موضوعات عملی در تحریم های مربوط به سایبری

ایالات متحده در صدر ایجاد یک رژیم تحریم های اقتصادی متمرکز بر سایبری قرار گرفته است ، [2] که در درجه اول توسط وزارت خزانه داری ایالات متحده ، دفتر کنترل دارایی های خارجی (OFAC) اداره می شود ، اگرچه دادرسی های کیفری برای برخی از مجازات های مجازات مجازاتمسئولیت وزارت دادگستری ایالات متحده است.

OFAC مجازات های مختلفی را برای هدف قرار دادن فعالیت های مخرب مربوط به سایبری ، مانند احترام سایبری ، مداخلات سایبری در زیرساخت های مهم و شبکه های رایانه ای و کمپین های ضد اطلاعات انجام شده از خارج از کشور انجام می دهد. بخش عمده ای از این تحریم ها تحت عنوان "برنامه تحریم های مربوط به سایبری" OFAC ، که در سال 2015 به عنوان بخشی از پاسخ دولت اوباما به فعالیتهای مخرب سایبری که از کشورهای خارجی سرچشمه گرفته شده است ، اجرا می شود که هم از کشورهای خارجی که هم به سازمان های دولتی آمریکا و هم در بخش خصوصی هدایت می شوند ، تأسیس شده است. نهادهای ایالات متحدهبا این حال ، تحریم هایی که فعالیت های مخرب مربوط به سایبری را هدف قرار می دهد نیز تحت عنوان سایر مجازات های قانونی و اجرایی مجازات های مجازات های قانونی ، از جمله مخالفان آمریکا از طریق قانون تحریم (CAATSA) و همچنین دستور اجرایی (EO) 14024 ، مسدود کردن اموال با توجه به مضر مشخص شده مجاز است. فعالیت های خارجی دولت فدراسیون روسیه ، که در 15 آوریل 2021 صادر شد.

پیش از اولین EO دولت اوباما که مجازات های مربوط به سایبری را مجاز می کند ، مداخلات سایبری مخرب و احترام سایبری از خارج از کشور به طور فزاینده ای مکرر و شدید می شد. به عنوان مثال ، در 19 مه 2014 ، در اولین پیگرد قانونی خود علیه یک بازیگر دولتی برای فعالیت های مخرب با فعالیت های سایبری ، وزارت دادگستری ایالات متحده پنج اتباع چینی را که گفته می شود وابسته به ارتش چین است ، به دلیل دسترسی غیرمجاز به شبکه های رایانه ای برای این کشور ، متهم کردهدف آشکار از مشارکت در جاسوسی اقتصادی که در شش نهاد آمریکایی درگیر در صنایع انرژی هسته ای ، فلزات و محصولات خورشیدی است.[3] در سپتامبر سال 2014 ، پرزیدنت اوباما گفت كه دولت وی سرقت اسرار تجاری را به عنوان "عمل پرخاشگری كه باید متوقف شود" تلقی می كند و هشدار داد كه آمریكا آمادگی تحمیل اقدامات متقابل را برای جلب توجه [چین] دارد.'.[4]

پیش از تأسیس برنامه تحریم های مربوط به سایبری OFAC ، سازمان های اجرای قانون ایالات متحده مقامات قانونی را در اختیار داشتند تا اتهاماتی را علیه افراد درگیر در انواع جاسوسی سایبری یا نفوذ غیرمجاز در رایانه های دولت و بخش خصوصی و شبکه های خصوصی در دسترس قرار دهند.[5] با این وجود ، با تهدید فزاینده ای که هکرهای مستقر در خارجی هدف قرار دادن مالکیت معنوی ارزشمند ایالات متحده و داده های خصوصی حساس ایالات متحده قرار گرفته اند ، از جمله موارد دیگر ، سازمان های امنیت ملی ایالات متحده تحریم ها را ابزاری برای تعیین ماهیت فرازمینی سایبری می دانندحملات بازیگران خارجی را فعال کرد.

این امر در تاریخ 1 آوریل 2015 به پایان رسید که رئیس جمهور اوباما EO 13694 را صادر کرد ، که برای مقابله با "تهدید غیرمعمول و خارق العاده برای امنیت ملی ، سیاست خارجی و اقتصاد ایالات متحده که با شیوع فزاینده و شدت بدخلقی ها تشکیل شده است ، اضطراری ملی اعلام کردفعالیت های دارای مجوز سایبری که از طرف افراد واقع شده ، به طور کامل یا در بخش قابل توجهی ، خارج از ایالات متحده ، سرچشمه گرفته است.[6] مانند اکثر مقامات تحریم های اقتصادی ایالات متحده ، این EO به موجب قانون بین المللی اختیارات اضطراری اقتصادی (50 USC §§ 1701-1708) و قانون اضطراری ملی (50 USC 1601 ، 1621-1631 و 1641 صادر شد.).

در 28 دسامبر 2016 ، رئیس جمهور اوباما EO 13757 را صادر کرد ، که EO 13694 را اصلاح کرد تا دامنه فعالیت های مربوط به سایبری را با توجه به تحریم ها گسترش دهد. همانطور که اصلاح شده است ، این EOS با مشورت با دادستان کل و وزیر امور خارجه ، وزیر خزانه داری را مجاز می کند تا تحریم های مسدود کننده را بر روی افراد مصمم تحمیل کند:

