بعد عام على انتشار فيروس تشيرنوبل . استمرار تهديد الشبكة الدولية يثير تساؤلات في شأن التأمين من المخاطر والإطار القانوني وحماية المعلومات

خلال ما يقارب العام مرت صناعة تقنية المعلومات العالمية بتجربتين مثيرتين أثارتا الأسئلة التي لا تزال من دون إجابات عملية.
في نيسان أبريل من العام الماضي، كان فيروس تشيرنوبل يعيث فسادا في الكومبيوترات، ومع أن شخصية مطور الفيروس كُشفت فإنه لم يتعرض إلى ملاحقة قضائية، بل إنه يتمتع الآن بوظيفته المجزية كمطور برمجيات في إحدى الشركات التابعة لإدارة الحرب الإلكترونية في تايوان، ومهمته الرئيسة المساهمة في تطوير فيروسات يستخدمها الجيش التايواني عند أي هجوم صيني محتمل على الجزيرة.
والآن، هاهو فيروس الحب ينطلق من قلب مجروح لفتاة فلبينية أرادت الانتقام من حبيبها، فإذا بها تطلق فيروسا يعيث هو الآخر فسادا أشد في الكومبيوترات، بينما أفرجت الشرطة الفلبينية عن الفتاة بعد التحقيق معها، لأن ما فعلته لا يشكل جرماً في القانون الفلبيني.
ترى ماذا يحصل لو أننا وجدنا أنفسنا أمام مثل هذه الهجمات بشكل دوري، وخاصة مع تزايد أعداد المستخدمين المتصلين بإنترنت؟ قد لا يكون هذا السؤال تقنيا قدر ما هو سياسي، وتزداد أهميته إذا لاحظنا تعرض بيانات وزارات وإدارات حكومية حساسة في أكثر من بلد لهجمة هذا الفيروس. وفي رأس القائمة طبعا الشبكة الداخلية لوزارتي الخارجية والدفاع الأميركيتين وغيرهما من الدوائر الرسمية، التي تواجه هجمات إلكترونية للمرة الثالثة منذ بداية العام، مما يبرر العنوان الذي نشرته إحدى المطبوعات الأميركية المتخصصة حين قالت "إن إمبراطورية .gov تنهار!". وبالطبع لم تكن شبكات الإدارات الحكومية في منطقتنا العربية بمعزل عن الخطر، لكن لا يبدو أن الشجاعة واتت أياً منها للاعتراف بذلك.
كل هذا وبغض النظر عن مصدر الهجمات التي تحدث ومستوى مخاطرها، يطرح على مستويات اتخاذ القرار الرسمي ثلاثة أسئلة تتعلق بمستقبل التعامل الرسمي والقانوني مع هذا النوع من المخاطر. إذا كانت هذه الأسئلة صحيحة عالميا، فهي في النطاق العربي أكثر إلحاحا وأهمية وضرورة.
التأمين ضد مخاطر الشبكة
من يتحمل كل هذه الخسائر الناتجة عن الهجمات التي تتعرض لها أجهزة الكومبيوتر وشبكات المعلومات ومخازن البيانات؟ الإجابة أصحاب هذه الشبكات حتى الآن وفي أحسن الحالات الشركات المنتجة للكومبيوتر وبرمجياته، وليس أي جهة أخرى، لا الذين قاموا بالهجمة المدمرة، ولا أي جهة ضامنة، بما في ذلك شركات التأمين والحكومات.
والحقيقة أن أحد أبرز المخاوف التي تواجه شركات التأمين هنا، وتمثل عاملاً مثبطاً لأي خطط للدخول في هذا النشاط التأميني، هو الخشية من أن يؤدي الاعتراف بمخاطر الشبكة إلى تشجيع بعض ذوي النوايا السيئة على "ابتكار" هجمات إلكترونية بهدف الحصول على قيمة التأمين.
لكن الرد على هذه المخاوف يحمل ضرورة تشريعية، تؤكد موقفا قانونيا يشابه الحالة التي قد يقدم فيها شخص ما على حرق منزله أو قتل شريكته للحصول على التأمين. فالمهم هنا هو الحماية التشريعية، لضمان حماية حقوق الشركات، وفي الوقت نفسه حماية استثمارات الشركات الزبونة في مجال تقنية المعلومات، وخاصة في حالة الهجمات المؤدية إلى تدمير بيانات ضخمة أو إلى تعطيل أجهزة، وبالتالي تعطيل الأعمال وهذا أمر لا تستطيع حتى اتفاقية الضمان مع الشركة المنتجة للكومبيوتر تغطيته.
