شهد العام الماضي بعضًا من أغلى الهجمات الإلكترونية على الشركات في المملكة المتحدة حتى الآن. الهجمات على ماركس اند سبنسر كلف سلسلة المتاجر الكبرى مئات الملايين من الأرباح الضائعة وأدى إلى رفوف فارغة. ال هجوم جاكوار لاند روفر أرسلت الشركة موجات صادمة في جميع أنحاء سلسلة التوريد الخاصة بها، مما أدى في النهاية إلى انخفاض الناتج المحلي الإجمالي في المملكة المتحدة في الربع الثالث.
في حين أن مرتكبي الجرائم الإلكترونية يعملون غالبًا عبر الحدود الدولية، وبعيدًا عن نطاق تطبيق القانون، فإن هجوم ماركس آند سبنسر قد حدث بالفعل وأسفرت عن اعتقالات عديدة في المملكة المتحدة، تحت قانون إساءة استخدام الكمبيوتر [CMA] عام 1990. مع جديد قانون الأمن السيبراني والمرونة وفي الطريق، قد يبدو أن سلطات المملكة المتحدة ستتمتع قريبًا بسلطات أكبر لإجبار المنظمات على بناء دفاعات أفضل.
ولكن بينما تواصل حكومة المملكة المتحدة ملاحقة مجرمي الإنترنت، فإنها تحتاج أيضًا إلى أن تكون أكثر وضوحًا بشأن الدور الحاسم الذي يلعبه الباحثون في مجال الأمن السيبراني والمتسللين الأخلاقيين في الدفاع ضدهم.
وفي الأسبوع الماضي، قال وزير الأمن البريطاني دان جارفيس في مؤتمر أن الحكومة كانت تدرس التغييرات في CMA لتقديم “دفاع قانوني” لخبراء الأمن السيبراني الذين يكتشفون نقاط الضعف ويشاركونها.
وهذا يعني أنه طالما أنهم يستوفون “ضمانات معينة”، فسيتم حماية الباحثين من الملاحقة القضائية.
لكي نفهم سبب أهمية هذا الأمر، يجدر بنا أن نتذكر خلفية اتفاقية السوق المالية. في منتصف الثمانينيات، اتُهم صحفي تكنولوجيا المعلومات ستيف جولد وزميله المتسلل روبرت شيفرين بالوصول إلى حساب البريد الإلكتروني الخاص بدوق إدنبره بي تي بريستيل.
وقد تمت محاكمتهم وإدانتهم بموجب قانون التزوير والتزييف، ولكن تم إلغاء هذا الحكم عند الاستئناف، لأن هذا القانون لم يشمل جرائم الكمبيوتر على وجه التحديد.
وأدى ذلك إلى قيام هيئة السوق المالية بفرض عقوبات بالسجن على الوصول غير المصرح به إلى مواد الكمبيوتر.
التاريخ مهم. في ذلك الوقت، كانت معظم أنظمة الكمبيوتر خاضعة لرقابة مشددة وكان من الصعب على غالبية السكان الوصول إليها.
عدد قليل جدًا من الأشخاص كان لديهم مودم (معتمد من BT) في ذلك الوقت. تم تطوير الويب قبل عام واحد فقط. لقد كانت طفرة الدوت كوم في المستقبل بسنوات، ولم يكن مصطلح الحرب السيبرانية قد تمت صياغته بعد، و بالكاد يتم النظر في احتمال وقوع جريمة إلكترونية على المستوى الصناعي.
ويمكننا أن نعذر المشرعين الذين صاغوا هذا النهج لأنهم لم يتوقعوا تحول البيئة الرقمية اليوم، من الهاتف المحمول إلى السحابة إلى الذكاء الاصطناعي. لذلك، ربما يكون من المفهوم أن القانون لم يتوقع ظهور باحثين في مجال الأمن السيبراني، الذين سيبحثون عن نقاط الضعف والتكوينات الخاطئة ويشاركون تلك المعلومات مع المنظمات المعنية.
