در یکی از رقابت‌هایی که در زمینه امنیت فضای مجازی صورت گرفته بود، گروهی از دانش آموزان در جریان یک تمرین ساختگی قرار گرفتند. این رقابت که در ابتدا به عنوان یک سرگرمی و ارتقاء اطلاعات دانش‌آموزان برگزار شده بود، کشور آمریکا را به طور ناخواسته وارد یک جنگ سایبری کرد. در این رقابت مواردی را برای انتخاب در اختیار دانش‌آموزان قرار دادند. از جمله این انتخاب‌ها، تعیین افراد دیپلماتیک بود که باید برای حمله سایبری‌ای که از طرف کشور چین صورت گرفته بود پاسخگو می‌بودند. بیشتر دانش‌آموزان موضع بسیار سخت‌گیرانه‌ای را پیشنهاد کرده و در عکس‌العمل به این اتفاق بسیار بی‌رحمانه قضاوت کردند. این موضع با نام "هک کردن متقابل" مشهور شد که انتظار می‌رفت تا نتایج و پیامد‌های بسیار سنگین و جبران‌ناپذاری را برای کشور چین به همراه داشته باشد. این تمرین نشان داد که یک حمله سایبری تا چه اندازه‌ای می‌تواند برای افراد دست‌اندرکار جذاب باشد و تا چه میزانی می‌تواند موجب برانگیخته شدن پتانسیل‌های یک جامعه برای مقابله با آن شود. این نوع فعالیت‌ها بستر بسیار مناسبی برای وقوع رخدادهای پیش‌بینی نشده است.

به عنوان یک مدیر اجرایی در یک شرکت تجارتی امنیتی، می‌خواهم افراد عادی و فعالان تجارت را تشویق کنم تا از خطرات ناشی از حمله‌های سایبری آگاه بوده و برای مقابله با آن آماده باشند. در کشور آمریکا، سازمان فعالیت‌های غیرقانونی و سوء استفاده از فعالیت های افراد و یا گروه‌هایی که قصد ایجاد دسترسی‌های غیر قانونی و یا تخریب سیستم‌های کامپیوتری را دارند وجود دارد. حتی اگر هکرها قصد حمله به رایانه شخصی شما را داشته باشند، آن سازمان از شما حمایت می‌کند. اما قوانین کنگره تغییراتی در سیاست‌های مربوط به جرایم رایانه‌ای ایجاد کرد و به صاحبان تجارت‌های کوچک و شخصی اجازه داد تا به هکرهایی که به سیستم‌های آن‌ها حمله می‌کنند حمله کرده و آن‌ها را مورد تهاجم رایانه‌ای قرار دهند. ایده‌ای که در پیشنهاد اعطای قدرت به افراد وجود دارد، این است که آن‌ها بصورت آنلاین از خود دفاع ‌کنند، آن‌ها به صورت قانونی نیز اقتدار و اجازه مقابله با حملات سایبری را از طرف سازمان‌های مربوطه دریافت کرده‌اند. اما به نظر می‌رسد که چنین سیاستی بیش از آن که نتایج مثبتی را به ایجاد کند، پیامدهای منفی را به همراه داشته باشد.

نقاط ضعف در سیستم دفاعی شرکت‌ها و یا سازمان‌ها

همان اصولی که به صاحبان رایانه‌های شخصی اجازه می‌دهد تا در برابر متجازان به حریم شخصی از خودشان دفاع کنند، حتی درصورتی که این کار باعث آسیب به متهاجمان شود، ممکن است در برخی از موارد به نفع متهاجمان نیز عمل کند. اما حقیقت مسئله این است که شما از خانه شخصی خود به دشمنی که هرگز او را نمی‌بینید حمله می‌کنید و در بیشتر موارد او صحنه جرم را بدون هیچ آسیبی ترک می‌کند. حتی درصورتی که شما برای آسیب زدن به متهاجمان برنامه‌ریزی کرده باشید، ممکن است در این بین به افراد بی‌گناه دیگر نیز خساراتی را وارد کنید. در هک کردن تدافعی، امکان اینکه مطمئن شوید فرد و یا گروه خاصی را مورد آسیب قرار می‌دهید و یا اینکه قطعا به افراد خاصی آسیب می‌رسانید به هیچ عنوان 100 درصد نیست و همواره ممکن است به افراد دیگری نیز آسیب رسانید. علاوه ‌بر آن، شبکه اینترنت برای ایجاد ارتباط و تعامل بین سیستم‌های هدف طراحی شده است، فناوری‌های ایجاد شده موجب شده‌اند تا تعامل بین افراد و سیستم‌های رایانه‌ای روز به روز بیشتر شود و همین امر بر پیچیدگی و گستردگی این کار اضافه می‌کند.  

