قوانين الأمن الإلكتروني أو كما تسمى غالباً بـ "الأمن السيبراني" هي لوائح تشتمل على توجيهات متخصصة لحماية تقنية المعلومات وأنظمة الحاسب بغرض إجبار الشركات والمؤسسات على حماية أنظمتها ومعلوماتها من الهجمات الإلكترونية مثل الفيروسات والديدان وأحصنة طروادة والتصيد وهجمات رفض الخدمة (DOS) والوصول غير المصرح به كسرقة الملكية الفكرية أو المعلومات السرية وهجمات نظام التحكم وغيرها. هناك العديد من التدابير المتاحة لمنع الهجمات الإلكترونية.
تشمل هذه التدابير في الأمن السيبراني بناء سياسات وضوابط وأنظمة مثل إنشاء جدران الحماية وبرامج مكافحة الفيروسات وأنظمة كشف التسلل والوقاية منها والتشفير وكلمات المرور في عمليات تسجيل الدخول. كانت ولازالت هناك محاولات لتحسين الأمن السيبراني من خلال التنظيم والجهود التعاونية بين الحكومة والقطاع الخاص لتشجيع التحسينات الطوعية للأمن السيبراني. لاحظ مسؤولين ومنظمين الصناعة، بما في ذلك المنظمون والشركاء المصرفيون المخاطر الناجمة عن الأمن السيبراني وبدأوا يخططون للبدء في إدراج الأمن السيبراني كجانب من جوانب الاختبارات التنظيمية.[1]
نظرة عامة
في عام 2011 ، أصدرت وزارة الدفاع الأمريكية دليلاً يطلق عليه "إستراتيجية وزارة الدفاع للعمل في الفضاء السيبراني" والذي يحدد خمسة أهداف: 1- التعامل مع الفضاء الإلكتروني كمجال تشغيلي، 2- استخدام مفاهيم دفاعية جديدة لحماية شبكات وأنظمة وزارة الدفاع، 3- الشراكة مع وكالات أخرى والقطاع الخاص, 4- السعي إلى تطبيق "إستراتيجية الأمن السيبراني للحكومة بأكملها" ، 5- العمل مع الحلفاء الدوليين لدعم الأمن السيبراني الجماعي ودعم تطوير القوى العاملة السيبرانية القادرة على الابتكار التقني السريع.[2]
تقرير مكتب محاسبة الحكومة الصادر في مارس 2011 حدد وصنف حماية أنظمة معلومات الحكومة الفيدرالية والبنية التحتية للإنترنت في أمريكا كمنطقة وعنصر عالي الخطورة على مستوى الحكومة" مع الإشارة إلى أن أمن المعلومات الفيدرالي قد تم تعيينه كمنطقة شديدة الخطورة منذ عام 1997. في عام 2003 , تم إدراج حماية البنية التحتية الحرجة وحماية البنية التحتية الحيوية السيبرانية (CIP).
في شهر نوفمبر من عام 2013 ، أصدرت وزارة الدفاع الأمريكية قاعدة ونظام الأمن السيبراني الجديد وهو (78 Fed. Reg. 69373) ، والذي فرض هذا النظام بعض المتطلبات على المقاولين مثل: الامتثال لمعايير NIST IT والإبلاغ الإلزامي عن حوادث الأمن السيبراني إلى وزارة الدفاع الأمريكية. [3]
وجد تقرير ينتمي للكونجرس في شهر يونيو من عام 2013 أن هناك أكثر من 50 قانوناً يتعلق بالامتثال لقواعد وضوابط لوائح الأمن السيبراني. الجدير بالذكر أن قانون إدارة أمن المعلومات الفيدرالي لعام 2002 (FISMA) يعد أحد القوانين الأساسية التي تحكم أنظمة الأمن السيبراني الفيدرالية. [3]
الولايات المتحدة الأمريكية
الحكومة الفيدرالية
هناك عدد قليل من لوائح الأمن السيبراني الفيدرالية، وترتكز اللوائح الموجودة على صناعات محددة. اللوائح الثلاثة الرئيسية للأمن السيبراني هي "قانون قابلية ومساءلة التأمين الصحي لعام 1996 (HIPAA)" ، و "قانون Gramm-Leach-Bliley لعام 1999"، وقانون الأمن الداخلي لعام 2002 الذي تضمن قانون إدارة أمن المعلومات الفيدرالي (FISMA). تنص كل اللوائح الثلاثة على أنه ينبغي على مؤسسات الرعاية الصحية والمؤسسات المالية والوكالات الفيدرالية حماية أنظمتها ومعلوماتها. على سبيل المثال، FISMA و الذي ينطبق على كل وكالة حكومية يتطلب تطوير وتنفيذ سياسات إلزامية ومبادئ ومعايير وإرشادات حول أمن المعلومات. ومع ذلك، لا تتناول اللوائح العديد من الصناعات ذات الصلة بالحاسوب مثل مزودي خدمة الإنترنت وشركات البرمجيات. علاوة على ذلك، لا تحدد اللوائح تدابير الأمن السيبراني التي يجب تنفيذها ولا تتطلب سوى مستوى "معقول" من الأمان. اللغة الغامضة لهذه اللوائح تترك مجالاً للتفسير، حيث يقول بروس شنير (Bruce Schneier) مؤسس شركة "كوبرتينو" لأمن الإنترنت، أن الشركات لن تقوم بعمل إستثمارات كافية في مجال الأمن السيبراني ما لم تجبرها الحكومة على القيام بذلك. ويذكر أيضاً أن الهجمات الإلكترونية الناجحة على الأنظمة الحكومية لا تزال تحدث رغم الجهود الحكومية.
