گزارش نشست «بررسی سند امنیت سایبری ایالاتمتحده»
زاویه؛ در عصر دیجیتال، امنیت سایبری به یکی از مهمترین دغدغههای دولتها تبدیلشده است. چراکه جهان به شکل فزایندهای برای تقویت اقتصاد و توسعه جوامع و بهبود سطح زندگی بشر به فضای سایبری نیازمند است. با افزایش رقابت جهانی و استفاده روزافزون از فضای سایبری برای تحقق اهداف ژئوپلیتیکی، نیاز به یک استراتژی جامع و مؤثر در حوزه امنیت سایبری تبدیل به اصلی حیاتی شده است.
از طرفی گسترش حملات سایبری با پیامدهای گسترده و جبرانناپذیر برای زیرساختهای حیاتی، زنجیره تأمین و نظام اقتصادی به یک مسئله امنیت ملی تبدیل شده است. ایالاتمتحده آمریکا با درک صحیح از این نیاز، اقدام به تنظیم سند راهبردی امنیت سایبری خود نموده است. هدف از آن حفاظت از منافع و ایجاد امنیت در آمریکا و بهبود توان دفاعی و صنایع نظامی آمریکا باتوجه به چشمانداز پیچیده و در حال تحول تهدیدات سایبری است.
تأمین امنیت زیرساخت آمریکا بطور مشارکتی
این استراتژی امنیت در آمریکا یک تحول قابلتوجه و یک نقطه عطف در تاریخ این کشور محسوب خواهد شد. چراکه این کشور با گذار از رویکرد دفاع منفعلانه، استراتژی دفاع فعال را در پیشگرفته. با تقسیم بار تأمین امنیت زیرساخت امریکا از بخش خصوصی به بخش دولتی، اهمیت و جایگاه رویکرد دفاع مشارکتی را میان دولت ایالاتمتحده، بخش خصوصی و متحدان بینالمللی این کشور برجسته میکند.
این استراتژی تشخیص میدهد که شرکتها و سازمانها ممکن است منابع یا تخصص لازم برای دفاع در برابر تهدیدات سایبری پیچیدهتر را نداشته باشند. نقش دولت در این شرایط، ارائه رهبری و پشتیبانی در زمینههایی مانند شناسایی تهدیدها، واکنش به حوادث و اشتراکگذاری اطلاعات است.
ساختار امنیتی امریکا بر اهمیت همکاری با بخش خصوصی تأکید میکند. زیرا بسیاری از سیستمهای زیرساختی حیاتی متعلق به شرکتهای خصوصی هستند. اهداف این استراتژی شامل بهبود استانداردها و شیوههای تأمین امنیت سایبری در آمریکا و افزایش انعطافپذیری در برابر حملات سایبری و افزایش قابلیتهای واکنش به حوادث است.
امنیت سایبری آمریکا در دولت بایدن
استراتژی جدید امنیت سایبری دولت بایدن بیانگر تغییرات قابلتوجهی در سیاست سایبری ایالاتمتحده آمریکا است. این تغییرات پیامدهای گستردهای برای امنیت داخلی و بینالمللی امریکا دارد. همانگونه که هنری کسینجر، وزیر امور خارجه پیشین ایالاتمتحده و متفکر برجسته روابط بینالملل استدلال میکند. به دنبال انقلاب فناوری ، جهان به سمت نظم ژئوپلیتیکی جدیدی در حال حرکت است که بهجای ایدئولوژی یا مرزهای جغرافیایی، مبتنی بر فناوری است. کسینجر معتقد است که فناوری جهان را پیوستهتر خواهد کرد. در چنین فضایی، چالشهای امنیتی جدیدی آغاز خواهد شد که نیازمند ابتکارات مشارکتی است. به نظر میرسد که استراتژی امنیت سایبری آمریکا در دولت بایدن با این تفکر همسو باشد. زیرا نیاز به انطباق با ماهیت متغیر تهدیدات امنیتی در عصر دیجیتال و لزوم اتکا به اقدامات مشارکتی را برجسته میسازد.