أقل قابلية للفهم هو لماذا لم تتم معالجة هذا منذ ذلك الحين. مع تحول الجريمة السيبرانية من مكان صغير إلى وباء عالمي على مدى العقدين الماضيين، لعب قراصنة القبعة البيضاء دورًا أساسيًا في كشف وتخفيف الأساليب والتقنيات التي استغلها مجرمو الإنترنت. وهذا يعني بالضرورة التفكير والتصرف مثل القراصنة.
ومع ذلك، أثبتت هيئة أسواق المال، والتشريعات المماثلة في بلدان أخرى، أنها أداة فظة عندما يتعلق الأمر بردع الجرائم السيبرانية.
ومن العدل أن نشير إلى أن عدد الملاحقات القضائية بموجب قانون هيئة أسواق المال والقوانين المماثلة كان منخفضًا إلى حد ما. ولكن هذا يرجع في المقام الأول إلى الطبيعة غير المتكافئة للجرائم السيبرانية: فمعظم التهديدات تأتي من أفراد خارج نطاق سيطرة المملكة المتحدة وحلفائها، والذين من غير المرجح أن يردعهم قانون هيئة أسواق المال.
أصبح هذا الاختلال في التوازن أكثر وضوحًا حيث تم استغلال نقاط الضعف والعيوب بشكل عشوائي وعلى نطاق الإنترنت، ليس فقط من قبل المجرمين ولكن من قبل الدول القومية الراغبة في تعريض البنية التحتية الوطنية الحيوية والشركات الأجنبية والمستهلكين للخطر لتحقيق مكاسب استراتيجية.
لقد تركت الباحثين وعملائهم المحتملين في منطقة رمادية قانونية. وقد أدى ذلك، في بعض الأحيان، إلى محاكمة الأشخاص الطيبين الشرعيين.
ومن ناحية أخرى، يؤثر هذا التهديد المستمر بالملاحقة القضائية على مجموعة أخرى من الأفراد ــ الجيل القادم الذي نحتاج إلى تشجيعه على الانضمام إلى هذه الصناعة. إننا نعاني بالفعل من أزمة مهارات مزمنة، ولا يمثل احتمال وجود سجل جنائي بمثابة الترحيب الذهبي.
لا شيء من هذا جديد. سلطت شبكة إصلاح القانون الجنائي الضوء في عام 2020 على أن “قانون مكافحة المخدرات لعام 1990 يتطلب إصلاحًا كبيرًا لجعله مناسبًا للقرن الحادي والعشرين”. وأوصى بإضافة الأضرار المطلوبة. وزارة الداخلية بدأت مراجعة القانون في عام 2021، الذي خلص في عام 2023، ولم ينظر في مسألة الدفاع عن الباحثين. إضافة الأضرار المطلوبة.
عندما يصبح قانون الأمن السيبراني والمرونة قانونًا في المملكة المتحدة، سيتعين على العديد من المنظمات الإبلاغ عن الانتهاكات، وستكون تحت ضغط أكبر لإدارة وضعها الأمني، بما في ذلك نقاط الضعف.
لن يكونوا قادرين على القيام بذلك دون مساعدة المتسللين الأخلاقيين والباحثين في مجال الأمن السيبراني، الذين ينبغي أن يكونوا قادرين على العمل دون خوف من الملاحقة القضائية. إنها بالتأكيد قابلة للتنفيذ. أعلنت البرتغال للتو عن دفاعات مدمجة للباحثين في تنفيذه لـ NIS2.
بيان جارفيس هو موضع ترحيب. ولكننا الآن بحاجة إلى العمل. لا يمكننا أن ننتظر خمس سنوات أخرى حتى تتحرك الحكومة لمنح الباحثين في مجال الإنترنت والمتسللين الأخلاقيين الغطاء الذي يحتاجون إليه. ونحن بالتأكيد لا نستطيع الانتظار 35 أخرى.
إد بارسونز هو الرئيس التنفيذي للعمليات في شركة Bug Bounty، والكشف عن نقاط الضعف، ومزود خدمات اختبار الاختراق إنتيغريتي، ونائب الرئيس السابق وعضو جمعية محترفي الإنترنت ISC2. يعتبر بارسونز خبيرًا في المخاطر المهنية والإنترنت، وهو متخصص معتمد في أمن نظم المعلومات (CISSP) ومحترف معتمد في مجال الأمن السيبراني في المملكة المتحدة.