لقد اقترح أن قانون جودة البيانات يمنح مكتب الإدارة والميزانية بالفعل السلطة القانونية لتنفيذ لوائح حماية البنية التحتية الحيوية من خلال عملية وضع قواعد قانون الإجراءات الإدارية . لم يتم فحص الفكرة بالكامل وستتطلب تحليلًا قانونيًا إضافيًا قبل البدء في وضع القواعد . [4]
حكومات الولايات
حاولت حكومات الولايات تحسين الأمن السيبراني من خلال زيادة ظهور الجمهور للشركات ذات الأمن الضعيف. في عام 2003 ، أقرت كاليفورنيا قانون الإخطار الأمني، والذي يتطلب أن تقوم أي شركة تحتفظ بمعلومات شخصية عن مواطني كاليفورنيا ولديها خرق أمني بالكشف عن تفاصيل الحدث. تتضمن المعلومات الشخصية الاسم أو رقم الضمان الاجتماعي أو رقم رخصة القيادة أو رقم بطاقة الائتمان أو المعلومات المالية. والجدير بالذكر، انه قد اتبعت عدة ولايات أخرى مثال كاليفورنيا وأصدرت لوائح مماثلة للإخطار بالأمن. إن لوائح الإخطار بانتهاك الأمان هذه تعاقب الشركات على إخفاقاتها في مجال الأمن السيبراني مع منحها حرية اختيار كيفية تأمين أنظمتها. أيضًا، تخلق اللائحة حافزًا للشركات للاستثمار طوعًا في الأمن السيبراني لتجنب الفقد المحتمل للسمعة والخسارة الاقتصادية الناتجة التي يمكن أن تأتي من هجوم سيبراني ناجح. [5]
في عام 2004 ، أقر المجلس التشريعي لولاية كاليفورنيا مشروع قانون جمعية كاليفورنيا 1950 ، والذي ينطبق أيضًا على الشركات التي تمتلك أو تحافظ على المعلومات الشخصية لسكان كاليفورنيا. تملي اللوائح على الشركات للحفاظ على مستوى معقول من الأمن وأنها تتطلب ممارسات أمنية تمتد أيضا إلى شركاء الأعمال. يعد هذا التنظيم بمثابة تحسين للمعيار الفيدرالي لأنه يوسع عدد الشركات المطلوبة للحفاظ على مستوى مقبول من الأمن السيبراني. ومع ذلك، مثل التشريع الفيدرالي، فإنه يتطلب مستوى "معقول" من الأمن السيبراني، والذي يترك مجالًا كبيرًا للتفسير حتى يتم تأسيس السوابق القضائية.
التنظيم المقترح
اقترح الكونجرس الأمريكي العديد من مشاريع القوانين التي تتوسع في تنظيم الأمن السيبراني. يعدل قانون أمن بيانات المستهلك والإشعار به قانون Gramm-Leach-Bliley ليطلب الكشف عن المخالفات الأمنية من جانب المؤسسات المالية. اقترح أعضاء الكونغرس أيضًا "توسيع Gramm-Leach-Bliley لتشمل جميع الصناعات التي تمس المعلومات المالية للمستهلك، بما في ذلك أي شركة تقبل الدفع عن طريق بطاقة الائتمان." اقترح الكونغرس لوائح الأمن السيبراني على غرار قانون الإخطار الأمني الخاص بكاليفورنيا للشركات التي تحتفظ بمعلومات شخصية. يتطلب قانون حماية المعلومات والأمن من سماسرة البيانات "ضمان دقة البيانات وسريتها، ومصادقة وتتبع المستخدمين، والكشف عن النشاط غير المصرح به ومنعه، وتخفيف الضرر المحتمل للأفراد".
بالإضافة إلى مطالبة الشركات بتحسين الأمن السيبراني، يدرس الكونغرس أيضًا مشاريع القوانين التي تجرم الهجمات الإلكترونية. قانون حماية نفسك ضد قانون التعدي على الإنترنت ( SPY ACT ) كان مشروع قانون من هذا النوع. ركزت على مشروع قانون التصيّد وبرامج التجسس وتمت الموافقة عليه في يوم 23 من شهر مايو لعام 2005 في مجلس النواب الأمريكي ولكنه توقف في مجلس الشيوخ الأمريكي . [5] مشروع القانون "يجعل من غير القانوني الاستخدام غير المصرح به لجهاز الكمبيوتر للسيطرة عليه، وتعديل إعداداته، وجمع أو حث المالك على الكشف عن معلومات التعريف الشخصية ، وتثبيت البرامج غير المرغوب فيها، والعبث بالأمان، أو برامج مكافحة التجسس، أو مكافحة برنامج مكافحة الفيروسات . "
في يوم 12 من شهر مايو لعام 2011 ، اقترح باراك أوباما الولايات المتحدة حزمة من الإصلاحات التشريعية للأمن السيبراني لتحسين أمن الأشخاص في الولايات المتحدة، والحكومة الفيدرالية، والبنية التحتية الحيوية. تلا ذلك عام من النقاش العام وجلسات الاستماع للكونغرس، مما أسفر عن موافقة مجلس النواب على مشروع قانون لتبادل المعلومات ، ووضع مجلس الشيوخ مشروع قانون تسوية يسعى إلى تحقيق التوازن بين الأمن القومي والخصوصية ومصالح الأعمال.
