رهیافت‌هایی کلیدی از راهبرد جدید امنیت سایبری ملیِ آمریکا

خانه » مقالات » رهیافت‌هایی کلیدی از راهبرد جدید امنیت سایبری ملیِ آمریکا

چهار شنبه, ۵ اردیبهشت ۱۴۰۲

زمان تقریبی مطالعه ۴۱ دقیقه

دولت بایدن در تاریخ 2 مارس 2023 سند راهبرد امنیت سایبری خود را منتشر کرد و هدف اصلی آن را «تأمین همه منافع یک اکوسیستم دیجیتال امن و مطمئن برای همه آمریکایی‌ها» اعلام کرد. در این متن به بررسی نکات کلیدی این راهبرد خواهیم پرداخت تا به سازمان‌ها کمک کنیم که آمادگی بیشتری برای [مواجهه با] تبعات این راهبرد و جهت‌دهی و مدیریت آن داشته باشند.

رهیافت‌های کلّی

سازمان شما، چه خصوصی باشد و چه دولتی، تأثیر راهبرد جدید امنیت سایبری ملّی را احساس خواهید کرد. این راهبرد به‌صراحت بیان می‌کند که:

حداقل الزامات امنیت سایبری در تمام صنایع افزایش می‌یابد.
تکنولوژی یک زیرساخت حیاتی به حساب می‌آید.
حفاظت از تکنولوژی یک ضرورت امنیت ملّی است.
شرکت‌های خصوصی عنصر مهمی در امنیت ملّی هستند.

آنچه در زیر می‌آید شرح کوتاهی است از پنج رکن اصلی راهبرد جدید امنیت سایبری ملّی آمریکا.

رکن اول: دفاع از زیرساخت‌های حیاتی

در کشورهایی مانند ایالات متحده، تکنولوژی[های] بخش خصوصی زیربنای خدمات حیاتی ارائه‌شده به شهروندان را تشکیل می‌دهد. تاکنون، مسئولیت حفاظت از این تکنولوژی بر عهدۀ شرکت‌های خصوصی بوده است. راهبرد جدید دولت بایدن حاکی از این است که دولت فدرال قصد دارد موضع قوی‌تری برای ارزیابی و الزام [دیگران به اجرای] آن اتخاذ کرده و در برخی موارد خود مستقیماً وارد عمل شود.

هدف استراتژیک 1.1 – تحقق الزامات امنیت سایبری برای حراست از امنیت ملّی و امنیت عمومی

زیرساخت‌های حیاتی هدفی ایدئال برای [حملۀ] دولت–ملّت‌های متخاصم و سایر بازیگران خرابکار هستند. تا پیش از این، شرکت‌های و کمپانی‌های حوزۀ نفت، گاز طبیعی، حمل‌ونقل هوایی و راه‌آهن الزامات امنیت سایبری را کم‌وبیش مراعات می‌کردند؛ اما اکنون قرار است همۀ متولیانِ زیرساخت‌های حیاتی کشور به این ضوابط و شرایط پایبند باشند. سازمان امنیت سایبری و امنیت زیرساخت (سیسا)[۱] فهرستی از اصلی‌ترین تأمین‌کنندگان زیرساخت‌های حیاتی کشور [که باید این ضوابط و الزامات را در پیش بگیرند] تهیه کرده است. بااین‌حال، شکی نیست که در آینده با آشکارترشدن وسعت ابعاد تهدیدی که از جانب حملات سایبری در کمین امنیت ملّی آمریکاست، دامنۀ این ضوابط و مقررات بیش‌ازپیش گسترش پیدا خواهد کرد.

هدف استراتژیک 1.2 – گسترش همکاری عمومی و خصوصی

دولت در جهت تعمیق و تحکیم تعاملات و مشارکت‌ها، به‌دنبال ایجاد همکاری میان سازمان سیسا، سازمان‌های مدیریت ریسکِ بخش‌محور[۲]، و سازمان‌های بخش خصوصی است. به احتمال زیاد این همکاری بیشتر حول محور اشتراک‌گذاری اطلاعات [مربوط به] تهدیدات شکل خواهد گرفت که در رکن دوم به‌تفصیل به آن پرداخته شده است.

