Η απόφαση του Ανωτάτου Δικαστηρίου θα μπορούσε να απειλήσει τους κανονισμούς και τους κανόνες για την ασφάλεια στον κυβερνοχώρο
Μια πρόσφατη απόφαση του Ανωτάτου Δικαστηρίου έχει αλλάξει σημαντικά το τοπίο της ρυθμιστικής επιβολής στις Ηνωμένες Πολιτείες, με βαθιές επιπτώσεις στη ρύθμιση της κυβερνοασφάλειας. Στις 28 Ιουνίου 2024, το Ανώτατο Δικαστήριο ανέτρεψε το Δόγμα Chevron, μια νομική αρχή που θεσπίστηκε το 1984 (Chevron v. Natural Resources Defense Council) που επέτρεπε στις ομοσπονδιακές υπηρεσίες να ερμηνεύουν ασάφειες στο νόμο χρησιμοποιώντας την πείρα τους. Αυτό το δόγμα υπήρξε ο ακρογωνιαίος λίθος του ομοσπονδιακού ρυθμιστικού συστήματος για τέσσερις δεκαετίες, επιτρέποντας στις υπηρεσίες να δημιουργούν και να επιβάλλουν κανόνες με τεχνική εμπειρογνωμοσύνη και αποτελεσματικότητα.
Η απόφαση του Ανωτάτου Δικαστηρίου ορίζει ότι τα δικαστήρια πρέπει πλέον να ασκούν ανεξάρτητη κρίση όταν καθορίζουν εάν μια υπηρεσία έχει ενεργήσει στο πλαίσιο της καταστατικής της εξουσίας. Αυτή η απόφαση ουσιαστικά καταργεί την ανάγκη των δικαστηρίων να αναθέσουν την εμπειρογνωμοσύνη του οργανισμού σε υποθέσεις που αφορούν διφορούμενα καταστατικά, ανατρέποντας μια πρακτική που ισχύει εδώ και σαράντα χρόνια. Σύμφωνα με το Ανώτατο Δικαστήριο, «Ο νόμος περί διοικητικής δικονομίας απαιτεί από τα δικαστήρια να ασκούν την ανεξάρτητη κρίση τους για να αποφασίσουν εάν μια υπηρεσία έχει ενεργήσει στο πλαίσιο της καταστατικής της εξουσίας, και τα δικαστήρια δεν μπορούν να αναβάλουν την ερμηνεία του νόμου από μια υπηρεσία απλώς και μόνο επειδή ένα καταστατικό είναι διφορούμενο· Chevron ακυρώνεται».
Αυτή η αλλαγή έχει σημαντικές επιπτώσεις στη ρύθμιση της κυβερνοασφάλειας στις ΗΠΑ, η διαχείριση της οποίας γίνεται κυρίως από ομοσπονδιακούς οργανισμούς όπως η FDA, η SEC και το DHS. Αυτές οι υπηρεσίες βασίζονταν ιστορικά στην πείρα τους για την ερμηνεία και την επιβολή νόμων και κανονισμών για την ασφάλεια στον κυβερνοχώρο. Ωστόσο, με την απόφαση του Ανωτάτου Δικαστηρίου, η δικαστική εποπτεία θα διαδραματίσει πλέον σημαντικότερο ρόλο σε αυτά τα ζητήματα, οδηγώντας ενδεχομένως σε αυξημένες αντιδικίες και αμφισβητήσεις των αποφάσεων του οργανισμού.
Ο Ilia Kolochenko, δικηγόρος στην Platt Law LLP και Διευθύνων Σύμβουλος της Immuniweb, παρατήρησε: «Αυτή η απόφαση ορόσημο από το Ανώτατο Δικαστήριο των ΗΠΑ πιθανότατα θα έχει τεκτονικές και μακροχρόνιες συνέπειες για τη θέσπιση διοικητικών κανόνων στις ΗΠΑ. Με την υπέρβαση της 40χρονης - παλιό δόγμα Chevron, το Ανώτατο Δικαστήριο έδωσε σημαντικά μεγαλύτερη δικαστική εξουσία και περιθώρια στα δικαστήρια στην ερμηνεία του ομοσπονδιακού νόμου που μπορεί να είναι ασαφή, ασαφή ή απλώς σιωπηλά σε ορισμένα στοιχεία, όπως η ασφάλεια στον κυβερνοχώρο, η ιδιωτική ζωή ή η αποκάλυψη παραβίασης δεδομένων».
