الآليات القانونية لتكريس الأمن المعلوماتي
لايخفى علينا ما شهدته البشرية من تطور في اتجاهين احدهما ايجابي والاخر سلبي:
فأما الايجابي: فيتمثل فيما نراه من توال للعصور, فمن عصر الحجارة، والبخار، الى عصر المعلوميات الذي ارخ له الهاتف والفاكس…الخ وتوجه الحاسوب خاصة بعد ربطه بالشبكة العنكبوتية.
وأما السلبي: فيتمثل في تطور السلوك الاجرامي وتعدده وتنوعه بامتياز، حيث مس بعض القيم وزعزع بعض المبادئ كما سنرى لاحقا اذ لم تعد بمنأى عنه الاشياء المادية ولا المعنوية بما فيها المعلومات التي يتم تبادلها عبرالانترنت.
فبعدما أصبحت الحواسيب في وقتنا الراهن في متناول شريحة كبيرة من أفراد المجتمع ، وأصبح من السهل تعليم كيفية تشغيلها، مما ساهم في انتشار استخدامها في القطاعات الاقتصادية والخدماتية ورخص ثمنها بعد أن أبانت عن فعالية وسرعة فائقة في حفظ، وتخزين، وتبويب المعلومات، واستخراجها وتدفقها ليس داخل الدولة فقط، وإنما عبر دول كثيرة، وأصبحت وسيلة الربط بين الأجهزة المختلفة لحفظ المعلومات، ومن ثمة أصبح التطور التكنولوجي وما واكبه من ظهور للجريمة المعلوماتية، أولى العراقيل التي تعترض السياسات الجنائية الأمنية وتحول دون بلوغها الأهداف المرسومة، والحديث عن هذه الأخيرة يجرنا إلى التعرف عليها فما المقصود بها؟
أمام غياب تعريف قانوني للجريمة المعلوماتية وانطلاقا مما جاءت به الأعمال التحضيرية لاتفاقية بودابيست([1]) تحت عنوان “الجريمة المعلوماتية” التي اعتبرت المجال الافتراضي مكانا للجرائم النوعية أو الخاصة، بالرغم من أنه كذلك يبقى مجالا شاسعا وصعب التحديد.
إلا أنني أرى أن الجريمة المعلوماتية لا تخرج عن نطاق الجرائم المنظمة ومفهومها من مفهوم هذه الأخيرة.
فالجريمة المنظمة حسب ما جاء في إحدى المناظرات الدولية([2]) “كل فعل إجرامي تم التخطيط له بدقة من طرف جماعة إجرامية منظمة غايتها زعزعة الاستقرار في بلد ما وخلق البلبلة في النفوس لبلوغ أهداف معينة، تم تحديدها من قبل، وقد تكون أهدافها هذه سياسية كنشر اديولجيات معينة، واقتصادية كالحصول على أموال”
والجريمة المنظمة المعلوماتية غالبا ما تتخذ مجالا لها الميادين التي تذر على منفذيها أموالا طائلة، من قبيل الدخول إلى نظم المعالجة الآلية للمعطيات بتغييرها، وحذفها، وإحداث اضطراب في سيرها، أو تزييف أو تزوير وثائق المعلوميات أي كان شكلها لإلحاق ضرر بالغير، أو صنع تجهيزات، أو أدوات أو إعداد برامج للمعلومايات وتملكها بدون وجه حق.
وبالرغم مما ينتج عن جرائم الحاسوب من أضرار اقتصادية بليغة قد لا تقع في دائرة التجريم من جانب القانون الجنائي لخصوصيتها و صعوبة تكييفها قانونا، بسبب دقة الاختراق المعلوماتي، واعتماده خطوات متتالية ترمي إلى تنفيذ أهداف لامشروعـة، إلى جانب عبور النشاط الإجرامي للحدود إذ يمكن لشخص جالس أمام حاسوبه في دولة ما أن يستخدم نظام حاسوب في دولة أخرى، فيقوم بالتدمير أو التحريف، فتزوير البيانات المرسلة عبر الانترنيت جريمة أداتها الحاسوب.
لذا يجب النظر إليها بشكل مختلف عن الجرائم الأخرى والتصدي لها بتشريعات خاصة، ووسائل إثبات مختلفة بل وتجنيد شرطة مختصة لمكافحتها.
و منه نتساءل هل المنتظم الدولي وفر الامن اللازم لتداول المعلومات؟ وهذا ما سنراه في المطلبين المواليين.
المطلب الأول:تجريم اخـتـراق النظـم الإلكترونيـة
بالرغم من المزايا الواضحة التي تحققها التجارة الإلكترونية في الوقت الحالي و خاصة لاقتصاديات الدول المتقدمة، إلا أنها ما زالت تعاني من قصور في نظم السرية والامان تحـول دون الاختراق المعلوماتي التصنتي– Eavesdropping ([3])– و ما يسفــر عنه من سرقــة معلومـات الحسابــات الشخصية مثل أرقام بطاقات الائتمان أو أرقام حسابات الزبون، وموازين المراجعة، ومعلومات الفواتير.
كما يمكن اكتشاف كلمات السر مما يِخاف منه النفاذ إلى نظم تظم بيانات مهمة اخرى، و بالتالي تعريض هذه البيانات لفقد الخصوصية، خصوصا إذا شمل هذا التعديل بيانات متعلقة بالمعاملات التجارية مثل تغيير اسم المدفوع لأمره في الشيكات الإلكترونية، أو المبلغ المحول إلى حساب بنكي.
فما المقصود بالاختراق والى أي حد يمكن القول أن المهاجم قد اخترق نظام معلوماتي ما مما يرتب مسؤوليته؟، هذا ما سنراه في فقرتين.
الفقرة الأولى: اختراق النظم الإلكترونية
تنشــأ الجرائم داخــل الفضاء الافتراضي، بصورة عامة، عند المس بالمعلومات، وهنا نتساءل عن مدى خضوع هذه الاخيرة للسلوك الاجرامي؟ او الفعل الاجرامي الذي يكون الركن المادي للجريمة التقليدية الواقعة على الاموال[4] ؟
ان سبب التساؤل هذا راجع الى الطبيعة المعنوية للمعلومات الشيء الذي يجرنا الى الحديث عن مدى امكانية اعتبار الاشياء المعنوية اموالا بالمعنى المقصود في القوانين الجنائية التقليدية
فالمال هو كل شيء غير خارج عن التعامل بطبيعته او بحكم القانون ، والشيء كل ما يصلح لان يكون محلا للحقوق المالية ، فأما الاشياء فهي اما مادية او معنوية ، اما الاموال من وجهة نظر تقليدية هي الاشياء المادية وهي المشمولة بالحماية والسبب في قصر الحماية على الاشياء المادية فقط هو كونها ذات قيمة كبيرة، وتستبعد الاشياء المعنوية لقلتها وضالة قيمتها.
