به گزارش خبرگزاری مهر^[1] به نقل از انگجت، اتحادیه اروپا نام ۶ شرکت بزرگ دروازه بان اینترنت را اعلام کرد که باید از قوانین بازارهای دیجیتال(DMA) پیروی کنند.

نام این شرکت ها نیز کاملا آشنا و عبارت است از آلفابت، آمازون، اپل، بایت دنس، متا و مایکروسافت.

طبق قانون بازارهای دیجیتال دروازه بانان اینترنت نمی توانند سرویس های خود را بر رقبایشان ترجیح دهند و کاربران به هر نحوی به پلتفرم های خود محدود کنند.

آنها باید به شرکت های طرف ثالث اجازه دهند درشرایط خاص در سرویس های آنها نیز فعالیت کنند. البته این شرکت های بسیار ثروتمند نیز بیکار نمانده اند.

مایکروسافت و اپل مدعی هستند که با وجود پیروی از آستانه تعیین شده توسط کمیسیون اتحادیه اروپا اما بینگ، ادج، مایکروسافت ادورتایزینگ و آی مسیج به عنوان دروازه بان اینترنت به حساب نمی آیند و بنابراین نیازی نیست از قانون جدید پیروی کنند.

اپل احتمالا بیش از بقیه با پیامدهای پیروی از این قانون دست و پنجه نرم کند. گزارش های اخیر حاکی از آن است که این شرکت احتمالا در iOS17 اجازه نصب فروشگاه های اپ طرف ثالث وهمچنین دانلود نرم افزارهای خارج از اپ استور را به کاربران می دهد.

References

1. ^{^} خبرگزاری مهر (www.mehrnews.com)

به گزارش خبرگزاری مهر^[1] به نقل از رویترز، مایکروسافت در یک پست وبلاگی اعلام کرد هک مقامات ارشد وزارت امور خارجه و بازرگانی ایالات متحده توسط هکرهای چینی که اخیراً فاش شده، در نتیجه نفوذ به حساب شرکتی یک مهندس مایکروسافت روی داده است.

مایکروسافت اعلام کرد یک گروهی هکری به نام Storm-0558 به حساب کاربری مهندس مایکروسافت نفوذ و هزاران ایمیل متعلق به مقامات ارشد آمریکایی از جمله جینا ریموندو وزیر بازرگانی، نیکلاس برنز سفیر آمریکا در چین و دانیل کریتنبریک دستیار وزیر امور خارجه در امور شرق آسیا را سرقت کرده اند.

در این پست وبلاگی به چند سوال بی جواب درباره این هک پاسخ داده شده که سبب شد بررسی جدیدی درباره امنیت مایکروسافت آغاز شود.

از همه مهمتر آنکه در این پست توضیح داده شده هکرها چگونه توانسته بودند کلید رمزنگاری شده از حساب مهندس مذکور را سرقت کنند و با استفاده از آن به ایمیل ها دسترسی یابند.

مایکروسافت مدعی است که این شکاف را در حساب کاربری مهندس مذکور برطرف کرده است.

References

1. ^{^} خبرگزاری مهر (www.mehrnews.com)

به گزارش خبرگزاری مهر^[1] به نقل از رویترز، دادگاهی در نروژ اعلام کرد متا را به دلیل نقص حریم خصوصی کاربران می توان جریمه کرد. به این ترتیب تلاش شرکت آمریکایی برای متوقف کردن جریمه ای که رگولاتور داده نروژ وضع کرده بود، با شکست روبرو شد.

متا از ۱۴ آگوست تاکنون به دلیل جمع آوری داده های کاربران و استفاده از آن در تبلیغات هدفمند روزانه یک میلیون کرون (۹۳۲۰۰ دلار) جریمه شده است. تبلیغات رفتاری یا همان هدفمند نوعی از مدل کسب وکاری متداول بین شرکت های فناوری بزرگ است.

مالک فیس بوک و اینستاگرام خواهان توقف موقت دستور رگولاتور داده نروژ بود که این جریمه روزانه را به مدت ۳ ماه وضع کرده بود. رگولاتور داده کشور نروژ در بیانیه ای اعلام کرد: این پیروزی بزرگی برای حریم خصوصی است.

البته ممکن است این پرونده در اروپا گسترده تر شود زیرا رگولاتور نروژی قصد دارد تصمیم گیری در این زمینه را به رگولاتور داده اروپا ارجاع دهد.

