قوانين الأمن الإلكتروني أو كما تسمى غالباً بـ "الأمن السيبراني" هي لوائح تشتمل على توجيهات متخصصة لحماية تقنية المعلومات وأنظمة الحاسب بغرض إجبار الشركات والمؤسسات على حماية أنظمتها ومعلوماتها من الهجمات الإلكترونية مثل الفيروسات والديدان وأحصنة طروادة والتصيد وهجمات رفض الخدمة (DOS) والوصول غير المصرح به كسرقة الملكية الفكرية أو المعلومات السرية وهجمات نظام التحكم وغيرها. هناك العديد من التدابير المتاحة لمنع الهجمات الإلكترونية.
تشمل هذه التدابير في الأمن السيبراني بناء سياسات وضوابط وأنظمة مثل إنشاء جدران الحماية وبرامج مكافحة الفيروسات وأنظمة كشف التسلل والوقاية منها والتشفير وكلمات المرور في عمليات تسجيل الدخول. كانت ولازالت هناك محاولات لتحسين الأمن السيبراني من خلال التنظيم والجهود التعاونية بين الحكومة والقطاع الخاص لتشجيع التحسينات الطوعية للأمن السيبراني. لاحظ مسؤولين ومنظمين الصناعة ، بما في ذلك المنظمون والشركاء المصرفيون المخاطر الناجمة عن الأمن السيبراني وبدأوا يخططون للبدء في إدراج الأمن السيبراني كجانب من جوانب الإختبارات التنظيمية.
نظرة عامة
في عام 2011 ، أصدرت وزارة الدفاع الأمريكية دليلاً يطلق عليه "إستراتيجية وزارة الدفاع للعمل في الفضاء السيبراني" والذي يحدد خمسة أهداف: 1- التعامل مع الفضاء الإلكتروني كمجال تشغيلي ، 2- استخدام مفاهيم دفاعية جديدة لحماية شبكات وأنظمة وزارة الدفاع ، 3- الشراكة مع وكالات أخرى والقطاع الخاص, 4- السعي إلى تطبيق "إستراتيجية الأمن السيبراني للحكومة بأكملها" ، 5- العمل مع الحلفاء الدوليين لدعم الأمن السيبراني الجماعي ودعم تطوير القوى العاملة السيبرانية القادرة على الإبتكار التقني السريع.
تقرير مكتب محاسبة الحكومة الصادر في مارس 2011 حدد وصنف حماية أنظمة معلومات الحكومة الفيدرالية والبنية التحتية للإنترنت في أمريكا كمنطقة وعنصر عالي الخطورة على مستوى الحكومة" مع الإشارة إلى أن أمن المعلومات الفيدرالي قد تم تعيينه كمنطقة شديدة الخطورة منذ عام 1997. في عام 2003 , تم إدراج حماية البنية التحتية الحرجة و حماية البنية التحتية الحيوية السيبرانية (CIP).
في شهر نوفمبر من عام 2013 ، أصدرت وزارة الدفاع الأمريكية قاعدة ونظام الأمن السيبراني الجديد وهو (78 Fed. Reg. 69373) ، والذي فرض هذا النظام بعض المتطلبات على المقاولين مثل: الإمتثال لمعايير NIST IT والإبلاغ الإلزامي عن حوادث الأمن السيبراني إلى وزارة الدفاع الأمريكية.
وجد تقرير ينتمي للكونجرس في شهر يونيو من عام 2013 أن هناك أكثر من 50 قانوناً يتعلق بالإمتثال لقواعد وضوابط لوائح الأمن السيبراني. الجدير بالذكر أن قانون إدارة أمن المعلومات الفيدرالي لعام 2002 (FISMA) يعد أحد القوانين الأساسية التي تحكم أنظمة الأمن السيبراني الفيدرالية.
الولايات المتحدة الأمريكية
الحكومة الفيدرالية
هناك عدد قليل من لوائح الأمن السيبراني الفيدرالية ، وترتكز اللوائح الموجودة على صناعات محددة. اللوائح الثلاثة الرئيسية للأمن السيبراني هي "قانون قابلية ومساءلة التأمين الصحي لعام 1996 (HIPAA)" ، و "قانون Gramm-Leach-Bliley لعام 1999"، وقانون الأمن الداخلي لعام 2002 الذي تضمن قانون إدارة أمن المعلومات الفيدرالي (FISMA). تنص كل اللوائح الثلاثة على أنه ينبغي على مؤسسات الرعاية الصحية والمؤسسات المالية والوكالات الفيدرالية حماية أنظمتها ومعلوماتها. على سبيل المثال، FISMA و الذي ينطبق على كل وكالة حكومية يتطلب تطوير وتنفيذ سياسات إلزامية و مبادئ ومعايير وإرشادات حول أمن المعلومات. ومع ذلك، لا تتناول اللوائح العديد من الصناعات ذات الصلة بالحاسوب مثل مزودي خدمة الإنترنت وشركات البرمجيات. علاوة على ذلك ، لا تحدد اللوائح تدابير الأمن السيبراني التي يجب تنفيذها ولا تتطلب سوى مستوى "معقول" من الأمان. اللغة الغامضة لهذه اللوائح تترك مجالاً للتفسير, حيث يقول بروس شنير (Bruce Schneier) مؤسس شركة "كوبرتينو" لأمن الإنترنت, أن الشركات لن تقوم بعمل إستثمارات كافية في مجال الأمن السيبراني ما لم تجبرها الحكومة على القيام بذلك. ويذكر أيضاً أن الهجمات الإلكترونية الناجحة على الأنظمة الحكومية لا تزال تحدث رغم الجهود الحكومية.
لقد اقترح أن قانون جودة البيانات يمنح مكتب الإدارة والميزانية بالفعل السلطة القانونية لتنفيذ لوائح حماية البنية التحتية الحيوية من خلال عملية وضع قواعد قانون الإجراءات الإدارية . لم يتم فحص الفكرة بالكامل وستتطلب تحليلًا قانونيًا إضافيًا قبل البدء في وضع القواعد .
حكومات الولايات
حاولت حكومات الولايات تحسين الأمن السيبراني من خلال زيادة ظهور الجمهور للشركات ذات الأمن الضعيف. في عام 2003 ، أقرت كاليفورنيا قانون الإخطار الأمني ، والذي يتطلب أن تقوم أي شركة تحتفظ بمعلومات شخصية عن مواطني كاليفورنيا ولديها خرق أمني بالكشف عن تفاصيل الحدث. تتضمن المعلومات الشخصية الاسم أو رقم الضمان الاجتماعي أو رقم رخصة القيادة أو رقم بطاقة الائتمان أو المعلومات المالية. والجدير بالذكر، انه قد اتبعت عدة ولايات أخرى مثال كاليفورنيا وأصدرت لوائح مماثلة للإخطار بالأمن. إن لوائح الإخطار بانتهاك الأمان هذه تعاقب الشركات على إخفاقاتها في مجال الأمن السيبراني مع منحها حرية اختيار كيفية تأمين أنظمتها. أيضًا ، تخلق اللائحة حافزًا للشركات للاستثمار طوعًا في الأمن السيبراني لتجنب الفقد المحتمل للسمعة والخسارة الاقتصادية الناتجة التي يمكن أن تأتي من هجوم سيبراني ناجح.
في عام 2004 ، أقر المجلس التشريعي لولاية كاليفورنيا مشروع قانون جمعية كاليفورنيا 1950 ، والذي ينطبق أيضًا على الشركات التي تمتلك أو تحافظ على المعلومات الشخصية لسكان كاليفورنيا. تملي اللوائح على الشركات للحفاظ على مستوى معقول من الأمن وأنها تتطلب ممارسات أمنية تمتد أيضا إلى شركاء الأعمال. يعد هذا التنظيم بمثابة تحسين للمعيار الفيدرالي لأنه يوسع عدد الشركات المطلوبة للحفاظ على مستوى مقبول من الأمن السيبراني. ومع ذلك ، مثل التشريع الفيدرالي ، فإنه يتطلب مستوى "معقول" من الأمن السيبراني ، والذي يترك مجالًا كبيرًا للتفسير حتى يتم تأسيس السوابق القضائية.
