گفت و گو رضا پرويزی دبير کمیته مبارزه با جرايم رايانه اي: هک با دزدی تفاوتی ندارد
نام نویسنده: مينو مومنى
شرق – هك و نفوذگرى تا همين چند سال قبل همچون گوشه هاى تاريك يك تكنولوژى پيشرفته به شمار مى آمد كه تنها در فيلم هاى سينمايى و داستان هاى سرگرم كننده به چشم مى آمد اما حالا و با پيشرفت هايى كه در زمينه توسعه اينترنت در كشور به جود آمده آمار جرايمى چون نفوذ غيرمجاز و حتى در مواردى كلاهبردارى و دستكارى در اطلاعات به تدريج رو به افزايش است.
همزمان با توجه عمومى دولت به تجهيز فناورى اطلاعات و رونق دادن به فعاليت هاى آى تى، بخش هاى دولتى توسط نهادهايى چون شوراى عالى اطلاع رسانى و در قالب طرح هايى چون تكفا اين پرسش مطرح مى شود كه بدون قانون خاص جرايم رايانه اى نحوه برخورد با جرايمى از اين دست كه به دليل شكل خاص خود با قوانين سنتى قادر به رسيدگى نيستند چه بايد كرد . از حدود يك سال قبل تيمى متشكل از كارشناسان حقوق انفورماتيك در شوراى عالى توسعه قضايى مشغول تهيه لايحه جرايم كامپيوترى شده ان و اين لايحه هم اكنون آماده ارائه به مجلس شده است. در اين خصوص با رضا پرويزى دبير كميته مبارزه با جرايم رايانه اى كه اوايل اين هفته در همايش ابعاد حقوقى فناورى اطلاعات سمت دبيرى را نيز بر عهده داشته است گفت وگويى انجام داده ايم كه مى خوانيد.
• به عنوان اولين سئوال مى خواهيم مفهوم جرايم كامپيوترى را با پاسخ به اين پرسش براى ما شرح دهيد كه آيا هر خلافى كه توسط كامپيوتر انجام مى گيرد را جرم كامپيوترى نام مى نهند؟
مباحث زيادى در بين كارشناسان درباره آنچه تشكيل دهنده جرايم كامپيوتر ى يا جرايم مربوط به كامپيوتر است در جريان بوده است. حتى پس از گذشت سال ها هنو هم يك تعريف رسمى بين المللى براى اين اصطلاحات وجود ندارد، مولفان و كارشناسانى كه در پى يافتن تعريفى براى جرايم كامپيوترى تلاش مى كنند هيچ ترديدى در مورد موجوديت اين پديده ندارند اما تعاريف ارائه شده از سوى آنان بيشتر به رشته هاى مطالعاتى آنان مربوط مى شود، اما در كنگره دهم سازمان ملل متحد در مورد پيشگيرى از جرم و اعمال مجرمين، جرم كامپيوترى با دو تعريف طبقه بندى شده است. اولين تعريف به نام جرم سايبر در مفهوم جزيى (جرم كامپيوترى) است كه به اين شرح است: هرگونه رفتار مستقيم غيرقانونى به وسيله عمليات الكترونيكى كه امنيت سيستم هاى كامپيوترى و داده هاى پردازش شده به سيله آنها را هدف قرار دهد.
دومين تعريف نيز جرم كامپيوترى در مفهوم كلى (جرم مرتبط با كامپيوتر) نام دارد يعنى به اين معنا كه هرگونه رفتار غيرقانونى كه به وسيله يا در ارتباط با يك سيستم يا شبكه كامپيوترى ارتكاب يافته و تملك ارائه يا توزيع غيرقانونى داده ها به وسيله يك سيستم يا شبكه كامپيوتري.
به هر حال اين تعاريف با وجود اينكه كاملاً قطعى نيستند اما نقطه شروع خوبى است اما راهنماى سازمان ملل جرايم كامپيوترى را اين گونه تعريف كرده است: «جرايم كامپيوتر ى مى تواند شامل فعاليت هاى مجرمانه اى باشد كه ماهيتى سنتى دارند از جمله سرقت، كلاهبردارى، جعل و سوءاستفاده ك همگى به طور معمول در همه جا مشمول ضمانت اجراهاى كيفرى است و كامپيوتر نيز فرصت هاى تازه اى براى سوءاستفاده به وجود آورده است كه مى توانند و يا بايد جرم انگارى شوند.» همچنين در رهنمود شوراى اروپا براى تعريف جرم كامپيوترى نظرات مختلفى با هدف هاى مطالعاتى و موضوعى مطرح شده و يكى از آنها جرم كامپيوترى را اين گونه تعريف كرده است : هر عمل غيرقانونى كه كامپيوتر ابزار يا موضوع جرم باشد و به عبارت ديگر هر جرمى كه ابزار يا هدف آن تاثيرگذارى بر عملكرد كامپيوتر باشد.
