امنیت فناوری اطلاعات

مقاله ([{{fullurl:{{{1}}}|action=edit}} ویرایش] | [[|بحث]] | [{{fullurl:{{{1}}}|action=history}} تاریخچه] | [{{fullurl:{{{1}}}|action=protect}} حفاظت] | [{{fullurl:{{{1}}}|action=delete}} حذف] | [{{fullurl:Special:Whatlinkshere/{{{1}}}|limit=999}} پیوندها] | [{{fullurl:{{{1}}}|action=watch}} پی‌گیری] | سیاهه‌ها | مشاهده‌ها)

امنیت فناوری اطلاعات به بررسی نقش سیاست‌های دولتی در تأمین امنیت اطلاعات می‌پردازد. در این مقاله، نقش کشورها در ارتقای سطح امنیت اطلاعات تحلیل شده و نمونه‌هایی از کشورهایی که به‌دلیل ضعف در این حوزه دچار خسارت شده‌اند و سپس اقدام به تقویت زیرساخت‌های امنیتی خود کرده‌اند، مورد بررسی قرار گرفته‌است. همچنین، اقدامات انجام‌شده در راستای تدوین استراتژی ملی امنیت سایبری و تشکیل نهادهای مرتبط با این حوزه تشریح می‌شود. در ادامه، قوانین مربوط به جرائم و تخلفات مرتبط با امنیت فناوری اطلاعات معرفی می‌گردد. در بخش پایانی مقاله نیز به اقدامات بین‌المللی و همکاری‌های جهانی در زمینهٔ تأمین امنیت اطلاعات پرداخته شده‌است.

مشابه بسیاری از حوزه‌های اثرگذار در فضای اینترنت، سیاست‌های دولتی نیز در امنیت فناوری اطلاعات نقش تعیین‌کننده‌ای دارند. امنیت اطلاعات به معنای فراهم‌کردن دسترسی برای افراد مجاز و جلوگیری از نفوذ یا دسترسی غیرمجاز است. با این حال، اظهار نظر در این زمینه نیازمند دقت و احتیاط است؛ زیرا هرچند تدوین یک چارچوب سیاست‌گذاری کلی می‌تواند به تقویت امنیت اطلاعات کمک کند، مقررات نادرست یا سخت‌گیرانه ممکن است مانع واکنش سریع و مؤثر به تهدیدات سایبری شوند.

از آن‌جا که فناوری با سرعتی چشمگیر در حال تحول است و تهدیدات سایبری نیز با همان سرعت پدید می‌آیند، مقررات دولتی در صورت ناهماهنگی با این تغییرات می‌توانند خود به مانعی در برابر اقدام مؤثر تبدیل شوند. ازاین‌رو، یافتن تعادلی میان اقدامات قانونی و رویکردهای غیرتقنینی ضرورتی اساسی دارد. برای رسیدن به این تعادل، سیاست‌گذاران باید به ویژگی‌های منحصربه‌فرد اینترنت توجه کنند. برخلاف فناوری‌های اطلاعاتی سنتی، فضای سایبری ساختاری غیرمتمرکز دارد و قدرت و کارایی آن بیشتر در مرزهای شبکه شکل می‌گیرد تا در مرکز آن.

در بسیاری از کشورها، بخش عمده‌ای از شبکه‌های ارتباطی و زیرساخت‌های حیاتی تحت مالکیت و مدیریت بخش خصوصی قرار دارند؛ بنابراین، بخش قابل توجهی از مسئولیت حفظ امنیت اطلاعات نیز بر دوش همین بخش است. با این حال، مسئولیت نهایی تأمین امنیت سایبری میان دولت و بخش خصوصی تقسیم می‌شود، و همکاری مؤثر میان این دو برای حفظ ایمنی و تاب‌آوری زیرساخت‌های دیجیتال ضروری است.

