معضلات پست الکترونیک

خودتان را آماده کنید شما می توانید از نظر قانونی درباره امنیت شبکه جهانی مسئول شناخته شوید شرکت هایی که انواع ویروس ها, Wormها و کدهای مخرب دیگر را از طریق انتقالات الکترونیکی مثل e mail به شرکت های دیگر منتقل می کنند به زودی به دادگاه کشانده خواهند شد و حتی اگر اینکارشان از روی عمد نباشد, باز هم مسئول خواهند بود

خودتان را آماده کنید. شما می‌توانید از نظر قانونی درباره امنیت شبکه جهانی مسئول شناخته شوید. شرکت‌هایی که انواع ویروس‌ها، Wormها و کدهای مخرب دیگر را از طریق انتقالات الکترونیکی مثل e-mail به شرکت‌های دیگر منتقل می‌کنند به زودی به دادگاه کشانده خواهند شد و حتی اگر اینکارشان از روی عمد نباشد، باز هم مسئول خواهند بود. چارلز هیپ‌نیک، معمار ارشد امنیت سیستم‌های شرکت Armed که یک شرکت بیمه سلامتی در میانی است می‌گوید: ”کوشش کافی فقط در اذهان عموم وجود دارد و عملا کاری انجام نمی‌شود“. قوانین مختلف، آژانس‌های دولتی و موسسات خصوصی در حال تنظیم استانداردهای جدید برای امنیت اینترنت و شبکه می‌باشند. در ضمن وکلا تئوری‌های قانونی مختلف برای تنبیه کردن مجرمین الکترونیکی را مورد آزمایش قرار می‌دهند و بعضی از شرکت‌ها قرار دادهایی را امضا می‌کنند که حتی انتقال تصادفی کدهای مخرب را منع نموده است. بدین ترتیب فکر می‌کنید اقامه دعوی در این رابطه کار درستی است؟

راجرکول از شرکت Fen wick & West LLP در این‌‌باره می‌گوید: ”ما به این نوع اقامه دعوی در آینده نگاه خواهیم کرد. به هر حال این نوع شکایت به زودی اتفاق خواهد افتاد“. جولی دیویس، قائم مقام اجرایی Aon Affinity Insurance Services و یکی از مولفان “e-Risk: Liabilities in a wined world" می‌گوید: ”در حقیقت بعضی از شرکتها، شرکتهای دیگر را به منظور گرفتن خسارات ناشی از مشکلات کامپیوتری تحت پیگرد قرار می‌دهند“. بعضی از شرکت‌هایی که تحت پیگرد قرار می‌گیرند آنهایی هستند که ناخواسته ویروس‌ها، wormها و دیگر انواع کدهای مخرب را منتشر ساخته‌اند. تعدادی نیز شرکت‌هایی هستند که به صورت قراردادی تعهد نموده‌اند سیستم‌های یک شرکت را امن نگه‌دارند. این گروه در دادگاه محکوم نمی‌شوند زیرا مدیران اجرایی ترجیح می‌دهند از جلب توجه عموم به یک چنین مسائلی اجتناب ورزند. با وضعیت فعلی ارتباطات الکترونیکی احتمال بروز مشکلات بسیار بالا است. آرت مانیون تحلیگر امنیت اینترنت CERT Coordination Center می‌گوید: ”امروزه اگر با اینترنت کار می‌کنید در معرض سطحی از فعالیتهای نفوذی و حملات دائمی قرار خواهید گرفت“.