اگر هیات حفاظت از داده اتحادیه اروپا با رگولاتور نروژی موافقت کند، احتمالا تصمیمی در حوزه این منطقه گرفته می شود که بقیه کشورهای اروپایی را نیز دربر می گیرد و در نتیجه جریمه دائمی خواهد شد.

متا مدعی شده بود این تصمیم رگولاتور برای جریمه نامتناسب است، قابل انجام نیست و نقض دیگر قوانین است. اما دادگاه این ادعاها را رد کرد. قاضی دادگاه هنگام صدور رای گفت: هیچ یک از توجیهات روی نتیجه تاثیری ندارد.

همچنین قاضی به متا دستور داده هزینه های پرونده مربوط به رگولاتور داده نروژ را نیز پرداخت کند.

References

1. ^{^} خبرگزاری مهر (www.mehrnews.com)

به گزارش خبرنگار مهر^[1]، امنیت سایبری، چالشی کلیدی برای دولت‌ها، شرکت و کاربران جهان محسوب می‌شود. تعداد و خسارات ناشی از انواع حملات سایبری طی سال‌های اخیر و همگام با رشد فناوری افزایش محسوسی یافته است. بر اساس پیش‌بینی متخصصان، هزینه جهانی حملات سایبری برای ذی‌ربطان این حوزه تا سال ۲۰۲۵ به حدود ۱۰.۵ تریلیون دلار خواهد رسید.

از همین رو، بسیاری از دولت‌های جهان به این نتیجه رسیده‌اند که امنیت سایبری باید یکی از اولویت‌های اساسی و محورهای تمرکز آن‌ها باشد. امروزه بسیاری از کشورهای پیشرو جهان در حوزه توسعه فناوری‌های پیشرفته به وضع قوانین و مقررات شدید برای کنترل بحران‌های امنیت سایبری و کاهش خسارات حملات این حوزه روی آورده‌اند.

کارشناسان عمده‌ترین چالش این حوزه را مسئله فقدان جبهه جهانی واحد مسئول در امر تأمین امنیت سایبری می‌دانند. در چنین شرایطی، بسیاری از نهادهای قضائی سراسر جهان از سوی دولت‌مردان موظف به وضع قوانین این حوزه در مقیاس ملی شده‌اند. همین امر می‌تواند فضایی مساعد برای مجرمان سایبری ایجاد کند تا از شکاف‌های موجود در مقررات بهره ببرند.

گزارش‌های آماری حاکی از آن است که بخش عمده خسارات ناشی از حملات سایبری و نفوذ به زیرساخت‌های دیجیتال، متوجه بخش مالی است. این بخش در برابر حملات و جرایم سایبری بسیار آسیب‌پذیر است؛ زیرا بانک‌ها و مؤسسات مالی، به حجم عظیمی از داده‌های شخصی کاربران دسترسی دارند. به علاوه، بدون اقدامات لازم و اتخاذ سیاست‌های مقتضی، یک تهدید امنیت سایبری می‌تواند باعث هرج و مرج و فروپاشی برای مؤسسات مالی شود.

به همین دلیل است که کارشناسان، وضع مقررات سایبری مؤثر و کارآمد برای این حوزه بسیار مهم و حیاتی می‌دانند.

در این نوشتار به مرور برخی از قوانین حوزه امنیت سایبری در کشور آمریکا می‌پردازیم.

تنظیم‌گری امنیت سایبری در آمریکا

به طور کلی، یک قانون فدرال امنیت سایبری در ایالات متحده آمریکا وجود دارد. این در حالی است که برخی از ایالات این کشور نیز قوانین منطقه‌ای خاص خود را برای تأمین امنیت سایبری تصویب کرده‌اند.

قانون گرام لیچ بلیلی (Gramm-Leach Bliley Act) (1999)

این اقدام اولین اقدام امنیت سایبری برای مؤسسات مالی در ایالات متحده است. بر اساس متن این قانون، بانک‌ها، اتحادیه‌های اعتباری و سایر مؤسسات تحت نظارت باید امنیت داده‌ها را در طول فرایند فعالیت خود، ایجاد، اجرا و حفظ کنند.

این موضوع توسط کمیسیون تجارت فدرال ایالات متحده اجرا می‌شود و در سطح پایه، مؤسسات وادار می‌کند تا مشتریان را در مورد داده‌هایی که جمع‌آوری می‌کنند مطلع ساخته و به آن‌ها اجازه انصراف می‌دهد.