في شهر يوليو بعام 2012 ، اقترح السناتور جوزيف ليبرمان وسوزان كولينز قانون الأمن السيبراني لعام 2012. تطلب مشروع القانون إنشاء "معايير أفضل الممارسات" الطوعية لحماية البنية التحتية الرئيسية من الهجمات الإلكترونية، والتي سيتم تشجيع الشركات على تبنيها من خلال حوافز مثل حماية المسؤولية. تم طرح مشروع القانون للتصويت في مجلس الشيوخ لكنه فشل في الموافقة عليه. أعرب أوباما عن دعمه للقانون في مقال صحيفة وول ستريت جورنال كما تلقت دعما من مسؤولين في الجيش والأمن القومي بمن فيهم جون أو. برينان ، كبير مستشاري مكافحة الإرهاب في البيت الأبيض.
وفقًا لصحيفة واشنطن بوست ، قال الخبراء إن الفشل في تمرير الفعل قد يجعل الولايات المتحدة "عرضة للاختراق على نطاق واسع أو لهجمات إلكترونية خطيرة." عارض القانون أعضاء مجلس الشيوخ الجمهوريون، مثل جون ماكين ، الذي كان قلقًا من أن هذا القانون سيطبق لوائح لن تكون فعالة وقد تكون "عبئًا" على الشركات. بعد تصويت مجلس الشيوخ، صرّح السناتور الجمهوري كاي بيلي هوتشيسون بأن معارضة مشروع القانون ليست قضية حزبية ولكنها لا تأخذ النهج الصحيح تجاه الأمن السيبراني. لم يكن تصويت مجلس الشيوخ صارمًا وفقًا للأحزاب الحزبية، حيث صوت ستة ديمقراطيين ضده، وصوت خمسة جمهوريين لصالحه. من بين منتقدي مشروع القانون غرفة التجارة الأمريكية، مجموعات الدعوة مثل اتحاد الحريات المدنية الأمريكي ومؤسسة الحدود الإلكترونية ، خبير الأمن السيبراني جودي ويستبي ومؤسسة التراث، جادل كل منهما أنه على الرغم من أن الحكومة يجب أن تعمل على الأمن السيبراني، فإن مشروع القانون كان معيبًا في مقاربته ويمثل "دورًا فدراليًا تدخليًا للغاية".
في شهر فبراير من عام 2013 ، اقترح أوباما الأمر التنفيذي لتحسين الأمن السيبراني للبنية التحتية، وإنه يمثل آخر تكرار للسياسة ولكنه لا يعتبر قانونًا لأن الكونغرس لم يتناوله بعد. وهو أيضاً يسعى إلى تحسين الشراكات الحالية بين القطاعين العام والخاص من خلال تعزيز توقيت تدفق المعلومات بين DHS وشركات البنية التحتية الحيوية. تواجه الوكالات الفيدرالية لتبادل التحذيرات الاستخباراتية تهديدات الإنترنت إلى أي كيان من القطاع الخاص التي تم تحديدها كهدف. كما أنه يكلف وزارة الأمن الوطني بتحسين عملية الإسراع في عمليات التخليص الأمني لكيانات القطاعين العام والخاص المطبقة لتمكين الحكومة الفيدرالية من مشاركة هذه المعلومات على المستويات الحساسة والمصنفة المناسبة. يوجه تطوير إطار عمل لتقليل مخاطر الإنترنت، مع دمج أفضل الممارسات الصناعية الحالية والمعايير الطوعية. أخيرًا، تقوم بمهمة الوكالات الفيدرالية المشاركة في دمج حماية الخصوصية والحريات المدنية وفقًا لمبادئ الممارسة العادلة للمعلومات. [6]
في شهر يناير لعام 2015 ، أعلن أوباما عن اقتراح تشريعي جديد للأمن السيبراني. تم تقديم الاقتراح في محاولة لإعداد الولايات المتحدة من العدد المتزايد لجرائم الإنترنت. في الاقتراح، أوجز أوباما ثلاثة جهود رئيسية للعمل من أجل الفضاء الإلكتروني ليكون أكثر أمنا للولايات المتحدة. أكد بأن الجهد الرئيسي الأول هو أنه يقوم على أهمية تمكين تبادل معلومات الأمن السيبراني. من خلال تمكين ذلك، شجع الاقتراح تبادل المعلومات بين الحكومة والقطاع الخاص. سيسمح ذلك للحكومة بمعرفة التهديدات السيبرانية الرئيسية التي تواجهها الشركات الخاصة، ثم يسمح للحكومة بتوفير الحماية للمسؤولية لتلك الشركات التي تشارك معلوماتها. علاوة على ذلك، من شأن ذلك أن يعطي الحكومة فكرة أفضل عما تحتاج الولايات المتحدة إلى حمايته. كان من بين الجهود الرئيسية الأخرى التي تم التأكيد عليها في هذا الاقتراح تحديث سلطات إنفاذ القانون لجعلها أكثر تجهيزًا للتعامل بشكل صحيح مع الجرائم الإلكترونية عن طريق منحهم الأدوات التي يحتاجون إليها من أجل القيام بذلك. كما سيتم تحديث تصنيفات الجرائم الإلكترونية والنتائج المترتبة عليها.
