Open/Close Menu وکیل | مشاوره رایگان | وکالت | وکیل آنلاین

به گفته کارشناسان ، یک لایحه جدید می تواند اولین گام در شرکت ها باشد که قادر به “هک کردن” بازیگران بد هستند – اما انجام این کار می تواند خطرات عمده ای به همراه داشته باشد. (فایل)

واشنگتن: دو عضو کمیته مالی سنا لایحه ای دو جانبه را ارائه داده اند که به وزارت امنیت داخلی کشور دستور می دهد “عواقب و مزایای بالقوه” اجازه دادن به هک شدن شرکت های خصوصی به دنبال حملات سایبری را بررسی کند.

سنس ها استیو داینس ، مونیتورن ، و شلدون وایت هاوس ، دکتر من ، این قانون را معرفی کرده اند زیرا ناامیدی در مورد حملات مکرر سایبری علیه شرکت های آمریکایی منجر به افزایش تماس های جامعه امنیت ملی و بخش خصوصی برای اقدامات تلافی جویانه شده است. مقداری، از جمله مشاوران حقوقی نظامی، اکنون خواستار بازنگری ایالات متحده در سیاست خود در زمینه عملیات سایبری تهاجمی نظامی هستند ، به ویژه در واکنش به افزایش حملات باج افزارها که بخشهای دولتی و خصوصی را هدف قرار می دهد.

پیش نویس مطالعه در مورد قانون گزینه های پاسخ به حمله سایبری به DHS می گوید که “اصلاح شود[ing] بخش 1030 عنوان 18 ، کد ایالات متحده آمریکا (که معمولاً تحت عنوان قانون کلاهبرداری و سو Ab استفاده رایانه ای شناخته می شود) ، به اشخاص خصوصی اجازه می دهد تا در پاسخ به نقض غیرقانونی شبکه اقدامات متناسب انجام دهند ، مشروط به نظارت و تنظیم توسط آژانس تعیین شده فدرال. “

گزارش DHS توصیه هایی را به کنگره در مورد “تأثیر بالقوه بر امنیت ملی و امور خارجه” ارائه می دهد. به طور خاص ، این گزارش به موارد زیر رسیدگی می کند:

  • کدام آژانس یا آژانس های فدرال اجازه “اقدامات متناسب توسط نهادهای خصوصی” را می دهند.
  • سطح اطمینان در انتساب برای تأیید چنین اعمالی لازم است.
  • چه کسی و تحت چه شرایطی مجاز به انجام چنین عملیاتی است.
  • کدام یک از اقدامات مجاز است. و
  • پادمان های لازم برای در کار بودن.

وایت هاوس در بیانیه ای به Breaking Defense گفت: “حمله باج افزار Colonial Pipeline نشان می دهد که چرا ما باید یک فرایند تنظیم شده را برای پاسخگویی شرکت ها هنگام هدفگیری بررسی کنیم.” “این لایحه به ما کمک می کند تا تعیین کنیم که آیا این روند می تواند حملات آینده را بازدارنده یا پاسخ دهد یا خیر ، و اینکه مشاغل آمریکایی چه رهنمودهایی را باید دنبال کنند.” (درخواستی مبنی بر اظهار نظر به دفتر داینس با انتشار پاسخ داده نشد.)

ایده اجازه دادن به شرکت ها برای مقابله به مثل در پاسخ به حملات سایبری جدید نیست. نماینده سابق تام گریوز لایحه مشابهی را در سال 2017 معرفی کرد که در نهایت نتوانست بخار بخورد. همچنین جدید نیست: مسائل روی حیله و تزویر این هک کردن را احاطه خواهد کرد ، صرف نظر از اینکه این انتقام از یک دولت یا نهاد خصوصی باشد.

مسئله توانایی فنی نیست. بسیاری از شرکت های امنیت سایبری از آزمایشگران نفوذ ، متخصصان سایبری که در فنون ، تاکتیک ها و روش های تهاجمی مهارت بالایی دارند ، استفاده می کنند. این شرکت ها اغلب با مجوز قبلی و طبق دستورالعمل ها برای استخدام شبکه های خود توسط دولت ها و شرکت ها استخدام می شوند تا آسیب پذیری ها را قبل از اینکه افراد بد پیدا کنند کشف کنند.