• مسئولیت یا همدست بودن ، یا به طور مستقیم یا غیرمستقیم ، فعالیت های دارای مجوز سایبری را که از طرف افراد واقع شده ، به طور کامل یا در بخش قابل توجهی ، خارج از ایالات متحده ، در خارج از ایالات متحده انجام می شود ، درگیر کرده و یا در خارج از ایالات متحده است که به طور منطقی احتمالاً منجر به آن می شود. یا از نظر مادی در تهدیدی مهم برای امنیت ملی ، سیاست خارجی یا سلامت اقتصادی یا ثبات مالی ایالات متحده و این هدف یا تأثیر این موارد است:
  • آسیب رساندن ، یا در غیر این صورت به خطر انداختن خدمات توسط رایانه یا شبکه رایانه هایی که از یک یا چند نهاد در یک بخش زیرساخت مهم پشتیبانی می کنند.
  • به طور قابل توجهی به خطر انداختن خدمات توسط یک یا چند نهاد در یک بخش بحرانی زیرساخت ؛
  • ایجاد اختلال قابل توجه در دسترس بودن رایانه یا شبکه رایانه ها.
  • ایجاد سوء استفاده قابل توجه در صندوق ها یا منابع اقتصادی ، اسرار تجاری ، شناسه های شخصی یا اطلاعات مالی برای مزیت تجاری یا رقابتی یا سود مالی خصوصی. یا
  • دستکاری با ، تغییر یا ایجاد سوء استفاده از اطلاعات با هدف یا تأثیر دخالت یا تضعیف فرایندها یا نهادهای انتخابات. وت

  تحریم های مربوط به سایبری تحت Caatsa

  در 2 آگوست 2017 ، رئیس جمهور ترامپ به قانون Caatsa امضا كرد ، كه از جمله ، مجازات تحریم های مربوط به سایبری را كه روسیه را هدف قرار داده و مجازات های مربوط به سایبری را كه از طریق EO 13694 و EO 13757 تحمیل شده است ، رمزگذاری كرد. [9] در 20 سپتامبر 2018 ،پرزیدنت ترامپ EO 13849 را صادر کرد ، "اجازه اجرای برخی از تحریم های تعیین شده در مخالفان آمریکا را از طریق قانون تحریم ها (CAATSA)" ، که نمایندگان اختیارات اعمال تحریم ها را تحت عنوان CAATSA به وزیر خزانه داری ارائه می دهند.[10]

  با توجه به روسیه ، بخش 224 CAATSA شامل مقررات مجازات های اضافی بود که فعالیت های مخرب سایبری را که از برنامه تحریم های مربوط به سایبری OFAC متمایز است ، هدف قرار داد. "به طور خاص ، بخش 224 (الف) (1) CAATSA به رئیس جمهور نیاز دارد تا تحریم های مسدود کننده را تحمیل کند. هر شخصی که رئیس جمهور تعیین کند (الف) آگاهانه فعالیتهای مهمی را که تضعیف امنیت سایبری علیه هر شخص ، از جمله یک نهاد دموکراتیک یا دولت به نمایندگی از دولت فدراسیون روسیه است ، انجام می دهد. یا (ب) متعلق به یا کنترل شده است ، یا اقدامات یا اقداماتی را انجام می دهد که به طور مستقیم یا غیرمستقیم "از طرف یا به نمایندگی از آن عمل کند.[11] "فعالیتهای مهم تضعیف امنیت سایبری" عبارتند از:

  • تلاش های قابل توجه:
    • ممانعت از دسترسی یا تخریب، اختلال یا تخریب یک سیستم یا شبکه فناوری اطلاعات و ارتباطات؛یا
    • برای استخراج، تخریب، فساد، تخریب یا انتشار اطلاعات از چنین سیستم یا شبکه ای بدون مجوز برای اهداف:
      • انجام عملیات نفوذ؛یا
      • ایجاد سوء استفاده قابل توجه از وجوه، منابع اقتصادی، اسرار تجاری، هویت شخصی، یا اطلاعات مالی برای مزیت تجاری یا رقابتی یا منافع مالی خصوصی؛

      علاوه بر این، رئیس جمهور موظف است پنج یا چند تحریم مبتنی بر منو را بر افرادی اعمال کند که رئیس جمهور تشخیص می دهد آگاهانه "از لحاظ مادی کمک می کند، حمایت مالی می کند، یا حمایت مالی، مادی یا فنی برای آنها ارائه می کند، یا کالاها یا خدمات (به استثنای خدمات مالی)" را برای حمایت از آنها ارائه می کند. از، فعالیت های مرتبط با سایبری که در بخش 224 (a) (1) CAATSA توضیح داده شده است.[13] این تحریم‌های مبتنی بر منو شامل محدودیت‌هایی بر توانایی افراد تحریم‌شده برای مشارکت، انجام یا اخذ مجوزهای صادراتی ایالات متحده است. وام یا کمک از برخی موسسات مالی ایالات متحده و خارجی، از جمله بانک صادرات و واردات ایالات متحده؛برخی معاملات ارزی؛معاملات مختلف مربوط به اموال در ایالات متحده؛یا ویزای آمریکا[14]

      برای شخصی که رئیس جمهور تعیین می کند "خدمات مالی ارائه می دهد" در حمایت از فعالیت های مرتبط با سایبری که در بخش 224(a)(1) CAATSA توضیح داده شده است، CAATSA از رئیس جمهور می خواهد که سه یا چند تحریم مبتنی بر منو اعمال کند که به طور جداگانه در 22 USC توضیح داده شده است.§ 8923. [15] اینها شامل بسیاری از انواع تحریم های ذکر شده در بالا می شود.

      تحریم های مرتبط با سایبری تحت EO جدید که فعالیت های خارجی مضر روسیه را هدف قرار می دهد

      در 15 آوریل 2021، رئیس جمهور بایدن EO 14024 را صادر کرد، "مسدود کردن اموال با توجه به فعالیت های خارجی مضر مشخص شده دولت فدراسیون روسیه"، که هدف آن مقابله با طیف گسترده ای از فعالیت های بد حمایت شده توسط دولت روسیه، از جمله مداخله درانتخابات ریاست جمهوری 2020 ایالات متحده و حمله سایبری SolarWinds، از جمله.[16] EO 14024 به طور قابل توجهی دسته‌بندی افراد روسی را که می‌توانند هدف تحریم‌های ایالات متحده قرار گیرند، گسترش می‌دهد و شامل افرادی می‌شود که «مسئول یا همدست هستند، یا به طور مستقیم یا غیرمستقیم درگیر یا تلاش کرده‌اند». درگیر شدن در ... فعالیت های مخرب سایبری فعال شده.[17] همچنین می‌توان تحریم‌هایی را بر اساس فرمان 14024 بر روی همسر و فرزندان بزرگسال افرادی که تحت تحریم‌های این قانون قرار دارند، و همچنین تحریم‌هایی که توسط وزیر خزانه‌داری با مشورت وزیر امور خارجه تعیین می‌شود، برای کمک‌های مادی اعمال کرد. حمایت مالی، مادی یا تکنولوژیکی برای کالاها یا خدمات یا در حمایت از فعالیت‌های مخرب سایبری، حمایت مالی، یا ارائه شده است.