إحدى الطرق التي سيتم بها ذلك هي جعلها جريمة لبيع المعلومات المالية في الخارج. الهدف الآخر من هذا الجهد هو جعل الجرائم الإلكترونية قابلة للمقاضاة. كان الجهد الرئيسي الأخير للمقترح التشريعي هو مطالبة الشركات بالإبلاغ عن انتهاك البيانات للمستهلكين إذا تم التضحية بمعلوماتهم الشخصية. من خلال مطالبة الشركات بالقيام بذلك، يدرك المستهلكون عندما يكونون في خطر سرقة الهوية. [7]
في شهر فبراير لعام 2016 ، قام أوباما بتطوير خطة عمل الأمن القومي للأمن السيبراني المسمية بـ (CNAP). تم وضع الخطة لإنشاء إجراءات واستراتيجيات طويلة الأجل في محاولة لحماية الولايات المتحدة من التهديدات السيبرانية. كان محور الخطة هو إطلاع الجمهور على التهديد المتزايد لجرائم الإنترنت، وتحسين حماية الأمن السيبراني، وحماية المعلومات الشخصية للأمريكيين، وإبلاغ الأميركيين بكيفية التحكم في الأمن الرقمي. تشمل أبرز هذه الخطة إنشاء "لجنة لتعزيز الأمن السيبراني الوطني". الهدف من هذا هو إنشاء لجنة تتألف من مجموعة متنوعة من المفكرين ذوي وجهات النظر التي يمكن أن تسهم في تقديم توصيات حول كيفية إنشاء الأمن السيبراني أقوى للقطاعين العام والخاص. النقطة الثانية من هذه الخطة هي تغيير تكنولوجيا المعلومات الحكومية. ستجعل تكنولوجيا المعلومات الحكومية الجديدة ذلك حتى يمكن وضع تكنولوجيا معلومات أكثر أمانًا. النقطة الثالثة من هذه الخطة هي تزويد الأمريكيين بمعرفة كيف يمكنهم تأمين حساباتهم على الإنترنت وتجنب سرقة معلوماتهم الشخصية من خلال المصادقة متعددة العوامل. النقطة الرابعة في الخطة هي استثمار 35٪ من الأموال التي تم استثمارها في عام 2016 في مجال الأمن السيبراني. [8]
الجهود الحكومية الأخرى
بالإضافة إلى التنظيم، حاولت الحكومة الفيدرالية تحسين الأمن السيبراني من خلال تخصيص المزيد من الموارد للبحث والتعاون مع القطاع الخاص لكتابة المعايير. في عام 2003 ، جعلت الاستراتيجية الوطنية للرئيس لتأمين الفضاء الإلكتروني وزارة الأمن الداخلي (DHS) مسؤولة عن التوصيات الأمنية والبحث عن الحلول الوطنية. تدعو الخطة إلى بذل جهود تعاونية بين الحكومة والصناعة "لإنشاء نظام استجابة للطوارئ للهجمات الإلكترونية ولتقليل تعرض البلاد لمثل هذه التهديدات".
في عام 2004 ، خصص الكونغرس الأمريكي 4.7 مليار دولار للأمن السيبراني لتحقيق العديد من الأهداف المنصوص عليها في الاستراتيجية الوطنية للرئيس لتأمين الفضاء الإلكتروني. يذكر بعض خبراء أمن الصناعة أن الاستراتيجية الوطنية للرئيس لتأمين الفضاء الإلكتروني هي خطوة أولى جيدة ولكنها غير كافية. صرح بروس شنير، "إن الاستراتيجية الوطنية لتأمين الفضاء الإلكتروني لم تؤمن شيئًا بعد". ومع ذلك، تنص الاستراتيجية الوطنية للرئيس بوضوح على أن الغرض من ذلك هو توفير إطار لأصحاب أنظمة الكمبيوتر لتحسين أمنهم بدلاً من تولي الحكومة حل المشكلة أوحل أطرافها. ومع ذلك، لا يتعين على الشركات التي تشارك في الجهود التعاونية الموضحة في الاستراتيجية اعتماد حلول الأمان المكتشفة.
في الولايات المتحدة، يحاول الكونغرس الأمريكي جعل المعلومات أكثر شفافية بعد فشل قانون الأمن السيبراني لعام 2012 ، الذي كان سيخلق معايير طوعية لحماية البنية التحتية الحيوية، في تمريره في مجلس الشيوخ. [9] في شهر فبراير 2013 ، أصدر البيت الأبيض أمرًا تنفيذيًا بعنوان "تحسين الأمن السيبراني للبنية التحتية الحيوية" ، والذي يسمح للسلطة التنفيذية بتبادل المعلومات حول التهديدات مع المزيد من الشركات والأفراد. [10] وفي شهر أبريل لعام 2013 ، أقر مجلس النواب قانون تقاسم وحماية الاستخبارات السيبرانية (CISPA) ، الذي يدعو إلى الحماية من الدعاوى القضائية التي تستهدف الشركات التي تكشف عن معلومات خرق. قالت إدارة أوباما إنها قد تستخدم حق النقض ضد مشروع القانون.
