تحریم‌‌های سایبری ایالات متحده و اتحادیه اروپا

خانه » مقالات » تحریم‌‌های سایبری ایالات متحده و اتحادیه اروپا

شنبه, ۱ آبان ۱۴۰۰

زمان تقریبی مطالعه ۲۹ دقیقه

اِعمال تحریم‌‌های سایبری مشابه تحریمهای معمولی است. بدین صورت که مبادله و روابط تجاری با افراد و نهادهایی که مسئول حملات سایبری یا فعالیت‌‌های مُخرب شناخته می‌‌شوند، ممنوع است. البته اجرای تحریم سایبری شامل فرایند انتساب نیز هست که در آن تنظیم‌‌کننده‌‌های تحریم، به دنبال تعیین مسئولیت حمله هستند.

گسترش روزافزون شبکه‌‌های اجتماعی، معاملات آنلاین، محاسبات ابری و غیره حاکی از پیشرفت شتابان فناوری است. بر اساس گزارش خطرات جهانی (2020)، بیش از 50درصد جمعیت جهان در حال حاضر آنلاین هستند. تقریباً یک میلیون نفر برای اولین‌‌بار در روز آنلاین می‌‌شوند و دو سوم جمعیت جهان صاحب یک دستگاه تلفن همراه هستند.[۱] اما با پیشرفت تکنولوژی، میزان وقوع جرایم سایبری نیز افزایش پیدا کرده است. به عنوان مثال، بر اساس گزارش روندهای حملات سایبری (اواسط 2021)، در سال 2021 سازمان‌‌های آمریکایی به طور متوسط 443 حمله هفتگی را تجربه کرده‌‌اند، که نسبت به اوایل سال، 17درصد افزایش را نشان می‌‌دهد. در اروپا، خاورمیانه و آفریقا، میانگین هفتگی حملات به ازای هر سازمان 777 مورد بوده که 36درصد افزایش داشته است. سازمان‌‌های منطقه آسیا پاسفیک نیز شاهد 1338 حمله هفتگی بوده‌‌اند که 13درصد افزایش پیدا کرده است. این گزارش همچنین حاکی از آن است که تا اواسط 2021 حملات باج‌افزارها 93درصد افزایش داشته است. مهم‌‌تر از همه اینکه بازیگران باج‌افزار استراتژی جدیدی را اتخاذ کرده و گام سوم را به تکنیک اخاذی دوگانه خود افزوده‌‌اند. بدین معنی که علاوه بر سرقت اطلاعات حساس از سازمان‌‌ها و تهدید به انتشار عمومی آن‌ها در صورت عدم پرداخت، مهاجمان، در حال حاضر، مشتریان سازمان‌ها و/یا شرکای تجاری را هدف قرار داده و از آن‌ها نیز باج می‌‌خواهند.[۲]

نمودار شماره ۱: میانگین تخمینی هزینه‌‌های جهانی جرایم سایبری ( دلار)

افزایش این حملات و تهدیدات سایبری در حالی است که هیچ چارچوب توافق‌شده جهانی برای رسیدگی به این جرایم و یا بسترسازی برای پیشگیری از این حوادث وجود ندارد. حتی تداوم این روند باعث شده است که بحث سایبرآنارشی[۳] مجدداً مطرح شود. سایبرآنارشی به طورکلی به این ایده اشاره می‌‌کند که تدوین مقررات برای اینترنت یک هدف غیرممکن است. علاوه براین، در فقدان چنین چارچوب توافق‌شده‌ای، نقش اقدامات ملی در جهت مبارزه با حوادث و حملات سایبری افزایش یافته ‌‌است. به عبارت بهتر، با توجه به افزایش حملات سایبری، کشورهای مختلف تلاش کرده‌اند از طریق به‌کارگیری ابتکارات و ابزارهای مختلف، میزان و اثرگذاری حملات سایبری را کاهش دهند. در این میان، یکی از ابتکاراتی که در چند سال اخیر از سوی بازیگران مختلف به‌کارگرفته شده، تحریم سایبری[۴] است.. تحریم‌‌های سایبری به اقدامات سنتی (مانند ممنوعیت سفر، توقف دارایی و …) اشاره دارد که در واکنش به فعالیت‌‌های مخرب در فضای مجازی استفاده می‌‌شود. چنان‌که مشخص است در مفهوم تحریم سایبری، ترکیبی از عناصر قدیمی و جدید وجود دارد. قدیمی از این جهت که اقدامی اجباری است که در راستای اجرای تصمیم یک ارگان اجتماعی صالح انجام می‌‌شود، ارگانی که به طور قانونی مُجاز به فعالیت به نام جامعه بوده و توسط سیستم حقوقی حمایت می‌‌شود. جدید به این جهت که این اقدام اجباری با توجه به شکل‌‌گیری فضای نوظهوری به نام فضای مجازی اجرا می‌‌شود.[۵]