      مشاوره باج افزار OFAC

      در 1 اکتبر 2020، OFAC "مشاوره خود را در مورد خطرات احتمالی تحریم ها برای تسهیل پرداخت های باج افزار" (مشاوره باج افزار) برای برجسته کردن خطرات تبعیت از تحریم های مرتبط با تسهیل پرداخت های باج افزار مربوط به فعالیت های مخرب سایبری (به عنوان مثال، با ارائه سایبری) صادر کرد. پزشکی قانونی دیجیتال و پاسخ به حوادث، و خدمات مالی مربوط به پردازش پرداخت‌های باج از جمله موسسات سپرده‌گذاری و مشاغل خدمات پولی).[18] OFAC هشدار می‌دهد که تسهیل پرداخت باج‌افزار نه تنها ممکن است مجرمان و همچنین دشمنانی را که با یک حزب یا کشور تحریم‌شده مرتبط هستند، فعال و شجاع کند، بلکه ممکن است تضمینی برای دسترسی مجدد قربانی به داده‌های دزدیده‌شده نباشد.

      مشاوره باج‌افزار همچنین خاطرنشان می‌کند که قربانیان یک حمله باج‌افزار باید: اگر فکر می‌کنند درخواست پرداخت باج‌افزار ممکن است شامل تحریم‌ها باشد، فوراً با OFAC تماس بگیرند. و اگر حمله ای شامل یک مؤسسه مالی ایالات متحده می شود یا ممکن است «اختلال قابل توجهی در توانایی شرکت برای انجام خدمات مالی حیاتی» ایجاد کند، با دفتر امنیت سایبری و حفاظت از زیرساخت های حیاتی وزارت خزانه داری ایالات متحده تماس بگیرید.

      اجرای OFAC و موارد مصور اخیر

      به نظر می رسد استفاده OFAC از مقامات تحریم سایبری در حال افزایش است. اجرای OFAC این مقامات تحریمی را به طور کلی می توان به دو بخش تقسیم کرد:

      • اعمال مسدود کردن یا تحریم‌های مبتنی بر منو برای افراد و نهادها به دلیل مشارکت در فعالیت‌های قابل تحریم (مانند انجام حملات سایبری یا کمک مادی از طریق پولشویی وجوه به‌دست‌آمده از این طریق)؛و
      • اعمال مجازات های مدنی برای نقض تحریم ها (به عنوان مثال، معامله با یک فرد مسدود شده تحریم شده برای فعالیت های سایبری بدخیم). تعقیب کیفری برای نقض تحریم ها، که معمولاً بر فاحش ترین سوء رفتار عمدی متمرکز است، در صلاحیت وزارت دادگستری ایالات متحده است.

      از سال 2015، OFAC هر ساله احزاب متعددی را زیر نظر مقامات تحریم های مرتبط با سایبری تعیین کرده است. با این حال، OFAC مجازات های مدنی نسبتا کمی را در ارتباط با تحریم های مرتبط با سایبری یا سایر موارد نقض انطباق با تحریم های مرتبط با سایبری اعمال کرده است. با این وجود، بر اساس دستورالعمل‌های اخیر صادر شده در سال 2020، و اعمال اخیر جریمه‌های مدنی علیه برخی کسب‌وکارها و نهادهای مبتنی بر اینترنت که در استفاده از ارزهای دیجیتال دخیل هستند، [19] OFAC نشان داده است که انتظار دارد طرف‌ها ریسک کامل را اجرا کنند. برنامه‌های انطباق بر تحریم‌ها برای رسیدگی به فعالیت‌های سایبری بدخیم و سایر آسیب‌پذیری‌های مرتبط با سایبری.

      تعیین تحریم های مرتبط با سایبری

      OFAC طی چند سال گذشته افراد متعددی را تحت برنامه تحریم‌های مرتبط با سایبری خود تعیین کرده است و بیشترین موارد را در سال 2020 انجام داده است. به عنوان مثال، آژانس تحقیقات اینترنتی) و سازمان های بین المللی مجرمان سایبری (به عنوان مثال، شرکت Evil)، و حتی چند سازمان دولتی خارجی (به عنوان مثال، سرویس امنیت فدرال فدراسیون روسیه). OFAC عمدتاً بر روی بازیگرانی متمرکز شده است که ساکن یا مرتبط با دولت-ملت های خارجی هستند که به عنوان متخاصم با ایالات متحده تلقی می شوند - در درجه اول روسیه، چین، ایران و کره شمالی - و درگیر در برخی از فعالیت های مخرب سایبری فعال شده اند، مانند:

      • توسعه و توزیع بدافزار، باج افزار، و کلاهبرداری های فیشینگ و جعل؛
      • دخالت در فرآیندها و نهادهای انتخاباتی در سراسر جهان از طریق اطلاعات نادرست یا هک؛
      • سرقت منابع اقتصادی، اسرار تجاری، اطلاعات هویتی شخصی یا اطلاعات مالی توسط نفوذهای سایبری برای منافع مالی خصوصی؛
      • انتشار اسناد حساس دزدیده شده که از طریق نفوذ سایبری به دست آمده و گاهی دستکاری شده اند.
      • اختلال در دسترسی به شبکه؛و
      • سازش نهادهای دولتی ایالات متحده و بخش های زیرساخت حیاتی ایالات متحده.

