عصر جدید «کشاورزی هوشمند»؛ کانونی برای جرایم سایبری؟

خانه » مقالات » عصر جدید «کشاورزی هوشمند»؛ کانونی برای جرایم سایبری؟

دوشنبه, ۳ دی ۱۴۰۱

زمان تقریبی مطالعه ۳۳ دقیقه

کشاورزی هوشمند، یک مفهوم مدیریتی است که با فراهم ساختن زیرساخت های صنعت کشاورزی در جهت استفاده از فناوری پیشرفته، بر ردیابی، نظارت، خودکار سازی و تجزیه و تحلیل عملیات متمرکز است.

عواملی چون جمعیتِ رو به رشد جهان، افزایش تقاضا برای عملکرد بهتر محصول، نیاز به استفادۀ بهینه از منابع طبیعی، استفادۀ روزافزون و پیچیدگی فناوری اطلاعات و ارتباطات و… بر لزوم استفاده از کشاورزی هوشمند می‌افزاید. از این رو در طول دهۀ گذشته، مزارع در سراسر جهان در تلاش به‌منظور ارتقای بازده و پایداری، استفاده از فناوری‌های دیجیتال ازجمله اینترنت اشیاء، کلان‌داده، محاسبات ابری و هوش مصنوعی را افزایش داده‌اند. کشاورزی هوشمند در کنار مزایای بسیاری که دارد، در عین حال گاهی منجر به بروز برخی چالش‌ها نیز می‌گردد. ازجملۀ این چالش‌ها؛ تهدیدات امنیت سایبری را می‌توان نام برد که امروزه بسیار شایع شده است و به‌طور بالقوه زنجیره‌های تأمین منطقه‌ای، ملی و جهانی را درگیر نموده است و از اختلالات عملیاتی گرفته تا سرقت داده‌های حساس را برای همۀ مشاغل این صنعت موجب می‌شود. مانند سایر بخش‌ها، آن دسته از مشاغل که در جوامع غذایی و کشاورزی کار می‌کنند باید در این زمینه هوشیار باشند؛ چراکه با توجه به نیاز حیاتی برای تغذیه رو به رشد جهانی، شرکت‌های کشاورزی هدف مهمی برای حملۀ باج‌افزار‌ها هستند.

آیا ایمن‌سازی فضای مجازی در بخش غذا و کشاورزی حیاتی است؟

همه‌گیری کووید-19 تحول دیجیتالی کسب‌ و کارهای مواد غذایی و کشاورزی را، همچون کسب‌وکارهای سایر بخش‌ها، سرعت بخشید. دیجیتالی شدن، وعدۀ مزایای اقتصادی و اجتماعی را می‌دهد، اما با هزینه‌هایی همراه است. تهدیدات سایبری در سراسر جهان درحال افزایش است و مشاغل غذایی و کشاورزی نیز از این تهدیدات در امان نیستند. در مارس 2021، JFC International فاش کرد که مورد حملۀ باج‌افزاری قرار گرفته که چندین سیستم IT آن را مختل کرده است. JFC یک توزیع‌کننده و عمده‌فروش محصولات غذایی آسیایی است و به بازارهای اروپا و ایالات متحده خدمات ارائه می‌دهد. همچنین در آوریل 2021، یک حملۀ باج‌‌افزاری، یک توزیع‌‌کنندۀ مواد غذایی هلندی را هدف قرار داد و ارتباط شرکت با مشتریان، انبارهای بزرگ و شبکه‌های حمل‌ونقل را مختل نمود. این حمله که به «هک پنیر» معروف شد باعث شد قفسه‌های پنیر در یک سوپرمارکت هلندی برای چند روز خالی شود، زیرا مانع از تحویل محصولات توسط توزیع‌کننده شد. دو ماه پس از این حادثه، یک حملۀ باج‌افزاری دیگر به JBS صورت گرفت که بزرگترین توزیع‌کنندۀ صنعت گوشت در دنیا است و این مجموعه مجبور به تعطیلی فعالیت‌های خود در ایالات متحده، کانادا و استرالیا شد. همچنین شرکت‌های بزرگی چون Molson Coors، Campari Group و Brown-Forman از موارد حملات باج‌افزار به شرکت‌های بزرگ مواد غذایی و نوشیدنی در سال 2021 است. علاوه‌براین، در سال 2015، چندین رستوران زنجیره‌ای و فست‌فود ایالات متحده ازجمله Caribou Coffee، Applebee’s، Panera Bread، Chipotle، Sonic Drive-In، Pizza Hut، KFC، Wendy’s و Dunkin’ مورد حملات بدافزاری قرار گرفتند که منجر به ارائۀ شکایت‌های بسیاری در رابطه با نقض اطلاعات گردید. نمونه‌های حملات سایبری به زنجیرۀ تأمین مواد غذایی نشان می‌دهد که این بخش نیاز به افزایش امنیت و توجه بیشتر جهت سیاست‌گذاری دارد.

