امنیت سایبری اولویت اصلی جو بایدن ، رئیس جمهور ایالات متحده است. در اجلاس هفته گذشته با ولادیمیر پوتین رئیس جمهور روسیه و موضوع دستورالعمل اجرایی بایدن که در ماه گذشته صادر شد ، در راس دستور کار قرار گرفت.
قوه مقننه نیز مشتاقانه وارد عمل می شود.
سناتور آمریكایی كرستن گیلیبراند (DN.Y) قانونی را پیشنهاد كرده است كه می تواند یك آژانس حفاظت از داده ایجاد كند كه قدرت مجازات كردن رویه های داده های پر خطر را دارد.
هفته گذشته وی در بیانیه ای گفت: “ایالات متحده به رویكرد جدیدی در زمینه حفظ حریم خصوصی و حفاظت از داده ها نیاز دارد.”
در همین حال ، یک گروه دو حزبی از سناتورها قانون بین المللی پیشگیری از جرایم رایانه ای را هفته گذشته برای قرار دادن ابزارهای بیشتر در اختیار نیروی انتظامی از جمله حق خاموش کردن بات نت ها و سایر زیرساخت های دیجیتالی مورد استفاده برای فعالیت های غیرقانونی قرار دادند.
و در عین حال یک گروه دو طرفه دیگر پیش نویس لایحه اعلان نقض فدرال را در اختیار شما قرار می دهد که طبق آن شرکت ها باید 24 ساعت پس از تأیید نفوذ ، با مجازات های مالی سنگین برای افرادی که این تخلف را انجام می دهند ، گزارش تخلف یا نقض احتمالی را به آژانس امنیت سایبری و زیرساخت های امنیتی اعلام کنند. مطابقت داشته باشید
سناتور مارک وارنر (D-Va.) ، یکی از حامیان این لایحه ، در ماه آوریل به کمیته اطلاعات سنا گفت: “برای جلوگیری از این دخالت ها ، باید به آنها نسبت دقیق دهیم و دشمنان خود را مسئول بدانیم.”
برخی از کارشناسان تردید دارند که دولت فدرال قادر به تصویب قانون اساسی برای نقض داده ها خواهد بود.
به هر حال ، سالها تلاشهایی برای انجام چنین کاری صورت گرفته است که هنوز تمام نشده است.
پیتر کلیمک ، مدیر فناوری در فروشنده امنیت سایبری Imperva ، گفت: “من برای هیچ قانون طولانی مدت نفس نمی کشم.”
وی به DCK گفت: “اما برخی از پیشرفت های افزایشی که آنها ایجاد می کنند ، تأثیر مهمی بر روی این مشکل خواهد داشت ، مانند وزارت دادگستری که گروه ویژه ای را ایجاد کرده است.”
این گروه ویژه Ransomware و دیجیتال اخاذی است که در ماه آوریل تشکیل شد و شامل شرکت کنندگان بخش امنیت ملی وزارت دادگستری ، بخش جنایی ، بخش مدنی ، دفتر اجرایی وکلای دادگستری ایالات متحده و FBI است.
ایلیا کولوچنکو ، مدیر عامل شرکت ایمونونی وب ، یک شرکت امنیت سایبری ، گفت: اعلامیه فدرال برای تخلف ، یک سیستم متمرکز برای جمع آوری گزارش های نقض ایجاد می کند تا بتواند آنها را بررسی کند و از نقض آینده جلوگیری کند.
وی به DCK گفت ، این ایده خوبی است اما نیاز به 10 برابر افزایش بودجه آژانس امنیت سایبر و آژانس امنیتی زیرساخت دارد. “در غیر این صورت ، اطلاعات ارزشمند اطلاعات تهدید فقط گرد و غبار را جمع می کند.”
همچنین مشخص نیست که این قانون تا چه درجه ای از قوانین موجود برای ابلاغ تخلف در سطح دولت جایگزین می شود.
اقدام دولت
همه 50 ایالت از سالها قبل قوانین ابلاغیه را نقض کرده اند.
و ایالات همچنان به تقویت قوانین خود ادامه می دهند.
قانون حقوق حریم خصوصی کالیفرنیا که پاییز گذشته توسط رأی دهندگان تصویب شد ، اکنون از نظر محافظت از حریم خصوصی برای مصرف کنندگان و الزامات امنیتی داده برای شرکت ها ، دقیق ترین قانون است. از سال 2023 اجرا می شود.
کانکتیکت ، که بیش از یک دهه قانون حریم خصوصی داده ها را در دست اجرا دارد ، اوایل این ماه نسخه دقیق تری از قانون را تصویب کرد ، تعریف اطلاعات شخصی را گسترش داد و پنجره اطلاع رسانی را از 90 به 60 روز کوتاه کرد.