التنظيم المقترح
اقترح الكونجرس الأمريكي العديد من مشاريع القوانين التي تتوسع في تنظيم الأمن السيبراني. يعدل قانون أمن بيانات المستهلك والإشعار به قانون Gramm-Leach-Bliley ليطلب الكشف عن المخالفات الأمنية من جانب المؤسسات المالية. اقترح أعضاء الكونغرس أيضًا "توسيع Gramm-Leach-Bliley لتشمل جميع الصناعات التي تمس المعلومات المالية للمستهلك ، بما في ذلك أي شركة تقبل الدفع عن طريق بطاقة الائتمان." اقترح الكونغرس لوائح الأمن السيبراني على غرار قانون الإخطار الأمني الخاص بكاليفورنيا للشركات التي تحتفظ بمعلومات شخصية. يتطلب قانون حماية المعلومات والأمن من سماسرة البيانات "ضمان دقة البيانات وسريتها ، ومصادقة وتتبع المستخدمين ، والكشف عن النشاط غير المصرح به ومنعه ، وتخفيف الضرر المحتمل للأفراد".
بالإضافة إلى مطالبة الشركات بتحسين الأمن السيبراني ، يدرس الكونغرس أيضًا مشاريع القوانين التي تجرم الهجمات الإلكترونية. قانون حماية نفسك ضد قانون التعدي على الإنترنت ( SPY ACT ) كان مشروع قانون من هذا النوع. ركزت على مشروع قانون التصيّد وبرامج التجسس وتمت الموافقة عليه في يوم 23 من شهر مايو لعام 2005 في مجلس النواب الأمريكي ولكنه توقف في مجلس الشيوخ الأمريكي . مشروع القانون "يجعل من غير القانوني الاستخدام غير المصرح به لجهاز الكمبيوتر للسيطرة عليه ، وتعديل إعداداته ، وجمع أو حث المالك على الكشف عن معلومات التعريف الشخصية ، وتثبيت البرامج غير المرغوب فيها ، والعبث بالأمان ، أو برامج مكافحة التجسس ، أو مكافحة برنامج مكافحة الفيروسات . "
في يوم 12 من شهر مايو لعام 2011 ، اقترح باراك أوباما الولايات المتحدة حزمة من الإصلاحات التشريعية للأمن السيبراني لتحسين أمن الأشخاص في الولايات المتحدة ، والحكومة الفيدرالية ، والبنية التحتية الحيوية. تلا ذلك عام من النقاش العام وجلسات الاستماع للكونغرس ، مما أسفر عن موافقة مجلس النواب على مشروع قانون لتبادل المعلومات ، ووضع مجلس الشيوخ مشروع قانون تسوية يسعى إلى تحقيق التوازن بين الأمن القومي والخصوصية ومصالح الأعمال.
في شهر يوليو بعام 2012 ، اقترح السناتور جوزيف ليبرمان وسوزان كولينز قانون الأمن السيبراني لعام 2012. تطلب مشروع القانون إنشاء "معايير أفضل الممارسات" الطوعية لحماية البنية التحتية الرئيسية من الهجمات الإلكترونية ، والتي سيتم تشجيع الشركات على تبنيها من خلال حوافز مثل حماية المسؤولية. تم طرح مشروع القانون للتصويت في مجلس الشيوخ لكنه فشل في الموافقة عليه. أعرب أوباما عن دعمه للقانون في مقال صحيفة وول ستريت جورنال كما تلقت دعما من مسؤولين في الجيش والأمن القومي بمن فيهم جون أو. برينان ، كبير مستشاري مكافحة الإرهاب في البيت الأبيض.
وفقًا لصحيفة واشنطن بوست ، قال الخبراء إن الفشل في تمرير الفعل قد يجعل الولايات المتحدة "عرضة للاختراق على نطاق واسع أو لهجمات إلكترونية خطيرة." عارض القانون أعضاء مجلس الشيوخ الجمهوريون ، مثل جون ماكين ، الذي كان قلقًا من أن هذا القانون سيطبق لوائح لن تكون فعالة وقد تكون "عبئًا" على الشركات. بعد تصويت مجلس الشيوخ ، صرّح السناتور الجمهوري كاي بيلي هوتشيسون بأن معارضة مشروع القانون ليست قضية حزبية ولكنها لا تأخذ النهج الصحيح تجاه الأمن السيبراني. لم يكن تصويت مجلس الشيوخ صارمًا وفقًا للأحزاب الحزبية ، حيث صوت ستة ديمقراطيين ضده ، وصوت خمسة جمهوريين لصالحه. من بين منتقدي مشروع القانون غرفة التجارة الأمريكية ، مجموعات الدعوة مثل اتحاد الحريات المدنية الأمريكي ومؤسسة الحدود الإلكترونية ، خبير الأمن السيبراني جودي ويستبي ومؤسسة التراث ، جادل كل منهما أنه على الرغم من أن الحكومة يجب أن تعمل على الأمن السيبراني ، فإن مشروع القانون كان معيبًا في مقاربته ويمثل "دورًا فدراليًا تدخليًا للغاية".
في شهر فبراير من عام 2013 ، اقترح أوباما الأمر التنفيذي لتحسين الأمن السيبراني للبنية التحتية ، وإنه يمثل آخر تكرار للسياسة ولكنه لا يعتبر قانونًا لأن الكونغرس لم يتناوله بعد. وهو أيضاً يسعى إلى تحسين الشراكات الحالية بين القطاعين العام والخاص من خلال تعزيز توقيت تدفق المعلومات بين DHS وشركات البنية التحتية الحيوية. تواجه الوكالات الفيدرالية لتبادل التحذيرات الاستخباراتية تهديدات الإنترنت إلى أي كيان من القطاع الخاص التي تم تحديدها كهدف. كما أنه يكلف وزارة الأمن الوطني بتحسين عملية الإسراع في عمليات التخليص الأمني لكيانات القطاعين العام والخاص المطبقة لتمكين الحكومة الفيدرالية من مشاركة هذه المعلومات على المستويات الحساسة والمصنفة المناسبة. يوجه تطوير إطار عمل لتقليل مخاطر الإنترنت ، مع دمج أفضل الممارسات الصناعية الحالية والمعايير الطوعية. أخيرًا ، تقوم بمهمة الوكالات الفيدرالية المشاركة في دمج حماية الخصوصية والحريات المدنية وفقًا لمبادئ الممارسة العادلة للمعلومات.
في شهر يناير لعام 2015 ، أعلن أوباما عن اقتراح تشريعي جديد للأمن السيبراني. تم تقديم الاقتراح في محاولة لإعداد الولايات المتحدة من العدد المتزايد لجرائم الإنترنت. في الاقتراح ، أوجز أوباما ثلاثة جهود رئيسية للعمل من أجل الفضاء الإلكتروني ليكون أكثر أمنا للولايات المتحدة. أكد بأن الجهد الرئيسي الأول هو أنه يقوم على أهمية تمكين تبادل معلومات الأمن السيبراني. من خلال تمكين ذلك ، شجع الاقتراح تبادل المعلومات بين الحكومة والقطاع الخاص. سيسمح ذلك للحكومة بمعرفة التهديدات السيبرانية الرئيسية التي تواجهها الشركات الخاصة ، ثم يسمح للحكومة بتوفير الحماية للمسؤولية لتلك الشركات التي تشارك معلوماتها. علاوة على ذلك ، من شأن ذلك أن يعطي الحكومة فكرة أفضل عما تحتاج الولايات المتحدة إلى حمايته. كان من بين الجهود الرئيسية الأخرى التي تم التأكيد عليها في هذا الاقتراح تحديث سلطات إنفاذ القانون لجعلها أكثر تجهيزًا للتعامل بشكل صحيح مع الجرائم الإلكترونية عن طريق منحهم الأدوات التي يحتاجون إليها من أجل القيام بذلك. كما سيتم تحديث تصنيفات الجرائم الإلكترونية والنتائج المترتبة عليها.
إحدى الطرق التي سيتم بها ذلك هي جعلها جريمة لبيع المعلومات المالية في الخارج. الهدف الآخر من هذا الجهد هو جعل الجرائم الإلكترونية قابلة للمقاضاة. كان الجهد الرئيسي الأخير للمقترح التشريعي هو مطالبة الشركات بالإبلاغ عن انتهاك البيانات للمستهلكين إذا تم التضحية بمعلوماتهم الشخصية. من خلال مطالبة الشركات بالقيام بذلك ، يدرك المستهلكون عندما يكونون في خطر سرقة الهوية.