الهند
في ضوء الاختراق الحاصل في الموقع الإلكتروني التجاري لوكالة الفضاء الهندية في عام 2015 ، ذكرت شركة "أنتريكس" والبرامج الحكومية في Digital India, بأن الخبير في مجال الإنترنت ومحامي في المحكمة العليا في الهند بافان دوغال (Pavan Duggal) يقول: " التشريعات المخصصة لأمان الإنترنت هو شرط أساسي في الهند. لا يكفي مجرد وضع سياسات الأمن السيبراني كجزء من قانون تقنية المعلومات. علينا أن نرى الأمن السيبراني ليس فقط من منظور قطاعي، ولكن أيضاً من منظور وطني ". [11]
الاتحاد الأوربي
كانت معايير الأمن السيبراني ذات أهمية كبيرة في الأعمال التجارية القائمة على التقنية اليوم. و لتعظيم وزيادة الأرباح، تستفيد الشركات من التقنية من خلال إدارة معظم عملياتها عبر الإنترنت حالياً. نظرًا لوجود عدد كبير من المخاطر التي تنطوي على عمليات العمل عبر الإنترنت، يجب حماية هذه العمليات من خلال لوائح شاملة وواسعة النطاق.
تغطي جميع أنظمة الأمن السيبراني الحالية جوانب مختلفة من العمليات التجارية وغالباً ما تختلف حسب المنطقة أو البلد الذي تعمل فيه الشركة. نظراً للاختلافات في مجتمعات عديدة في البلدان والبنية التحتية والقيم، فإن معيار الأمن السيبراني الشاملة ليست هي الأفضل لتقليل المخاطر. على الرغم من أن المعايير الأمريكية توفر أساساً وضوابط واضحة للعمليات، فقد أنشأ الإتحاد الأوروبي لائحة أكثر ملائمة للشركات التي تعمل بشكل خاص داخل دول الاتحاد الأوروبي. أيضاً، في ضوء خروج بريطانيا من الاتحاد الأوروبي ، من المهم النظر في كيفية العمل مع المملكة المتحدة للالتزام بهذه اللوائح الأمنية.
هناك ثلاث قوانين في الاتحاد الأوروبي، وهي تشمل ثلاثة لوائح رئيسية داخل الاتحاد الأوروبي ENISA ، وتوجيهات NIS و GDPR للاتحاد الأوروبي. يمكن وصف تلك القوانين واللوائح بتقسيمها وشرح كل لائحة على النحو التالي:
ENISA
وكالة الاتحاد الأوروبي لأمن الشبكات والمعلومات (ENISA) هي وكالة حاكمة تم إنشاؤها أصلاً بموجب اللائحة (EC) رقم 460/2004 (البرلمان الأوروبي والمجلس المؤرخ ليوم 10 بشهر مارس في عام 2004 لغرض رفع أمن الشبكات والمعلومات (NIS) لجميع عمليات التواصل عبر الإنترنت في الاتحاد الأوروبي). تعمل ENISA حاليًا وفقًا للائحة (الاتحاد الأوروبي) رقم 526/2013 ، [12] التي حلت محل اللوائح الأصلية في عام 2013. تعمل ENISA بنشاط مع جميع الدول الأعضاء في الاتحاد الأوروبي لتوفير مجموعة من الخدمات. تركز عملياتها على ثلاثة عوامل وهي:
- توصيات إلى الدول الأعضاء حول مسار الانتهاكات الأمنية
- صنع السياسات ودعم التنفيذ لجميع الدول الأعضاء في الاتحاد الأوروبي
- الدعم المباشر مع ENISA مع اتباع نهج عملي للعمل مع فرق العمليات في الاتحاد الأوروبي [13]
تتكون ENISA من مجلس إدارة يعتمد على دعم المدير التنفيذي ومجموعة أصحاب المصلحة الدائمين. ومع ذلك، فإن معظم العمليات يديرها رؤساء الإدارات المختلفة. [14]
أصدرت ENISA منشورات مختلفة تغطي جميع القضايا الرئيسية المتعلقة بالأمن السيبراني. تشمل مبادرات ENISA السابقة والحالية إستراتيجية السحابة للاتحاد الأوروبي والمعايير المفتوحة في تكنولوجيا اتصالات المعلومات واستراتيجية الأمن السيبراني للاتحاد الأوروبي ومجموعة تنسيق الأمن السيبراني. تعمل ENISA أيضًا بالتعاون مع المنظمات الدولية القياسية الحالية مثل ISO والاتحاد الدولي للاتصالات . [15]
توجيه NIS
في يوم 6 من شهر يوليو لعام 2016 ، وضع البرلمان الأوروبي في السياسة التوجيه الخاص بأمن أنظمة الشبكات والمعلومات ( توجيه NIS ). [16]