      مجازات های مدنی OFAC

      تا به امروز، OFAC هیچ گونه مجازات مدنی علنی را که به طور خاص با نقض تحریم های مرتبط با سایبری مرتبط باشد، اعمال نکرده است. با این حال، شهرک‌های مدنی زیر عموماً انتظارات انطباق OFAC را در حوزه‌های سایبری و دیجیتال نشان می‌دهند. موضوع ثابت، شکست شرکت متخلف در به کارگیری دانش مربوطه در اختیارش - به ویژه آدرس‌های پروتکل اینترنتی (IP) - برای شناسایی، جلوگیری یا مسدود کردن کاربران یا تراکنش‌های ممنوع است.

      • در 29 آوریل 2021، به عنوان بخشی از یک قطعنامه جهانی با وزارتخانه های دادگستری، خزانه داری و بازرگانی ایالات متحده، شرکت نرم افزاری مستقر در آلمان SAP SE (SAP) برای رسیدگی به 190 نقض آشکار تحریم های ایالات متحده علیه OFAC به توافق رسید. ایران.[20] این تخلفات آشکار از صادرات نرم‌افزار و خدمات مرتبط SAP از ایالات متحده به شرکت‌هایی در کشورهای ثالث با دانش یا دلیلی مبنی بر اینکه نرم‌افزار یا خدمات به‌طور خاص برای ایران در نظر گرفته شده‌اند و همچنین از فروش سیستم‌های ابری ناشی می‌شوند. خدمات اشتراک نرم‌افزاری که از راه دور از طریق کسب‌وکارهای ابری SAP در ایالات متحده به مشتریانی که خدمات را در اختیار کارمندان خود در ایران قرار داده‌اند، دسترسی پیدا می‌کنند. تحویل نرم‌افزارها از طریق کشورهای ثالث انجام می‌شد که سپس به مشتریان در ایران امکان دسترسی به پایگاه‌های اطلاعاتی و خدمات مستقر در ایالات متحده را می‌داد. این اتفاق علی‌رغم اینکه ممیزی‌های متعدد حاکی از وجود یک شکاف بزرگ در سیستم انطباق با تحریم‌های SAP بود - یعنی اینکه SAP آدرس‌های پروتکل اینترنت (IP) مشتریان را غربال نمی‌کرد و در نتیجه SAP قادر به شناسایی کشوری بود که نرم‌افزار SAP در آن دانلود شده است. تحقیقات داخلی بعدی SAP نشان داد که نرم افزار SAP توسط کاربران در ایران دانلود می شد. هنگامی که شرکت‌های تابعه SAP در ایالات متحده خدمات اشتراک نرم‌افزار مبتنی بر ابر را به مشتریانی فروختند که امکان دسترسی به کارمندان یا مشتریان در ایران را فراهم می‌کرد، تخلفات احتمالی دیگری رخ داد. این صادرات تا حدی در نتیجه عدم ادغام به موقع شرکت های تابعه CBG تازه خریداری شده در ساختار انطباق گسترده SAP رخ داده است. اقدام اجرایی SAP برای شرکت‌های جهانی که محصولات نرم‌افزاری را به‌صورت آنلاین ارائه می‌کنند، از جمله از طریق خدمات مبتنی بر ابر، دانلود مستقیم، یا دیگر ابزارهای دیگر، برجسته می‌شود: «اهمیت اجرای یک برنامه انطباق تحریم‌های مبتنی بر ریسک، متناسب با اندازه و پیچیدگی آنها و متناسب با آنها. ساختارهای بازاریابی و عملیاتی. تنظیم‌کننده‌های ایالات متحده همچنین تصریح کردند که در حوزه خدمات سایبری که تعامل با کاربر نهایی اغلب غیرمستقیم است، فرآیندهای غربالگری تحریم‌های مناسب عموماً شامل شناسایی آدرس IP و قابلیت‌های مسدودسازی می‌شود.
      • در 30 دسامبر سال 2020 ، شرکت فناوری مستقر در ایالات متحده Bitgo Inc. (BITGO) 183 مورد نقض آشکار رژیم های تحریم های متعدد به دلیل عدم استفاده از آدرس های IP در اختیار خود را برای جلوگیری از افراد مستقر در حوزه های مجازات از باز کردن حساب ها و ارسال ارزهای دیجیتالی از طریق تسویه حساب کرد. پلت فرم دیجیتال آن [21].[22] در حالی که Bitgo قبلاً به کاربران اجازه داده بود بدون ارائه اطلاعات مکان ، حساب های خود را باز کنند ، اما از سال 2018 Bitgo به تأییدات کاربر در مورد موقعیت مکانی خود اعتماد کرد اما تأیید اضافی از مکان کاربران را انجام نداد. این حتی پس از شروع Bitgo شروع به ردیابی آدرس های IP کاربران برای اهداف امنیتی مربوط به ورود به حساب. در این تسویه حساب ، یکی از اقدامات کاهش دهنده Bitgo شامل اجرای مسدود کردن آدرس IP و همچنین محدودیت های مربوط به ایمیل برای حوزه های قضایی مجازات بود.
      • در 18 فوریه 2021 ، شرکت مستقر در ایالات متحده Bitpay Inc. (BITPAY) ، ارائه دهنده خدمات پرداخت ارز دیجیتال ، 2،102 تخلف آشکار از برنامه های تحریم های متعدد برای اجازه دادن به افراد در صلاحیت های مجازات برای معامله با بازرگانان در ایالات متحده و جاهای دیگر در دیجیتال تسویه کرد. ارز روی پلتفرم خود حتی اگر BitPay اطلاعات موقعیت مکانی کاربران از جمله آدرس IP را در اختیار داشته باشد.[23] بنابراین ، اگرچه BitPay در زمان معامله در سیستم عامل خود ، از جمله آدرس های IP در معاملات پس از سال 2017 ، اطلاعات خاصی در مورد خریدار دریافت کرد ، روند Bitpay این اطلاعات را برای اهداف انطباق کاملاً تجزیه و تحلیل نکرد. در نتیجه ، پرداخت ارزهای دیجیتال پردازش شده از خریداران در حوزه های قضایی مجازات ، ارز دیجیتال را به ارز فیات تبدیل کرد و سپس پرداخت ها را به فروشندگان منتقل کرد. به عنوان بخشی از تسویه حساب ، Bitpay اقدامات کاهش بیشماری را انجام داد ، از جمله (1) مسدود کردن آدرس های IP که ناشی از حوزه های قضایی تحریم شده است که سعی در اتصال به وب سایت Bitpay یا مشاهده دستورالعمل نحوه انجام پرداخت دارند. و (2) راه اندازی یک ابزار جدید شناسایی مشتری ، شناسه Bitpay ، برای معاملات به ارزش 3000 دلار یا بیشتر که به خریدار نیاز دارد تا آدرس ایمیل ، اثبات شناسایی و عکس سلفی ارائه دهد.

