نام نویسنده: امضا محفوظ
بزرگراه فناورى – در مقوله امنيت رايانهاى و فناورى اطلاعات نيز ـ مانند ساير زمينهها ـ سياستهاى دولت نقش بسيار مهمى ايفا مىكند. با اينحال در اين مورد بايد با احتياط اظهارنظر كرد، چراكه يك چارچوب عمومى قوانين هرچند مىتواند امنيت رايانهاى را تقويت كند، اما اشكالاتى كه در اثر مقررات نادرست دولتى بهوجود مىآيد بيش از مزاياى چنين مقرراتى است.
فناورى بهسرعت درحال تغيير است و تهديدات جديد با چنان سرعتى انتشار مىيابند كه مقررات دولتى بهراحتى مىتوانند تبديل به موانعى براى ارايه سريع پاسخهاى مبتكرانه شوند. بنابراين بهترين راه اين است كه ميان معيارهاى تقنينى و غيرتقنينى يك نقطه تعادل پيدا كنيم.
براى دستيابى به چنين تعادلى، سياستگذاران بايد به برخى ويژگىهاى ذاتى و منحصر بهفرد رايانه توجه كنند. در مقايسه با فناورىهاى اطلاعات و ارتباطات پيشين، فضاى سايبر(مجازى) يك فضاى غيرمتمركز است. بخشى از قدرت اينترنت ناشى از اين حقيقت است كه فاقد مرزبان است و بيشتر كارايى آن در مرزهاى شبكه است تا در مركز آن. سياستهاى امنيت سايبر دولت بايد اين ويژگىها را مدنظر قرار دهند.
دولتها معمولا سيستم رايانهاى خاص خود را دارند؛ از جمله رايانههايى كه براى امنيت ملى، خدمات اضطرارى، بهداشت و ساير عملكردهاى ضرورى مورد استفاده قرار مىگيرند، اما بسيارى از سيستمهاى رايانهاى سازمانهاى دولتى وابسته به همان نرمافزارها و سختافزارهايى هستند كه توسط شركتهاى خصوصى طراحى و ساخته شدهاند و لذا مسئله امنيت در آنها يكى از مسايل قابل توجه است. بنابراين مسؤوليت امنيت اين سيستمها ميان دولت و بخش خصوصى تقسيم شده است و همچنين مشخص شده كه دولت بايد راى مجازات و پيشگيرى از انجام حملات به سيستمهاى بخش خصوصى، مثل سيستمهاى دولتى از قدرت قوانين حقوق و جزا كمك بگيرد.
ايجاد يك محيط قابل اطمينان در فضاى سايبر نيازمند تطبيق قوانين و سياستهاى دولتى ساير زمينهها بر حوزه امنيت سايبر است. اين زمينهها شامل حمايت از مصرفكننده، خصوصى ماندن دادهها و ارتباطات، حقوق مالكيت معنوى و چارچوب تجارت الكترونيكى است. در دنياى بدون اينترنت، قانون براى معاملات تجارى و مصرفكنندگان حمايتهايى ايجاد مىكند. قسمت اعظم اين قوانين در حوزه فضاى سايبر نيز قابل اعمال هستند، اما كشورهايى كه بهدنبال گسترش فناورى اطلاعا و ارتباطات (ICT) هستند بايد اين مسئله را بررسى كنند كه آيا در قوانين آنها خلائى وجود دارد كه مانع ايجاد اعتماد لازم براى افزايش امنيت فضاى سايبر شود يا خير. در حقيقت كشورهايى كه علاقهمند به گسترش تجارت الكترونيكى هستند ممكن است دريابند كه قوانين آنها در مورد خدمات مالى، مالكيت سايبر و حمايت از مصرفكننده از اعتماد يا پشتيبانى لازم براى تعاملات خارج از دنياى اينترنت برخوردار نيست. اصلاح قوانين دنياى سايبر ممكن است بهعنوان بخشى از اصلاحات روى قوانين كلىتر انجام شود. (برگرفته از کتاب مرجع «راهنماى امنيت فناورى اطلاعات»، انتشارات شوراى عالى اطلاعرسانى)
اما پس از اين مقدمه و تاکيد بر نقش حياتى و اعتمادساز تامين امنيت فضاى مجازى در هر کشور، به نقد لايحه جرايم رايانهاى کشور که چندسالى است در مجلس شوراى اسلامى در انتظار تصويب است، مىپردازيم.