تشخیص هویت و شناسایی افرادی که به شما حمله می‌کنند بسیار دشوار است. چالش بعدی و البته دشوار دیگر در حملات سایبری این است که حتی برای افرادی که پس از سال‌ها به جرم مرتکب شدن به حملات سایبری دستگیر می‌شوند، امکان تشخیص جرم و این که دقیقا به چه افراد و یا سازمان‌هایی حمله کرده‌اند وجود نخواهد داشت. هکرها همواره در حال ارتقاء سیستم‌ها و فناوری‌های مورد استفاده خود هستند، آن‌ها تکنیک‌ها و روش‌های ورود به سیستم‌های دیگر را نیز تغییر می‌دهند و این کار را به این دلیل انجام می‌دهند که می‌خواهند همواره یک قدم جلوتر از دیگران باشند. آن‌ها از نظر قانونی نیز اطلاعات بیشتری نسبت به افراد دیگر دارند. برخی از اوقات این افراد از تکنیک‌های گمراه‌کننده‌ای استفاده می‌کنند که نشانه‌هایی را ایجاد می‌کند. این نشانه‌ها مبانی قانونی را به سمت دیگر مجرمان رایانه‌ای منحرف می‌کند و به آن‌ها فرصت می‌دهد تا از صحنه جرم فرار کنند. هکرها برای رفع اتهام و یا متهم کردن گرو‌ها و سازمان‌های دیگر تمام تکینیک‌های لازم را بکار می‌گیرند.

این مسئله حتی زمانی که شما از دستگاه‌ها و ابزارهای عملکردی همانند ابزارهایی برای جلوگیری از بکارگیری غیر قانونی از چند سیستم رایانه‌ای برای ارسال پیام‌های ناشناس استفاده می‌کنند نیز صدق می‌کند و از همین راه برای حمله به چند سیستم رایانه‌ای بهره‌ می‌برند. این ابزارهای آلوده‌کننده و صاحبان آن‌ها نیز همانند اهداف خود در معرض هک شدن توسط افراد و یا سازمان‌های دیگر قرار می‌گیرند و در برخی از موارد از این تهاجمات آسیب می‌بینند. در برخی از اوقات حتی سازمان‌های دولتی که ابعاد عملکردی بسیار گسترده‌ و برنامه‌های هوشمندانه بسیار پیچیده‌ای را در اختیار دارند نیز نیازمند همکاری و مشارکت در امور مربوط به هک کردن هکر‌های دیگر را احساس می‌کنند. آن‌ها نیز باید زمان بسیار زیادی را صرف کرده و مبالغ بسیار هنگفتی را در این زمینه سرمایه‌گذاری کنند. شرکت‌های خصوصی چنین منابع مالی را در اختیار ندارند در نتیجه نمی‌توانند خود را در مقابل این تهاجمات محافظت کنند.

تخطی از قانون با سیاست بسیار دقیق

در زمان ظهور حملات سایبری، حتی زمانی که حمله کنندگان نیز شناسایی شده بودند، قضاوت در مورد انگیزه واقعی این افراد برای انجام این امور و تعیین عکس‌العمل مناسب برای کار آن‌ها بسیار دشوار بود. تمرین دانش‌آموزان در مسابقه سایبری و کسانی را که در انتهای کار وارد جنگ سایبری شده بودند را در نظر بگیرید، آ‌ن‌ها فکر می‌کردند که فعالیت‌هایشان بسیار متناسب و معقول است درصورتی که شرایط تغییر کرد و کنترل شرایط به سرعت از دست آن‌ها خارج شد.

گاهی از اوقات نیاز به داشتن اطلاعات به عنوان عاملی برای جر و بحث درباره هک کردن حمله کنندگان صورت می‌پذیرد. جر و بحث بر سر این موضوع است که برای هک کردن متقابل باید از افرادی با ضریب هوشی بسیار بالا استفاده شود. اگرچه، گردهم آوری افرادی با استعداد و باهوش به منظور مقابله با حملات سایبری و دیجیتال کار چندان آسانی نیست. تعدادی از جلسات برای گرد‌هم آوری سازمان‌های دولتی برای مقابله با حملات سایبری تشکیل شده است. برای مثال، سازمان‌هایی هستند از فاکتورهای بسیار جذاب برای شبکه‌های رایانه‌ای خود استفاده می‌کنند تا بدین وسیله با جذب هکرها، اطلاعاتی از آن‌ها و روش‌هایی که به کار می‌برند به دست آوردند.