چگونه قانون امنیت سایبری امنیت زنجیرۀ تأمین مواد غذایی را تنظیم می‌کند؟

حملات اخیر و افزایش دیجیتالی شدن در این بخش، نیاز فزاینده‌ای به امنیت محصولات و خدمات فناوری اطلاعات و ارتباطات (ICT[۱]) ایجاد می‌کند. با این حال، این بخش تاکنون از سوی نهادهای قانونگذار چندان مورد توجه قرار نگرفته است. قوانین مربوط به امنیت سایبری عمدتاً به اتخاذ یک رویکرد برای بخش خاص می‌پردازد و تاکنون بر تعداد محدودی از بخش‌ها متمرکز شده است. برای مثال می‌توان به دستورالعمل زیرساخت‌های حیاتی اروپا اشاره نمود که فقط به بخش‌های انرژی و حمل‌ونقل مربوط می‌شود.

دستورالعمل امنیت شبکه و سیستم‌های اطلاعاتی (دستورالعمل NIS[۲]) دومین قانونی است که (صریحاً) بخش غذا و کشاورزی را پوشش نمی‎دهد، اما با این حال برای بخش کشاورزی نیز به دلیل گستردگی دامنۀ پتانسیل آن قابل استفاده است. دستورالعمل NIS اولین و اساسی‌ترین قانون ثانویه در سراسر اتحادیۀ اروپا است که در سال 2016 برای ایجاد الزامات امنیتی و اطلاع‌رسانی برای اپراتورهای خدمات‌رسان ضروری (OES[۳]) و ارائه‌دهندگان خدمات دیجیتال به تصویب رسید. این دستورالعمل مجموعه‌ای از معیارها و فهرستی از بخش‌ها و زیربخش‌ها را ارائه می‌دهد که باید OES را به‌عنوان حداقل تعریف کنند. براساس این معیارها و بخش‌ها، هر کشور عضو به‌طور دقیق‌تر مشخص می‌کند که کدام نهادها در قلمرو خود به‌عنوان OES در نظر گرفته می‌شوند.

انتظارات دستورالعمل NIS به هفت بخش محدود می‌شود: انرژی، حمل‌ونقل، بانکداری، مالی، بهداشت، تأمین آب آشامیدنی و زیرساخت دیجیتال. این بدان معناست که کشورهای عضو مجبور نیستند الزامات مربوطه را فراتر از این بخش‌ها اجرا کنند. انتظار می‌رود که نهاد نظارتی آژانس اروپایی امنیت سایبری (ENISA[۴])، که وظیفۀ مدیریت طرح‌های امنیت سایبری داوطلبانه را بر عهده دارد، تخصص و دستورالعمل‌های امنیت سایبری را به‌طور ویژه برای این بخش‌ها نیز ارائه نماید (بند 39 قانون امنیت سایبری). از جمله موارد مطرح در دستورالعمل NIS عبارت است از؛ شناسایی شیوه‎های صحیح در کشورهای عضو درخصوص اجرای دستورالعمل NIS؛ حمایت از فرآیند گزارش‌دهی در سراسر اتحادیۀ اروپا برای حوادث امنیت سایبری، با ایجاد آستانه‌ها، الگوها و ابزارها؛ توافق بر روی رویکردها و رویه‌های مشترک؛ کمک به کشورهای عضو برای رسیدگی به مسائل مشترک امنیت سایبری.

