معضلات اروپا در مواجه با امنیت سایبری

باسمه تعالی

در این متن می‌خواهیم قوانین مربوط به امنیت سایبری در فضای ماورای جو را بررسی کنیم برای درک بهتر مطلب ابتدا به این مسئله که  امنیت سایبری چیست  و چه اهمیتی دارد خواهیم پرداخت.

تعریف امنیت سایبری

امنیت سایبری شامل یک سری پروتکل است که یک شرکت یا یک فرد برای اطمینان از اطلاعات از “ICA” خود پیروی می کند. ICA مخفف کلمات یکپارچگی، محرمانه بودن و در دسترس بودن می‌باشد. اگر از امنیت مناسبی برخوردار باشید، می‌توانید خیلی سریع در مواقع قطعی برق، خطاها یا خرابی های هارد را بازیابی کنید. زیرا این نوع حوادث باعث می شود که کارایی شما در برابر حملات خارجی و هکرها آسیب پذیرتر شود.

مفاهیم تداوم تجارت و بازیابی فاجعه، راهبردهای اساسی امنیت سایبری است. استمرار تجارت برای بقای یک تجارت ضروری است. بازیابی سریع تهدیدها به این معنی است که می‌توانید مخاطبان خود را در موقعیت‌های مشکل ساز حفظ کنید. بازیابی فاجعه به معنای حفظ تمامیت داده‌ها و زیرساخت‌های شما پس از یک رویداد فاجعه بار است. این تهدیدها در نهایت با سطح امنیت سایبری که در حال حاضر در زیرساخت های دیجیتالی شما اجرا می‌شود، طبقه بندی می‌شوند.

اهمیت امنیت سایبری

چرا باید امنیت در صدر برنامه های هر شرکت باشد؟ چرا باید مدیریت ارشد، خود را نسبت به امنیت سایبری نگران کند؟ یک دلیل غیرقابل انکار وجود دارد: دنیای دیجیتال که در آن تجارت می کنیم آسیب پذیر است و در معرض حمله سایبری قرار دارد.شبکه جهانی هنوز باید راه طولانی را پیش از تبدیل شدن به یک اکوسیستم کاملاً امن که برای تنظیم و کنترل خود برنامه ریزی شده است، طی کند. تصمیم گیرندگان باید اطمینان حاصل کنند که کلیه سیستم های شرکت خود، از آخرین استانداردهای با امنیت بالا پیروی می‌کنند. کارمندان همچنین باید در پروتکل های اولیه امنیت سایبری آموزش ببینند. این به ویژه در مورد کارمندان غیر فناوری صادق است. به عنوان مثال، همه باید بدانند چگونه یک ایمیل فیشینگ صورت می‌پذیرد و چگونه باید از آن جلوگیری کرد. بدون استراتژی امنیتی صحیح، ممکن است اتفاقات غیر قابل جبرانی رخ دهد. مهاجمان می‌دانند که چگونه نقاط ضعف را بیابند و از آنها بهره برداری کنند، شکاف‌هایی را باز می کنند که باعث می‌شود سیستم های قوی از بین بروند.

اتحادیه اروپا با تغییرات قانونی برای امنیت سایبری در فضا مواجه است

امنیت سایبری یکی از موضوعات اصلی در بخش فضایی است، نه به دلیل نقشی که شبکه های ماهواره‌ای در جامعه ایفا می کنند از ارتباطات ماهواره‌ای گرفته تا رصد زمین  (EO)، تا ناوبری. بلکه تعداد کمی از قوانین ملی فضایی به صراحت امنیت سایبری را مورد توجه قرار ‌ند. یکی از این موارد، رویکرد انگلستان است. ضوابط و مقررات صنعت فضایی ۲۰۲۱ شامل یک فصل خاص در مورد امنیت سایبری است که از دارنده مجوز می‌خواهد یک استراتژی امنیت سایبری برای شبکه و سیستم‌های اطلاعاتی مورد استفاده در رابطه با عملیات پرواز فضایی، طراحی و حفظ کند. این مقررات همچنین گزارش حوادثی را که تأثیر نامطلوبی بر امنیت چنین سیستم‌هایی دارند و ممکن است تأثیر قابل‌توجهی بر خدمات ضروری آینده داشته باشند را دربر میگیرد. در ایالات متحده، دستورالعمل سیاست های فضایی مجموعه‌ای از اصول امنیت سایبری را برای سیستم‌های فضایی، از جمله اجرای طرح‌های امنیت سایبری، ایجاد می‌کند و خاطرنشان می‌کند که « توسعه و تضمین امنیت سایبری در سیستم‌های فضایی حیاتی است. “