امنیتی سازی تهدیدات غیر سنتی بهمنظور پاسخگویی مؤثر به آنها
از سوی دیگر، تدوین استراتژی امنیت ملی سایبری جدید در ایالات متحده را بهخوبی میتوان در پرتو آموزههای مکتب امنیتی کپنهاگ نیز تحلیل کرد. این مکتب، بر لزوم امنیتی سازی تهدیدات غیر سنتی بهمنظور پاسخگویی مؤثر به آنها تأکید میکند. استراتژی سایبری بایدن را میتوان تحت تأثیر این مکتب دانست. چراکه حملات سایبری را بهعنوان یک تهدید وجودی علیه امنیت ملی آمریکا در نظر گرفته که نیاز به واکنش دولت دارد.
استراتژی امنیت ملی آمریکا با شروع به اجرا نهتنها برای آمریکا، بلکه برای شرکا و رقبای آن در سرتاسر جهان پیامدهای قابلتوجهی خواهد داشت. اروپا که خود با چالشهای امنیت سایبری متعددی دستوپنجه نرم میکند و عمیقاً تحت تأثیر جنگ اوکراین و روسیه قرارگرفته است. این استراتژی را فرصتی تازه برای شروع سطح همکاریهای نزدیک و به اشترک گذاری تجربیات و تواناییها در نظر خواهد گرفت. اگرچه به همین موازات، باید نگران پتانسیل افزایش چشمگیر سطح نظارت آمریکا بر شرکتهای اروپایی آنهم به بهانه تأمین امنیت سایبری باشد.
توان سایبری چین در مقابل آمریکا
استراتژی جدید امنیت سایبری آمریکا را باید بخشی از تلاش گسترده این کشور برای مقابله با ظهور چین بهعنوان یک ابرقدرت فناوری در نظر گرفت. چین مدتها است که امنیت سایبری را بهعنوان یک اولویت کلیدی در استراتژی «Made in China 2025» شناسایی کرده و هدف نهایی خود را تبدیلشدن به یک رهبر جهانی در حوزه صنایع پیشرفته در فضای امن و به دور از هرگونه حمله سایبری اعلام کرده است. آمریکا نیز که چین را بهعنوان رقیب استراتژیک خود در نظر میگیرد، استراتژی امنیت سایبری را بهعنوان بخشی از برنامه مبارزه با توسعه چین تعریف میکند.
در نتیجه باید گفت که استراتژی سایبری بایدن صرفاً یک موضوع داخلی و محدود به ایالاتمتحده آمریکا نخواهد بود. این استراتژی در نهایت منجر به شکلگیری یک سپر سایبری میان آمریکا و متحدانش از یکسو و چین و روسیه و متحدانشان از سوی دیگر خواهد شد. راهبرد سایبری واشنگتن ، نمادی از آغاز عصر جنگهای سرد سایبری خواهد شد که در نظم ژئوپلیتیکی جدید جهان، میان غرب و شرق مرزبندی خواهد کرد.
اهمیت امنیت سایبری
در پرتو این تحولات، واضح است که امنیت سایبری بهعنوان یک موضوع حیاتی در سطح جهانی مطرح میشود. بیتوجهی نسبت به آن منجر به تغییر در موازنه قدرت و شکلگیری تهدیدات وجودی علیه امنیت ملی کشورها خواهد شد.
به نظر میرسد که باگذشت بیش از دو دهه از فراگیری اینترنت، دولتها با گذار از عصر تکمحوری و خود اتکایی ، در عرصه تأمین امنیت سایبری نیز به سمت شکلگیری پیمان امنیت دسته جمعی و استراتژیهای مشارکتی حرکت خواهند کرد. این مسیری است که ایالاتمتحده آمریکا از مدتها پیش آن را در دیگر حوزههای دفاعی و صنایع نظامی آمریکا آغاز نموده و اکنون به شکل رسمی در فضای سایبری نیز آن را به دستور کار آینده خود تبدیل نموده است.
