مليار دولار خسائر البنوك السعودية بسبب الجرائم الإلكترونية

كشف عضو مجلس الشورى نائب رئيس لجنة النقل والاتصالات وتقنية المعلومات الدكتور جبريل العريشي، أن خسائر البنوك السعودية جراء الجرائم الإلكترونية بلغت أكثر من مليار دولار في غضون عامين فقط، مؤكدا على أن سنة 2012 ستكون عام الجرائم المعلوماتية. وأبان العريشي أن السعودية تقع ضمن مجموعة عالية المخاطر التي يمكن أن تتعرض لمخاطر الجرائم الإلكترونية وفق تصنيف (كاسبر سباي)، لافتا إلى أن مرتكبي جرائم اختراق مواقع الإنترنت في المملكة يزيد على مليون شخص. وأوضح عضو مجلس الشورى أن نظام حماية البيانات الشخصية الذي يعكف على وضعه ليناقش في المرحلة التالية تحت قبة الشورى ويرفع للمقام السامي، جاء ليسد الثغرات والنواقص التي يعاني منها نظام مكافحة جرائم المعلوماتية في المملكة، مشيرا إلى أن النظام ليس قاصرا وأنه يحتاج لتعديلات فورية لمواكبة التطورات التقنية الحاصلة في العالم. ودافع العريشي عن دور لجنة الاتصالات وتقنية المعلومات في المجلس، وبين أن مهمتهم تتركز في دورين؛ أحدهما تشريعي والآخر رقابي، ونفى أن تكون العقوبات الموضوعة في الأنظمة غير رادعة، لكنه أشار إلى أنها غير مفعلة ولا تواكب المستجدات التقنية في عالم الجريمة الإلكترونية، مشيرا إلى أن ضعف الأنظمة يكبد المملكة خسائر كبير.. فإلى تفاصيل الحوار:
• كيف تصنف واقع جرائم المعلوماتية في المملكة؟
تتنوع جرائم المعلوماتية ما بين التصنت على ما هو مرسل عبر الإنترنت وسرقة بيانات البطاقات الائتمانية، وتهديد الأشخاص أو ابتزازهم أو التشهير بهم، والدخول غير المشروع إلى المواقع الإلكترونية لإتلافها أو تعديلها أو تعطيلها.
وقد قسمت شركة كاسبر سباي -المتخصصة في منتجات الحماية الإلكترونية- دول العالم إلى ثلاث مجموعات وذلك حسب نسبة تعرضها لمخاطر الجرائم الإلكترونية: مجموعة عالية المخاطر وهي التي يتعرض فيها 41 60% من مستخدمي الإنترنت للهجمات الإلكترونية، ومجموعة متوسطة المخاطر (21 41%)، ومجموعة منخفضة المخاطر (أقل من 21%). وطبقا لتقرير أصدرته في منتصف عام 2011 فإن السعودية تقع ضمن المجموعة عالية المخاطر وذلك مع عدة دول أخرى وهي روسيا والعراق وأرمينيا وعمان والسودان وأذربيجان والهند.
وطبقا لتقارير نفس الشركة، فإن أعلى نسبة لمرتكبي جرائم اختراق مواقع الإنترنت تقع في الهند، وتبلغ 14.8% من إجمالي مرتكبي هذه الجرائم في العالم، بينما تبلغ هذه النسبة 1.33% لكل دول مجلس التعاون الخليجي، وتحوز السعودية أعلى نصيب من هذه النسبة، وهي نسبة عالية لو أخذنا في الحسبان العلاقة بين هذه النسب وبين عدد مستخدمي الإنترنت الذين يبلغ عددهم في الهند 141 مليون مستخدم، وفي دول مجلس التعاون مجتمعة نحو 17 مليونا.
كما أشارت دراسة أجراها أحد باحثي جرائم الإنترنت في المملكة أن نسبة 14.2% من المجموع الكلي لمستخدمي الإنترنت من السعوديين يخترقون المواقع السعودية مقارنة بنسبة 8.9% من المجموع الكلي للمستخدمين غير السعوديين.
كما تبين للباحث من خلال فحص بيانات مستخدمي الإنترنت أن 15.1% من مستخدمي شبكة الإنترنت في المجتمع السعودي قاموا باختراق البريد الإلكتروني للآخرين، منهم 11.8% سعوديين، مقابل 3.3% من الأجانب. ولو علمنا أن عدد مستخدمي الإنترنت في السعودية يبلغ حوالي 11 مليون مستخدم، فإننا نصل إلى حقيقة مخيفة، وهي أن مرتكبي جرائم اختراق مواقع الإنترنت في المملكة يزيدون على مليون شخص.
