فرمان جدید امنیت سایبری آمریکا: چرا واشنگتن نگران است؟

(تحلیل فرمان اخیر و لزوم حرکت ایران به سمت رویکردهای پیشرفته امنیتی.)

در تاریخ ۱۶ خرداد ۱۴۰۴ (۶ ژوئن ۲۰۲۵)، رئیس جمهور آمریکا دونالد ترامپ فرمان اجرایی جدیدی با عنوان "تداوم تلاش های منتخب برای تقویت امنیت سایبری کشور" را امضا کرد که با عنوان (Sustaining Select Efforts to Strengthen the Nation’s Cybersecurity and Amending Executive Order 13694/14144) ثبت فدرال شده است. این دستورالعمل در نگاه اول، یک گام رو به جلو و نشان دهنده تغییری مهم در سیاست امنیت سایبری ایالات متحده است، اما با نگاهی عمیق تر، می توان نشانه هایی از یک نگرانی استراتژیک را در آن مشاهده کرد.

البته از نظر کارشناسان بین المللی، این فرمان یک تحول استراتژیک در امنیت سایبری جهانی است و این اقدامات نه تنها برای امنیت ملی آمریکا حیاتی است، بلکه درس ها و الزاماتی حیاتی برای سایر کشورها، از جمله ایران، به همراه دارد تا در مسیر پیشگیری هوشمند و تقویت زیرساخت های دیجیتال خود حرکت کنند.

اقدامات کلیدی این فرمان که می تواند الهام بخش سیاست گذاری های ملی باشد، شامل موارد زیر است:

• اصلاح سیاست تحریم ها: این دستور، فرمان اجرایی ۱۳۶۹۴ مصوب سال ۲۰۱۵ را که برای اعمال تحریم علیه افراد و نهادهای درگیر در فعالیت های مخرب سایبری صادر شده بود، اصلاح می کند. هدف از این اصلاحات، تمرکز تحریم ها بر بازیگران مخرب خارجی است و اطمینان از عدم هدف گیری ناخواسته فعالیت های سیاسی داخلی. این اصلاح همچنین تصریح می کند که تحریم ها شامل فعالیت های مرتبط با انتخابات نمی شوند.
• پیشبرد توسعه نرم افزار امن: با اذعان به اهمیت امنیت نرم افزار، این فرمان به نهادهای فدرال دستور می دهد تا شیوه های توسعه نرم افزار امن را اتخاذ کنند. این شامل پیاده سازی دستورالعمل های موسسه ملی استانداردها و فناوری (NIST)، به ویژه چارچوب توسعه نرم افزار امن (SSDF)، برای افزایش امنیت و یکپارچگی نرم افزارهای مورد استفاده و توسعه یافته در نهادهای فدرال است.
• تأکید بر رمزنگاری پساکوانتومی: این دستور اجرایی، اتخاذ الگوریتم های رمزنگاری پساکوانتومی را الزامی می کند. این اقدام با هدف محافظت از اطلاعات حساس در برابر رمزگشایی احتمالی توسط رایانه های کوانتومی است و بدین ترتیب ارتباطات و داده های فدرال را برای بلندمدت ایمن می سازد.
• تقویت امنیت پروتکل دروازه مرزی (BGP): برای رفع آسیب پذیری ها در مسیریابی اینترنت، این دستور به نهادهای فدرال دستور می دهد تا اقداماتی را برای ایمن سازی پروتکل دروازه مرزی پیاده سازی کنند. با کاهش خطرات مرتبط با ربایش BGP، این اقدامات با هدف جلوگیری از تغییر مسیر مخرب ترافیک اینترنت است که می تواند منجر به رهگیری داده ها یا اختلال در خدمات شود و دستورالعمل به نهادهای فدرال برای اتخاذ مجوز مبدأ مسیر (ROA) و زیرساخت کلید عمومی منابع (RPKI) نشان دهنده تعهدی بسیار ضروری به سلامت ستون فقرات اینترنت است.
• ترویج استانداردهای امنیت اینترنت اشیاء (IoT): این فرمان اجرایی از توسعه و اتخاذ سیاست های امنیت سایبری قابل خواندن توسط ماشین و تعیین نامه های رسمی اعتماد برای دستگاه های اینترنت اشیاء حمایت می کند. این ابتکار به دنبال اطمینان از مطابقت دستگاه های متصل با اصول اساسی امنیتی است و بدین ترتیب از مصرف کنندگان و اکوسیستم دیجیتال گسترده تر محافظت می کند.