توضیحات معاون مشاور امنیت ملی آمریکا در نشست بررسی سند استراتژی امنیت سایبری آمریکا
آنچه در ادامه میخوانید، مروری بر نشست بررسی سند استراتژی امنیت سایبری آمریکا است که توسط مرکز مطالعات استراتژیک و بینالمللی[۱] آمریکا در تاریخ سوم مارس ۲۰۲۳ برگزار شده است. حاضرین در این نشست عبارتاند از:
- جیم اندرو لوییس[۲]؛ معاون ارشد و مدیر برنامه فناوری و سیاستگذاری عمومی مرکز مطالعات استراتژیک و بینالمللی، بهعنوان مجری
- آنا نوبرگر[۳]؛ معاون مشاور امنیت ملی در امور سایبر و فناوریهای نوظهور دولت بایدن و مدیر سابق امنیت سایبری آژانس امنیت ملی آمریکا بهمدت ۱۰ سال
- کمبا والدن[۴]؛ دستیار مشاور عمومی واحد جرائم دیجیتال مایکروسافت[۵]
به نظر میرسد مسیر پیشین ما در مورد تنظیمگری امنیت سایبری دچار اشکال بوده و باید مسیر جدیدی را در این حوزه پیش بگیریم که شامل برخی اقدامات اجباری است. آیا این امر قابل تحقق است؟
آنا نوبرگر: در عصر حاضر، استراتژی امنیت سایبری یک مسئله مهم بهشمار میرود. در زمانی که شاهد رقابتهای شدید جهانی در این حوزه هستیم. پس از جنگ روسیه و اوکراین نیز شاهدیم که فضای مجازی بهعنوان یک ابزار برای دستیابی به اهداف ژئوپلتیک تبدیل شده است. این شرایط نگاه ما را به زیرساختهای دیجیتال و تعهدی که به شهروندان خود برای ارائه خدمات حیاتی داریم، تغییر داده است. مجموعه دولت، بخش خصوصی و صاحبان زیرساختهای دیجیتال باید از ایمنی، پایداری و در دسترس بودن زیرساختهای حیاتی و تحت کنترل بودن آنها اطمینان حاصل کنند. ما باید متعهد شویم که به سمت یک فضای سایبری ایمن پیش میرویم که الگویی برای اقتصاد، ارتباطات فرهنگی و تسهیل امورات مردم باشد. سند امنیت سایبری آمریکا پشتوانه این امور خواهد بود.
تجربیات ما درمورد حمله سایبری به خط لوله کولونیال در سال ۲۰۲۱، نشان میدهد که گزارشهای متعدد پژوهشگران امنیت سایبری ، تهدید های سایبری مختلفی را برای این تجهیزات پیشبینی کرده بودند. آن حادثه ، توسط یک گروه خرابکار با یک جنگ سایبری کوچک و با ابزارهای معمولی اجرا شده بود. اما سطح امنیت پایین تجهیزات ، منجر به اختلال اقتصادی و امنیتی در منطقه بزرگی در آمریکا شد.
این شروعی بود برای پاسخ به این سؤال که آیا ایمنی و امنیت زیرساختهای حیاتی کشور، پاسخگوی مقابله با چنین حملاتی هست یا خیر؟ اساساً در کشور چارچوبی برای سنجش ایمنی و امنیت زیرساختهای حیاتی کشور وجود نداشت. پس از آن حادثه در بخشهای مختلف اقداماتی برای شناسایی مسئولین امنیت زیرساختهای حیاتی ایالات متحده امریکا ترتیب داده شد. ما ابتدائاً برای زیرساختهای خطوط لوله و سپس برای راهآهن و هواشناسی و دیگر بخشها این چارچوب مسئولیتی را احصاء کردیم که طبق زمانبندی اجرا خواهد شد.
ساختاری برای این امر طراحی شده که نشان میدهد آیا مسئول مشخصی برای بخشهای مختلف هریک از زیرساختهای حیاتی وجود دارد یا خیر؟ و اینکه آیا هریک از این افراد آموزشهای لازم را دریافت کردهاند یا خیر؟ و در این مرحله استراتژی کمک میکند تا مسیرهای پیشرو بهدرستی طی شود. این استراتژی حداقلهای لازم برای تأمین امنیت سایبری و اطمینان از پیادهسازی آن را ارائه میکند. این استراتژی دو سال آتی برای پیادهسازی امنیت در آمریکا را تصویر میکند.
کمبا والدن؛ درمورد تجربه خط لوله، یک مهندس ساده مسئولیت کلیه امور امنیت سایبری را برعهده داشت و این محل بروز مشکل بود. ما در این استراتژی ساختار امنیتی آمریکا تلاش میکنیم، مهارتهای مسئولین امنیت سایبری را برای از بین بردن شکاف سایبری کاهش دهیم. این قاعدهگذاری و تنظیمگری ایمنی و امنیت سایبری در امریکا بهصورت هوشمندانه و در ارتباط کامل با مالکان و صاحبان زیرساختهای دیجیتال صورت میگیرد.