بهنظر مىرسد در تهيه لايحه جرايم رايانهاى، موارد متعددى که باعث جامعيت و قابل اجرا بودن يک قانون است لحاظ نشده که اين امر باعث مىشود لايحه مزبور در صورت تصويب، نتواند در پيشگيرى و مجازات عوامل حقيقى آزار و اذيتهاى رايانهاى چندان موثر باشد.
در ادامه فهرست عناوينى که در ادامه اين مکتوب در خصوص پيشنويس تهيه شده، مورد اشاره قرار گرفتهاند و پس از آن نيز موارد مذکور بهصورت مشروح بررسى مىشوند.
1. فقدان تعريف مشخص از حيطه و شمول قانون
2. عدم دستهبندى افعال مجرمانه و تفکيک آنها از مجازاتها
3. عدم تناسب مجازات با معيارهاى معقول تعيينکننده حدود مجازات
4. بىتوجهى به عوامل تاثيرگذار در شدت تقصير/قصور متوليان امنيت
5. عدم اشاره به برخى از مهمترين عناوين آزار و اذيت رايانهاى بهعنوان مصاديق جرم
6. مشکلات قانونى پيگرد الکترونيکى؛ در صورت تصويب اين پيشنويس
7. سکوت در برابر سوءاستفاده از سامانهها براى تهاجم به سامانههاى شخص ثالث
8. لزوم توجه به عدم اختلال در خدمات
9. همگ نبودن مواد مختلف در تعيين مصاديق
10. آييننامههاى مبهم
11. برخى نکات موردى
1. فقدان تعريف مشخص از حيطه و شمول قانون
بهطور کلى طبق الگوهاى سرآمدى امنيت، براى تدوين قانون در حيطههايى که کاربرد فناورى
رايانهاى باعث ناکارآمد شدن سيستم قانونى مورد استفاده مىشود، يک تقسيمبندى عمده براى جرايم رايانهاى در نظر گرفته مىشود که عبارت است از:
a. جرايمى که بهوسيله رايانه تسهيل مىشوند؛ و
b. جرايمى که توسعه و کاربرد فناورى رايانهاى و شبکه باعث خلق مفاهيم جديد و بهوجود آمدن آنها شده است.
بنابراين، براى تدوين نظام جامع و مان قانونى بهمنظور افزايش اعتماد در فضاى رايانهاى، هم بايد قوانين مختص اين فضا را بهوجود آورد و هم بايد قوانين جزايى را که از قبل وجود داشته بهگونهاى اصلاح کرد که جرايم تسهيل شده بهوسيله رايانه را نيز دربر بگيرد. لذا نبايد در قانون جرايم رايانهاى بهدنبال جمعآورى تمام اقدامات مجرمانه در هر زمينهاى بود و بايد قسمتى از آن را به اصلاح قوانين ديگر واگذارد. در هر صورت، بهنظر مىرسد لازم باشد که در مقدمه متن پيشنهادى، حيطه قانون و شمول آن (و در صورت صلاحديد، حتى مواردى که اين قانون به آنها مربوط نمىشود نيز) بهوضوح مورد اشاره قرار گيرند. مثلا بهنر مىرسد ماده 25 از جنس قانون ديگرى براى الزامات نگهدارى دادههاست که بايد شامل موارد ديگرى (نظير مسؤوليت تهيه صحيح نسخه پشتيبان و غيره و همچنين مجازاتهاى عدم عملکرد صحيح در خصوص موارد ذکر شده) نيز بشود.
بهدليل عدم رعايت اصل مذکور، در موادى از اين پيشنويس تداخلهايى با ساير قوانين مانند حقوق شهروندى و قانون مدنى وجود دارد؛ مانند مواردى که در فصل چهارم و فصل پنجم بازتعريف شده، درحالى که طبق قوانين حال حاضر نيز کليه اين موارد از افعال مجرمانه محسوب مى شوند و تنها از طريق رايانه، کيفيت انجام آنها متفاوت است.