في شهر فبراير لعام 2016 ، قام أوباما بتطوير خطة عمل الأمن القومي للأمن السيبراني المسمية بـ (CNAP). تم وضع الخطة لإنشاء إجراءات واستراتيجيات طويلة الأجل في محاولة لحماية الولايات المتحدة من التهديدات السيبرانية. كان محور الخطة هو إطلاع الجمهور على التهديد المتزايد لجرائم الإنترنت ، وتحسين حماية الأمن السيبراني ، وحماية المعلومات الشخصية للأمريكيين ، وإبلاغ الأميركيين بكيفية التحكم في الأمن الرقمي. تشمل أبرز هذه الخطة إنشاء "لجنة لتعزيز الأمن السيبراني الوطني". الهدف من هذا هو إنشاء لجنة تتألف من مجموعة متنوعة من المفكرين ذوي وجهات النظر التي يمكن أن تسهم في تقديم توصيات حول كيفية إنشاء الأمن السيبراني أقوى للقطاعين العام والخاص. النقطة الثانية من هذه الخطة هي تغيير تكنولوجيا المعلومات الحكومية. ستجعل تكنولوجيا المعلومات الحكومية الجديدة ذلك حتى يمكن وضع تكنولوجيا معلومات أكثر أمانًا. النقطة الثالثة من هذه الخطة هي تزويد الأمريكيين بمعرفة كيف يمكنهم تأمين حساباتهم على الإنترنت وتجنب سرقة معلوماتهم الشخصية من خلال المصادقة متعددة العوامل. النقطة الرابعة في الخطة هي استثمار 35٪ من الأموال التي تم استثمارها في عام 2016 في مجال الأمن السيبراني.
الجهود الحكومية الأخرى
بالإضافة إلى التنظيم ، حاولت الحكومة الفيدرالية تحسين الأمن السيبراني من خلال تخصيص المزيد من الموارد للبحث والتعاون مع القطاع الخاص لكتابة المعايير. في عام 2003 ، جعلت الاستراتيجية الوطنية للرئيس لتأمين الفضاء الإلكتروني وزارة الأمن الداخلي (DHS) مسؤولة عن التوصيات الأمنية والبحث عن الحلول الوطنية. تدعو الخطة إلى بذل جهود تعاونية بين الحكومة والصناعة "لإنشاء نظام استجابة للطوارئ للهجمات الإلكترونية ولتقليل تعرض البلاد لمثل هذه التهديدات".
في عام 2004 ، خصص الكونغرس الأمريكي 4.7 مليار دولار للأمن السيبراني لتحقيق العديد من الأهداف المنصوص عليها في الاستراتيجية الوطنية للرئيس لتأمين الفضاء الإلكتروني. يذكر بعض خبراء أمن الصناعة أن الاستراتيجية الوطنية للرئيس لتأمين الفضاء الإلكتروني هي خطوة أولى جيدة ولكنها غير كافية. صرح بروس شنير ، "إن الاستراتيجية الوطنية لتأمين الفضاء الإلكتروني لم تؤمن شيئًا بعد". ومع ذلك ، تنص الاستراتيجية الوطنية للرئيس بوضوح على أن الغرض من ذلك هو توفير إطار لأصحاب أنظمة الكمبيوتر لتحسين أمنهم بدلاً من تولي الحكومة حل المشكلة أوحل أطرافها. ومع ذلك ، لا يتعين على الشركات التي تشارك في الجهود التعاونية الموضحة في الاستراتيجية اعتماد حلول الأمان المكتشفة.
في الولايات المتحدة ، يحاول الكونغرس الأمريكي جعل المعلومات أكثر شفافية بعد فشل قانون الأمن السيبراني لعام 2012 ، الذي كان سيخلق معايير طوعية لحماية البنية التحتية الحيوية ، في تمريره في مجلس الشيوخ. في شهر فبراير 2013 ، أصدر البيت الأبيض أمرًا تنفيذيًا بعنوان "تحسين الأمن السيبراني للبنية التحتية الحيوية" ، والذي يسمح للسلطة التنفيذية بتبادل المعلومات حول التهديدات مع المزيد من الشركات والأفراد. وفي شهر أبريل لعام 2013 ، أقر مجلس النواب قانون تقاسم وحماية الاستخبارات السيبرانية (CISPA) ، الذي يدعو إلى الحماية من الدعاوى القضائية التي تستهدف الشركات التي تكشف عن معلومات خرق. قالت إدارة أوباما إنها قد تستخدم حق النقض ضد مشروع القانون.
الهند
في ضوء الإختراق الحاصل في الموقع الإلكتروني التجاري لوكالة الفضاء الهندية في عام 2015 ، ذكرت شركة "أنتريكس" والبرامج الحكومية في Digital India, بأن الخبير في مجال الإنترنت ومحامي في المحكمة العليا في الهند بافان دوغال (Pavan Duggal) يقول: " التشريعات المخصصة لأمان الإنترنت هو شرط أساسي في الهند. لا يكفي مجرد وضع سياسات الأمن السيبراني كجزء من قانون تقنية المعلومات. علينا أن نرى الأمن السيبراني ليس فقط من منظور قطاعي ، ولكن أيضاً من منظور وطني ".
الاتحاد الأوربي
كانت معايير الأمن السيبراني ذات أهمية كبيرة في الأعمال التجارية القائمة على التقنية اليوم. و لتعظيم وزيادة الأرباح، تستفيد الشركات من التقنية من خلال إدارة معظم عملياتها عبر الإنترنت حالياً. نظرًا لوجود عدد كبير من المخاطر التي تنطوي على عمليات العمل عبر الإنترنت ، يجب حماية هذه العمليات من خلال لوائح شاملة وواسعة النطاق.
تغطي جميع أنظمة الأمن السيبراني الحالية جوانب مختلفة من العمليات التجارية وغالباً ما تختلف حسب المنطقة أو البلد الذي تعمل فيه الشركة. نظراً للإختلافات في مجتمعات عديدة في البلدان والبنية التحتية والقيم ، فإن معيار الأمن السيبراني الشاملة ليست هي الأفضل لتقليل المخاطر. على الرغم من أن المعايير الأمريكية توفر أساساً وضوابط واضحة للعمليات ، فقد أنشأ الإتحاد الأوروبي لائحة أكثر ملائمة للشركات التي تعمل بشكل خاص داخل دول الاتحاد الأوروبي. أيضاً، في ضوء خروج بريطانيا من الاتحاد الأوروبي ، من المهم النظر في كيفية العمل مع المملكة المتحدة للإلتزام بهذه اللوائح الأمنية.
هناك ثلاث قوانين في الاتحاد الأوروبي ، وهي تشمل ثلاثة لوائح رئيسية داخل الاتحاد الأوروبي ENISA ، وتوجيهات NIS و GDPR للاتحاد الأوروبي. يمكن وصف تلك القوانين واللوائح بتقسيمها وشرح كل لائحة على النحو التالي:
ENISA
وكالة الاتحاد الأوروبي لأمن الشبكات والمعلومات (ENISA) هي وكالة حاكمة تم إنشاؤها أصلاً بموجب اللائحة (EC) رقم 460/2004 (البرلمان الأوروبي والمجلس المؤرخ ليوم 10 بشهر مارس في عام 2004 لغرض رفع أمن الشبكات والمعلومات (NIS) لجميع عمليات التواصل عبر الإنترنت في الاتحاد الأوروبي). تعمل ENISA حاليًا وفقًا للائحة (الاتحاد الأوروبي) رقم 526/2013 ، التي حلت محل اللوائح الأصلية في عام 2013. تعمل ENISA بنشاط مع جميع الدول الأعضاء في الاتحاد الأوروبي لتوفير مجموعة من الخدمات. تركز عملياتها على ثلاثة عوامل وهي:
توصيات إلى الدول الأعضاء حول مسار الانتهاكات الأمنية
صنع السياسات ودعم التنفيذ لجميع الدول الأعضاء في الاتحاد الأوروبي
الدعم المباشر مع ENISA مع اتباع نهج عملي للعمل مع فرق العمليات في الاتحاد الأوروبي
تتكون ENISA من مجلس إدارة يعتمد على دعم المدير التنفيذي ومجموعة أصحاب المصلحة الدائمين. ومع ذلك ، فإن معظم العمليات يديرها رؤساء الإدارات المختلفة.