برای ایجاد سیستم‌های قوی و کارآمد در کشاورزی هوشمند، باید اطمینان حاصل کرد که تولید، انتقال و پردازش صحیح و کامل داده‌ها انجام و سیستم دارای ویژگی‌های امنیتی کافی برای جلوگیری از حملات باشد. ناهمگونی منابع، نگرانی‌های امنیتی زیادی را ایجاد میکند، مانند حفظ حریم خصوصی، حفظ اعتماد و قابلیت اطمینان، که می‌تواند برای برآوردن تقاضا و پتانسیل برنامه‌های کاربردی نوظهور بسیار مهم باشد.

دستورالعمل NIS یک سرویس را در صورتی ضروری می‌داند که (1) این سرویس برای حفظ فعالیت‌های حیاتی اجتماعی-اقتصادی ضروری باشد، (2) به شبکه و سیستم‌های اطلاعاتی وابستگی داشته باشد، و (3) ارائۀ این سرویس می‌تواند تحت تأثیر یک حادثۀ سایبری مختل شود. در مورد معیار اول، دسترسی به غذا برای حفظ معیشت حیاتی است، و خدمات زنجیرۀ تأمین غذا، درست مانند تامین آب آشامیدنی به‌عنوان خدمات ضروری طبقه‌بندی می‌شود. این خدمات همچنین از نظر اقتصادی با ارائۀ سایر خدمات ضروری مانند حمل‌ونقل وابسته هستند. درمورد معیار دوم و سوم، حملات به زنجیرۀ غذایی نشان می‌دهد که تأمین غذا (به‌طور فزاینده‌ای) به شبکه و سیستم‌های اطلاعاتی بستگی دارد و در نتیجه این امکان وجود دارد که به‌طور مخرّب تحت تأثیر حوادث سایبری قرار گیرد. بنابراین، خدمات غذایی و کشاورزی به‌طور بالقوه حداقل معیارهای دستورالعمل NIS را به‌عنوان خدمات ضروری دارد.
علاوه‌براین، کمیسیون اروپا در سال 2019 گزارش داد که بسیاری از کشورهای عضو ،20 بخش اضافی را به‌عنوان خدمات ضروری در قوانین ملی خود شناسایی کرده‌اند. دو بخش از آن را تولیدکنندگان مواد غذایی و مکان‌های تجاری به‌عنوان OES شناسایی کردند و از آن‌ها انتظار داشتند که الزامات امنیتی را رعایت کنند. این بدان معناست که برخی از بخش‌هایی که از نظر تضمین امنیت سایبری به توجه بیشتری نیاز دارند، ممکن است در سطح اتحادیۀ اروپا توجه لازم را نداشته باشند.