2. عدم دستهبندى افعال مجرمانه و تفکيک آها از مجازاتها
طبق الگوهاى سرآمدى، بهدليل ماهيت پيچيده و کثرت افعال مجرمانه در فناورىهاى نوين مانند فناورى اطلاعات و ارتباطات، براى روشن بودن چارچوب و سادهتر شدن اجراى قانون، معمولا ابتدا در يک فصل مصاديق افعال مجرمانه دستهبندى و تشريح مىشوند و سپس مجازاتهاى مربوطه در فصل بعد آن متناظر با دستهبندى انجام شده و ساير عوامل تعيينکننده ميزان مجازات (که در بند چهارم همين مکتوب مورد اشاره قرار گرفتهاند) تعيين مىشوند.
اين دستهبندى علاوه بر ساده کردن کار تطبيق فعل انجام شده با مصاديق افعال مجرمانه (خصوصا در مواردىکه فعل انجام شده با بيش از يک مصداق تطابق دارد)، کار اصلاح قانون متناسب با پيشرفت و تغيير کاربرد فناورى را نيز تسهيل مىکند.
3. عدم تناسب مجازات با معيارهاى معقول تعيينکننده حدود مجازات
مواردى چون قصد و نيت فرد مهاجم، آگاهى قبلى براى تخريب، سطح حساسيت سامانه هدف، ميزان تقصير يا قصور متوليان حفاظت از سامانه ميانى (توضيحات بيشتر در اين مورد در بند ششم همين مکتوب آمده است)، ميزان تقصير يا قصور متوليان حفاظت از سامانه هدف، ميزان خرابىهاى مستقيم به بار آمد و همچنين ميزان آسيبها و ضررهايى که در مراحل بعد به قربانى/قربانيان فعل مجرمانه وارد مىشود (که گاهى اشخاص ثالث حقيقى و حقوقى را هم دربر مىگيرد)، همه از مواردى هستند که عرفا مسؤوليت آنها برعهده مجرم و معاونان اوست و لذا در تعيين مجازات، توجه صرف بهعنوان مصداق تشخيص داده شده از فعل مجرمانه کافى نيست و بايد اين موارد نيز در نظر گرفته شوند. اين مورد نيز در قوانين کشورهاى توسعهيافته که به اقتضاى کاربرد فناورى پيش از کشورهاى درحال توسعه، زودتر به ضرورت وجود قوانينى از اين دست پى بردهاند به چشم مىخورد.
4. بىتوجهى به عوامل تاثيرگذار در شدت تقصير/قصور متوليان امنيت
زمانىکه يک تهاجم موفقيتآميز (با هر درجهاى از موفقيت) صورت مىگيرد، همه مسؤوليت خرابىهاى به بار آمده بر گردن مهاجم نيست، بلکه مسؤولان، سياستگذاران و مديران سامانه هدف نيز در آن شريکند؛ چراکه معمولا با عدم تدبير به موقع اقدامات لازم براى جلوگيرى از نفوذ، راه را براى تهاجم آسان باز گذاشتهاند. اما ميزان اين شراکت بسته به عوامل مختلف (از جمله ميزان پيچيدگى روش مورد استفاده براى نفوذ، ميزان استحکام تدابير امنيتى سامانه هدف و غيره) متغير است.
هرچند در ماده 5 پيشنويس مورد بحث به اين مورد اشاره ضمنى شده است، اما باز هم بدون توجه به نوع حمله، قصد تخريب، ميزان خسارتهاى وارده و ساير موارد موثر و صرفا بهدليل «اعطاى دسترسى» به مهاجم، مجازات مشخصى براى خاطيان ر نظر گرفته شده است؛ درحالىکه اولا عوامل موثر بر مجازات بايد به شرح گفته شده باشند و ثانيا، ممکن است فرد خاطى از طريقى غير از «اعطاى دسترسى» به انجام حمله توسط مهاجم کمک کرده باشد.
5. عدم اشاره به برخى از مهمترين عناوين آزار رايانهاى بهعنوان مصاديق جرم
در ادامه برخى از عناوين بهعنوان نمونه مورد اشاره و توضيح مختصر قرار گرفتهاند که در پى مىآيند.