أصدرت ENISA منشورات مختلفة تغطي جميع القضايا الرئيسية المتعلقة بالأمن السيبراني. تشمل مبادرات ENISA السابقة والحالية إستراتيجية السحابة للاتحاد الأوروبي والمعايير المفتوحة في تكنولوجيا اتصالات المعلومات واستراتيجية الأمن السيبراني للاتحاد الأوروبي ومجموعة تنسيق الأمن السيبراني. تعمل ENISA أيضًا بالتعاون مع المنظمات الدولية القياسية الحالية مثل ISO والاتحاد الدولي للاتصالات .
توجيه NIS
في يوم 6 من شهر يوليو لعام 2016 ، وضع البرلمان الأوروبي في السياسة التوجيه الخاص بأمن أنظمة الشبكات والمعلومات ( توجيه NIS ).
دخل التوجيه حيز التنفيذ في شهر أغسطس بعام 2016 ، وتم منح جميع الدول الأعضاء في الاتحاد الأوروبي 21 شهرًا لدمج لوائح التوجيه في قوانينها الوطنية. الهدف من توجيه NIS هو إنشاء مستوى أعلى عام للأمن السيبراني في الاتحاد الأوروبي. يؤثر التوجيه بشكل كبير على مقدمي الخدمات الرقمية (DSPs) ومشغلي الخدمات الأساسية (OES). يشتمل مشغلو الخدمات الأساسية على أي منظمات ستتأثر عملياتها بشكل كبير في حالة حدوث خرق أمني إذا تورطوا في أنشطة اجتماعية أو اقتصادية حرجة. يتحمل كل من مقدمي خدمات الدعم (DSP) و OES المسؤولية الآن عن الإبلاغ عن حوادث الأمان الرئيسية لفرق الاستجابة لحوادث أمان الكمبيوتر (CSIRT). على الرغم من أن DSPs لا تخضع لأنظمة صارمة مثل مشغلي الخدمات الأساسية ، فإن DSPs التي لم يتم إنشاؤها في الاتحاد الأوروبي لا تزال تعمل في الاتحاد الأوروبي ولا تزال تواجه لوائح أيضاً تخضع لها. حتى إذا كانت جهات النشر والمراجعة (DSP) و OES تتعهد بمصادر خارجية في صيانة أنظمة المعلومات الخاصة بهم لأطراف ثالثة ، فإن توجيه NIS لا يزال يحمّلهم مسؤولية أي حوادث أمنية.
يتعين على الدول الأعضاء في الاتحاد الأوروبي وضع إستراتيجية توجيهية لـ NIS ، تشمل CSIRTs ، بالإضافة إلى السلطات الوطنية المختصة (NCAs) ونقاط الاتصال الفردية (SPOCs). يتم إعطاء مثل هذه الموارد مسؤولية التعامل مع انتهاكات الأمن السيبراني بطريقة تقلل من التأثير. بالإضافة إلى ذلك ، يتم تشجيع جميع الدول الأعضاء في الاتحاد الأوروبي على مشاركة معلومات الأمن السيبراني.
تتضمن متطلبات الأمان التدابير الفنية التي تدير مخاطر انتهاكات الأمن السيبراني بطريقة وقائية. يجب على كل من DSP و OES توفير المعلومات التي تسمح بإجراء تقييم متعمق لأنظمة المعلومات وسياسات الأمان الخاصة بهم. يجب إبلاغ المشرفين على جميع الحوادث الهامة. يتم تحديد حوادث الأمن السيبراني الهامة من خلال عدد المستخدمين المتأثرين بالخرق الأمني وكذلك طول العمر والوصول الجغرافي للحادث.
الناتج المحلي الإجمالي للاتحاد الأوروبي
تم وضع اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (EUR) في يوم 14 من شهر أبريل لعام 2016 ، ولكن الموعد الحالي للتنفيذ هو يوم 25 من شهر مايو لعام 2018. يهدف هذا السجل إلى وضع معيار واحد لحماية البيانات بين جميع الأعضاء ، (دول في الاتحاد الأوروبي). تتضمن التغييرات إعادة تعريف الحدود الجغرافية. ينطبق على الكيانات التي تعمل في الاتحاد الأوروبي أو تتعامل مع بيانات أي مقيم في الاتحاد الأوروبي. بغض النظر عن مكان معالجة البيانات ، إذا كانت بيانات مواطن الاتحاد الأوروبي قيد المعالجة ، يخضع الكيان الآن لإجمالي الناتج المحلي.
كما أن الغرامات أكثر صرامة في ظل الناتج القومي الإجمالي ويمكن أن يصل إجماليها إلى 20 مليون يورو أو 4٪ من المبيعات السنوية لأي كيان ، أيهما أعلى. بالإضافة إلى ذلك ، كما في اللوائح السابقة ، يجب الكشف عن جميع خروقات البيانات التي تؤثر على حقوق وحريات الأفراد المقيمين في الاتحاد الأوروبي في غضون 72 ساعة.
المجلس الشامل ، مجلس حماية البيانات في الاتحاد الأوروبي ، EDP ، هو المسؤول عن كل الرقابة التي حددها الناتج المحلي الإجمالي.
تلعب الموافقة دورًا رئيسيًا في إجمالي الناتج المحلي. يتعين على الشركات التي تحتفظ ببيانات فيما يتعلق بمواطني الاتحاد الأوروبي أن تقدم لهم أيضًا الحق في التراجع عن مشاركة البيانات بنفس السهولة التي يوافقون فيها على تبادل البيانات.
بالإضافة إلى ذلك ، يمكن للمواطنين أيضًا تقييد معالجة البيانات المخزنة عليهم ، كما يمكنهم اختيار السماح للشركات بتخزين بياناتهم دون معالجتها ، مما يخلق تمييزًا واضحًا. على عكس اللوائح السابقة ، يقيد إجمالي الناتج المحلي أيضًا نقل بيانات المواطن خارج الاتحاد الأوروبي أو إلى جهة خارجية دون موافقة مسبقة من المواطن.
من المخطط أيضًا تطبيق لائحة الخصوصية الإلكترونية المقترحة اعتبارًا من يوم 25 من شهر مايو لعام 2018.
تفاعل وردود الفعل
في حين يتفق الخبراء على أن تحسينات الأمن السيبراني ضرورية ، هناك خلاف حول ما إذا كان الحل هو مزيد من التنظيم الحكومي أو المزيد من ابتكار القطاع الخاص.
الدعم
يعتقد الكثير من المسؤولين الحكوميين وخبراء الأمن السيبراني أن القطاع الخاص قد فشل في حل مشكلة الأمن السيبراني وأن هناك حاجة إلى التنظيم. صرح ريتشارد كلارك أن "الصناعة لا تستجيب إلا عندما تهدد التنظيم. إذا لم تستجب الصناعة [للتهديد] ، فعليك المتابعة". وهو يعتقد أنه يجب إجبار شركات البرمجيات على إنتاج برامج أكثر أمانًا. يدعم Bruce Schneier أيضًا اللوائح التي تشجع شركات البرمجيات على كتابة كود أكثر أمانًا من خلال الحوافز الاقتصادية. يقترح الممثل الأمريكي ريك باوتشر ( D– VA ) تحسين الأمن السيبراني من خلال جعل شركات البرمجيات مسؤولة عن العيوب الأمنية في التعليمات البرمجية الخاصة بهم. بالإضافة إلى ذلك ، لتحسين أمان البرامج ، يعتقد كلارك أن بعض الصناعات ، مثل المرافق ومقدمي خدمات الإنترنت ، تتطلب التنظيم.
معارضة
من ناحية أخرى ، يعتقد الكثير من المسؤولين التنفيذيين في القطاع الخاص وجماعات الضغط التنظيمي السياسي أن المزيد من التنظيم سيحد من قدرتهم على تحسين الأمن السيبراني. هاريس ميلر، وهو أحد المعروفين من جماعات الضغط ورئيس جمعية شركات تقنية المعلومات الأمريكية يعتقد أن التنظيم يمنع الابتكار. كما يعارض ريك وايت ، المحامي السابق للشركة والرئيس والمدير التنفيذي لمجموعة اللوبي TechNet ، المزيد من التنظيم. ويذكر أن "القطاع الخاص يجب أن يظل قادرًا على الابتكار والتكيف استجابة لأساليب الهجوم الجديدة في الفضاء السيبراني ، وتحقيقًا لهذه الغاية ، وأيضاً يشيد بالرئيس بوش والكونجرس لممارسة ضبطهما التنظيمي".
