Cytundebau seiberddiogelwch byd-eang: Un rheoliad i reoli seiberofod

• Awdur:
• enw awdur

  Rhagolwg Quantumrun
• Mehefin 2, 2023

Mae nifer o gytundebau seiberddiogelwch byd-eang wedi'u llofnodi ers 2015 i wella cydweithrediad seiberddiogelwch rhwng gwladwriaethau. Fodd bynnag, mae'r cytundebau hyn wedi'u bodloni â gwrthwynebiad, yn enwedig gan Rwsia a'i chynghreiriaid.

Cyd-destun cytundebau seiberddiogelwch byd-eang

Yn 2021, argyhoeddodd Gweithgor Penagored (OEWG) y Cenhedloedd Unedig (CU) aelodau i gytuno i gytundeb seiberddiogelwch rhyngwladol. Hyd yn hyn, mae 150 o wledydd wedi bod yn rhan o'r broses, gan gynnwys 200 o gyflwyniadau ysgrifenedig a 110 awr o ddatganiadau. Mae Grŵp Seiberddiogelwch y Cenhedloedd Unedig o Arbenigwyr Llywodraethol (GGE) wedi llywio’r cynllun seiberddiogelwch byd-eang yn y gorffennol, gyda dim ond llond llaw o wledydd yn cymryd rhan. Fodd bynnag, ym mis Medi 2018, cymeradwyodd Cynulliad Cyffredinol y Cenhedloedd Unedig ddwy broses gyfochrog: y chweched rhifyn o'r GGE a gymeradwywyd gan yr Unol Daleithiau a'r OEWG a gynigir gan Rwsia, a oedd yn agored i'r holl aelod-wladwriaethau. Cafwyd 109 o bleidleisiau o blaid cynnig OEWG Rwsia, gan ddangos diddordeb rhyngwladol eang mewn trafod a ffurfio normau ar gyfer seiberofod.

Mae adroddiad GGE yn cynghori ffocws parhaus ar beryglon newydd, cyfraith ryngwladol, meithrin gallu, a chreu fforwm rheolaidd i drafod materion seiberddiogelwch o fewn y Cenhedloedd Unedig. Cadarnhawyd cytundebau GGE 2015 fel cam sylweddol tuag at sefydlu normau seiber i gynorthwyo cenhedloedd i lywio’r we yn gyfrifol. Am y tro cyntaf, cafwyd trafodaethau ynghylch diogelwch seilwaith meddygol a seilwaith critigol arall rhag ymosodiadau seiber. Yn benodol, mae'r ddarpariaeth meithrin gallu yn sylweddol; roedd hyd yn oed yr OEWG yn cydnabod ei bwysigrwydd mewn cydweithrediad seiber rhyngwladol gan fod data’n cael ei gyfnewid yn gyson ar draws ffiniau, gan wneud polisïau seilwaith gwlad-benodol yn aneffeithiol.

Effaith aflonyddgar

Y brif ddadl yn y cytundeb hwn yw a ddylid creu rheolau ychwanegol i ddarparu ar gyfer cymhlethdodau datblygol yr amgylchedd digidol neu a ddylai rheolau seiberddiogelwch presennol gael eu hystyried yn rhai sylfaenol. Roedd y grŵp cyntaf o wledydd, gan gynnwys Rwsia, Syria, Ciwba, yr Aifft, ac Iran, gyda rhywfaint o gefnogaeth gan Tsieina, yn dadlau o blaid y cyntaf. Ar yr un pryd, dywedodd yr Unol Daleithiau a democratiaethau rhyddfrydol gorllewinol eraill y dylid adeiladu ar gytundeb GGE 2015 ac na ddylid ei ddisodli. Yn benodol, mae’r DU a’r Unol Daleithiau yn ystyried nad oes angen bargen ryngwladol gan fod seiberofod eisoes yn cael ei lywodraethu gan gyfraith ryngwladol.

