رگ‌تک و سیطره آن بر سه صنعت امنیت سایبری، بهداشت‌ودرمان و دارایی دیجیتال

نویسنده: ثریا حقی در تاریخ 22 بهمن سال 1401 ساعت 16:04 0

شرکت‌های رگ‌تک، دقیقاً کاری را می‌کنند که همه ما انتظار داریم. آنها به دیگر شرکت‌ها در حوزه‌های مختلف کمک می‌کنند تا قوانین و الزامات را به موقع دریابند و در سایه فناوری، انطباق بیشتری با این قوانین و الزامات ایجاد کنند. بخشی که با نرخ ١٩.۵ درصد در سال رشد می‌کند و انتظار می‌رود که در سال ٢٠٢٧ میلادی، به ٢١.٧٣ میلیارد دلار برسد.

اما دلیل این نرخ بالای رشد، به‌ویژه طی سال‌های اخیر چیست؟ اگرچه بخشی از رشد رگ‌تک، ناشی از افزیش تقاضا بوده، اما بخش عمده‌ای از آن به دلیل بارِ نظارتی است که روز‌به‌روز نیز در حال افزایش است. اکثر شرکت‌های رگ‌تک، با شرکت‌های مالی و فین‌تک کار می‌کنند، بیشتر به این علت که بار نظارتی در این صنعت بیشتر از بقیه است. با این حال، نمی‌توان گفت که بار نظارتی، به‌ویژه باری که در چند سال آتی با آن مواجه خواهیم بود، تنها شامل حال صنایع مالی می‌شود. با وجود این‌که بانک‌ها و شرکت‌های فین‌تکی، چند سالی است که بیش از دیگران دست به دست رگ‌تک‌ها داده‌اند، اما سه صنعت دیگر نیز هستند، که با گذشت زمان، به شکل فزاینده‌ای در حال پیوستن به رگ‌تک هستند.

اما قبل از پرداختن به این سه صنعت، اول ببینیم که دلیل توسعه چهارچوب‌های نظارتی چیست و چرا سیستم‌های تنظیم‌گر، هر روز بیشتر از روز قبل قانون‌گذاری می‌کنند.

دلیل توسعه چهارچوب‌های نظارتی چیست؟

چهارچوب‌های نظارتی، توسعه پیدا می‌کنند چون نیاز ایجاب می‌کند. به همین دلیل، شاید بهتر باشد این سوال را به این‌گونه مطرح کنیم که، دلیل افزیش نیاز به چهارچوب‌های نظارتی چیست؟ همه‌گیری کرونا، باعث شد بسیاری از صنایع، رویکرد دیجیتال را در پیش بگیرند. الزام به فاصله‌گذاری‌ اجتماعی، باعث شد تا صنایع مختلف، برای اینکه بتوانند به‌صورت دیجیتال و از راه دور به کار خود ادامه داده، ارائه خدمات کنند، دست به بازسازی زیرساخت‌های خود بزنند. در عرض چند ماه، تعاملات رودررو، در سراسر جهان به یک امر تقریباً غیرممکن تبدیل شد و صنایع و کسب‌وکارها، برای برقراری ارتباط با کاربران و مشتریان خود، ناچار به روش‌های دیجیتال روی آوردند. اما رشد فزاینده رویکردهای دیجیتال، چهارچوب‌های نظارتی بیشتری را نیز می‌طلبد. دوران سازگاری به سر آمده و سیستم‌های تنظیم‌گر، بیش از گذشته روی عملکرد کسب‌وکارها متمرکز شده‌اند.

جریمه نقدی ٢٠٠ میلیون دلاری جی‌پی مورگان چیس، در دسامبر سال ٢٠٢١ میلادی توسط کمسیون بورس و اوراق بهادار آمریکا، صرفاً به این علت که بعد از همه‌گیری، کارمندان این شرکت از طریق پلتفرم واتساپ با مشتریان ارتباط برقرار کرده‌ بودند، مثال خوبی برای نشان دادن پایان سازگاری سیستم‌های تنظیم‌گر است.