حرکت رو به جلو با ارائۀ یک پیشنهاد جدید

برای پاسخ به تهدیدهای فزایندۀ ناشی از فرایند دیجیتالی شدن و افزایش حملات سایبری، کمیسیون، پیشنهادی را برای جایگزینی «دستورالعمل NIS2» با هدف پوشش دادن سهم بیشتری از اقتصاد و جامعه، ضمن گنجاندن بخش‌های بیشتر و ایجاد سطح بالاتری از هماهنگی درمورد الزامات امنیتی و تعهدات گزارش جهت افزایش سطح امنیت سایبری در اروپا در بلندمدت ارائه کرد. دستورالعمل NIS2 پیشنهادی با اضافه کردن تولیدکنندگان، پردازش‌کنندگان و توزیع‌کنندگان مواد غذایی به‌عنوان نهادهای مهم، علاوه‌بر بسیاری از بخش‌های دیگر، دامنۀ نسخۀ قبلی خود را گسترش می‌دهد. علاوه‌براین، حداقل معیارها را با یک قانون سقف اندازۀ جایگزین می‌نماید. این بدان معناست که تمام نهادهای بزرگ و متوسط در زنجیرۀ تأمین مواد غذایی ممکن است در آینده با تعهدات مدیریت ریسک و گزارش‌دهی در سراسر اتحادیۀ اروپا مواجه شوند. شرکت‌های کوچک از این الزامات مستثنی خواهند شد، مگر اینکه کشورهای عضو آن‌ها را برای امنیت عمومی، ایمنی عمومی یا سلامت عمومی حیاتی تشخیص دهند. درحال حاضر، در پارلمان اروپا، پروندۀ رسیدگی به این دستورالعمل به کمیتۀ صنعت، تحقیقات و انرژی واگذار شده است. کمیته در 28 اکتبر 2021 دستور ورود به مذاکرات بین‌نهادی را تصویب کرد. متن قوانین در 13 مه 2022 پیشنهاد شده اما اکنون باید به‌طور رسمی توسط هر دو نهاد تصویب شود و پارلمان در ماه‌های آینده در جلسۀ عمومی دربارۀ آن رأی‌گیری نماید.

آیا در چارچوب قانونی جایی برای ایمن‌سازی فضای سایبری غذا و کشاورزی وجود دارد؟

اگرچه امنیت سایبری در مواد غذایی و کشاورزی هنوز مورد توجه زیادی قرار نگرفته است، قوانین بالقوه‌ای برای تأمین امنیت در این زمینه وجود دارد، مانند اصل امنیت داده‌ها در مقررات حفاظت از داده‌های عمومی (GDPR[۵]). اپراتورهای مواد غذایی، صرف‌نظر از اندازۀ آن‌ها، باید اقدامات مناسب (برای مثال، سیاست‌های فنی، داخلی) را برای امنیت فناوری اطلاعات انجام دهند. از آنجایی که GDPR فقط برای داده‌های شخصی اعمال می‌گردد، این اصل به تجهیزات کشاورزی که فقط داده‌های غیرشخصی را پردازش می‌کنند مربوط نمی‌شود. بااین‌حال، همچنان می‌تواند -برای مثال- رایانه‌ها یا پوشش‌های هوشمندی که کارمندان استفاده می‌کنند را پوشش دهد. این اصل همچنین به مرحلۀ طراحی و توسعۀ محصولات و تجهیزات فناوری اطلاعات و ارتباطات مورداستفاده در زنجیرۀ تأمین مواد غذایی که قادر به پردازش داده‌های شخصی هستند، گسترش می‌یابد. حفاظت از داده‌های GDPR براساس طراحی و به‌طور پیش‌‌فرض، مستلزم امنیت است و تولیدکنندگان و توسعه‌دهندگان را تشویق می‌کند تا از امنیت سخت‌افزار و نرم‌افزار مراقبت کنند، به‌طوری‌که کاربران قادر به انجام تعهدات خود برای جلوگیری و کاهش خسارات احتمالی یا حملات سایبری باشند.