سبب آخر يعارض العديد من المديرين التنفيذيين في القطاع الخاص بأن "التنظيم" يعتبر أنه مكلف وينطوي على إشراف الحكومة في المشاريع الخاصة. الشركات مهتمة بنفس القدر بشأن اللوائح التي تقلل من الأرباح بقدر اهتمامها باللوائح التي تحد من مرونتها في حل مشكلة الأمن السيبراني بكفاءة.
تشمل هذه التدابير في الأمن السيبراني بناء سياسات وضوابط وأنظمة مثل إنشاء جدران الحماية وبرامج مكافحة الفيروسات وأنظمة كشف التسلل والوقاية منها والتشفير وكلمات المرور في عمليات تسجيل الدخول. كانت ولازالت هناك محاولات لتحسين الأمن السيبراني من خلال التنظيم والجهود التعاونية بين الحكومة والقطاع الخاص لتشجيع التحسينات الطوعية للأمن السيبراني. لاحظ مسؤولين ومنظمين الصناعة ، بما في ذلك المنظمون والشركاء المصرفيون المخاطر الناجمة عن الأمن السيبراني وبدأوا يخططون للبدء في إدراج الأمن السيبراني كجانب من جوانب الإختبارات التنظيمية.
نظرة عامة
في عام 2011 ، أصدرت وزارة الدفاع الأمريكية دليلاً يطلق عليه "إستراتيجية وزارة الدفاع للعمل في الفضاء السيبراني" والذي يحدد خمسة أهداف: 1- التعامل مع الفضاء الإلكتروني كمجال تشغيلي ، 2- استخدام مفاهيم دفاعية جديدة لحماية شبكات وأنظمة وزارة الدفاع ، 3- الشراكة مع وكالات أخرى والقطاع الخاص, 4- السعي إلى تطبيق "إستراتيجية الأمن السيبراني للحكومة بأكملها" ، 5- العمل مع الحلفاء الدوليين لدعم الأمن السيبراني الجماعي ودعم تطوير القوى العاملة السيبرانية القادرة على الإبتكار التقني السريع.
تقرير مكتب محاسبة الحكومة الصادر في مارس 2011 حدد وصنف حماية أنظمة معلومات الحكومة الفيدرالية والبنية التحتية للإنترنت في أمريكا كمنطقة وعنصر عالي الخطورة على مستوى الحكومة" مع الإشارة إلى أن أمن المعلومات الفيدرالي قد تم تعيينه كمنطقة شديدة الخطورة منذ عام 1997. في عام 2003 , تم إدراج حماية البنية التحتية الحرجة و حماية البنية التحتية الحيوية السيبرانية (CIP).
في شهر نوفمبر من عام 2013 ، أصدرت وزارة الدفاع الأمريكية قاعدة ونظام الأمن السيبراني الجديد وهو (78 Fed. Reg. 69373) ، والذي فرض هذا النظام بعض المتطلبات على المقاولين مثل: الإمتثال لمعايير NIST IT والإبلاغ الإلزامي عن حوادث الأمن السيبراني إلى وزارة الدفاع الأمريكية.
وجد تقرير ينتمي للكونجرس في شهر يونيو من عام 2013 أن هناك أكثر من 50 قانوناً يتعلق بالإمتثال لقواعد وضوابط لوائح الأمن السيبراني. الجدير بالذكر أن قانون إدارة أمن المعلومات الفيدرالي لعام 2002 (FISMA) يعد أحد القوانين الأساسية التي تحكم أنظمة الأمن السيبراني الفيدرالية.
الولايات المتحدة الأمريكية
الحكومة الفيدرالية
هناك عدد قليل من لوائح الأمن السيبراني الفيدرالية ، وترتكز اللوائح الموجودة على صناعات محددة. اللوائح الثلاثة الرئيسية للأمن السيبراني هي "قانون قابلية ومساءلة التأمين الصحي لعام 1996 (HIPAA)" ، و "قانون Gramm-Leach-Bliley لعام 1999"، وقانون الأمن الداخلي لعام 2002 الذي تضمن قانون إدارة أمن المعلومات الفيدرالي (FISMA). تنص كل اللوائح الثلاثة على أنه ينبغي على مؤسسات الرعاية الصحية والمؤسسات المالية والوكالات الفيدرالية حماية أنظمتها ومعلوماتها. على سبيل المثال، FISMA و الذي ينطبق على كل وكالة حكومية يتطلب تطوير وتنفيذ سياسات إلزامية و مبادئ ومعايير وإرشادات حول أمن المعلومات. ومع ذلك، لا تتناول اللوائح العديد من الصناعات ذات الصلة بالحاسوب مثل مزودي خدمة الإنترنت وشركات البرمجيات. علاوة على ذلك ، لا تحدد اللوائح تدابير الأمن السيبراني التي يجب تنفيذها ولا تتطلب سوى مستوى "معقول" من الأمان. اللغة الغامضة لهذه اللوائح تترك مجالاً للتفسير, حيث يقول بروس شنير (Bruce Schneier) مؤسس شركة "كوبرتينو" لأمن الإنترنت, أن الشركات لن تقوم بعمل إستثمارات كافية في مجال الأمن السيبراني ما لم تجبرها الحكومة على القيام بذلك. ويذكر أيضاً أن الهجمات الإلكترونية الناجحة على الأنظمة الحكومية لا تزال تحدث رغم الجهود الحكومية.
لقد اقترح أن قانون جودة البيانات يمنح مكتب الإدارة والميزانية بالفعل السلطة القانونية لتنفيذ لوائح حماية البنية التحتية الحيوية من خلال عملية وضع قواعد قانون الإجراءات الإدارية . لم يتم فحص الفكرة بالكامل وستتطلب تحليلًا قانونيًا إضافيًا قبل البدء في وضع القواعد .
حكومات الولايات
حاولت حكومات الولايات تحسين الأمن السيبراني من خلال زيادة ظهور الجمهور للشركات ذات الأمن الضعيف. في عام 2003 ، أقرت كاليفورنيا قانون الإخطار الأمني ، والذي يتطلب أن تقوم أي شركة تحتفظ بمعلومات شخصية عن مواطني كاليفورنيا ولديها خرق أمني بالكشف عن تفاصيل الحدث. تتضمن المعلومات الشخصية الاسم أو رقم الضمان الاجتماعي أو رقم رخصة القيادة أو رقم بطاقة الائتمان أو المعلومات المالية. والجدير بالذكر، انه قد اتبعت عدة ولايات أخرى مثال كاليفورنيا وأصدرت لوائح مماثلة للإخطار بالأمن. إن لوائح الإخطار بانتهاك الأمان هذه تعاقب الشركات على إخفاقاتها في مجال الأمن السيبراني مع منحها حرية اختيار كيفية تأمين أنظمتها. أيضًا ، تخلق اللائحة حافزًا للشركات للاستثمار طوعًا في الأمن السيبراني لتجنب الفقد المحتمل للسمعة والخسارة الاقتصادية الناتجة التي يمكن أن تأتي من هجوم سيبراني ناجح.
في عام 2004 ، أقر المجلس التشريعي لولاية كاليفورنيا مشروع قانون جمعية كاليفورنيا 1950 ، والذي ينطبق أيضًا على الشركات التي تمتلك أو تحافظ على المعلومات الشخصية لسكان كاليفورنيا. تملي اللوائح على الشركات للحفاظ على مستوى معقول من الأمن وأنها تتطلب ممارسات أمنية تمتد أيضا إلى شركاء الأعمال. يعد هذا التنظيم بمثابة تحسين للمعيار الفيدرالي لأنه يوسع عدد الشركات المطلوبة للحفاظ على مستوى مقبول من الأمن السيبراني. ومع ذلك ، مثل التشريع الفيدرالي ، فإنه يتطلب مستوى "معقول" من الأمن السيبراني ، والذي يترك مجالًا كبيرًا للتفسير حتى يتم تأسيس السوابق القضائية.
التنظيم المقترح
اقترح الكونجرس الأمريكي العديد من مشاريع القوانين التي تتوسع في تنظيم الأمن السيبراني. يعدل قانون أمن بيانات المستهلك والإشعار به قانون Gramm-Leach-Bliley ليطلب الكشف عن المخالفات الأمنية من جانب المؤسسات المالية. اقترح أعضاء الكونغرس أيضًا "توسيع Gramm-Leach-Bliley لتشمل جميع الصناعات التي تمس المعلومات المالية للمستهلك ، بما في ذلك أي شركة تقبل الدفع عن طريق بطاقة الائتمان." اقترح الكونغرس لوائح الأمن السيبراني على غرار قانون الإخطار الأمني الخاص بكاليفورنيا للشركات التي تحتفظ بمعلومات شخصية. يتطلب قانون حماية المعلومات والأمن من سماسرة البيانات "ضمان دقة البيانات وسريتها ، ومصادقة وتتبع المستخدمين ، والكشف عن النشاط غير المصرح به ومنعه ، وتخفيف الضرر المحتمل للأفراد".