ایالات متحده که خود به خوبی می داند چه محصولاتی را با چه ویژگی هایی به دست دیگر کشورها می رساند، اکنون بیش از هر زمان دیگری نگران است که دیگران نیز با ابزارهای مشابه، امنیت ملی آن را هدف قرار دهند. این فرمان، در واقع، یک اقدام پیشگیرانه در برابر بازگشت سلاحی است که خود به تکامل آن کمک کرده است.

ضرورت حرکت ایران به سمت رویکردهای پیشرفته امنیت سایبری:

این تحولات نشان دهنده یک تغییر جهانی از رویکردهای واکنشی به سمت دکترین های ریسک محور و پیش بینانه است. این تغییر برای کشوری مانند ایران، با توجه به اهمیت روزافزون فضای سایبری و زیرساخت های حیاتی دیجیتال، از اهمیتی دوچندان برخوردار است.

• توسعه نرم افزار امن: در ایران نیز، با توجه به حجم فزاینده تولید نرم افزارهای بومی و توسعه زیرساخت های دیجیتال، نهادینه کردن امنیت از طریق طراحی (security-by-design) و پایبندی به چارچوب های استاندارد توسعه نرم افزار امن، برای جلوگیری از حملاتی مشابه سولارویندز حیاتی است. اما شاید بتوان این تأکید شدید بر امنیت زنجیره تأمین نرم افزار را از زاویه دیگری نیز دید؛
• رمزنگاری پساکوانتومی: الزام به انتقال به رمزنگاری پساکوانتومی شاید استراتژیک ترین اقدام در میان تمامی تدابیر باشد. با توجه به سرعت پیشرفت محاسبات کوانتومی، آماده سازی برای انتقال به رمزنگاری پساکوانتومی برای حفظ محرمانگی و یکپارچگی داده های ملی و طبقه بندی شده در بلندمدت، امری اجتناب ناپذیر است. همانطور که فناوری محاسبات کوانتومی به سرعت بالغ می شود، الگوریتم های رمزنگاری که از اکثر سیستم های مدرن مانند RSA و ECC محافظت می کنند، منسوخ خواهند شد. آماده سازی اکنون با شناسایی سیستم های آسیب پذیر و پیاده سازی استانداردهای پساکوانتومی منطبق بر تاییدات NIST برای یکپارچگی و محرمانگی بلندمدت داده ها، به ویژه برای ارتباطات طبقه بندی شده و دارای نگهداری طولانی مدت، ضروری است.
• امنیت BGP: تقویت امنیت زیرساخت های مسیریابی اینترنت (BGP) برای جلوگیری از ربایش ترافیک و همچنین تدوین استانداردهای امنیتی برای میلیاردها دستگاه اینترنت اشیاء که در کشور در حال گسترش هستند، از اولویت های حیاتی برای پایداری و امنیت ملی و خدمات عمومی محسوب می شود.
• امنیت IoT: تمرکز بر استانداردهای امنیت سایبری اینترنت اشیاء به همان اندازه آینده نگرانه است. با میلیاردها دستگاه متصل که با حداقل نظارت یا حفاظت های داخلی کار می کنند، اکوسیستم اینترنت اشیاء همچنان یک هدف آسان برای بات نت ها، جاسوسی و سوءاستفاده باقی می ماند. باید استفاده از برچسب های امنیتی قابل خواندن توسط ماشین و چارچوب های اعتماد را ترویج داد، که به خریداران امکان تصمیم گیری آگاهانه را می دهد و سطح پایه امنیت کلی محصولات متصل را افزایش می دهد.

فرمان اجرایی اخیر در آمریکا، یک پیام روشن به جامعه امنیت سایبری جهانی و به خصوص کشورهایی مانند ایران است، هرچند که این فرمان بیش از آنکه یک نمایش قدرت باشد، نشان دهنده آگاهی از آسیب پذیری های عمیق است و امنیت سایبری دیگر یک مسئولیت صرفاً دولتی نیست و نیازمند یک رویکرد هماهنگ و تطبیقی است. همکاری نزدیک میان دولت، صنعت، دانشگاه و نهادهای استاندارد می تواند به ایجاد یک وضعیت امنیت سایبری یکپارچه تر و انعطاف پذیرتر در ایران منجر شود. این یک فرصت است تا با پیش بینی چالش های آینده و بازنگری در منابع، معماری امنیت سایبری کشور را بر پایه اصول عمل گرایانه، قابل اجرا و آینده نگر تقویت کنیم و توانایی خود را در مقابله قاطعانه با تهدیدات سایبری در حال تکامل نشان دهیم.

مهدی فرجی