اِعمال تحریم‌‌های سایبری مشابه تحریم‌‌های معمولی است. بدین صورت که مبادله و روابط تجاری با افراد و نهادهایی که مسئول حملات سایبری یا فعالیت‌‌های مُخرّب شناخته می‌‌شوند، ممنوع است. البته اجرای تحریم سایبری شامل فرایند انتساب نیز هست که در آن تنظیم‌‌کننده‌‌های تحریم، به دنبال تعیین مسئولیت حمله هستند. همچنین فرایند انتساب حملات سایبری پیچیده است. به عبارت دیگر، در حالی‌‌که آن‌ها با مسائل مربوط به حریم خصوصی، ناشناس‌بودن و احتمال جعل هویت مرتبط با جنایت سایبری مبارزه می‌‌کنند، باید مقادیر زیادی از شواهد فنی مانند کدرایانه، آدرس «ای.پی.[۶]» و سایر داده‌‌ها را بررسی نمایند. از سوی دیگر، در تحریم‌‌های سایبری بحث به‌کارگیری فناوری نیز وجود دارد که در قالب تحریم‌‌های پیشرفته سایبری[۷] مطرح می‌‌شود. تحریم‌‌های پیشرفته سایبری به استفاده از تکنیک‌‌های سایبری برای حمایت از دستورالعمل‌‌های تحریم‌‌های اقتصادی دولت اشاره دارد.[۸] ایالات متحده و اتحادیه اروپا از جمله واحد‌‌های سیاستی هستند که در این ارتباط پیشرفت زیادی داشته‌اند.

ایالات متحده و تحریم سایبری

ایالات متحده یکی از کشورهای پیشرو در ایجاد نظام تحریم‌‌های اقتصادی متمرکز بر فضای مجازی است که عمدتاً توسط وزارت خزانه‌‌داری ایالات متحده و دفتر کنترل دارایی‌‌های خارجی[۹] (اوفک) اداره می‌‌شود. اوفک انواع تحریم‌‌ها را در ارتباط با فعالیت‌های مخرّب مرتبط با فضای سایبری، مانند جاسوسی سایبری، نفوذ سایبری به زیرساخت‌‌های حیاتی و شبکه‌‌های کامپیوتری و کمپین‌‌های اطلاعات غلط از خارج، بر عهده دارد. بخش عمده‌‌ای از این تحریم‌‌ها تحت عنوان «برنامه تحریم‌‌های مرتبط با فضای سایبری[۱۰]» انجام می‌‌شود، که در سال 2015 به عنوان بخشی از واکنش دولت اوباما به فعالیت‌های مُخرب سایبری ناشی از کشورهای خارجی ایجاد شده است. به عبارت دقیق‌‌تر، این برنامه پس از دستور اجرایی 13694 شکل گرفت. در این دستور اجرایی، مجازات تحریم برای افراد و اشخاصی که مسئول و یا مشارکت‌کننده در فعالیت‌های مخرّب سایبری -که منجر به آسیب‌‌های احتمالی می‌‌شود- مجاز است. همچنین این دستور اجرایی مجازات‌‌هایی را برای افراد و نهادهای مسئول دستکاری، تغییر یا سوء‌ استفاده از اطلاعات به‌منظور تأثیر یا تضعیف فرایندها یا نهادهای انتخاباتی در ایالت متحده مشخص کرده است. البته دولت اوباما بعداً در سال 2016 دستور اجرایی 13757 را نیز صادر کرد. این دستور بیشتر بر روی آسیب‌‌های خاص ناشی از فعالیت‌‌های مخرّبِ قابل‌توجه سایبری تمرکز داشت. دستور اجرایی مذکور بیشتر در قالب «سایبر2[۱۱]» شناخته می‌‌شود. این دستور اجرایی اشاره به این موضوع دارد که مداخله در انتخابات با قابلیت سایبری به عنوان یک فعالیت قابل تحریم است.

