iTanalyze.com
  عبارت مورد جستجو  
تحلیل وضعیت فناوری اطلاعات در ایران  
Home صفحه اول آرشیو ارتباط باما درباره ما ارسال مطلب سایت های مرتبط وبلاگ نظرسنجی جستجو
adsl122.JPG
inthernet2.jpg
hkbp1rc9z204.jpg
wimax logo w.JPG
Wednesday 23 Aug 2006چهارشنبه ۱ شهریور ۱۳۸۵

تاملي پيرامون متن اصلاح شده لايحه جرایم رايانه‌اي

در مقوله امنيت رايانه‌اي و فناوري اطلاعات نيز ـ مانند ساير زمينه‌ها ـ سياست‌هاي دولت نقش بسيار مهمي ايفا مي‌كند. با اين‌حال در اين مورد بايد با احتياط اظهارنظر كرد، چراكه يك چارچوب عمومي قوانين هرچند مي‌تواند امنيت رايانه‌اي را تقويت كند، اما اشكالاتي كه در اثر مقررات نادرست دولتي به‌وجود مي‌آيد بيش از مزاياي چنين مقرراتي است.


فناوري به‌سرعت درحال تغيير است و تهديدات جديد با چنان سرعتي انتشار مي‌يابند كه مقررات دولتي به‌راحتي مي‌توانند تبديل به موانعي براي ارایه سريع پاسخ‌هاي مبتكرانه شوند. بنابراين بهترين راه اين است كه ميان معيارهاي تقنيني و غيرتقنيني يك نقطه تعادل پيدا كنيم.

براي دست‌يابي به چنين تعادلي، سياست‌گذاران بايد به برخي ويژگي‌هاي ذاتي و منحصر به‌فرد رايانه توجه كنند. در مقايسه با فناوري‌هاي اطلاعات و ارتباطات پيشين، فضاي سايبر(مجازی) يك فضاي غيرمتمركز است. بخشي از قدرت اينترنت ناشي از اين حقيقت است كه فاقد مرزبان است و بيشتر كارايي آن در مرزهاي شبكه است تا در مركز آن. سياست‌هاي امنيت سايبر دولت بايد اين ويژگي‌ها را مدنظر قرار دهند.

دولت‌ها معمولا سيستم رايانه‌اي خاص خود را دارند؛ از جمله رايانه‌هايي كه براي امنيت ملي، خدمات اضطراري، بهداشت و ساير عملكردهاي ضروري مورد استفاده قرار مي‌گيرند، اما بسياري از سيستم‌هاي رايانه‌اي سازمان‌هاي دولتي وابسته به همان نرم‌افزارها و سخت‌افزارهايي هستند كه توسط شركت‌هاي خصوصي طراحي و ساخته شده‌اند و لذا مسئله امنيت در آن‌ها يكي از مسایل قابل توجه است. بنابراين مسؤوليت امنيت اين سيستم‌ها ميان دولت و بخش خصوصي تقسيم شده است و همچنين مشخص شده كه دولت بايد براي مجازات و پيشگيري از انجام حملات به سيستم‌هاي بخش خصوصي، مثل سيستم‌هاي دولتي از قدرت قوانين حقوق و جزا كمك بگيرد.

ايجاد يك محيط قابل اطمينان در فضاي سايبر نيازمند تطبيق قوانين و سياست‌هاي دولتي ساير زمينه‌ها بر حوزه امنيت سايبر است. اين زمينه‌ها شامل حمايت از مصرف‌كننده، خصوصي ماندن داده‌ها و ارتباطات، حقوق مالكيت معنوي و چارچوب تجارت الكترونيكي است. در دنياي بدون اينترنت، قانون براي معاملات تجاري و مصرف‌كنندگان حمايت‌هايي ايجاد مي‌كند. قسمت اعظم اين قوانين در حوزه فضاي سايبر نيز قابل اعمال هستند، اما كشورهايي كه به‌دنبال گسترش فناوري اطلاعات و ارتباطات (ICT) هستند بايد اين مسئله را بررسي كنند كه آيا در قوانين آن‌ها خلائي وجود دارد كه مانع ايجاد اعتماد لازم براي افزايش امنيت فضاي سايبر شود يا خير. در حقيقت كشورهايي كه علاقه‌مند به گسترش تجارت الكترونيكي هستند ممكن است دريابند كه قوانين آن‌ها در مورد خدمات مالي، مالكيت سايبر و حمايت از مصرف‌كننده از اعتماد يا پشتيباني لازم براي تعاملات خارج از دنياي اينترنت برخوردار نيست. اصلاح قوانين دنياي سايبر ممكن است به‌عنوان بخشي از اصلاحات روي قوانين كلي‌تر انجام شود. (برگرفته از کتاب مرجع «راهنمای امنیت فناوری اطلاعات»، انتشارات شورای عالی اطلاع‌رسانی)

اما پس از این مقدمه و تاکید بر نقش حیاتی و اعتمادساز تامین امنیت فضای مجازی در هر کشور، به نقد لایحه جرایم رایانهای کشور که چندسالی است در مجلس شورای اسلامی در انتظار تصویب است، می‌پردازیم.

