مشروع قانون الأمن السيبراني في المملكة المتحدة يثير تساؤلات حول ضرورة الإبلاغ عن برامج الفدية
من المقرر أن تتقدم حكومة حزب العمال برئاسة كير ستارمر بمشروع قانون مشروع قانون الأمن السيبراني والمرونة في الدورة البرلمانية الجديدة، بهدف تعزيز الدفاعات السيبرانية في المملكة المتحدة وضمان استمرارية وحماية الخدمات الرقمية، مع اقتراح تفويض بشأن الإبلاغ الإلزامي عن برامج الفدية كحجر أساس للقانون.
أحد العديد من التشريعات الجديدة المحتملة التي تم طرحها في خطاب الملك في افتتاح الدورة البرلمانيةيعترف مشروع القانون بأن الشركات البريطانية العامة المحدودة تتعرض بشكل متزايد لهجمات من قبل مجرمي الإنترنت ذوي الدوافع المالية والجهات الفاعلة في الدولة على حد سواء، حيث يتم استهداف المنظمات الكبيرة والصغيرة بشكل متكرر.
وقالت الحكومة إن قوانين الإنترنت الحالية تعكس القانون الموروث من الاتحاد الأوروبي والذي حل محله الآن قانون بروكسل وبالتالي تحتاج إلى تحديث عاجل لمواكبة ذلك.
وقالت الحكومة الخدمات الأساسية والبنية التحتية الوطنية الحيوية (CNI) على وجه الخصوص معرضة للخطر من قبل الجهات الفاعلة المعادية، كما يتضح من سلسلة من الهجمات الإلكترونية على مدى السنوات القليلة الماضية والتي أثرت على موردو وصناديق NHS, وزارة الدفاع, المكتبة البريطانية, اللجنة الانتخابية, البريد الملكي، وعدد لا يحصى من الهيئات الأخرى.
وعلى هذا النحو، يتضمن مشروع القانون هدفين رئيسيين، توسيع نطاق التنظيم الحالي وإعطاء الجهات التنظيمية موطئ قدم أكثر صلابة عندما يتعلق الأمر بحماية الخدمات الرقمية وسلاسل التوريد، وتحسين متطلبات الإبلاغ للمساعدة في بناء صورة أفضل للتهديدات السيبرانية.
وقالت الحكومة إن عددا أكبر من الهيئات التنظيمية قد يحصل في المستقبل على صلاحيات معززة بما في ذلك آليات استرداد التكاليف لتوفير الموارد، والقدرة على التحقيق بشكل استباقي في نقاط الضعف في أنظمة تكنولوجيا المعلومات.
وفي الوقت نفسه، قالت إن الإبلاغ الإلزامي عن الحوادث من شأنه أن يساعد الحكومة على جمع بيانات أفضل عن الهجمات الإلكترونية، وتحسين الفهم الوطني للتهديدات التي تواجهها المملكة المتحدة، والمساعدة في تنبيه المنظمات والأفراد إلى الهجمات المحتملة من خلال توسيع نوع وطبيعة الحوادث التي يجب الإبلاغ عنها من قبل كيان منظم. وهذا من شأنه بطبيعة الحال أن يشمل هجمات برامج الفدية.
الإبلاغ عن برامج الفدية
ونظرًا لأن جزءًا من هدف الحكومة هو مواكبة الاتحاد الأوروبي – خاصة مع استعدادها لبدء تنفيذ الجيل التالي من أنظمة تحديد المواقع في 17 أكتوبر 2024، توجيه أمن الشبكات والمعلومات (NIS2) – إذا نجحت في طموحها المتمثل في إلزام الإبلاغ عن برامج الفدية، فإن المملكة المتحدة ستتقدم بالفعل على أوروبا في بعض النواحي، وهي النقطة التي أشار إليها خبراء المخاطر في شركة المحاماة أشورست.
وقال مات وورسفولد، الشريك في شركة أشورست ريسك أدفايزوري: “إذا تم المضي قدماً في التشريع المقترح كما هو موضح، فسيكون من المذهل أن نرى كيف تقفز الإحصائيات حول هجمات برامج الفدية في وجه الإبلاغ الإلزامي، نظراً لأن الرأي السائد حتى الآن هو أن الإحصائيات الحالية لا تمثل الواقع”.
التزام قوي
لويز ماري هوريل، زميلة أبحاث في مجال الإنترنت في المعهد الملكي للخدمات المتحدة وقالت مؤسسة الأبحاث (RUSI) إن مشروع القانون كان مؤشراً قوياً على التزام الحكومة بالأمن السيبراني ويتناقض بشدة مع الإشارة الوحيدة إلى الهجمات السيبرانية في بيان حزب العمال. وزعمت أن الأمن السيبراني كان أبعد من مجرد موضوع متخصص، بل أصبح الآن “موضوعاً عرضياً لضمان استدامة استراتيجية الحكومة في مجموعة من المجالات”.
وقال هوريل: “على الرغم من أن الرؤية بشأن نص مشروع القانون المقترح لا تزال محدودة، فإن الوثيقة ستحتاج إلى ضمان إمكانية تنفيذ أي متطلبات للإبلاغ ويتم ذلك في حوار مع الصناعات ذات الأحجام المختلفة إذا كان لها أن تكون فعالة”.