بالإضافة إلى مطالبة الشركات بتحسين الأمن السيبراني ، يدرس الكونغرس أيضًا مشاريع القوانين التي تجرم الهجمات الإلكترونية. قانون حماية نفسك ضد قانون التعدي على الإنترنت ( SPY ACT ) كان مشروع قانون من هذا النوع. ركزت على مشروع قانون التصيّد وبرامج التجسس وتمت الموافقة عليه في يوم 23 من شهر مايو لعام 2005 في مجلس النواب الأمريكي ولكنه توقف في مجلس الشيوخ الأمريكي . مشروع القانون "يجعل من غير القانوني الاستخدام غير المصرح به لجهاز الكمبيوتر للسيطرة عليه ، وتعديل إعداداته ، وجمع أو حث المالك على الكشف عن معلومات التعريف الشخصية ، وتثبيت البرامج غير المرغوب فيها ، والعبث بالأمان ، أو برامج مكافحة التجسس ، أو مكافحة برنامج مكافحة الفيروسات . "
في يوم 12 من شهر مايو لعام 2011 ، اقترح باراك أوباما الولايات المتحدة حزمة من الإصلاحات التشريعية للأمن السيبراني لتحسين أمن الأشخاص في الولايات المتحدة ، والحكومة الفيدرالية ، والبنية التحتية الحيوية. تلا ذلك عام من النقاش العام وجلسات الاستماع للكونغرس ، مما أسفر عن موافقة مجلس النواب على مشروع قانون لتبادل المعلومات ، ووضع مجلس الشيوخ مشروع قانون تسوية يسعى إلى تحقيق التوازن بين الأمن القومي والخصوصية ومصالح الأعمال.
في شهر يوليو بعام 2012 ، اقترح السناتور جوزيف ليبرمان وسوزان كولينز قانون الأمن السيبراني لعام 2012. تطلب مشروع القانون إنشاء "معايير أفضل الممارسات" الطوعية لحماية البنية التحتية الرئيسية من الهجمات الإلكترونية ، والتي سيتم تشجيع الشركات على تبنيها من خلال حوافز مثل حماية المسؤولية. تم طرح مشروع القانون للتصويت في مجلس الشيوخ لكنه فشل في الموافقة عليه. أعرب أوباما عن دعمه للقانون في مقال صحيفة وول ستريت جورنال كما تلقت دعما من مسؤولين في الجيش والأمن القومي بمن فيهم جون أو. برينان ، كبير مستشاري مكافحة الإرهاب في البيت الأبيض.
وفقًا لصحيفة واشنطن بوست ، قال الخبراء إن الفشل في تمرير الفعل قد يجعل الولايات المتحدة "عرضة للاختراق على نطاق واسع أو لهجمات إلكترونية خطيرة." عارض القانون أعضاء مجلس الشيوخ الجمهوريون ، مثل جون ماكين ، الذي كان قلقًا من أن هذا القانون سيطبق لوائح لن تكون فعالة وقد تكون "عبئًا" على الشركات. بعد تصويت مجلس الشيوخ ، صرّح السناتور الجمهوري كاي بيلي هوتشيسون بأن معارضة مشروع القانون ليست قضية حزبية ولكنها لا تأخذ النهج الصحيح تجاه الأمن السيبراني. لم يكن تصويت مجلس الشيوخ صارمًا وفقًا للأحزاب الحزبية ، حيث صوت ستة ديمقراطيين ضده ، وصوت خمسة جمهوريين لصالحه. من بين منتقدي مشروع القانون غرفة التجارة الأمريكية ، مجموعات الدعوة مثل اتحاد الحريات المدنية الأمريكي ومؤسسة الحدود الإلكترونية ، خبير الأمن السيبراني جودي ويستبي ومؤسسة التراث ، جادل كل منهما أنه على الرغم من أن الحكومة يجب أن تعمل على الأمن السيبراني ، فإن مشروع القانون كان معيبًا في مقاربته ويمثل "دورًا فدراليًا تدخليًا للغاية".
في شهر فبراير من عام 2013 ، اقترح أوباما الأمر التنفيذي لتحسين الأمن السيبراني للبنية التحتية ، وإنه يمثل آخر تكرار للسياسة ولكنه لا يعتبر قانونًا لأن الكونغرس لم يتناوله بعد. وهو أيضاً يسعى إلى تحسين الشراكات الحالية بين القطاعين العام والخاص من خلال تعزيز توقيت تدفق المعلومات بين DHS وشركات البنية التحتية الحيوية. تواجه الوكالات الفيدرالية لتبادل التحذيرات الاستخباراتية تهديدات الإنترنت إلى أي كيان من القطاع الخاص التي تم تحديدها كهدف. كما أنه يكلف وزارة الأمن الوطني بتحسين عملية الإسراع في عمليات التخليص الأمني لكيانات القطاعين العام والخاص المطبقة لتمكين الحكومة الفيدرالية من مشاركة هذه المعلومات على المستويات الحساسة والمصنفة المناسبة. يوجه تطوير إطار عمل لتقليل مخاطر الإنترنت ، مع دمج أفضل الممارسات الصناعية الحالية والمعايير الطوعية. أخيرًا ، تقوم بمهمة الوكالات الفيدرالية المشاركة في دمج حماية الخصوصية والحريات المدنية وفقًا لمبادئ الممارسة العادلة للمعلومات.
في شهر يناير لعام 2015 ، أعلن أوباما عن اقتراح تشريعي جديد للأمن السيبراني. تم تقديم الاقتراح في محاولة لإعداد الولايات المتحدة من العدد المتزايد لجرائم الإنترنت. في الاقتراح ، أوجز أوباما ثلاثة جهود رئيسية للعمل من أجل الفضاء الإلكتروني ليكون أكثر أمنا للولايات المتحدة. أكد بأن الجهد الرئيسي الأول هو أنه يقوم على أهمية تمكين تبادل معلومات الأمن السيبراني. من خلال تمكين ذلك ، شجع الاقتراح تبادل المعلومات بين الحكومة والقطاع الخاص. سيسمح ذلك للحكومة بمعرفة التهديدات السيبرانية الرئيسية التي تواجهها الشركات الخاصة ، ثم يسمح للحكومة بتوفير الحماية للمسؤولية لتلك الشركات التي تشارك معلوماتها. علاوة على ذلك ، من شأن ذلك أن يعطي الحكومة فكرة أفضل عما تحتاج الولايات المتحدة إلى حمايته. كان من بين الجهود الرئيسية الأخرى التي تم التأكيد عليها في هذا الاقتراح تحديث سلطات إنفاذ القانون لجعلها أكثر تجهيزًا للتعامل بشكل صحيح مع الجرائم الإلكترونية عن طريق منحهم الأدوات التي يحتاجون إليها من أجل القيام بذلك. كما سيتم تحديث تصنيفات الجرائم الإلكترونية والنتائج المترتبة عليها.
إحدى الطرق التي سيتم بها ذلك هي جعلها جريمة لبيع المعلومات المالية في الخارج. الهدف الآخر من هذا الجهد هو جعل الجرائم الإلكترونية قابلة للمقاضاة. كان الجهد الرئيسي الأخير للمقترح التشريعي هو مطالبة الشركات بالإبلاغ عن انتهاك البيانات للمستهلكين إذا تم التضحية بمعلوماتهم الشخصية. من خلال مطالبة الشركات بالقيام بذلك ، يدرك المستهلكون عندما يكونون في خطر سرقة الهوية.
