روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ این اولین نسخه تحلیل خط‌مشی‌مان و مشاهدات ترند در بخش رگولاسیونِ فضای سایبری و امنیت سایبری است که به طور بولتن ارائه می‌دهیم. امسال، سال چالش‌برانگیزی بود: تنش‌های پیاپی در روابط بین‌الملل تأثیر زیادی هم روی حوزه سایبری و هم در حوزه امنیت سایبری گذاشت. علاوه بر این، در ادامه مشاهدات کلیدی‌مان را در خصوص ترندهایی که باور داریم هایلایت‌های امسال (2022) بوده‌اند و پتانسیل این را دارند که آینده فضای سایبری سال 2023 را شکل دهند ارائه داده‌ایم. با ما همراه بمانید.

1.      از هم‌پاشیدگی به قطبی بودن تبدیل می‌شود: دولت‌ها و جوامع چند ذی‌نفعی همگی به شدت از هم پاشیده و تقسیم شده‌اند و  گروه‌هایی را تشکیل داده‌اند که بر پایه همگرایی فکری است.

از هم‌پاشیدگی[1] فضای سایبری که پیشتر مشاهده شد و در مورد گفت‌وگوهایی هم شد –به طور خاص اینترنت که بدان اسپلینترنت[2] یا بالکانیزه کردن اینترنت[3] هم می‌گویند- به طور کلی در حال گرفتن شکلی جدید است. در گذشته شاهد اولین علایم دیدگاه‌های متفاوت دولت‌ها در مورد نحوه تنظیم قانون روی فضای سایبری و امنیت سایبری بوده‌ایم. گرچه به هیچ‌وجه همه دولت‌ها وارد این عرصه نشدند اما چندتایی هم بودند که تصمیم گرفتند قوانین اولیه‌ای با اثر فراسرزمینی[4] (مانند GDRP اتحاده اروپا که برای بسیاری از سازمان‌های بیرون اتحادیه اروپا الزامات فراسرزمینی وضع کرد) تنظیم کردند که این اثر بیشتری تولید کرد؛ حتی فراتر از مرزهای ملی. اما سال 2022 چندپارگی و این از هم‌پاشیدگی موجود را اصلاح کرده است. هنوز این پدیده وجود دارد ولی تنها میان اتحادهای نوظهور همفکر که این نه تنها دولت‌ها را که حتی عاملین غیردولت را نیز پوشش می‌دهد.

جنگ اوکراین نیز قطبی بودن بین گروه‌های مختلف دولتی و جوامع را نیز عمیق‌تر کرده است. بزرگ‌ترین چالش‌ها ریشه در جامعه امنیت آی‌تی دارد (که به طور سنتی به هم پیوسته است و قرار است در فضای سایبری نقش آتش‌نشانی بی‌طرف و خنثی را ایفا کند) که همچنین به گروه‌های بسته جداگانه نیز تقسیم می‌شوند. برای مثال، تالار جهانی تیم‌های امنیتی و واکنش به رخداد (FIRST) همه سازمان‌های عضو که خاستگاهشان روسیه یا بلاروس بود به حالت تعلیق درآورد و در نتیجه اصل اساسی اعتماد در حوزه امنیت سایبری را تضعیف نمود. چنین تصمیمی همچنین جلوی تبادل بیشتر اطلاعات تهدید را بین مسئولین واکنش به رخدادهای سایبری گرفت.

شاید به طور طبیعی، این موضوع محل بحث خیلی‌هایی شده باشد که به دلیل لانچ کردن جوامع جایگزین خود طرد شدند. قطبی شدن فزاینده در فضای سایبری برای بسیاری از ما ریسک امنیتی به همراه دارد با توجه به اینکه تهدیدها و رخدادهایی که با آن‌ها مواجه هستیم ماهیتشان بدون مرز است! حتی وقتی قصد اولیه عاملین تهدید هدف قرار دادن سازمان خاصی هم باشد این می‌تواند براحتی به سایبر زنجیره تأمین‌های ICT نیز سرایت کند و حتی کلی از تارگت اولیه فاصله گیرد (برای مثال در مورد واناکرای همین اتفاق افتاد). سوال این است که آیا سازمان‌هایی که قانون‌گذاری‌های مختلف دارند خواهند توانست با همدیگر تبادل اطلاعات تهدید کنند و خواهند توانست برای واکنش به رخداد به صورت برون مرزی مشارکت داشته باشند؟ برخی‌شان این کار را خواهند کرد اما به طور کلی موانع بیشتری بر سر این راه ظاهر خواهد شد و همین ریسک‌های امنیتی را نیز ایجاد خواهد کرد.

