تستمر الشركات البريطانية في الوقوع ضحية للجرائم السيبرانية المتفشية، حيث تتدخل الحكومة بشدة في الإصلاحات التي تشتد الحاجة إليها للتشريعات البالغة من العمر 33 عامًا والتي تعيق قدرة مهنة الأمن السيبراني على الاستجابة بفعالية. بحسب الناشطين الذين أعربوا عن أسفهم على “الفرصة الضائعة” في خطاب الملك هذا الأسبوع.
حملة CyberUp، التي تحاول منذ سنوات إصلاح قانون إساءة استخدام الكمبيوتر (CMA) الذي عفا عليه الزمن لعام 1990 – على أساس أن البنود الواردة في التشريع يمكن استخدامها لمقاضاة المتخصصين في مجال الأمن. لمجرد القيام بعملهم – يقول أنه تم تسجيل ما يقرب من ثمانية ملايين حالة من الجرائم الإلكترونية، ستة كل دقيقة، في جميع أنحاء البلاد منذ أن التزمت الحكومة لأول مرة بمراجعة القانون في مايو 2021.
وقالت الحملة إن خطاب الملك – الأول منذ افتتاح جورج السادس للبرلمان في عام 1950 – لقد فشلت في فهم حقيقة الإصلاح، وعلى هذا النحو، ستظل المنظمات في المملكة المتحدة معرضة للخطر. ودعت الحكومة إلى التحرك بسرعة لإنهاء المشاورات حول هذا الأمر، وجلب مؤتمر الأطراف العامل في أسواق المال إلى دورته الحادية والعشرينشارع قرن.
روب دارتنالقال الرئيس التنفيذي لشركة SecAlliance، ورئيس CREST UK وممثل حملة CyberUp: “الحقيقة هي أنه في الحرب ضد الجرائم الإلكترونية، فإن أيدي المتخصصين لدينا مقيدة بقوانين قديمة. ومن المؤكد الآن، مع وقوع ما يقرب من ثمانية ملايين هجمة سيبرانية منذ التزام الحكومة الأصلي بإصلاح تشريعات الأمن السيبراني، فلابد أن تكون هناك حاجة ملحة لجعل هذا الأمر أولوية سياسية وتزويدنا بالأدوات اللازمة لحماية البلاد من التهديدات عبر الإنترنت.
“من شبه المؤكد أن الإصلاح في الوقت المناسب كان يمكن أن يساعد في منع نسبة كبيرة من هذه التهديدات التي كانت لها عواقب وخيمة على أعمالنا ومؤسساتنا الخيرية. وكل يوم يمر دون إصلاح يترك الناس عرضة لتهديدات متزايدة بسرعة أكبر.
ماذا تريد حملة CyberUp؟
وفي قلب مطالب الناشطين هناك بند في قانون الاتصالات والأسواق يمنع الوصول غير المصرح به إلى المواد الحاسوبية، والذي دخل حيز التنفيذ في وقت حيث كان 0.5٪ فقط من السكان قادرين على الوصول إلى الإنترنت الوليد.
تنص المادة الأولى من قانون CMA على ما يلي: يكون الشخص مذنبًا بارتكاب جريمة إذا (أ) تسبب في قيام جهاز كمبيوتر بأي وظيفة بقصد تأمين الوصول إلى أي برنامج أو بيانات موجودة في أي جهاز كمبيوتر، أو لتمكين أي وصول من هذا القبيل. مؤمن؛ (ب) كان الوصول الذي ينوي تأمينه أو تمكين تأمينه غير مصرح به؛ و(ج) أنه يعلم في الوقت الذي يتسبب فيه الكمبيوتر في أداء الوظيفة أن هذا هو الحال.
تقول حملة CyberUp إن هذا له “تأثير مروع” على الصناعة لأنه يعرض المستجيبين لحوادث الأمن السيبراني والباحثين الذين يتصرفون بشكل أخلاقي لخطر الملاحقة القضائية.
في المملكة المتحدة، يعمل القطاع العام، في شكل المركز الوطني للأمن السيبراني (NCSC)، والوكالة الوطنية لمكافحة الجريمة (NCA) وهيئات أخرى جنبًا إلى جنب مع خبراء الإنترنت في القطاع الخاص للدفاع عن البلاد، ولكن الأحكام من CMA يعني أن الكثير من عملهم يتم تجريمه عن غير قصد.
وجد طلب حرية المعلومات (FoI) الذي قدمته الحملة في عام 2021 أن ثلثي المشاركين في المشاورة الأولية حول الإصلاح كانوا قلقين بشأن تجريمهم، وهو ما يعني في النهاية إجراء قدر أقل من العمل البحثي حول استخبارات التهديدات ونقاط الضعف في المملكة المتحدة.
ويبدو أن هذا يتعارض مع هدف الحكومة الذي يتم الاستشهاد به كثيرًا وهو جعل المملكة المتحدة “المكان الأكثر أمانًا في العالم للعيش والعمل عبر الإنترنت”، وربما يضع المملكة المتحدة أيضًا في وضع تنافسي غير مؤات.
في وقت سابق من هذا العام، قال كبير المستشارين العلميين للحكومة باتريك فالانس، في مراجعة نُشرت في نفس الوقت الذي تعهد فيه المستشار بإصلاح CMA في بيان ربيع 2023، إن دولًا أخرى مثل فرنسا والولايات المتحدة قامت بالفعل بتحديث لوائحها، و أن وستمنستر بحاجة إلى أن تفعل الشيء نفسه.