دخل التوجيه حيز التنفيذ في شهر أغسطس بعام 2016 ، وتم منح جميع الدول الأعضاء في الاتحاد الأوروبي 21 شهرًا لدمج لوائح التوجيه في قوانينها الوطنية. [17] الهدف من توجيه NIS هو إنشاء مستوى أعلى عام للأمن السيبراني في الاتحاد الأوروبي. يؤثر التوجيه بشكل كبير على مقدمي الخدمات الرقمية (DSPs) ومشغلي الخدمات الأساسية (OES). يشتمل مشغلو الخدمات الأساسية على أي منظمات ستتأثر عملياتها بشكل كبير في حالة حدوث خرق أمني إذا تورطوا في أنشطة اجتماعية أو اقتصادية حرجة. يتحمل كل من مقدمي خدمات الدعم (DSP) و OES المسؤولية الآن عن الإبلاغ عن حوادث الأمان الرئيسية لفرق الاستجابة لحوادث أمان الكمبيوتر (CSIRT). [18] على الرغم من أن DSPs لا تخضع لأنظمة صارمة مثل مشغلي الخدمات الأساسية، فإن DSPs التي لم يتم إنشاؤها في الاتحاد الأوروبي لا تزال تعمل في الاتحاد الأوروبي ولا تزال تواجه لوائح أيضاً تخضع لها. حتى إذا كانت جهات النشر والمراجعة (DSP) و OES تتعهد بمصادر خارجية في صيانة أنظمة المعلومات الخاصة بهم لأطراف ثالثة، فإن توجيه NIS لا يزال يحمّلهم مسؤولية أي حوادث أمنية. [19]
يتعين على الدول الأعضاء في الاتحاد الأوروبي وضع إستراتيجية توجيهية لـ NIS ، تشمل CSIRTs ، بالإضافة إلى السلطات الوطنية المختصة (NCAs) ونقاط الاتصال الفردية (SPOCs). يتم إعطاء مثل هذه الموارد مسؤولية التعامل مع انتهاكات الأمن السيبراني بطريقة تقلل من التأثير. بالإضافة إلى ذلك، يتم تشجيع جميع الدول الأعضاء في الاتحاد الأوروبي على مشاركة معلومات الأمن السيبراني. [20]
تتضمن متطلبات الأمان التدابير الفنية التي تدير مخاطر انتهاكات الأمن السيبراني بطريقة وقائية. يجب على كل من DSP و OES توفير المعلومات التي تسمح بإجراء تقييم متعمق لأنظمة المعلومات وسياسات الأمان الخاصة بهم. [21] يجب إبلاغ المشرفين على جميع الحوادث الهامة. يتم تحديد حوادث الأمن السيبراني الهامة من خلال عدد المستخدمين المتأثرين بالخرق الأمني وكذلك طول العمر والوصول الجغرافي للحادث.
الناتج المحلي الإجمالي للاتحاد الأوروبي
تم وضع اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (EUR) في يوم 14 من شهر أبريل لعام 2016 ، ولكن الموعد الحالي للتنفيذ هو يوم 25 من شهر مايو لعام 2018. [22] يهدف هذا السجل إلى وضع معيار واحد لحماية البيانات بين جميع الأعضاء، (دول في الاتحاد الأوروبي). تتضمن التغييرات إعادة تعريف الحدود الجغرافية. ينطبق على الكيانات التي تعمل في الاتحاد الأوروبي أو تتعامل مع بيانات أي مقيم في الاتحاد الأوروبي. بغض النظر عن مكان معالجة البيانات، إذا كانت بيانات مواطن الاتحاد الأوروبي قيد المعالجة، يخضع الكيان الآن لإجمالي الناتج المحلي. [23]
كما أن الغرامات أكثر صرامة في ظل الناتج القومي الإجمالي ويمكن أن يصل إجماليها إلى 20 مليون يورو أو 4٪ من المبيعات السنوية لأي كيان، أيهما أعلى. [23] بالإضافة إلى ذلك، كما في اللوائح السابقة، يجب الكشف عن جميع خروقات البيانات التي تؤثر على حقوق وحريات الأفراد المقيمين في الاتحاد الأوروبي في غضون 72 ساعة.
المجلس الشامل، مجلس حماية البيانات في الاتحاد الأوروبي، EDP ، هو المسؤول عن كل الرقابة التي حددها الناتج المحلي الإجمالي.
تلعب الموافقة دورًا رئيسيًا في إجمالي الناتج المحلي. يتعين على الشركات التي تحتفظ ببيانات فيما يتعلق بمواطني الاتحاد الأوروبي أن تقدم لهم أيضًا الحق في التراجع عن مشاركة البيانات بنفس السهولة التي يوافقون فيها على تبادل البيانات. [24]
بالإضافة إلى ذلك، يمكن للمواطنين أيضًا تقييد معالجة البيانات المخزنة عليهم، كما يمكنهم اختيار السماح للشركات بتخزين بياناتهم دون معالجتها، مما يخلق تمييزًا واضحًا. على عكس اللوائح السابقة، يقيد إجمالي الناتج المحلي أيضًا نقل بيانات المواطن خارج الاتحاد الأوروبي أو إلى جهة خارجية دون موافقة مسبقة من المواطن. [24]
من المخطط أيضًا تطبيق لائحة الخصوصية الإلكترونية المقترحة اعتبارًا من يوم 25 من شهر مايو لعام 2018.
تفاعل وردود الفعل
في حين يتفق الخبراء على أن تحسينات الأمن السيبراني ضرورية، هناك خلاف حول ما إذا كان الحل هو مزيد من التنظيم الحكومي أو المزيد من ابتكار القطاع الخاص.
