الماء، والطاقة، والصرف الصحي، والخدمات المصرفية، والتعليم، سمها ما شئت – كل هذه أساسيات الحياة لديها شيء مشترك: فهي تعتمد على تكنولوجيا المعلومات. معقدة بشكل متزايد وغير آمنتكنولوجيا. وفي الوقت نفسه، تمتلك الجهات الفاعلة في مجال التهديد الوسائل اللازمة لشن أعداد متزايدة باستمرار من الهجمات على التطبيقات المهمة. كان الكشف في أغسطس الماضي عن الاختراق الضخم للبيانات الوطنية العامة الخاصة بأرقام الضمان الاجتماعي للأميركيين، وغيرها من البيانات الشخصية، بمثابة الدليل الأول المذهل.
ارتفع عدد نقاط الضعف المبلغ عنها بشكل كبير خلال السنوات العشر الماضية. في الواقع، ارتفع عدد نقاط الضعف البرمجية الجديدة المدرجة في قاعدة بيانات الثغرات الأمنية الوطنية الفيدرالية بمعدل 29% سنويًا على مدار السنوات السبع الماضية. يسجل كل عام رقمًا قياسيًا، ومع إدخال نماذج الذكاء الاصطناعي لكتابة التعليمات البرمجية الخبيثة وإيجاد الثغرات الأمنية، ليس هناك سبب للاعتقاد بأن هذا الاتجاه سوف ينعكس. لقد كانت مساهمة الحكومة الفيدرالية في الأمن السيبراني حتى الآن من خلال التوجيه والتأثير أو من خلال ممارسة قوتها الشرائية كمستهلك ضخم لتكنولوجيا المعلومات. هذه لها بعض القيمة ولكن من الواضح أنه ليس لها تأثير كبير.
لا يدرك الجمهور تمامًا مدى انخفاض مستوى أمان البرامج حاليًا. لا يتم أبدًا كتابة البرامج الحديثة بالكامل من الصفر. وبدلاً من ذلك، يستخدم المطورون أسلوب “التجميع” الذي يجمع حزم التعليمات البرمجية الموجودة معًا، وغالبًا ما يستخدمون برامج مفتوحة المصدر تم إنشاؤها وصيانتها بواسطة مطورين لا يدينون بأي شكل من الأشكال للشركة التي تصنع المنتج النهائي.
مع تزايد شيوع الثغرات الأمنية والبرامج الضارة النشطة، تجد جميع الشركات نفسها تتحمل مخاطر أمنية متزايدة. لقد أنفقت المنظمات الحكومية مثل وكالة الأمن السيبراني وأمن البنية التحتية (CISA) قدرًا كبيرًا من الوقت والمال والجهد على مدار السنوات القليلة الماضية في محاولة إقناع بائعي البرامج بتبني ممارسات الأمان الأساسية وقوائم مواد البرامج (SBOMs). يخبر SBOM الخاص بالبائع العميلماذاموجود في البرنامج – ولكن ليس ما إذا كانت المحتويات آمنة. لم تحرك إجراءات CISA الإبرة في وقف الانتهاكات. بلغت تكاليف الجرائم الإلكترونية في الولايات المتحدة ما يقدر بنحو 320 مليار دولار اعتبارًا من العام الماضي. وفي الفترة بين عامي 2017 و2023، زادت التكاليف بأكثر من 300 مليار دولار.
شركاتيقولإنهم يبذلون المزيد من الجهد في ما يتعلق بالأمن السيبراني، لكن الخروقات مستمرة، والسوق الخاص لا يصحح السلوك السيئ. بالكاد تسجل مخططات الأسهم إشارة ضوئية عندما تبلغ الشركات عن الانتهاكات الآن. ولم يتدخل الكونجرس بعد، وربما يعوقه الفهم غير الكافي لهذه القضية.
وبالتالي، هناك حاجة إلى اتخاذ إجراءات عاجلة.