علاوه بر این، تیم‌های مسئول ارزیابی انطباق سازمان‌ها و مؤسسات با این قوانین باید برنامه‌های خود را برای نشان دادن ایمنی داده‌های فیزیکی، اداری و فنی تدوین کنند. در همین راستا، سازمان‌ها و نهادهای تحت نظارت ملزم به رعایت قواعد به شرح زیر هستند:

• آن‌ها باید ماهیت فعالیت‌های خود را اعلام کنند.
• نهادهای تحت نظارت باید دامنه فعالیت خود را شفاف و آشکار کنند.
• خطر بالقوه فعالیت‌های خود را برای مشتریانشان مشخص کنند.

قانون مذکور، یکی از قدیمی‌ترین اقدامات حقوقی در راستای تعیین استاندارهای امنیت سایبری برای فعالیت سازمان‌ها به شمار می‌رود. با این وجود، فضای قانون‌گذاری در این حوزه یکی از بخش‌های بسیار پویا در نظام قضائی ایالات متحده محسوب می‌شود و قانونگذاران این کشور با توجه به اقتضائات این حوزه، همواره در حال به روز رسانی قواعد هستند.

الزامات امنیت سایبری دستگاه‌های متصل به اینترنت

دولت بایدن به تازگی برنامه برچسب‌گذاری امنیت سایبری اینترنت اشیا (IoT) را با هدف محافظت از شهروندان آمریکا در برابر خطرات امنیتی بیشمار مربوط به دستگاه‌های متصل به اینترنت تدوین کرده است. برنامه یاد شده، با نام «U.S. Cyber Trust Mark»، در زمینه خرید دستگاه‌های متصل به اینترنت امن و مقاوم در برابر حملات سایبری به شهروندان آمریکایی کمک می‌کند.

از جمله الزامات این استاندارد اجباری جدید که از سوی مؤسسه ملی استاندارد و فناوری آمریکا (NIST) وضع شده است، می‌توان به برخورداری دستگاه‌ها از رمزهای عبور پیش‌فرض منحصربه‌فرد و قوی، محافظت از داده‌های ذخیره‌شده و انتقال‌یافته، ارائه به‌روزرسانی‌های امنیتی منظم و داشتن قابلیت تشخیص حوادث اشاره کرد.

همکاری نهادهای ناظر متعدد برای نظارت امنیتی بر بخش‌های تخصصی

علاوه بر قوانین موجود در ساختار قضائی فدرال این کشور، سازمان‌های بسیاری نیز در این کشور مسئول رسیدگی به امور مربوط به حفاظت از امنیت سایبری و کاهش موارد نقض داده‌های کاربران هستند.

مقامات ارشد امنیت سایبری ایالات‌متحده، همواره بر مسئله همرسانی اطلاعات در راستای محافظت از شبکه‌های داخلی این کشور در برابر حملات هکری تأکید دارند. بر اساس داده‌های منتشر شده در این مورد، اشتراک اطلاعات میان فرماندهی سایبری (U.S. Cyber Command) و سازمان امنیت سایبری و زیرساخت وزارت امنیت داخلی آمریکا (CISA) در موارد متعدد سبب خنثی‌سازی حملات سایبری مخرب به انتخابات آمریکا شده است.

فرماندهان حوزه سایبری در وزارت دفاع این کشور و سازمان عالی امنیت سایبری غیرنظامی فدرال آمریکا همواره مدعی هستند که رابطه بین این دو سازمان برای دفاع از این کشور در برابر هکرهای خارجی ضروری است.

اریک گلدشتاین، دستیار اجرایی سازمان امنیت سایبری و زیرساخت وزارت امنیت داخلی آمریکا اخیراً طی اظهار نظری در حاشیه اجلاس «RSA2023» در این مورد ادعا کرد که بخش خصوصی همرسانی اطلاعات را چندان مفید نمی‌داند و معتقد است که این امر منجر به ارائه راهنمایی مؤثر در این زمینه نمی‌شود؛ با این حال، علی‌رغم عدم توفیق چندان در تحقق همکاری اطلاعاتی میان بخش دولتی و خصوصی، تبادل اطلاعات بین سازمان امنیت سایبری و زیرساخت ایالات‌متحده و فرماندهی سایبری این کشور ثمربخش بوده است.