اگرچه این تمرکز فزاینده از سوی سیستم‌های تنظیم‌گر روی کسب‌وکارها، منجر به شفافیت و مسئولیت‌پذیری بیشتر نیز شده است. به همین دلیل نیز کسب‌وکارها تقاضای بیشتری برای همکاری با رگ‌تک‌ها دارند؛ چون نه تنها از این طریق اعتماد تنظیم‌گرها را جلب می‌کنند، بلکه برای مشتریان و حتی مشتریان بالقوه نیز اعتمادسازی می‌کنند.

با وجود اینکه معمولاً برخی صنایع (مثل خدمات مالی) در جذب رگ‌تک‌ها پیشرو هستند، اما دیگران نیز از این قافله عقب نمانده‌اند؛ فقط ممکن است سرعت کمتری نسبت به صنایع پیشرو داشته باشند. با این حال، به نظر می‌رسد که فراوانی داده‌ها، تقاضای فزاینده بازار و افزایش چهارچوب‌های نظارتی، همه حوزه‌ها را ملزم کند، که بیشتر روی انطباق خود با قوانین کار کنند. از جمله سه صنعت زیر، که به‌ویژه طی یکی دو سال اخیر، پیشرفت خوبی به لحاظ انطباق داشته‌اند.

امنیت سایبری

یکی از بزرگ‌ترین مشکلات پیش روی حوزه امنیت سایبری برای انطباق با چهارچوب‌های نظارتی، ماهیت این صنعت است. امنیت سایبری، اساساً بر «قانون‌شکنی» بنا شده است و همین ماهیت، به‌عنوان یک عامل بازدارنده عمل می‌کند. کسب‌وکارهایی که در حوزه امنیت سایبری فعالیت می‌کنند، دقیقاً روی کسانی کار می‌کنند که نقض قانون می‌کنند.

نانِ سارقین سایبری، هکرها و تمام افرادی که امنیت سایبری قرار است روبه‌روی آنها بایستد، از راه نقض قوانین به دست می‌آید و به همین دلیل، مقابله با این افراد از طریق قوانین و چهارچوب‌های نظارتی دست‌وپاگیر، دشوارتر است. به‌ویژه که هر روز، قوانین جدیدی برای کسب‌وکارهای امنیت سایبری تحمیل می‌شود و سارقین و هکرها هم هر روز کارکشته‌تر از قبل، قوانین موجود را دور می‌زنند. شکافی که به نظر می‌رسد عمیق‌تر و عمیق‌تر می‌شود.

هیچ چهارچوب نظارتی وجود ندارد که واقعاً جاری و ساری باشد. اساساً مسئله این نیست که با همه چهارچوب‌ها، عیناً و در لحظه انطباق داشته باشید. مهم این است که به عنوان یک کسب‌وکار مبتنی بر امنیت سایبری، تا جایی که می‌توانید به‌روز باشید.

در مارس سال گذشته بود که گری جنسلر (Gary Gensler)، رئیس کمیسیون بورس و اوراق بهادار ایالات متحده، قوانین جدیدی را پیشنهاد کرد، مبنی بر «ارتقا و استانداردسازی افشای اطلاعات مربوط به مدیریت ریسک امنیت سایبری، استراتژی، رهبری و گزارش رویداد، توسط شرکت‌های دولتی». به گفته کمیسیون بورس و اوراق بهادار ایالات متحده، هدف از این افشای اطلاعات آگاه‌تر کردن سرمایه‌گذاران بود. بر اساس این پیشنهاد، شرکت‌های دولتی موظف می‌شدند علاوه بر اینکه در مورد کلیه اتفاقات سایبری گزارش تهیه و ارائه کنند، به منظور به‌روزرسانی گزارش‌های به ثبت رسیده سابق، به‌صورت دوره‌ای نیز گزارش‌دهی کنند. این دستورالعمل، سیاست‌ها و رویکردهایی نیز برای شناسایی و مدیریت ریسک سایبری پیشنهاد کرده بود که محدودیت بیشتری برای شرکت‌های دولتی تحمیل می‌کرد.