برای توسعهٔ استراتژی کاهش مخاطره در زیرساخت‌های اطلاعات حساس، باید اصول زیر را مدنظر قرار داد:

• کشورها باید دارای شبکه‌های هشداردهندهٔ اضطراری برای مقابله با تهدیدات و حوادث دنیای سایبری باشند.
• کشورها باید سطح دانش و آگاهی عمومی را ارتقا دهند تا به درک افراد از ماهیت و گسترهٔ زیرساخت‌های اطلاعات حساس کمک شود.
• کشورها باید مشارکت میان بخش عمومی و خصوصی را افزایش دهند، اطلاعات زیرساختی مهم را تجزیه‌وتحلیل کرده و به اشتراک بگذارند.
• کشورها باید اطمینان حاصل کنند که سیاست‌های مرتبط با دسترسی به داده‌ها، امنیت زیرساخت‌های اطلاعات حساس را نیز در نظر گرفته‌اند.
• کشورها باید از وجود قوانین مناسب و روال‌های قابل‌قبول برای مقابله با مشکلات امنیتی اطمینان یابند و این سیاست‌ها را با سایر کشورها تطبیق دهند.
• کشورها باید در زمان مناسب در همکاری‌های بین‌المللی شرکت کنند تا زیرساخت‌های مهم اطلاعاتی خود را ایمن سازند.
• کشورها باید تحقیق و توسعهٔ ملی و بین‌المللی را افزایش دهند و بر اساس استانداردهای جهانی، مشوق به‌کارگیری فناوری‌های امنیتی باشند.
• کشورها باید برای افزایش قابلیت واکنش، آموزش‌ها و تمریناتی برگزار کنند و برنامه‌های خود را برای مقابله با پیشامدهای احتمالی مورد ارزیابی قرار دهند.

طبق تخمین شرکت اینترنت دیتا، حدود ۵۷٪ از نفوذهای سایبری علیه صنایع سرمایه‌گذاری صورت گرفته‌است. این آمار نشان‌دهندهٔ آسیب‌پذیری بالای بخش خدمات مالی در برابر تهدیدات سایبری است. علاوه بر این، با پیچیده‌تر شدن روش‌های نفوذ، سطح مهارت فنی نفوذگران کاهش یافته‌است؛ زیرا تکه‌برنامه‌های خرابکارانه به‌صورت آماده برای دانلود و استفاده در دسترس عموم قرار دارند.

نمایندگان ادارهٔ مالی هنگ‌کنگ با مروری بر سه مورد کلاهبرداری سایبری بحث خود را آغاز کردند:

• در نخستین مورد، نفوذگری با استفاده از یک تراوا اقدام به سرقت تعدادی رمز عبور و شناسه کرد و توانست بیش از ۳۵٬۰۰۰ دلار آمریکا را به‌صورت غیرمجاز جابه‌جا کند.
• در دومین مورد، به‌دلیل ضعف آگاهی مشتری در زمینهٔ امنیت رمز عبور در سیستم پرداخت الکترونیکی، نفوذگران موفق شدند وارد سیستم شوند و سه میلیون دلار به سرقت ببرند.
• در سومین مورد، نفوذگران در یک کلاهبرداری اینترنتی توانستند حدود پنج میلیون سهم به ارزش ۲۱٫۷ میلیون دلار را به فروش رسانده و موجب نوسان شدید در قیمت سهام شوند.

با پدید آمدن فناوری‌های سیار، دستاوردها و مخاطرات جدیدی به وجود آمده‌است. فناوری‌های بی‌سیم با سرعتی معادل سه برابر سرعت خطوط زمینی در حال رشد هستند. این فناوری نیز مانند سایر فناوری‌های ارتباطی در برابر تکه‌بدافزارهایی مانند تراواها، ویروس‌ها و حملات تخریب سرویس آسیب‌پذیر است. معمولاً اتصال بی‌سیم ضعیف‌ترین حلقهٔ زنجیرهٔ امنیتی محسوب می‌شود؛ اما با چند اقدام ساده می‌توان سطح حفاظت را افزایش داد:

• فعال‌سازی رمز عبور هنگام راه‌اندازی؛
• نصب نرم‌افزار ضدویروس؛
• استفاده از دیوارهٔ آتش شخصی با قابلیت رمزگذاری؛
• نگهداری ایمن تجهیزات؛
• محافظت از نرم‌افزارهای کاربردی با رمز عبور.