      OFAC در اطلاعیه های خود در مورد Bitgo و Bitpay Settlements ، تأکید کرد که افراد آمریکایی درگیر در ارائه خدمات ارزهای دیجیتال (از جمله شرکت هایی هستند که تجارت آنلاین را تسهیل می کنند یا درگیر می شوند و یا معاملات را به ارز دیجیتال انجام می دهند) - مانند سایر افراد آمریکایی - مجازات دارندتعهدات مربوط به انطباق. علاوه بر این ، با استناد به مؤلفه های اساسی انطباق در "چارچوب تعهدات مربوط به انطباق OFAC" ، OFAC بر اهمیت اجرای کنترل های فنی مانند غربالگری لیست تحریم ها و مکانیسم های مسدود کردن IP ، برای کاهش خطرات تحریم در رابطه با خدمات ارزهای دیجیتال ، تأکید کرد.[24]

      خطرات مربوط به تحریم های مربوط به سایبری

      پرداختهای باج

      همانطور که در مشاوره باج افزار در سال 2020 OFAC بحث شد ، یک خطر انطباق منحصر به فرد برای تحریم های مربوط به سایبری مربوط به حملات باج افزار ، به ویژه پرداخت خود باج است.[25] مگر اینکه OFAC مجوز خاصی را اعطا کند ، شخصی که پرداخت باج به احزاب مجازات یا حوزه های قضایی را انجام می دهد ، ممکن است برای نقض مقررات تحریم های OFAC با مجازات هایی روبرو شود. به ویژه برای پرداخت باج انجام شده به ارز دیجیتال ، دشواری تعیین قطعی تعیین اینکه آیا این معامله شامل یک طرف مجازات شده است یا صلاحیت مجازات شده می تواند چالش های جدی در انطباق ایجاد کند. اگرچه هیچ مجازات مدنی عمومی در رابطه با این نوع تخلف اعلام نشده است ، OFAC بر ریسک های مربوط به پرداخت هزینه های باج در خلاف مقررات تحریم ها تأکید کرده است ، بلکه همچنین چنین پرداخت هایی را تسهیل می کند (به عنوان مثال ، مشاغل بیمه باج افزار ، پردازنده های پرداخت)واد

      بخش ارز دیجیتال

      از طریق اقدامات و راهنمایی های اجرایی آن ، [26] OFAC همچنین مشخص شده است که معاملات و خدمات مربوط به ارز دیجیتال ریسک انطباق تحریم ها را ارائه می دهند. بنابراین ، مشاغلی که اجازه پرداخت ارزهای دیجیتال را می دهند یا در بازار ارز دیجیتال یا بخش درگیر هستند (به عنوان مثال ، سیستم عامل های معاملات ارز دیجیتال ، مدیریت دارایی ، امنیت) ممکن است نیاز به در نظر گرفتن نحوه اجرای اقدامات مناسب برای انطباق با ریسک داشته باشند که به آسیب پذیری های خاص می پردازندارز دیجیتالبدون اقدامات مربوط به انطباق مناسب ، یک ارائه دهنده خدمات ارز دیجیتال می تواند نه تنها در قبال نقض تحریم ها (به عنوان مثال ، با برخورد با افراد مسدود شده یا اشخاص در حوزه های قضایی مجازات) ، بلکه برای تسهیل تخلفات مجازات توسط طرفین دیگر به معامله (حتی اگر غیرقانونی) نیز تحمل کند. واد

      به عنوان مثال ، دقیقاً مانند ارز فیات ، از مشاغل درگیر در معاملات ارز دیجیتال انتظار می رود غربالگری تحریم های مبتنی بر ریسک را برای طرفین درگیر مستقر کنند و اطمینان حاصل کنند که وجوه برای یک صلاحیت مجازات تعیین نشده است.[27] همانطور که در بالا توضیح داده شد ، اقدامات اجرایی اخیر انتظار OFAC را نشان می دهد که مشاغل مبتنی بر اینترنت باید از تمام اطلاعات شناخته شده مربوط در دوره تجارت خود برای اهداف انطباق تحریم استفاده کنند. به طور خاص ، OFAC اخیراً مجازاتهای مدنی را به مشاغل متعددی که آدرس IP مشتریان را می دانستند (به عنوان مثال ، با استفاده از خدمات اینترنتی) اعمال کرده است ، اما اطمینان حاصل نکرده است که مشتریان دارای آدرس IP در حوزه های قضایی مجازات شده از استفاده از خدمات یا انتقال آنها به نمایش گذاشته شده یا مسدود شده اند. سیستم عامل های آنها[28]