بدیهی است که چنین قوانینی، بیش از حد دست‌وپاگیر هستند و نیاز است که با آنها مقابله شود. بدون شک، پشت گوش انداختن این مقررات، نه به نفع کسب‌وکارها است و نه به نفع کاربران و مشتریان آنها. اما چطور می‌توان با این قوانین مقابله کرد؟ به نظر می‌رسد که یکی از راه‌کارهای جذاب، راه‌حل‌های شخص ثالث باشند. برای کسب‌وکارهایی که به دنبال انطباق بیشتر با این چهارچوب‌های نظارتی جدید هستند، اما نمی‌خواهند خودشان را درگیر پیچیدگی‌های این مقررات تازه کنند، ارائه‌دهنده‌های متخصص در این زمینه بهترین انتخاب هستند. ارائه‌دهندگانی که در اصطلاح، رگ‌تک نامیده می‌شوند و می‌توانند بدون دردسر، صنایع امنیت سایبری را نیز همچون صنایع خدمات مالی، زیر چتر قوانین بیاورند.

بهداشت و درمان

صنعت بهداشت‌ودرمان، روزانه حجم قابل توجهی از داده‌های سلامت بیماران را جمع‌آوری می‌کند. به‌ویژه که طی چند سال اخیر پس از همه‌گیری کرونا، مشاوره‌های پزشکی مجازی نیز افزایش یافته و بر حجم این داده‌ها افزوده است. از سوی دیگر، سازمان‌های فعال در این صنعت، موظف به رعایت الزامات نظارتی و پایبندی به پروتکل‌های قانون قابلیت انتقال و مسئولیت بیمه سلامت (Health Insurance Portability and Accountability Act (HIPAA)) هستند. این در حالی است که با توجه به تنوع بالای راه‌کارهای ارتباطی، که برای گردآوری داده‌های بیماران استفاده می‌شوند، رعایت این الزامات و انطباق با چهارچوب‌های تعریف‌شده بسیار دشوار است.

دولت ایالات متحده آمریکا، یکی از دولت‌هایی بود که سعی کرد صنعت بهداشت‌ودرمان را تا حدودی از این وضعیت دشوار برهاند. این دولت، مجازات‌هایی برای تخلف سازمان‌ها از پروتکل‌های قانون قابلیت انتقال و مسئولیت بیمه سلامت قائل شده بود که پس از همه‌گیری، با «حسن نیت» از برخی از این مجازات‌ها کوتاه آمد. نشان دادن این سازگاری، باعث شد تا راه برای انتقال و گردآوری داده‌ها از راه دور، برای سازمان‌های بهداشت‌ودرمان هموارتر شود. ارائه‌دهندگان خدمات درمانی، برای انتقال خدمات خود به بیماران و دریافت داده‌های آنها، به پلتفرم‌ها و سیستم‌های فناوری شخص ثالث روی آوردند و به راحتی هرچه تمام، زمستان سخت کرونا را پشت سر گذاشتند.

با وجود اینکه این سازگاری موقت، از سوی نهادهای تنظیم‌گر، به اقتضای زمان (که همه‌گیری باعث شده بود نیاز به ارائه خدمات از راه دور هرطور که هست میسر شود)، فرصت خوبی در اختیار سازمان‌های بهداشت‌ودرمان قرار داد، اما هم صنعت و هم تنظیم‌گرها به خوبی می‌دانند که این وضعیت، نمی‌تواند به‌عنوان یک راه‌کار دائمی، همین‌طور باقی بماند. با وجود اینکه برخی از «انعطاف‌پذیری‌های سلامت از راه دور» به بخشی از چشم‌انداز صنعت بهداشت‌ودرمان تبدیل شده، و دیگر نمی‌توان ارائه خدمات از راه دور را به‌طور کامل از سیستم‌های سلامت حذف کرد، اما فرصت زیادی برای سازمان‌ها باقی نمانده است. قانون تخصیص تلفیقی ٢٠٢٢، که در نهم و دهم مارس ٢٠٢٢ توسط مجلس و سنای ایالات متحده آمریکا تصویب شده و در پانزدهم مارس ٢٠٢٢ به امضای رئیس جمهور این کشور رسید و برخی از انعطاف‌پذیری‌های سلامت از راه دور را برای بیماران ممکن می‌ساخت، ١۵١ روز پس از پایان رسمی اورژانس بهداشت عمومی فدرال (Federal Public Health Emergency) منقضی می‌شود. سررسیدی که حتی در صورت تمدید هم تاریخ انقضا دارد و بالاخره، یک روز اتفاق می‌افتد. این اتفاق، نه فقط برای ایالات متحده، که دیر یا زود برای همه کشورها می‌افتد و سازمان‌های بهداشت‌ودرمان، راه‌ گریزی از الزامات نظارتی و قوانین ندارند.