به هرحال بايد در نظر داشته باشيم ممكن است تعريف جرم كامپيوترى از كشورى به كشور ديگر متفاوت باشد. قانونگذاان فنلاند جرم كامپيوترى را به اين ترتيب تعريف كرده اند، جرمى است كه در برگيرنده سيستم ها و داده ها يا واحد هاى نرم افزار و سخت افزار به عنوان يك هدف و يا يك ابزار يا يك ركن عمل مجرمانه است. در ايالات متحده تعريف موسعى از جرم كامپيوترى به عمل آمده است به اين صورت كه، هر اقدام غيرقانونى كه با يك كامپيوتر يا سيستم كامپيوترى يا به كارگيرى آن مرتبط باشد را جرم كامپيوترى مى گويند و هر اقدام عمومى كه به هر ترتيب با كامپيوتر مرتبط بوده و موجب ايجاد خسارت به بزه ديده شده و مرتكب از اين طريق منافعى را تحصيل كند جرم كامپيوتر ى است. در ضمن وزارت دادگسترى آمريكا نيز هر اقدام غيرقانونى كه براى ارتكاب ، پى جويى يا پيگرد قضايى آن بهره بردارى از دانش فناورى كامپيوتر ضرورى باشد را جرم كامپيوتر ى دانسته اند بنابراين دانش كامپيوتر براى ارتكاب جرم ضرورى است.
• كامپيوتر ها و شبكه ها به چند طريق در ارتكاب جرايم مى توانند دخيل باشند؟
اول اينكه كامپيوتر و شبكه مى تواند به عنوان وسيله اى براى ارتكاب جرم محسوب شود دوم كامپيوتر و شبكه مى تواند هدف جرم باشد(بزه ديده) و بالاخره اينكه از كامپيوتر ها و شبكه ها مى توان براى مقاصد مرتبط با جرم استفاده كرد(مثلاً نگهدارى سوابق فعاليت هاى قاچاقچيان) بنابر اين جرم كامپيوتر ى را از دو نظر مى توان تعريف نمود، در تعريف مضيق، جرم كامپيوترى اساساً منحصر و محدود به نفوذ غيرمجاز ، تحريف يا تخريب از طريق كد هاى كامپيوترى ، جاسوسى كامپيوترى ، جعل و كلاهبردارى كامپيوترى خواهد بود و آزار و اذيت ، سوء استفاده از پست الكترونيك ، سرقت و … از طريق سيستم هاى كامپيوترى نخواهد بود اما در تعريف موسع از جرم كامپيوتر ى ، هر فعل و ترك فعلى كه از طريق يا به كمك كامپيوتر و يا از طريق شبكه هاى كامپيوتر ى يا از طريق اينترنت چه به طور مستقيم يا غيرمستقيم انجام مى شود كه توسط قانون ممنوع گرديده و براى آنها مجازات هاى مالى يا جسمى در نظر گرفته شده است را شامل مى شود.
قانون فناورى اطلاعات سال ۲۰۰۰ هندوستان از تعريف مضيق استفاده كرده و فقط نفوذ غيرمجاز، تخريب كامپيوترى و پورنوگرافى در فضاى مجازى را به عنوان جرم كامپيوترى محسوب كرده و مطابق اين قانون نمى توان مرتكبين كلاهبردارى كامپيوتر ى را تحت تعقيب قرار داد بلكه مى توان براساس ماده ۴۲۰ قانون جزاى هندوستان در خصوص دروغگويى و فريب، اعمال مجازات نمود. قانونگذارانى كه از تفسير مضيق پيروى مى كنند معتقدند كه قوانين سنتى آنان پاسخگوى نياز هاى قانونى دوران معاصر است و براى مبارزه با اشكال جديد جرم نيازى به وضع قوانين جديد و ايجاد تورم كيفرى نيست.
• با اين توضيحات جرايم كامپيوترى را مى توان به ند دسته تقسيم كرد؟
سه دسته و به اين شرح: اول، جرايمى هستند كه در آنها رايانه و تجهيزات جانبى آن موضوع جرم واقع مى شوند مانند سرقت، تخريب و غيره. دسته دوم، جرايمى هستند كه در آنها كامپيوتر به عنوان ابزار وسيله توسط مجرم براى ارتكاب جرم به كار گرفته مى شود و بالاخره دسته سوم جرايمى هستند كه مى توان آنها را جرايم كامپيوترى محض ناميد. اين نوع از جرايم كاملاً با جرايم كلاسيك تفاوت دارند و در دنياى مجازى به وقوع مى پيوندند اما آثار آنها در دنياى واقعى ظاهر مى شود، مانند دسترسى غيرمجاز به سيستم هاى كامپيوتري.