“سوف يتطلب هذا تحقيق توازن دقيق بين الابتكار والتحديثات للبيانات الحالية ومتطلبات الإبلاغ عن الحوادث السيبرانية. ولكن مشروع القانون، على الرغم من أنه مؤشر على الالتزام بضمان تعزيز المرونة السيبرانية الوطنية، يجب أن يكون جزءًا من رؤية تدمج بشكل فعال الوقاية من التهديدات السيبرانية والاستجابة لها.
“ستظهر الأشهر المقبلة كيف ستسعى حكومة حزب العمال إلى تعزيز قدرة المملكة المتحدة على مكافحة الجرائم الإلكترونية – وخاصة برامج الفدية – كجزء من إشاراتها إلى الاحتيال عبر الإنترنت في البيان الانتخابي والاستجابة للتهديدات الإلكترونية التابعة للدولة، والتي ينبغي أيضًا تضمينها في مراجعة الدفاع القادمة“.”
إلوميو وكان مدير البنية التحتية الحيوية تريفور ديرينج من بين العديد من قادة الأمن الذين أشادوا بخطط الحكومة، لكنه خفف من حدة هذا الإشادة بتحذير.
وقال إن “زيادة صلاحيات الهيئات التنظيمية وإعداد التقارير ستكون حاسمة لبناء القدرة على الصمود في مواجهة الهجمات السيبرانية. ومع ذلك، لن تنجح التنظيمات إلا إذا كانت مصحوبة بتمويل إضافي للهيئات العامة، وإلا فإن كل ما سيحدث هو أن التنظيمات تخلق هدفًا غير واقعي وتكاليف تنفيذه باهظة”.
“ومن المهم أيضًا أن نرى التركيز القوي على أمن سلسلة التوريد نظرًا لأن مقدمي الخدمات من جهات خارجية يشكلون شريان الحياة للدوائر الحكومية. سيسعى مجرمو الإنترنت دائمًا إلى استهداف الحلقة الأضعف في السلسلة للوصول إلى نظام أكثر قيمة، لذا يتعين علينا إدراك حتمية حدوث خرق من جانب الموردين والتخفيف من المخاطر وفقًا لذلك. إن النهج القائم على المخاطر للأمن هو المفتاح لتحقيق ذلك، والتأكد من حصول الخدمات الأكثر تعرضًا للخطر على أكبر قدر من الموارد.”
قائمة أمنيات الإنترنت
وقال آخرون إنهم يتمنون لو تجرأت الحكومة على الذهاب إلى أبعد من ذلك. كاميليا تشان، الرئيسة التنفيذية لشركة فليكسونوقالت المتخصصة في تخزين البيانات الآمنة، إنها كانت ترغب في رؤية المزيد من التركيز على مكافحة الجرائم الإلكترونية، وخاصة الحفاظ على أمن هيئة الخدمات الصحية الوطنية.
“قال تشان: “إن الرعاية الصحية – من الخدمات الصحية الوطنية إلى المستشفيات الصغيرة والصيدليات – هي منجم ذهب للمجرمين الذين يتطلعون إلى ابتزاز البيانات والمطالبة بالتعويضات المالية. ومع ذلك، فإن عواقب مثل هذه الهجمات يمكن أن تمتد إلى ما هو أبعد من الخسائر المالية وتؤثر بشكل مباشر على رعاية المرضى”.
“قد يؤدي هذا إلى تأخير تلقي الأدوية الحيوية، وعدم توفر النتائج الطبية، وإغلاق المرافق، وكل هذا قد يكون قاتلاً. وفي حالة هيئة الخدمات الصحية الوطنية، أدت هجمات برامج الفدية إلى إلغاء المواعيد، وتأخير العلاج لآلاف المرضى. لقد حان الوقت لكي تتخذ المنظمات الصحية، بما في ذلك هيئة الخدمات الصحية الوطنية، والحكومة الإجراءات اللازمة وتستثمر أموالها في أحدث الابتكارات السيبرانية”.
وفي الوقت نفسه، تحدث مات هال من NCC بصفته ممثلاً للحزب الديمقراطي المسيحي الذي استمر لفترة طويلة. سايبر أب قالت حملة تطالب بإصلاح عاجل لقانون إساءة استخدام الكمبيوتر لعام 1990 الذي عفا عليه الزمن – والذي يخاطر بمعاقبة أبحاث التهديد المشروعة بعقوبات جنائية في شكله الحالي – إن المجموعة ستفعل ذلك. مواصلة الضغط في البرلمان الجديد.
وقال هال “إن تقديم مشروع قانون الأمن السيبراني والمرونة اليوم سيكون مفتاحًا للحفاظ على المملكة المتحدة في مأمن من الهجمات السيبرانية المتزايدة. ومع ارتفاع الجرائم الإلكترونية بنحو الثلث العام الماضي، فمن المشجع أن نرى الحكومة تعطي الأولوية لتحديث قوانيننا السيبرانية”.
“إننا نتطلع إلى العمل مع الحكومة بشأن المزيد من السبل لتحسين مرونة البلاد في مجال الأمن السيبراني، وخاصة فيما يتعلق بأي جهود لمعالجة قانون إساءة استخدام الكمبيوتر لعام 1990.
وأضاف أن “تحديث القانون من شأنه تمكين المتخصصين في مجال الأمن السيبراني في المملكة المتحدة من حماية الإنترنت بشكل أفضل، وحماية الاقتصاد الرقمي وإطلاق العنان لإمكانات النمو الكاملة لصناعة الأمن السيبراني لدينا”.
