میلیونها کامپیوتر در سراسر جهان روز جمعه پس از بهروزرسانی نرمافزار ناقص CrowdStrike که خطوط هوایی، بیمارستانها، بانکها و پخشکنندهها را تحت تأثیر قرار داد، آفلاین شدند. کارشناسان سایبری می گویند که کانادا در واکنش خود نسبت به سایر کشورها کوتاهی کرده است و نشان می دهد که برای حملات آینده آسیب پذیر است و آمادگی لازم را ندارد.
کانادا در میانه راه بود. من به آن امتیاز بسیار پایین می دهم. برایان اوهیگینز، کارشناس امنیت سایبری، روز یکشنبه در مصاحبه ای با زوم گفت: سه از 10. برخی کشورها کمی سازماندهی شده تر هستند.
رایتش کوتاک، یکی دیگر از کارشناسان امنیت سایبری در مصاحبه با زوم گفت: کانادا آماده نیست. «کارهای زیادی برای انجام دادن وجود دارد.
کارشناسان امنیت سایبری می گویند که کانادا هیچ فرآیند ساده ای برای نحوه واکنش به یک اختلال یا حمله سایبری ندارد. در عوض، آنها می گویند، کانادا برای رسیدگی به مسائل سایبری به نهادهای متعدد و جداگانه متکی است.
اوهیگینز گفت: «داشتن یک تزار سایبری یا یک نقطه تماس برای همه اینها منطقی است. اکنون 10 مورد از آنها وجود دارد، یا شاید بیشتر، و تخصص زیادی وجود دارد. اما بسیاری از آنها در یک منطقه طبقه بندی شده هستند و بسیاری از زندگی آنها صرف صحبت نکردن با مردم می شود و ما به عکس آن نیاز داریم. بنابراین، همه چیز در مورد سازمان است.”
تحلیلگران سایبری می گویند که قطعی IT در روز جمعه باعث شده است که تعداد زیادی از شرکت ها و مقامات استانی برای یافتن راه حل هایی برای این قطعی ها تلاش کنند – به جای اینکه یک سازمان دولتی جداگانه برای کمک به آنها مراجعه کنند.
اوهیگینز و دیگران به استرالیا به عنوان «استاندارد طلایی» اشاره میکنند که در آن یک وزیر امنیت سایبری وجود دارد که تنها مسئولیتش این است که وقتی مسائل سایبری مانند قطع برق به کشور سر میزند، مخاطب باشد.
کوتاک گفت: «در سطح کلان، ما به هماهنگی بهتر بین تمام سطوح دولت نیاز داریم تا اطمینان حاصل کنیم که منابع کافی وجود دارد، هماهنگی در هنگام وقوع حمله یا اختلال سایبری وجود دارد». “ما به یک نقطه تماس واحد نیاز داریم، کسی که پاسخ دهد، کسی که در هنگام حمله هماهنگ کند. من فکر میکنم وقتی بخشای باشد، چه صنعت، چه دفاع یا امنیت عمومی، خراب میشود و همه آنها پاسخهای خاص خود را به امنیت سایبری دارند.”
کارشناسان امنیت سایبری همچنین می گویند که کانادا مانند سایر کشورها فاقد یک استراتژی قوی است که بودجه و سایر منابع را به طرح های امنیت سایبری تخصیص می دهد، از جمله مسئول نگه داشتن شرکت های فناوری برای شکاف های موجود در ابتکارات امنیت سایبری خود.
“ما [Canada] آنها هیچ قانونی ندارند کارمی لوی، کارشناس فناوری، روز یکشنبه در مصاحبهای با زوم گفت: ما چارچوبهایی را در اختیار نداریم
اتحادیه اروپا قانون تابآوری سایبری خود را دارد که شرکتها را مسئول میداند تا مطمئن شوند هر کاری که میتوانند برای حفظ امنیت خود و سهامدارانشان انجام میدهند. و (آنها) در صورت رعایت نکردن عواقب در قانون خواهند داشت.”
کارشناسان امنیت سایبری همچنین به استراتژی امنیت سایبری هفت ساله استرالیا که در پایان سال 2023 منتشر شد، اشاره می کنند که صدها میلیون دلار بودجه و سایر منابع را تا سال 2030 به بخش امنیت سایبری اختصاص می دهد.
“استراتژی امنیت سایبری استرالیا دارای تاریخها و بودجه واقعی برای اطمینان از رسیدن به آن تاریخها است، آنها از قبل اولویتبندی کردهاند و با قوانین و ابتکارات خود سازگار بودهاند.”
لوی گفت: «در حالی که در کانادا اوایل سال جاری یک استراتژی امنیت سایبری ملی را معرفی کردیم، اما بودجه بسیار کمی وجود دارد، هیچ جدول زمانی و واقعاً درک درستی از این که کاناداییها را به کجا خواهد برد، وجود دارد.
کارشناسان امنیت سایبری می گویند برای کمک به شرکت هایی که ممکن است منابع لازم برای پاسخ به یک حمله یا اختلال سایبری را نداشته باشند، باید قوانین و بودجه بیشتری وجود داشته باشد. کوتاک گفت: «این کمکها و وجوه نیز باید بدون موانع باشد.
در سطح خرد، چیزی که من می خواهم ببینم کمک های مالی بیشتر است، منابع بیشتری به کسب و کارهای کوچک و متوسط داده می شود تا آنها را برای شرایط اجتناب ناپذیر آماده کند.»
اوهیگینز می گوید که باید مقررات بیشتری وجود داشته باشد – و اجرای آن مقررات – برای همتراز کردن کانادا با سایر کشورها.
در پاسخ، Communications Security Establishment Canada (CSE) اعلام کرد که “دولت کانادا در حال حاضر در حال تمدید استراتژی ملی امنیت سایبری است که در ابتدا در سال 2018 راه اندازی شد.”
این لایحه افزود: «لایحه C-26 (قانون احترام به امنیت سایبری) گام بعدی حیاتی است که ابزارها و اختیارات جدیدی را برای تقویت سیستم دفاعی، بهبود امنیت در بخشهای حیاتی تحت نظارت فدرال و حفاظت از کاناداییها و زیرساختهای حیاتی فراهم میکند کانادا این لایحه در سنا است و شرکتهای چهار بخش زیرساختهای حیاتی (انرژی، مخابرات، مالی و حملونقل) را ملزم میکند تا حوادث سایبری را به مرکز سایبری گزارش دهند، با برخی از پادمانهای مهم اجباری – مانند داشتن یک طرح امنیت سایبری در محل. به عنوان مثال در جای خود.”