• هل النظام الموجود كاف ورادع؟ وما أبرز سلبياته؟ ولماذا؟
صدر بالمملكة نظام مكافحة جرائم المعلوماتية وذلك بالمرسوم الملكي رقم م/17 وتاريخ 8/3/1428ه الذي حدد الجرائم المعلوماتية والعقوبات المقررة لكل منها، وهو نظام جيد، إلا أن هناك الجديد من جرائم الإنترنت الذي يتكشف كل يوم، الذي يستلزم عمل تعديلات في النظام لإضافة تلك الجرائم الجديدة والعقوبات المقررة لها، ومثال على ذلك جرائم انتحال الشخصيات التي انتشرت مؤخرا.
وبعد ذلك يأتي دور وزارة الداخلية التي تقوم بإجراءات ضبط الجريمة المعلوماتية، وهو أمر في غاية الصعوبة نظرا لصعوبة التوصل إلى الأدلة الرقمية والتحفظ عليها وإثبات علاقتها بالجناة، بسبب سهولة إتلافها، أو بسبب وجود الجناة في دول أخرى. لذا فإنه بدون إجراءات لضبط الجناة يظل نظام مكافحة الجرائم المعلوماتية غير مفعل.
قصور النظام
• من المسؤول عن قصور نظام جرائم المعلوماتية؟
النظام ليس قاصرا ولكنه يحتاج إلى تعديلات دورية كلما ظهر نوع جديد من الجرائم المعلوماتية، وهو أمر تواجهه كل دول العالم، ومواجهة تلك الجرائم لا يكون فقط بسن القوانين والتشريعات التي -إن كانت تعد أمرا ضروريا يتماشى مع الولوج إلى عصر المعلوماتية بفوائده وجرائمه- إلا أنها وحدها تصبح قاصرة عن مواجهة تلك الجرائم ما لم يصاحبها إجراءات الإثبات والضبط التي سلف ذكرها. ولن تستطيع وزارة الداخلية اقتفاء أثر الجريمة المعلوماتية خارج حدودها دون وجود تعاون عربي ودولي لمنع الاعتداء الإلكتروني الصادر من خارج المملكة، ولاقتفاء أثر مرتكبي الجرائم الإلكترونية عبر الشبكات الدولية.
كما ينبغي أن يصاحب ذلك إجراءات تنظيمية لحصر ومتابعة وتنظيم عمل مقاهي الإنترنت داخل المملكة، حيث إن جميع أنواع جرائم المعلومات التي ترتكب داخل المملكة ولا يمكن ضبط مرتكبيها تكون بسبب ارتكابها من أجهزة حاسوبية عامة في مقاهي الإنترنت، أو بسبب استخدام الأجهزة الوسيطة التي يطلق عليها (بروكسي).
نظام حماية البيانات
• ما دافعكم في مجلس الشورى لوضع نظام حماية البيانات الشخصية؟
الدافع هو المحافظة على خصوصية الأفراد، حيث لا يجب أن يكون الدخول إلى عصر المعلوماتية وسيلة للانتقاص من حقوق الإنسان أو التعدي على خصوصيته. فكثير من المؤسسات تجمع بيانات مفصلة عن الأفراد تتعلق بوضعهم المادي والصحي والتعليمي والعائلي، أو بعاداتهم الاجتماعية أو بالعمل.. إلخ، وهو ما يفتح مجالا واسعا -في ظل الإمكانيات الحاسوبية الهائلة في هذا العصر- لإساءة استخدامها أو توجيهها توجيها منحرفا أو خاطئا، بغرض تعرية خصوصيات الأفراد أو الحكم عليهم حكما خفيا من واقع سجلات البيانات الشخصية التي قدموها طواعية عند تعاملهم مع هذه المؤسسات.
• ما فوائد وجود هذا القانون وما آثاره على المواطن والمجتمع وأمن الدولة؟
بالنسبة للمواطن، فإن التطور السريع للمعلوماتية جعل النصوص التقليدية لحماية شرف الإنسان وحياته الخاصة لا تغطي إلا جانبا من الحقوق الشخصية، ولا تمتد إلى حمايته من مخاطر جمع وتخزين ومعالجة المعلومات في بيئة الوسائل التقنية الجديدة، فكان من الضروري أن يصدر هذا التشريع ليحفظ خصوصية الأفراد ويضمن حمايتهم.