• تصور عمومى مردم از نفوذگرى از ميان رفتن يك وب سايت و اطلاعات موجود در آن است آيا مى توان براى هك و نفوذ در مقابل خرابكارى هاى فيزيكى قدرت تخريبى بيشترى قائل بود؟
دسترسى غيرمجاز به داده ها و سيستم هاى رايانه اى يا همان hacking از نظر مفهومى و مصداقى كاملاً از تخريب و ايجاد اختلال در داده ها و سيستم ها جدا است اما به خاطر اين كه اين دو جرم اغلب همزمان يا توام با هم ارتكاب مى يابند و بيشتر موارد تخريب و ايجاد اختلال مستلزم دسترسى غيرمجاز به داده ها و سيستم ها است مردم عادى آن دو را يكى تلقى مى كنند. اما در مورد آثار و تبعات اين جرايم بد نيست به ذكر نكاتى از يك متخصص اكتفا كنيم .
به عنوان مثال والتر لاكور (Walter Laquer)، يك متخصص تروريسم در مركز مطالعات استراتژيك و بين المللى، اشاره مى كند كه يك مقام رسمى CIA ادعا كرده است كه مى تواند با يك ميليارد دلار ۲۰ هكر قابل ايالات متحده را فلج كند همچنين لاكور يادآورى مى كند كه اگرچه هدف تروريست ها معمولاً قتل سران سياسى، گروگان گيرى يا بعضاً حمله به تسهيلات دولتى يا عمومى است، اما صدمه اى كه ممكن است به وسيله حمله الكترونيكى به شبكه هاى رايانه اى وارد آيد مى تواند بسيار غم انگيزتر باشد و اثرات آن تا مدت ها باقى بماند. لاكور معتقد است كه تروريسم رايانه اى ممكن است براى تعداد كثيرى از مردم بسيار ويران كننده تر از جنگ هاى بيولوژيك يا شيميايى اشد.
• به نظر مى رسد كشورهايى كه مهد كامپيوتر و اينترنت هستند بايد بيشتر با موضوع هك و نفوذگرى درگير باشند اما ما مى بينيم مثلاً در كشورى مثل روسيه كه به نسبت كشورهاى پيشرفته از نفوذ اينترنت و كامپيوتر كمترى برخوردار است بيشترين تعداد هكر وجود دارد. شرايط محيطى پرورش هك چيست و هكر ها عموماً در چه كشورهايى رشد مى كنند؟
البته اين فقط يك ادعا بيش نيست، چون هيچ آمار رسمى اين موضوع را تائيد نمى كند شايد اين كليشه به خاطر فراوانى وب سايت هاى هك و كرك روسى در اينترنت باشد. به هر حال هرجا كه سيستم يا شبكه رايانه اى وجود داشته باشد، هكرها نيز وجود خواهند داشت. شايد فقدان قوانين جزايى مرتبط با اين جرايم و فقدان سياست جنايى مناسب در يك جامعه و عدم توجه به اهميت و امنيت سيستم ها و شبكه هاى رايانه اى و ناديده گرفتن اقدامات پيشگيرانه زمينه ساز رشد هكر ها باشد.
• آيا نفوذگرى ذاتاً عمل همسطح جرايمى مثل دزدى است؟ بسيارى از مجرمان عادى از سطح سواد پائينى برخوردارند و به دلايلى چون فقر و اعتياد و … اقدام به اين كار مى كنند اما در مقابل هكرهاى واقعى افرادى هستند كه از تخصص و دانش ويژه اى برخوردارند آيا اين موضوع شرايط برخورد اين دو نوع مجرمان را تغيير نمى دهد؟
نفوذگرى به معناى خاص و قانونى آن ذاتاً با جرايمى مثل ورود غيرجاز و ورود به عنف به اماكن سنخيت بيشترى دارد.
•ما در دنياى عادى نمى توانيم بگوييم مثلاً دزدان كلاه سفيد اما در دنياى هك و نفوذ چنين اصطلاحاتى معمول است چرا؟
دزدى چه با انگيزه خوب و چه با انگيزه بد دزدى است و قانون با دزد برخورد مى كند. هك هم هيچ تفاوتى با آن ندارد، هكر كلاه سفيد اگر راستگو باشد بايد در قالب شركت هاى امنيت شبكه و به صورت مجاز به فعاليت بپردازد و مسئولان هم بايد با فراهم ساختن زمينه هاى اين كار از اين پتانسيل بهره بردارى كنند.