اصولا قوانینی که برای دفع و یا مقابله با حملات سایبری وضع شده است، همانند عواملی برای شروع حملات سایبری عمل می‌کنند. اگر هک‌ کردن افرادی که به سازمان و یا شرکت شما حمله می‌کنند به صورت کاملا قانونی باشد و شرکت‌های خصوصی ابزار و امکانات آن را در اختیار خود داشته باشند پدیده‌ جدیدی بوجود می‌آید. این موضوع می‌تواند به یک پتانسیل بالفعل تبدیل شود و علاوه بر نگرانی سازمان‌های مربوطه برای وضع قوانین مناسب برای این کار، باعث ایجاد فرصت‌ها و موقعیت‌های جدیدی برای برخی از شرکت‌ها به منظور سوء استفاده گردد.

فشار و استرس جدیدی که بر روی شرکت‌های نوپا وجود دارد

به روشنی مشخص است که هک کردن مهاجمان به یک شرکت یا سازمان به استخدام افراد بسیار خبره، ماهر و با مهارت‌های بسیار خاص نیازمند است. استخدام این افراد به سرمایه‌گذاری‌های پرهزینه نیاز دارد. زمانی که هک کردن متقابل توسط یک سازمان دولتی مورد تایید قرار بگیرد و در یک چهارچوب مشخص تعریف شود این روند به یک شیوه و روش قانونی بسیار سخت‌گیرانه تبدیل می‌گردد و در این صورت آن آزادی عملی که شرکت‌ها در مقابل مهاجمان و هکرهای دیگر دارند از میان خواهد رفت. موضوعی که باعث نگرانی من می‌شود این است که بسیاری از شرکت‌ها بدون داشتن زیرساخت‌ها و امکانات لازم، برای فعالیت در این زمینه وارد ‌می‌شوند و سرمایه‌گذاری می‌کنند. این شرایط همانند سرمایه‌گذاری بر روی یک پروژه بی‌بازده و حتی زیان‌آور است.

امروزه بیشتر سازمان‌ها و شرکت‌ها از پتانسیل‌ها و ظرفیت‌های دورن سازمانی برای حفاظت خود در برابر تهاجمات سایبری بهره می‌برند. هک کردن متهاجمان، از جمله اهداف دست نیافتنی برای آن‌ها به شمار می‌آید. درصورتی که هک کردن متهاجمان به صورت قانونی در بیاید، شرکت‌ها و سازمان‌ها بیشتر در معرض خطر قرار خواهند گرفت. هکرهایی که از این راه کسب درآمد می‌کنند از حمله به شرکت‌هایی که احتمال پاسخ و عکس‌العمل را از جانب آن‌ها احساس می‌کنند امتناع کرده و به شرکت‌هایی با توان مالی پایین که توانایی و امکان مجهز شدن در برابر حملات سایبری را ندارند روی می‌آوردند.

مشکلات قانونی در دنیای بدون قانون

تا زمانی که دسترسی به فضای مجازی و اینترنت از سرتاسر دنیا امکان پذیر شده است، هر کشوری قوانین مربوط به خود را برای کنترل سوء استفاده از این پدیده وضع کرده است و انتظار می‌رود تا مردم هر کشوری از این قوانین پیروی کنند. افراد و یا سازمان‌هایی که در برابر هکرها مقابله به مثل می‌کنند باید بدانند که ممکن است این هکرها از کشورهای دیگری به سیستم رایانه‌ای آن‌ها وارد شده‌ باشند و شاید قوانین مربوط به جرایم رایانه‌ای در آن شرکت تفاوت بسیار زیادی با کشور مبداء داشته باشد. در نتیجه ممکن است مقابله با هکرها آن‌ها را با چالش‌ها و مشکلات قانونی بسیار زیاد و با ابعاد بین‌المللی روبرو کند.

