آیا دستورالعمل NIS2 در مورد امنیت سایبری کافی خواهد بود؟


شورای اروپا و پارلمان اوایل ماه جاری بر سر دستورالعملی به نام دستورالعمل امنیت اطلاعات شبکه (NIS2) به توافق رسیدند. به گفته یک منبع اتحادیه اروپا، انتظار می رود طی چند هفته آینده تصویب رسمی شود و ریاست جمهوری فرانسه “خوشبین” است که پیش نویس نهایی قبل از پایان دوره آن آماده خواهد شد.

دستورالعمل جدید امنیت سایبری بخش مراقبت های بهداشتی را به طور گسترده تر از قانون قبلی پوشش می دهد. این شامل سازندگان دستگاه‌های پزشکی می‌شود و «تهدیدات امنیتی فزاینده‌ای که در طول همه‌گیری COVID-19 به وجود آمدند» را تأیید می‌کند. در متن توافق شده موقت، سازمان هایی که رعایت نمی کنند ممکن است جریمه شود حداکثر دو درصد از درآمد سالانه یا تا سقف 10 میلیون یورو.

همکاری بیشتر به معنای ریسک بیشتر است

اما محققان در حال حاضر ابراز نگرانی کرد در مورد پتانسیل این دستورالعمل برای همپوشانی با سایر قوانین، مانند دستگاه های پزشکی حاکم و الزامات مربوط به گزارش حوادث جدی. محققان حقوقی می گویند که این می تواند عدم اطمینان ایجاد کند. علاوه بر این، تنش های گسترده تری وجود دارد که بر سیاست امنیت سایبری اتحادیه اروپا تأثیر می گذارد. برخی از کارشناسان اشاره کرد که مسئولیت ها به طرز عجیبی بین کشورهای عضو و اتحادیه اروپا تقسیم شده است. دیگران نگران باشید که که نگرانی های سایبری به اندازه کافی با توسعه سیاست ادغام نشده اند.

رابرت کریمر استاد مدیریت الکترونیک در دانشگاه تارتو در استونی است، جایی که تحقیقات او بر تحول دیجیتال، خدمات فرامرزی و توسعه جامعه دیجیتال متمرکز است. او می‌گوید که وقتی صحبت از امنیت سایبری می‌شود، یک رویکرد هماهنگ فراتر از مرزها حیاتی است، به‌ویژه وقتی شهروندان درگیر هستند.

او گفت: «این دستورالعمل می تواند کمک کند اخبار فناوری اطلاعات بهداشت و درمان. “اما واقعا [this is] جایی که همکاری بین کشورهای عضو باید تقویت شود.»

او گفت: «اکنون می بینیم که شما می توانید نسخه خود را از فنلاند به کرواسی، به استونی و بالعکس ببرید.» ” او گفت.

کریمر افزود که فضای داده های سلامت اروپا و سایر برنامه های دیجیتالی شدن خطر را افزایش می دهند. “منطقی است. هر چه بیشتر یک سرویس اروپایی بسازید، هر چه بیشتر یک پلتفرم اروپایی بسازید، بیشتر مورد حمله قرار خواهید گرفت.»

درس های آموخته شده در استونی

استونی به عنوان پیشرو در سیستم‌های دیجیتال، درس‌های کلیدی در مورد حملات سایبری آموخته است، گاهی اوقات راه سختی است. در سال 2007، ایالت مورد حمله انکار خدمات قرار گرفت که خدمات الکترونیکی از جمله سلامت را فلج کرد. کریمر به یاد می آورد: «دیگر هیچ چیز کار نمی کرد. “شما نمی توانستید به جیمیل خود دسترسی پیدا کنید، نمی توانید به هیچ وب سایت عمومی دسترسی داشته باشید. شما نمی توانید به هیچ سلامت الکترونیکی دسترسی پیدا کنید.

این تجربه – همراه با یک نقص در کارت‌های شناسایی الکترونیکی در سال 2017 – در کشف راه‌های خروج از یک بحران مؤثر بود. امروزه ادارات دولتی با پشتیبانی آژانس دولتی IT که به عنوان یک مرکز دانش برای امنیت عمل می کند، همکاری می کنند. کریمر گفت: “آنها همچنین تمرین هایی را ترتیب می دهند که واقعاً کلیدی هستند، به طوری که بازیکنان در لحظه بحران بدانند چگونه ارتباط برقرار کنند، چگونه همکاری کنند – و واقعاً مرزهای سازمانی را نیز کمی فراموش کرده و مشکل را حل کنند.”

و با توجه به اینکه بسیاری از پروژه های دیجیتال اتحادیه اروپا در مراحل اولیه خود هستند، امنیت سایبری اغلب نادیده گرفته می شود. من می‌توانم بگویم در حال حاضر اتحادیه اروپا آنقدر روی تحقق این امر متمرکز است که امنیت سایبری به وضوح در رتبه دوم قرار می‌گیرد.»

کریمر گفت، دستورالعمل NIS2 “نقطه شروع روشنی است زیرا اولین قانون اتحادیه اروپا در مورد امنیت سایبری است.” اما امنیت سایبری باید در جریان اصلی باشد. واضح است که امنیت سایبری تنها زمانی می‌تواند کارساز باشد که هر بازیگری متوجه شود که سهم خود را در ایجاد امنیت دارد» و او گفت: «اگر روی پیوند اشتباهی کلیک کنم، ممکن است کل سازمانم را خراب کنم.»

در کنفرانس و نمایشگاه بهداشت اروپا 2022 HIMSS (14 تا 16 ژوئن 2022) در مورد نحوه محافظت سازمان های مراقبت های بهداشتی از سیستم های اطلاعاتی در برابر تهدیدات سایبری بیشتر بیاموزید..