هدف استراتژیک 1.3 – یکپارچه‌سازی مراکز امنیت سایبری فدرال

دولت آمریکا به‌دنبال این است که –به پیشنهاد کمیسیون سولاریوم فضای سایبری[۳]– مرکز سایبری یکپارچۀ عمومی–خصوصی را در سازمان سیسا تأسیس کرده و به این واسطه، سعی در توزیع متوازنِ مسئولیت برنامه‌ریزی و اجرای عملیات دفاع سایبری در میان بخش عمومی و خصوصی و نیز شرکای بین‌المللی داشته باشد. این اقدام در عمل بدان معناست که نقش سازمان سیسا –به‌عنوان متولیِ اصلی زیرساخت‌های حیاتی در سطح ملّی که دارای بازوی قانونیِ اف‌بی‌آی بوده و پتانسیل‌های گردآوری و تحلیل داده سازمان‌های اطلاعاتیِ کشور را نیز در اختیار دارد– پررنگ‌تر و برجسته‌تر خواهد شد.

هدف استراتژیک 1.4؛ به‌روزرسانی طرح‌ها و روال‌های فدرالِ واکنش به سوانح

سازمان‌های بزرگ بخش خصوصی دارای برنامه‌های جامع واکنش به حوادث و دستورالعمل‌هایی در این مورد هستند که در هنگام وقوع حوادث، در اکوسیستم واکنش به حوادث باید به سراغ کدام بخش بروند؛ البته طبیعتاً به‌جز نیروهای انتظامی و امدادی. تعداد سازمان‌هایی که خود را مسئول اینگونه موارد می‌دانند (در کنار تمامی شعب و دفاتر میدانیِ آن‌ها) بسیار زیاد بوده و عامل سردرگمی مسئولین امنیتی شده است. این هدف به‌دنبال این است که فرآیند اطلاع‌رسانی به مراجع ذی‌صلاح را تسهیل کند، تا از انتقال درست اطلاعاتِ مربوط به حادثه به مرجعِ درست اطمینان حاصل کند.

هدف استراتژیک 1.5 – مدرن‌سازی دفاع فدرال

همان‌طور که انتظار می‌رود، معماریِ «اعتماد صفر» همچنان در عرصۀ امنیت سایبری فدرال از اهمیت برخوردار است. سازمان‌های فدرال غیرنظامی، سازمان برنامه و بودجه، و اخیراً وزارت دفاع دستورات اجرایی و بیانیه‌هایی صادر کرده‌اند که مراحل و زمان‌بندی عملیاتی‌کردن معماریِ «اعتماد صفر» در سیستم‌های فدرال را شرح می‌دهد. در این میان، امنیت داده‌ها به‌درستی حائز بیشترین اهمیت است؛ چراکه داده‌ها محور معماریِ «اعتماد صفر» هستند و امنیت آن‌ها باید فراتر از سطح متعارف باشد. در این راهبرد تأکید دوباره‌ای بر سیستم‌ها و شبکه‌های تکنولوژی‌های عملیاتی[۴] شده است، چراکه رویکردهای امنیتی و شبکه‌ای معمولاً میل به کنارگذاشتنِ آن‌ها داشته‌اند. فورستر[۵] معتقد است که چشم‌انداز کاربرد تجاری معماریِ اعتماد صفر تغییر خواهد کرد؛ زیرا سازمان‌ها نه‌تنها مزایای این معماری را تشخیص می‌دهند، بلکه آن را به‌عنوان هزینه‌ای می‌بینند که برای تجارت با دولت فدرال ایالات متحده باید بپردازند.

رکن دوم: مختل‌کردن و ازبین‌بردن بازیگران تهدید

حملات سایبری درحال حاضر خارج از کنترل دولت فدرال است. هدف این رکن این است که با تحمیلِ هزینۀ بیشتر به عاملینِ حملات، زمین بازی را قدری متوازن‌تر کند؛ همچنین همکاری بین بخش خصوصی و عمومی را بهبود بخشیده و ضوابط و الزامات اطلاع‌رسانیِ حملات را گسترش دهد.