البته تحریم‌‌های سایبری ایالات متحده محدود به این موارد نمی‌‌شود و این کشور از طریق قانون مقابله با دشمنان آمریکا از طریق تحریم (کاتسا[۱۲]) نیز تحریم‌‌های سایبری را اِعمال می‌‌کند. این قانون در سال 2017 و توسط دولت دونالد ترامپ امضا شد. یکی از مهم‌‌ترین اقدامات ترامپ این بود که تحریم‌‌های سایبری را که از طریق دستور اجرایی 13694 و 13757 وضع شده بود، مُدون کرد. همچنین در 20 سپتامبر 2018 ترامپ دستور اجرایی 13849 را صادر کرد که مجوز اجرای برخی از تحریم‌‌های ذکرشده در قانون مقابله با دشمنان آمریکا از طریق تحریم را به وزیر خزانه‌‌داری واگذار می‌‌کرد. از دیگر ابتکارت مطرح‌شده در زمینه‌‌ تحریم‌‌های سایبری ایالات متحده می‌‌توان به موارد زیر اشاره کرد:

دستور اجرایی 14024: این دستور در قالب مسدودکردنِ اموال با توجه به فعالیت‌های خارجی و مُضر دولت روسیه شناخته می‌‌شود و بیشتر در ارتباط با فعالیت کشور روسیه در زمینه آسیب‌رسانی به ساختارها و ارزش‌‌های دموکراتیک آمریکا است.
مشاوره در مورد خطرات احتمالی تحریم‌‌ها برای تسهیل پرداخت‌‌های باج‌افزار: این مشاوره برای برجسته‌کردنِ خطرات تسهیل پرداخت باج‌‌افزار مربوط به فعالیت‌‌های مخرب سایبری است. در این زمینه اوفک هشدار می‌‌دهد که تسهیل پرداخت باج‌افزار هم می‌تواند جنایتکاران و مخالفانی را که با یک کشور یا کشور‌‌های تحریم‌شده رابطه دارند فعال و جسور کند، هم از جنبه مهم‌‌تر تضمین نمی‌‌کند که قربانیان دوباره به داده‌‌های سرقت‌شده دسترسی پیدا کنند.[۱۳]

لازم به ذکر است که این ابتکارات ایالات متحده در زمینه تحریم سایبری صرفاً تئوریک نبوده و در عالم واقعیت نیز از آن‌ها استفاده شده است. به عنوان مثال گزارش‌‌ها حاکی از آن است که تاکنون ایالات متحده 35 مورد تحریم‌‌ سایبری اِعمال کرده که بیش از 300 فرد و نهاد را شامل می‌‌شود. دولت آمریکا بیشتر این تحریم‌‌ها را در مورد سه کشور ایران، کره شمالی و روسیه اِعمال کرده است. در برخی موارد منتخب، تحریم‌‌های سایبری علیه افراد سایر کشورها نیز اِعمال شده است. البته برخی از سازمان‌‌ها از ایالات متحده به دلیل عدم تحریم بازیگران سایبری چینی، با وجود حجم زیاد فعالیت‌‌های سایبری مخرّب که از چین ناشی می‌شود، انتقاد کرده‌اند.