تمهید ساختار ملی برای مسئلهٔ امنیت رایانه‌ای، دولت‌ها را با چالش‌های سازمانی از جمله نحوهٔ رهبری این ساختار مواجه می‌سازد. برای تعیین مسئولیت‌ها در سطح دولت، ابتدا باید به این پرسش پاسخ داد که آیا از منظر اقتصادی یا امنیت ملی، امنیت رایانه‌ای یک مسئلهٔ قابل‌اهمیت محسوب می‌شود؟

• کانادا اعتبارات قابل‌توجهی برای امنیت سایبری به وزارت دفاع خود اختصاص داده‌است.
• بریتانیا اجرای قوانین را از طریق ادارهٔ اقامت پیگیری می‌کند.
• ایالات متحده موضوع را در بخش امنیت داخلی قرار داده، اما مسئولیت امنیت رایانه‌ای را به مؤسسه استاندارد و فناوری واگذار کرده‌است.
• استرالیا یک گروه همکاری امنیت الکترونیکی ایجاد کرده‌است.
• ایتالیا کمیته‌ای داخلی وزارتی برای استفادهٔ مسئولانه از اینترنت تشکیل داده‌است.
• ژاپن گروهی در کابینه برای رسیدگی به مسئلهٔ امنیت فناوری اطلاعات تشکیل داد تا معیارها و سیاست‌ها را میان سازمان‌ها هماهنگ کند.

ایالات متحده گسترده‌ترین فرایند تهیهٔ استراتژی‌های ملی امنیت سایبر را تجربه کرده‌است. این روند معمولاً شامل چهار فاز است:

1. ارزیابی آسیب‌پذیری‌ها و افزایش آگاهی عمومی؛
2. ایجاد ساختارهای همکاری اجرایی؛
3. تدوین استراتژی‌ها با مشارکت بخش خصوصی؛
4. تصویب قوانین و خط‌مشی‌های امنیتی.

برای ایجاد یک مجموعهٔ هماهنگ از استراتژی‌های امنیت سایبر در سطح ملی، منطقه‌ای و بین‌المللی، باید به موارد زیر توجه شود:

یکی از روش‌هایی که دولت می‌تواند از طریق آن از سیستم‌های بخش خصوصی پشتیبانی کند، تدوین و اجرای قانون جرائم سایبری است.

یک دولت، علاوه بر تأمین امنیت منابع اطلاعاتی خود، باید مجموعه‌ای از سیاست‌ها را برای ایمن‌سازی اطلاعات زیرساختی ملی تدوین کند. این سیاست‌ها نقش مهمی در ارتقای امنیت فناوری اطلاعات دارند. فناوری با سرعتی چشمگیر در حال تحول است و تهدیدات رایانه‌ای جدید نیز در نتیجهٔ همین تغییرات پدید می‌آیند. در چنین شرایطی، قوانین دولتی می‌توانند ابزاری مؤثر برای شناسایی و تعقیب جنایتکاران سایبری و جلوگیری از گسترش شیوه‌های نوین خلاف‌کاری باشند.

1. ↑ «افزونه‌های مرورگر به داده‌های حساس سازمانی دسترسی دارند». زوم‌تک، ۲۰۲۴-۱۲-۱۲.

• «Cybersecurity Cooperation – Archived Documents». Cybersecurity Cooperation. دریافت‌شده در ۲۰۲۴-۱۲-۱۲.
• Simson Garfinkel؛ Gene Spafford؛ Alan Schwartz (۲۰۰۳). Practical Unix and Internet Security (ویراست سوم). O'Reilly and Associates.
• George Sadowsky، James X.، Alan Greenberg، Alan Schwartz (۲۰۰۳). Information Technology Security. infoDev، بانک جهانی.

مقالهٔ حاضر با عنوان امنیت فناوری اطلاعات به بررسی نقش سیاست‌های دولتی در تأمین امنیت اطلاعات می‌پردازد. در این پژوهش، نقش کشورها در ارتقای سطح امنیت اطلاعات تحلیل شده و نمونه‌هایی از کشورهایی که به‌دلیل ضعف در این حوزه دچار خسارت شده‌اند و سپس اقدام به تقویت زیرساخت‌های امنیتی خود کرده‌اند، مورد بررسی قرار گرفته‌است.

همچنین، اقدامات انجام‌شده در راستای تدوین استراتژی ملی امنیت سایبری و تشکیل نهادهای مرتبط با این حوزه تشریح می‌شود. در ادامه، قوانین مربوط به جرائم و تخلفات مرتبط با امنیت فناوری اطلاعات معرفی می‌گردد. در بخش پایانی مقاله نیز به اقدامات بین‌المللی و همکاری‌های جهانی در زمینهٔ تأمین امنیت اطلاعات پرداخته شده‌است.