وعمليا تزداد حاجة الشركات إلى التأمين على استثماراتها في تقنية المعلومات مع تزايد اعتماد هذه الشركات على الويب وخادمات الويب، سواء كمصدر للتسويق، أو حتى لأغراض التخزين وتشغيل التطبيقات. ومن أبرز الاستخدامات التطبيقية التي تبرر هذه المطالبة تطبيقات التجارة الإلكترونية والدفع الإلكتروني ببطاقات الاعتماد. فالشركات عادة تشكو من أنه لا يوجد ما يضمن لها أن عمليات الدفع التي تتلقاها تتم من بطاقات شرعية وليست مسروقة، مما يعني الخسارة عمليا عند مطالبة مالك البطاقة الشرعي باسترداد ماله. أما الأفراد فيشكون خاصة من عدم قدرة المستخدم على إثبات عدم صحة الدفع الذي تم من بطاقته من دون معرفته بشكل مجد قانونيا، وهو أمر شائع في دول العالم الثالث.
الإطار القانوني للجرائم الإلكترونية
من أبرز الإشكاليات العملية في مواجهة الهجمات الإجرامية أو العابثة عبر الشبكة ضعف المعالجة القانونية والتشريعية المتعلقة بهذا الأمر. ورأينا كيف تم إسقاط التهمة عن فتاة الفلبين لأن ما فعلته كل ما فعلته لا يشكل مخالفة للقانون هناك. لعل المفارقة وحدها هنا هي التي تجعل إتلاف مواد مملوكة للغير ثمنها بضعة دولارات أمرا مخالفا للقانون، بينما التسبب بخسائر زادت على عشرة بلايين دولار ليس كذلك.
قد تكون مشكلة الإطار القانوني حُلت في الدول الغربية، لكنها بكل تأكيد لم تحلّ في دول العالم الثالث ومن ضمنها الدول العربية. وهنا تأخذ المشكلة أكثر من جانب، أولها حماية الممارسات التجارية الإلكترونية داخل الدولة وبينها وبين دولة أخرى، خاصة إذا كان الجهاز المستضيف للمتجر الإلكتروني، وكذلك الزبون، والعمليات المرتبطة بذلك، مثل بنك التثبت والتحصيل وموفر الخدمات الخلفية في نفس البلد. أي أن العملية التجارية ككل ستكون شأنا محليا بالكامل، مع أنها إلكترونية.
وهنالك أيضا مشكلة تجريم الممارسات التخريبية الموجهة ضد الممتلكات الإلكترونية أو التقنية للغير، كما في حال هجمات الفيروسات، أو هجمات البريد الإلكتروني المكثفة spam mail ، أو سرقة معلومات بطاقات الاعتماد واستخدامها إلكترونيا من دون إذن، وما إلى ذلك. وهنالك جانب مهم، يتعلق بتداخل عناصر إلكترونية مع الحياة العادية نفسها، كما في حال إرسال تهديد بالقتل عبر البريد الإلكتروني، وجناية التشهير عبر أحد مواقع الويب وغيرها.
وهنالك سوابق قانونية في الدول العربية تتعلق بهذه الحالة الأخيرة، ففي الإمارات حوكم متهم لأنه هدد بالقتل شخصا آخر في رسالة إلكترونية، كما حوكم في الأردن شخص آخر لأنه قام بالتشهير بشخص ما خلال حوار مفتوح على شبكة إنترنت. وكان آخر السوابق القانونية وربما أطرفها قرار قضائي في الإمارات بالاعتراف بطلاق أوقعه رجل على زوجته برسالة بريد إلكتروني، طالما أن الطرفين اعترفا أمام القاضي بإرسال وتسلم الرسالة.
والمهم في الإطار القانوني المطلوب هنا الابتعاد عن التعامل العدائي أو الانعزالي مع التقنية، فهنالك الكثير من الجوانب المهمة في الممارسات الإلكترونية التي ينطبق عليها القانون بوضعه الحالي وما تحتاجه لا يتعدى التكييف القانوني المستنير.