Η απόφαση υπονοεί ότι οι επιχειρήσεις μπορούν πλέον να ασκήσουν έφεση κατά των αποφάσεων των πρακτορείων χωρίς τα δικαστήρια να αναβάλουν την εμπειρογνωμοσύνη των οργανισμών. Αυτό θα μπορούσε να οδηγήσει σε αύξηση των νομικών προκλήσεων και προσφυγών, με τις καλά χρηματοδοτούμενες εταιρείες να αντιμετωπίζουν ενδεχομένως τους κανονισμούς των ΗΠΑ παρόμοια με τον τρόπο που προσεγγίζουν τους κανονισμούς της ΕΕ – μέσω εκτεταμένων νομικών μαχών. Ο Ken Dunham, διευθυντής κυβερνοαπειλής στο Qualys TRU, αναμένει «ένα τσουνάμι δικαστικών διαφορών για ομοσπονδιακές υπηρεσίες ή/και αξιωματούχους, οι οποίοι θα μπορούν πλέον να μηνύονται στο διηνεκές για αποφάσεις που λαμβάνονται».
Η καθηγήτρια της Νομικής Σχολής του Χάρβαρντ, Τζόντι Φρίμαν, προσθέτει: "Πρόκειται για μια μαζική μετατόπιση εξουσίας πίσω στα δικαστήρια και μακριά από τις υπηρεσίες. Και για να το βάλουμε αυτό στο πλαίσιο, αυτό είναι μέρος μιας σειράς υποθέσεων στις οποίες το Ανώτατο Δικαστήριο έχει καταστήσει πιο δύσκολο για τις υπηρεσίες να κάνουν τη δουλειά τους».
Αυτή η εξέλιξη εγείρει ανησυχίες για το μέλλον των κανονισμών για την ασφάλεια στον κυβερνοχώρο. Ο Kolochenko επισημαίνει ότι τα δικαστήρια μπορούν τώρα να ακυρώσουν τους διοικητικούς κανόνες που θεωρούν ασυμβίβαστους με τους θεσμικούς σκοπούς, επηρεάζοντας τους κανόνες για την ασφάλεια στον κυβερνοχώρο, την αποκάλυψη παραβάσεων και τις κρίσιμες εθνικές υποδομές. Αυτό περιλαμβάνει πρόσφατες πρωτοβουλίες όπως οι κανόνες CIRCIA της CISA, οι οποίοι απαιτούν εκτενή αναφορά περιστατικών στον κυβερνοχώρο από τομείς ζωτικής σημασίας υποδομών. Με τη νέα δικαστική εποπτεία, αυτοί οι κανόνες είναι πιο επιρρεπείς σε ανατροπή.
Ο Jason Porter, Αντιπρόεδρος και CTO στο Optiv + ClearShark, σημειώνει: "Αυτή η αλλαγή πιθανότατα θα έχει ως αποτέλεσμα να αμφισβητηθούν και τελικά να ανατραπούν περισσότερες ρυθμιστικές ενέργειες, οδηγώντας σε νομική αβεβαιότητα για τους ρυθμιστικούς φορείς και τις βιομηχανίες που επιβλέπουν."
Ενώ η απόφαση του Ανώτατου Δικαστηρίου θέτει αρκετές προκλήσεις, ενδέχεται να υπάρχουν και κάποια θετικά αποτελέσματα. Ο Aaron Rose, γραφείο του CTO στο Check Point Software, βλέπει πιθανά οφέλη, όπως να υποχρεώσει το Κογκρέσο να συντάξει πιο ακριβή νομοθεσία και να διασφαλίσει ότι οι υπηρεσίες βασίζουν τους κανονισμούς τους σε σαφή νομικά πρότυπα. Η αυξημένη δικαστική εποπτεία θα μπορούσε να οδηγήσει σε πιο συνεπείς και δίκαιες αποφάσεις βασισμένες σε καθιερωμένες νομικές αρχές.
Ωστόσο, η Rose υπογραμμίζει επίσης τα μειονεκτήματα: "Με την ταχεία εξέλιξη της τεχνολογίας, ιδιαίτερα στην κυβερνοασφάλεια, η έγκαιρη προσαρμογή είναι κρίσιμη. Η απόφαση του Ανωτάτου Δικαστηρίου θα μπορούσε να επιβραδύνει την εφαρμογή των απαραίτητων μέτρων, αφήνοντας κενά για εκμεταλλεύσεις για τους χάκερ και τους κακούς παράγοντες."
Συμπερασματικά, η απόφαση του Ανωτάτου Δικαστηρίου να ανατρέψει το Δόγμα Chevron εγκαινίασε μια νέα εποχή ρυθμιστικής εποπτείας, μετατοπίζοντας την εξουσία από τις υπηρεσίες ειδικών στο δικαστικό σύστημα. Ενώ αυτή η αλλαγή στοχεύει να διασφαλίσει ότι οι κανονισμοί βασίζονται σε σαφείς νομικές αρχές, εισάγει αβεβαιότητα και πιθανές καθυστερήσεις στον ταχέως εξελισσόμενο τομέα της κυβερνοασφάλειας. Καθώς το νομικό τοπίο προσαρμόζεται σε αυτήν την απόφαση, η πρόκληση θα είναι να εξισορροπηθεί η δικαστική εποπτεία με την ανάγκη για ειδικούς, έγκαιρους και αποτελεσματικούς κανονισμούς για την ασφάλεια στον κυβερνοχώρο.