الدعم
يعتقد الكثير من المسؤولين الحكوميين وخبراء الأمن السيبراني أن القطاع الخاص قد فشل في حل مشكلة الأمن السيبراني وأن هناك حاجة إلى التنظيم. صرح ريتشارد كلارك أن "الصناعة لا تستجيب إلا عندما تهدد التنظيم. إذا لم تستجب الصناعة [للتهديد] ، فعليك المتابعة". وهو يعتقد أنه يجب إجبار شركات البرمجيات على إنتاج برامج أكثر أمانًا. يدعم Bruce Schneier أيضًا اللوائح التي تشجع شركات البرمجيات على كتابة كود أكثر أمانًا من خلال الحوافز الاقتصادية. يقترح الممثل الأمريكي ريك باوتشر ( D– VA ) تحسين الأمن السيبراني من خلال جعل شركات البرمجيات مسؤولة عن العيوب الأمنية في التعليمات البرمجية الخاصة بهم. بالإضافة إلى ذلك، لتحسين أمان البرامج، يعتقد كلارك أن بعض الصناعات، مثل المرافق ومقدمي خدمات الإنترنت، تتطلب التنظيم.
معارضة
من ناحية أخرى، يعتقد الكثير من المسؤولين التنفيذيين في القطاع الخاص وجماعات الضغط التنظيمي السياسي أن المزيد من التنظيم سيحد من قدرتهم على تحسين الأمن السيبراني. هاريس ميلر، وهو أحد المعروفين من جماعات الضغط ورئيس جمعية شركات تقنية المعلومات الأمريكية يعتقد أن التنظيم يمنع الابتكار. كما يعارض ريك وايت، المحامي السابق للشركة والرئيس والمدير التنفيذي لمجموعة اللوبي TechNet ، المزيد من التنظيم. ويذكر أن "القطاع الخاص يجب أن يظل قادرًا على الابتكار والتكيف استجابة لأساليب الهجوم الجديدة في الفضاء السيبراني، وتحقيقًا لهذه الغاية، وأيضاً يشيد بالرئيس بوش والكونجرس لممارسة ضبطهما التنظيمي".
سبب آخر يعارض العديد من المديرين التنفيذيين في القطاع الخاص بأن "التنظيم" يعتبر أنه مكلف وينطوي على إشراف الحكومة في المشاريع الخاصة. الشركات مهتمة بنفس القدر بشأن اللوائح التي تقلل من الأرباح بقدر اهتمامها باللوائح التي تحد من مرونتها في حل مشكلة الأمن السيبراني بكفاءة.
إنظر أيضا
- مركز تنسيق CERT
- معايير الأمن السيبراني
- قانون تبادل معلومات الأمن السيبراني
- كلمة المرور الافتراضية
- قائمة انتهاكات البيانات
- اختطاف الجهاز الطبي
- قسم الأمن السيبراني الوطني
- الاستراتيجية الوطنية لتأمين الفضاء الإلكتروني
- التوجيه الرئاسي
- الدفاع السيبراني الاستباقي
- فريق الاستعداد للطوارئ بالولايات المتحدة
- وزارة الأمن الداخلي الأمريكية
- عناصر تحكم تقنية المعلومات
- تقنية المعلومات في الصحة
- الدفاع عن حصان طروادة
- الهجوم السيبراني
ملاحظات
- ^ "A chronology of data breaches reported since the ChoicePoint incident." (2005). Retrieved October 13, 2005.
- ^ "Electronic privacy information center bill track: Tracking privacy, speech and civil liberties in the 109th congress." (2005). Retrieved October 23, 2005.
- ^ "How computer viruses work." (2005). Retrieved October 10, 2005.
- ^ "The National Strategy to Secure Cyberspace." (2003). Retrieved December 14, 2005.
- ^ "Notice of security breach – civil code sections 1798.29 and 1798.82 – 1798.84." 2003). Retrieved October 23, 2005.
- ^ "Richard Clarke interview." (2003). Retrieved December 4, 2005.
- ^ Gordon, L. A., Loeb, M. P., Lucyshyn, W. & Richardson, R. (2005). "2005 CSI/FBI computer crime and security survey." Retrieved October 10, 2005.
- ^ Heiman, B. J. (2003). Cybersecurity regulation is here. RSA security conference, Washington, D.C. Retrieved October 17, 2005.
- ^ Kirby, C. (2003, December 4, 2003). "Forum focuses on cybersecurity". San Francisco Chronicle.
- ^ Lemos, R. (2003). "Bush unveils final cybersecurity plan." Retrieved December 4, 2005.
- ^ Menn, J. (2002, January 14, 2002). "Security flaws may be pitfall for Microsoft". Los Angeles Times, pp. C1.
- ^ Rasmussen, M., & Brown, A. (2004). "California Law Establishes Duty of Care for Information Security." Retrieved October 31, 2005.
- ^ Schmitt, E., Charron, C., Anderson, E., & Joseph, J. (2004). "What Proposed Data Laws Will Mean for Marketers." Retrieved October 31, 2005.
- ^ Jennifer Rizzo. (August 2, 2012) "Cybersecurity bill fails in Senate." Accessed August 29, 2012.
- ^ Paul Rosenzweig. (July 23, 2012) "Cybersecurity Act of 2012: Revised Cyber Bill Still Has Problems." The Heritage Foundation. Accessed August 20, 2012.
- ^ Ed O'Keefe & Ellen Nakashima. (August 2, 2012 ) "Cybersecurity bill fails in Senate." The Washington Post. Accessed August 20, 2012.
- ^ Alex Fitzpatrick. (July 20, 2012) "Obama Gives Thumbs-Up to New Cybersecurity Bill." Mashable. Accessed August 29, 2012.
- ^ Brendan Sasso. (August 4, 2012) "After defeat of Senate cybersecurity bill, Obama weighs executive-order option". The Hill. Accessed August 20, 2012.