همه‌گیری کرونا، فرصت خوبی برای دولت‌ها بود، تا تهدیدات و حوزه‌های غیرقانونی صنعت بهداشت‌ودرمان را رصد کنند. به‌عنوان مثال، کلاهبرداری‌های از راه دور سلامت، جزو مواردی بود که در دوران کرونا به وفور اتفاق افتاد و دولت‌ها، فرصت این را یافتند تا بیش از پیش، در مورد این قبیل جرایم اطلاعات کسب کنند؛ ارائه خدمات تقلبی پزشکی هم درست همین‌طور. زمانی‌که وقت موعود فرا برسد (در آینده‌ای نزدیک)، دولت‌ها از همین یافته‌ها، برای اولویت‌بندی اجرایی استفاده خواهند کرد. بدون شک، با استناد بر این اطلاعات، دولت‌ها چهارچوب‌هایی را به صنعت بهداشت‌ودرمان تحمیل خواهند کرد که در عین مقابله با کلاهبرداری‌ها و سوءاستفاده‌ها، سازمان‌ها را نیز به دردسر خواهند انداخت.

واحد تقلب مراقبت‌های بهداشتی وزارت دادگستری ایالات متحده آمریکا، با تأکید روی این مسئله، صراحتاً اعلام کرده که یافته‌های چند سال همه‌گیری «به ریشه‌کن کردن طرح‌هایی اختصاص داده شده‌اند که از همه‌گیری سوءاستفاده کرده‌اند».

با این اوصاف، اگر قرار باشد در آینده‌ای نزدیک، حجم قابل توجهی از چهارچوب‌های نظارتی سخت‌گیرانه به صنعت بهداشت‌ودرمان تحمیل شود، ارائه‌دهندگان مراقبت‌های بهداشتی، به رگ‌تک‌ها نیاز خواهند داشت.

دارایی دیجیتال

پس از سالی پرفرازونشیب برای صنعت رمزنگاری، بالاخره بایدن، رئیس جمهور ایالات متحده آمریکا، در مارس ٢٠٢٢ فرمان اجرایی توسعه مسئولانه دارایی‌های دیجیتال (Responsible Development of Digital Assets) را امضا کرد. اگرچه این رویکرد، مربوط به ایالات متحده است، اما بسیاری آن را یک پیشرفت مهم برای توسعه دارایی دیجیتال می‌دانند. پذیرش دارایی‌های دیجیتال از سوی دولت ایالات متحده، نشان از اهمیت و پذیرش جهانی این صنعت در آینده‌ای نزدیک دارد و اینکه رمزارزها، دیر یا زود، زیر چتر مقررات قرار خواهند گرفت. شنیدن این خبر، آن هم در وضعیتی که گری جنسلر، رئیس کمیسیون بورس و اوراق بهادار آمریکا، ادعا کرده بود صنعت کریپتو «غرب وحشی» است و بیشتر توکن‌ها شکست خواهند خورد، قابل توجه است.

با این حال، ایالات متحده نیز همانند بسیاری از دولت‌های دیگر، هنوز در حوزه رگولاتوری رمزارز صفر کیلومتر است و فعلاً، در مورد اینکه چهارچوب‌های نظارتی آتی در مورد این صنعت چگونه خواهند بود، عدم اطمینان وجود دارد. سندی که به امضای بایدن رسید، اساساً یک فراخوان برای سازمان‌های مختلف مربوطه بود (از وزارت خزانه‌داری ایالات متحده گرفته تا کمیسیون بورس و اوراق بهادار)، تا قبل از اینکه قانونی برای صنعت رمزنگاری وضع شود، بررسی‌های لازم را انجام دهند. دولت ایالات متحده، سعی دارد از کنگره، آژانس‌ها و سازمان‌های مختلف، برای ایجاد سیاست‌های محافظت در برابر خطرات و هدایت نوآوری مسئولانه استفاده کرده و با اعمال چهارچوب‌های نظارتی درست، از پیشرفت‌های فناوری در صنعت دارایی‌های دیجیتال حمایت کند.

