کنگره آمریکا شرکت‌های نرم‌افزاری را مجبور به افشاسازی دخالت احتمالی خارجی‌ها می‌کند

سناتورهای آمریکایی در آخرین جلسات خود در کنگره، قانونی را برای اجرا به دولت فرستادند که شرکت‌های نرم‌افزاری را هدف قرار داده است. این قانون شرکت‌ها را مجبور می‌کند تا هرگونه دخالت، همکاری و آزمایش نرم‌افزار انجام‌شده توسط کشورهای دیگر خصوصا چین و روسیه را گزارش بدهند. این قانون به‌طور ویژه برای نرم‌افزارهای فروخته‌شده به ارتش آمریکا اجرا خواهد شد.

سال گذشته تحقیقی توسط خبرگزاری رویترز انجام شد که مشارکت شرکت‌های نرم‌افزاری آمریکایی با روس‌ها را تایید می‌کرد. طبق این گزارش، تولیدکنندگان نرم‌افزار به یک آژانس دفاعی روسیه اجازه داده بودند که آسیب‌پذیری‌های نرم‌افزار استفاده‌شده توسط سازمان‌های دولتی آمریکایی را کشف کند. این سازمان‌ها شاملپنتاگون و سرویس‌های اطلاعاتی بوده‌اند. پس از انشار این گزارش،‌ پیش‌نویس لایحه‌ی قانون مذکور توسط سناتورها نگارش شد. این پیش‌نویس توسط سناتور دموکرات کنگره Jeanne Shaheen ارائه شد.

 

چهارشنبه‌ی هفته‌ی گذشته، نسخه‌ی نهایی این لایحه با رای ۸۷ به ۱۰ در سنا تایید شد و برای اجرایی شدن منتظر امضایدونالد ترامپ است. متخصصان امنیت سایبری معتقدند اجازه دادن به روس‌ها برای بررسی کدهای نرم‌افزارها، امکان کشف آسیب‌پذیری‌های بیشتر و استفاده از آن برای حملات آتی به دولت آمریکا را به آنها می‌دهد. 

سناتور شاهین در مورد این قانون می‌گوید:

این دستور به افشاسازی، اولین در نوع خودش بوده که برای از بین بردن خلأ امنیتی در فرآیندهای حاکمیت فدرال ما حیاتی است.

وزارت دفاع و دیگر آژانس‌های فدرال باید در مورد افشای کدهای منبع برای کشورهای خارجی و همچنین فرآیندهای تجاری دیگر که سیستم‌های امنیتی ملی ما را در برابر دشمنان آسیب‌پذیر می‌کند، آگاه باشند.

امنیت

علاوه بر اطلاع‌رسانی در مورد همکاری با کشورهای دیگر، شرکت‌ها باید هرگونه ریسک امنیتی که توسط بازرسان خارجی در نر‌م‌افزارهای کشف‌شده را به پنتاگون گزارش دهند. این قانون‌گذاری یک مرکز داده‌‌ی خطا و گزارش آماری نیز ایجاد می‌کند که توسط آژانس‌های دولتی دیگر قابل‌جستجو است. آنها می‌توانند نرم‌افزارهایی که توسط پنتاگون خطرناک یا دارای ریسک امنیت سایبری معرفی شده‌اند را در این مرکز داده پیدا کنند. این قابلیت، دیتابس مذکور را برای گزارش‌های عمومی نیز قابل دسترسی می‌کند که در نتیجه اسرار شرکت‌های خصوصی نیز در آن قابل دسترسی خواهد بود.

تامی راس یکی از مدیران ارشد گروه صنعتی The Software Alliance معتقد است شرکت‌های نرم‌افزاری پس از تصویب این قانون، بین انتخاب آمریکا یا کشورهای دیگر به‌عنوان خریدار محصول مردد خواهند ماند. او در این مورد می‌گوید:

یک ترند جهانی در حال گسترش است و شرکت‌ها به‌دنبال بهترین روش‌ها برای کاهش ریسک‌های حملات سایبری هستند. در این میان این اتفاق باعث قطع ارتباط با جهان خارج می‌شود.

برای فروش نرم‌افزار به روسیه، کدها باید توسط ماموران این کشور بررسی شوند

شرکت‌های فناوری مانند HPE، SAP SE و مک‌آفی به‌منظور فروش در بازار روسیه به آژانس‌های دفاعی این کشور اجازه داده‌اند که کد منبع نرم‌افزارها را برای کشف آسیب‌پذیری‌‌های امنیتی بررسی کنند. این حقیقت سال گذشته توسط محققان رویترز کشف شد. علاوه‌بر آن، این خبرگزاری فاش کرد که بسیاری از شرکت‌های نرم‌افزاری، این دسترسی روس‌ها را به آژانس‌های دولتی ایالات متحده گزارش نکرده‌اند. همچنین ارتش آمریکا در بسیاری از موارد، گزارش بررسی کدها را از شرکت‌ها درخواست نمی‌کند.

البته شرکت‌های نرم‌افزاری پیش از این اعلام کردند که بررسی کدهای منبع در شرایطی کاملا کنترل‌شده توسط خودشان انجام شده و ماموران روسی امکان کپی یا تغییردادن نرم‌افزار را نداشته‌اند. آنها ادعا می‌کنند که این روش‌ها، امکان هرگونه آسیب‌زدن به نرم‌افزارها را از بین برده است. در این میان مک‌آفی اعلام کرد که دیگر برنامه‌ی بررسی کد نرم‌افزارهای دولتی را اجرا نخواهد کرد. اچ‌پی اینترپرایز نیز ادعا کرده هیچ‌‌یک از نرم‌افزارهای کنونی این شرکت، فرآیند مذکور را طی نکرده‌اند. به‌هرحال هیچ سخنگو یا کارشناسی از شرکت‌های مذکور، اظهارنظری در مورد لایحه‌ی ارائه‌شده توسط کنگره نداشته‌اند.





تاريخ : دو شنبه 15 مرداد 1397برچسب:, | | نویسنده : مقدم |