به‌نظر مي‌رسد در تهيه لايحه جرایم رايانه‌اي، موارد متعددي که باعث جامعيت و قابل اجرا بودن يک قانون است لحاظ نشده که این امر باعث مي‌شود لايحه مزبور در صورت تصويب، نتواند در پيشگيري و مجازات عوامل حقيقي آزار و اذيت‌هاي رايانه‌اي چندان موثر باشد.

در ادامه فهرست عناويني که در ادامه اين مکتوب در خصوص پيش‌نويس تهيه شده، مورد اشاره قرار گرفته‌اند و پس از آن نیز موارد مذکور بهصورت مشروح بررسی می‌شوند.

1. فقدان تعريف مشخص از حيطه و شمول قانون 2. عدم دسته‌بندي افعال مجرمانه و تفکيک آن‌ها از مجازات‌ها 3. عدم تناسب مجازات با معيارهاي معقول تعيين‌کننده حدود مجازات 4. بی‌توجهي به عوامل تاثيرگذار در شدت تقصير/قصور متوليان امنيت 5. عدم اشاره به برخي از مهم‌ترين عناوين آزار و اذيت رايانه‌اي به‌عنوان مصاديق جرم 6. مشکلات قانوني پيگرد الکترونيکي؛ در صورت تصويب اين پيش‌نويس 7. سکوت در برابر سوء‌استفاده از سامانه‌ها براي تهاجم به سامانه‌هاي شخص ثالث 8. لزوم توجه به عدم اختلال در خدمات 9. همگن نبودن مواد مختلف در تعيين مصاديق 10. آيين‌نامه‌هاي مبهم 11. برخي نکات موردي

1. فقدان تعريف مشخص از حيطه و شمول قانون
به‌طور کلي طبق الگوهاي سرآمدي امنيت، براي تدوين قانون در حيطه‌هايي که کاربرد فناوري

رايانه‌اي باعث ناکارآمد شدن سيستم قانوني مورد استفاده مي‌شود، يک تقسيم‌بندي عمده براي جرایم رايانه‌اي در نظر گرفته مي‌شود که عبارت است از:

a. جرایمي که به‌وسيله رايانه تسهيل مي‌شوند؛ و

b. جرایمي که توسعه و کاربرد فناوري رايانه‌اي و شبکه باعث خلق مفاهيم جديد و به‌وجود آمدن آن‌ها شده است.

بنابراين، براي تدوين نظام جامع و مانع قانوني به‌منظور افزايش اعتماد در فضاي رايانه‌اي، هم بايد قوانين مختص اين فضا را به‌وجود آورد و هم بايد قوانين جزایي را که از قبل وجود داشته به‌گونه‌اي اصلاح کرد که جرایم تسهيل شده به‌وسيله رايانه را نيز دربر بگيرد. لذا نبايد در قانون جرایم رايانه‌اي به‌دنبال جمع‌آوري تمام اقدامات مجرمانه در هر زمينه‌اي بود و بايد قسمتي از آن را به اصلاح قوانين ديگر واگذارد. در هر صورت، به‌نظر مي‌رسد لازم باشد که در مقدمه متن پيشنهادي، حيطه قانون و شمول آن (و در صورت صلاح‌ديد، حتي مواردي که اين قانون به آن‌ها مربوط نمي‌شود نيز) به‌وضوح مورد اشاره قرار گيرند. مثلا به‌نظر مي‌رسد ماده 25 از جنس قانون ديگري براي الزامات نگهداري داده‌هاست که بايد شامل موارد ديگري (نظير مسؤوليت تهيه صحيح نسخه پشتيبان و غیره و همچنين مجازات‌هاي عدم عملکرد صحيح در خصوص موارد ذکر شده) نيز بشود.

به‌دليل عدم رعايت اصل مذکور، در موادي از اين پيش‌نويس تداخل‌هايي با ساير قوانين مانند حقوق شهروندي و قانون مدني وجود دارد؛ مانند مواردي که در فصل چهارم و فصل پنجم بازتعريف شده، درحالي که طبق قوانين حال حاضر نيز کليه اين موارد از افعال مجرمانه محسوب مي شوند و تنها از طريق رايانه، کيفيت انجام آن‌ها متفاوت است.