مشابه بسیاری از حوزه‌های اثرگذار در فضای اینترنت، سیاست‌های دولتی نیز در امنیت فناوری اطلاعات نقش تعیین‌کننده‌ای دارند. امنیت اطلاعات به معنای فراهم‌کردن دسترسی برای افراد مجاز و جلوگیری از نفوذ یا دسترسی غیرمجاز است. با این حال، اظهار نظر در این زمینه نیازمند دقت و احتیاط است؛ زیرا هرچند تدوین یک چارچوب سیاست‌گذاری کلی می‌تواند به تقویت امنیت اطلاعات کمک کند، مقررات نادرست یا سخت‌گیرانه ممکن است مانع واکنش سریع و مؤثر به تهدیدات سایبری شوند.

از آن‌جا که فناوری با سرعتی چشمگیر در حال تحول است و تهدیدات سایبری نیز با همان سرعت پدید می‌آیند، مقررات دولتی در صورت ناهماهنگی با این تغییرات می‌توانند خود به مانعی در برابر اقدام مؤثر تبدیل شوند. ازاین‌رو، یافتن تعادلی میان اقدامات قانونی و رویکردهای غیرتقنینی ضرورتی اساسی دارد. برای رسیدن به این تعادل، سیاست‌گذاران باید به ویژگی‌های منحصربه‌فرد اینترنت توجه کنند. برخلاف فناوری‌های اطلاعاتی سنتی، فضای سایبری ساختاری غیرمتمرکز دارد و قدرت و کارایی آن بیشتر در مرزهای شبکه شکل می‌گیرد تا در مرکز آن.

در بسیاری از کشورها، بخش عمده‌ای از شبکه‌های ارتباطی و زیرساخت‌های حیاتی تحت مالکیت و مدیریت بخش خصوصی قرار دارند؛ بنابراین، بخش قابل توجهی از مسئولیت حفظ امنیت اطلاعات نیز بر دوش همین بخش است. با این حال، مسئولیت نهایی تأمین امنیت سایبری میان دولت و بخش خصوصی تقسیم می‌شود، و همکاری مؤثر میان این دو برای حفظ ایمنی و تاب‌آوری زیرساخت‌های دیجیتال ضروری است.

برای توسعهٔ استراتژی کاهش مخاطره در زیرساخت‌های اطلاعات حساس، باید اصول زیر را مدنظر قرار داد:

• کشورها باید دارای شبکه‌های هشداردهندهٔ اضطراری برای مقابله با تهدیدات و حوادث دنیای سایبری باشند.

• کشورها باید سطح دانش و آگاهی عمومی را ارتقا دهند تا به درک افراد از ماهیت و گسترهٔ زیرساخت‌های اطلاعات حساس خود کمک شود.

• کشورها باید مشارکت میان بخش عمومی و خصوصی را افزایش دهند، اطلاعات زیرساختی مهم را تجزیه‌وتحلیل کرده و به اشتراک بگذارند.

• کشورها باید اطمینان حاصل کنند که سیاست‌های مرتبط با دسترسی به داده‌ها، امنیت زیرساخت‌های اطلاعات حساس را نیز در نظر گرفته‌اند.

• کشورها باید از وجود قوانین مناسب و روال‌های قابل‌قبول برای مقابله با مشکلات امنیتی اطمینان یابند و این سیاست‌ها را با سایر کشورها تطبیق دهند.

• کشورها باید در زمان مناسب در همکاری‌های بین‌المللی شرکت کنند تا زیرساخت‌های مهم اطلاعاتی خود را ایمن سازند.

• کشورها باید تحقیق و توسعهٔ ملی و بین‌المللی را افزایش دهند و بر اساس استانداردهای جهانی، مشوق به‌کارگیری فناوری‌های امنیتی باشند.

• کشورها باید برای افزایش قابلیت واکنش، آموزش‌ها و تمریناتی برگزار کنند و برنامه‌های خود را برای مقابله با پیشامدهای احتمالی مورد ارزیابی قرار دهند.

طبق تخمین شرکت اینترنت دیتا، حدود ۵۷٪ از نفوذهای سایبری علیه صنایع سرمایه‌گذاری صورت گرفته‌است. این آمار نشان‌دهندهٔ آسیب‌پذیری بالای بخش خدمات مالی در برابر تهدیدات سایبری است.