- ^ Jaikumar Vijayan. (August 16, 2012) "No partisan fight over cybersecurity bill, GOP senator says". Computerworld. Accessed August 29, 2012.
- ^ Carl Franzen. (August 2, 2012) "As Cybersecurity Bill Fails In Senate, Privacy Advocates Rejoice". TPM. August 29, 2012.
- ^ Alex Fitzpatrick. (August 2, 2012) "Cybersecurity Bill Stalls in the Senate". Mashable. Accessed August 29, 2012.
- ^ Jody Westby (August 13, 2012) "Congress Needs to Go Back To School on Cyber Legislation". Forbes. Accessed August 20, 2012.
المراجع
- "Cyber: Think risk, not IT" ( كتاب إلكتروني PDF ). pwc.com. PwC Financial Services Regulatory Practice, April, 2015.
- "DOD-Strategy-for-Operating-in-Cyberspace" ( كتاب إلكتروني PDF ). مؤرشف من الأصل ( كتاب إلكتروني PDF ) في 17 أبريل 2019.
- Schooner, Steven; Berteau, David (2014-01-01). "Emerging Policy and Practice Issues". GW Law Faculty Publications & Other Works. مؤرشف من الأصل في 24 يونيو 2019.
- "Do Agencies Already Have the Authority to Issue Critical Infrastructure Protection Regulations?". مؤرشف من الأصل في 2 مارس 201827 ديسمبر 2016.
- "Securely Protect Yourself Against Cyber Trespass Act (2005; 109th Congress H.R. 29) – GovTrack.us". GovTrack.us. مؤرشف من الأصل في 26 أغسطس 2017.
- "Executive Order – Improving Critical Infrastructure Cybersecurity". whitehouse.gov. مؤرشف من الأصل في 19 يناير 2017.
- "SECURING CYBERSPACE – President Obama Announces New Cybersecurity Legislative Proposal and Other Cybersecurity Efforts". whitehouse.gov (باللغة الإنجليزية). 2015-01-13. مؤرشف من الأصل في 8 أغسطس 201906 أغسطس 2017.
- "FACT SHEET: Cybersecurity National Action Plan". whitehouse.gov (باللغة الإنجليزية). 2016-02-09. مؤرشف من الأصل في 7 أغسطس 201906 أغسطس 2017.
- FT Special Report (7 June 2013). "Secrecy hampers battle for web". Financial Times. مؤرشف من الأصل في 12 ديسمبر 201912 يونيو 2013.
- "Executive Order – Improving Critical Infrastructure Cybersecurity". The White House. Office of the Press Secretary. مؤرشف من الأصل في 19 يناير 201712 يونيو 2013.
- "Dedicated legislation for Cyber Security is needed: Pavan Duggal – Express Computer". Express Computer. 31 August 2015. مؤرشف من الأصل في 19 فبراير 2016.
- "L_2013165EN.01004101.xml". eur-lex.europa.eu. مؤرشف من الأصل في 2 مايو 201908 مارس 2017.
- "About ENISA — ENISA". www.enisa.europa.eu (باللغة الإنجليزية). مؤرشف من الأصل في 11 يوليو 201908 مارس 2017.
- "Structure and Organisation — ENISA". www.enisa.europa.eu (باللغة الإنجليزية). مؤرشف من الأصل في 22 يوليو 201908 مارس 2017.
- Purser, Steve (2014). "Standards for Cyber Security". In Hathaway (المحرر). Best Practices in Computer Network Defense: Incident Detection and Response. 35. IOS Press. doi:10.3233/978-1-61499-372-8-97. . مؤرشف من الأصل في 22 مارس 2016.
- "Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union". EUR Lex (باللغة الإنجليزية). مؤرشف من الأصل في 29 يونيو 201926 أبريل 2018.
- "The Directive on security of network and information systems (NIS Directive)". Digital Single Market. مؤرشف من الأصل في 7 أغسطس 201912 مارس 2017.
- 09:36, 7 Jan 2016 at; tweet_btn(), OUT-LAW COM. "The Network and Information Security Directive – who is in and who is out?". مؤرشف من الأصل في 13 يوليو 201912 مارس 2017.
- "NIS Directive Published: EU Member States Have Just Under Two Years to Implement – Data Protection Report". Data Protection Report (باللغة الإنجليزية). 2016-07-21. مؤرشف من الأصل في 26 أغسطس 201712 مارس 2017.
- "Agreement reached on EU Network and Information Security (NIS) Directive | Deloitte Luxembourg | Technology | Insight". Deloitte Luxembourg (باللغة الإنجليزية). مؤرشف من الأصل في 2 مارس 201812 مارس 2017.
- "Network and Information Security Directive will be implemented in the UK despite Brexit vote, government confirms". www.out-law.com (باللغة الإنجليزية). مؤرشف من الأصل في 28 أغسطس 201812 مارس 2017.
- "Home Page of EU GDPR". EU GDPR Portal (باللغة الإنجليزية). مؤرشف من الأصل في 28 أغسطس 201912 مارس 2017.
- "Key Changes with the General Data Protection Regulation". EU GDPR Portal (باللغة الإنجليزية). مؤرشف من الأصل في 26 أغسطس 201812 مارس 2017.
- "Overview of the General Data Protection Regulation (GDPR)". ico.org.uk (باللغة الإنجليزية). 2017-03-03. مؤرشف من الأصل في 10 نوفمبر 201712 مارس 2017.