2. عدم دسته‌بندي افعال مجرمانه و تفکيک آن‌ها از مجازات‌ها
طبق الگوهاي سرآمدي، به‌دليل ماهيت پيچيده و کثرت افعال مجرمانه در فناوري‌هاي نوين مانند فناوري اطلاعات و ارتباطات، براي روشن بودن چارچوب و ساده‌تر شدن اجراي قانون، معمولا ابتدا در يک فصل مصاديق افعال مجرمانه دسته‌بندي و تشريح مي‌شوند و سپس مجازات‌هاي مربوطه در فصل بعد آن متناظر با دسته‌بندي انجام شده و ساير عوامل تعيين‌کننده ميزان مجازات (که در بند چهارم همين مکتوب مورد اشاره قرار گرفته‌اند) تعيين مي‌شوند.

اين دسته‌بندي علاوه بر ساده کردن کار تطبيق فعل انجام شده با مصاديق افعال مجرمانه (خصوصا در مواردي‌که فعل انجام شده با بيش از يک مصداق تطابق دارد)، کار اصلاح قانون متناسب با پيشرفت و تغيير کاربرد فناوري را نيز تسهيل مي‌کند.

3. عدم تناسب مجازات با معيارهاي معقول تعيين‌کننده حدود مجازات
مواردي چون قصد و نيت فرد مهاجم، آگاهي قبلي براي تخريب، سطح حساسيت سامانه هدف، ميزان تقصير يا قصور متوليان حفاظت از سامانه مياني (توضيحات بيشتر در اين مورد در بند ششم همين مکتوب آمده است)، ميزان تقصير يا قصور متوليان حفاظت از سامانه هدف، ميزان خرابي‌هاي مستقيم به بار آمد و همچنين ميزان آسيب‌ها و ضررهايي که در مراحل بعد به قرباني/قربانيان فعل مجرمانه وارد مي‌شود (که گاهي اشخاص ثالث حقيقي و حقوقي را هم دربر مي‌گيرد)، همه از مواردي هستند که عرفا مسؤوليت آن‌ها برعهده مجرم و معاونان اوست و لذا در تعيين مجازات، توجه صرف به‌عنوان مصداق تشخيص داده شده از فعل مجرمانه کافي نيست و بايد اين موارد نيز در نظر گرفته شوند. اين مورد نيز در قوانين کشورهاي توسعه‌يافته که به اقتضاي کاربرد فناوري پيش از کشورهاي درحال توسعه، زودتر به ضرورت وجود قوانینی از این دست پي برده‌اند به چشم مي‌خورد.

4. بي‌توجهي به عوامل تاثيرگذار در شدت تقصير/قصور متوليان امنيت
زماني‌که يک تهاجم موفقيت‌آميز (با هر درجه‌اي از موفقيت) صورت مي‌گيرد، همه مسؤوليت خرابي‌هاي به بار آمده بر گردن مهاجم نيست، بلکه مسؤولان، سياست‌گذاران و مديران سامانه هدف نيز در آن شريکند؛ چراکه معمولا با عدم تدبير به موقع اقدامات لازم براي جلوگيري از نفوذ، راه را براي تهاجم آسان باز گذاشته‌اند. اما ميزان اين شراکت بسته به عوامل مختلف (از جمله ميزان پيچيدگي روش مورد استفاده براي نفوذ، ميزان استحکام تدابير امنيتي سامانه هدف و غیره) متغير است.

هرچند در ماده 5 پيش‌نويس مورد بحث به اين مورد اشاره ضمني شده است، اما باز هم بدون توجه به نوع حمله، قصد تخريب، ميزان خسارت‌هاي وارده و ساير موارد موثر و صرفا به‌دليل «اعطاي دسترسي» به مهاجم، مجازات مشخصي براي خاطيان در نظر گرفته شده است؛ درحالي‌که اولا عوامل موثر بر مجازات بايد به شرح گفته شده باشند و ثانيا، ممکن است فرد خاطي از طريقي غير از «اعطاي دسترسي» به انجام حمله توسط مهاجم کمک کرده باشد.

5. عدم اشاره به برخي از مهم‌ترين عناوين آزار رايانه‌اي به‌عنوان مصاديق جرم
در ادامه برخي از عناوين به‌عنوان نمونه مورد اشاره و توضيح مختصر قرار گرفته‌اند که در پی می‌آیند.