والاشياء التي تعد من قبيل الاموال هي الاشياء القابلة للتملك وما دامت المعلومات لا تقبل التملك باستثناء الملكيةالادبية والفنية فانها تستبعد من نطاق المال، الا ان ما وصلت اليه المعلومات حاليا من قيمة لها وزن زعزعت معيار تقسيم الاشياء الى مادية ومعنوية لكي يكون خاضعا للحماية الجنائية ليحل محله معيار القيمة الاقتصادية
ولم يكن الفقه المغربي في معزل عن ما يدور حوله بل هو الاخر تجاذبه رأيان:
احدهما يرى، بتطبيق قواعد القانون الجنائي على الجرائم المعلوماتية، والاخر يرى، في ذلك مس بشرعية التجريم الى ان اصدر المشرع المغربي القانون رقم 03-07 المتمم لمجموعة القانون الجنائي والمتعلق بالمس بالمعالجة الالية للمعطيات كالية اولى لتكريس الامن المعلوماتي، والذي اعترف بتزويرالمحرر المكتوب على الدعامة المغناطيسية لدعم الثقة قبل الاعتراف به من طرف القانون رقم 05-53 المتعلق بالتبادل الالكتروني للمعطيات القانونية[5]
ولكن تباينت الآراء كذلك حول تحديد دقيق و محكم لعملية الهجمة المعلوماتية أو الاختراق المعلوماتي الذي يشكل مسا بالمعطيات، و ذلك من أجل تحديد المسؤولية القانونية للمخترق، و طبيعة الأحكام القانونية التي تصبح نافذة في حقه:
فذهب الاتجاه الأول([6]) إلى عدم اعتبار النشاط المعلوماتي اختراقا يخضع للمساءلة، ما لم ينفذ عملية القرصنة فيحول اتجاه المعلومات أو يغير فيها مجموع بياناتها بما في ذلك الدقيقة منها.
في حين يرى الاتجاه الآخر([7]) وهو اتجاه متشدد أن مباشرة محاولة الدخول إلى نظام معلوماتي، لا تستوجب النجاح في تحقيق الغاية، وانما بدء محاولة الغير للدخول إلى ساحة النظام بدون ترخيص، أو محاولة إحباط نشاط ما في بقعة من بقاع النظام نقطة البداية للهجمة المعلوماتية، تستوجب المساءلة كما أن ربط الاختراق بتحقيق غايته هو تساهل واضح لأن الدخول إلى الحمى هو اختراق لحرمة النظام سواء تحققت غايته أم لم تتحقق، وأن أي عملية دخول لا مشروع يمارسها الغير على نظام معلوماتي (دون ترخيص قانوني) بصورة مباشرة أو غير مباشرة، تعد اختراقا معلوماتيا يقع صاحبه تحت طائلة المساءلة القانونية على ضوء طبيعة الأضرار الناجمة عن عملية الاختراق وتدرجها، وقد تصدى المشرع الفرنسي في قانونه المتعلق بالاعلاميات الصادر بتاريخ 6 يناير 1978 والقانون الصادر بتاريخ 1988 المتعلق بالغش المعلوماتي.
وهو المنحى الذي حداه المشرع المغربي إذ نص المشرع الجنائي المغربي بمقتضى القانون رقم 03/07 المتمم لمجموعة القانون الجنائي في فصله 3-607 على تجريم عملية الدخول إلى نظام المعالجة الآلية للمعطيات متى توافر عنصر القصد([8])،أي متى دخل الشخص إلى النظام بطريقة غير مشروعة سواء تم ذلك لمجموع النظام أوجزء منه و سواء أتحققت النتيجة فتم حذف أو تغيير المعطيات المدرجة في النظام، أم لا، فالجريمة لا تتوقف على حصول النتيجة بل مجرد المحاولة ترتب عقوبة الجريمة التامة([9])
والادهى من ذلك أن مجرد الدخول الى النظام بدون قصد والبقاء فيه، يعتبر جريمة معاقب عنها، الا ان ما نعيبه على مشرعنا هو تجريم البقاء في النظام كدليل على سوء النية، من غير ان يعمل على تحديد مدة البقاء في النظام التي ترتب المسؤولية بعدما دخله بحسن نية، لذلك نرى بضرورة برمجة الحواسيب و تزويد الانظمة المعلوماتية بما يحمل على وجود اشارات منبهة تدل على ان المتصفح لجهاز الحاسوب قد تجاوز الحد المسموح بولوجه، مثلا كانبعاث اشارة ضوئية حمراء تدل على عدم تجاوزها، وأن استمراره في فعله يضعه تحت طائلة العقوبة المقررة قانونا، فإذا تجاوز هذه المرحلة يكون قد اخترق النظام مما يستوجب عقابه بغض النظر عن هدفه وفي ذلك دليل على سوء نيته
كما يؤخذ على هذا القانون هو عدم وضوحه في بعض الاحيان مثلا الفصل 607-9 االذي عاقب بنفس عقوبة الجريمة عند الاشتراك في عصابة او الاتفاق اشترط في فقرته الاخيرة ان ترد الافعال المادية على من اجل الاعداد لواحدة او اكثر من الجرائم المنصوص عليها في المواد السابقة كما اشترط هذا الفصل في الاعداد ان يرد في صورة واحدة او اكثلر من الافعال المادية وتعبير الافعال المادية تجعلنا نتساءل عن المقصود بها؟ اهي الافعال التي تسبق الشروع في ارتكاب الجريمة وهنا توسيع لدائرة التجريم وبالتالي توفيرامن اكثر للوعاء المعلوماتي قياسا على ما ذهب اليه المشرع الفرنسي في قانونه المتعلق بالغش في المعلوماتية لسنة 1988 وخاصة المادة 323 فاذا رجعنا الى 607-7التي لا تعاقب على التزوير الا اذا الحق ضررا بالغيرمما يحمل على القول ان مجرد الدخول الى النظام الذي نص عليه الفصل 607-3 من القانون الجنائي لا يشكل جريمة وحدها وانما لابد أن يضر هذا الدخول بالغير
وقد عرف القضاء المغربي نماذج من هذه الجرائم، كالقضية الجنحية المسجلة لدى المحكمة الابتدائية بخريبكة تحت عدد 385/04 [10]:حيث أدانت أحد التقنيين من أجل جنحة الدخول إلى نظام للمعالجة الآلية للمعطيات، نتج عنه حذف واضطراب في سيره، ذلك أن هذا الجانب أحدث موقعا له بالانترنيت وبدأ يراسل أشخاص ذاتية ومعنوية بواسطة الانترنيت وتسلم على ضوء ذلك بريدا إلكترونيا حقق له منفعة مالية بدون وجه حق كما ألحق ضررا بمواقع إحدى الشركات, ولم تختلف قضيته عن قضية[11] المغربي (ف. ص.) الملقب “بديابلو Diablo” والتركي (ب. أ.) المتهمين بتكوين عصابة إجرامية والسرقة الموصوفة واستعمال بطائق ائتمان مزورة والولوج إلى أنظمة المعالجة الآلية للمعطيات عن طريق الاحتيال وإدخال تزوير على وثائق المعلوميات مما ألحق ضررا ببعض الشركات الأمريكية.