در واقع ، طبق کنفرانس ملی قانونگذاران ایالتی ، بیش از 20 ایالت با کوتاه کردن پنجره های اعلان ، گسترش تعریف اطلاعات شخصی و سایر اقدامات ، در حال تقویت قوانین امنیت سایبری در سال جاری هستند.
جان کری ، مدیر عامل در فن آوری در AArete ، یک شرکت مشاوره مدیریت ، گفت: “بسیاری از قوانین در زمینه حریم خصوصی ایجاد می شود.”
بعلاوه ، همچنین قوانینی وجود دارد که بر بخشهای خاص صنعت متمرکز است. برای مثال ، از قوانین ملی برای محافظت از مراقبت های بهداشتی و اطلاعات مالی استفاده شده است.
تأثیر بر مدیران امنیت سایبری مرکز داده
برای مدیران امنیت سایبری ، همه این قوانین زمینه مین مطابقت را ایجاد می کند. به عنوان مثال ، داده های حساس به حفاظت بیشتری نیاز دارند.
و قانون پیشنهادی می تواند سردردهای بیشتری ایجاد کند. به عنوان مثال ، اگر مقامات قدرت خاموش کردن بات نت ها را پیدا کنند ، مراکز داده ای که ناخواسته توسط مجرمی که سرورهای خود را ربوده اند مورد استفاده قرار گرفته است ، در معرض خاموش شدن قرار دارند.
مایکل جی دل جیودیس ، رهبر اقدامات سایبری در Crowe LLP ، توصیه می کند که مدیران امنیت سایبری برای بالاترین مخرج مشترک شلیک کنند و سیاست ها و رویه های خود را بر اساس دقیق ترین عناصر قوانین قرار دهند ، نه اینکه سیاست های متفاوتی برای کاربران در نظر بگیرند از ایالات مختلف
وی به DCK گفت: “بر دستیابی به آن به عنوان مبنای کنترل خود تمرکز کنید.” “شما نمی توانید با تمام تغییرات در 50 ایالت ، به علاوه فدرال ، به علاوه همراه باشید [Europe’s] GDPR ، کانادا؛ همه چیز بسیار پیچیده است. “
داشتن قوانین مختلف برای کاربران مختلف پیچیدگی غیرضروری را اضافه می کند و تیم های امنیت سایبری را ملزم به تغییر مداوم با تغییر خود این قوانین می کند.
Del Giudice توصیه می کند اگر مرکز داده از آن استفاده نمی کند ، با چارچوب امنیت سایبری NIST شروع کنید.
یک نکته واضح این است که دیگر برای مدیران امنیت سایبری امکان پذیر نیست که رویکردی واکنشگرا و تکه تکه نسبت به انطباق و سرمایه گذاری های امنیتی داشته باشند. امیدوارم خوش شانس شوند و هدف قرار نگیرند. برای نجات آنها از بیمه امنیت سایبری حساب کنند. یا اینکه بتوانید جریمه ها را بپردازید و توسط افرادی که در تمام گزارش های جدید خسته شده اند ، سریعاً بخشیده شود.
بر اساس گزارشی که Canalys در اوایل سال جاری منتشر کرد ، سال 2020 با 101 میلیارد رکورد به خطر افتادن ، یک سال رکوردشکنی در مورد نقض داده ها بود.
هزینه متوسط تخلف؟ بیش از 3.8 میلیون دلار ، براساس گزارش هزینه نقض داده در IBM در سال 2020. اما این داده های جهانی است. در ایالات متحده ، متوسط هزینه 8.6 میلیون دلار بود.
شرکت های کوچک و متوسط ممکن است به طور کلی از کار خارج شوند. طبق نظرسنجی اتحادیه امنیت سایبری ملی 2019 ، 69٪ از مشاغل کوچک که مورد حمله سایبری قرار گرفتند برای مدت محدود آفلاین بودند ، 37٪ متحمل خسارت مالی شدند ، 25٪ درخواست ورشکستگی کردند و 10٪ از تجارت خارج شدند.
یک رویکرد بهتر ، نگاه کردن به روحیه اساسی قوانین است. قانونگذاران در سراسر ایالات متحده – و در سراسر جهان – به دنبال تقویت حمایت از داده های شخصی و محافظت از زیرساخت ها و خدمات حیاتی هستند.
یک استراتژی امنیت سایبری که به جای آنچه امروزه قرار دارد ، بر اصول و آنچه که قوانین برای دستیابی به آن تلاش می کنند ، متمرکز است ، نه تنها بیشتر کارآمد است ، بلکه هم می تواند با توجه به پایین آمدن قوانین ، شرکت را برای قوانین جدید جای دهد.