انتشار منظم راهبرد امنیت سایبری در مقیاس ملی

تدوین و انتشار سند استراتژی امنیت سایبری، یکی دیگر از ابزار در اختیار سیاست‌مداران آمریکایی در راستای افزایش امنیت سایبری و پیشگیری از بروز حملات این حوزه، محسوب می‌شود. کاخ سفید در تاریخ ۲ مارس سال جاری، اقدام به انتشار تازه‌ترین نسخه استراتژی امنیت سایبری این کشور کرده است. سند مذکور، ارائه طریقی برای افزایش حفاظت بخش‌های مختلف این کشور در برابر تهدیدات روزافزون سایبری محسوب می‌شود.

استراتژی اخیر، بر مقررات سختگیرانه‌تر برای حصول اطمینان از تأمین امنیت سایبری صنایع و بهبود همکاری بین دولت و بخش خصوصی تأکید دارد. در این استراتژی از چین و روسیه به عنوان مهمترین تهدیدات امنیت سایبری برای ایالات‌متحده یاد شده است و به عقیده کارشناسان یکی از اهداف آن مهار توان سایبری روسیه است.

این استراتژی همچنین بر بهبود برخی استانداردها در سیستم‌های رایانه‌ای و الزام شرکت‌های ابری به تأیید هویت مشتریان خارجی خود، تاکید دارد.

محورهای راهبرد امنیت سایبری ۲۰۲۳ آمریکا

چارچوب استراتژی تأمین امنیت سایبری اخیر آمریکا که از سوی دولت بایدن تدوین و منتشر شده است، بر محورهای کلیدی متعددی تمرکز دارد که برخی سرفصل‌های آن به شرح زیر است:

• دفاع از زیرساخت‌های حیاتی کشور آمریکا
• اختلال و اقدام جهت مقابله و نابودسازی تهدیدات خارجی
• جهت‌دهی به بازار در راستای ارتقا شاخص‌های امنیت سایبری
• سرمایه‌گذاری استراتژیک در راستای افزایش تاب‌آوری
• افزایش مشارکت بین‌المللی به منظور دستیابی به اهداف مشترک

قوانین حفظ حریم خصوصی مصرف‌کنندگان کالیفرنیا و قانون حریم خصوصی کلرادو

مسئله حریم خصوصی داده‌ها جنبه‌ای کلیدی حفاظت در امنیت سایبری محسوب می‌شود. در همین راستا، ایالت‌هایی مانند کالیفرنیا و کلرادو با تصویب سیاست‌های حفاظت از داده‌های مختص به خود برای کسب‌وکارها در حوزه‌های قضائی خود، امور مربوط به الزامات حفاظت از داده‌ها را به دست گرفته‌اند.

این سیاست‌ها به واسطه مشابهت فراوان بسیاری از موارد نقض داده و مخاطرات امنیت سایبری، تا حدودی مشابه هستند و بر روی اقدامات و الزاماتی که کنترل کننده ها و پردازشگرهای داده می‌توانند انجام دهند، تمرکز دارند تا مشتریان را ایمن نگه دارند. هدف اصلی این مقررات این است که به مشتریان حق انصراف از جمع آوری داده‌ها و جلوگیری از انتقال اطلاعاتشان به اشخاص ثالث داده شود.

سخن پایانی

وجود یک نظام حقوقی پویا در مواجهه با تهدیدات امنیت سایبری در حال پیشرفت موجود در جهان دیجیتال، مبین آگاهی رهبران این کشور از ماهیت تهدید و لزوم اتخاذ تدابیر مقابله با چالش‌ها به صورت کارآمد، تطبیق‌پذیر و سریع است.

بی شک متخصصان و قانون‌گذاران این کشور در تلاش هستند که در طوفان تحولات روزانه این حوزه، از سیر پیچیدگی تهدیدات و حملات عقب نمانند. راهبردهای امنیت سایبری متعدد در طول سال‌های اخیر و حجم بالای قوانین امنیت سایبری این کشور نیز مؤید همین مدعا است. با این وجود، در جهان امروز حتی نخستین کشور توسعه دهنده اینترنت و نظام قانون‌گذاری آن نیز تاب مقاومت حداکثری در برابر تهدیدات روزافزون سایبری را ندارد و کاربران و شرکت‌های مستقر در آن، سالانه با حجم بالایی از حملات سایبری مواجه می‌شوند.

References

1. ^{^} خبرنگار مهر (www.mehrnews.com)