هدف استراتژیک 2.1 – ادغام فعالیت‌های اخلالگرانۀ فدرال

هدف دولت ما این است که هزینۀ حملات سایبری را تا آنجا بالا ببرد که دیگر نه سودآور باشد و نه ابزار مناسبی باشد که دولت‌ها[ی متخاصم] ازطریق آن‌ها و به‌واسطۀ کارزارهای اخلالگر، به‌دنبال دستیابی به اهداف خود باشند. برخی از مکانیسم‌های امنیتی درحال حاضر از این رویکرد استفاده می‌کنند، ازجمله استفاده از ابزارهای «مدیریت ربات» برای افزایش هزینه‌های حملات رباتی. بااین‌حال، هدف استراتژیکِ 1/2 به‌دنبال تلاشی گسترده‌تر و جامع‌تر برای اخلال در تکنولوژی‌های ترکیبی و نیز اجرای معماری «اعتماد صفر» برای مقاوم‌سازیِ زیرساخت‌ها است.

هدف استراتژیک 2.2 – تقویت همکاری عملیاتی عمومی و خصوصی برای برهم‌زدن دشمنان

دولت فدرال پذیرفته است که دانش و اطلاعاتِ بخش خصوصی از عوامل تهدید بیشتر از آن چیزی است که دولت به‌تنهایی قادر به دستیابی به آن باشد؛ و به همین دلیل، به‌دنبال این است که ازطریق طرح‌ها و برنامه‌هایی از قبیل اتحاد ملّی سایبری قانون و آموزش[۶]، همکاری با بخش خصوصی را گسترش دهد. اگر این همکاری به‌خوبی انجام شود، قابلیتِ این را دارد که پتانسیل اطلاعاتیِ مشترکِ بخش خصوصی و عمومی درمورد تهدیدها را ارتقا دهد. بااین‌حال، چیستی و چگونگیِ این [قدرت] اطلاعاتی درمورد تهدیدها را باید در عمل قضاوت کرد.

هدف استراتژیک 2.3 – افزایش سرعت و مقیاس اشتراک‌گذاری اطلاعات و هشدار به قربانیان

اهمیتِ اطلاع‌رسانی درمورد حملات بسیار بیشتر از سایر الزامات قانونی است. نحوۀ پاسخگویی و ارتباط سازمان‌ها با ذی‌نفعان درمورد حمله به داده‌ها و سایر رویدادهای مخرّب –مانند فعالیت‌های باج‌افزاری– شرایط لازم برای ترمیم صدماتِ وارده را مهیا می‌کند.

هدف استراتژیک 2.4 – جلوگیری از سوءاستفاده از زیرساخت‌های مستقر در ایالات متحده

ارائۀ دهندگانِ زیرساخت –به‌مثابه– خدمت[۷] باید استانداردهای بالاتری را در سرعتِ اطلاع‌رسانی درمورد حملات سایبری و واکنش در برابر آن‌ها احراز کنند. این دسته از خدمات‌دهندگان از این به بعد در زمرۀ «زیرساخت‌های حیاتی» در نظر گرفته خواهند شد.

هدف استراتژیک 2.5 – مقابله با جرائم سایبری، شکست باج‌افزار

دولت برای دفاع از جرائم سایبری و باج افزار رویکردی چهار جانبه دارد:

همکاری بین‌المللی
تحقیقات اجرای قانون از بازیگران باج‌افزار
تاب‌آوری زیرساخت‌های حیاتی
رسیدگی به سوءاستفاده از ارز مجازی

نکتۀ مهم این است که دولت به‌صراحت اعلام نمی‌کند که پرداخت‌های باج‌افزار کنترل یا محدود می‌شود؛ درحالی‌که در عمل چنین اقدامی به‌شدت تحت فشار قرار خواهد گرفت. در نهایت، این راهبرد میزان گزارش‌دهیِ حوادث باج‌افزاری به مجریان قانون را افزایش خواهد داد.

رکن سوم: شکل‌دادنِ نیروهای بازار برای ایجاد امنیت و تاب‌آوری

این رکن بر مسئولیت‌پذیری و مشوّق‌ها تأکید می‌کند: مکانیسم هویج و چماق در حوزه مسائل مالی، برای افزایش امنیت و تاب‌آوری در اکوسیستم تکنولوژی ایالات متحده.

هدف استراتژیک 3.1 – مسئولین اطلاعات خود را مسئول نگه دارید

سازمان‌هایی که داده‌های شخصی را جمع‌آوری کرده، نگهداری و بهره‌برداری می‌کنند، مسئولیت حفاظت از آن داده‌ها و حقوق حریم خصوصی افراد را نیز بر عهده دارند. این مسئولیت نه فقط یک تعهد نظارتی، بلکه مبنایی است برای ایجاد اعتماد و تمایز رقابتی در دنیای دیجیتال.