وقال دارتنال: “إن القانون الذي تم إصلاحه سيطلق العنان للإمكانات الكاملة لصناعة الأمن السيبراني في المملكة المتحدة، الذين يشعرون بالإحباط بسبب التشريعات الحالية، التي تترك بلادنا مكشوفة بشكل خطير”.
“إننا نحث الحكومة على وضع جدول زمني واضح للخطوات التالية للإصلاح، والتي تعكس بشكل إيجابي دعم الصناعة للضمانات المهنية. ومع تزايد عدم اليقين بشأن مستقبل المشهد الأمني لدينا، يجب علينا التأكد من أن المتخصصين في مجال الإنترنت لدينا مجهزون بالأدوات اللازمة للبقاء في صدارة الجهات الفاعلة ذات التهديد العدائي ومجرمي الإنترنت.
تضم الحملة بالفعل العديد من البرلمانيين من بين مؤيديها، بما في ذلك أقرانهم مثل مستشارة الأمن السيبراني الوطني السابقة بولين نيفيل جونز، رائدة أعمال الإنترنت مارثا لين فوكس، وجيمس أربوثنوت، الذي كان مؤيد صوتي لمديري البريد الفرعي ضحية في فضيحة Post Office Horizon. وتخطط لاستضافة حدث مباشر في البرلمان لتسليط الضوء على أعضاء البرلمان والأقران حول سبب ضرورة تحديث القوانين لتأمين النمو المستقبلي والإنتاجية والنجاح في المملكة المتحدة، وتوسيع قاعدة الدعم الخاصة بها.
تتقدم الأجندة السيبرانية
وفي مجالات أخرى تتعلق بالأمن السيبراني، فقد تقدم خطاب الملك في جدول الأعمال إلى حد ما، كما تم تحديثه مشروع قانون حماية البيانات والمعلومات الرقمية (DPDI). – والذي تم إعداده لتعديل كيفية قيام المملكة المتحدة بتنفيذ اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي وتوجيهات إنفاذ القانون (LED)، وكلاهما تم تحويلهما إلى قانون المملكة المتحدة بعد خروج بريطانيا من الاتحاد الأوروبي.
مشروع قانون DPDI لديه أثارت غضب نشطاء الخصوصية وخبراء الإنترنت الذين يخشون أن يحول ذلك المملكة المتحدة إلى “صمام متسرب” يقوض حقوق البيانات لمواطني الاتحاد الأوروبي، وقد يضعهم في موقف محرج ترتيب كفاية البيانات في المملكة المتحدة في خطر.
“حقيقة تأجيل مشروع قانون حماية البيانات والمعلومات الرقمية (رقم 2) إلى الجلسة البرلمانية القادمة والمذكور في ملِك‘س خطابوقال ريانون ويبستر، الشريك ورئيس قسم خصوصية البيانات والأمن السيبراني في المملكة المتحدة في شركة “إنتربرايز”، إن “هذا يشير إلى أن إصلاح حماية البيانات يظل أولوية تشريعية للحكومة الحالية”. اشورست، مكتب محاماة.
وقالت: “نظرًا لأن مشروع القانون في منتصف الطريق بالفعل من خلال عملية الموافقة البرلمانية، يجب على المنظمات الاستعداد لإدراج القانون في الكتاب التشريعي قبل الانتخابات العامة المقبلة، ويمكنها أن تتوقع رؤية تغييرات تهدف إلى خفض أعباء الروتين والامتثال”. .
دان مورغان، مدير أول للشؤون الحكومية متخصص في إدارة المخاطر بطاقة الأداء الأمنيوقال إن هناك “حاجة ملحة” لأن تقوم المملكة المتحدة بتحصين إطارها السيبراني.
“مع سبعة مشاريع قوانين محورية، بما في ذلك مشروع قانون الأسواق الرقمية والمنافسة والمستهلكين ومشروع قانون حماية البيانات والمعلومات الرقمية، التي من المقرر أن يتم إقرارها في هذه الجلسة، تهدف المملكة المتحدة إلى تحديث اللوائح لتحفيز النمو وتكثيف المنافسة. وقال إن هذه أجندة إيجابية وتقدمية لكنها تفتقر إلى خطة تشريعية للأمن السيبراني.
وقال مورغان إنه على النقيض من الموقف الأكثر استباقية المتخذ في الاتحاد الأوروبي من خلال توجيهات مثل شيكل 2 و ال قانون المرونة السيبرانية (CRA)، افتقرت المملكة المتحدة إلى نظير تشريعي متماسك، على الرغم من الجهود الحثيثة التي بذلها المركز الوطني للأمن السيبراني، والمشاريع الجارية مثل تحقيق لجنة العلوم والتكنولوجيا المختارة في المرونة السيبرانية للبنية التحتية الوطنية الحيوية في المملكة المتحدة (سي إن آي).
“ينتهز SecurityScorecard هذه الفرصة لحث اللجنة على الدعوة إلى اتخاذ إجراءات تشريعية شاملة. وقال مورغان: “بالنسبة لـ SecurityScorecard، أدى غياب قياسات موحدة للمخاطر السيبرانية إلى استمرار عجز الثقة الأمنية، مع اختلاف اللوائح والمعايير بشكل كبير عبر مختلف القطاعات والدول”.
“لقد أدى هذا التناقض إلى خليط من التدابير الأمنية، مما ترك البنى التحتية الحيوية عرضة للتهديدات السيبرانية. وتشير الشركة أيضًا إلى أن التقييمات اللحظية للمخاطر السيبرانية غير كافية في مواجهة التهديدات دائمة التطور. وهم يدعون إلى اعتماد تصنيفات المخاطر السيبرانية لتعزيز الرؤية عبر قطاع البنية التحتية الحيوية والوكالات الحكومية.
