כבוד שברון מת. עכשיו מה?

השברון דפרנס מת. עכשיו מה?

מאת דני ברדבורי • 15 אוגוסט 2024

הקיץ הזה הגיע לסיומה של דוקטרינה משפטית בת 40 שנה שמבטיחה שתהיה לה השלכות משמעותיות על אבטחת הסייבר - ועל מגזרים רבים אחרים. מה זה ומה משמעות ביטולו?

The Chevron Deference, שראשיתה 40 שנה, מתאר את מרחב הרוחב שיש לסוכנויות הפדרליות לפרש את המדיניות שלהן בעת הרגולציה.

הקונגרס עדכן את חוק האוויר הנקי בשנת 1977, ואילץ ארגונים להתקין טכנולוגיה לבקרת זיהום בכל פעם שהם ביצעו שינויים טכניים במתקנים שלהם.

חוקים כמו אלה נעשו על ידי הרשות המחוקקת של ממשלת ארה"ב (הקונגרס), אך הם מחייבים את הרשות המבצעת (סוכנויות פדרליות) לאכוף אותם באמצעות רגולציה. במקרה זה, תפקידה של המשרד להגנת הסביבה היה לוודא שמזהמים מבצעים את השינויים. תחת ממשל קרטר באותה תקופה (זה היה הנשיא שהתקין פאנלים סולאריים על גג הבית הלבן), סביר להניח שה-EPA היה אוכף אותם בחוזקה.

אולם כאשר המינהל משתנה, כך גם משתנה עמדות הרגולטורים, הודות למינויים פוליטיים בהנהגת הסוכנויות. בתחילת שנות השמונים, ענקית הנפט שברון ביצעה כמה שינויים באחד מהמפעלים שלה, אבל עד אז, ה-EPA - הייתה תחת ממשלת רייגן השמרנית יותר (רייגן היה הנשיא שהסיר את הפאנלים הסולאריים האלה).

ה-EPA של רייגן פירש את הרגולציה שלו להתייחס לתחנות כוח כיחידה אחת במקום להתמקד בחלקי ציוד בודדים. זה איפשר לשברון לעדכן את הציוד במפעל שלה מבלי להתקין מקרצפות אוויר נוספות.

המועצה להגנת משאבי הטבע (NRDC) תבעה את ה-EPA בטענה שהיה עליה לפרש את הכללים שלה ביתר קפדנות. בית המשפט העליון נימק שסוכנויות פדרליות צריכות לפרש את הכללים שלהן ולא את בתי המשפט השיפוטיים כל עוד הפרשנות אינה מתנגשת עם לשון הרגולציה.

מכאן ואילך, כל פסיקה של בית משפט קמא בתיק הנוגע לרגולציה פדרלית יצטרך לפנות לסוכנות הפדרלית בעת פרשנות הרגולציה. הרציונל היה שלסוכנות הייתה מומחיות רבה יותר מאשר לשופטים פדרליים.

כלומר עד עכשיו. ב-28 ביוני פסק בית המשפט העליון בתיק נוסף, Loper Bright Enterprises v. Raimondo. לופר ברייט היא חברת דיג בניו אינגלנד שרצתה לערער על החלטה של שירות הדיג הימי הלאומי (NMFS). על פי חוק Magnuson-Stevens, המטיל מגבלות דיג, ה-NMFS דרש מסירות דיג למנות פקחים ממשלתיים שיפקחו על התפיסה שלהן במחיר של חברות הדיג.

לופר ברייט ערער על יכולתה של ה-NMFS להטיל תקנה זו בבית המשפט המחוזי, שהחיל את ה-Hevron Deference כדי לתת ל-NMFS להחליט. התיק הועבר לבית המשפט העליון, שביטל את ההחלטה, ולמעשה ביטל את ה- Chevron Deference.

מה זה אומר על אבטחת סייבר

החלטה זו מאפשרת שוב לבתי משפט מחוזיים להחליט כיצד סוכנויות פדרליות צריכות לפרש חוקים משפטיים, אשר מומחים חוששים שהם בגדר מתן אפשרות לשופטים להחליט על מדיניות. ה-NRDC, שבסופו של דבר קיבל בברכה את שברון דפרנס כאמצעי לספק ודאות במחלוקות על מדיניות פדרלית, שיחות נוף משפטי שלאחר ההרחקה "שקול לזריקת חץ לעבר לוח חצים במגרש התחתון".