اما اتحادیه اروپا نمی تواند چنین قانونی را تصویب کند. طبق ماده ۱۸۹ Treaty on the functioning of the Eupopean” Union   ” (معاهده (TFEU، اتحادیه اروپا نمی تواند قوانین و مقررات کشورهای عضو را در مورد فعالیت های فضایی هماهنگ کند. در واقع، اگرچه مقررات اخیر برنامه فضایی اتحادیه اروپا – مقررات (EU) 2021/696 مورخ ۲۸ آوریل ۲۰۲۱ – به امنیت سایبری می پردازد، اما این موضوع را در رابطه با برنامه های شاخص اتحادیه اروپا Galileo، EGNOS، Copernicus، SST و GovSatCom انجام می دهد. از این رو، بدون الزامات صریح امنیت سایبری مندرج در قوانین ملی، به نظر می رسد که هیچ تعهدی در زمینه امنیت سایبری مستقیماً برای بازیگران فضایی اعمال نمی شود. با این حال، تغییراتی در چارچوب نظارتی امنیت سایبری اتحادیه اروپا با تأثیر مستقیم بر بخش فضایی در حال رخ دادن است. پیشنهادی در مورد اقدامات، برای امنیت سایبری در سراسر اتحادیه وجود دارد که جایگزین دستورالعمل فعلی NIS خواهد شد. برخلاف دستورالعمل فعلی NIS، دستورالعملی برای سال های آتی قرار است در بخش فضایی اعمال شود:«اپراتورهای زیرساخت های زمینی، تحت مالکیت و مدیریت و بهره برداری توسط کشورهای عضو یا طرف های خصوصی، که از ارائه خدمات مبتنی بر فضا، به استثنای ارائه‌دهندگان شبکه‌های ارتباطات الکترونیکی عمومی حمایت می‌کند.» علی‌رغم آخرین عبارت، شبکه‌های ارتباطات الکترونیکی عمومی همچنان مشمول دستورالعمل NIS 2 هستند، زیرا این دستورالعملی که برای «ارائه‌دهندگان شبکه‌های عمومی ارتباطات الکترونیکی و خدمات ارتباطات الکترونیکی که در دسترس عموم هستند» درسالهای آتی نیز اعمال می‌شود. لغو مقررات فعلی امنیت سایبری که برای خدمات و شبکه های مخابراتی عمومی تحت قانون ارتباطات الکترونیکی اروپا – EECC اعمال می شود.