أما بالنسبة للمجتمع، فإن استراتيجية المملكة تقوم على التحول إلى مجتمع معلوماتي واقتصاد رقمي لزيادة الإنتاجية، ولتوفير خدمات إلكترونية عالية المستوى تقدمها المؤسسات الحكومية أو الخاصة لأفراد المجتمع، ولن يكتب لهذه الاستراتيجية النجاح إلا لو أحس الأفراد بالأمن والثقة في أن البيانات التي يدلون بها في إطار المعاملات الإلكترونية لن يساء استخدامها. فمتى أحس الشخص أن بياناته الشخصية التي تجمع عنه سوف تكون بمأمن من الآخرين، فإنه سوف يقدم على إجراء معاملاته إلكترونيا بكل ثقة، أما إذا أحس أن بياناته تنتهك دون قانون أو ضابط، فإن هذا يؤدي إلى زعزعة ثقته بالمعاملات الإلكترونية ويجعل كل جهود الدولة لا طائل من ورائها.
أما بالنسبة لأمن الدولة فإن القانون لا يمنع الجهات الحكومية المخولة -كالأمن والقضاء ومن في مقامها- من الكشف عن المعلومات السرية لأي مواطن وفق إجراءت قانونية، وذلك في الأمور الضرورية مثل منع أو كشف جريمة بناء على طلب رسمي من جهات التحقيق، أو كان ذلك بقرار من المحكمة.
• هل سيسهم هذا القانون في تقييد الحريات؟
القانون لا يمس حريات الأشخاص بأي شكل من الأشكال، وإنما هو يساهم في حمايتهم من سطوة المؤسسات، سواء مؤسسات الدولة أو المؤسسات الخاصة، فهو يضع قيودا على تلك المؤسسات بحيث لا تستخدم بيانات الأفراد -التي قدموها طواعية عند حصولهم على خدمات تلك المؤسسات- بصورة تسيء إلى أصحابها.
قوانين جديدة
• هل نحن بحاجة لمزيد من القوانين في مجال الجرائم المعلوماتية؟
سنظل دائما في حاجة إلى المزيد من القوانين كلما زاد استخدامنا لمعطيات العصر، فأنماط الجريمة وبواعثها ووسائل معالجتها تتطور وفقا لتطور المجتمعات، ويقع على عاتق مجلس الشورى دائما مهمة تطوير القانون بما ينسجم مع هذا التطور، بحيث يوفر الحماية والطمأنينة للمجتمع وأفراده وذلك بتحقيق العدالة، وهو الهدف السامي الذي يسعى له خادم الحرمين الشريفين. وطالما أنه يزداد استخدامنا لأدوات التطور العلمي والتقني فإنه سيتم دائما إفراز أنواع جديدة من المخاطر التي تعرض مصالح الناس للخطر مما يفرض على المشرع تجريم ذلك.
• ما دوركم في مجلس الشورى في إثارة مثل هذه القضايا، وما خططكم المستقبلية؟
دورنا في مجلس الشورى هو أن نتعاطي مع قضايا المجتمع وحاجات المواطنين وتطلعاتهم ونبادر بتقديم الاقتراحات لتفعيل الأنظمة وتطويرها وتحديثها، وخططنا المستقبلية تقوم على محورين: المحور التشريعي وفيه نخطط لكي ندفع بالمجتمع في المملكة في طريق المعلوماتية وذلك بتقديم الحلول والمقترحات وسن التشريعات التي تستهدف توظيف المعلوماتية في رفع كفاءة المؤسسات الحكومية، وفي زيادة الناتج المحلي وزيادة دخل الأفراد والدخول بالمجتمع السعودي إلى عصر اقتصاد المعرفة، والمحور الرقابي وفيه نراقب سير خطط الدولة في مجال النقل والاتصالات والمعلومات، ونتابع تقدمها، ونسعى لتذليل ما يواجهها من عقبات.
جدوى العقوبات
• تكثر في مجتمعنا جرائم المعلوماتية مثل الانتحال، الابتزاز، الجنس الإلكتروني وغيرها دون وجود حسيب ورقيب، كيف يمكن الحد من هذه الجرائم؟ وهل المشلكة في العقوبات الموضوعة؟ وهل هي رادعة أم لا تنفذ؟
المشكلة ذات أبعاد تشريعية وتنظيمية في نفس الوقت، فمن الناحية التشريعية يتم كما ذكرنا سن القوانين التي تستهدف ردع مرتكبي هذه الجرائم، مع متابعة تطوير تلك القوانين لكي تستوعب ما يجد من جرائم إلكترونية، مثل جرائم الانتحال والجنس الإلكتروني وغير ذلك، ويبقى الدور بعد ذلك على وزارة الداخلية لضبط مرتكبي هذه الجرائم وتقديمهم للعدالة كما سبق وذكرنا.