      cryptocurrency ، نوعی از ارز دیجیتال متکی به رمزنگاری برای تأمین و تأیید معاملات ، همچنین خطر را نشان می دهد زیرا مجرمان سایبری و سایر احزاب مجازات شده (از جمله دولت کره شمالی) ممکن است به استفاده از رمزنگاری به عنوان ابزاری برای فرار از تحریم ها ، پولشویی و تسهیل سایر موارد متوسل شوند. فعالیت های غیرقانونی (به عنوان مثال ، تکثیر سلاح های هسته ای [29]).[30] درآمد حاصل از فعالیت های مخرب سایبری به طور مرتب به مبادلات رمزنگاری و بازارهای همتا با برنامه های رعایت غربالگری مشتری ناچیز منتقل می شود ، یا معامله گران فردی همسالان یا بدون نسخه که در صرافی ها فعالیت نمی کنند که نمایش نمی دهندمشتریان آنها[31] به طور گسترده تر ، زیرساخت های ارز دیجیتال توسط برخی از مجرمان سایبری ، که از وب سایت های نامشروع و نرم افزارهای مخرب برای انجام حملات فیشینگ در بخش ارز دیجیتال استفاده می کنند ، هدف قرار گرفته است.[32] دقت و کنترل دقیق برای تعیین اینکه آیا ارز دیجیتال با فعالیت های سایبری قابل تحریم یا جنایی لکه دار شده است ممکن است در معاملات خاص یا مشاغل مورد نیاز باشد. به همین ترتیب ، OFAC تأکید کرده است که چگونه ضد پولشویی و مبارزه با تأمین مالی کنترل تروریسم نقش مهمی در تحریم ها و اجرای قانون به طور کلی ایفا می کند ، زیرا اینها می توانند مجرمان سایبری را مجبور به انجام اقدامات برای دور زدن چنین کنترل هایی کنند که دنباله های شواهد و ردیابی را ترک می کند.[33] OFAC عملی را برای شناسایی برخی آدرس های ارز دیجیتال [34] مرتبط با SDN ها و سایر افراد مسدود آغاز کرده است. این نوع جدید از اطلاعات ، که OFAC انتظار دارد بخشی از پروتکل های غربالگری استاندارد باشد ، به طور معمول به دلیل دشواری در جستجوی این آدرس ها در لیست SDN ، یک فرآیند غربالگری سخت تر را شامل می شود.[35]

      OFAC همچنین خاطرنشان كرد كه از آنجا كه صلاحیت های مختلف مجازات (به عنوان مثال ، ایران ، روسیه ، کره شمالی) به استفاده یا ایجاد ارزهای دیجیتالی متوسل می شوند ، خطر ناشی از بخش ارزهای دیجیتال ممکن است افزایش یابد.[36] صرف استفاده از برخی ارزهای دیجیتالی می تواند مشمول ممنوعیت پتو باشد ، که قبلاً با توجه به ارز دیجیتالی "پتروموندا" که توسط دولت ونزوئلا صادر شده است ، رخ داده است.[37] با صدور ارزهای دیجیتالی تحت حمایت دولت ، این یک منطقه خطر در حال تحول خواهد بود.

      صادرات ناخواسته به حوزه های قضایی مجازات

      یکی دیگر از حوزه های بالقوه ریسک انطباق ، سایبری اطلاعات کنترل شده توسط صادرات برای استفاده در یک صلاحیت مجازات است. هرگونه سرقت دارای سایبری ممکن است صادرات غیرمجاز و غیرقانونی فناوری یا نرم افزار کنترل شده ایالات متحده باشد. در حالی که چنین رویدادی ممکن است نگرانی های مربوط به کنترل مستقیم صادرات را ایجاد کند ، به ویژه بسته به ماهیت فناوری سرقت شده یا نرم افزار ، OFAC به طور بالقوه می تواند یک نهاد قربانی را برای تسهیل نقض مجازات برای عدم اجرای اقدامات مناسب مبتنی بر ریسک پاسخ دهد تا از این امر جلوگیری کند. سازش و صادرات اطلاعات کنترل شده (به عنوان مثال ، امنیت ناکافی داده ها). این سناریو تأکید می کند که علاوه بر مقررات تحریم ، نهادها باید سایر زمینه های مربوط به ریسک مربوط به انطباق مربوط به فعالیت های مخرب سایبری ، از جمله کنترل صادرات را نیز در نظر بگیرند.

      ملاحظات عملی برای کاهش خطرات مربوط به تحریم های مربوط به سایبری

      در پاسخ به خطرات توضیح داده شده در بالا ، و بسته به شرایط ، شرکت ها ممکن است بخواهند برخی از اقدامات پیروی از زیر را در نظر بگیرند.

      ارزیابی ریسک و برنامه انطباق مبتنی بر ریسک

      بسته به ماهیت فعالیتهای تجاری یک شرکت ، خطرات و چالش های مربوط به تحریم های مربوط به سایبری ممکن است تفاوت چشمگیری داشته باشد. انجام یک ارزیابی ریسک مناسب و خیاطی یک برنامه انطباق مبتنی بر ریسک ، اقدامات اساسی در کاهش ریسک است. این امر به ویژه در محیط فعلی به دلیل بیماری همه گیر جهانی صادق است ، زیرا مشاغل با هر اندازه ای که از اینترنت استفاده می کنند ، حتی اگر فقط برای نامه الکترونیکی باشد ، ممکن است با خطر فزاینده ای از حملات باج افزار روبرو شود ، که باعث افزایش نگرانی های مربوط به تحریم های سایبری می شود. مشاغل درگیر در تجارت الکترونیکی به طور بالقوه می توانند با خطرات مربوط به تحریم های مربوط به سایبری بالاتری روبرو شوند ، از جمله خطر ارائه سهواً کالاها یا خدمات به یک شخص مجازات یا صلاحیت. افراد درگیر در بخش ارزهای دیجیتال ، از جمله شرکت هایی که تجارت آنلاین را تسهیل می کنند یا با استفاده از ارزهای دیجیتال ، معاملات آنلاین را انجام می دهند ، ممکن است بیشتر با حملات مخرب سایبری روبرو شوند و باعث افزایش خطرات مربوط به انطباق مجازات ها شوند. این خطرات می تواند برای شرکت های درگیر در ارائه بیمه سایبری ، خدمات پزشکی قانونی دیجیتال ، خدمات پاسخ به حادثه به حمله به حمله و خدمات مالی که پرداخت های باج را تسهیل می کند ، حتی بیشتر باشد.