الف. نرم‌افزارهاي داراي «درب مخفي»: ايجاد تعمدي درب مخفي در نرم‌افزار توسط نويسنده نرم‌افزار؛ جمع‌آوري اطلاعات کاربران به‌صورت خودکار توسط نرم‌افزار و انتشار آزادانه آن روي وب. اين نرم‌افزارها معمولا در پايگاه‌هاي وب با کارکرد ديگر خود (مثلا يک بازي رايانه‌اي) معرفي مي‌شوند، اما پس از دريافت و به اجرا در آمدن توسط کاربران، کارکرد مخرب خود را نيز - غالبا بدون اطلاع کاربران - انجام مي‌دهند؛ بنابراين خود کاربر در آسيب وارده مقصر است، اما از طرف ديگر، از چنين کارکردي توسط نرم‌افزار اطلاع قبلي نداشته است.

ب. کرم‌هاي اينترنتي که معمولا براي انتشار خود از اطلاعات يافته شده روي رايانه‌هاي قرباني سوءاستفاده مي‌کنند و به‌عنوان مثال، از طرف برخي آدرس‌هاي يافته شده در سامانه قرباني، براي برخي ديگر از آدرس‌هاي همان فهرست، نامه الکترونيکي ارسال مي‌کنند، واضح است که در چنين موردي، مقصر اصلي پديدآورنده اوليه کرم اينترنتي است.

ج. کلاهبرداري اينترنتي؛ مثلا طراحي يک صفحه ورود اطلاعات مشابه صفحه ورود اطلاعات سامانه‌هاي پرداخت الکترونيکي (مثلا سامانه‌هاي برخی بانک‌های داخلی) و فريب کاربران براي ورود اطلاعات کارت‌هاي خريد/پرداخت الکترونيکي و سوءاستفاده از اطلاعات جمع‌آوري شده. در اين خصوص، خود کاربر با رضايت کامل اقدام به ورود اطلاعات در پايگاه فرد کلاهبردار کرده، اما ابتدا توسط او فريب خورده است و پس از ورود اطلاعات نيز اين کاربر است که قرباني اين کلاهبرداري مي‌شود.

د. ارسال هرزنامه که عبارت است از ارسال نامه‌هاي تبليغاتي/با مصارف ديگر به فهرست‌هاي بزرگي از آدرس‌هاي پست الکترونيکي، خصوصا در شرايطي که دريافت‌کنندگان تمايلي به دريافت آن نامه‌ها ندارند. اين عمل در قوانين کليه کشورهاي پيشرو در صنعت فناوري اطلاعات و ارتباطات از جرایم سنگين محسوب مي‌شود.

6. مشکلات قانوني پيگرد الکترونيکي
در قسمت‌هاي مختلفي از قانون (در صورت تصویب پیش‌نویس مذکور) مواردي آمده که مي‌تواند کاربردهاي مشروع، قانوني و بعضا مورد نياز براي جلوگيري از وقوع جرایم رايانه‌اي را دچار مشکل کند که در ادامه به‌طور مختصر به برخي از آن‌ها اشاره شده است:

الف. شنود الکترونيکي که براي نظارت و ارتقاي امنيت سامانه‌هاي الکترونيکي جزء اوليه‌ترين نيازهاست، اما طبق اين پيش‌نويس، انجام اين کار پس از تصويب اين پيش‌نويس، جرم خواهد بود.

ب. معامله ابزارهاي تست ضريب امنيت که مي‌توانند کارکرد دوگانه داشته باشند. اين خصوصيت تمام ابزارها و نرم‌افزارهاي امنيت الکترونيکي است که هم مي‌توانند توسط راهبران امنيت و در جهت ارتقاي امنيت شبکه و محيط به‌‌کار روند و هم مي‌توانند توسط نفوذگران و در جهت تخريب سيستم‌ها مورد استفاده قرار گيرند.

ج. گستراندن دام براي کسب اطلاعات از روش کار مهاجم (honeypot) که اين پيش‌نويس در خصوص قانوني و مشروع بودن آن مسکوت است، اما طبق موادي از آن، مي‌توان اين کار را فعل مجرمانه برشمرد.

د. نفوذ اخلاقي که به درخواست يک سازمان از يک تيم/شرکت امنيتي براي نفوذ به سيستم‌ها جهت ارزيابي استحکام اقدامات دفاعي سازمان انجام می‌شود.

