ITanalyze

در مقوله امنیت رایانه ای و فناوری اطلاعات نیز - ‏مانند سایر زمینه ها - سیاستهای دولت نقش بسیار مهمی ‏ایفا می‌کند. با اینحال در این مورد باید با احتیاط ‏اظهار نظر کرد، چراکه یک چارچوب عمومی قوانین هرچند ‏می تواند امنیت رایانه ای را تقویت کند؛ اما اشکالاتی ‏که در اثر مقررات نادرست دولتی بوجود می آید بیش از ‏مزایای چنین مقرراتی است. فناوری بسرعت درحال تغییر ‏است و تهدیدات جدید با چنان سرعتی انتشار می‌یابند که ‏مقررات دولتی براحتی می توانند تبدیل به موانعی برای ‏ارائه سریع پاسخهای مبتکرانه شوند. بنابراین بهترین ‏راه این است که میان معیارهای تقنینی و غیر تقنینی یک ‏نقطة تعادل پیدا کنیم.‏

برای دستیابی به چنین تعادلی، سیاستگذاران باید به ‏برخی ویژگیهای ذاتی و منحصر به فرد رایانه توجه ‏کنند. در مقایسه با فناوریهای اطلاعات و ارتباطات ‏پیشین، فضای سایبر ‏ یک فضای غیر متمرکز است. بخشی از ‏قدرت اینترنت ناشی از این حقیقت است که فاقد مرزبان ‏می‌باشد و بیشتر کارایی آن در مرزهای شبکه است تا در ‏مرکز آن. سیاستهای امنیت سایبر دولت باید این ‏ویژگیها را مد نظر قرار دهند.‏

دولتها معمولاً سیستم رایانه‌ای خاص خود را دارند؛ از ‏جمله رایانه‌هایی که برای امنیت ملی، خدمات اضطراری، ‏بهداشت و سایر عملکردهای ضروری مورد استفاده قرار ‏می‌گیرند، اما بسیاری از سیستمهای رایانه‌ای سازمانهای ‏دولتی وابسته به همان نرم‌افزارها و سخت‌افزارهایی ‏هستند که توسط شرکتهای خصوصی طراحی و ساخته شده‌اند ‏و لذا مسئله امنیت در آنها یکی از مسائل قابل توجه ‏است. بنا بر این مسئولیت امنیت این سیستمها میان ‏دولت و بخش خصوصی تقسیم شده است، و همچنین مشخص شده که ‏دولت باید برای مجازات و پیشگیری از انجام حملات به ‏سیستمهای بخش خصوصی، مثل سیستمهای دولتی از قدرت ‏قوانین حقوق و جزا کمک بگیرد.‏

ایجاد یک محیط قابل اطمینان در فضای سایبر نیازمند ‏تطبیق قوانین و سیاستهای دولتی سایر زمینه‌ها بر حوزة ‏امنیت سایبر است. این زمینه‌ها شامل حمایت از ‏مصرف‌کننده ، خصوصی ماندن داده‌ها و ارتباطات ، حقوق ‏مالکیت معنوی ‏ و چارچوب تجارت الکترونیکی ‏ می‌باشد. در ‏دنیای بدون اینترنت، قانون برای معاملات تجاری و ‏مصرف‌کنندگان حمایتهایی ایجاد می‌کند. قسمت اعظم این ‏قوانین در حوزة فضای سایبر نیز قابل اعمال هستند، اما ‏کشورهایی که بدنبال گسترش فناوری اطلاعات و ارتباطات ‏‏(‏ICT‏) هستند باید این مسئله را بررسی کنند که آیا در ‏قوانین آنها خلأیی وجود دارد که مانع ایجاد اعتماد لازم ‏برای افزایش امنیت فضای سایبر شود یا خیر. در حقیقت ‏کشورهایی که علاقه مند به گسترش تجارت الکترونیکی هستند ‏ممکن است دریابند که قوانین آنها در مورد خدمات مالی، ‏مالکیت سایبر و حمایت از مصرف‌کننده از اعتماد یا ‏پشتیبانی لازم برای تعاملات خارج از دنیای اینترنت ‏برخوردار نیست. اصلاح قوانین دنیای سایبر ممکن است ‏بعنوان بخشی از اصلاحات روی قوانین کلی تر انجام شود...‏

با اندکی تلخیص و تصرف، برگرفته از کتاب مرجع ‏‏"راهنمای امنیت فناوری اطلاعات"، انتشارات شورای ‏عالی اطلاع رسانی، از تألیفات بانک جهانی برای ‏کشورهای عضو که در اجلاس اول ‏WSIS‏ توزیع شده است.‏
بنظر می رسد در تهیه لایحه جرائم رایانه ای، موارد ‏متعددی که باعث جامعیت و قابل اجرا بودن یک قانون ‏است لحاظ نشده که باعث می شود لایحه مزبور درصورت ‏تصویب، نتواند در پیشگیری و مجازات عوامل حقیقی آزار ‏و اذیت های رایانه ای چندان مؤثر باشد.‏

ذیلاً فهرست عناوینی که در ادامه این مکتوب درخصوص ‏پیش نویس تهیه شده، مورد اشاره قرار گرفته اند:‏

