با گسترش فناوری اطلاعات، رایانش ابری و ارتباطات فرامرزی، امنیت سایبری دیگر محدود به مرزهای جغرافیایی سنتی نیست. یکی از چالشهای بنیادین که در درس ISSMP بهطور ویژه مورد توجه قرار میگیرد، مسئلهٔ صلاحیت شخصی (Personal Jurisdiction) و تأثیر آن بر مدیریت ریسک و پاسخ به حوادث سایبری است. این مفهوم به اختیار قانونی دادگاه برای اعمال و اجرای حکم علیه یک شخص یا نهاد خاص اشاره دارد و در فضای سایبری، بهطور ذاتی با ابهام و تعارض همراه است.
در نظام حقوقی ایالات متحده، رسیدگی به یک پرونده مستلزم وجود دو نوع صلاحیت است: صلاحیت موضوعی (Subject Matter Jurisdiction) و صلاحیت شخصی (Personal Jurisdiction). صلاحیت موضوعی مشخص میکند که آیا دادگاه اصولاً مجاز به رسیدگی به نوع دعوای مطرحشده است یا خیر؛ برای مثال، دادگاه کیفری به جرائم رسیدگی میکند و دادگاه خانواده به دعاوی خانوادگی. در مقابل، صلاحیت شخصی به این میپردازد که آیا دادگاه میتواند یک شخص یا سازمان خاص را تحت اختیار حقوقی خود قرار دهد و علیه او حکم صادر کند.
چالش اصلی در امنیت سایبری از آنجا آغاز میشود که صلاحیت شخصی اغلب یک مفهوم ادعایی است، نه تضمینی برای اجرای واقعی حکم. هر حوزهٔ قضایی در قوانین داخلی خود مشخص میکند که تا چه حد «بهطور معقول» میتواند صلاحیت شخصی را نسبت به اشخاص خارج از قلمرو خود اعمال کند. در برخی موارد، این دامنه صرفاً محلی یا ملی است؛ اما در موارد دیگر، بهویژه در ایالات متحده، ممکن است ادعای صلاحیت فراتر از مرزها و حتی در سطح جهانی مطرح شود. این ادعای صلاحیت لزوماً به این معنا نیست که سایر کشورها آن را به رسمیت میشناسند یا اجرای حکم امکانپذیر خواهد بود.
این موضوع در سناریوهای سایبری پیچیدهتر میشود؛ جایی که یک مهاجم در یک کشور، به سیستمی در کشور دوم حمله میکند که مالک یا کنترلکنندهٔ آن در کشور سومی قرار دارد. در چنین شرایطی، چندین دادگاه ممکن است همزمان خود را صالح بدانند، در حالی که هیچکدام ابزار مؤثری برای اجرای حکم در خارج از مرزهای خود ندارند. در این نقطه، حقوق بینالملل و معاهدات دوجانبه یا چندجانبه نقش تعیینکننده پیدا میکنند؛ اما واقعیت این است که این سازوکارها اغلب کند، محدود و غیرقابل اتکا هستند.
از منظر ISSMP، هدف از طرح این بحث آموزش حقوق به مدیران امنیت نیست، بلکه ایجاد درک مدیریتی از محدودیتهای حقوقی است. مدیر امنیت باید بداند که در بسیاری از حملات سایبری، پیگیری قضایی یا اجرای حکم ممکن است غیرممکن یا بسیار زمانبر باشد. بنابراین، اتکا به قانون بهعنوان خط دفاعی اصلی یک اشتباه راهبردی است. در عوض، سازمانها باید امنیت خود را بر پایهٔ کنترلهای فنی پیشگیرانه، قابلیت تشخیص سریع، پاسخ مؤثر به حادثه و تابآوری عملیاتی طراحی کنند.
در جمعبندی، Personal Jurisdiction در امنیت سایبری یک چالش ساختاری و اجتنابناپذیر است که بهویژه در محیطهای چندکشوری و ابری برجسته میشود. پیام کلیدی ISSMP این است که وقتی اجرای قانون نامطمئن است، امنیت باید مستقل از آن و مبتنی بر مدیریت ریسک، معماری امن و آمادگی عملیاتی بنا شود.