الف. نرمافزارهاى داراى «درب مخفى»: ايجاد تعمدى درب مخفى در نرمافزار توسط نويسنده نرمافزار؛ جمعآورى اطلاعات کاربران بهصورت خودکار توسط نرمافزار و انتشار آزادانه آن روى وب. اين نرمافزارها معمولا در پايگاههاى وب با کارکرد ديگر خود (مثلا يک بازى رايانهاى) معرفى مىشوند، اما پس از دريافت و به اجرا در آمدن توسط کاربران، کارکرد مخرب خود را نيز – غالبا بدون اطلاع کاربران – انجام مىدهند؛ بنابراين خود کاربر در آسيب وارده مقصر است، اما از طرف ديگر، از چنين کارکردى توسط نرمافزار اطلاع قبلى نداشته است.
ب. کرمهاى اينترنتى که معمولا براى انتشار خود از اطلاعات يافته شده روى رايانههاى قربانى سوءاستفاده مىکنند و بهعنوان مثال، از طرف برخى آدرسهاى يافته شده در سامانه قربانى، براى برخى ديگر از آدرسهاى همان فهرست، نامه الکترونيکى ارسال مىنند، واضح است که در چنين موردى، مقصر اصلى پديدآورنده اوليه کرم اينترنتى است.
ج. کلاهبردارى اينترنتى؛ مثلا طراحى يک صفحه ورود اطلاعات مشابه صفحه ورود اطلاعات سامانههاى پرداخت الکترونيکى (مثلا سامانههاى برخى بانکهاى داخلى) و فريب کاربران براى ورود اطلاعات کارتهاى خريد/پرداخت الکترونيکى و سوءاستفاده از اطلاعات جمعآورى شده. در اين خصوص، خود کاربر با رضايت کامل اقدام به ورود اطلاعات در پايگاه فرد کلاهبردار کرده، اما ابتدا توسط او فريب خورده است و پس از ورود اطلاعات نيز اين کاربر است که قربانى اين کلاهبردارى مىشود.
د. ارسال هرزنامه که عبارت است ز ارسال نامههاى تبليغاتى/با مصارف ديگر به فهرستهاى بزرگى از آدرسهاى پست الکترونيکى، خصوصا در شرايطى که دريافتکنندگان تمايلى به دريافت آن نامهها ندارند. اين عمل در قوانين کليه کشورهاى پيشرو در صنعت فناورى اطلاعات و ارتباطات از جرايم سنگين محسوب مىشود.
6. مشکلات قانونى پيگرد الکترونيکى
در قسمتهاى مختلفى از قانون (در صورت تصويب پيشنويس مذکور) مواردى آمده که مىتواند کاربردهاى مشروع، قانونى و بعضا مورد نياز براى جلوگيرى از وقوع جرايم رايانهاى را دچار مشکل کند که در ادامه بهطور مختصر به برخى از آنها اشاره شده است:
الف. شنود الکترونيکى که براى نظارت و ارتقاى امنيت سامانههاى الکترونيکى جزء اوليهترين نيازهاست، اما طبق اين پيشنويس، انجام اين کار پس از تصويب اين پيشنويس، جرم خواهد بود.
ب. معامله ابزارهاى تست ضريب امنيت که مىتوانند کارکرد دوگانه داشته باشند. اين خصوصيت تمام ابزارها و نرمافزارهاى امنيت الکترونيکى است که هم مىتوانند توسط راهبران امنيت و در جهت ارتقاى امنيت شبکه و محيط بهکار روند و هم مىتوانند توسط نفوذگران و در جهت تخريب سيستمها مورد استفاده قرار گيرند.
ج. گستراندن دام براى کسب اطلاعات از روش کار مهاجم (honeypot) که اين پيشنويس در خصوص قانونى و مشروع بودن آن مسکوت است، اما طبق موادى از آن، مىتوان اين کار را فعل مجرمانه برشمرد.
د. نفوذ اخلاقى که به درخواست يک سازمان از يک تيم/شرکت امنيتى براى نفوذ به سيستمها جهت ارزيابى استحکام اقدامات دفاعى سازمان انجام مىشود.