هدف استراتژیک 3.2 – مدیریتِ توسعۀ امنِ دستگاه‌های اینترنت اشیاء

دستگاه‌های اینترنت اشیاء (IoT) در سازمان‌ها و صنایع مختلف در ابعاد متفاوت، موقعیت‌های مکانیِ گوناگون، و برای انجام وظایف متنوع مورد استفاده قرار می‌گیرند. این دسته از ابزارها به‌دلیل سابقۀ امنیت سایبری ضعیف در مراحل طراحی و عملیاتی‌شدن، تبدیل به هدف اصلی حملات [سایبری] شده‌اند. تغییر این امر مستلزم آن است که دستگاه‌های جدید از اساس به‌نحوی ایمن طراحی و ساخته شوند و رویه‌های امنیتی مربوط به شبکه و دستگاه‌ها را در پیش بگیرند؛ رویه‌هایی که کسانی است که از داخل و یا خارج سازمان می‌توانند به این دستگاه‌ها متصل شوند.

هدف استراتژیک 3.3 – تغییر مسئولیت محصولات و خدمات نرم‌افزاریِ ناامن

این راهبرد شرکت‌ها را مسئول خطاها و نقص‌های امنیتی در محصولات و خدمات آن‌ها می‌داند. با این تغییر، تأمین امنیتِ محصولات نه‌تنها تبدیل به یک دستورکار راهبردی برای مدیران سطح بالای حوزۀ تکنولوژی‌های اطلاعاتی و ارتباطی می‌شود، بلکه از این به بعد به‌عنوان یک تمهیدِ دفاعی برای محافظت از کسب‌وکار آن‌ها تلقی خواهد شد. شرکت‌ها همچنین مسئول هرگونه عنصر منبع باز یا [تولیدشده توسط] طرفِ ثالث هستند که در درون محصول آن‌ها مونتاژ، بسته‌بندی و استفاده می‌شود. گنجاندن یک ابزار تجزیه‌و‌تحلیل اجزاء نرم‌افزار[۸] در چرخۀ توسعۀ آن نرم‌افزار باعث آگاهی بیشتر نسبت به خطراتِ دیتابیس‌های [مربوط به] طرف ثالث خواهد شد. این ابزار یک «لیست اجزاء نرم‌افزار[۹]» تولید می‌کند که می‌تواند به‌عنوان مدرکی دال بر شیوه‌های امنِ به‌کاررفته در طراحی و توسعۀ آن نرم‌افزار در نظر گرفته شود.

هدف استراتژیک 3.4 – از کمک‌های مالی فدرال و سایر مشوّق‌ها برای ایجاد امنیت استفاده کنید

اکنون با حمایت‌های مالی‌ای که دولت خود را موظف به ارائۀ آن‌ها کرده است، بهترین زمان برای شرکت‌هاست تا بلوغ برنامه‌های امنیتی محصولات خود را سنجیده و نقشۀ راهی برای بهبود امنیت در هر مرحله از چرخۀ عمر محصولات طراحی کنند. شرکت‌ها می‌بایست برای محصولات جدید و نمونه‌های اولیه از اصول حداقلیِ امنیت پایدار تبعیت کنند تا از این مسئله اطمینان حاصل کنند که از نخستین گام، براساس اصول امنیتی پیش می‌روند.

هدف استراتژیک 3.5 – بهره‌گیری از امکانات فدرال برای افزایش مسئولیت‌پذیری

دولت فدرال در راستای ایجاد مسئولیت و پاسخگویی در شرکت‌ها در قبال محصولات و خدمات نرم‌افزاریِ خود، اقدام به استفاده از الزامات و شروطی می‌کند که در قراردادهایی که با این شرکت‌ها منعقد می‌شود، ثبت شده‌اند. حربۀ «انکار موجّه[۱۰]» دیگر به‌لحاظ قانونی معتبر نیست؛ اگر شرکتی تعهد قراردادی به دولت داشته باشد، موظف است که به الزامات امنیت سایبری که در آن ذکر شده پایبند باشد. ارائۀ آگاهانۀ محصولات معیوب، ارائۀ نادرست شیوه‌های امنیتی، یا عدم نظارت و گزارش حوادث سایبری می‌تواند منجر به طرح دعاوی مدنی از جانب وزارت دادگستری تحت قانون ادعاهای دروغین[۱۱] شود.