دستورالعمل جدید NIS 2 شامل تعهدات امنیت سایبری بسیار سختی است که همه نهادهای دولتی و خصوصی در یک کشور عضو که فعالیت های فوق را انجام می دهند و خدمات ارائه می دهند باید از آنها پیروی کنند. این اقدامات شامل تجزیه و تحلیل ریسک، رسیدگی به حوادث، امنیت زنجیره تامین، روش های آزمایش ، استفاده از رمزنگاری و رمزگذاری، اطلاع رسانی حوادث سایبری است. نقض چنین تعهداتی ضمانت اجرایی از جمله جریمه های حداقل ۱۰ میلیون یورو یا حداکثر ۲ درصد از کل گردش مالی جهانی سالانه شرکت (هر کدام ازاین دو که بیشتر باشد)را دارد. سایر ضمانت اجراها عبارتند از: تعلیق یک گواهی یا مجوز، ممنوعیت موقت هر فردی که مسئولیت های مدیریتی را به عهده دارد مانند مدیر عامل یا نماینده قانونی او در واحد مربوطه ،هر شخص دیگری که مسئول تخلف باشد. دستورالعمل دیگری در مورد انعطاف پذیری نهادهای حیاتی ازجمله دستورالعمل CER نیز در حال ارائه است که جایگزین دستورالعمل فعلی ECI برای زیرساخت های حیاتی اروپا خواهد شد. هدف دستورالعمل CER تکمیل دستورالعمل NIS 2 در رابطه با امنیت فیزیکی است. همچنین برای «اپراتورهای زیرساخت‌های زمینی، تحت مالکیت، مدیریت و بهره‌برداری توسط کشورهای عضو یا طرف‌های خصوصی، که از ارائه خدمات مبتنی بر فضا، به استثنای ارائه‌دهندگان شبکه‌های ارتباطات الکترونیکی عمومی، حمایت می‌کنند»

با این حال، بر خلاف دستورالعمل NIS 2، تنها نهادهایی که  در این بخش‌ها توسط یکی از کشور های عضو به عنوان یک «موجود حیاتی» شناسایی شده‌اند، مشمول تعهدات هستند. این تعهدات همچنین بسیار سخت است و برای مثال شامل حفاظت فیزیکی ، مدیریت بحران، تامین امنیت کارکنان، اطلاع‌رسانی حادثه، ارزیابی خطرات می‌شود. این دو دستورالعمل پیشنهادی جدید به طور کامل بر بخش فضایی تأثیر می گذارد. حتی اگر در کل زنجیره ارزش فضا اعمال نشود، اما برای اپراتورهای زیرساخت‌های زمینی که از ارائه خدمات مبتنی بر فضا پشتیبانی می‌کنند، و همچنین برای ارائه‌دهندگان خدمات مخابراتی و شبکه عمومی (که شامل ارائه‌دهندگان شبکه‌ها و خدمات satcom است) اعمال می‌شود. هر دو دستورالعمل سوالاتی را مطرح می‌کنند که می‌توانند در نسخه‌های بعدی مورد بحث و بررسی قرار گیرند، مانند:آیا کاربرد آن‌ها فقط برای سهامداران خاصی در بخش فضایی است؟

با توجه به نقش محوری ماهواره ها در سراسر جهان از جمله برای دستیابی به اهداف توسعه پایدار ،نیاز روزافزونی برای محافظت از دارایی های فضایی در برابر تهدیدات سایبری وجود دارد. این ممکن است به یک چارچوب قانونی جاه طلبانه تری نیاز داشته باشد. در نتیجه، کشورها باید رسیدگی به امنیت سایبری برای فعالیت های فضایی را به طور کلی ارزیابی کنند و در قوانین ملی خود (مانند قوانین فضایی) اعمال کنند، به نحوی که به خوبی با دستورالعمل های آینده NIS 2 و CER هماهنگ باشد.

در هر صورت، حتی اگر قوانین فضایی ملی به تعهدات امنیت سایبری توجهی نداشته باشد، اغلب شامل مجموعه ای از تعهدات است که مستلزم انعطاف سایبری است: به عنوان مثال، اکثر قوانین فضایی ملی نیاز به حفاظت از سلامت، ایمنی و محیط زیست می پردازند.و همچنین دراین قوانین اشاره صریح به کاهش زباله های فضایی و اصلاح آن می شود.علاوه بر این، انعطاف‌پذیری سایبری نیز ابزار مهمی برای جلوگیری یا کاهش مسئولیت‌های احتمالی ناشی از فعالیت‌های فضایی است. با این وجود، دستورالعمل‌های NIS 2 و CER تعهدات قابل توجهی را برای ذینفعان فضایی به همراه خواهند داشت. بازیگران فضایی باید برای تغییرات پیش رو آماده شوند.