علاوه بر این، با پیچیده‌تر شدن روش‌های نفوذ، سطح مهارت فنی نفوذگران کاهش یافته‌است؛ زیرا تکه‌برنامه‌های خرابکارانه به‌صورت آماده برای دانلود و استفاده در دسترس عموم قرار دارند. حتی افرادی که دانش چندان عمیقی ندارند، با بهره‌گیری از این ابزارها می‌توانند اقدام به نفوذهای بزرگ و مؤثر کنند.

با پدید آمدن فناوری‌های سیار، دستاوردها و مخاطرات جدیدی به وجود آمده‌است. فناوری‌های بی‌سیم با سرعتی معادل سه برابر سرعت خطوط زمینی در حال رشد هستند. این فناوری نیز مانند سایر فناوری‌های ارتباطی در برابر تکه‌بدافزارهایی مانند تراواها، ویروسها و حملات تخریب سرویس آسیب‌پذیر است. معمولاً اتصال بی‌سیم ضعیف‌ترین حلقهٔ زنجیرهٔ امنیتی محسوب می‌شود؛ اما با چند اقدام ساده می‌توان سطح حفاظت را افزایش داد.

از جمله این اقدامات می‌توان به فعال‌سازی رمز عبور هنگام راه‌اندازی، نصب نرم‌افزار ضدویروس، استفاده از دیواره آتش شخصی با قابلیت رمزگذاری، اطمینان از نگهداری ایمن تجهیزات، و محافظت از نرم‌افزارهای کاربردی با رمزهای عبور اشاره کرد.

تمهید ساختار ملی برای مسئلهٔ امنیت رایانه‌ای، دولت‌ها را با چالش‌های سازمانی از جمله نحوهٔ رهبری این ساختار مواجه می‌سازد. برای تعیین مسئولیت‌ها در سطح دولت، ابتدا باید به این پرسش پاسخ داد که آیا از منظر اقتصادی، امنیت ملی یا مقررات حاکم، امنیت رایانه‌ای یک مسئلهٔ قابل‌اهمیت محسوب می‌شود؟

برای پاسخ به این پرسش، بررسی تجربهٔ برخی کشورها مفید است:

• کانادا اعتبارات قابل‌توجهی برای امنیت سایبری به وزارت دفاع خود اختصاص داده‌است.
• در بریتانیا، ادارهٔ اقامت که مسئول اجرای قوانین است، رهبری این حوزه را بر عهده دارد.
• ایالات متحده این موضوع را در بخش امنیت داخلی خود قرار داده، اما به‌صورت آگاهانه، مسئولیت امنیت رایانه‌ای را به مؤسسه استاندارد و فناوری تحت نظارت دپارتمان تجارت واگذار کرده‌است.
• استرالیا یک گروه همکاری امنیت الکترونیکی برای هماهنگ‌سازی سیاست‌های امنیت سایبری ایجاد کرده‌است؛ این گروه یک سازمان اجرایی است که توسط ادارهٔ ملی اقتصاد اطلاعاتی تأسیس شده و تحت نظارت وزارت ارتباطات و فناوری اطلاعات فعالیت می‌کند.
• ایتالیا یک کمیتهٔ داخلی وزارتی برای استفادهٔ مسئولانه از اینترنت تشکیل داده‌است که توسط دپارتمان نوآوری و فناوری در دفتر نخست‌وزیری مدیریت می‌شود.
• در سال ۲۰۰۰، نخست‌وزیر ژاپن گروهی را در کابینهٔ دولت برای رسیدگی به مسئلهٔ امنیت فناوری اطلاعات تشکیل داد تا بتواند معیارها و سیاست‌های امنیتی را میان وزیران و سازمان‌ها هماهنگ کند. این گروه متشکل از متخصصانی بود که از سازمان‌ها و وزارتخانه‌های وابسته و نیز بخش خصوصی انتخاب شده بودند.

تا به امروز، ایالات متحده گسترده‌ترین و جامع‌ترین فرایندهای تهیهٔ استراتژی‌های ملی امنیت سایبر را تجربه کرده‌است. در عملکرد سایر کشورها و گروه‌های بین‌المللی نیز موضوعات مشابهی مشاهده می‌شود. با اینکه جزئیات این فرایندها و پیامدهای قانونی و ساختارهای سازمانی از کشوری به کشور دیگر متفاوت است، روند تهیهٔ استراتژی امنیت سایبر مشابه روشی است که بسیاری از کشورها برای تدوین استراتژی‌های ملی فناوری اطلاعات و ارتباطات به‌کار گرفته‌اند. در واقع، امنیت بخشی از استراتژی‌های ملی فناوری اطلاعات و ارتباطات محسوب می‌شود و استراتژی امنیت سایبر می‌تواند با بهره‌گیری از اصول حقوقی و روش‌های مشابه در تدوین پیش‌نویس برنامهٔ ملی توسعهٔ فناوری اطلاعات و ارتباطات به‌کار رود.