هدف استراتژیک 3.6 – کاوش در زمینۀ بیمۀ سایبری فدرال

بیمۀ سایبری یکی از اجزای یک راهبرد چندلایۀ امنیت سایبری و مدیریت ریسک است. محیط امروزی با خطرات سیستمی که ناشی از رویدادهای جهانی، تهدیدات ژئوپلیتیکی، و ریسک‌های [مربوط به] طرف ثالث هستند، بر همۀ سازمان‌ها و همچنین بازار بیمۀ سایبری تأثیر می‌گذارد. یکی از نیازهای امروز این است که دولت فدرال از بازار موجودِ بیمۀ سایبری حمایت کند. بااین‌حال، ممکن است این نوع یارانه هزینه‌های هنگفتی را به دولت تحمیل کند. اگر از این مرحلۀ اکتشافی به سمت مرحلۀ عملیاتی‌سازی حرکت کنیم، احتمالاً در آینده اصلاحاتی لازم خواهد بود. درعین‌حال، سازمان‌ها باید به واقعیت فعلی پویاییِ بازار بیمۀ سایبری و الزامات سختگیرانۀ فزاینده برای دریافت بیمه‌نامه‌های سایبری تن دهند.

رکن چهارم: سرمایه‌گذاری برای آینده‌ای تاب‌آور

هر استراتژی مستلزم نگاه به آینده و برنامه‌ریزی برای مسیر پیشِ‌رو است. این استراتژی نیز از این قاعده مستثنا نیست. در همین مورد، این راهبرد چند نکته را تصریح می‌کند: نیاز به سرمایه‌گذاری، توسعه و ایمن‌سازی اینترنت، توسعه و حفاظت از مالکیت معنوی در حوزۀ امنیت سایبری، و ارتقای مهارت‌های کنش‌گران [این عرصه].

هدف استراتژیک 4.1 – ایمن‌سازی پایۀ فنی اینترنت

اگرچه توجه دولت ایالات متحده به زیرساخت‌های آسیب‌پذیر مسئلۀ جدیدی نیست، اما بااین‌حال این امر در هنگام برنامه‌ریزی برای راهبردهای بهره‌گیری از تکنولوژی نوآورانه، اغلب نادیده گرفته می‌شود. هماهنگیِ فعالانۀ دولت ایالات متحده با رهبران صنعت، دانشگاه‌ها و کشورهای متحد، استانداردهای جهانیِ همکاری را تقویت کرده و درنتیجه نرخ به‌کارگیری [این استانداردها] را افزایش می‌دهد و هم‌زمان به پیش‌برد استانداردهای جهانی امنیت نیز یاری می‌رساند.

هدف استراتژیک 4.2 – تقویت تحقیق و توسعۀ فدرال برای امنیت سایبری

بسیاری از نوآوری‌های حوزۀ امنیت سایبری توسط جامعۀ سرمایه‌گذاران و برای حل مشکلات سایبریِ بخصوص رقم خورده است. هدف راهبردی 2/4 آینده‌نگر بوده و مقصود آن هدایت سرمایه‌گذاری در امنیت «تکنولوژی‌های کامپیوتری، از جمله میکروالکترونیک، سیستم‌های اطلاعات کوانتومی، هوش مصنوعی، بیوتکنولوژی و تولید زیستی، و تکنولوژی‌های پاک» است. با توجه به حمایت دولت از فعالان حوزۀ تکنولوژی برای ارتقای امنیت سایبری، انتظار ما این است که این راهبرد مسئلۀ نوآوری‌های امنیت سایبری را در مناطقِ راهبردیِ مدنظر، حتی بیش از ایالات متحده پیش ببرد.