Dadl arall yw sut i reoleiddio militareiddio cynyddol seiberofod. Mae sawl gwladwriaeth, gan gynnwys Rwsia a China, wedi galw am waharddiad gwastad ar weithrediadau seiber milwrol a galluoedd seiber sarhaus. Fodd bynnag, mae'r UD a'i chynghreiriaid wedi gwrthwynebu hyn. Mater arall yw rôl cwmnïau technoleg mewn cytundebau seiberddiogelwch byd-eang. Mae llawer o gwmnïau wedi oedi cyn cymryd rhan yn y cytundebau hyn, gan ofni y byddant yn destun mwy o reoleiddio.

Mae'n bwysig nodi'r tensiwn geopolitical y mae'r cytundeb seiberddiogelwch byd-eang hwn yn ei lywio. Tra bod ymosodiadau seiber a noddir gan y wladwriaeth gan Rwsia a Tsieina yn cael y sylw mwyaf (ee Solar Winds a Microsoft Exchange), mae'r Unol Daleithiau a'i chynghreiriaid (gan gynnwys y DU ac Israel) hefyd wedi ymladd eu seiberymosodiadau eu hunain. Er enghraifft, gosododd yr Unol Daleithiau malware yn seilwaith trydan Rwsia yn 2019 fel rhybudd i'r Arlywydd Vladimir Putin. Fe wnaeth yr Unol Daleithiau hefyd hacio gweithgynhyrchwyr ffonau symudol Tsieineaidd a sbïo ar ganolbwynt ymchwil mwyaf Tsieina: Prifysgol Tsinghua. Y gweithgareddau hyn yw pam mae hyd yn oed taleithiau awdurdodaidd sydd wedi’u cyhuddo o gychwyn ymosodiadau seibr yn rheolaidd yn awyddus i weithredu rheoliadau cryfach ar seiberofod. Fodd bynnag, mae'r Cenhedloedd Unedig yn gyffredinol yn ystyried y cytundeb seiberddiogelwch byd-eang hwn yn llwyddiant.

Goblygiadau ehangach cytundebau seiberddiogelwch byd-eang

Gallai goblygiadau posibl cytundebau seiberddiogelwch byd-eang gynnwys: 

• Gwledydd sy'n rheoleiddio'n gynyddol (ac mewn rhai achosion, yn rhoi cymhorthdal) i'w sectorau cyhoeddus a phreifat i uwchraddio eu seilweithiau seiberddiogelwch. 
• Mwy o fuddsoddiadau mewn datrysiadau seiberddiogelwch a galluoedd seiber sarhaus (ee milwrol, ysbïo), yn enwedig ymhlith grwpiau cenhedloedd cystadleuol fel y fintai Rwsia-Tsieina a llywodraethau'r Gorllewin.
• Mae nifer cynyddol o genhedloedd sy'n osgoi ochri â Rwsia-Tsieina neu'r Gorllewin, yn lle hynny yn dewis gweithredu eu rheoliadau seiberddiogelwch eu hunain sy'n gweithio orau i'w buddiannau cenedlaethol.
• Cwmnïau technoleg mawr - yn enwedig darparwyr gwasanaethau cwmwl, SaaS, a chwmnïau microbroseswyr - sy'n cymryd rhan yn y cytundebau hyn, yn dibynnu ar eu goblygiadau ar eu gweithrediadau priodol.
• Heriau i weithredu'r cytundeb hwn, yn enwedig ar gyfer cenhedloedd sy'n datblygu nad oes ganddynt yr adnoddau, y rheoliadau na'r seilwaith angenrheidiol i gefnogi amddiffynfeydd seiberddiogelwch uwch.

Cwestiynau i'w hystyried

• Ydych chi'n meddwl bod cytundebau seiberddiogelwch byd-eang yn syniad da?
• Sut gall gwledydd ddatblygu cytundeb seiberddiogelwch sy’n deg ac yn gynhwysol i bawb?