ومنه لا نستطيع تحديد الاتجاه الذي نحاه القضاء المغربي في تكييفه لهذه الجرائم أمام حداثة هذا النوع من الجرائم، لكن يمكن القول أنه نهج مسلك الاتجاه الأول الذي ضيق من نطاق الجريمة فحصرها في المجرم الخارق الذكاء وجعل التزوير الطفيف للبيانات الذي لا يلحق ضررا بالغير غير مجرم وغير معاقب عليه وركز على النية الإجرامية إذ جعل من القصد الجنائي عنصرا في تجريم ولوج أنظمة المعالجة الآلية للمعطيات تطبيقا للفصل 3 – 607 من القانون الجنائي المعدل بظهير 11نونبر 2003، والمادة 65 من القانون رقم 05/34 القاضي بتغيير وتتميم القانون رقم 00.2 المتعلق بحقوق المؤلف والحقوق المجاورة.
فمهما بلغ التطور العلمي في هذا المجال، يجد المشرع نفسه مضطرا إلى البحث عن الوسائل قطع الطريق أمام الأنواع المختلفة من الانحراف.
إلا أن الذي يلاحظ أن المشرع المغربي حصر تدخله في الجانب الموضوعي مما تبقى معه الساحة فارغة من الترسانة التشريعية الضرورية خاصة الشكلية منها، لتحديد كيفية منع وزجر كافة ضروب الجرائم المعلوماتية ، لكي لا تتجه نحو تمويل جرائم أكثر خطورة على الأرواح والممتلكات.
فالجرائم المعلوماتية ليست هي القرصنة فقط وإنما هي تبييض الاموال والسرقة عن طريق الشراء بواسطة الانترنيت، أو تحويل الأموال بواسطة الحسابات البنكية، والمس بسلامة شبكة الاتصال، وتزييف البطاقات.
ويتم الاجرام المعلوماتي عبر اعتماد مبدأ الاختراق المعلوماتي لحدود نظام من النظم السائدة في هذا الفضاء بمباشرة مجموعة من الأنشطة اللامشروعة ، والتي تشمل:
-سرقة البرمجيات أو استغلالها دون وجود إذن مسبق بذلك، بعد فك الرموز والكلمات السرية وكسر الحواجز الأمنية واستكشاف مواطن الضعف في الجهاز أو الشبكة[12].
– الدخول إلى ساحة النظم الحاسوبية و شبكة الهواتف بأنواعها لاستغلال الموارد المتاحة فيها.
– التلاعب بالبيانات و تغيير محتويات ملفات الغير أو إتلافها، أو نقلها، أو نشرها.
-فك الشيفرات للبرمجيات التطبيقية المحمية، أو الملفات المشفرة لأغراض الحفاظ على سرية محتوياتها لأي سبب كان.
– مباشرة أعمال قرصنة على الخدمات العامة و الخاصة المتاحة على الشبكات الحاسوبية.
-زج الفيروسات الحاسوبية، أو برمجيات متشابهة لإحداث خلل في أداء المنظومة أو إتلاف مواردها المعلوماتية.
-تهريب معطيات معلوماتية من نظام إلى آخر.
-ممارسة أنشطة إرهابية بمختلف مستوياتها إزاء البنى التحتية للدول، أو المؤسسات أو الأفراد.
واما أخطر أنواع الاختراق فيسمى بالاختراق الخداعي ([13])، حيث يتنكر أحد القراصنة في شخصية طرف يمثل مؤسسة مالية، أو صاحب بطاقات بنكية يمكن من خلالها تحصيل أموال من التجار والمستهلكين عموما[14].
و في تصريح لاتحاد منتجي برامج الكمبيوتر التجارية (BSA)([15]) في مؤتمر”المنظمة العالمية لمناهضة القرصنة WIPO” حول التجارة الإلكترونية و الملكية الفكرية: ” تبين أن الخسائر الناجمة عن قرصنة المعلومات التي تمر عبر الانترنت أخذت في الازدياد حيث تساهم في النسبة المتزايدة لإجمالي خسائر القرصنة العالمية التي تقدر تقريبا بمبلغ إحدى عشر مليون دولار أمريكي في السنة.
وان وطأة التأثير الاقتصادي لهذا النشاط تتجاوز بكثير حدود صناعة البرمجيات مما يلحق الضرر باقتصاديات الدول في العالم قاطبة و ذلك بانخفاض فوائد الضرائب بشكل بالغ، و فقدان أعداد هائلة من الوظائف “.
وكسائر المجرمين فإن قراصنة الإنترنت يتميزون بالدهاء و سرعة التكيف، و السعي باستمرار إلى الأغراض غير المشروعة لإيجاد طرق جديدة تتفق مع نفس التقنية المستعملة.
ومما يلفت الانتباه ويزيد من تخوف التجار ارتفاع مواقع القرصنة على شبكة الإنترنت، حيث يوجد أكثر من مليوني موقع تقوم بعرض أو توصيل أو إشارة إلى وريز(WARIZ) ([16]) الذي يعد رمز الانترنت لغرض الحصول على نسخ برمجيات غير مشروعة.