فاز اول شامل ارزیابی مفصل آسیب‌پذیری‌ها و افزایش سطح آگاهی است. برای نمونه، استرالیا در سال ۱۹۹۷ گزارشی با عنوان «زیرساخت اطلاعات ملی استرالیا: تهدیدها و آسیب‌پذیری‌ها» منتشر کرد. این گزارش که توسط هیئت مدیره شرکت دفنس سیگنالز تهیه شد، نشان می‌داد که جامعهٔ استرالیا نسبت به نقایص نسبتاً زیاد شبکه‌های رایانه‌ای آسیب‌پذیر است و هیچ ساختار رسمی و مشخصی برای هماهنگی و اجرای سیاست‌های دولتی جهت حفظ زیرساخت‌های حیاتی وجود ندارد. در همین راستا، رئیس‌جمهور ایالات متحده در سال ۱۹۹۶ هیئتی به نام «مجمع حمایت از زیرساخت‌های حیاتی ریاست جمهوری» تشکیل داد که متشکل از برخی مقامات حقیقی و حقوقی بود. این مجمع فاقد قدرت قانون‌گذاری و ساختار پایدار بود، اما بستری برای گزارش، مصاحبه و تحقیق فراهم کرد و گزارشی منتشر نمود که مورد توجه سیاست‌گذاران، مقامات حقوقی، رسانه‌ها و افکار عمومی قرار گرفت. این هیئت در اکتبر ۱۹۹۷ پیشنهاداتی ارائه داد و خواستار همکاری نزدیک‌تر میان بخش خصوصی و دولت شد.

فاز دوم به ایجاد ساختارهای ثابت در بخش اجرایی برای همکاری در تدوین و اجرای سیاست‌ها اختصاص دارد. برای مثال، در کانادا پس از انتشار نتایج ارزیابی کمیتهٔ داخلی حفاظت از زیرساخت‌های حیاتی، دولت مرکزی اقدام به تأسیس یک مرکز همکاری برای جمع‌آوری و حفاظت اطلاعات، ارزیابی تهدیدها، بررسی رخدادهای امنیتی و همچنین ایجاد دفتری برای حفاظت از زیرساخت‌های حیاتی و آمادگی در شرایط اضطراری نمود تا فرماندهی ملی در این حوزه شکل گیرد.

فاز سوم شامل تدوین استراتژی‌هاست. یک استراتژی ملی امنیت سایبر می‌تواند به‌صورت یک سند مستقل یا بخشی از استراتژی‌های ملی ICT باشد. نکتهٔ کلیدی در این فرایند، تبادل نظر میان دولت و بخش خصوصی است. در ژاپن، امنیت سایبر در قالب استراتژی‌های کلی ICT ادغام شده‌است. این فرایند با همکاری «مرکز استراتژی‌های فناوری اطلاعات» در کابینه و «شورای استراتژی فناوری اطلاعات» متشکل از بیست صاحب‌نظر انجام شد. این شورا با هدف ترکیب توانمندی‌های دولت و بخش خصوصی تأسیس گردید.

