مرکز مطالعات استراتژیک و بین‌المللی آمریکا

گزارش نشست «بررسی سند امنیت سایبری ایالات‌متحده»

توضیحات معاون مشاور امنیت ملی آمریکا در امور سایبر، پیرامون راهبرد جدید

سه‌شنبه 16 اسفند 1401

زاویه؛ در عصر دیجیتال، امنیت سایبری به یکی از مهم‌ترین دغدغه‌های دولت‌ها تبدیل‌شده است. چراکه جهان به شکل فزاینده‌ای برای تقویت اقتصاد و توسعه جوامع و بهبود سطح زندگی بشر به فضای سایبری نیازمند است. با افزایش رقابت جهانی و استفاده روزافزون از فضای سایبری برای تحقق اهداف ژئوپلیتیکی، نیاز به یک استراتژی جامع و مؤثر در حوزه امنیت سایبری تبدیل به اصلی حیاتی شده است.

از طرفی گسترش حملات سایبری با پیامدهای گسترده و جبران‌ناپذیر برای زیرساخت‌های حیاتی، زنجیره تأمین و نظام اقتصادی به یک مسئله امنیت ملی تبدیل شده است. ایالات‌متحده آمریکا با درک صحیح از این نیاز، اقدام به تنظیم سند راهبردی امنیت سایبری خود نموده است. هدف از آن حفاظت از منافع و ایجاد امنیت در آمریکا و بهبود توان دفاعی و صنایع نظامی آمریکا باتوجه به چشم‌انداز پیچیده و در حال تحول تهدیدات سایبری است.

تأمین امنیت زیرساخت آمریکا بطور مشارکتی

این استراتژی امنیت در آمریکا یک تحول قابل‌توجه و یک نقطه عطف در تاریخ این کشور محسوب خواهد شد. چراکه این کشور با گذار از رویکرد دفاع منفعلانه، استراتژی دفاع فعال را در پیش‌گرفته. با تقسیم بار تأمین امنیت زیرساخت امریکا از بخش خصوصی به بخش دولتی، اهمیت و جایگاه رویکرد دفاع مشارکتی را میان دولت ایالات‌متحده، بخش خصوصی و متحدان بین‌المللی این کشور برجسته می‌کند.

این استراتژی تشخیص می‌دهد که شرکت‌ها و سازمان‌ها ممکن است منابع یا تخصص لازم برای دفاع در برابر تهدیدات سایبری پیچیده‌تر را نداشته باشند. نقش دولت در این شرایط، ارائه رهبری و پشتیبانی در زمینه‌هایی مانند شناسایی تهدیدها، واکنش به حوادث و اشتراک‌گذاری اطلاعات است.

ساختار امنیتی امریکا بر اهمیت همکاری با بخش خصوصی تأکید می‌کند. زیرا بسیاری از سیستم‌های زیرساختی حیاتی متعلق به شرکت‌های خصوصی هستند. اهداف این استراتژی شامل بهبود استانداردها و شیوه‌های تأمین امنیت سایبری در آمریکا و افزایش انعطاف‌پذیری در برابر حملات سایبری و افزایش قابلیت‌های واکنش به حوادث است.

امنیت سایبری آمریکا در دولت بایدن

استراتژی جدید امنیت سایبری دولت بایدن بیانگر تغییرات قابل‌توجهی در سیاست سایبری ایالات‌متحده آمریکا است. این تغییرات پیامدهای گسترده‌ای برای امنیت داخلی و بین‌المللی امریکا دارد. همان‌گونه که هنری کسینجر، وزیر امور خارجه پیشین ایالات‌متحده و متفکر برجسته روابط بین‌الملل استدلال می‌کند. به دنبال انقلاب فناوری ، جهان به سمت نظم ژئوپلیتیکی جدیدی در حال حرکت است که به‌جای ایدئولوژی یا مرزهای جغرافیایی، مبتنی بر فناوری است. کسینجر معتقد است که فناوری جهان را پیوسته‌تر خواهد کرد. در چنین فضایی، چالش‌های امنیتی جدیدی آغاز خواهد شد که نیازمند ابتکارات مشارکتی است. به نظر می‌رسد که استراتژی امنیت سایبری آمریکا در دولت بایدن با این تفکر همسو باشد. زیرا نیاز به انطباق با ماهیت متغیر تهدیدات امنیتی در عصر دیجیتال و لزوم اتکا به اقدامات مشارکتی را برجسته می‌سازد.