و لقد ازدادت هذه المشكلة بشكل ملحوظ على مدى السنوات الثلاث الماضية،.
و يعتبر كيفين ميتنيك عميد القراصنة عبر الإنترنت، و أخطر قراصنة المعلوميات في نهاية القرن الذي ودعناه، تنوعت أنشطته منذ المراهقة حيث تغلغل إعلاميا في مصالح الاستعلامات الهاتفية بالولايات المتحدة الأمريكية ([17]).
لا تقل جريمة اختراق نظام إلكتروني معين عن اقتناص الرسائل الإلكترونية أو ما يعرف بالبريد الإلكتروني،[18] و هو ما يسهل على المتسلل الإطلاع على ما تحويه هذه الرسائل الإلكترونية من معلومات أو تدميرها بالكامل مما يثير مخاوف المؤسسات المالية.
وتختلف حساسية النظم المعلوماتية لعملية الاختراقات اللامشروعة التي تستهدف بنيتها([19])، من أجل هذا فقد عمد العاملون في مضمار الأمن المعلوماتي إلى تقسيمها إلى ستة مستويات:
يتضمن المستوى الأول منها الهجمات المعلوماتية العفوية لمستخدمي الشبكة، والتي تحمل في طياتها انتهاكا لحقوق المستخدم الشخصية، أما المستويات الخمسة المتبقية فيمكن استغلال الثغرات المعلوماتية السائدة فيها من قبل الحكومات أو مؤسساتها، أو قراصنة المعلومات المرتزقة في انتهاك الحرمة الشخصية لمستخدم الحاسوب – سواء كان مستخدما عاديا أو مؤسسة حكومية – و فك شيفرتها البرمجية، و استغلال السجلات الشخصية، أو المادة العلمية، أو الثقافية الموجــودة فيـها.
الفقرة الثانية: الأدوات التخريبية للنظم الإلكترونية
فأما الأدوات المعلوماتية التخريبية عبارة عن برمجيات أو وسائط تقنية قابلة للتوظيف مع عتاد الحاسوب و برمجياته، وفق تصميم يلحق الضرر بنظامه([20]) بغية تحقيق الأهداف الرئيسية التالية :
– مضايقة و إنهاك مستمر لموارد النظام المعلوماتي.
– تدمير قواعد البيانات، و المعارف، و موارد البرمجيات، والنظم التطبيقية.
– إحداث ثغرات في النظام المعلوماتي، أو التمهيد لها من خلال الكشف عن مواطنها.
و تستغل هذه الأدوات من قبل قراصنة المعلومات، لضمان سهولة اختراق الشبكة، عن طريق استثمار الإمكانيات المتاحة من هذه الأدوات، للوقوف على طبيعة الثغرات الأمنية الموجودة، والاستفـادة منهـا لفك الرموز والشفرات.
و أهم الأدوات المتاحة للاقتحام أو الانتهاك و الاختراق المعلوماتي قد تتجلى في فيروسات عامة (أولا) أو أدوات أخرى متخصصة (ثانيا) تحاول إفشال النظام المعلوماتي والتأثير عليه.
أولا: الفيروسات
يصعب على المستخدم العادي، تحديد الفترة الزمنية التي ظهرت فيها الفيروسات التي تطال الحاسوب، و ازدياد أعدادها بشكل ملحوظ.
لذا ظهرت البرمجيات الخاصة بالكشف عن وجودها أو معالجتها، وأصبحت جزءا لا يتجزأ من مجموعة أدوات المستخدم SERVEUR الأساسية.
تعددت وتباينت التعاريف الاصطلاحية للفيروس، محاولة منها أن تخصه بتعريف جامع مانع، يضم معظم المميزات السلوكية التي يتصف بها.
فعرفه البعض[21] بأنه برنامج صغير يصيب الأجهزة ويتسبب في الكثير من المشاكل مثل مسح الذاكرة الصلبة آو مسح بعض الملفات الهامة في أنظمة التشغيل أو القيام بإصدار الأوامر لبعض البرامج دون علم المستخدم.
ورأى البعض الآخر([22]) بأنه عبارة عن فئة محددة من البرمجيات التي تمتاز بأثرها التخريبي لنظم تشغيل الحاسوب، و برمجياته، نظرا لما تحتوي عليه من برامج من نوع الديدان تشبه القنابل الموقوتة زمنيا.
و ذهب البعض الآخر ([23]) إلى تعريفه بأنه برنامج صغير يلتصق ببرمجيات أخرى تساعده على الاختفاء، وتمهد بذلك الطريق أمام انتقاله بين نظم التشغيل بسهولة، لكي يباشر عمله التخريبي، الذي يشمل عملية تكوين نسخ متعددة من الحاسوب المصاب.
بالمقابل عرفته باتريشيا هوفمان ([24]) بأنه البرنامج الذي يقوم بتغير محتوى البرمجيات التي يصيبها، عن طريق إلصاق نسخة منه فيها.
بينما أضفى عليه توم مينالي ([25]) شمولية أكبر باعتباره مجموعة إيعازات برمجية قد صممت من قبل شخص ما، للتسلل إلى حاسوب محايد، بغرض إجراء جملة من الفعاليات التي قد تشمل تكوين نسخ إضافية تلتصق بالبرمجيات الأخرى، أو تصدر رسائل مزعجة، أو ينجم عنها تأثيرات ضارة كإلغاء الملفات أو إحداث خلل في هيكلتها.
أما بيتر نورتون ([26])، صانع سلسلة برمجيات صيانة الحاسوب ومكافحة الفيروسات الشهيرة NORTON، فقد ذهب إلى تعريفه بأنه عبارة عن برنامج صغير، قد صيغ لغرض تغيير عمل برمجيات الحاسوب، دون السماح للمستخدم بمعرفة هذا الأمر.
ومما تقدم يتضح أن هناك خاصيتان أساسيتان يفتقر إليهما الفيروس:
الأولى: القدرة على التشغيل الذاتي، والتأثير في النظام المعلوماتي بصفة منفردة، عن طريق إدراج شيفرته في المسار التشغيلي لبرنامج آخر.
والثانية: ضرورة إنشائه نسخا إضافية تزيد من مساحة انتشاره.
