گیرند.
با این حال، رهبران تجارت و صنعت، همراه با برخی از شرکت های امنیت سایبری، مخالفت شدید خود را با قوانین جدید ابراز کرده اند.
نامه ای به کمیسیون بورس و اوراق بهادار ایالات متحده که توسط تقریباً سه دوجین انجمن صنعتی از جمله اتاق بازرگانی ایالات متحده، انجمن فناوری مصرف کننده، و انجمن صنعت اوراق بهادار و بازارهای مالی ارسال شده است، قانون پیشنهادی را محکوم کرده و استدلال می کند که این قانون باعث ایجاد سردرگمی در مورد نحوه گزارش صنعت در مورد امنیت سایبری، حوادث و خطراتی خواهد شد که به هکرها اجازه می دهد حملات را تشدید کنند.
در این نامه آمده است:

قوانین پیشنهادی می‌تواند منجر به تضعیف امنیت سایبری با وادار کردن شرکت‌ها به افشای اطلاعات رویداد قبل از کاهش آسیب‌پذیری‌ها شود. افشای جزئیات عمومی می‌تواند به مجرمان سایبری و هکرهای تحت حمایت دولتها، داده‌های زیادی برای قربانی کردن بیشتر شرکت‌ها، آسیب رساندن به تحقیقات پلیسی و اختلال در واکنش‌های عمومی و خصوصی به حملات سایبری بدهد.

این نامه همچنین استدلال می کند که سرمایه گذاران تحت قانون پیشنهادی متضرر خواهند شد.
شرکت رپید7 (Rapid7) که یک شرکت امنیت سایبری است، به کمیسیون بورس و اوراق بهادار ایالات متحده می گوید که افشای عمومی یک حادثه سایبری کنترل نشده احتمالا منجر به رفتاری در مهاجم خواهد شد که باعث آسیب بیشتر به سرمایه گذاران شود، از جمله ممکن است منجر به حملات بیشتر شود. 
گ
رپید7 همچنین هشدار می دهد که چرخش سریع قوانین افشای عمومی می تواند منجر به حملات "کپی" شود.
اما گزارش شورای آتلانتیک استدلال می‌کند که اگر کمیسیون بورس و اوراق بهادار ایالات متحده به شرکت‌ها اجازه دهد گزارش حوادث سایبری غیرقابل کنترل را تا زمانی که مهلت قطعی 30 روزه برای گزارش حوادث در چنین مواردی مجاز است، به تأخیر بیندازند، بر این نگرانی‌ها غلبه خواهد شد.
این گزارش همچنین استدلال می‌کند که شرکت‌ها می‌توانند زمانی که گزارش‌دهی بر امنیت ملی تأثیر منفی می‌گذارد، اطلاع‌رسانی را به تاخیر بیاندازند.
این موضوع نشان می دهد که دادستان کل یا آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) می توانند خطرات زمان بازگشت سریع تر در چنین حوادثی را تأیید کنند.