بررسی رویدادهای مهم امنیت سایبری در سال 2023
زاویه؛ سال ۲۰۲۳ نقطه عطفی در حوزه امنیت سایبری و سیاستگذاری بود. در ۲ مارس ۲۰۲۳، دولت بایدن از «راهبرد ملی امنیت سایبری» خود رونمایی کرد که سندی محوری و بلندمدت است. این راهبرد برنامهای جاهطلبانه را برای حفظ برتری ایالاتمتحده آمریکا در فضای مجازی و افزایش امنیت و تابآوری سیستمهای فنی حیاتی در اقتصاد و جامعه ترسیم میکند. پس از انتشار «راهبرد ملی امنیت سایبری»، «طرح اجرایی» و «راهبرد ملی آموزش و توانمندسازی نیروی کار سایبری» در تابستان همان سال منتشر شدند. فراتر از انتشار این استراتژیها، سال ۲۰۲۳ شاهد پیشرفتهای قابلتوجهی در زمینه امنیت سایبری بود. نقضهای امنیتی قابلتوجهی رخ داد که منجر به هکهای گسترده علیه سازمانهای مختلف از جمله TMobile، 23andMe، زیرساختهای حیاتی در گوآم و ارتش اوکراین در درگیریهای جاری با روسیه شد.
برای بررسی وضعیت امنیت سایبری در سال 2023، گروهی از اعضای ارشد شورای آتلانتیک گرد هم آمدند تا در مورد سازمانها و ابتکاراتی که تأثیرات مثبتی داشتهاند و همچنین زمینههایی که برای پیشرفت در آینده نیاز به بهبود دارند، بحث و گفتگو کنند.
- آمیلی کوران [1]، پژوهشگر ارشد غیرمقیم شورای آتلانتیک، اظهار داشت که سازمان یا نهادی که بیشترین تأثیر را بر امنیت سایبری در سال ۲۰۲۳ داشت، Progress Software و سرویس انتقال فایل آن معروف به MOVE it بوده است. این سرویس در طول سال با نقضهای امنیتی متعدد بهعنوان یک عامل قابل توجه شناخته شد. MOVE it سازمانهای بخش خصوصی و دولتی را در سراسر جهان تحت تأثیر قرار داد که بیش از ۸۰ درصد از گروههای آسیبدیده آن در ایالاتمتحده آمریکا مستقر بودند. بهندرت در سال ۲۰۲۳ خبری از امنیت سایبری بدون ذکر MOVE it منتشر میشد.
- جاستین شرمن[2]، کارشناس ارشد غیرمقیم شورای آتلانتیک، به تأثیر مثبت مرکز ملی امنیت سایبری بریتانیا (NCSC) اشاره کرد. این مرکز همچنان به ارائه حفاظتهای داوطلبانه و سیستمی برای امنیت اینترنت در شبکهها و سازمانهای بریتانیا ادامه میدهد. بااینحال، او همچنین به اقدام دولت چین در ملزم کردن شرکتها به افشای آسیبپذیریهای نرمافزاری اشاره کرد که این امر خطرات هک شدن را برای ایالاتمتحده آمریکا و سایر کشورها افزایش میدهد.
- مگی اسمیت[3] با مثال مایکروسافت، دوگانگی امنیت سایبری را تشریح کرد. درحالیکه این شرکت به اوکراین کمک کرد، خود نیز قربانی هک بازیگران چینی شد که به ایمیلهای دولتی آمریکا دسترسی پیدا کردند. این حادثه نشان داد که هیچکس در دنیای مجازی هرگز کاملاً ایمن نیست.
- بابی استمفلی[4]، تأثیر موسسه ملی استانداردها و فناوری (NIST) [5]و انتشار استانداردهای رمزنگاری پساکوانتومی توسط این موسسه را برجسته کرد که پیامدهای قابلتوجهی برای امنیت ملی دارد.