وبذلك تفاقمت مشكلة انتشار الفيروسات في ميدان الحاسوب، و تعددت أنواعها باختلاف هيكلية البرمجة، و مواطن استقرارها، و طبيعة التأثيرات الناجمة عنها، و نوع الملفات التي تستهدفها في تأثيراتها، بحيث لم يعد من السهل التعامل معها ما لم تصنف إلى أصناف محددة، يجمعها قاسم مشترك واحد، لكي يسهل تحديد هويتها، و طرق معالجتها.
ثانيا: الأدوات التخريبية المتخصصة.
تعترض المعلومات المتبادلة عبر الانترنت مجموعة مشاكل[27] قد تؤدي إلى تحويل مسار ها إلى اتجاه معاكس باستعمال أدوات شتى:
*الشمام Sniffer
الشمام عبارة عن أي جزء من عتاد الحاسوب أو برمجياته التي تسرق السمع، و تتجسس على جميع أنواع المرور المعلوماتي على الشبكة بهدف قرصنة، وانتزاع، أو اختطاف المعلومات المنتقلة بين أجزائها، أو على الأقل الإطلاع عليها.
*مصدع كلمات العبور Passwords Cracker
تشتمل أداة مصدع كلمات العبور على كل برنامج تطبيقي يمتلك قدرة تجاوز عقبة تشفير المعطيات أو إحباط آليات الحماية المصاحبة لها، خصوصا إذا استعمل المهني وسائل اقل جودة واقل قوة يسهل فك التشفير المستعملة فيه.
لذلك أرى بأنه يقع على عاتق الجهات المسيرة، و المنظمة للآفاق المستقبلية للشركات، والمؤسسات المالية، محاربة كل من حاول اختراق نظام معلوماتي محمي، مع الأخذ بعين الاعتبار قوة، ودرجة جودة الوسائل المستعملة للحفاظ على سرية المعطيات.
*حصان طروادة Trojan Horse
تعتبر أحصنة طراودة من الأدوات الفاعلة في ميدان الاختراق ألمعلوماتي شبيهة جدا بالفيروسات، لكنها تختلف عنها في الهدف، فالديدان او الفيروسات تقوم بمسح أو تدمير المعلومات من البرامج التطبيقية، كبرامج المحاسبة، وقواعد المعلومات، وبمقدورها التكاثر حتى تملا الذاكرة، أما أحصنة طراودة لا تدمر، ولا تقوم بمسح المعلومات، ولكنها تتجسس وتقوم بجمع المعلومات والبيانات، وتحولها إلى مرسلها أي للشخص الذي أرسل حصان طراودة، وتركز على المجال المالي بالدرجة الأولى .
و توجد أكثر من خاصية برمجية تتصف بها النسخ المتوفرة في ميدان المعلوماتية من قبيل هذه الأداة بحيث يمكنني القول بأنها عبارة عن:
-برنامج غير مرخص مضمن في برنامج شرعي، ليباشر البرنامج غير المرخص زمرة من المهام التي لا يريدها المستخدم، أو يمتلك معلومات كافية عنها.
-برنامج شرعي تم تغييره بإدخال شيفرات غير مرخصة داخل هيكلته البرمجية بحيث يقوم بجملة من الأنشطة غير المشروعة.
– برنامج يقوم بأنشطة غير مشروعة، بسبب حشر شيفرة خارجية عن هيكلته البرمجية مما يكسبه القدرة على القيام بأنشطة قد تكون مشبوهة أو غير مشروعة.
-برنامج يوفر خدمة مفيدة أو مثيرة لاهتمام الآخرين، لأنه يقوم بأنشطة غير متوقعة، مثل سرقة كلمة العبور، أو استنساخ ملفات، أو إلغائها دون علم المستخدم[28] مما قد يضر بمجال المال والأعمال .
وقد كان لما تقدم أثره على النظم التقنية، والقانونية، كما يتضح من المطلب الموالي.
(تابع)
—
يعتمد أمن و وحماية المعلومات و الثقة بالتبادل الالكتروني للمعطيات على توافر بنية تقنية أساسية قومية (National Information Infrastructure NII يمكن من خلالها بناء ( الثقة لدى المستخدمين، عن طريق جعل اتصالاتهم وبياناتهم مؤمنة ضد محاولة وصول غير المرخص لهم إليها، أو محاولة تحريفها، أو تغييرها بما يحقق زيادة استخدام الشبكة بصورة منتظمة في أغراض تجارية وهذا ما نحاول تسليط الضوء عليه من خلال مداخلتنا المتواضعة.
لكن أمام تداول استخدامات مفاهيم السرية، و التأمين، و الخصوصية بصورة كبيرة في مجال التجارة الإلكترونية، بعمومية ودون الاتفاق الضمني على التحديد الدقيق لهذه المفاهيم سنحاول استجلاء مضمونها باقتضاب.
فأما السرية ([29]) فهي إخفاء لمحتوى الرسائل أو البيانات بطريقة مناسبة تمنع التعرف على محتوياتها خلال تحريرها أو حفظها أو تداولها.
وأما التأمين فيقصد به تحقيق الحماية لمحتوى الرسائل أو البيانات ضد محاولات التغيير أو التعديل أو المحو خلال كافة مراحل التبادل و ضمان التحقق من شخصية كل من المرسل و المستقبل.
يقصد بالخصوصية ألا يتم استخدام المعلومات و الرسائل في صورتها الكلية أو بأي صورة جزئية في غير الغرض المرخص به من صاحب المعلومة أو الرسالة و أن يقتصر الاستخدام أيضا على الشخص أو الجهة المرسل إليها الرسالة و دون أي حق لها في إتاحة ما بها من بيانات أو معلومات لأي جهة أخرى إلا بموافقة صريحة من صاحب الشأن.
ونجاح التبادل الالكتروني للمعلومات رهين بتوافر نسبة معقولة من المفاهيم الثلاثة لتحقيق التوازن بين متطلبات الانفتاح السرية و التأمين و الخصوصية المطلوبة لبناء الثقة بين المتعاملين بالاداة المعلوماتية، ودفعا لأي تخوف من أي اختراق محتمل لأنظمتهم الإلكترونية
وللتطور المتلاحق و السريع لتقنيات الحاسوب آثاره الملحوظة على أمن هذا الأخير، لكن الملاحظ بصفة عامة هو أن ذلك التطور السريع يكون في غالب الأحوال أسرع من أن تتم ملاحقته بواسطة خبراء أمن المعلوميات و التشريعات الوطنية والدولية، مما يتسبب في وجود ثغرات تقنية واخرى قانونية وقد حاولت بعض التشريعات ومنها المغرب ان تحيط المعاملات الالكترونية بحماية تقنية – فقرة اولى- واخرى قانونية من قبيل ادخال الغير للتصديق- فقرة ثانية-.