2.      بومی‌سازی فناوری و «حاکمیت دیجیتال[5]» دیگر فقط در مورد داده نیست

جهانی شدن هنوز تا سال 2022 نیز با ماست اما دارد کم کم محبوبیت خود را از دست می‌دهد: حرکتی به سمت خرید محصولات بومی یا خانگی صورت گرفته زیرا می‌تواند امن‌تر باشد. متأسفانه فضای سایبری و بخش فناوری از قبل برای رقابت ژئواستراتژیک و اقتصادی بین دولت‌ها به یک عرصه واحد تبدیل شده است و این درحالیست که مفاهیمی با تعریف گُنگ (که اغلب این گُنگی، عامدانه بوده است) در مورد «حاکمیت دیجیتال»، «حاکمیت داده»، «استقلال استراتژیک[6]» و غیره در جوامع مختلف دارند بیشتر مورد بحث قرار می‌گیرند- از تصمیم‌گیرندگان گرفته تا رسانه‌ها. گرچه اینها اوایل اقداماتی پنداشته می‌شدند از سوی دولت‌ها برای تنظیم قانون و محافظت داده (بعد از پیدایش اولین لوکالیزاسیون داده) اما اکنون پتانسیل این را دارند که حوزه‌های بیشتری را تحت‌الشعاع قرار دهند؛ از جمله میکروچیپ و سایر حوزه‌های تولید سخت‌افزار و نرم‌افزار. در برخی بخش‌های مهم حوزه‌های فضایی که به لحاظ سایبری بالغند این از قبل وجود داشته است: بیشتر شرکت‌های خانگی برای خرید ترجیح داده می‌شوند. اما آیا می‌شود این را به بازار مصرفی نیز بسط داد؟ اگر چنین است، در بستر جهانی، کاررد همه‌جانبه‌ی قوانین لوکالیزاسیون داده احتمالاً برای امنیت سایبری چالش‌هایی خواهد آورد.

با توجه به اینکه چشم‌انداز تهدید سایبری قابیت دید کمی دارد، احتمال توسعه ابزارهای مؤثر شناسایی یا تولید هوش تهدید با کیفیت بالا به مراتب کمتر خواهد شد. این ریسک‌ها اگر کشورهای بیشتری قوانین بومی کردن داده را روی بازارهای خود پیاده کنند افزایش پیدا خواهند کرد. از این رو دو راهی‌ای بوجود خواهد آمد که در آن، اقدامات برای ارائه امنیت سایبری بیشتر از طریق تقویت امنیت داده در واقع می‌تواند به امنیت سایبری ضعیف‌تری منجر شود (قابلیت دید و هوش تهدید کمتر). راهکار در گروی توسعه رویکردهای هوشندانه رگولاسیون است و نیز تعریف معیارهای واضح امنیتی برای فروشندگان که تا حدی مورد اعتماد باشند که بتوانند داده‌های مربوط به تهدید سایبری را پردازش کنند.

3.      آیا دیپلماسی و امنیت سایبری بین‌المللی هنوز وجود دارد؟ اگر چنین است امسال حسابی خود را عقب کشیده‌اند!

