مفترق طرق الأمن السيبراني: قواعد CISA الجديدة تشعل الجدل حول من يجب أن يبلّغ عن الاختراقات

تتبدّل خطوط المواجهة السيبرانية - وتريد الحكومة الأميركية صورة أوضح للمعارك الدائرة في الظل. لكن مع اقتراب وكالة الأمن السيبراني وأمن البنية التحتية (CISA) من إصدار قواعد طال انتظارها ستُلزم مشغّلي البنية التحتية الحيوية بالإبلاغ عن الحوادث السيبرانية الكبرى، تندلع شدّة وجذب. عمالقة الصناعة، والمشغّلون الصغار، والمشرّعون جميعهم يدلون بآرائهم، ما يرفع سقف الرهانات على ما قد يصبح أكثر لوائح الأمن السيبراني تأثيرًا خلال جيل كامل.

حقائق سريعة

• تضع CISA اللمسات الأخيرة على قاعدة تُلزم جهات البنية التحتية الحيوية بالإبلاغ عن الحوادث السيبرانية الجسيمة خلال 72 ساعة.
• تنبع القاعدة من قانون الإبلاغ عن الحوادث السيبرانية للبنية التحتية الحيوية لعام 2022 (CIRCIA).
• تخشى مجموعات الأعمال والمشرّعون من نطاق الشركات والمعلومات المشمولة.
• تستضيف CISA سبع جلسات حوار عامة في مارس وأبريل لجمع ملاحظات خاصة بكل قطاع.
• تدرس الوكالة الملاحظات بشأن محتوى التقارير، والجهات المشمولة، وحوادث السحابة والمصادر المفتوحة، وصلاحيات الاستدعاء.

مسودة قاعدة CIRCIA، المنشورة في أبريل 2024، ستمنح المشغّلين المشمولين 72 ساعة فقط لإخطار الحكومة بهجوم سيبراني «جوهري». الهدف: تسريع تبادل المعلومات الاستخبارية لمساعدة البلاد على الاستجابة لتهديدات رقمية تزداد تعقيدًا. لكن كثيرين في مجتمع الأعمال يجادلون بأن اللائحة تلقي بشبكة واسعة جدًا، ما يهدد بإغراق الشركات بالأعمال الورقية وكشف بيانات حساسة، بينما قد تُخفق في الوقت نفسه في تحقيق خفض حقيقي للمخاطر.

وقالت الوكالة في إعلانها الأخير: «تقدّر CISA قلق أصحاب المصلحة من أن CIRCIA ينبغي أن يعزّز الأمن السيبراني دون فرض أعباء غير ضرورية». ولمواجهة الاعتراضات المتزايدة، تطلق CISA سلسلة من اجتماعات «تاون هول»، يستهدف كل منها قطاعًا مختلفًا - من الطاقة والمياه إلى الرعاية الصحية والدفاع والتمويل. وعلى المحك: مقدار المعلومات التي يجب على الشركات الإبلاغ عنها، وأي الكيانات تُعد «حيوية»، وكيف ستفرض CISA الامتثال - بما في ذلك ما إذا كان على مزوّدي الخدمات السحابية ومقدّمي الخدمات المُدارة الإبلاغ عن الحوادث التي تتضمن شيفرة مفتوحة المصدر.

كما توازن الوكالة بين ما إذا كانت قوائمها الحالية للجهات المشمولة تُغفل مشغّلين بالغَي الأهمية، وكيفية التعامل مع الشركات المترددة - ملمّحة إلى احتمال استخدام أوامر الاستدعاء بحق من يرفضون التعاون. وستُدار كل جلسة بإحكام، مع تقييد مداخلات المتحدثين بثلاث دقائق وتفريغ جميع الجلسات ضمن السجل الرسمي، في إشارة إلى مدى التدقيق العالي الذي تخضع له عملية وضع هذه القاعدة.

منذ أن أقرّ الكونغرس قانون CIRCIA في 2022، قامت CISA بفرز مئات التعليقات العامة، وعشرات جلسات الاستماع، وسيل من الملاحظات من مختلف أطياف البنية التحتية الحيوية. ومع ذلك، يبقى التوازن صعبًا: كيف نجعل البلاد أكثر أمانًا دون خنق القطاعات ذاتها التي تسعى الوكالة إلى حمايتها. ولم تستبعد الوكالة إعادة فتح فترة التعليقات العامة إذا استدعت الملاحظات ذلك - لكن في الوقت الراهن، تتجه الأنظار كلها إلى جلسات «تاون هول» المقبلة.

ومع تزايد الهجمات السيبرانية من حيث التكرار والتعقيد، لم يعد السؤال ما إذا كانت الشركات ستُستهدف، بل متى. وما إذا كانت القاعدة النهائية لـ CISA ستمكّن المدافعين - أم ستثقل كاهلهم - فذلك ما ستكشفه الأيام. أمر واحد مؤكد: الفصل التالي من الدفاع السيبراني الأميركي لن يكتبه صانعو السياسات وحدهم، بل أيضًا الأصوات التي سترتفع في هذه المشاورات الحاسمة.

WIKICROOK

• CISA: CISA هي الوكالة الأميركية التي تحمي البنية التحتية الحيوية والأنظمة الرقمية من التهديدات السيبرانية وغيرها من المخاطر الأمنية.
• CIRCIA: CIRCIA هو قانون أميركي يُلزم منظمات البنية التحتية الحيوية بالإبلاغ عن الحوادث السيبرانية الكبرى ومدفوعات برامج الفدية إلى CISA ضمن أطر زمنية محددة.
• البنية التحتية الحيوية: تشمل البنية التحتية الحيوية أنظمة رئيسية - مثل الكهرباء والمياه والرعاية الصحية - التي قد يؤدي تعطلها إلى اضطراب خطير في المجتمع أو الاقتصاد.
• Open: تعني «Open» أن البرمجيات أو الشيفرة متاحة علنًا، ما يتيح لأي شخص الوصول إليها أو تعديلها أو استخدامها - بما في ذلك لأغراض خبيثة.
• Subpoena: أمر الاستدعاء هو أمر قانوني يُلزم شخصًا أو شركة بتقديم معلومات أو أدلة، مثل الوثائق أو الشهادة، لأغراض تحقيق.