این رویکرد سازنده، که همکاری متحدان و شرکا را نیز با خود دارد، بهترین فرصت ممکن برای اعمال مقرراتی یک‌دست و جامع برای صنعت رمزنگاری است. مصداق بارز همان «یک کتاب قانون»، که گری جنسلر معتقد است برای تنظیم دارایی‌های دیجیتال موردنیاز است. تحقق این آرمان، زمانی قوت می‌گیرد که مشاهده می‌شود برخی از ایالت‌های پیشرو، شروع به پیروی از فدرال کرده و مجموعه‌ای از دستورالعمل‌های نظارتی را برای تنظیم صنعت رمزنگاری معرفی می‌کنند. در بسیاری از دیگر کشورها نیز، همین روال برقرار است. دولت‌هایی که تا چند وقت پیش، هیچ اعتقادی به رمزارزها نداشتند، اکنون در حال وضع قوانین برای آن هستند، برای دارایی‌های دیجیتال مالیات در نظر گرفته‌اند و به دنبال راه‌اندازی ارز دیجیتال ملی خود هستند.

از آنجا که در صنعت کریپتو نیز مانند صنعت خدمات مالی، حمایت از مصرف‌کننده در اولویت قرار دارد، با توجه به روند نظارتی آغاز شده، رگ‌تک‌ بیش از پیش در این صنعت نفوذ خواهد کرد.

اما خود رگ‌تک چطور؟

سوالی که باقی می‌ماند این است که خود صنعت رگ‌تک کی و چگونه قرار است تنظیم شود؟ بسیاری در پاسخ به این سوال استدلال می‌کنند که رگ‌تک، صنعتی بسیار جوان است که نمی‌توان به این راحتی‌ها آن را تنظیم کرد. درواقع، اعمال نظارت در مورد کسب‌وکارهایی که در مراحل نخست رشد قرار دارند، مانع نوآوری است و به زعم بسیاری، این مورد، در خصوص صنعت رگ‌تک نیز صادق است.

با این حال، اگرچه ممکن است مفهوم تنظیم رگ‌تک (مقررات اندر مقررات) کمی عجیب و پیچیده به نظر برسد، اما آیا نباید رگ‌تک‌ها نیز استانداردهایی که مشتریان‌شان رعایت می‌کنند را رعایت کنند؟ در حال حاضر، هیچ چهارچوب نظارتی مدونی برای نظارت بر شرکت‌های رگ‌تک وجود ندارد و چه از این بهتر، برای شرکت‌هایی که ادعا می‌کنند همه‌چیزدان‌اند و قابل اعتمادترین نهادی هستند که تا به امروز روی زمین آمده! در مورد یک مرز باریک صحبت می‌کنیم، که کمتر کسی به آن اشاره کرده، اما بسیار مهم و تاثیرگذار است.

هرچه دنیا به سمت دیجیتالی شدن پیش می‌رود، رگ‌تک نیز رشد می‌کند. بدون شک، در دنیای دیجیتال فردا، خوش‌صحبتی مدیران تاثیر کمتری در اعتمادسازی خواهد داشت و آنچه که قاپ مشتریان را خواهد دزدید، رعایت بیشتر قوانین و انطباق بیشتر با مقررات خواهد بود.

سیستم‌های تنظیم‌گر امروز، اطلاعات بسیار خوبی از صنایع مختلف در اختیار دارند و به همین دلیل نیز بهتر می‌توانند در حوزه‌های مختلف قانون‌گذاری کنند. نمونه‌هایی مانند شکست اخیر دویچه بانک (Deutsche Bank) نشان می‌دهد که شرکت‌های بزرگ، به شکل فزاینده‌ای در مورد کاری که می‌کنند پاسخگو هستند و در عصر اطلاعات و ارتباطات، جایی برای پنهان شدن نیست. دولت‌ها، در همه سطوح نفوذ دارند، بررسی‌های لازم را انجام می‌دهند، به همه اطلاعات دسترسی دارند و بر همین اساس، روزبه‌روز رویکرد نظارتی خود را به صنایع مختلف توسعه می‌دهند. رویکردی که سیطره رگ‌تک به این صنایع را، که امنیت سایبری، بهداشت‌ودرمان و دارایی دیجیتال (و صد البته خدمات مالی) سرآمدشان هستند، در پی دارد.

منبع finextra