کسپرسکی به طور فعالانه‌ای در اقدامات چند ذی‌نفعی بسیاری دخیل بوده است؛ هدف این اقدامات پیشبرد دیپلماسی سایبری شامل اتحادیه اروپا و سطوح منطقه‌ای است. اگر بخواهیم شخصی صحبت کنیم، سال 2022 محل بحث دیپلماسی و امنیت سایبری بین‌المللی بود اما این بحث‌ها کمتر همه‌گیر و عمیق شدند. این به چه معناست؟ جنگ اوکراین و تنش‌های مداوم در مناسبات بین‌المللی، مسائل مربوط به امنیت به معنای متعارف آن را در دستور کار قرار داده است که حوزه سایبری تنها یکی از جنبه‌های آن است. آنچه را قرار است اتفاق بیافتد نمی‌شود پیش‌بینی کرد اما اگر فعالیت نظامی ادامه‌دا باشد، دیپلماسی سایبری احتمالاً به تعویق می‌افتد. با این همه امید داریم از بین نرود!

4.      جنگ سایبری تمام‌عیار هنوز رخ نداده و این خبر خوبیست! اما ظاهراً به چالش پیچیده‌تری برخورده‌ایم: عملیات‌های هیبریدی

آرماگدون سایبری هنوز اتفاق نیافتاده. گرچه بسیاری از متخصصین آن را پیش‌بینی کرده‌اند اما هنوز در جنگ فعلی اوکراین متجلی نشده است. این حتماً که خبر خوبیست. در عین حال متأسفانه رخدادهای آشکار نشان دادند که تسلیحات سایبری دارند در جنگ‌های ترکیبی استفاده می‌شود؛ جایی که اقدامات هم در قلمروی دیجیتال (شامل دستکاری داده و عملیات‌هایی با اطلاعات غلط) و هم در زمین نبرد اتفاق می‌افتند. چالش این است که جامعه بین‌المللی برای مدیریت این چالش واکنش‌های روشنی نداده است و احتمال دارد هر راهکار تکنولوژیکی و فنی نیز ناکافی باشد.

5.      مسئولیت محصولات دیجیتالی: حوزه جدید در تلاش‌های نظارتی آتی

برچسب‌های ایمنی و امنیت هنوز برای نرم‌افزارها وجود ندارند. و جایی که آسیب‌پذیری می‌تواند ریسک‌های ایمنی و امنیتی بوجود آورد، کاربران می‌مانند باید مراتب را به کجا برسانند و به کدام محکمه داد خود را برسانند. تا اینجای کار، رویکردهای قانون‌گذاری عمودی مختلفی راهکارها برای کاربران ارائه داده‌اند مانند قوانین محافظت داده شخصی برای مواردی که در آن، داده‌های شخصی تحت‌الشعاع قرار گرفته‌اند. بخش مالی و بانکداری نیز بخوبی وضع قانون شده است. اما در مورد یک اپ ویرایش عکس که در بازار به طور انبوه وجود دارد چه؟ اگر تعقیب‌افزاری آن را اکسپلویت کند چه؟ آیا توسعه‌دهنده اپ پاسخگو خواهد بود؟

برخی از مراجع قضایی ظاهراً پاسخ را می‌دانند. اتحادیه اروپا –که اصولاً عُرف‌ساز است- جزو اولین‌هایی بود که پیش‌نویس قانونی را داد تحت عنوان Cyber Resilience Act که در آن افراد یا نهادهای خاطی درست به اندازه قانون GDPR جریمه می‌شوند (این قانون‌گذاری حسابی قاعده بازی را عوض کرد!). در مورد آمریکا هم باید بگویم تلاش‌هایی در راستای تعریف معیارهای اصولی برای برچسب‌گذاری امنیت سایبری نرم‌افزارهای مصرفی انجام شده. احتمالاً سال آینده به بعد سایر دولت‌ها هم به این نتیجه می‌رسند که رگولاسیون توسعه نرم‌افزار ایده خوبیست و می‌شود حتی در نتیجه‌ی رویکردهای مختلفی که دولت‌ها اتخاذ می‌کنند شاهد از هم‌پاشیدگی بیشتری بود.

[1] Fragmentation

[2] splinterne

[3] balkanization of the internet

[4] extraterritorial effect

[5] digital sovereignty

[6] strategic autonomy

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.