کنگره آمریکا شرکتهای نرمافزاری را مجبور به افشاسازی دخالت احتمالی خارجیها میکند
سناتورهای آمریکایی در آخرین جلسات خود در کنگره، قانونی را برای اجرا به دولت فرستادند که شرکتهای نرمافزاری را هدف قرار داده است. این قانون شرکتها را مجبور میکند تا هرگونه دخالت، همکاری و آزمایش نرمافزار انجامشده توسط کشورهای دیگر خصوصا چین و روسیه را گزارش بدهند. این قانون بهطور ویژه برای نرمافزارهای فروختهشده به ارتش آمریکا اجرا خواهد شد.
سال گذشته تحقیقی توسط خبرگزاری رویترز انجام شد که مشارکت شرکتهای نرمافزاری آمریکایی با روسها را تایید میکرد. طبق این گزارش، تولیدکنندگان نرمافزار به یک آژانس دفاعی روسیه اجازه داده بودند که آسیبپذیریهای نرمافزار استفادهشده توسط سازمانهای دولتی آمریکایی را کشف کند. این سازمانها شامل پنتاگون و سرویسهای اطلاعاتی بودهاند. پس از انشار این گزارش، پیشنویس لایحهی قانون مذکور توسط سناتورها نگارش شد. این پیشنویس توسط سناتور دموکرات کنگره Jeanne Shaheen ارائه شد.
چهارشنبهی هفتهی گذشته، نسخهی نهایی این لایحه با رای ۸۷ به ۱۰ در سنا تایید شد و برای اجرایی شدن منتظر امضای دونالد ترامپ است. متخصصان امنیت سایبری معتقدند اجازه دادن به روسها برای بررسی کدهای نرمافزارها، امکان کشف آسیبپذیریهای بیشتر و استفاده از آن برای حملات آتی به دولت آمریکا را به آنها میدهد.
سناتور شاهین در مورد این قانون میگوید:
این دستور به افشاسازی، اولین در نوع خودش بوده که برای از بین بردن خلأ امنیتی در فرآیندهای حاکمیت فدرال ما حیاتی است.وزارت دفاع و دیگر آژانسهای فدرال باید در مورد افشای کدهای منبع برای کشورهای خارجی و همچنین فرآیندهای تجاری دیگر که سیستمهای امنیتی ملی ما را در برابر دشمنان آسیبپذیر میکند، آگاه باشند.
علاوه بر اطلاعرسانی در مورد همکاری با کشورهای دیگر، شرکتها باید هرگونه ریسک امنیتی که توسط بازرسان خارجی در نرمافزارهای کشفشده را به پنتاگون گزارش دهند. این قانونگذاری یک مرکز دادهی خطا و گزارش آماری نیز ایجاد میکند که توسط آژانسهای دولتی دیگر قابلجستجو است. آنها میتوانند نرمافزارهایی که توسط پنتاگون خطرناک یا دارای ریسک امنیت سایبری معرفی شدهاند را در این مرکز داده پیدا کنند. این قابلیت، دیتابس مذکور را برای گزارشهای عمومی نیز قابل دسترسی میکند که در نتیجه اسرار شرکتهای خصوصی نیز در آن قابل دسترسی خواهد بود.
تامی راس یکی از مدیران ارشد گروه صنعتی The Software Alliance معتقد است شرکتهای نرمافزاری پس از تصویب این قانون، بین انتخاب آمریکا یا کشورهای دیگر بهعنوان خریدار محصول مردد خواهند ماند. او در این مورد میگوید:
یک ترند جهانی در حال گسترش است و شرکتها بهدنبال بهترین روشها برای کاهش ریسکهای حملات سایبری هستند. در این میان این اتفاق باعث قطع ارتباط با جهان خارج میشود.
برای فروش نرمافزار به روسیه، کدها باید توسط ماموران این کشور بررسی شوند
شرکتهای فناوری مانند HPE، SAP SE و مکآفی بهمنظور فروش در بازار روسیه به آژانسهای دفاعی این کشور اجازه دادهاند که کد منبع نرمافزارها را برای کشف آسیبپذیریهای امنیتی بررسی کنند. این حقیقت سال گذشته توسط محققان رویترز کشف شد. علاوهبر آن، این خبرگزاری فاش کرد که بسیاری از شرکتهای نرمافزاری، این دسترسی روسها را به آژانسهای دولتی ایالات متحده گزارش نکردهاند. همچنین ارتش آمریکا در بسیاری از موارد، گزارش بررسی کدها را از شرکتها درخواست نمیکند.
البته شرکتهای نرمافزاری پیش از این اعلام کردند که بررسی کدهای منبع در شرایطی کاملا کنترلشده توسط خودشان انجام شده و ماموران روسی امکان کپی یا تغییردادن نرمافزار را نداشتهاند. آنها ادعا میکنند که این روشها، امکان هرگونه آسیبزدن به نرمافزارها را از بین برده است. در این میان مکآفی اعلام کرد که دیگر برنامهی بررسی کد نرمافزارهای دولتی را اجرا نخواهد کرد. اچپی اینترپرایز نیز ادعا کرده هیچیک از نرمافزارهای کنونی این شرکت، فرآیند مذکور را طی نکردهاند. بههرحال هیچ سخنگو یا کارشناسی از شرکتهای مذکور، اظهارنظری در مورد لایحهی ارائهشده توسط کنگره نداشتهاند.
نظرات