هدف استراتژیک 4.3 – مهیاشدن برای آینده‌ای پساکوانتومی

در ماه‌های اخیر، دولت ایالات متحده سازمان‌های خود را تحت فشار قرار داده است تا برای گذار به رمزنگاری پساکوانتومی برنامه‌ریزی کنند. اکنون، بخش خصوصی را نیز تحت فشار قرار می‌دهد تا در همین مسیر سرمایه‌گذاری کند. این امر مستلزم تلاش‌های عمده در موارد زیر است: 1) کشف داده‌ها. 2) کشف رمزگذاری؛ و 3) معماری مجدد حفاظت از داده برای چابکی رمزنگاری. سازمان‌ها باید برای خطرات رمزنگاری سنتی و حرکت به سمت مدل‌های پساکوانتومی آماده شوند.

هدف استراتژیک 4.4 – تأمین امنیت منابع آیندۀ انرژی پاک

سال گذشته، دولت بایدن قانون کاهش تورم را با بودجه‌ای 369 میلیارد دلاری تصویب کرد تا برای کاهش انتشار گازهای گلخانه‌ای و مبارزه با تهدیدات اقلیمی ازطریق مشوّق‌های مالیاتی، و سرمایه‌گذاری مستقیم در پروژه‌های انرژی پاک –ازجمله تولید داخلی تکنولوژی انرژی پاک– تلاش کند. ایجاد زیرساخت ملّی انرژی پاک متکی بر تکنولوژی‌ها و دستگاه‌های مبتنی بر سرویس‌های ابری است که دشمنان سعی در بهره‌برداری از آن‌ها دارند. این بخش خواستار یک رویکرد «امنیت ذاتی[۱۲]» برای تکنولوژی‌های انرژی پاک است که در راهبرد ملّی مهندسیِ آگاه به [مسائل] سایبری –متعلق به وزارت انرژی– توضیح داده شده است که به موجب آن کنترل‌های امنیت سایبری به‌جای اینکه بعد از ساخت [محصول] اضافه شوند، در ابتدای چرخۀ عمر طراحی و توسعۀ سیستم‌های مهندسی‌شده تعبیه می‌شوند تا به کاهش خطرات و آسیب‌پذیری‌های سایبری کمک کنند.

هدف استراتژیک 4.5 – پشتیبانی از توسعۀ یک اکوسیستم هویت دیجیتال

تأکید بر ایجاد یک اکوسیستم هویت دیجیتال، نوآوری را درمورد راه‌حل‌هایی برای احراز هویت مقاوم دربرابر فیشینگ تسریع می‌کند (همان‌طور که در اعلامیۀ «2022، M-22-09: حرکت دولت ایالات متحده به سمت اصول امنیت سایبری اعتماد صفر» تأکید شده است). عمیق‌ترین تأثیر این هدف راهبردی بر فعال‌کردن هویت‌های دیجیتال قابل‌اعتماد خواهد بود. مفهوم هویت دیجیتالی قابل‌اعتماد تعریف ساده‌ای دارد: درجۀ بالایی از اطمینان نسبت به اینکه یک سازمان، شخص، دستگاه و یا ماشین همان چیزی است که خود ادعا می‌کند. اگرچه تعریف این مفهوم ساده است، اما ایجاد هویت‌های دیجیتال قابل‌اعتماد و اکوسیستم مطمئن در پیرامون اطراف آن‌ها به‌هیچ‌وجه کار آسانی نیست.

هدف استراتژیک 4.6 – طراحی راهبردی ملّی برای تقویت نیروی کار سایبری

کشور ما با کمبود شدید و مزمن نیروی انسانی برای امور امنیت سایبری مواجه است. این مسئله خطرِ این را به‌همراه دارد که حجم کار افرادی که در نقش‌های امنیتی هستند بیش از توان آن‌ها بشود و شرکت‌ها -و سازمان‌های دولتی- دربرابر حملات آسیب‌پذیر شوند. بااین‌حال، این کمبود عمدتاً به‌دلیل شیوه‌های استخدام سخت و نبود چرخۀ ورود استعدادهای جدید به مسیر مشاغل امنیت سایبری است. راهبرد ملّی جدید امنیت سایبری آمریکا درواقع تقویت‌کنندۀ همان کاری است که دولت بایدن قبلاً برای تشویق و فعال‌کردن دوره‌های کارآموزی امنیت سایبری و سایر برنامه‌های آموزشی و تربیتی برای افزایش تنوع و رسیدگی به چالش‌های منحصربه‌فرد پیش‌ِروی متولیان زیرساخت‌های حیاتی و سازمان‌های دولتی انجام داده است.