فاز چهارم با تمرکز بر سیستم‌های امنیت دولتی، شامل اعلام خط‌مشی‌ها و تصویب قوانین مورد نیاز امنیت سایبر است. برخی کشورها مانند ژاپن و ایتالیا از طریق چنین خط‌مشی‌هایی به این موضوع پرداخته‌اند. در ژوئیهٔ سال ۲۰۰۰، «کمیتهٔ ارتقای امنیت فناوری اطلاعات ژاپن» در سطح کابینه راهبردهایی در زمینهٔ سیاست امنیت فناوری اطلاعات اتخاذ کرد که طی آن از تمامی ادارات و وزارتخانه‌ها خواسته شد تا فوریهٔ ۲۰۰۳ ارزیابی‌هایی در مورد سیاست‌های امنیت فناوری اطلاعات انجام دهند و اقدامات لازم برای ارتقای سطح امنیتی را در دستور کار قرار دهند. در مارس ۲۰۰۱، «شورای وزارتی گسترش راهبری مکانیزهٔ عمومی» برای تمامی دست‌اندرکاران دولتی فناوری اطلاعات، خط‌مشی‌های امنیتی منتشر ساخت. در سال ۲۰۰۲، زمانی که کنگره ایالات متحده به این نتیجه رسید که بخش اجرایی دولت سطح امنیتی سیستم‌های رایانه‌ای دولتی را به‌اندازهٔ کافی ارتقا نداده‌است، «مصوبهٔ مدیریت امنیت اطلاعات دولت» را ابلاغ کرد تا نیازمندی‌ها و روش‌های اجرایی در این حوزه مشخص شود. در تونس نیز اقدام مشابهی صورت گرفت و دولت در سال ۲۰۰۲ قوانینی در زمینهٔ امنیت تصویب و ابلاغ کرد که بر اساس آن، سازمان‌های دولتی موظف شدند به‌صورت سالانه تحت ممیزی امنیتی قرار گیرند.

برای ایجاد یک مجموعهٔ موضوعی هماهنگ و یکپارچه از استراتژی‌های امنیت سایبر در سطوح ملی، منطقه‌ای و بین‌المللی، باید موارد زیر مدنظر قرار گیرند:

یکی از روش‌هایی که دولت می‌تواند از طریق آن از سیستم‌های بخش خصوصی پشتیبانی کند، تدوین و اجرای قانون جرائم سایبری است. مؤسسات بین‌المللی و منطقه‌ای پیشنهاد کرده‌اند که هر کشور، به‌عنوان بخشی از چارچوب قانونی برای ارتقای اعتماد و امنیت در فضای سایبر، باید قوانین خود را برای مقابله با تخلفاتی که محرمانگی، یکپارچگی یا در دسترس بودن داده‌ها را تهدید می‌کنند، هماهنگ و سازگار سازد. چارچوب اجرایی قانون جرائم متشکل از قوانین موضوعه و قوانین روال‌مند است که از مفاهیم حریم خصوصی در فضای سایبر و نیز از تحقیقات میدانی نشئت می‌گیرد.

برای ارتکاب جرائم الکترونیکی روش‌های مختلفی وجود دارد و برای هر نوع قانون‌شکنی نیز نام‌های متفاوتی به‌کار می‌رود. با این حال، قوانین مرتبط با جرائم سایبری معمولاً در یکی از چهار دستهٔ زیر قرار می‌گیرند:

دزدی داده‌ها: نسخه‌برداری تعمدی و غیرمجاز از داده‌های خصوصی رایانه‌ای. برای نمونه، نسخه‌برداری از نامه‌های الکترونیکی اشخاص. این قوانین با هدف حفاظت از محرمانگی ارتباطات تدوین شده‌اند. بیشتر نظام‌های حقوقی دنیا، شنود بدون مجوز مکالمات تلفنی را جرم می‌دانند و این مفهوم می‌تواند در فضای سایبر نیز کاربرد مشابهی داشته باشد.

تداخل داده‌ها: تخریب، حذف یا تغییر تعمدی و غیرمجاز داده‌ها در رایانهٔ دیگران. برای مثال، ارسال ویروس‌هایی که فایل‌ها را حذف می‌کنند، نفوذ به رایانه و تغییر داده‌ها، یا تغییر ظاهر یک پایگاه وب. شناسایی عنصر «قصد» برای تمایز میان فعالیت‌های تبهکارانه و اشتباهات معمول یا ارسال تصادفی ویروس‌ها بسیار حیاتی است.

تداخل سیستم: جلوگیری غیرمجاز از فعالیت سیستم رایانه‌ای به‌صورت تعمدی از طریق ورود، انتقال، تخریب، حذف یا تغییر داده‌ها. این بند شامل حملات تخریب سرویس یا ورود ویروس‌هایی است که عملکرد طبیعی سیستم را مختل می‌کنند. عنصر «آسیب جدی» در این دسته، فعالیت‌های مجرمانه را از رفتارهای معمولی اینترنتی مانند ارسال چند نامهٔ الکترونیکی ناخواسته متمایز می‌سازد.

