الولايات المتحدة المحكمة العليا لقد أعاقت المحكمة العليا مؤخرا اللوائح والخطط المتعلقة بالأمن السيبراني. ولمكافحة انتشار التهديدات الأمنية السيبرانية، اعتمدت إدارة الرئيس بايدن على الاستخدامات الإبداعية للقوانين القائمة لحماية البنية التحتية الحيوية من التهديدات الأمنية السيبرانية. ومع ذلك، فقد أضعفت المحكمة العليا الآن هذه الأداة في صندوق أدوات الإدارة، ومستقبل لوائح الأمن السيبراني الأمريكية في الأمد القريب غامض.
في شركة لوبير برايت إنتربرايزز ضد رايموندوألغت المحكمة العليا سابقتها المعروفة في قضية شيفرون ضد مجلس الدفاع عن الموارد الوطنية، حيث أنشأت المبدأ المعروف باسم شيفرون ديفيرانس.
لقد فرض قانون شيفرون على المحاكم أن تلجأ إلى التفسير المعقول من جانب الوكالة الفيدرالية لقضية أو مسألة غامضة. وفي الحالات التي فوض فيها الكونجرس الوكالة على وجه التحديد بسد الثغرات في التشريع، كان هذا معياراً صارماً. وكانت قرارات الوكالة ملزمة للمحاكم ما لم تكن معيبة من الناحية الإجرائية، أو تعسفية أو متقلبة في جوهرها، أو مخالفة بشكل واضح للقانون. ولكن هذا لم يعد الحال.
وفي قرار صادر بأغلبية ستة أصوات مقابل ثلاثة، ألغى حكم محكمة لوبر الشرط الذي يلزم المحاكم بالخضوع لتفسير معقول من جانب وكالة ما للقانون. واستشهدت المحكمة العليا بـ “الدور التقليدي” للمحكمة في “تحديد ماهية القانون”.
وفي حين أن رأي الأغلبية الذي قدمه لوبر لا يوفر صراحة إطارًا جديدًا للمراجعة القضائية لتفسيرات الوكالة، فإنه يشير إلى أنه عند مراجعة التحدي المقدم إلى إجراء وكالة، يجوز للمحكمة أن تنظر في تفسير الوكالة إذا كانت “تتمتع بالقوة للإقناع”، ولكن لا يمكنها الاعتماد عليه وحده، وفي النهاية يجب أن تصل إلى حكم مستقل.
وسواء كانت شركة شيفرون على حق أم على خطأ، وكان لها منتقدوها، فإن حكم لوبر من شأنه بلا شك أن يغير توازن القوى بين فروع الحكومة الأميركية، حيث ينتزع السلطة من السلطة التنفيذية ويمنحها للقضاء والكونجرس. ومن المرجح أن يؤدي هذا القرار إلى إطار تنظيمي أكثر تجزئة وتناقضاً.
قرار لوبير سيؤثر على لوائح الأمن السيبراني الحالية والمستقبلية
وقد يعيق حكم لوبر قدرة الوكالات الفيدرالية الأميركية على معالجة المسائل المتعلقة بالتكنولوجيا الناشئة بشكل فعال، مثل تهديدات الأمن السيبراني والذكاء الاصطناعي، والتي تتطلب معرفة متخصصة وإجراءً سريعًا.
لقد أمضت السلطة التنفيذية سنوات عديدة في تفسير القوانين القائمة بشكل إبداعي وتطبيقها على الأمن السيبراني، بدلاً من انتظار الكونجرس المنقسم لتشريع الأمن السيبراني.
كان قانون شيفرون ديفيرانس بمثابة ركيزة أساسية منحت الوكالات الفيدرالية سلطة تفسير القوانين الأميركية الغامضة استناداً إلى خبراتها في مجال معين ووضع اللوائح التنظيمية وإنفاذها. وقد يؤدي زواله إلى زعزعة استقرار اللوائح الفيدرالية الخاصة بالأمن السيبراني، ونقل السلطة التنظيمية النهائية من الوكالات إلى المحاكم.
إن نهاية نظام شيفرون للنزاهة من شأنه أن يؤدي إلى زيادة التقاضي وتعقيد الامتثال للأمن السيبراني والتنسيق. قبل نظام لوبر، كانت المحاكم عادة ما تؤجل قرارات الوكالات، وكانت الشركات تواجه احتمالات ضئيلة للنجاح في التحديات القضائية. والآن، مع وجود مسار أسهل، من المرجح أن نرى المزيد من الشركات تلجأ إلى التقاضي والتسابق إلى المحكمة، وهو ما من شأنه أن يخلق حالة من الفوضى من خلال خلق انقسامات في المحاكم وبيئة تنظيمية أقل قابلية للتنبؤ.