امنیتی سازی تهدیدات غیر سنتی به‌منظور پاسخگویی مؤثر به آن‌ها

از سوی دیگر، تدوین استراتژی امنیت ملی سایبری جدید در ایالات متحده را به‌خوبی می‌توان در پرتو آموزه‌های مکتب امنیتی کپنهاگ نیز تحلیل کرد. این مکتب، بر لزوم امنیتی سازی تهدیدات غیر سنتی به‌منظور پاسخگویی مؤثر به آن‌ها تأکید می‌کند. استراتژی سایبری بایدن را می‌توان تحت تأثیر این مکتب دانست. چراکه حملات سایبری را به‌عنوان یک تهدید وجودی علیه امنیت ملی آمریکا در نظر گرفته که نیاز به واکنش دولت دارد.

استراتژی امنیت ملی آمریکا با شروع به اجرا نه‌تنها برای آمریکا، بلکه برای شرکا و رقبای آن در سرتاسر جهان پیامدهای قابل‌توجهی خواهد داشت. اروپا که خود با چالش‌های امنیت سایبری متعددی دست‌وپنجه نرم می‌کند و عمیقاً تحت تأثیر جنگ اوکراین و روسیه قرارگرفته است. این استراتژی را فرصتی تازه برای شروع سطح همکاری‌های نزدیک و به اشترک گذاری تجربیات و توانایی‌ها در نظر خواهد گرفت. اگرچه به همین موازات، باید نگران پتانسیل افزایش چشم‌گیر سطح نظارت آمریکا بر شرکت‌های اروپایی آن‌هم به بهانه تأمین امنیت سایبری باشد.

توان سایبری چین در مقابل آمریکا

استراتژی جدید امنیت سایبری آمریکا را باید بخشی از تلاش گسترده این کشور برای مقابله با ظهور چین به‌عنوان یک ابرقدرت فناوری در نظر گرفت. چین مدت‌ها است که امنیت سایبری را به‌عنوان یک اولویت کلیدی در استراتژی «Made in China 2025» شناسایی کرده و هدف نهایی خود را تبدیل‌شدن به یک رهبر جهانی در حوزه صنایع پیشرفته در فضای امن و به‌ دور از هرگونه حمله سایبری اعلام کرده است. آمریکا نیز که چین را به‌عنوان رقیب استراتژیک خود در نظر می‌گیرد، استراتژی امنیت سایبری را به‌عنوان بخشی از برنامه مبارزه با توسعه چین تعریف می‌کند.

در نتیجه باید گفت که استراتژی سایبری بایدن صرفاً یک موضوع داخلی و محدود به ایالات‌متحده آمریکا نخواهد بود. این استراتژی در نهایت منجر به شکل‌گیری یک سپر سایبری میان آمریکا و متحدانش از یک‌سو و چین و روسیه و متحدانشان از سوی دیگر خواهد شد. راهبرد سایبری واشنگتن ، نمادی از آغاز عصر جنگ‌های سرد سایبری خواهد شد که در نظم ژئوپلیتیکی جدید جهان، میان غرب و شرق مرزبندی خواهد کرد.

اهمیت امنیت سایبری

در پرتو این تحولات، واضح است که امنیت سایبری به‌عنوان یک موضوع حیاتی در سطح جهانی مطرح می‌شود. بی‌توجهی نسبت به آن منجر به تغییر در موازنه قدرت و شکل‌گیری تهدیدات وجودی علیه امنیت ملی کشورها خواهد شد.

به نظر می‌رسد که باگذشت بیش از دو دهه از فراگیری اینترنت، دولت‌ها با گذار از عصر تک‌محوری و خود اتکایی ، در عرصه تأمین امنیت سایبری نیز به سمت شکل‌گیری پیمان امنیت دسته جمعی و استراتژی‌های مشارکتی حرکت خواهند کرد. این مسیری است که ایالات‌متحده آمریکا از مدت‌ها پیش آن را در دیگر حوزه‌های دفاعی و صنایع نظامی آمریکا آغاز نموده و اکنون به شکل رسمی در فضای سایبری نیز آن را به دستور کار آینده خود تبدیل نموده است.