رکن پنجم: ایجاد مشارکت‌های بین‌المللی برای پیگیری اهداف مشترک

رکن پنجم با تشریح هنجارهای دولت ایالات متحده در عرصۀ بین‌الملل، به‌دنبال تأثیرگذاری بر طرح‌های مربوط به حوزۀ امنیت سایبری در سطح جهان است. از منظر ایالات متحدۀ آمریکا جهان باید به سمت درکی منسجم‌تر از حملات سایبری و مقابله با آن‌ها و وضع مقرراتی برای محدودکردنِ استفاده دولت‌ها از ابزارهای سایبری تهاجمی حرکت کند. هرکدام از اهدافِ راهبردیِ این رکن، بخشی از این دستورکار را پوشش می‌دهند.

هدف استراتژیک 5.1 – ایجاد ائتلاف برای مقابله با تهدیدات اکوسیستم دیجیتال

دولت امریکا به کمک ائتلاف‌های موجود در سطح سازمان ملل و نیز ائتلاف امنیتی چهارگانه[۱۳] و سایر طرف‌ها، به‌دنبال تدوین مجموعه‌ای از اهداف مشترک برای فضای سایبری است. این اهداف باعث ارتقای همکاری و اطلاعات مشترک راجع به تهدیدها در بین کشورها خواهد شد و شناخت جمعی نسبت به عوامل تهدیدگر را بهبود خواهد بخشید.

هدف استراتژیک 5.2 – تقویت ظرفیت شریک بین‌المللی

دولت فدرال و وزارت امور خارجه به‌دنبال گسترش توافقات و معاهدات نظامی با سایر کشورهای متحدِ آمریکا در سطح جهان هستند.

هدف استراتژیک 5.3 – گسترش توانایی ایالات متحده برای کمک به متحدان و شرکا

ایالات متحده خسارات حملات سایبریِ اخیر علیه کشورها را جدی گرفته و به‌دنبال این است که با همکاری مجموعه‌هایی مانند ناتو، در میان متحدان خود مکانیسمی برای حمایت از سانحه‌دیدگان طراحی کند.

هدف استراتژیک 5.4 – ایجاد ائتلاف برای تقویت هنجارهای جهانی رفتار دولت مسئولانه

هنجارهای امنیت سایبری هنوز توسط همۀ کشورها به‌رسمیت شناخته نشده است. سازمان ملل هنجارهای مشخصی برای زمان صلح دارد، اما بسیاری از کشورها از رعایت آن‌ها سر باز می‌زنند و هنوز هیچ عواقبی برای اینگونه تخطی‌ها وجود ندارد. این هدف به‌دنبال آن است نه تنها این هنجارها را برای کشورهای بیشتری جا بیندازد، بلکه ضمانت اجرای آن‌ها را نیز تأمین کند.

هدف استراتژیک 5.5 – زنجیره‌های تأمین جهانی ایمن برای محصولات و خدمات حوزۀ اطلاعات، ارتباطات و تکنولوژی‌های عملیاتی

داده‌های فورستِر نشان می‌دهد که ۳۳درصد از حملات سایبری ناشی از یک نقص در زنجیرۀ تأمین یا مشکلی از طرف ثالث بوده است. دولت برای مبارزه با وابستگی ملّی به «شبکۀ رو به رشد تأمین‌کنندگان خارجی» برای محصولات و خدماتی که «خطر سیستمی برای اکوسیستم دیجیتال ما» ایجاد می‌کند، رویکردی چندجانبه دارد. این یک راهبرد بلندمدت است، نه یک راه‌حل کوتاه‌مدت، و نیازمند همکاری بخش عمومی و خصوصی، بازسازی مجدد تولید اجزا و سیستم‌های حیاتی، و اولویت‌دادن به تاب‌آوری و امنیت زنجیرۀ تأمین است.

پانوشت

۱- Cybersecurity and Infrastructure Security Agency (CISA)

۲- Sector risk management agencies (SRMAs)

۳- Cyberspace Solarium Commission’s

۴- Operational technology

۵- Forrester

۶- National Cyber-Forensics and Training Alliance (NCFTA)

۷- Infrastructure-as-a-service (IaaS)

۸- Software composition analysis (SCA)

۹- Software bill of materials

۱۰- Plausible deniability

۱۱- False Claims Act