في شهر فبراير لعام 2016 ، قام أوباما بتطوير خطة عمل الأمن القومي للأمن السيبراني المسمية بـ (CNAP). تم وضع الخطة لإنشاء إجراءات واستراتيجيات طويلة الأجل في محاولة لحماية الولايات المتحدة من التهديدات السيبرانية. كان محور الخطة هو إطلاع الجمهور على التهديد المتزايد لجرائم الإنترنت ، وتحسين حماية الأمن السيبراني ، وحماية المعلومات الشخصية للأمريكيين ، وإبلاغ الأميركيين بكيفية التحكم في الأمن الرقمي. تشمل أبرز هذه الخطة إنشاء "لجنة لتعزيز الأمن السيبراني الوطني". الهدف من هذا هو إنشاء لجنة تتألف من مجموعة متنوعة من المفكرين ذوي وجهات النظر التي يمكن أن تسهم في تقديم توصيات حول كيفية إنشاء الأمن السيبراني أقوى للقطاعين العام والخاص. النقطة الثانية من هذه الخطة هي تغيير تكنولوجيا المعلومات الحكومية. ستجعل تكنولوجيا المعلومات الحكومية الجديدة ذلك حتى يمكن وضع تكنولوجيا معلومات أكثر أمانًا. النقطة الثالثة من هذه الخطة هي تزويد الأمريكيين بمعرفة كيف يمكنهم تأمين حساباتهم على الإنترنت وتجنب سرقة معلوماتهم الشخصية من خلال المصادقة متعددة العوامل. النقطة الرابعة في الخطة هي استثمار 35٪ من الأموال التي تم استثمارها في عام 2016 في مجال الأمن السيبراني.
الجهود الحكومية الأخرى
بالإضافة إلى التنظيم ، حاولت الحكومة الفيدرالية تحسين الأمن السيبراني من خلال تخصيص المزيد من الموارد للبحث والتعاون مع القطاع الخاص لكتابة المعايير. في عام 2003 ، جعلت الاستراتيجية الوطنية للرئيس لتأمين الفضاء الإلكتروني وزارة الأمن الداخلي (DHS) مسؤولة عن التوصيات الأمنية والبحث عن الحلول الوطنية. تدعو الخطة إلى بذل جهود تعاونية بين الحكومة والصناعة "لإنشاء نظام استجابة للطوارئ للهجمات الإلكترونية ولتقليل تعرض البلاد لمثل هذه التهديدات".
في عام 2004 ، خصص الكونغرس الأمريكي 4.7 مليار دولار للأمن السيبراني لتحقيق العديد من الأهداف المنصوص عليها في الاستراتيجية الوطنية للرئيس لتأمين الفضاء الإلكتروني. يذكر بعض خبراء أمن الصناعة أن الاستراتيجية الوطنية للرئيس لتأمين الفضاء الإلكتروني هي خطوة أولى جيدة ولكنها غير كافية. صرح بروس شنير ، "إن الاستراتيجية الوطنية لتأمين الفضاء الإلكتروني لم تؤمن شيئًا بعد". ومع ذلك ، تنص الاستراتيجية الوطنية للرئيس بوضوح على أن الغرض من ذلك هو توفير إطار لأصحاب أنظمة الكمبيوتر لتحسين أمنهم بدلاً من تولي الحكومة حل المشكلة أوحل أطرافها. ومع ذلك ، لا يتعين على الشركات التي تشارك في الجهود التعاونية الموضحة في الاستراتيجية اعتماد حلول الأمان المكتشفة.
في الولايات المتحدة ، يحاول الكونغرس الأمريكي جعل المعلومات أكثر شفافية بعد فشل قانون الأمن السيبراني لعام 2012 ، الذي كان سيخلق معايير طوعية لحماية البنية التحتية الحيوية ، في تمريره في مجلس الشيوخ. في شهر فبراير 2013 ، أصدر البيت الأبيض أمرًا تنفيذيًا بعنوان "تحسين الأمن السيبراني للبنية التحتية الحيوية" ، والذي يسمح للسلطة التنفيذية بتبادل المعلومات حول التهديدات مع المزيد من الشركات والأفراد. وفي شهر أبريل لعام 2013 ، أقر مجلس النواب قانون تقاسم وحماية الاستخبارات السيبرانية (CISPA) ، الذي يدعو إلى الحماية من الدعاوى القضائية التي تستهدف الشركات التي تكشف عن معلومات خرق. قالت إدارة أوباما إنها قد تستخدم حق النقض ضد مشروع القانون.
الهند
في ضوء الإختراق الحاصل في الموقع الإلكتروني التجاري لوكالة الفضاء الهندية في عام 2015 ، ذكرت شركة "أنتريكس" والبرامج الحكومية في Digital India, بأن الخبير في مجال الإنترنت ومحامي في المحكمة العليا في الهند بافان دوغال (Pavan Duggal) يقول: " التشريعات المخصصة لأمان الإنترنت هو شرط أساسي في الهند. لا يكفي مجرد وضع سياسات الأمن السيبراني كجزء من قانون تقنية المعلومات. علينا أن نرى الأمن السيبراني ليس فقط من منظور قطاعي ، ولكن أيضاً من منظور وطني ".
الاتحاد الأوربي
كانت معايير الأمن السيبراني ذات أهمية كبيرة في الأعمال التجارية القائمة على التقنية اليوم. و لتعظيم وزيادة الأرباح، تستفيد الشركات من التقنية من خلال إدارة معظم عملياتها عبر الإنترنت حالياً. نظرًا لوجود عدد كبير من المخاطر التي تنطوي على عمليات العمل عبر الإنترنت ، يجب حماية هذه العمليات من خلال لوائح شاملة وواسعة النطاق.
تغطي جميع أنظمة الأمن السيبراني الحالية جوانب مختلفة من العمليات التجارية وغالباً ما تختلف حسب المنطقة أو البلد الذي تعمل فيه الشركة. نظراً للإختلافات في مجتمعات عديدة في البلدان والبنية التحتية والقيم ، فإن معيار الأمن السيبراني الشاملة ليست هي الأفضل لتقليل المخاطر. على الرغم من أن المعايير الأمريكية توفر أساساً وضوابط واضحة للعمليات ، فقد أنشأ الإتحاد الأوروبي لائحة أكثر ملائمة للشركات التي تعمل بشكل خاص داخل دول الاتحاد الأوروبي. أيضاً، في ضوء خروج بريطانيا من الاتحاد الأوروبي ، من المهم النظر في كيفية العمل مع المملكة المتحدة للإلتزام بهذه اللوائح الأمنية.
هناك ثلاث قوانين في الاتحاد الأوروبي ، وهي تشمل ثلاثة لوائح رئيسية داخل الاتحاد الأوروبي ENISA ، وتوجيهات NIS و GDPR للاتحاد الأوروبي. يمكن وصف تلك القوانين واللوائح بتقسيمها وشرح كل لائحة على النحو التالي:
ENISA
وكالة الاتحاد الأوروبي لأمن الشبكات والمعلومات (ENISA) هي وكالة حاكمة تم إنشاؤها أصلاً بموجب اللائحة (EC) رقم 460/2004 (البرلمان الأوروبي والمجلس المؤرخ ليوم 10 بشهر مارس في عام 2004 لغرض رفع أمن الشبكات والمعلومات (NIS) لجميع عمليات التواصل عبر الإنترنت في الاتحاد الأوروبي). تعمل ENISA حاليًا وفقًا للائحة (الاتحاد الأوروبي) رقم 526/2013 ، التي حلت محل اللوائح الأصلية في عام 2013. تعمل ENISA بنشاط مع جميع الدول الأعضاء في الاتحاد الأوروبي لتوفير مجموعة من الخدمات. تركز عملياتها على ثلاثة عوامل وهي:
توصيات إلى الدول الأعضاء حول مسار الانتهاكات الأمنية
صنع السياسات ودعم التنفيذ لجميع الدول الأعضاء في الاتحاد الأوروبي
الدعم المباشر مع ENISA مع اتباع نهج عملي للعمل مع فرق العمليات في الاتحاد الأوروبي
تتكون ENISA من مجلس إدارة يعتمد على دعم المدير التنفيذي ومجموعة أصحاب المصلحة الدائمين. ومع ذلك ، فإن معظم العمليات يديرها رؤساء الإدارات المختلفة.
أصدرت ENISA منشورات مختلفة تغطي جميع القضايا الرئيسية المتعلقة بالأمن السيبراني. تشمل مبادرات ENISA السابقة والحالية إستراتيجية السحابة للاتحاد الأوروبي والمعايير المفتوحة في تكنولوجيا اتصالات المعلومات واستراتيجية الأمن السيبراني للاتحاد الأوروبي ومجموعة تنسيق الأمن السيبراني. تعمل ENISA أيضًا بالتعاون مع المنظمات الدولية القياسية الحالية مثل ISO والاتحاد الدولي للاتصالات .