الفقرة الأولى: التشفير وطبقة الفتحات الامنة
يتصدر موضوع الأمن على شبكة الانترنت قائمة الاهتمامات لدى معظم المستخدمين خاصة المهنيين الجدد الذين غالبا ما يحجمون عن الخوض في التجارب حتى تكتمل لديهم الصورة ويدركون درجة الآمان في التعامل بالتقنيات الجديدة.
وعليه ابتدع الفكر التقني وسائل لضمان الثقة وهي:
أولا: عملــية التشفــير([30])
لقد ساهم التقدم الملموس في التقنيات المعلوماتية وخصوصا المتعلقة بعملية التشفير في تأمين نظم إرسال المعلومات، الشيء الذي ساعد على انتشار الأداء الإلكتروني كممارسة يومية للعديد من الأشخاص حول العالم.
فوصول التجارة الإلكترونية إلى مجال الاستخدام الطبيعي يرتبط ارتباطا وثيقا بتوفير الأمن، و التأمين لكل أطراف المعاملات التجارية، وأن يحصل كل طرف على درجة مناسبة من الثقة التي تحقق لـه الانطلاق في استخدام التجارة الإلكترونية.
ويقصد بتشفير المعطيات:” التغيير الذي يطال شكل المعلومات عن طريق تحويلها إلى رموز أو إشارات تحول دون قراءتها أو تغييرها”[31].
اما أسلوب التشفيرفيراد ب كل عتاد أو برمجية أو هما معا ، ينشأ أو يعدل من أجل تحويل معطيات سواء كانت عبارة عن معلومات أو إشارات أو رموز استنادا إلى اتفاقيات سرية أو من أجل إنجاز عملية عكسية لذلك بموجب اتفاقية سرية أو بدونها[32] ويرتكز التشفير على استعمال مفاتيح تستخدم في تحديد الأطراف الأكثر حساسية في الاتصال اللامادي.
هذا و تصنف أساليب التشفير إلى صنفين :
التشفير المتماثل أو الأحادي أو ذو المفتاح الواحد: في هذا النظام نفس المفتاح يستعمل للتشفير من ناحية ولفك التشفير من ناحية ثانية.
لكن الإشكالية بالنسبة لهذا النظام تتمثل في إيجاد وسيلة موثوق بها لتبليغ المفتاح للطرف الموجهة إليه الوثيقة الإلكترونية المشفرة حتى يتمكن من الإطلاع على فحواها.
إن هذه الصعوبة المتعلقة بتداول المفاتيح هي التي أدت إلى ظهور نظام ثان للتشفير يعرف بالتشفير الثنائي: وفي هذا النظام يستند التشفير إلى مفتاحين، مفتاح خاص ومفتاح عام .
يكون المفتاح الخاص تحت السيطرة المطلقة لصاحب التوقيع الإلكتروني الذي يتعين عليه توفير شروط السلامة لحماية المفتاح من مخاطر استعماله من طرف الغير خاصة بعدم الكشف عنه لأي شخص آخر، وهذا المفتاح يستعمل لتشفير الوثائق وإمضائها.[33] في حين أن المفتاح العمومي كما يدل عليه اسمه هو مفتاح يمكن لكل شخص الإطلاع عليه واستعماله للتأكد من أن الإمضاء المضمن بالوثيقة الإلكترونية هو صادر عن الشخص المنسوب إليه التوقيع. بصورة عملية إن المفتاح العام يكون محفوظا على دعامات إلكترونية عمومية تضمن إمكانية الولوج إليه أو محفوظ لدى أحد مزودي خدمات المصادقة الإلكترونية. لهذا فإن التوقيع الالكتروني يتفوق على التوقيع التقليدي بالنظر إلى أن استيفاء من شخصية صاحب التوقيع يتم بشكل روتيني في كل مرة يتم فيها استخدام الرقم السري أو المفتاح الخاص، وبالتالي فإنه لا مجال للانتظار حتى يحدث النزاع للبحث في مدى صحة التوقيع كما هو الشأن في أغلب الأحوال بالنسبة للمحررات الموقعة بخط اليد[34].
إن هذه المفاتيح تشكل تلقائيا التوقيع الالكتروني و تسمح بالتأكد من هوية المرسل مادام أن المفتاح الخاص يستخدم في تشفير الرسالة و المفتاح العام في فك هذه الشفرة. هكذا تبدو هواجس اللاأمن مقلصة ، بحيث لا يمكن الولوج إلى الملفات غير المادية من طرف شريك وحيد و باستقلال عن الآخر و لا يمكن فحص الوثيقة و التأكد منها و منازعتها إلا بمساعدة المفتاحين الممزوجين، حيث يوضع الملف في صندوق افتراضي لا يمكن فتحه إلا بهذه المفاتيح.
وتهدف وسائل التشفير التي تعتبر من أهم أدوات التوقيع الالكتروني[35] على الخصوص إلى ضمان سلامة تبادل المعطيات القانونية بطريقة إلكترونية أو تخزينها أو هما معا ، بكيفية تمكن من ضمان سريتها وصدقيتها ومراقبة تماميتها[36].
إن هذه التقنية تضمن احترام سرية تبادل الوثائق و المراسلات مع التأكد من شخصية و هوية المستعملين ، فبفضل التشفير، فإن التصرف اللامادي يستحيل تحريفه أو تدميره ، و أخيرا فإن اللجوء إلى الغير للمصادقة يبدو أنه يقلص أيضا من مخاطر التزوير، إذ أن هؤلاء الأغيار هم وحدهم الذين يتوفرون على ذاكرات كبيرة تحفظ الأدوات المشفرة.
وهو أسلوب عرف أول استعمال له في المجالات العسكرية[37]، وخرج إلى مجال الاستخدام الواسع في التجارة الإلكترونية.