      غربالگری مبتنی بر ریسک ، دقت کافی و اقدامات مسدود کننده IP

      بسته به مشخصات ریسک یک شرکت ، اغلب بهتر است اطمینان حاصل شود که همه طرف های ذیربط قبل از انجام معامله به درستی غربالگری می شوند ، تا اطمینان حاصل شود که هیچ گونه پرداخت یا تحویل کالا یا خدمات به طرفین مجازات یا حوزه های قضایی انجام نمی شود. غربالگری قابل اعتماد به جمع آوری و بررسی اطلاعات معقول در دسترس شرکت بستگی دارد ، این بدان معناست که شرکت ها باید به صورت پیشرو راه هایی را برای تأیید هویت و مکان های کاربران در نظر بگیرند. همانطور که در حل و فصل Bitgo مشهود است ، صرفاً با تکیه بر گواهی های کاربران در مورد مکان های خود بدون انجام هرگونه دقت بیشتر ، ممکن است برای انجام تعهدات مربوط به انطباق شخص در نظر OFAC کافی نباشد.

      هرچه جهان دیجیتالی تر می شود ، عملکرد غربالگری نیز باید سازگار شود. شرکت ها باید در صورت در دسترس بودن چنین اطلاعاتی ، اطلاعات آدرس IP یک طرف را در فرآیند غربالگری در نظر بگیرند. یک شرکت ممکن است برای جلوگیری از باز کردن حساب ها در وب سایت یا بستر شرکت که به آنها امکان دسترسی به خدمات شرکت را می دهد ، اقدامات مسدود کننده IP را برای جلوگیری از افراد مجازات و افراد در حوزه های مجازات مجازات انجام دهد.

      ارزهای دیجیتال مجازات شده را شناسایی ، مسدود و گزارش دهید

      شرکت هایی که به ارز دیجیتال مشغول یا متکی هستند ، در رابطه با انطباق قانون تحریم های ایالات متحده ، همانطور که هنگام انجام معاملات در ارزهای سنتی انجام می دهند ، تعهدات یکسانی دارند. OFAC برخی از آدرس های ارز دیجیتالی مرتبط با افراد مسدود شده را به عنوان بخشی از مجموعه شناسه های آن در لیست SDN درج کرده است ، به این معنی که شرکت ها ممکن است تعهداتی برای مسدود کردن پرداخت ارزهای دیجیتال مرتبط با آن آدرس های دیجیتال داشته باشند.[38] شرکت هایی که ممکن است به طور معمول با چنین آدرس های ارز دیجیتال معامله کنند ، باید در نظر بگیرند که فرایندهای غربالگری و انطباق خود را برای حساب کردن این اطلاعات در نظر بگیرند.

      غربالگری آدرس ارز دیجیتال بیشتر از غربالگری نام معمولی یا آدرس فیزیکی درگیر است، اما OFAC راهنمایی هایی را در مورد نحوه جستجوی فهرست SDN برای این آدرس ها ارائه کرده است. راهنمای OFAC همچنین دو روش مجزا را ارائه می‌کند که شرکت‌ها می‌توانند در برنامه انطباق خود ادغام کنند تا ارزهای دیجیتالی را که توسط افراد تحریم شده مسدود می‌شوند، مسدود کنند.[39] شرکت‌ها ممکن است کیف پول‌های دیجیتال مرتبط با آدرس‌های دیجیتال شناسایی شده و تحریم‌شده توسط OFAC را مسدود کنند، یا تمام کیف پول‌های دیجیتال را با آدرس‌های دیجیتال شناسایی‌شده توسط OFAC در یک کیف پول دیجیتال ترکیب کنند. OFAC همچنین از شرکت‌هایی که کیف پول‌هایی با آدرس‌های دیجیتال مسدود شده دارند می‌خواهد تا ارز دیجیتال را ظرف 10 روز کاری به OFAC گزارش دهند و یک مسیر حسابرسی قابل ردیابی داشته باشند.

      انطباق مربوط به انجام یا تسهیل پرداخت باج

      با توجه به خطرات مرتبط با پرداخت‌های باج‌افزار و احتمال دخالت افراد یا حوزه‌های قضایی تحریم‌شده، برنامه‌های انطباق با تحریم‌ها باید رویه‌های مبتنی بر ریسک را برای پاسخ به حملات باج‌افزار، از جمله، حداقل، رویه‌های غربالگری کامل و پیشرفته را در بر گیرند. در بسیاری از موارد، شرکت‌ها باید به شدت تعامل با سازمان‌های مجری قانون مربوطه را در صورت بروز حملات باج‌افزار، از جمله OFAC در نظر بگیرند، اگر حمله باج‌افزار یا پرداخت باج درخواستی ممکن است به طور بالقوه شامل یک طرف یا کشور تحریم‌شده باشد.

      اقدامات پیشگیرانه در مورد نفوذ سایبری

      در جستجوی علل ریشه‌ای، کسب‌وکارها همچنین ممکن است خطرات مربوط به تبعیت از تحریم‌های سایبری خود را با تلاش برای جلوگیری از نفوذ سایبری در وهله اول کاهش دهند. آژانس های دولتی ایالات متحده، از جمله شبکه اجرای جرایم مالی وزارت خزانه داری ایالات متحده [40] و وزارت دادگستری ایالات متحده، [41] راهنمایی هایی را در مورد بهترین شیوه ها برای شرکت ها ارائه کرده اند تا به آنها کمک کنند از سیستم های خود در برابر چنین حملات سایبری محافظت کنند. ادغام این ملاحظات در رویکرد کلی یک شرکت برای مدیریت ریسک و به‌ویژه برنامه انطباق با تحریم‌ها در وهله اول می‌تواند از نقض تحریم‌ها ناشی از فعالیت‌های مخرب سایبری (مانند حملات باج‌افزار) که توسط یک طرف یا کشور تحریم‌شده انجام می‌شود، جلوگیری کند.