شکل شماره ۱: اهداف تحریم‌‌های سایبری ایالات متحده

تحریم‌‌های سایبری اتحادیه اروپا

در طی سال‌‌های گذشته، مهم‌‌ترین نگرانی اتحادیه اروپا افزایش رفتارهای مخرّب در فضای سایبری بوده است. مقامات اروپایی استدلال می‌کنند که هدف این رفتار‌‌ها تضعیف یکپارچگی، امنیت و رقابت اقتصادی اتحادیه اروپا با خطر احتمالی افزایش اختلافات داخلی است. با توجه به این نگرانی، شورای اروپا در سال 2017 چارچوبی به نام جعبه‌ابزار دیپلماسی سایبری[۱۴] را تصویب کرد که بر بهبود همکاری، جلوگیری از درگیری، کاهش تهدیدات احتمالی سایبری و تأثیر‌‌گذاری رفتار متجاوزان احتمالی تأکید داشت. به عبارت بهتر، این ابتکار در پاسخ به نگرانی فزاینده در مورد افزایش توانایی و تمایل بازیگران دولتی و غیردولتی برای انجام فعالیت‌‌های سایبری مخرّب بود. هدف اصلی جعبه ابزار دیپلماسی سایبری شامل مجموعه‌‌ای از ابزارها ازجمله اِعمال تحریم‌‌ها، توسعه ظرفیت‌‌های پیام‌‌رسانی و واکنش در سطح اتحادیه اروپا و کشورهای عضو با هدف تأثیرگذاری بر رفتار متجاوزان احتمالی، با درنظرگرفتنِ ضرورت و تناسب پاسخ، عنوان شده است. این چارچوب در ماه مه 2019 تحت تصمیم شورای (CFSP) 2019/797 و مقررات شورای (EU) 2019/796 تصویب شده و سالانه توسط شورا مورد بررسی قرار می‌‌گیرد. به عنوان مثال در 18 می 2021 این شورای اروپا تصمیم گرفت که چارچوب اقدامات محدودکننده در برابر حملات سایبری علیه اتحادیه اروپا یا کشورهای عضو آن را برای یک سال دیگر تا 18 مه 2022 تمدید کند.

این چارچوب اجازه می‌‌دهد تا اتحادیه اروپا افراد و نهادهایی را که تصور می‌شود در حملات سایبری بزرگ و تهدیدکننده علیه اتحادیه اروپا یا کشورهای عضو آن سهیم هستند، با اعمالی مانند توقیف دارایی یا ممنوعیت سفر مورد اشاره در قوانین حقوقی شورا تحریم کند. بر اساس چارچوب مذکور، مجازات تحریم در موارد ذیل قابل اجرا است: 1) افرادی که مسئول حملات سایبری یا در تلاش برای انجام آن هستند؛ 2) ارائه پشتیبانی مالی، فنی یا مادی برای حملات سایبری و یا از طریق برنامه‌‌ریزی، آماده‌سازی، مشارکت، هدایت، کمک یا تشویق این حملات؛ 3) با شخص یا اشخاصی که در موارد 1 و 2 به آن‌ها اشاره شده مرتبط هستند. از زمانی‌که این چارچوب به اجرا درآمده، در دو مورد استفاده شده است. اولین مورد در ژوئیه 2020 بود که شورای اتحادیه اروپا تحریم‌‌های سایبری علیه هکرهای روسی، چینی و کره شمالی را که در حملات مختلف مانند حملات موسوم به «Wannacry» و «NotPetya» نقش داشتند، وضع کرد. مورد دیگر نیز در اکتبر 2020 و در جریان رسیدگی فنی و قانونی به حملات هکرهای 2015 به پارلمان آلمان اِعمال شد.[۱۵] البته با توجه به حملات سایبری اخیر علیه اتحادیه اروپا، به‌ویژه علیه بیمارستان‌‌های تعدادی از کشورهای عضو، انتظار می‌‌رود تعداد دیگری از موارد در لیست تحریم‌‌های سایبری اروپا قرار بگیرد.

توجه اتحادیه اروپا در زمینه تحریم‌‌های سایبری صرفاً به این موارد محدود نبوده است. به عنوان مثال شورای اروپا در سال 2018 برای مقابله با فعالیت‌های سایبری مخرّب که اهمیت فضای مجازی جهانی، باز، آزاد، با ثبات و امن را تضعیف می‌‌کند، لایحه‌ای تحت عنوان «لایحه فعالیت‌‌های سایبری مخرّب[۱۶]» را تصویب کرده و از فعالیت بازیگران مخرّب ابراز نگرانی کرد. در این لایحه عنوان شده بود که اتحادیه اروپا نگرانی جدی خود را در مورد افزایش توانایی و تمایل کشورهای ثالث و بازیگران غیردولتی برای پیگیری اهداف خود با انجام فعالیت‌های سایبری مخرّب ابراز می‌کند و به تقویت توانایی‌های خود برای مقابله با تهدیدات سایبری ادامه خواهد داد. اتحادیه اروپا اذعان دارد که ماهیت به‌هم‌پیوسته و پیچیده فضای مجازی مستلزم تلاش‌‌های مشترک بخش خصوصی، جامعه مدنی، جامعه فنی، کاربران و دانشگاه برای مقابله با چالش‌‌ها است. از این‌رو از ذی‌نفعان می‌‌خواهد تا مسئولیت‌های خاص خود را برای حفظ یک فضای باز و آزاد و همچنین امن و پایدار انجام دهند. همچنین در سال 2019، نماینده عالی اتحادیه اروپا در سیاست خارجی با صدور بیانیه‌‌ای به نمایندگی از اتحادیه اروپا بر ضرورت رعایت نظم مبتنی بر قوانین در فضای سایبری تأکید کرده و از بازیگران خواست تا از انجام فعالیت‌‌های سایبری مخرّب از جمله سرقت مالکیت معنوی دست بردارند. همچنین اتحادیه اروپا از همه شرکای خود خواسته تا همکاری‌‌های بین‌المللی را برای ارتقای امنیت و ثبات در فضای سایبری تقویت کنند.