7. سکوت در برابر سوءاستفاده از سامانهها براى تهاجم به سامانههاى شخص ثالث
در جرايم رايانهاى، امکان سوءاستفاده از سامانه رايانهاى يک سازمان براى تهاجم و يا تسهيل تهاجم به سامانه يک سازمان ثالث نيز وجود دارد. در اين صورت آيا سازمانى که براى حمله به سازمان ثالث از سامانههاى رايانهاى آن سوءاستفاده شده، بهعلت تقصير يا قصور مستحق مازات است يا خير؟ طبق الگوهاى سرآمدى دنيا، در اين مورد سازمانى که از سامانه آن براى تهاجم سوءاستفاده شده، مسؤوليت حفظ امنيت آن را به عهده داشته و حتى در صورت عدم آگاهى نيز، بخشى از مسؤوليت با آن است.
8. لزوم توجه به عدم اختلال در خدمات
عدم ايجاد اختلال در خدمات، اصلى است که همواره بايد در پيگردهاى قانونى جرايم الکترونيکى مدنظر قرار گيرد. در غير اينصورت، ممکن است کارى که مهاجم موفق به انجام آن نشده (از کار انداختن ارايه خدمات)، توسط ضابطين قضايى و در جهت اجراى قانون صورت پذيرد. گاهى لطمات اين از کارافتادگى خدمت، مىتواند بسيار بيش از اصل تهاجم براى سازمان قربانى خسارت به بار بياورد.
9. همگن نبودن مواد مختلف در تعيين مصاديق
در تعريف مصاديق جرم، اين پيشنويس در برخى مواد آنچنان پيشرفته که سعى کرده کوچکترين جزييات را براى تعريف مصداق فعل مجرمانه برشمارد (نمونه: مواد فصل چهارم) و در مواردى نيز به کلى تعيين مصاديق را به آييننامههايى که جزء يک نام از آنها وجود ندارد موکول کرده است.
يکى از مواردى که در صورت رعايت بندهاى 1 و 2 اين مکتوب عايد قانونگذار مىشود، همگن بودن مواد مختلف از جهات مختلف است که در عمل، اجراى قانون را بهميزان قابل توجهى تسهيل مىکند.
10. آييننامههاى مبهم
آييننامههاى متعددى که اين قانون به آنها ارجاع دارد و هيچ يک حتى در حد پيشنويس هم آماده نشدهاند، بسيار حياتى هستند و به همين دليل لازم است پيشنهاددهندگان محترم حداقل محورهاى اصلى اين آييننامهها و نيز حيطه، شمول و کليات بندهاى آنها را نيز پيشنهاد دهند.
11. برخى نکات موردى
نکاتى نيز در خصوص جامع و مانع بودن اين پيشنويس وجود دارد که چند نمونه از آن در پى آمده است:
الف. مواد 1 و 2 با بند اول ماده 3 همپوشانى قابل توجهى دارند.
ب. ماده 5: «چنانچه ماموران دولتى که… به آنها آموزش لازم داده شده …». اگر سازمانى مورد تهاجم قرار گرفت که متوليان امنيت آن، اصوا آموزشهاى لازم امنيتى را نديده باشند، تکليف چيست؟ آيا صرف اينکه از نظر فنى ناآگاه بودهاند، دليل موجهى براى پوشش سهلانگارى انجام شده در تدبير اقدامات دفاعى است که متن پيشنهادى قانون در قبال آن مسکوت است؟
ج. ماده 7: ممکن است کسى بتواند از کارتها يا تراشههاى مجعول استفاده صحيح کند؛ بنابراين عموميت کلمه «استفاده» در اين بند، مىتواند اين بند قانون را در عمل و هنگام تفسير، با مشکلاتى مواجه سازد.
نتيجهگيرى
بهنظر مىرسد با عنايت به موارد فوق، لزوم بازنگرى در لايحه پيشنهادى بيش از پيش آشکار شده باشد. اميد است مسؤولان و تصميمگيرندگان و کليه افرادى که به هر نحو در تصويب اين قانون موثر هستند، براى تصويب يک قانون جامع و قابل اجرا در خصوص جرايم رايانهاى، نکات کارشناسى ذکر شده را مدنظر داشته باشند.