"[יש] יותר מעשרה מעגלים שונים, כל אחד עם שופטים רבים", טוען ג'ון ווק, עורך דין בכיר בתוכנית הבריאות הסביבתית של הארגון. "כל אחד עם היכולת להחליט איזו פרשנות סבירה היא הפרשנות הסבירה המועדפת עליו."

מה זה קשור לאבטחת סייבר? זוהי דיסציפלינה צעירה יחסית שעדיין פוגעת במדיניות הפדרלית. הדאגה כעת היא שהשארת החלטות מדיניות לפאנל של שופטי מחוז ומעגל עם דעות שונות תעכיר את המים.

סוכנויות פדרליות הופכות אגרסיביות יותר בוויסות אבטחת הסייבר, אך עם א קונגרס שהוא פחות פרודוקטיבי מאי פעם, הם מסתמכים יותר ויותר על הוספת תקנות לחוקים ישנים יותר שאינם מתייחסים לאבטחת סייבר, לומר, הארלי גייגר, אינס ג'ורדן-זוב וטנווי צ'ופרה במרכז למדיניות אבטחת סייבר.

מומחי המרכז חוששים שפטירתו של Chevron Deference עלולה להשפיע על מספר שינויים רגולטוריים אחרונים, כולל הדרישה של ה-SEC שארגונים ידווחו במהירות על תקריות אבטחת סייבר, יחד עם תיקונים משנת 2022 לחוק Gramm-Leach-Bliley שדרשו ממוסדות פיננסיים לדווח על תקריות אבטחת סייבר. החוקים שעליהם מתבססים תקנות אלה לא כללו כל שפת אבטחת סייבר מפורשת. ללא הגנת שברון דפרנס, הם עלולים לעמוד בפני אתגרים משפטיים בבתי המשפט המחוזיים.

המרכז חושש שהדבר יקשה על ארגונים לקבל מערכת ברורה, כלל-ארצית, של כללים בנושא מדיניות אבטחת סייבר.

"התוצאה עשויה להיות פחות עקביות ביישום התקנות בין תחומי השיפוט", אומרים המחברים. "מאמצי הסניף המבצעים להרמוניה של תקנות אבטחת סייבר ללא סמכות מפורשת של הקונגרס עלולים לאבד קיטור, ולאלץ את הציות בתעשייה להמשיך ולהתמודד עם טלאים של כללי אבטחה."

מחברי המרכז גם חוששים שחוקים חדשים בנושאי אבטחת סייבר יצטרכו להיות פחות מעורפלים, ולהשאיר לרגולטורים פחות מרחב פרשנות במגזר טכנולוגי המתפתח במהירות. זה עלול להקשות על העברת חוקי אבטחת סייבר עתידיים, מזהירים המחברים.

נותר מבחן משפטי אחד המאפשר לבתי משפט לדחות את הסוכנויות הפדרליות בנושאי מדיניות. המכונה דוקטרינת סקידמור, היא נובעת ממקרה משנת 1944 המאפשר לבתי משפט לדחות את הפרשנות של סוכנות המבוססת על "הכוח לשכנע, אם אין לו כוח לשלוט". עם זאת, עד כמה סוכנות משכנעת היא ככל הנראה עדיין דעתו של שופט משפט או מערער.

מה עליך לעשות?

איפה זה משאיר חברות שמנסות לציית לתקנות אבטחת סייבר?

"אולי כעת יותר מתמיד, נחוצות יוזמות של המגזר הפרטי לאימוץ מרצון תוכניות יעילות לניהול סיכוני סייבר כדי לחזק את החוסן של צרכנים, ארגונים וחברה", אומרים מחברי המרכז למדיניות אבטחת סייבר.

למרבה המזל, יש הרבה מסגרות חזקות, כולל ISO 27001 ומסגרת אבטחת הסייבר של NIST, שעליהן חברות יכולות לבסס את מאמצי אבטחת הסייבר שלהן. אלה משאירים לחברות סבירות גבוהה יותר לציית לתקנות הפדרליות, וגם מספקות יותר הגנות מפני אירועי אבטחת סייבר. בסביבה משפטית הפכפכה יותר, ציות מרצון חזק מציע רמה של ודאות ומוכיח שארגונים צייתו לרוח החוק, ולא רק לאותם.

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.