- جان اسپید مایرز[6] ، تأیید کرد که عدم وجود یک مقیاس استاندارد برای اندازهگیری امنیت سایبری، ارزیابیهای عینی را به چالش میکشد. بااینحال، او با نام بردن از توسعهدهندگان نرمافزار C و C++، به تأثیر منفی بالقوهی آنها اشاره کرد.
در مورد تأثیرگذارترین سیاست یا ابتکار در حوزه امنیت سایبری در سال ۲۰۲۳، اعضای شورای آتلانتیک دیدگاههای متنوعی ارائه کردند:
- کوران بر اهمیت راهبرد ملی امنیت سایبری ایالاتمتحده آمریکا تأکید کرد. این سند با وجود نواقصی که دارد، بهعنوان یک نقطه شروع خوب برای حفظ رهبری ایالاتمتحده آمریکا در سیاستهای امنیت سایبری عمل کرده است.
- شرمن علاوه بر راهبرد ملی، به اهمیت مقررات مورد تأکید در آن نیز اشاره کرد. این تأکید نشاندهنده تغییر در سیاست سایبری ایالاتمتحده آمریکا است که به دنبال رفع ناکارآمدیهای بازار در سرمایهگذاری امنیت سایبری میباشد.
- اسمیت بر اهمیت راهبرد سایبری وزارت دفاع تأکید کرد. این راهبرد بهطور واضح محدودههای حقوقی وزارت دفاع را مشخص کرده و شرایط محدودی را که نیروهای سایبری نظامی در دفاع از زیرساختهای حیاتی غیرنظامی در آن مشارکت خواهند داشت، روشن ساخته است.
- استمفلی تأثیر حکم دادگاه استیناف ایالتی دلاور را برجسته کرد که مسئولیت و وظیفه مراقبت را از «مدیران ارشد» به «مدیران اجرایی» گسترش داد. این حکم منجر به گفتگوهای گسترده در کل سازمانها در مورد خطرات تهدیدات سایبری شده است و به احتمال زیاد به استانداردسازی و شفافیت بیشتری در مورد نقش مدیران ارشد و میانی امنیت اطلاعات منجر خواهد شد.
در پایان، کارشناسان و همکاران شورای آتلانتیک در مورد مهمترین حوادث سایبری سال ۲۰۲۳ که بهاندازه کافی به آن توجه نشده است، به گفتگو پرداختند.
- کوران تأکید کرد که حوادث نقض دادههای TMobile به خوبی این موضوع را نشان میدهند که شرکت نتوانسته از سوابق نقض دادههای گذشتهاش درس بگیرد و نظام قانونی کنونی نیز نتوانسته از تکرار و تأثیر این حوادث جلوگیری کند.
- شرمن به چندین مورد اشاره کرد، از جمله هک سیستمهای زیرساخت حیاتی ایالاتمتحده آمریکا توسط گروهی تحت حمایت دولت چین، سوءاستفاده هکرها از آسیبپذیری log4j برای فروش اطلاعات به سرویسهای «proxy ware» و توسعه بدافزار توسط سازمان اطلاعات نظامی روسیه برای هدف قرار دادن و جاسوسی از دستگاههایاندروید اوکراینی.
- اسمیت بر هک شدن شرکت تست ژنتیک 23and Me تأکید کرد که نگرانیها در مورد امنیت اطلاعات ژنتیکی حساس جمعآوریشده برای اهداف تجاری و خطرات بالقوه برای گروههای به حاشیه رانده شده در صورت سرقت این دادهها را تأیید کرد.
- استمفلی به تأثیر عدم گزارش و پنهانکاری در خصوص حملات باج افزار بر امنیت عمومی اشاره کرد و به مطالعهای استناد کرد که نشان میداد حملات باج افزار به بیمارستانها و مراکز بهداشتی در 44٪ موارد موردمطالعه، مانع مراقبت از بیماران و منجر به نتایج منفی برای بیماران شده است.
[1] Amélie Koran
[2] Justin Sherman
[3] Maggie Smith
[4] Bobbie Stempfley
[5] National Institute for Standards and Technology
[6] John Speed Meyers