قوانین امنیتی همچنین از قوانین ایمنی ارائه‌شده توسط اتحادیۀ اروپا، متشکل از مجموعه‌ای از ابزارهای قانونی که برای طیف وسیعی از ماشین‌آلات و تجهیزات اعمال می‌شود، سرچشمه می‌گیرد. برخی از این ابزارها تعهدات امنیتی را براساس طراحی برای تولیدکنندگان محصولاتی که در تولید و توزیع مواد غذایی استفاده می‌شوند، فراهم می‌کنند. برای مثال؛ اخیراً دستورالعمل تجهیزات رادیویی و مقررات تفویض‌شدۀ آن در اروپا، سازندگان را ملزم می‌سازد تا اطمینان حاصل کنند که تجهیزات متصل به اینترنت به شبکه آسیب نمی‌رساند. پیروی از این تعهد در تولید تجهیزات، مانند دوربین‌های هوشمند متصل به اینترنت که برای جمع‌آوری داده‌های محصولات یا حیوانات استفاده می‌شوند، احتمالاً انعطاف‌پذیری امنیتی در زنجیرۀ تأمین مواد غذایی را افزایش می‌دهد.
با این حال، قوانین ایمنی محصول ممکن است در پرداختن به مسائل امنیت سایبری ناکافی باشد، زیرا فاقد تعهدات امنیتی برای بسیاری از محصولات مورداستفاده در زنجیرۀ تأمین مواد غذایی مانند ماشین‌آلات تنظیم‌شده تحت دستورالعمل ماشین‌آلات (MD[۶]) است. MD خطرات امنیتی را تا حدی پوشش می‌دهد که به‌طور محدود به امنیت ماشین مربوط می‌شود و نه امنیت سایبری یک شبکه به‌طور وسیع‌تر. حملات سایبری همچنین می‌تواند ایمنی ماشین‌آلات و افراد پیرامون آن را تهدید کند، اما MD درمورد تعهدات سازندگان دربرابر حملات سایبری شفاف نیست.

علاوه‌براین، کمیسیون اروپا خاطرنشان می‌سازد که بخش بزرگی از قوانین ایمنی موجود، مانند اتصال، به‌روزرسانی نرم‌افزار و قابلیت ردیابی، قبل از ظهور مسائل مربوط به امنیت، به تصویب رسیده است و به همین دلیل است که فاقد الزامات اجباری خاص دربرابر تهدیدات سایبری است. بنابراین کمیسیون دریافته که قوانین صریح‌تری در این زمینه لازم می‌باشد. باید دید که آیا بازنگری در قوانین موجود و پیشنهاد ایجاد الزامات امنیت سایبری برای سیستم‌های هوش مصنوعی پرخطر می‌تواند این شکاف را برطرف سازد یا خیر. در این زمینه، دستورالعمل‌های خط‌مشی مرتبط با هوش مصنوعی مانند دستورالعمل‌های اخلاقی برای هوش مصنوعیِ قابل‌اعتماد، که به‌طور ویژه اصل استحکام فنی و ایمنی را در بر می‌گیرد، می‌تواند راهی برای تشویق کسب‌وکارها به اتخاذ تدابیر امنیتی فراهم کند.

چگونه شرکت ها می‌توانند از خود دربرابر حملۀ سایبری محافظت کنند؟

برای ایجاد سیستم‌های قوی و کارآمد در کشاورزی هوشمند، باید اطمینان حاصل کرد که تولید، انتقال و پردازش صحیح و کامل داده‌ها انجام و سیستم دارای ویژگی‌های امنیتی کافی برای جلوگیری از حملات باشد. ناهمگونی منابع، نگرانی‌های امنیتی زیادی را ایجاد میکند، مانند حفظ حریم خصوصی، حفظ اعتماد و قابلیت اطمینان، که می‌تواند برای برآوردن تقاضا و پتانسیل برنامه‌های کاربردی نوظهور بسیار مهم باشد.

در مرحلۀ اول، همۀ دستگاه‌ها را باید به ابزارهای فناوری به‌روز مجهز کرد تا ایمن کار کنند، مانند مدیریت رمز عبور، احراز هویت دو مرحله‌ای و شبکه‌های خصوصی مجازی (VPN). فراتر از آن، همۀ افراد شرکت باید درمورد بهترین شیوه‌های مهار خطر، آموزش ببینند. باید متذکر شد که این آموزش در قالب یک دورۀ آموزشی یکباره یا مشاهده در قالب ویدیو نخواهد بود، بلکه یک آموزش ادامه‌دار همگام با ظهور تهدیدات جدید است.