وفيما يخص الجنس الإلكتروني فإن هناك نوعا آخر من التشريعات الوقائية التي ما زلنا في احتياج إليها بحيث نضع قيودا على وصول المواد الإباحية عبر الإنترنت إلى داخل المملكة. فكل الدول -حتى الليبرالية منها- تقوم بالتدخل التشريعي والتنظيمي لحماية مواطنيها من مثل تلك المواد، فنحن نحتاج إلى مثل هذه التشريعات والإجراءات الوقائية.
• كم تبلغ خسائر المملكة جراء الجرائم الإلكترونية، وما خطورتها على أمن الدولة والمجتمع؟
وصف تقرير دولي الهجمات الإلكترونية التي تتعرض لها الشركات والمؤسسات والهيئات السعودية بأنها من «أشرس أنواع الهجمات الإلكترونية». وأفاد بأن غالبية خسائر القطاع البنكي في المملكة ناتجة عن اختراق البيانات وسرقة البيانات المصرفية من عملاء وبنوك ومصارف. وقد خسرت البنوك السعودية وحدها منذ 2008 وحتى الآن أكثر من مليار دولار من جراء الجريمة الإلكترونية. كما أفاد تقرير آخر صدر في عام 2010 بأن الجرائم الإلكترونية تكبد دول مجلس التعاون الخليجي خسائر تقدر ب 735 مليون دولار سنويا. ويصعب تحديد تلك الخسائر بدقة، حيث إن حصرها يستلزم أن تقوم الجهات التي تتعرض لهجوم إلكتروني بالإبلاغ عن ذلك، وهو ما لا يحدث في كثير من الأحيان لأسباب مثل الخوف من المساءلة أو الخوف من اهتزاز سمعة المؤسسة أو موثوقيتها أمام عملائها أو غير ذلك.
أما عن خطورة تلك الجرائم، فإنها إذا كانت تستهدف المؤسسات فإنها تنطوي على أضرار وأخطار جسيمة تلحق بالمؤسسات المستهدفة، حيث إن هدفها في أغلب الأمر هو تعطيل العمليات وتدمير البنية المعلوماتية للمؤسسة.
ولقد تعرضت الدول المتقدمة -التي نسير على دربها في مجال المعلوماتية- لهجمات إلكترونية تسببت في شل العديد من الأنظمة. وهي هجمات استهدفت سرقة المعلومات والبيانات، والتسرب إلى داخل النظم المعلوماتية، بحيث تسيطر عليها وتهاجمها من الداخل وتؤدي إلى هدمها وإتلافها، فتتعطل المؤسسات التي تعتمد عليها.
سهولة الاختراق
• وضعكم لنظام حماية البيانات الشخصية هذا يعني سهولة اختراق البيانات الشخصية للأشخاص، هل هذا يعني أيضا سهولة اختراق حسابات البنوك الشخصية وبطاقات الائتمان مثل ما فعله الهكرز بالإسرائيليين؟
لا توجد علاقة بين نظام حماية البيانات الشخصية واختراق البيانات الشخصية للأشخاص. فقد وضع نظام حماية البيانات الشخصية كما سبق وذكرنا لحماية بيانات الأشخاص التي يدلون بها طواعية للمؤسسات العامة والخاصة في سياق حصولهم على الخدمات التي تقدمها تلك المؤسسات. فنظام حماية البيانات الشخصية يلزم هذه المؤسسات بعدم استخدام تلك البيانات إلا في الغرض الذي قدمت من أجله، وهو مثل إلزام الطبيب بعدم الكشف عن بيانات مرضاه الموجودة في سجلاته والتي يدلون بها عند زيارتهم لعيادته.
أما اختراق البيانات الشخصية فهو يعني الوصول إليها وهي في حوزة صاحبها بغير إذنه. ويكون ذلك بسبب عدم اتباع إجراءات أمن المعلومات سواء من الأشخاص الذين سرقت بيانات بطاقات الائتمان الخاصة بهم أو من البنوك التي تم اختراق الحسابات الشخصية بها.
• نظامكم هل تترتب عليه عقوبات وما مدى هذه العقوبات؟
نعم تترتب عليه عقوبات، وقد ترك أمر العقوبات للمحكمة المختصة لكي تصدر ما تراه مناسبا من أحكام بالعقاب أو التعويض أو معالجة الأضرار وذلك في حال عدم التزام الجهة المسيطرة على البيانات بما تفرضه مواد القانون.