أي تغيير محتوى الرسالة باستخدام أسلوب محدد (برنامج محدد) هو مفتاح التشفير و ذلك قبل إرسال الرسالة، على أن تكون لدى المستقبل القدرة على استعادة محتوى هذه الأخيرة في صورتها الأصلية كما كانت عليه قبل التشفير باستخدام العملية العكسية لعملية التشفير Encription و التي تسمى الحل Decription.
وللحيلولة دون استخدام التشفير للاغراض غير مشروعة عاقب المشرع المغربي على استيراد وسائل التشفير او تصديرها او استغلالها او تقديم خدمات متعلقة بها اذ تمت بالمخالفة لاحكام القانون.
ولذا فان كل من استورد او صدراو ورد او استغل او استعمل احدى الوسائل او خدمة من خدمات تشفير دون الادلاء بالتصريح او الحصول على الترخيص المنصوص عليه في المادتين 13و 14 من القانون رقم 05-53 المتعلق بالتبادل الالكتروني للمعطيات يعاقب بالحبس لمدة سنة و بغرامة مالية مبلغها 100.000,00 درهم طبقا للمادة 32ويجوز للمحكمة المعروض عليها القضية ان تحكم بمصادرة وسائل التشفير.
واذا لجا احد الاشخاص الى استعمال وسيلة تشفير حسب ما تنص عليه المادة 14لتمهيد او ارتكاب جناية او جنحة او لتسهيل تمهيدها او ارتكابها يرفع الحد الاقصى للعقوبة السالبة للحرية المتعرض لها على النحو التالي.
الى السجن المؤبد اذا كان معاقبا على الجريمة بثلاثين سنة من السجن
الى عشرين سنة من السجن اذا كان معاقبا على الجريمة بخمس عشرة سنة من السجن
الى خمس عشرة سنة من السجن اذا كان معاقبا على الجريمة بعشر سنوات من السجن
الى عشر سنوات من السجن اذا كان معاقب على الجريمة بخمس سنواي من السجن
الى الضعف اذا كان معاقبا على الجريمة بثلاث سنوات من الحبس على الاكثر
ويعفى من العقوبات المذكورة اعلاه مرتكب الجريمة او المشارك في ارتكابها اذا سلم الى السلطة القضائية او الادارية النص الواضح للرسائل المشفرة وكذا الاتفاقات السرية اللازمة لقراءة النص المشفرويسال مدنيا الاشخاص الذين يقدمون خدمات التشفير لاغراض سرية الا اذا اثبتوا انهم لم يرتكبوا اي خطا متعمد او تهاون عن الضرر اللاحق بالاشخاص الذين كلفوهم بتدبير اتفاقاتهم السرية في حالة المس بتمامية المعطيات المحولة يواسطة هذه الاتفاقات او سريتها او توفرها
إلى جانب ذلك تم اختراع وسيلة أخرى،في فرنسا أكثر أمانا ولا تبتعد عن التشفير وتتجلى في تقنية طبقة الفتحات الآمنة كما سنرى:
ثانيا: طبقة الفتحات الآمنة ssl[38] يعد برنامج ssl بروتوكول للتشفير متخصص لنقل البيانات والمعلومات المشفرة، بين جهازين عبر شبكة الانترنت بطريقة آمنة، بحيث لا يمكن لشخص آخر قراءتها غير المرسل والمستلم ( أو مستقبل الرسالة )نظرا لقوة التشفير فيها اذ يصعب فكها.
تختلف عن بقية طرق التشفير في كون مرسل البيانات لا يتخذ أي خطوة لتشفير معلوماته المراد حمايتها، سوى التأكد من استخدام هذا البروتوكول بالقوة المطلوبة.
يقوم هذا البرنامج بربط المتصفح او المشتري بجهاز الخادم الخاص بالموقع المراد الشراء منه، شريطة أن يكون هذا الخادم مزود بهذه التقنية، ليبدأ بتشفير أية معلومة صادرة من المشتري، باستخدام برتوكول التحكم في الإرسال، وهو ما يعرف بTCP/IP وتتلخص خطوات استخدام هذه التكنولوجيا كالتالي:
عند زيارة المشتري لأحد المواقع يتقدم هذا الأخير اتوماتيكيا إلى إحدى هيئات التي تصدر شهادة رقمية تثبت صحة هويته واسم الشركة وتاريخ إصدار الشهادة والمفتاح العام والخاص بالموقع، وعند إدخال المشتري للمعلومات المطلوبة للشراء ورقم بطاقته السري يقوم المتصفح المزود بهذا البرنامج بالارتباط بجهاز الخادم الآمن للموقع ليطلب منه هذا الموقع تبيان مصدر الشهادة الرقمية وتاريخ انتهائها والمقارنة بين اسم الموقع على الشهادة واسم الموقع في جهاز الخادم، والمقارنة كذلك بين الرقم العام المرسل من الجهاز الخادم إلى المتصفح مع التوقيع الالكتروني للشركة ويتم ذلك للتأكد من مصداقية الموقع وحماية التاجر او المشتري عموما من الشركات الوهمية[39].
وتتم هذه الخطوات جميعها من غير آن يعلم بذلك المشتري، اللهم إذا كانت المعلومات غير مطابقة للواقع أو كانت هناك ملاحظات، وبعد التأكد من مصداقية الموقع يتم تشفير المعلومات المتبادلة على أساس المفتاح العام لهذا الموقع ليتم نقل المعلومات بطريقة آمنة إلى بنك المعلومات الذي يملك المفتاح الخاص لفتح الرسالة والإطلاع على ما بها من معلومات وفرزها على الأقسام المتخصصة، مثلا لا يتم إعطاء رقم بطاقة الائتمان إلا لقسم المحاسبة لخصم المبلغ.
الفقرة الثانــية: نظام المصادقة الالكترونية
تحتاج المعاملات في نطاق التجارة الإلكترونية إلى طرف ثالث([40]) يتولى التصديق عليها بما يفيد صحتها، حتى تطمئن كافة الأطراف المتعاملة إلى أن البيانات المتداولة، والتوقيعات الواردة عليها صحيحة.
لأن ذلك قد يترتب عنه أثارا قانونية في حقها، فالبائع وبناء على صحة توقيع المشتري سوف يرسل البضاعة وكذلك المشتري وبناء على صحة توقيع البائع سوف يسدد ثمن البضاعة المشتراة.