دسترسی غیرقانونی: دسترسی تعمدی و غیرمجاز به سیستم رایانه‌ای شخصی دیگر که در فضای الکترونیکی می‌توان آن را معادل «تعدی» دانست. این نوع دسترسی، محرمانگی داده‌های ذخیره‌شده را خدشه‌دار کرده و تهدیدی برای امنیت اطلاعات محسوب می‌شود. در برخی نظام‌های حقوقی، تعریف دسترسی غیرقانونی محدود به مواردی است که اطلاعات محرمانه (مانند داده‌های پزشکی یا مالی) دریافت، نسخه‌برداری یا مشاهده می‌شوند.

از نمونه‌های دسترسی غیرقانونی می‌توان به تهدیدات امنیتی ناشی از افزونه‌های مرورگر در سازمان‌ها و دولت‌ها اشاره کرد. گزارش امنیتی افزونه‌های مرورگر سازمانی در سال ۲۰۲۵، داده‌های بازار عمومی افزونه‌ها را با اطلاعات تله‌متری واقعی استفاده در سازمان‌ها ترکیب کرده‌است. این گزارش یکی از مهم‌ترین تهدیدات امنیت سایبری مدرن، یعنی افزونه‌های مرورگر را که اغلب نادیده گرفته می‌شوند، برجسته می‌سازد. یافته‌های این گزارش برای مدیران ارشد فناوری اطلاعات و امنیت اطلاعات (CISO) و تیم‌های امنیتی سازمان‌ها، به‌ویژه در برنامه‌ریزی نیمهٔ دوم سال ۲۰۲۵، اهمیت بالایی دارد. این یافته‌ها شامل تحلیل‌های دقیق دربارهٔ تعداد افزونه‌های دارای مجوزهای پرخطر، انواع مجوزهای اعطا شده، میزان اعتماد به توسعه‌دهندگان افزونه‌ها و سایر داده‌های امنیتی است.

افزونه‌های مرورگر صرفاً ابزارهای بهره‌وری نیستند، بلکه می‌توانند به‌عنوان بردار حمله، تهدیدات جدی برای سازمان‌ها ایجاد کنند؛ تهدیداتی که اغلب از سوی تیم‌های امنیتی نادیده گرفته می‌شوند. گزارش امنیتی ۲۰۲۵ LayerX با تجزیه‌وتحلیل داده‌ها و ارائهٔ یافته‌های دقیق، به مدیران ارشد امنیت اطلاعات و تیم‌های امنیتی کمک می‌کند تا این ریسک‌های پنهان را شناسایی کرده و استراتژی‌هایی برای مقابله با تهدیدات ناشی از افزونه‌ها طراحی کنند. این گزارش به مدیران IT و امنیت سازمان‌ها امکان می‌دهد تا محیط‌های مرورگر امن‌تری ایجاد کرده و از اطلاعات حساس سازمان در برابر حملات سایبری محافظت کنند.^[۱]

یک دولت، علاوه بر تأمین امنیت منابع اطلاعاتی خود، باید متعهد باشد مجموعه‌ای از سیاست‌ها را برای ایمن‌سازی اطلاعات زیرساختی ملی تدوین کند. این سیاست‌ها نقش مهمی در ارتقای امنیت فناوری اطلاعات دارند؛ با این حال، نوعی تناقض نیز وجود دارد: چارچوب سیاست ملی باید توان افزایش سطح امنیت را داشته باشد، اما در صورت ضعف قوانین دولتی، این مقررات ممکن است به‌جای سود، زیان به‌بار آورند.

فناوری با سرعتی چشمگیر در حال تحول است و تهدیدات رایانه‌ای جدید نیز در نتیجهٔ همین تغییرات پدید می‌آیند. در چنین شرایطی، قوانین دولتی می‌توانند ابزاری مؤثر برای شناسایی و تعقیب جنایتکاران سایبری و جلوگیری از گسترش شیوه‌های نوین خلاف‌کاری باشند.

• «Cybersecurity Cooperation – Archived Documents». Cybersecurity Cooperation. دریافت‌شده در ۲۰۲۴-۱۲-۱۲.

• Simson Garfinkel؛ Gene Spafford؛ Alan Schwartz (۲۰۰۳). Practical Unix and Internet Security (ویراست ۳). O'Reilly and Associates.

• George Sadowsky، James X.، Alan Greenberg، Alan Schwartz (۲۰۰۳). Information Technology Security. infoDev، بانک جهانی.