جمع‌بندی

چنان‌که ملاحظه گردید، افزایش تهدید‌‌ها و حملات سایبری از یک‌سو و فقدان ساختارها و یا حکمرانی جهانی در زمینه رسیدگی به این تهدید‌‌ها و آسیب‌‌های ناشی از آن باعث شده است که بسیاری از بازیگران جهانی از جمله ایالات متحده و اتحادیه اروپا به دنبال اقدامات و ابتکارات ملی در جهت مقابله با این تهدید‌‌ها برآیند که یکی از موارد آن تحریم‌‌های سایبری بود. در مورد ایالات متحده این تحریم‌‌ها بیشتر از طریق برنامه تحریم‌‌های مرتبط با فضای سایبری و در مورد اتحادیه اروپا نیز از طریق چارچوب ابزار دیپلماسی سایبری اِعمال می‌‌شود. البته لازم به ذکر است که در مورد شدت، ضعف و کارایی بین این دو رژیم تحریمی تفاوت وجود دارد. به عنوان مثال درحالی‌که چارچوب تحریم‌‌های سایبری ایالات متحده پیشرفته‌‌تر بوده و تحت تأثیر تصمیم‌‌گیری‌‌های چند تکه‌‌ای نیست، تصمیم‌‌گیری اتحادیه اروپا در مورد تحریم‌‌ها همچنان به اتفاق آرای بین اعضای اتحادیه بستگی دارد. همچنین این استدلال وجود دارد که چارچوب فعلی تحریم‌‌های سایبری اتحادیه اروپا بسیار ضعیف است و نمی‌‌تواند بررسی قضایی گسترده‌‌ای را تحمل کند. از جمله، لغو مجدد احتمالی اقدامات محدود‌کننده به دلایل «مراحل قانونی» خطرات قابل توجهی برای اعتبار اتحادیه اروپا به همراه دارد و ممکن است اعتبار، مشروعیت و اثربخشی انتخاب سیاست خارجی اتحادیه اروپا را تضعیف کند. بنابراین، برای اتحادیه اروپا بسیار مهم است که بین اهداف سیاست خارجی و سیاست‌‌های امنیتی (سایبری) و نیاز به محافظت از افراد در برابر نامگذاری‌‌های دلخواه، تعادل ایجاد کند.

پانوشت

۱- Franco, E. G. (2020, January). The global risks report 2020. In World Economic Forum.

۲- Cyber Attack Trends: 2021 Mid-Year Report’, available at: https://www.checkpoint.com/press/2021/check-point-softwares-mid-year-security-report-reveals-a-29-increase-in-cyber-attacks-against-organizations-globally/

۳- Cyberanarchy

۴- Cyber sanction

۵- Benatar, M., & Gombeer, K. (2011, May). Cyber sanctions: exploring a blind spot in the current legal debate. In ESIL 2011 4th Research Forum.

۶- IP

۷- Cyber Enhanced Sanction (CES)

۸- Peters, M. (2017). Cyber Enhanced Sanction Strategies: Do Options Exist?. Journal of Law & Cyber Warfare, 6(1), 95-154.

۹- Office of Foreign Assets Control (OFAC)

۱۰- Cyber-Related Sanctions Program

۱۱- Cyber2