لكن المطلوب والملح هو تغطية كثير من نقاط الفراغ التشريعية التي استجدت بسبب الانتقال إلى عصر الاقتصاد الرقمي والحياة الإلكترونية، ومن أمثلتها اعتماد مرجعية التقاضي في حالة وجود الزبون والمنتج وكذلك الجهاز الخادم كل في بلد، ومدى اعتماد التوقيع الرقمي قضائيا والقوة القانونية لاتفاقات الشروط المنشورة على صفحات مواقع الويب، وخصوصا طلب النقر على زر مثل "موافق" أو "أقبل" كدليل للموافقة على اتفاقية تعاقد ضمنية. تنطبق هذه الحالة أيضا على الشروط المتعلقة باستخدام البرمجيات.
حماية مصادر المعلومات الرسمية
لا نتحدث هنا عن المعلومات الحساسة أو الأمنية فقط، كما أننا لن ننساق إلى القول بأنه لا توجد معلومات سرية في العالم العربي. وبعيداً عن أي إطار سياسي أو أمني، فإن معلومات عادية تماما قد تكون عرضة لأي اختراق أيا كان هدفه، أو لأي تدمير أيا كان مصدره أو غرضه. لكن هذه المعلومات قد تكون في الوقت نفسه مهمة في جوانب تطبيقية مباشرة أو غير مباشرة. وبالطبع من يستطيع الوصول إلى المعلومات غير المهمة، لن يطول به الانتظار قبل الوصول إلى المعلومات الحساسة. وطالما لم تتوافر الحماية التقنية عالية المستوى، فلن يكون أمامه أي عائق. ومع أنه لا تُعرف حتى الآن حالات محددة لاختراق شبكات حكومية أو حتى مؤسسية، لسببين أبرزهما غياب الشفافية وثانيها أن البيانات ليست مؤتمتة بالكامل في عدد غير قليل من الهيئات والمؤسسات حتى الآن. لكن هذه لا تستطيع البقاء بعيداً عن الأعمال والحكومات الإلكترونية كثيرا، لذا فلا بد من وضع أطر استراتيجية وطنية لحماية هذه البيانات والمعلومات من الاختراق والاستخدام غير الشرعي.
وإضافة إلى السياسات التقنية المتعلقة بهذه الحماية في كل موقع على حدة، لا بد من أن تتضمن أي سياسة وطنية في هذا الجانب شروطا واضحة حول أسس التخويلات الشرعية للنفاذ إلى المعلومات إلكترونيا، وخاصة من على بعد، وكذلك مواصفات إلزامية لطبيعة البرمجيات التي يفترض أن تستخدم، بما في ذلك جدران الحماية ونظم البروكسي وكذلك معدلات تحديث تطبيقات مكافحة الفيروسات والاختراق لأن غياب هذا التحديث يجعل كل الإجراءات الأخرى لا معنى لها، مع مراعاة توفير حد أدنى من الحماية والحصانة ضد الاختراق.
وثمة جانب مهم آخر هنا ينبغي أخذه بعين الاعتبار، وهو أن الجهات الراغبة بممارسة هذا النوع من الاختراق أو محاولة الوصول إلى المعلومات الرسمية من خلال شبكات المعلومات، ليست دائما الحركات الإجرامية أو الإرهابية أو حتى الهواة الذين يهمهم التحدي ليس إلا، فهناك الكثير من الدول التي يهمها ممارسة هذا النوع من القرصنة، ولأسباب لا تبدأ في السياسة والأمن ولا تنتهي عند الاقتصاد.
ولعل أبرز الأمثلة هنا قرار البرلمان الأوروبي مؤخرا تشكيل لجنة للتحقيق في كون مشروع أشيلون التابع لوكالة الأمن الوطني الأميركية، والذي يعمل من غرب لندن استخدم لنقل أسرار تخص شركات صناعية أوروبية إلى منافساتها الأميركية. وهي المعلومة التي أكدتها مقالة الرئيس السابق لوكالة المخابرات الأميركية في وول ستريت جورنال أوائل شهر نيسان أبريل تحت عنوان "لماذا نتجسس على أصدقائنا".