پایان امنیت سایبری

از زمان «کرم رایانه‌ای موریس» در سال ۱۹۸۸ که اینترنت اولیه را فلج کرد، جهان همچنان روی کدهای شکننده‌ای پر از نقص‌های مشابه اجرا می‌شود. برخلاف تصور عمومی، آمریکا مشکل امنیت سایبری ندارد، بلکه مشکل کیفیت نرم‌افزار دارد. صنعت چندمیلیارد دلاری امنیت سایبری عمدتاً برای جبران نرم‌افزارهای ناامن وجود دارد. از سال ۲۰۲۱، هکرهای مرتبط با وزارت امنیت چین و ارتش چین، با سوءاستفاده از نقص‌های قدیمی در سامانه‌های بدون نقطه اتصال و دستگاه‌های ضعیف، به شبکه‌های مخابراتی، حمل‌ونقل و تأسیسات برق نفوذ کرده‌اند. در سال ۲۰۲۵، هکرهای سرویس امنیت فدرال روسیه نیز نقص‌های مشابهی را در زیرساخت‌های آمریکا هدف گرفتند. با وابستگی روزافزون بیمارستان‌ها و بنادر به نرم‌افزار، کد ناامن تهدیدی رو به رشد است.

مشکل ریشه در اقتصاد دارد. خریداران نمی‌توانند امنیت نرم‌افزار را ارزیابی کنند و فروشندگان انگیزه‌ای برای اولویت دادن به امنیت ندارند، زیرا رقابت بر قیمت پایین، سرعت عرضه و قابلیت‌های راحت متمرکز است. این امر صنعت امنیت سایبری را به راه‌حل‌های پسینی مانند آنتی‌ویروس‌ها و فایروال‌ها سوق داده که نقص‌هایی را برطرف می‌کنند که نباید وجود می‌داشتند. فقدان استانداردهای اجباری و مسئولیت‌پذیری، طراحی ناامن را منطقی کرده است. وقتی نقض‌های فاجعه‌بار رخ می‌دهد، شرکت‌ها وصله منتشر می‌کنند، اما مشتری ضرر می‌بیند.

هوش مصنوعی این معادله را تغییر می‌دهد. اکنون حدود یک‌چهارم کدهای شرکت‌های بزرگ را تولید می‌کند و تا پنج سال آینده ممکن است به ۸۰ درصد برسد. اگر روی استانداردهای امن آموزش ببیند، می‌تواند خطاهای انسانی را اصلاح کند. در چالش سایبری هوش مصنوعی آژانس دارپا (سال‌های ۲۰۲۳-۲۰۲۵)، مدل‌های هوش مصنوعی نقص‌های کدی را در چند دقیقه یافتند و رفع کردند؛ کاری که تیم‌های تخصصی برایش به روزها یا هفته‌ها نیاز دارند. گوگل، متا و مایکروسافت نیز ازهوش مصنوعی برای شناسایی ضعف‌ها استفاده می‌کنند. مهم‌تر اینکه، هوش مصنوعی می‌تواند کدهای قدیمی زیرساخت‌های حیاتی را که بازنویسی‌شان تا کنون پرهزینه بود، به‌صورت مقیاس‌پذیر اصلاح کند، و این یک پیشرفت اقتصادی و فنی است.

با این حال، هوش مصنوعی می‌تواند ابزار هکرها را نیز تقویت کند. اما با ساخت نرم‌افزارهایی که نقص‌های قابل سوءاستفاده را حذف می‌کنند، تأثیر عمیق‌تر آن در پیشگیری است. این تغییر، امنیت را به ویژگی استاندارد بدل می‌کند، نه افزودنی پرهزینه. برای تحقق این امر، دولت، فروشندگان و سرمایه‌گذاران باید انگیزه‌ها را تغییر دهند. طرح اقدام هوش مصنوعی کاخ سفید (ماه جولای) بر امنیت و شفافیت هوش مصنوعی تأکید دارد. محیط‌های تست مشترک، تأیید منشأ مدل‌ها و ممیزی داده‌های آموزشی لازم است. قانون جدید کالیفرنیا در ماه سپتامبر نمونه‌ای برای شفافیت و ارزیابی ریسک ارائه می‌دهد.

برای تغییر انگیزه‌های بازار، معیارهای استانداردی مانند برچسب Cyber Trust Mark باید گسترش یابد تا امنیت نرم‌افزار برای خریداران شفاف شود. مقررات پراکنده فعلی، که بخش‌های مختلف را جداگانه تنظیم می‌کند، به‌جای کاهش ریسک، انطباق ظاهری را ترویج می‌دهد. کمیسیون سولاریوم سایبری فضای سایبری ایالات متحده پیشنهاد می‌کند تمرکز بر خود نرم‌افزار باشد، با چارچوبی برای مسئولیت‌پذیری تولیدکنندگان در برابر طراحی‌های سهل‌انگارانه. دفتر ملی سایبری (ONCD) باید رهبری را متمرکز کند تا سیاست‌های منسجم را پیش ببرد. دولت فدرال، به‌عنوان بزرگ‌ترین خریدار نرم‌افزار، می‌تواند با الزام به استانداردهای امن، مانند اقدام  JPMorgan Chase، تولیدکنندگان را پاسخگو کند.

پیامدهای شکست در حل مشکل کیفیت نرم‌افزار جدی‌تر می‌شود. شبکه‌های برق، بیمارستان‌ها و بنادر به نرم‌افزار وابسته‌اند و در معرض اختلال‌اند. پیشرفت ممکن است، اما نیاز به تمرکز دولت ترامپ بر استفاده از قدرت خرید فدرال و استانداردهای طراحی امن دارد. کاهش نقص‌ها، منابع پنتاگون را برای قابلیت‌های تهاجمی سایبری آزاد می‌کند و امنیت را از مبارزه دفاعی به طراحی عمدی یک جهان دیجیتال امن‌تر تغییر می‌دهد./ منبع