توجيه NIS
في يوم 6 من شهر يوليو لعام 2016 ، وضع البرلمان الأوروبي في السياسة التوجيه الخاص بأمن أنظمة الشبكات والمعلومات ( توجيه NIS ).
دخل التوجيه حيز التنفيذ في شهر أغسطس بعام 2016 ، وتم منح جميع الدول الأعضاء في الاتحاد الأوروبي 21 شهرًا لدمج لوائح التوجيه في قوانينها الوطنية. الهدف من توجيه NIS هو إنشاء مستوى أعلى عام للأمن السيبراني في الاتحاد الأوروبي. يؤثر التوجيه بشكل كبير على مقدمي الخدمات الرقمية (DSPs) ومشغلي الخدمات الأساسية (OES). يشتمل مشغلو الخدمات الأساسية على أي منظمات ستتأثر عملياتها بشكل كبير في حالة حدوث خرق أمني إذا تورطوا في أنشطة اجتماعية أو اقتصادية حرجة. يتحمل كل من مقدمي خدمات الدعم (DSP) و OES المسؤولية الآن عن الإبلاغ عن حوادث الأمان الرئيسية لفرق الاستجابة لحوادث أمان الكمبيوتر (CSIRT). على الرغم من أن DSPs لا تخضع لأنظمة صارمة مثل مشغلي الخدمات الأساسية ، فإن DSPs التي لم يتم إنشاؤها في الاتحاد الأوروبي لا تزال تعمل في الاتحاد الأوروبي ولا تزال تواجه لوائح أيضاً تخضع لها. حتى إذا كانت جهات النشر والمراجعة (DSP) و OES تتعهد بمصادر خارجية في صيانة أنظمة المعلومات الخاصة بهم لأطراف ثالثة ، فإن توجيه NIS لا يزال يحمّلهم مسؤولية أي حوادث أمنية.
يتعين على الدول الأعضاء في الاتحاد الأوروبي وضع إستراتيجية توجيهية لـ NIS ، تشمل CSIRTs ، بالإضافة إلى السلطات الوطنية المختصة (NCAs) ونقاط الاتصال الفردية (SPOCs). يتم إعطاء مثل هذه الموارد مسؤولية التعامل مع انتهاكات الأمن السيبراني بطريقة تقلل من التأثير. بالإضافة إلى ذلك ، يتم تشجيع جميع الدول الأعضاء في الاتحاد الأوروبي على مشاركة معلومات الأمن السيبراني.
تتضمن متطلبات الأمان التدابير الفنية التي تدير مخاطر انتهاكات الأمن السيبراني بطريقة وقائية. يجب على كل من DSP و OES توفير المعلومات التي تسمح بإجراء تقييم متعمق لأنظمة المعلومات وسياسات الأمان الخاصة بهم. يجب إبلاغ المشرفين على جميع الحوادث الهامة. يتم تحديد حوادث الأمن السيبراني الهامة من خلال عدد المستخدمين المتأثرين بالخرق الأمني وكذلك طول العمر والوصول الجغرافي للحادث.
الناتج المحلي الإجمالي للاتحاد الأوروبي
تم وضع اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (EUR) في يوم 14 من شهر أبريل لعام 2016 ، ولكن الموعد الحالي للتنفيذ هو يوم 25 من شهر مايو لعام 2018. يهدف هذا السجل إلى وضع معيار واحد لحماية البيانات بين جميع الأعضاء ، (دول في الاتحاد الأوروبي). تتضمن التغييرات إعادة تعريف الحدود الجغرافية. ينطبق على الكيانات التي تعمل في الاتحاد الأوروبي أو تتعامل مع بيانات أي مقيم في الاتحاد الأوروبي. بغض النظر عن مكان معالجة البيانات ، إذا كانت بيانات مواطن الاتحاد الأوروبي قيد المعالجة ، يخضع الكيان الآن لإجمالي الناتج المحلي.
كما أن الغرامات أكثر صرامة في ظل الناتج القومي الإجمالي ويمكن أن يصل إجماليها إلى 20 مليون يورو أو 4٪ من المبيعات السنوية لأي كيان ، أيهما أعلى. بالإضافة إلى ذلك ، كما في اللوائح السابقة ، يجب الكشف عن جميع خروقات البيانات التي تؤثر على حقوق وحريات الأفراد المقيمين في الاتحاد الأوروبي في غضون 72 ساعة.
المجلس الشامل ، مجلس حماية البيانات في الاتحاد الأوروبي ، EDP ، هو المسؤول عن كل الرقابة التي حددها الناتج المحلي الإجمالي.
تلعب الموافقة دورًا رئيسيًا في إجمالي الناتج المحلي. يتعين على الشركات التي تحتفظ ببيانات فيما يتعلق بمواطني الاتحاد الأوروبي أن تقدم لهم أيضًا الحق في التراجع عن مشاركة البيانات بنفس السهولة التي يوافقون فيها على تبادل البيانات.
بالإضافة إلى ذلك ، يمكن للمواطنين أيضًا تقييد معالجة البيانات المخزنة عليهم ، كما يمكنهم اختيار السماح للشركات بتخزين بياناتهم دون معالجتها ، مما يخلق تمييزًا واضحًا. على عكس اللوائح السابقة ، يقيد إجمالي الناتج المحلي أيضًا نقل بيانات المواطن خارج الاتحاد الأوروبي أو إلى جهة خارجية دون موافقة مسبقة من المواطن.
من المخطط أيضًا تطبيق لائحة الخصوصية الإلكترونية المقترحة اعتبارًا من يوم 25 من شهر مايو لعام 2018.
تفاعل وردود الفعل
في حين يتفق الخبراء على أن تحسينات الأمن السيبراني ضرورية ، هناك خلاف حول ما إذا كان الحل هو مزيد من التنظيم الحكومي أو المزيد من ابتكار القطاع الخاص.
الدعم
يعتقد الكثير من المسؤولين الحكوميين وخبراء الأمن السيبراني أن القطاع الخاص قد فشل في حل مشكلة الأمن السيبراني وأن هناك حاجة إلى التنظيم. صرح ريتشارد كلارك أن "الصناعة لا تستجيب إلا عندما تهدد التنظيم. إذا لم تستجب الصناعة [للتهديد] ، فعليك المتابعة". وهو يعتقد أنه يجب إجبار شركات البرمجيات على إنتاج برامج أكثر أمانًا. يدعم Bruce Schneier أيضًا اللوائح التي تشجع شركات البرمجيات على كتابة كود أكثر أمانًا من خلال الحوافز الاقتصادية. يقترح الممثل الأمريكي ريك باوتشر ( D– VA ) تحسين الأمن السيبراني من خلال جعل شركات البرمجيات مسؤولة عن العيوب الأمنية في التعليمات البرمجية الخاصة بهم. بالإضافة إلى ذلك ، لتحسين أمان البرامج ، يعتقد كلارك أن بعض الصناعات ، مثل المرافق ومقدمي خدمات الإنترنت ، تتطلب التنظيم.
معارضة
من ناحية أخرى ، يعتقد الكثير من المسؤولين التنفيذيين في القطاع الخاص وجماعات الضغط التنظيمي السياسي أن المزيد من التنظيم سيحد من قدرتهم على تحسين الأمن السيبراني. هاريس ميلر، وهو أحد المعروفين من جماعات الضغط ورئيس جمعية شركات تقنية المعلومات الأمريكية يعتقد أن التنظيم يمنع الابتكار. كما يعارض ريك وايت ، المحامي السابق للشركة والرئيس والمدير التنفيذي لمجموعة اللوبي TechNet ، المزيد من التنظيم. ويذكر أن "القطاع الخاص يجب أن يظل قادرًا على الابتكار والتكيف استجابة لأساليب الهجوم الجديدة في الفضاء السيبراني ، وتحقيقًا لهذه الغاية ، وأيضاً يشيد بالرئيس بوش والكونجرس لممارسة ضبطهما التنظيمي".
سبب آخر يعارض العديد من المديرين التنفيذيين في القطاع الخاص بأن "التنظيم" يعتبر أنه مكلف وينطوي على إشراف الحكومة في المشاريع الخاصة. الشركات مهتمة بنفس القدر بشأن اللوائح التي تقلل من الأرباح بقدر اهتمامها باللوائح التي تحد من مرونتها في حل مشكلة الأمن السيبراني بكفاءة.
ليست هناك تعليقات:
إرسال تعليق