تتضمن بعض الأمثلة على قواعد الوكالة المعرضة للخطر ما يلي:
- وكالة الأمن السيبراني وأمن البنية التحتية (CISA). قواعد CISA التي تنفذ قانون الإبلاغ عن الحوادث السيبرانية للبنية التحتية الحرجة تم إصدار قانون الأمن السيبراني لعام 2022، والذي يفرض متطلبات على البنية التحتية الحيوية لإخطار الحكومة عند اختراقها. وتشمل أهدافه تجميع البيانات وتحليل التهديدات وإنشاء معلومات استخباراتية قابلة للتنفيذ للاستعداد بشكل أفضل للتهديدات الأمنية السيبرانية والاستجابة لها. وجه الكونجرس وكالة الأمن السيبراني والبنية التحتية للأمن السيبراني للقيام بعملية وضع القواعد لتحديد القانون وملء العديد من الثغرات التفسيرية. تم نشر القواعد المقترحة من قبل وكالة الأمن السيبراني والبنية التحتية للأمن السيبراني والتعليق عليها، ومن المتوقع صدور القواعد النهائية العام المقبل. توقع تحديات للقواعد النهائية، بما في ذلك من، ماذا، متى، أين وكيف يتم الإبلاغ.
- هيئة الأوراق المالية والبورصة (SEC). بالاعتماد على القوانين القديمة لمعالجة الأمن السيبراني، وضعت SEC في يوليو 2023 متطلبات تلزم الشركات العامة بالإبلاغ عن الحوادث السيبرانية المادية في غضون أربعة أيام من تحديد الأهميةكما أن هناك متطلبات أخرى تفرض على الشركات العامة الإفصاح عن استراتيجياتها لإدارة المخاطر السيبرانية في التقارير السنوية. ومن المتوقع الآن الطعن في هذه المتطلبات أمام المحكمة.
- لجنة التجارة الفيدرالية (FTC). اعتمدت الوكالة على قوانين المنافسة غير العادلة وممارسات التجارة الخادعة التي تعود إلى عقود من الزمان لصياغة اللوائح، بما في ذلك اقتراح قواعد شاملة لخصوصية البيانات وأمنها. ومن المتوقع أن تخضع القواعد الحالية والمقترحة لتدقيق شديد.
سيصبح القطاع الخاص عنصرا حاسما في وضع المعايير
وبسبب حالة عدم اليقين، سوف يصبح القطاع الخاص الآن أكثر أهمية في تشكيل معايير وقواعد الأمن السيبراني بما يتجاوز السياسة الفيدرالية. وينبغي للمنظمات أن تعزز موقفها في مجال الأمن السيبراني، للحماية من المتطلبات التنظيمية غير المؤكدة. وسوف تحتاج إلى تعزيز فرقها القانونية لتحليل المشهد التنظيمي للأمن السيبراني والمساعدة في تشكيله.
يتعين على القطاع الخاص الآن أن يتعاون بشكل أوثق مع الحكومة بشأن لوائح الأمن السيبراني، ودفع الكونجرس إلى التصرف بحزم لحماية الخدمات الحيوية. ويتعين على المنظمات أيضًا أن تفحص القواعد المقترحة لضمان الوضوح ونوايا الكونجرس.
العواقب العالمية المحتملة في مجال الأمن السيبراني
إن الولايات المتحدة تلعب في كثير من الأحيان دوراً رائداً في تحديد المعايير والقواعد الدولية، ومع تبني قواعدها ومعاييرها على نطاق واسع، فقد تحذو دول أخرى حذوها. ولكن إذا تعطلت القواعد واللوائح الفيدرالية الأميركية بسبب المحاكم، فقد يتسبب ذلك في إثارة حالة من عدم اليقين في المجتمع الدولي بشأن قدرة الولايات المتحدة على القيادة.
أحد ركائز حملة الرئيس بايدن لعام 2023 الاستراتيجية الوطنية للأمن السيبراني إن الهدف الرئيسي من الأمن السيبراني هو تعزيز التعاون الدولي. ونظراً لطبيعة الأعمال التجارية التي تتداخل فيها جميع المجالات اليوم، فمن الأهمية بمكان أن يعمل العالم معاً لتحقيق الانسجام في مسائل الأمن السيبراني. وإذا كانت الولايات المتحدة بطيئة للغاية أو غامضة، فقد تضطر بلدان أخرى والقطاع الخاص إلى الاضطلاع بدور قيادي.
بريان أرنولد هو مدير الشؤون القانونية لدى مزود خدمات الأمن المُدار ومتخصص في أبحاث التهديدات صيادةبدأ حياته المهنية في تطوير البرمجيات بين الشركات قبل أن ينتقل إلى القانون في منتصف العقد الأول من القرن الحادي والعشرين، حيث تخصص في قانون الملكية الفكرية في عدد من الشركات الأمريكية. قبل الانضمام إلى هانتريس، عمل كمستشار رئيسي متخصص في الابتكار، تكنولوجيا المعلومات، والطب عن بعد، وخصوصية البيانات والأمن السيبراني لمقدم رعاية صحية رئيسي.