زمانی که دولت‌ها برای مقابله با هکرهای بین‌المللی اقدام می‌کنند، این فعالیت‌ها در چهارچوب قوانین بین‌المللی اتفاق می‌افتد و نظارت‌های قانونی مناسبی بر روی آن وجود دارد. آن‌ها باید برای استناد قانونی به فعالیت‌های انجام شده از قوانین و تبصره‌های مورد قبول برای عموم استفاده کنند. این موارد به فاکتورهایی اشاره می‌کنند که در پیگیری تهاجمات سایبری باید مورد توجه قرار گرفته و رعایت شوند. با توجه به این نکات می‌توان تصمیم گرفت که کدام یک از موارد باید پیگیری شده و کدامیک از موارد موجب درگیری‌های بین‌المللی خواهند شد و عواقب جبران‌ناپذیری را به همراه خواهند داشت. هر اقدامی که برای مقابله با هکرها انجام می‌گیرد به نظارت دولتی نیاز دارد. این نظارت برای جلوگیری از سوء استفاده سازمان‌ها و شرکت‌های کوچک و به حداقل رساندن آسیب‌های ناخواسته لازم و ضروری است.   

برای مثال، چه اتفاقی می‌افتد اگر یک شرکت یا سازمان، شرکت دیگری را هک کرده و در مقابل آن‌ سازمان یا شرکت برای مقابله به شرکت سومی که بیگناه است آسیب برساند. شرکت‌ها می‌توانند متحمل هزینه‌‌های اقدامات قانونی، خسارات مداوم، و پیامد‌های از دست رفتن اعتماد خود باشند. اگر قوانین دولتی، سازما‌ن‌ها و شرکت‌ها را از به عهده گرفتن این تعهدات معاف کنند، روند مقابله با هکرها چه در داخل کشور و چه خارج از آن با مشکلات بسیار زیادی روبرو خواهد شد. ما به چه نحوی می‌توانیم سوء استفاده‌های تصادفی و یا عمدی را در سیستم‌های خود شناسایی کرده و از وقوع چنین مسائلی جلوگیری کنیم. اقتدار و حق قانونی در هک کردن متقابل برای شرکت‌ها و سازمان‌ها به زیرساخت‌های بسیار پیچیده و توانایی آن‌ها در پیش‌بینی مسائل پیش رو نیازمند است. چه کسی می‌تواند چنین سیستم پیچیده‌ای را پیاده‌سازی کند؟ این سیستم به چه نحوی تامین مالی خواهد شد؟ این مسائل کاملا غیر عملی و پرهزینه به نظر می‌رسد.

شرکت‌هایی که در تهاجمات سایبری کاملا بی‌دفاع می‌مانند و هیچ کاری انجام نمی‌دهند، خود مقصر ضرر و زیانی هستند که به آن‌ها وارد می‌شود. این حملات می‌توانند کارخانجات را از کار انداخته و موجب تاخیر در فعالیت‌های بیمارستان‌ها و مراکز عمومی و یا این که می‌توانند عاملی برای ممانعت از تولید یک محصول خاص با کارایی ویژه گردند. روش‌های تخلف در امور بانکی و به سرقت بردن حساب کاربری افراد تا اموری مانند سپردن وثیقه برای آزادی افراد و در معرض خطر بودن وسایل و دستگاه‌های پزشکی، ابزارهای الکترونیک، و تمامی بخش‌های سیستم‌های قدرت از جمله مواردی هستند که در برابر هکرها آسیب‌پذیرند. هیچ کس تمایل ندارد تا احساس کند که در حال از دست دادن منابع و داده‌های خود در طی یک جنگ مخفی سایبری است و از طرفی هیچ گونه امیدی برای مقابله به مثل و پیروزی وجود ندارد. این ناامیدی در ماورای ذهن صاحبان شرکت‌ها و سازمان‌ها به ضرورت آمادگی برای مقابله با حملات سایبری اشاره می‌کند.

معمولا هزینه‌هایی که در اشتباهات و نتایج ناخواسته هک کردن هکرهای مهاجم وجود دارد، مانع بسیار بزرگی بر سر راه صاحبان شرکت‌ها و سازمان‌های قربانی است. به جای این کار شرکت‌های قربانی باید با یکدیگر همکاری داشته باشند و همگی مسئولیت چنین حملاتی را به عهده بگیرند. آن‌ها باید برای یافتن راه حل برای این مشکل گردهم آیند. چنین شیوه‌ای بسیار بهتر از تلاش برای پیروی از اصول و قوانین دولتی برای مقابله با حملات سایبری است. البته این کار نیز خطرات و منافع نسبی مختص خود را به همراه دارد. این موارد به خصوص برای دانشجویان همانند گرفتار شدن در رقابتی است که ممکن است در نهایت با نتایج بسیار خطرناک و جبران ناپذیری ختم شود. این همان کاری است که صاحبان تجارت و فعالان این زمینه در دنیای واقعی انجام می‌دهند.

منبع

hbr.org