انواع خطرات مثل ویروس‌ها، Wormها، تروآ، حملات DoS، هک و غیره سیستم شما را تهدید می‌کنند و بسیاری از افراد می‌توانند با استفاده از ابزارهای الکترونیکی مانند پیام فوری به کامپیوتر شما نفوذ کنند. جف‌پلاتون قائم مقام بخش بازاریابی تکنولوژی و محصول سیسکو می‌گوید که در حال حاضر ۶۰،۰۰۰ ویروس مختلف سیستم‌های کاربران را تهدید می‌کنند. با اتصال تعداد بیشتری از کامپیوترها و سیستم‌ها تهدید نیز نه تنها از طریق اینترنت بلکه از طریق مشارکت‌های تجاری که اتصالات و روابط را برقرار می‌سازند، افزایش می‌یابد. مانیون می‌گوید: ”امنیت من به امنیت دیگران بستگی دارد و این وابستگی با ارتباط نزدیکتر بیشتر صدق پیدا می‌کند. وقتی دری را به روی کسی می‌گشایید اعتماد خود را به او نشان می‌دهید در حالیکه به خطر نیز می‌افتید“. شرکتهایی که تصور می‌کنند در امنیت کامل هستند، در حالیکه با شرکت دیگری به عنوان شریک تجاری اتصال دارند، باید بدانند که شاید شریک تجاری اشان از نظر امنیتی چندان قدرتمند نباشد. این یک ارتباط ضعیف است که می‌تواند راه نفوذ مهاجمان را باز کند. Gregg Kirchhoefer از Kirkland & Ellis LLP می‌‌گوید: ”مطمئنا نگرانی زیادی از بابت تاثیر ویروس‌ها برروی زیر ساختار IT وجود دارد. ویروس‌ها می‌توانند تاثیر فوق‌العاده‌ای برروی سیستم‌ها داشته باشند و نتایج مصیبت باری ایجاد کنند“. به گفته متخصصان اقامه دعوی در چنین مواردی آسان نیست. زیرا برآورد خسارت مشکل است: ”اگر ویروسی برای یک‌ روز پیامهای الکترونیکی را تحت تاثیر قرار دهد چگونه شرکت می‌تواند میزان دقیق خسارت وارد شده را برآورد و ثابت کند. در ضمن ارزیابی و اثبات منشا کد مخرب نیز اگر چه غیرممکن نیست، اما بسیار مشکل می‌باشد. ساندرا جسکی از Duone Morris LLP و نیز عضو هئیت مدیره Computer Law Association می‌گوید: اما مطمئنا یک وکیل می‌تواند روش‌هایی برای تعیین مسئولیت در این مورد عرضه کند. به هر حال اقامه دعوی درباره بی‌توجهی مطرح می‌شود حتی اگر ثابت کردن آن مشکل باشد، اقامه دعوی می‌تواند بدین گونه مطرح شود: ”اگر سیستم شما آلوده باشد و این آلودگی را به سیستم من منتقل نمایید به این معنی است که شما به دلیل بی‌توجهی، به‌طور صحیح از من محافظت نکرده‌اید“.

مسئله اهمال با استانداردهای برقرار شده قابل توضیح است و استانداردهای امنیتی در حال تکامل یافتن هستند. قوانین فدرال و استانداردهای امنیتی مثل ISO ۱۷۷۹۹ وBS ۷۷۹۹ انتظاراتی را ایجاد کرده‌اند که شرکتها باید آنها را برآورده سازند. Melissa R. Blake slee یکی از شرکای گروه تجارت الکترونیک شرکت McDermott Will & Emery LLP می‌گوید: شرکت‌ها باید بدانند که رفتارشان، امنیت‌شان و نیز تکنولوژی آنها یا با استانداردهای صنعتی و یا با روش‌هایی که به مشتریانشان اعلام کرده‌اند مقایسه و ارزیابی می‌شود. در خواست حقوق قانونی درباره اعمال تنها استراتژی قانونی نمی‌باشد. بعضی از وکلا می‌گویند جلوگیری از روابط تجاری موجود و آشفته ساختن آن نیز می‌تواند عکس‌العمل‌هایی را درپی داشته باشد. کول می‌گوید: ”در انگلستان این عقاید رایج می‌باشند. در اینجا اختلال و آشفته سازی می‌تواند باعث از دست دادن حق استفاده از سرورهای کامپیوتری شود. وکلا به صورت مبتکرانه از قوانین قدیمی برای موضوع مسئولیت در قبال انتشار اسپم استفاده کرده‌اند و من فکر می‌کنم موج بعدی شکایات و کشیده شدن آنها به دادگاه در حوزه ویروس خواهد بود“.

جسکی به مورد اقامه دعوی شرکت اینتل در مقابل حمیدی در سال۲۰۰۳ اشاره می‌کند. در آن سال شرکت اینتل کارمند سابق کوروش حمیدی را به ایجاد اختلال از طریق استفاده نادرست از e-mail متهم کرد. گرچه اینتل در این مورد به جایی نرسید اما به هر حال مشخص شد که چگونه می‌توان امروزه از قوانین قدیمی استفاده کرد. به گفته متخصصان، شرکتها برای جلوگیری از چنین موقعیت‌هایی قرار داد‌هایی را تنظیم و استفاده می‌کنند. Blake Slee می‌گوید: یکی از شروط قرار داد به کنترل وظایف گروهی که مسئولیت محافظت از سیستم‌ها را بر عهده دارند می‌پردازد. این شرایط روش دیگری برای اقدام قانونی فراهم می‌سازد: شرکتها می‌توانند ادعا کنند که اگر کد مخرب وارد سیستم‌هایشان بشود و اقدامات امنیتی کافی نباشند نقض قرار دارد صورت گرفته است. با رشد ویروس می‌توان همین ادعا را پیگیری کرد.بنجامین رایت نویسنده Business Law & Computer Security می‌گوید: ”مردم درباره این موضوع فکر می‌کنند. اما محکوم کردن افراد و شرکتها به دلیل ارسال ویروس از طریق e-mail و مسئول و مقصر نشان دادن آنها موفقیتی به همراه ندارد. اگر یک مورد این چنینی دیده شود جای تعجب دارد. Kirchhoefer نیز اعتقاد دارد که شکایت درباره اعمال و بی‌توجهی یک شرکت در آلوده نمودن سیستم‌ها از طریق e-mail معمولا به جایی نمی‌رسد و هر دو شرکت که با هم ارتباط دارند در مورد برقراری امنیت مسئولیت دارند.