• آمار هك در دنيا و مقايسه آن با كشور خودمان به چه صورتى است؟
بحث و جدل فراوانى ميان جرم شناسان پيرامون آمارهاى جنايى وجود دارد. پيچيدگى فناورى اطلاعات به اين بحث ها دامن زده است. رقم سياه جرايم رايانه اى و رقم سياه هك بسيار زياد است. مثلاً در يك آزمايش كه براى بررسى ميزان نفوذ پذيرى سيستم هاى كامپيوترى دولتى انجام شد از ۳۸۰۰۰ كامپيوتر هدف، ورود به ۲۴۷۰۰ كامپيوتر به راحتى و با موفقيت همراه بود و تنها ۹۸۸ كامپيوتر موفق به تشخيص حمله شدند و تنها حمله به ۲۶۷ مورد از آنها گزارش شد. در ايران هم آمار دقيقى از اين جرم در دست نيست ولى سيستم آمارى در حال راه اندازى است.
• به نظر مى رسد بخشى از عقب ماندگى هاى تكنولوژيك در كشور ما به نوعى به امنيت مجازى ما كمك كرده است مثلا نداشتن كارت اعتبارى موضوع هك اين كارت ها و متضرر شدن مردم را از ميان برده است. شما به عنوان يك مسئول و يك كارشناس مسائل فنى چه اطمينانى مى دهيد كه ورود كامل به عرصه مجازى كم هزينه تر از شكل فيزيكى و دستى فعلى است؟
ما بايد به اين فضا وارد شويم انتخابى نيست اجبارى است. ممكن است اوايل ميزان خسارت بالا باشد اما به مرور زمان خسارات كاهش خواهند يافت از سوى ديگر وارد شدن به اين فضا در پيشگيرى از برخى جرايم سنتى موثر است مثل كيف قاپى و سرقت پول نقد و…
• در ايران به جز قانون، متولى برخورد با چنين جرايمى هم مشخص نيست. چندى قبل يكى از كسانى كه سايتش هك شده بود به دادگاه مراجعه كرد و آنها گفتند به ما مربوط نمى شود و در كلانترى هم به اين موضوع خنديدند. تكليف فردى كه اين گونه دچار ضرر و زيان مى شود در شرايط فعلى چيست؟
متولى رسيدگى به جرايم، دادسرا و با دستور آنان ضابطين دادگسترى و دادگاه هاى كيفرى است اما اگر رسيدگى صورت نگرفته به خاطر فقدان ركن قانونى بوده است، در مواردى كه هك توام با جرايمى كه داراى ركن قانونى هستند رخ داده رسيدگى به طور كامل صورت گرفته است، مثل پرونده هك سرورهاى شركت ميزبان.
• آيا اين درست است كه اگر كسى الان سايتى را هك كند و اطلاعات آن را از بين ببرد عنوان مجرمانه اى به واسطه اين كار به او تعلق نمى گيرد و بايد از عناوين ديگرى براى مقابله با وى استفاده كرد؟
بله و اين يكى از خلاء هاى قانونى است كه اميدواريم با تصويب قانون مجازات جرايم رايانه اى به زودى اين خلأ پر شود.
• موضوع تربيت قاضى متخصص براى مقابله با اين جرايم به كجا رسيد؟ در جريان برخورد با آى اس پى ها شاهد آن بوديم كه نبود قاضى متخصص تا اندازه زيادى روند رسيدگى به جرايم احتمالى را در اين عرصه با مشكل مواجه كرد. آيا آن دوره آموزشى براى قاضى ها مقطعى بود يا اين آموزش به طور مداوم ادامه مى يابد و بعد از تصويب قانون چه بخش هايى از قوه قضاييه قادر به رسيدگى به چنين جرايمى هستند؟ آيا دادگاه هاى خاص در اين زمينه تشكيل خواهد شد و روند رسيدگى چگونه خواهد بود؟
در اين راستا ما آموزش مختصرى در سال ۸۱ براى ۳۰ قاضى در نظر گرفته ايم ولى اين ميزان كفايت نمى كند به همين علت در قانون جرايم رايانه اى تاكيد شده كه قاضى متخصص بايد براى رسيدگى به اين گونه پرونده ها وجود داشته باشد به همين علت برنامه آموزش قضات بعد از اين نيز جزء وظايف كميته مبارزه با جرايم رايانه اى است بعد از تصويب قانون، ٍ برنامه ريزى براى اين برنامه هاى آموزشى آغاز خواهد شد و ما بيش بينى مى كنيم كه تعداد شعباتى كه براى رسيدگى به اين گونه جرايم تاسيس مى شود ( حداقل در هر استان يك تا دو قاضى) از قاضى آمزش ديده بهره بگيرد به هر حال در اين باره در ماده ۲۸ پيش نويس تشكيل شعب تخصصى در دادسراها و دادگاه ها و بهره گيرى از قضات متخصص مورد تاكيد قرارگرفته است.