آزاده کیاپور – دولت اسرائیل با توجه به پیشزمینه جنگ با حماس، در حال تدوین یکسری مقررات اضطراری است که اختیارات اداره ملی سایبری را گسترش دهد تا دستورالعملهای الزامآور را برای برخی مشاغل در صورت حمله سایبری صادر کند.
سایت کالتک در گزارشی نوشت: اداره ملی سایبری معتقد است این اختیارات متوازن هستند و برای بخشهای تجاری بسیار محدود اعمال میشوند اما کارشناسان هشدار میدهند کاربرد این مقررات، در عمل گسترده است و اجرای آن، بار اطلاعاتی، ایجاد کرده و فعالیتهای این اداره را سنگین میکند. بنابراین پیشبرد این تغییر، بدون قانون اولیه اشتباه است.
این مقررات که هنوز در مرحله مباحث داخلی است، به اداره ملی سایبری، شینبت یا رئیس امنیت سازمان دفاعی، این اختیار را میدهد که در صورت وقوع حمله سایبری، دستورالعملهای الزامآور برای برخی ارائهدهندگان خدمات رایانهای صادر کند. علاوه بر این، ارائهدهنده خدمات موظف است یک حمله سایبری را حداکثر ظرف مدت چهار ساعت از لحظه شناسایی گزارش دهد.
مقررات پیشنهادی برای ارائهدهندگان خدمات ذخیرهسازی (شامل ذخیرهسازی اطلاعات ارائهشده برای بارگذاری در اینترنت، خدمات پردازش و ذخیرهسازی دادهها و خدمات ارائه اطلاعات، زیرساخت ذخیرهسازی یا پردازش دادهها، سرویسهای جستجو یا پخش رسانه به استثنای خدمات رایانش ابری) و نیز ارائهدهندگان خدمات دیجیتال (مانند خدمات نرمافزاری، خدمات مشاوره، برنامهریزی و پیادهسازی سیستمهای کامپیوتری، خدمات پردازش دادهها، خدمات حفاظت سایبری و تامین یا نصب سیستمهای کامپیوتری، به استثنای خدمات ابری) تعریف شدهاند. طبق مقررات، فهرست نهادهایی که برای آنها درخواست داده میشود، محرمانه است.
- از مقررات اضطراری تا قانون سایبری
اداره سایبری توضیح میدهد مقررات پیشنهادی، جایگزین قانون سایبری نیست.
روی فریدمن، رئیس بخش استراتژی و سیاست میگوید: «قانون سایبری، افقی اعمال میشود، از جمله تعهد به گزارش حملات سایبری و تعهد به ارائه حفاظت و مدیریت ریسک کافی برای دهها بخش اما در اینجا فقط با یک بخش در اداره سایبری سروکار داریم.»
به گفته وی، «دشمنان در فضای سایبری علیه اسرائیل با قدرت کامل عمل کرده و حملات را تشدید میکنند.»
طبق ادعای وی، 15 گروه حمله سایبری توسط ایران یا گروههای نیابتی این کشور، با اهداف مشخص وجود دارند و اسرائیل در صحنه نبرد با آنها برخورد میکند. شرکتهایی که مقررات برای آنها اعمال میشود، بخشی از اینها هستند.
یک زنجیره تامین و حمله به سازمانها میتواند بسیاری از نهادها را آلوده کند و اگر آنها اقدامات حفاظتی لازم را انجام ندهند، مشتریان، شامل ارگانهای بخش بهداشت، مقامات محلی، نهادهای تجاری و شرکتهای حملونقل، آسیب را جذب میکنند که ممکن است روی آنها تاثیر بگذارد.»
فریدمن معتقد است اداره سایبری، در صورت نداشتن اختیارات مناسب قانونی، با توافق با این نهادها کار میکند.
با این حال، او اغلب با دستگاههایی که تمایلی ندارند، مواجه است؛ سازمانهایی که دستورالعملهای این اداره را اجرا نمیکنند یا در اجرای آن تاخیر میکنند.
به گفته او، این مقررات، لحاظ شده تا فضای لازم برای مانور در اختیار این اداره قرار دهد و از این طریق، بهروزرسانیهای نهادها را درباره حملات سایبری دریافت کرده و اختیار داشته باشد دستورالعملهای الزامآور را به آنها بدهد.
فریدمن بر این باور است که از منظر تعادل و شکست، این، چیز ظریفی است اما در زمان جنگ، بسیار ضروری است.
از نظر وی، «ما نهادهایی را میبینیم که از برخورد با حوادث امتناع میورزند. این امر ممکن است بر دهها یا صدها مشتری مرتبط با آنها تاثیر بگذارد. در طول جنگ، تاثیر اینها دو برابر است. ما در زمان صلح نیز شاهد چنین حملاتی بودهایم و آسیب اقتصادی آنها بسیار قابل توجه است. از طریق یکی از این شرکتها میتوان به دهها شرکت دیگر دست یافت.»