اما بعضی‌ها معتقدند که این موضوع شرکتها را از اقامه دعوی باز نمی‌دارد. نامنی‌فلین موسس و مدیر اجرایی The epolicy Institute در Commbus می‌گوید: ”ما همیشه در جستجوی کسی هستیم که مسئولیت را به گردن بگیرد. بنابراین شکایت درباره قصور و کوتاهی معنا می‌یابد“.

● زبان مسئولیت

شرکتها به طور فزاینده‌ای از قرار دادها برای تضمین امنیت شرکا و فروشندگانشان استفاده می‌کنند. IT چه کاری می‌تواند انجام دهد؟ امروزه امنیت یک موضوع حیاتی است، اما سئوال متخصصان مسائل امنیتی و قانونگذاران این است که آیا مدیران اجرایی IT نسبت مسئول بودن خود و مسائل مربوط به آن آگاهی دارند یا خیر؟

ساندرا جسکی می‌گوید: ”وقتی من درباره این موضوع با آنها صحبت می‌کنم تقریبا همیشه متعجب می‌شوند“. جسکی و بسیاری از متخصصین دیگر روش‌های زیر را برای کاهش خطر پیشنهاد می‌کنند:

▪ اقدامات امنیتی را که برای شرکت و بخش صنعتی شما استاندارد محسوب می‌شود اجرا کنید و آن را ادامه دهید.

▪ با بخش حقوقی خود کار کنید تا از رعایت مقررات امنیتی که در قرار داد ذکر شده اطمنیان یابید. Blake slee می‌گوید: گاهی اوقات قرار دادهای امنیتی توسط شرکا امضا می‌شود و کنار گذاشته می‌شود. در واقع این موضوع نگران کننده است.

▪ به کارمندان خود درباره کد مخرب، چگونگی یافتن آن، اجتناب از آن و گزارش دادن آن آموزش دهید.

▪ سیاست‌های مرتبط با کامپیوتر را به خصوص در برابر دریافت غیرمجاز نرم‌افزار اعمال نمایید.

▪ از نرم‌افزارهایی که سیستم را برای یافتن برنامه‌های غیرمجاز اسکن می‌کنند استفاده نمایید. نامنی فلین در این مورد به استفاده کارمندان از پیام فوری اشاره می‌کند و می‌گوید: ”گروه‌های نفوذگر که قصد دارند ویروس‌ها را منتشر سازند از پیام فوری استفاده می‌کنند و تاکنون اکثریت کارکنان یک شرکت که پیام فوری را به کار می‌گیرند از یک برنامه رایگان بهره می‌برند. شرکتها نیز هیچ ابزار آماده‌ای برای محافظت از آنها ندارند.

▪ دسترسی به سیستم خود را محدود بسازید. آرت مانیون ایده “حداقل مزیت” را مناسب می‌داند. دپارتمان‌های IT باید سطحی از دسترسی را برای کاربران و شرکای تجاری فراهم سازند که مورد نیازشان است و دسترسی بیشتر به آنها ندهند.

● موارد دیگر

متخصصان مسائل قانونی اظهار می‌کنند که موارد دیگری وجود دارد که سبب کشیده شدن شرکتها به دادگاه می‌شود، این موارد در اینجا عنوان شده است: بنجامین رایت یکی از این موارد را “دفاع فعال” یا مقابله به مثل می‌نامد، به این شکل که شرکتها برای متوقف ساختن یک حمله یا دیگر مسائل مربوط به اینترنت راه تلافی را در پیش می‌گیرند و به طور مثال اسپمی را که از یک سرور برایشان ارسال شده به همان سرور پس می‌فرستند. او می‌گوید: ”سئوالات زیادی در این رابطه وجود دارد: آیا انجام داده کارهایی (به عنوان تلافی) که احتمالا در این سرور اختلال ایجاد می‌کند قانونی است یا غیرقانونی؟ آیا با اینکار به آن سرور صدمه می‌زنید یا قوانین کامپیوتری را زیر پا می‌گذارید؟“

مدیران ارشد اطلاعات که از روش مقابله به مثل استفاده می‌کنند ممکن است از مالک سرور شکایت کنند و بدین ترتیب دادگاه را درگیر این موضوع نموده و اظهار کنند که هیچ کار غیرقانونی انجام نمی‌دهند.شرکت‌ها می‌توانند برای فعالیت‌های مخرب یک کارمند مثلا استفاده از تجهیزات شرکت برای انتشار یک ویروس مسئول و مقصر شناخته شوند. در ضمن هر نوع به اشتراک‌گذاری فایل Peer-to-Peer غیر قانونی از طریق سیستم‌های یک شرکت، آن شرکت را به دردسر می‌اندازد. حتی اگر مدیران اجرایی درباره این فعالیت‌ها آگاهی نداشته باشند شاکیان می‌توانند همین عدم کنترل را به عنوان شکایت مطرح سازند.

نویسنده: Mary K. Pratt

مترجم: مریم پویان‌پور