توضیحات معاون مشاور امنیت ملی آمریکا در نشست بررسی سند استراتژی امنیت سایبری آمریکا

آنچه در ادامه می‌خوانید، مروری بر نشست بررسی سند استراتژی امنیت سایبری آمریکا است که توسط مرکز مطالعات استراتژیک و بین‌المللی[۱] آمریکا در تاریخ سوم مارس ۲۰۲۳ برگزار شده است. حاضرین در این نشست عبارت‌اند از:

جیم اندرو لوییس[۲]؛ معاون ارشد و مدیر برنامه فناوری و سیاست‌گذاری عمومی مرکز مطالعات استراتژیک و بین‌المللی، به‌عنوان مجری
آنا نوبرگر[۳]؛ معاون مشاور امنیت ملی در امور سایبر و فناوری‌های نوظهور دولت بایدن و مدیر سابق امنیت سایبری آژانس امنیت ملی آمریکا به‌مدت ۱۰ سال
کمبا والدن[۴]؛ دستیار مشاور عمومی واحد جرائم دیجیتال مایکروسافت[۵]

به نظر می‌رسد مسیر پیشین ما در مورد تنظیم‌گری امنیت سایبری دچار اشکال بوده و باید مسیر جدیدی را در این حوزه پیش بگیریم که شامل برخی اقدامات اجباری است. آیا این امر قابل تحقق است؟

آنا نوبرگر: در عصر حاضر، استراتژی امنیت سایبری یک مسئله مهم به‌شمار می‌رود. در زمانی که شاهد رقابت‌های شدید جهانی در این حوزه هستیم. پس از جنگ روسیه و اوکراین نیز شاهدیم که فضای مجازی به‌عنوان یک ابزار برای دستیابی به اهداف ژئوپلتیک تبدیل شده است. این شرایط نگاه ما را به زیرساخت‌های دیجیتال و تعهدی که به شهروندان خود برای ارائه خدمات حیاتی داریم، تغییر داده است. مجموعه دولت، بخش خصوصی و صاحبان زیرساخت‌های دیجیتال باید از ایمنی، پایداری و در دسترس بودن زیرساخت‌های حیاتی و تحت کنترل بودن آن‌ها اطمینان حاصل کنند. ما باید متعهد شویم که به سمت یک فضای سایبری ایمن پیش می‌رویم که الگویی برای اقتصاد، ارتباطات فرهنگی و تسهیل امورات مردم باشد. سند امنیت سایبری آمریکا پشتوانه این امور خواهد بود.

تجربیات ما درمورد حمله سایبری به خط لوله کولونیال در سال ۲۰۲۱، نشان می‌دهد که گزارش‌های متعدد پژوهشگران امنیت سایبری ، تهدید های سایبری مختلفی را برای این تجهیزات پیش‌بینی کرده‌ بودند. آن حادثه ، توسط یک گروه خرابکار با یک جنگ سایبری کوچک و با ابزارهای معمولی اجرا شده بود. اما سطح امنیت پایین تجهیزات ، منجر به اختلال اقتصادی و امنیتی در منطقه بزرگی در آمریکا شد.

این شروعی بود برای پاسخ به این سؤال که آیا ایمنی و امنیت زیرساخت‌های حیاتی کشور، پاسخگوی مقابله با چنین حملاتی هست یا خیر؟ اساساً در کشور چارچوبی برای سنجش ایمنی و امنیت زیرساخت‌های حیاتی کشور وجود نداشت. پس از آن حادثه در بخش‌های مختلف اقداماتی برای شناسایی مسئولین امنیت زیرساخت‌های حیاتی ایالات متحده امریکا ترتیب داده شد. ما ابتدائاً برای زیرساخت‌های خطوط لوله و سپس برای راه‌آهن و هواشناسی و دیگر بخش‌ها این چارچوب مسئولیتی را احصاء کردیم که طبق زمان‌بندی اجرا خواهد شد.

ساختاری برای این امر طراحی شده که نشان می‌دهد آیا مسئول مشخصی برای بخش‌های مختلف هریک از زیرساخت‌های حیاتی وجود دارد یا خیر؟ و اینکه آیا هریک از این افراد آموزش‌های لازم را دریافت کرده‌اند یا خیر؟ و در این مرحله استراتژی کمک می‌کند تا مسیرهای پیش‌رو به‌درستی طی شود. این استراتژی حداقل‌های لازم برای تأمین امنیت سایبری و اطمینان از پیاده‌سازی آن را ارائه می‌کند. این استراتژی دو سال آتی برای پیاده‌سازی امنیت در آمریکا را تصویر می‌کند.

کمبا والدن؛ درمورد تجربه خط لوله، یک مهندس ساده مسئولیت کلیه امور امنیت سایبری را برعهده داشت و این محل بروز مشکل بود. ما در این استراتژی ساختار امنیتی آمریکا تلاش می‌کنیم، مهارت‌های مسئولین امنیت سایبری را برای از بین بردن شکاف سایبری کاهش دهیم. این قاعده‌گذاری و تنظیم‌گری ایمنی و امنیت سایبری در امریکا به‌صورت هوشمندانه و در ارتباط کامل با مالکان و صاحبان زیرساخت‌های دیجیتال صورت می‌گیرد.