این مقررات، شامل بخشنامهای برای ارائه یک دستورالعمل با کمترین تاثیر است. در زمینه تاثیرات باید به فعالیتهای ریاست، ارائه گزارش دورهای به کمیته امور خارجه و امنیت و بازرس توجه شود. این امر به صورت مدیریتشده و متوازن انجام میشود. آنها نمیخواهند نرمافزار امنیتی را برای دهها میلیون «شکل» (واحد استاندارد پول در اسرائیل) بخرند، بلکه برای مقابله با حوادث پیش از موعد به آن نیاز دارند. درمان، اغلب میتواند بهروزرسانی سیستمها، قطع اتصالات و چیزهایی باشد که هزینه آنها قابل توجه نیست.
این مقررات همچنین شامل تحریمهای مالی یا تنبیهی برای شرکتهایی که از دستورالعملها پیروی نمیکنند، نمیشود.
فریدمن میگوید: «فرض کار این است که به محض وجود قانون، دستگاهها به دستورالعملها گوش میدهند. به محض اینکه قانون وجود داشته باشد، درمان بسیار سریعتر رخ میدهد. شرکتهای اسرائیلی در طول جنگ، قوانین اسرائیل را نقض نمیکنند و در نهایت، وقتی موضوعات به اداره قانونی ارجاع میشود، بلافاصله چراغ سبز نشان میدهند، زیرا قانون وجود دارد.»
فریدمن درباره محرمانه بودن نهادهایی که این مقررات برای آنها اعمال میشود، خاطرنشان میکند: «انتشار لیست نهادها به معنای ترسیم بانک هدف مهاجم است. ما نمیخواهیم بانک هدف در اینترنت منتشر شود، زیرا شرکتها از این موضوع مطلع میشوند و اداره سایبری این موضوع را میداند.»
- انتقاد از مقررات اضطراری
همه با دیدگاه خوشبینانه اداره سایبری درباره مقررات پیشنهادی موافق نیستند.
دکتر تهیلا شوارتز آلتشولر از مؤسسه دموکراسی اسرائیل، بابت رسیدگی به این موضوع از طریق مقررات اضطراری انتقاد کرد.
بر اساس حکم دیوان عالی، مقررات اضطراری تنها در صورتی امکانپذیر است که امکان توسل به قانون اولیه کنست وجود نداشته باشد. مطمئنا وقتی صحبت از یک قانون مختصر میشود، کنست فعال است. مقررات اضطراری که تا کنون در جنگ پیشنهاد شدهاند، بسیار خاصتر از ترتیبات گستردهای هستند که اینجا پیشنهاد شده است.
شوارتز آلتشولر همچنین اظهار داشت که کاربرد این مقررات در عمل، بسیار گستردهتر از آن چیزی است که توسط این اداره ارائه شده است.
به گفته وی: «این مقررات، اساسا برای هرکس که سیستمهای اطلاعات، مدیریت اطلاعات و جستجوی اطلاعات را برای هر تجارتی در اسرائیل ارائه میدهد، اعمال میشود.»
وی درباره الزام به گزارش یک حمله سایبری معتقد است این، یک تعهد بسیار گسترده است و علاوه بر رویدادهای مشخص مانند اختلال در عملکرد عادی رایانه، حذف مطالب رایانه، نفوذ به مواد رایانهای و شنود ارتباطات بین رایانهها، موارد دیگر مانند برخورد با اخبار جعلی (ذخیره یا ارائه اطلاعات یا خروجی نادرست یا گمراهکننده، بسته به اهداف استفاده از آنها بر اساس زبان مقررات) را شامل میشود.
به گفته شوارتز آلتشولر، تعهد گزارش، بسیار گسترده است و بار بزرگی بر دوش ارائهدهندگان و اداره ملی سایبری میگذارد. علاوه بر این، مشخص نیست اداره ملی سایبری با این همه اطلاعاتی که به آن گزارش میشود، چهکاری میتواند انجام دهد، زیرا هیچ مجوزی برای انجام کار با آنها ندارد.»
شوارتز آلتشولر درباره محرمانه بودن فهرست نهادها میگوید: «با توجه به فهرست گسترده نهادها، این امر، مشکلساز و شفافیت نظارت بر آنها برای مدیریت ریسکهای سایبری در اجتماع و بخش خصوصی بسیار مهم است. این موضوع، همچنین در زمینه اعتماد عمومی از منظر محصولات دیجیتالی مورد استفاده، نظارت و ایمنی آنها حائز اهمیت است.»