همچنین درجه ای از وجود دارد سابقه قانونی. شرکت های فناوری ایالات متحده در گذشته با آنها کار کرده اند سایبرکوم و FBI زیرساخت های جرایم اینترنتی را از بین ببرد.

بلکه برخی از پیچیده ترین مباحث پیرامون مباحث ظاهراً ساده مانند تعاریف اساسی هستند.

هرب لین ، کارشناس سیاست و استراتژی سایبری در مرکز امنیت و همکاری بین المللی و موسسه هوور دانشگاه استنفورد ، در مصاحبه ای با Breaking Defense گفت: “این کاملاً مبهم است که معنی هک کردن آن چیست.” “من نمی دانم هک کردن به چه معناست. از نظر عاطفی رضایتبخش است ، اما باید از خود بپرسید: این چه چیزی است که می خواهید به انجام برسانید؟ و تا زمانی که کسی نتواند به من بگوید که می خواهد با آن به نتیجه برسد ، این یک فکر بد است ، زیرا این به شخص اسلحه می دهد و نمی داند چه چیزی را هدف قرار می دهد و چرا ، و آیا این کار برای حل مشکل کمک می کند “

ابهامات اضافی حول سیاست ها و موضوعات حقوقی ، مانند تعیین سطح اطمینان لازم در نسبت دادن حملات سایبری قبل از مجازات تلافی جویی و تعیین “اقدامات متناسب” است. این موضوعات و سایر کشورها سالهاست که ملتهای نابسامان را دچار مشکل کرده اند ، زیرا نهادهای بین المللی سعی کرده اند “و نتوانسته اند” “هنجارهای سایبری” مورد توافق را ایجاد کنند.

“بنابراین شما می خواهید مشاوره عمومی [some company] برای تعیین متناسب بودن؟ این چیزی است که [hack back] به معنای؟ برای من مشخص نیست که بعضی ها را می خواهم [company’s] مشاوره عمومی برای تعیین آنچه می تواند تحت منشور سازمان ملل متحد به عنوان استفاده از زور محسوب شود ، “لین گفت.

همچنین مواردی در مورد اشتباهات احتمالی و برگشت ضربه وجود دارد.

“مشکل در پاسخ دادن این است که [threat actors] تقریباً مطمئناً از زیرساخت های مسروقه استفاده کنید. “لین مشاهده کرد. “بنابراین آنچه اتفاق خواهد افتاد این است که شما کامپیوتر مادربزرگ خود را در کانزاس که تصاحب شده است از بین خواهید برد. برای من روشن نیست که این بهترین راه است. “

جیمز لوئیس ، کارشناس سیاست سایبری در مرکز مطالعات استراتژیک و بین المللی نیز خطرات را در چنین سیاستی می بیند. “این واقعیت را کنار بگذاریم که [companies hacking back] می توانند اشتباه کنند ، ممکن است در مورد خسارت وارده یا قصاص دقیق نباشند. اینها مشکلات جدی هستند. “

لوئیس همچنین به یک مسئله گسترده تر اشاره کرد: “چرا افراد خصوصی بیشتری نمی بینید؟ پاسخ این است که چون هیچ شخص خصوصی نمی تواند در برابر نیروی دریایی بایستد. و بنابراین هیچ هکر خصوصی قادر به ایستادگی در برابر آن نیست [the Russian Foreign Intelligence Service]، یا [Chinese Ministry of State Security]، یا [Iranian Islamic Revolutionary Guard]. این یک مشاور عمومی جسورانه است که اجازه می دهد شرکتش به یکی از این گروه ها حمله کند ، زیرا آنها تلافی می کنند. “

لوئیس ادامه داد: “این بدمینتون نیست.” “سپاه پاسداران ، احتمالاً یکی از سخت ترین گروه های جهان است و شما می خواهید بازی کنید؟ شما می خواهید با آنها برقصید؟ باشه. بهت خوش بگذره!”

logo-footer