باتوجه به تجربیاتی که از گذشته درمورد نیروهای بازار و چالش‌های تغییر در آن‌ها وجود دارد، چگونه می‌توان آن‌ها را قانع کرد که این تغییرات را در سازوکارها اعمال کنند؟ مشوق‌های پیش‌بینی‌شده، چگونه می‌توانند نیروهای بازار را به اعمال تغییرات وادار کند؟

آنا نوبرگر؛ ما در تلاش برای ایجاد مزیت‌های رقابتی لازم برای صاحبان زیرساخت‌های دیجیتال هستیم تا بتوانیم چارچوب امنیتی مورد اطمینان را ایجاد کنیم. این اتفاق از مسیر مشورت‌های مستمر با سهام‌داران بخش خصوصی و جامعه مدنی رخ خواهد داد. طراحی مبتنی‌بر امنیت که ما را به یک جامعه‌ی صنعتی امنیت‌محور تبدیل کند. ما نیازمند نوآوری‌هایی برای ایجاد بازارهای امن هستیم.

دراین زمینه باید به نقش قوانین و مقررات دولتی اشاره کرد. چنانکه در فرمان اجرایی رئیس‌جمهور در سال ۲۰۲۱ پیرامون امینت سایبری ذکر شد. طبق این قاعده‌گذاری، نرم‌افزارهای خریداری‌شده توسط دولت برای حوزه زیرساخت، باید استانداردهای امنیتی مورد نیاز را داشته باشد. ازاین‌رو مؤسسه ملی استاندارد و فناوری موظف شد تا استانداردهای لازم فضای سایبری برای این حوزه را تدوین کند.

دفتر مدیریت و بودجه کاخ سفید نیز راهنمایی‌های لازم را برای پیمانکاران صادر کرده. نهایتاً دستورالعمل‌هایی برای تأیید شرکت‌های نرم‌افزاری صادر می‌کند که در حال اعمال است. این استانداردها به شرکت‌ها کمک می‌کند تا سطح خود را در بازار ارتقاء دهند.

یکی دیگر از ابزارهای دولت، استفاده از رتبه‌بندی نرم‌افزارها از نظر امنیتی است. این الزام که برای مثال درمورد محصولات اینترنت اشیاء اجرایی شده، به مشتریان قدرت انتخاب‌های بهتر از نقطه‌نظر امنیت را می‌دهد. در این مسیر از انجمن‌های تولیدکنندگان محصولات نرم‌افزاری خواسته‌ایم تا با استفاده از این ابزار، انتخاب را برای مصرف‌کننده آسان کنند.

آیا در استراتژی امنیت سایبری امریکا درمورد سرویس‌های پایه نظیر سرویس‌های ابری هم الزامات نظارتی در نظر گرفته شده است؟

آنا نوبرگر و کمبا والدن؛ توسعه خدمات ابری یکی از ابزارهای برون‌سپاری امنیت خدمات اینترنتی به‌شمار آمده. می‌تواند رسیدگی به مشکلات امنیتی صاحبان سرویس را تسریع کند. چراکه حجم انبوه داده‌ها در سامانه‌های رایانش ابری به تشخیص فعالیت‌های مخرب و رفع آن کمک می‌کند. ازاین‌رو در استراتژی امنیت فضای سایبری ایالات متحده ، برای سامانه‌های ارائه‌دهنده خدمات ابری ، به‌عنوان یک بخش پایه‌، لایه بالاتری از استانداردهای امنیتی در نظر گرفته شده است. همچنین این شرکت‌ها موظف‌اند تا استانداردهای جدیدی را از نظر تعداد نیروی انسانی فعال در حوزه امنیت سامانه‌های خدمات ابری آمریکا اجرا کنند.

نحوه مواجهه با مهاجمان حملات سایبری در این استراتژی چگونه خواهد بود؟

آنا نوبرگر و کمبا والدن؛ در این زمینه باید ضمن بالا بردن هزینه‌های جنگ سایبری ، سودآوری آن را نیز کاهش داد. نباید اجازه داد تا از امکانات بخش خصوصی و دولتی برای انواع حملات سایبری استفاده شود. مجموعه ۵ آژانس امنیت سایبری آمریکا در تدوین دستورالعمل‌ها و پیشبرد امور ما را همراهی می‌کنند. همچنین ما از تمامی ظرفیت‌های تحریمی برای این مهم استفاده خواهیم کرد. برای مثال تحریم صرافی‌های کریپتوکارنسی یکی از اقداماتی بود که در زمینه امنیت سایبری انجام شد. و دیگر اقدام، لزوم پاسخگو کردن دولت‌ها در پیگرد و مجازات مجرمان سایبری است که نیازمند پیگیری‌های بین‌المللی است. ازاین‌رو تعامل با سران کشورهای دیگر یکی از اولویت‌های کاری ما خواهد بود.