      مزایای بالقوه همکاری با دولت ایالات متحده در زمینه امنیت سایبری

      ما با برجسته کردن مشوق های قوی که مجریان دولت ایالات متحده در ازای افشای داوطلبانه و همکاری های قوی شرکت هایی که مرتکب تخلفات احتمالی تحریم های ایالات متحده شده اند ، که به همان اندازه در زمینه سایبر اعمال می شود ، نزدیک می کنیم. به عنوان مثال ، در مشاوره Ransomware OFAC که در بالا مورد بحث قرار گرفت ، OFAC تأکید کرد که این گزارش را "گزارش خود به موقع ، به موقع و کامل از حمله باج افزار به اجرای قانون" و "همکاری کامل و به موقع با اجرای قانون" در نظر می گیرد ""عوامل کاهش دهنده قابل توجه در تعیین نتیجه اجرای صحیح در صورت پرداخت باج و" اگر بعداً مشخص شود که اوضاع دارای مجازات است ".[42] به همین ترتیب ، در موضوع اجرای SAP که در بالا مورد بحث قرار گرفت ، وزارت دادگستری توضیح داد که مجازات SAP - اگر آنها فاش نشده ، همکاری و اصلاح کنند ، بسیار بدتر می شد. ما امیدواریم که سایر مشاغل ، نرم افزارها یا در غیر این صورت ، ما به این درس توجه کنیم. "مجازات مدنی طبق دستورالعمل های اجرای OFAC توصیه می شود. اگرچه همکاری با مجریان دولت ایالات متحده یک تصمیم پیچیده و مبتنی بر ریسک است که باید با دقت در نظر گرفته شود ، اما مزایای بالقوه در شرایط مناسب مشخص است.

      پانویسها و منابع

      1 برایان فلمینگ و تیموتی اوتول عضو هستند ، کارولین واتسون یک همکار ارشد است و مانوئل لویت و مری میخائیل همکار در میلر و شوالیر Chartered هستند.

      2 حوزه های قضایی دیگر ، از جمله اتحادیه اروپا و انگلیس ، اقدامات مهمی را برای تدوین برنامه های تحریم برای جلوگیری از بازیگران مخرب سایبری و پاسخگویی به حملات سایبری به طور فزاینده و شدید آغاز کرده اند. به تصمیم شورای 2019/797 2019 O. J.(L. 129/13) (اتحادیه اروپا) ؛مقررات شورای 2019/796 2019 O. J.(L. 129/1) (EU). به طور کلی آیین نامه سایبر (تحریم ها) (خروج اتحادیه اروپا) 2020 ، http://www. legislation. gov. uk/uksi/2020/597/contents/made را ببینید. در حالی که این تحولات قابل توجه است ، اتحادیه اروپا و انگلیس از تحریم هایی به مراتب کمتر از ایالات متحده استفاده کرده اند ، فقط هشت نفر و چهار نهاد تحریم شده تحت چارچوب تحریم های مربوط به سایبری اتحادیه اروپا تاکنون. به تصمیم شورای 2020/1127 ، 2020 O. J. مراجعه کنید.(L 246/12) (EU) ؛بیانیه مطبوعاتی کمیسیون اروپا ، "حملات سایبری مخرب: اتحادیه اروپا دو فرد و یک نهاد بیش از سال 2015 هک Bundestag" (22 اکتبر 2020) ، http://www. consilium. europa. eu/fa/press/press-releases/2020/10/22/Attacks-Cyber-Attacks-Eu-Sanctions-Two-on-on-One-Body-Over-2015-Bundestag-Hack/.

      3 بیانیه مطبوعاتی ، ایالات متحده از عدالت ، "ایالات متحده پنج هکر نظامی چینی را برای جاسوسی سایبری علیه شرکت های آمریکایی و یک سازمان کارگری برای مزیت تجاری" (19 مه 2014) ، http://www. justice. gov/opa/ متهم می کند. PR/US-US-Charges-Five-Chinese-Military-Hackers-Cyber-Espionage-Against-US-VCORPORATIONS-and Nabor.

      4 گراهام وبستر ، "اوباما: سرقت سایبری" یک عمل پرخاشگری "اما ایالات متحده و چین می توانند هنجارها را توسعه دهند" ، دیپلمات (18 سپتامبر 2015) ، https://thediplomat. com/2015/09/obama-cyber-theft-An-act-of-justression-utous-us-and-China-can-development/.

      5 قانون کلاهبرداری و سوءاستفاده رایانه ، 18 USC § 1030 ؛قانون جاسوسی اقتصادی 1996 ، 18 ایالات متحده1831 و SEQ.

      6 EO شماره 13،694 ، 80 فدرال رزرو. Reg. 18،077 (1 آوریل 2015) ، چاپ شده به عنوان اصلاح شده در 22 USC 9522.

      7 نفر که به موجب EO 13،694 مسدود شده اند ، همانطور که توسط EO 13،757 اصلاح شده است ، در لیست ویژه های تعیین شده و افراد مسدود شده (SDN) که توسط OFAC نگهداری می شوند ، گنجانده شده است. مشخصات اولیه تحت این مقام در 28 دسامبر 2016 انجام شد.

      8 EO شماره 13،757 ، 82 Fed. Reg. 1 ، 1–2 (28 دسامبر 2016).

      9 22 USC 9524. OFAC از آن زمان مقررات تحریم های مربوط به سایبری را در 31 CFR قسمت 578 اعلام کرده است.