مانند همۀ اقدامات امنیت سایبری، سلامت سایبری بر یک رویکرد سه‌جانبه متکی است: مردم، فناوری و محیط. افراد برای شناسایی تهدیدهای امنیتی به آموزش اجباری نیاز دارند. علاوه‌براین رهبر شرکت باید از امنیت آگاه باشد و الگوی ارزشمندی برای دیگران باشد.

ازآنجایی‌که برای یک مشکل ترکیبی، باید یک راه‌حل ترکیبی وجود داشته باشد. بهبود آموزش کارکنان می‌تواند شامل کارگاه‌های فشرده در سطح شرکت، آموزش آنلاین و خدمات آموزش شخص ثالث باشد. برخی از کارکنان به یک روش بهتر از روش دیگر پاسخ می‌دهند، بنابراین انعطاف‌پذیری ضروری است. بااین‌حال، اجرا نیز مهم است، زیرا نظرسنجی اخیر HLB درمورد امنیت سایبری نشان داده که اگرچه 90درصد از کسب‌وکارها اعلام داشتند که کارکنان خود را آموزش می‌دهند، اما در 33درصد از موارد دائماً با عدم انطباق برخورد می‌کنند.

جمع‌بندی

جرایم سایبری یک تهدید جدی است. هکرها قادرند از هر نقطه در دنیای شبکه‌ای حمله کنند و باج‌افزارها نیز معمولاً با استفاده از پرداخت‌ ارزهای دیجیتال صورت می‌گیرند که به‌سختی می‌توان آن‌ها را ردیابی کرد. سیستم‌های قدیمی به دلیل برخوردار نبودن از آخرین تدابیر حفاظتی و امکان داشتن حفره‌هایی در دفاع نرم‌افزاری، شدیداً آسیب‌پذیر هستند. به‌علاوه کارمندان ممکن است اشتباهات ساده‌ای مرتکب شوند، توسط هکرها فریب بخورند یا مورد تهدید قرار گیرند. بدین منظور ارائۀ یک فرهنگ آگاهانه جهت برقراری امنیت در فضای کسب‌وکار و اجرای مداوم برنامۀ آموزشی برای کلیۀ کارمندان، از کارآموزان گرفته تا سطوح بالاتر بسیار مهم است.

غذا بخش مهمی از اقتصاد است. از آنجایی که زنجیره‌های تأمین مواد غذایی آسیب‌‌پذیر هستند، یک حملۀ سایبری می‌تواند موجب تداوم آسیب‌های پایدار گردد. همان‌طور که در نشریۀ NCC Group امنیت سایبری در کشاورزی انگلستان اشاره شده است؛ خطرات امنیت سایبری ناشی از دیجیتالی شدن در بخش مواد غذایی باید با حکمرانی مناسب مدیریت شود. ایمنی هر فناوری جدید باید با دقت و با تصمیم‌گیری باز و شفاف ایجاد شود. همینطور مدیریت فناوری‌های نوین باید در نظر داشته باشد که چگونه ممکن است رابطۀ بین منافع تجاری و تولیدکنندگان مواد غذایی را تغییر دهد.

تاکنون در قوانین و سیاست‌گذاری در کشور ما نیز توجه کمی به امنیت سایبری در حوزۀ غذا و کشاورزی شده است. قوانین موجود می‌تواند راه‌حلی ارائه دهد که البته به دلیل دامنۀ محدود آن‌ها با محدودیت‌هایی همراه‌اند و باید دید این خلأ چگونه پر خواهد شد. آنچه درحال حاضر واضح است، این است که امنیت بخش غذا و کشاورزی یک نیاز روزافزون می‌باشد که توجه سیاست‌گذاران را می‌طلبد.

پانوشت

۱- the Information and Communications Technology

۲- Network and Information Systems

۳- Operators of Essential Services

۴- The European Agency for Cybersecurity

۵- the General Data Protection Regulation

۶- Machinery Directive

منابع

Security challenges to smart agriculture: Current state, key issues, and future directions

Securing European Cyberspace: Is the Food and Agriculture Sector Critical?

نویسندگان

نسیم حسینی