كما أن النظام المحاسبي الإليكتروني في البنوك، وبناء على صحة توقيع حامل البطاقة أو صاحب الحساب، يتولى الدفع بالطريق الإلكتروني وتسوية الحسابات عن بعد دون تدخل من حامل البطاقة أو موظف البنك.[41] ولهذا يجب أن تتوافر الثقة والمصداقية في البيانات المتداولة، وذلك عن طريق وسيط محايد يعطى شهادة رقمية أو وثيقة إليكترونية تشهد بصحة هذه البيانات.
وهذا الوسيط قد يكون شخصا طبيعيا أو معنويا مرخصا لـه بممارسة هذه المهنة، أي مهنة خدمات المصادقة الإلكترونية[42].
ووعيا من الجهاز التشريعي المغربي بأهمية تقنين مجال التكنولوجيا الحديثة، بهدف تسهيل استعمالها، في إطار من الثقة والأمان، ضمن قانونه المتعلق بالتبادل الالكتروني للمعطيات القانونية بابا خاصا ب: بالمصادقة على التوقيع الالكتروني وانشاء السلطة الوطنية المكلفة باعتماد ومراقبة المصادقة الالكترونية من خلال مقدمو خدمات المصادقة الالكترونية المعتمدين من قبلها
ولم يعرف المشرع المغربي الشهادة الالكترونية عكس القانون التونسي الذي عرف في الفقرة الثانية من المادة الثانية([43]) شهادة المصادقة الإلكترونية بأنها: “وثيقة مؤمنة بالتوقيع الإلكتروني من طرف الشخص الذي أصدرها، والذي يشهد من خلالها، اثر المعاينة التي قام بها على صحة البيانات التي تتضمنها”.
يشترط لمارسة مهمة مزود خدمات المصادقة الالكترونية في المغرب ان يكون طالب الاعتماد مؤسسا في شكل شركة عكس الدولة التونسية التي لم تميز في ذلك بين الشخص الطبيعي او المعنوي للترخيص لـه من طرف الوكالة الوطنية للمصادقة الإلكترونية([44])، وأناطها بصلاحية المراقبة والسهر على احترام مقتضياته من طرف المتعاملين.
عكس دولة الإمارات العربية التي حصرت هذه المهمة في يد الشخص الطبيعي فقط([45]).
وأرى بان المشرع المغربي كان موفقا في خياره هذا أكثر منه بالنسبة للمشرع الإماراتي، والمشرع التونسي لان الشخص المعنوي قد يشغل كفاءات متعددة، ومتنوعة تكمل بعضها البعض، تمكنه من القيام بالترخيص لمزاولة مهمة التصديق من عدمه بعد دراسة وتمحيص، ومن المراقبة الدقيقة لمدى حسن تطبيق القانون، عكس الشخص الطبيعي الذي قد لا تتوفر لديه الكفاءة اللازمة والمؤهلات المادية لذلك وقد اشترط المشرع المغربي في القانون رقم 05-53 المتعلق بالتبادل اللالكتروني للمعطيات القانونية الكفاءة تحت طائلة العقاب وفقا للقواعد القانونية العادية[46].
فأولى الأمور التي يضمنها مزود الخدمة هو صحة المعلومات التي تمت المصادقة عليها، من قبيل ما هو جوهري كهوية صاحبها، وتوقيعه الإليكتـروني، وكذلك مدتها ومجالات استعمالها تحت طائلة سحب الترخيص أما الشخص الذي صرح عمدا بمعطيات كاذبة او سلم وثائق مزورة الى مقدم خدمات المصادقة الالكترونية يعاقب بالحبس من سنة الى خمس سنوات وبغرامة من 100000 الى 500000 درهم[47] ويعاقب بالحبس لمدة تتراوح بين ستة اشهر وسنتين وغرامة تتراوح بين ألف وعشرة آلاف دينار تونسي أو بإحدى هاتين العقوبتين[48].
والتأكد من هوية صاحب البيانات من طرف مقدم خدمات المصادقة الالكترونية لا يعني إضافة بيانات أو تعديل مضمون البعض منها، أو ما يطلق عليه بمعالجة البيانات الإلكترونية، وإلا تحمل بالتعويض المحكوم به عن الضرر الذي يلحق الآخرين، على أثر تضمين شهادة المصادقة بيانات غير صحيحة.
لهذا يجب عليه أن يبذل عناية كافية ومعقولة، حتى يضمن للمتعاملين بالشهادات التي يصدرها ومن ثم العملاء في نطاق التجارة الإليكترونية دقة واكتمال كل ما يقدم إليه، من بيانات جوهرية لها علاقة بالشهادة التي يصدرها، أو تلك التي ستظل مدونة ومدرجة فيها طوال مدة سريانها.
خاصة ما يتعلق بالتوقيع الإليكتروني، واسم صاحب الشهادة ومدة الشهادة، كما يلزم بتوفير الوسائل الإليكترونية المعقولة والمناسبة، التي تمكن الأطراف التي تتعامل معه، وتعتمد خدماته من التأكد والإستيثاق في صحة البيانات.
وهكذا تكون بعض التشريعات تداركت التطور التكنولوجي وما جاء به من مستجدات كالمشرع المغربي، التونسي، الفرنسي، ونظيرهما الإماراتي بمبادرتهما إلى تجاوز النقص الحاصل في ترساناتهم القانونية، وتخطي العراقيل التي توقف مسيرة تنمية التجارة الإلكترونية، و تطوير وسائل الاتصال الحديثة خاصة ما يتعلق بمعضلة التبادل التجاري عن بعد.
امام تصاعد وتيرة الاجرام المعلوماتي وموازاة للترسانة القانونية الموضوعية نناشد مشرعنا الى الاسراع باخراج قانون المسطرة الجنائية الى الوجود الى جانب تعديل قانون المسطرة المدنية لمواكبة قوانين الموضوع مع تسمية المجرم بالجانح نمييزا له عن الجرائم الاخرى ودرءا للوصم، الى جانب خلق مرصد وطني يتولى رصد حالات الاختراق المعلوماتي الذكي، واستغلال الجانح الذكي في دواليب بعد خضوعه لاعادة الادماج في المدارس والمعاهد الخاصة بهندسة النظم وغيرها اهتداءا بما يقوم به النظام الامريكي.
إعداد:الدكتورة صليحة حاجي_أستاذة باحثة بجامعة محمد الاول الكلية متعددة التخصصات بالناضور