باتوجه به تجربیاتی که از گذشته درمورد نیروهای بازار و چالشهای تغییر در آنها وجود دارد، چگونه میتوان آنها را قانع کرد که این تغییرات را در سازوکارها اعمال کنند؟ مشوقهای پیشبینیشده، چگونه میتوانند نیروهای بازار را به اعمال تغییرات وادار کند؟
آنا نوبرگر؛ ما در تلاش برای ایجاد مزیتهای رقابتی لازم برای صاحبان زیرساختهای دیجیتال هستیم تا بتوانیم چارچوب امنیتی مورد اطمینان را ایجاد کنیم. این اتفاق از مسیر مشورتهای مستمر با سهامداران بخش خصوصی و جامعه مدنی رخ خواهد داد. طراحی مبتنیبر امنیت که ما را به یک جامعهی صنعتی امنیتمحور تبدیل کند. ما نیازمند نوآوریهایی برای ایجاد بازارهای امن هستیم.
دراین زمینه باید به نقش قوانین و مقررات دولتی اشاره کرد. چنانکه در فرمان اجرایی رئیسجمهور در سال ۲۰۲۱ پیرامون امینت سایبری ذکر شد. طبق این قاعدهگذاری، نرمافزارهای خریداریشده توسط دولت برای حوزه زیرساخت، باید استانداردهای امنیتی مورد نیاز را داشته باشد. ازاینرو مؤسسه ملی استاندارد و فناوری موظف شد تا استانداردهای لازم فضای سایبری برای این حوزه را تدوین کند.
دفتر مدیریت و بودجه کاخ سفید نیز راهنماییهای لازم را برای پیمانکاران صادر کرده. نهایتاً دستورالعملهایی برای تأیید شرکتهای نرمافزاری صادر میکند که در حال اعمال است. این استانداردها به شرکتها کمک میکند تا سطح خود را در بازار ارتقاء دهند.
یکی دیگر از ابزارهای دولت، استفاده از رتبهبندی نرمافزارها از نظر امنیتی است. این الزام که برای مثال درمورد محصولات اینترنت اشیاء اجرایی شده، به مشتریان قدرت انتخابهای بهتر از نقطهنظر امنیت را میدهد. در این مسیر از انجمنهای تولیدکنندگان محصولات نرمافزاری خواستهایم تا با استفاده از این ابزار، انتخاب را برای مصرفکننده آسان کنند.
آیا در استراتژی امنیت سایبری امریکا درمورد سرویسهای پایه نظیر سرویسهای ابری هم الزامات نظارتی در نظر گرفته شده است؟
آنا نوبرگر و کمبا والدن؛ توسعه خدمات ابری یکی از ابزارهای برونسپاری امنیت خدمات اینترنتی بهشمار آمده. میتواند رسیدگی به مشکلات امنیتی صاحبان سرویس را تسریع کند. چراکه حجم انبوه دادهها در سامانههای رایانش ابری به تشخیص فعالیتهای مخرب و رفع آن کمک میکند. ازاینرو در استراتژی امنیت فضای سایبری ایالات متحده ، برای سامانههای ارائهدهنده خدمات ابری ، بهعنوان یک بخش پایه، لایه بالاتری از استانداردهای امنیتی در نظر گرفته شده است. همچنین این شرکتها موظفاند تا استانداردهای جدیدی را از نظر تعداد نیروی انسانی فعال در حوزه امنیت سامانههای خدمات ابری آمریکا اجرا کنند.
نحوه مواجهه با مهاجمان حملات سایبری در این استراتژی چگونه خواهد بود؟
آنا نوبرگر و کمبا والدن؛ در این زمینه باید ضمن بالا بردن هزینههای جنگ سایبری ، سودآوری آن را نیز کاهش داد. نباید اجازه داد تا از امکانات بخش خصوصی و دولتی برای انواع حملات سایبری استفاده شود. مجموعه ۵ آژانس امنیت سایبری آمریکا در تدوین دستورالعملها و پیشبرد امور ما را همراهی میکنند. همچنین ما از تمامی ظرفیتهای تحریمی برای این مهم استفاده خواهیم کرد. برای مثال تحریم صرافیهای کریپتوکارنسی یکی از اقداماتی بود که در زمینه امنیت سایبری انجام شد. و دیگر اقدام، لزوم پاسخگو کردن دولتها در پیگرد و مجازات مجرمان سایبری است که نیازمند پیگیریهای بینالمللی است. ازاینرو تعامل با سران کشورهای دیگر یکی از اولویتهای کاری ما خواهد بود.