تدخلت الحكومة لحماية غذائنا وأدويتنا من خلال إنشاء إدارة الغذاء والدواء، وتدخلت لجعل سياراتنا أكثر أمانًا من خلال إنشاء الإدارة الوطنية لسلامة المرور على الطرق السريعة، وعملت على ضمان السلامة المهنية من خلال إنشاء إدارة السلامة والصحة المهنية. عندما تهدد التكنولوجيا الجديدة أو التطور الصناعي الصحة والسلامة العامة، أنشأت الحكومة هيئات تنظيمية جديدة لحماية الصحة والسلامة. ووفقا لاستطلاعات الرأي العامة، في حين أن الأميركيين قد يكونون غير راضين إلى حد كبير عن الحكومة الفيدرالية بشكل عام، إلا أنهم ما زالوا يرغبون في المساعدة في الحفاظ على سلامة السكان، بما في ذلك توفير الحماية من المنتجات غير الآمنة.
والنتيجة هي أن الكونجرس يجب أن ينشئ هيئة تنظيمية جديدة لتطوير “التوجيهات” التي يقدمها حاليا قانون CISA والأوامر التنفيذية الرئاسية، إلى جانب صلاحيات الإشراف على أساس تعريف موسع للبرمجيات والأجهزة المهمة. بطبيعة الحال، لا بد من تحديد ما يعرف “الحرج” على وجه التحديد، ولكن التعريف الحالي الذي تستخدمه وكالة الأمن السيبراني (CISA) لا يوفر ببساطة نطاقًا كافيًا لضمان الأمن السيبراني في أمريكا.
إن الخليط الحالي من التنظيم الذاتي للصناعة – حيث تبذل كل إدارة اتحادية قصارى جهدها للإشراف على مجالات الصناعة الخاصة بها – يترك الكثير من الفجوات ولن يصل حتى إلى مستوى التحديات التي نواجهها بالفعل. ينبغي لميثاق الهيئة التنظيمية الجديدة أن يضع حدًا أدنى من الممارسات الأمنية القياسية القابلة للتنفيذ للشركات الخاصة التي تعتبر بالغة الأهمية للأمة. ويجب أن تتجاوز هذه المعايير تعريف CISA المستخدم حاليًا للبنية التحتية الحيوية، وهو ما يفعل ذلكلاتشمل الشركات الأساسية في حياتنا اليومية، مثل Microsoft وGoogle ومقدمي خدمات الدفع وشركات الأمن السيبراني مثل CrowdStrike.
ستحتاج هذه الهيئة التنظيمية الجديدة أيضًا إلى القدرة على تدقيق الشركات وفقًا لتلك المعايير، ونشر النتائج بشكل انتقائي علنًا، ومشاركة النتائج مع الهيئات التنظيمية الأخرى مثل هيئة الأوراق المالية والبورصة، وفرض الغرامات، وفي الحالات الفظيعة، تكون قادرة على سحب المنتجات من السوق. تتبع هذه الصلاحيات النطاق المحدد للوكالات الحالية، مثل إدارة الغذاء والدواء الأمريكية (FDA) والإدارة الوطنية لسلامة المرور على الطرق السريعة (NHTSA). وبدون هذه السلطات التنظيمية على البرامج الأساسية، فإن أي وكالة جديدة سوف يقتصر دورها على تقديم “التوجيه” وستظل أمتنا معرضة للخطر.
وبما أن CISA تابعة بالفعل لوزارة الأمن الداخلي، فيمكن تحقيق ما ورد أعلاه إما من خلال توسيع نطاق صلاحياتها ومنحها الصلاحيات والمسؤوليات المذكورة أعلاه، أو من خلال إنشاء وكالة جديدة. أصبحت الحاجة إلى تنظيم ومراقبة قوية للأمن السيبراني ضرورية إذا أردنا حماية المواطنين والشركات والحكومات الأمريكية من الهجمات السيبرانية. ولن تتطلب بيئاتنا التكنولوجية والجيوسياسية التي لا يمكن التنبؤ بها أقل من ذلك.