باید این موضوع مورد بررسی قرار گیرد که زیرساخت‌های غربی چه میزان برای حملات سایبری مورد استفاده قرار می‌گیرد. شما در این زمینه اقدامی خواهید کرد؟

آنا نوبرگر و کمبا والدن؛ یکی از استانداردهای بین‌المللی که در سازمان ملل توسط کشورها مورد استقبال قرار گرفت، اصلاح هنجارهای سایبری در فضای IP بود. طبیعی است که زیرساخت‌های غربی نیز توسط مهاجمان برای حملات سایبری مورد استفاده قرار گیرد. ما در ۱۸ ماه گذشته بر کریپتوکارنسی‌ها و اکوسیستم آن تمرکز کردیم. کاخ سفید نیز با برگزاری اجلاس ابتکار عمل مبارزه با باج‌افزارها در سال گذشته که با حضور ۳۶ کشور و اتحادیه اروپا برگزار شد، گام بلندی برای راهبری مبارزه با حملات سایبری برداشت. تلاش برای تصویب استانداردهای بین‌المللی مبارزه با جرایم سایبری و تبدیل آن‌ها به هنجارهای جهانی می‌تواند کشورهایی را که در فضای سایبری غیرمسئولانه عمل می‌کنند، تعدیل کرده و با عواقب تحریمی مواجه کند.

جمع بندی

استراتژی جدید امنیت سایبری آمریکا دولت بایدن نشان‌دهنده تغییرات قابل‌توجهی در رویکرد ایالات‌متحده نسبت به فضای سایبری است. یکی از تفاوت‌های قابل‌توجه این استراتژی با اقدامات و استراتژی‌های پیشین آمریکا، تمرکز بر دفاع جمعی و مشارکت با بخش خصوصی و متحدان بین‌المللی است. این استراتژی به دنبال ایجاد یک سپر دفاعی سایبری در اطراف آمریکا و شرکای استراتژیک آن است که بیانگر آغاز عصر شکل‌گیری پیمان‌های سایبری و مشارکت‌های فعال بین‌المللی خواهد بود.

سند امنیت سایبری آمریکا پاسخی به تهدیدات پیچیده و در حال تحول سایبری است. ایالات‌متحده در طول سال‌های اخیر با آن مواجه بوده و به شکل مستمر نیز بیشتر و پیچیده‌تر می‌شود. حملات سایبری نیابتی به زیرساخت‌های حیاتی، سازمان‌های دولتی و مشاغل آمریکا به‌شدت افزایش‌یافته. نگرانی‌های فزاینده‌ای در مورد سطح آسیب‌پذیری این کشور در برابر تهدیدات سایبری به وجود آورده است. رسالت استراتژی امنیت سایبری مقابله با این چالش‌ها و اتخاذ رویکرد پیشگیرانه بر اساس اصل دفاع فعال است.

همان‌طور که در این گزارش مشخص شد، یکی از راه‌های اصلی این استراتژی برای دست‌یابی به این هدف، تأکید بر اهمیت مشارکت در دفاع سایبری است. این استراتژی تأکید می‌کند که هیچ نهاد واحدی در بخش خصوصی و دولتی نمی‌تواند به‌تنهایی بر چالش‌های امنیت سایبری ایالات متحده غلبه کند. در عوض، رویکردی هماهنگ را ارائه می‌دهد که تمامی ذی‌نفعان از جمله متحدان بین‌المللی را در مواجه با تهدیدات درگیر می‌کند.

سطح مشارکت تعریف‌شده برای بخش خصوصی در این استراتژی قابل‌توجه است. بخش خصوصی بسیاری از زیرساخت‌های حیاتی آمریکا از جمله شبکه‌های تأمین برق، سیستم‌های مالی و شبکه‌های حمل‌ونقل را در اختیار دارد و آن را اداره می‌کند. سند امنیت ملی آمریکا با ایجاد مکانیسم‌های حمایتی مختلف، بخش خصوصی را تشویق به مشارکت فعالانه در مواجهه با تهدیدات سایبری می‌کند.

پیوند منبع

[۱] Center of strategic and international studies

[۲] James Andrew Lewis

[۳] Anne Neuberger

[۴] Kemba Walden

[۵] Microsoft’s Digital Crimes Unit (DCU)