باید این موضوع مورد بررسی قرار گیرد که زیرساختهای غربی چه میزان برای حملات سایبری مورد استفاده قرار میگیرد. شما در این زمینه اقدامی خواهید کرد؟
آنا نوبرگر و کمبا والدن؛ یکی از استانداردهای بینالمللی که در سازمان ملل توسط کشورها مورد استقبال قرار گرفت، اصلاح هنجارهای سایبری در فضای IP بود. طبیعی است که زیرساختهای غربی نیز توسط مهاجمان برای حملات سایبری مورد استفاده قرار گیرد. ما در ۱۸ ماه گذشته بر کریپتوکارنسیها و اکوسیستم آن تمرکز کردیم. کاخ سفید نیز با برگزاری اجلاس ابتکار عمل مبارزه با باجافزارها در سال گذشته که با حضور ۳۶ کشور و اتحادیه اروپا برگزار شد، گام بلندی برای راهبری مبارزه با حملات سایبری برداشت. تلاش برای تصویب استانداردهای بینالمللی مبارزه با جرایم سایبری و تبدیل آنها به هنجارهای جهانی میتواند کشورهایی را که در فضای سایبری غیرمسئولانه عمل میکنند، تعدیل کرده و با عواقب تحریمی مواجه کند.
جمع بندی
استراتژی جدید امنیت سایبری آمریکا دولت بایدن نشاندهنده تغییرات قابلتوجهی در رویکرد ایالاتمتحده نسبت به فضای سایبری است. یکی از تفاوتهای قابلتوجه این استراتژی با اقدامات و استراتژیهای پیشین آمریکا، تمرکز بر دفاع جمعی و مشارکت با بخش خصوصی و متحدان بینالمللی است. این استراتژی به دنبال ایجاد یک سپر دفاعی سایبری در اطراف آمریکا و شرکای استراتژیک آن است که بیانگر آغاز عصر شکلگیری پیمانهای سایبری و مشارکتهای فعال بینالمللی خواهد بود.
سند امنیت سایبری آمریکا پاسخی به تهدیدات پیچیده و در حال تحول سایبری است. ایالاتمتحده در طول سالهای اخیر با آن مواجه بوده و به شکل مستمر نیز بیشتر و پیچیدهتر میشود. حملات سایبری نیابتی به زیرساختهای حیاتی، سازمانهای دولتی و مشاغل آمریکا بهشدت افزایشیافته. نگرانیهای فزایندهای در مورد سطح آسیبپذیری این کشور در برابر تهدیدات سایبری به وجود آورده است. رسالت استراتژی امنیت سایبری مقابله با این چالشها و اتخاذ رویکرد پیشگیرانه بر اساس اصل دفاع فعال است.
همانطور که در این گزارش مشخص شد، یکی از راههای اصلی این استراتژی برای دستیابی به این هدف، تأکید بر اهمیت مشارکت در دفاع سایبری است. این استراتژی تأکید میکند که هیچ نهاد واحدی در بخش خصوصی و دولتی نمیتواند بهتنهایی بر چالشهای امنیت سایبری ایالات متحده غلبه کند. در عوض، رویکردی هماهنگ را ارائه میدهد که تمامی ذینفعان از جمله متحدان بینالمللی را در مواجه با تهدیدات درگیر میکند.
سطح مشارکت تعریفشده برای بخش خصوصی در این استراتژی قابلتوجه است. بخش خصوصی بسیاری از زیرساختهای حیاتی آمریکا از جمله شبکههای تأمین برق، سیستمهای مالی و شبکههای حملونقل را در اختیار دارد و آن را اداره میکند. سند امنیت ملی آمریکا با ایجاد مکانیسمهای حمایتی مختلف، بخش خصوصی را تشویق به مشارکت فعالانه در مواجهه با تهدیدات سایبری میکند.