7. سکوت در برابر سوءاستفاده از سامانه‌ها براي تهاجم به سامانه‌هاي شخص ثالث
در جرایم رايانه‌اي، امکان سوءاستفاده از سامانه رايانه‌اي يک سازمان براي تهاجم و يا تسهيل تهاجم به سامانه يک سازمان ثالث نيز وجود دارد. در اين ‌صورت آيا سازماني که براي حمله به سازمان ثالث از سامانه‌هاي رايانه‌اي آن سوءاستفاده شده، به‌علت تقصير يا قصور مستحق مجازات است يا خير؟ طبق الگوهاي سرآمدي دنيا، در اين مورد سازماني که از سامانه آن براي تهاجم سوءاستفاده شده، مسؤوليت حفظ امنيت آن را به عهده داشته و حتي در صورت عدم آگاهي نيز، بخشي از مسؤوليت با آن است.

8. لزوم توجه به عدم اختلال در خدمات
عدم ايجاد اختلال در خدمات، اصلي است که همواره بايد در پيگردهاي قانوني جرایم الکترونيکی مدنظر قرار گيرد. در غير اين‌صورت، ممکن است کاري که مهاجم موفق به انجام آن نشده (از کار انداختن ارایه خدمات)، توسط ضابطين قضایي و در جهت اجراي قانون صورت پذيرد. گاهي لطمات اين از کارافتادگي خدمت، مي‌تواند بسيار بيش از اصل تهاجم براي سازمان قرباني خسارت به بار بياورد.

9. همگن نبودن مواد مختلف در تعيين مصاديق
در تعريف مصاديق جرم، اين پيش‌نويس در برخي مواد آنچنان پيش‌رفته که سعي کرده کوچک‌ترين جزیيات را براي تعريف مصداق فعل مجرمانه برشمارد (نمونه: مواد فصل چهارم) و در مواردي نيز به ‌کلي تعيين مصاديق را به آيين‌نامه‌هايي که جزء يک نام از آن‌ها وجود ندارد موکول کرده است.

يکي از مواردي که در صورت رعايت بندهاي 1 و 2 اين مکتوب عايد قانونگذار مي‌شود، همگن بودن مواد مختلف از جهات مختلف است که در عمل، اجراي قانون را به‌ميزان قابل توجهي تسهيل مي‌کند.

10. آيين‌نامه‌هاي مبهم
آيين‌نامه‌هاي متعددي که اين قانون به آن‌ها ارجاع دارد و هيچ ‌يک حتي در حد پيش‌نويس هم آماده نشده‌اند، بسيار حياتي هستند و به همين دليل لازم است پيشنهاددهندگان محترم حداقل محورهاي اصلي اين آيين‌نامه‌ها و نيز حيطه، شمول و کليات بندهاي آن‌ها را نيز پيشنهاد دهند.

11. برخي نکات موردي
نکاتي نيز در خصوص جامع و مانع بودن اين پيش‌نويس وجود دارد که چند نمونه از آن در پی آمده است:

الف. مواد 1 و 2 با بند اول ماده 3 همپوشاني قابل توجهي دارند.

ب. ماده 5: «چنانچه ماموران دولتي که... به آن‌ها آموزش لازم داده شده ...». اگر سازماني مورد تهاجم قرار گرفت که متوليان امنيت آن، اصولا آموزش‌هاي لازم امنيتي را نديده باشند، تکليف چيست؟ آيا صرف اينکه از نظر فني ناآگاه بوده‌اند، دليل موجهي براي پوشش سهل‌انگاري انجام شده در تدبير اقدامات دفاعي است که متن پيشنهادي قانون در قبال آن مسکوت است؟

ج. ماده 7: ممکن است کسي بتواند از کارت‌ها يا تراشه‌هاي مجعول استفاده صحيح کند؛ بنابراين عموميت کلمه «استفاده» در اين بند، مي‌تواند اين بند قانون را در عمل و هنگام تفسير، با مشکلاتي مواجه سازد.

نتيجه‌گيري
به‌نظر مي‌رسد با عنايت به موارد فوق، لزوم بازنگري در لايحه پيشنهادي بيش از پيش آشکار شده باشد. اميد است مسؤولان و تصميم‌گيرندگان و کليه افرادي که به هر نحو در تصويب اين قانون موثر هستند، براي تصويب يک قانون جامع و قابل اجرا در خصوص جرایم رايانه‌اي، نکات کارشناسي ذکر شده را مدنظر داشته باشند.

نظرات خوانندگان
ارسال نظرات




(you may use HTML tags for style)
ایران
جهان
وبلاگ



 
نرم افزار
تجارت الکترونیکی
دولت الکترونیکی
بانکداری الکترونیکی
آموزش الکترونیکی
تکفا
امنیت
اینترنت
مخابرات
جامعه اطلاعاتی
رویدادها
قوانین و مقررات
 

نقل مطالب سایت باذکر منبع مجاز است