‏1.‏ فقدان تعریف مشخص از حیطه و شمول قانون

‏2.‏ عدم دسته بندی افعال مجرمانه و تفکیک آنها از ‏مجازاتها

‏3.‏ عدم تناسب مجازات با معیارهای معقول تعیین کننده ‏حدود مجازات

‏4.‏ بی توجهی به عوامل تأثیرگذار در شدت تقصیر/قصور ‏متولیان امنیت

‏5.‏ عدم اشاره به برخی از مهمترین عناوین آزار و ‏اذیت رایانه ای بعنوان مصادیق جرم

‏6.‏ مشکلات قانونی پیگرد الکترونیکی؛ درصورت تصویب ‏این پیش نویس

‏7.‏ سکوت در برابر سوء استفاده از سامانه ها برای ‏تهاجم به سامانه های شخص ثالث

‏8.‏ لزوم توجه به عدم اختلال در خدمات

‏9.‏ همگن نبودن مواد مختلف در تعیین مصادیق

‏10.‏ آیین نامه های مبهم

‏11.‏ برخی نکات موردی

‏1.‏ فقدان تعریف مشخص از حیطه و شمول قانون

بطور کلی طبق الگوهای سرآمدی امنیت، برای تدوین ‏قانون در حیطه هایی که کاربرد فناوری

رایانه ای باعث ناکارآمد شدن سیستم قانونی مورد ‏استفاده می شود، یک تقسیم بندی عمده برای جرائم ‏رایانه ای درنظر گرفته می شود که عبارت است از:‏

a‏.‏ جرائمی که بوسیله رایانه تسهیل می شوند؛ و

b‏.‏ جرائمی که توسعه و کاربرد فناوری رایانه ای ‏و شبکه باعث خلق مفاهیم جدید و بوجود آمدن ‏آنها شده است.‏

بنابراین، برای تدوین نظام جامع و مانع قانونی ‏بمنظور افزایش اعتماد در فضای رایانه ای، هم باید ‏قوانین مختص این فضا را بوجود آورد، و هم باید ‏قوانین جزائی که از قبل وجود داشته را بگونه ای ‏اصلاح کرد که جرائم تسهیل شده بوسیله رایانه را ‏نیز در بر بگیرد. لذا نباید در قانون جرائم ‏رایانه ای بدنبال جمع آوری تمام اقدامات مجرمانه در ‏هر زمینه ای بود و باید قسمتی از آنرا به اصلاح ‏قوانین دیگر واگذارد. در هرصورت، بنظر می رسد لازم ‏باشد که در مقدمه متن پیشنهادی، حیطه قانون و ‏شمول آن (و درصورت صلاحدید، حتی مواردی که این قانون به ‏آنها مربوط نمی شود نیز) بوضوح مورد اشاره قرار ‏گیرند. مثلاً بنظر می رسد ماده 25 از جنس قانون ‏دیگری برای الزامات نگهداری داده ها است؛ که ‏باید شامل موارد دیگری (نظیر مسئولیت تهیه صحیح نسخه ‏پشتیبان و ...، و همچنین مجازاتهای عدم عملکرد صحیح درخصوص ‏موارد ذکر شده) نیز بشود.‏

بدلیل عدم رعایت اصل فوق، در موادی از این پیش ‏نویس تداخلهایی با سایر قوانین مانند حقوق ‏شهروندی و قانون مدنی وجود دارد؛ مانند مواردی ‏که در فصل چهارم و فصل پنجم بازتعریف شده، ‏درحالیکه طبق قوانین حال حاضر نیز کلیه این ‏موارد از افعال مجرمانه محسوب می شوند و تنها از ‏طریق رایانه، کیفیت انجام آنها متفاوت است.‏

‏2.‏ عدم دسته بندی افعال مجرمانه و تفکیک آنها از ‏مجازاتها

طبق الگوهای سرآمدی، بدلیل ماهیت پیچیده و کثرت ‏افعال مجرمانه در فناوریهای نوین مانند فناوری ‏اطلاعات و ارتباطات، برای روشن بودن چارچوب و ‏ساده تر شدن اجرای قانون، معمولاً ابتدا در یک فصل ‏مصادیق افعال مجرمانه دسته بندی و تشریح می شوند؛ ‏و سپس مجازاتهای مربوطه در فصل بعد آن متناظر با ‏دسته بندی انجام شده و سایر عوامل تعیین کننده میزان ‏مجازات (که در بند چهارم همین مکتوب مورد اشاره قرار ‏گرفته اند) تعیین می گردند.‏

این دسته بندی علاوه بر ساده کردن کار تطبیق فعل ‏انجام شده با مصادیق افعال مجرمانه (خصوصاً در ‏مواردیکه فعل انجام شده با بیش از یک مصداق تطابق دارد)، ‏کار اصلاح قانون متناسب با پیشرفت و تغییر کاربرد ‏فناوری را نیز تسهیل می کند.‏

‏3.‏ عدم تناسب مجازات با معیارهای معقول تعیین کننده ‏حدود مجازات

مواردی چون قصد و نیت فرد مهاجم، آگاهی قبلی ‏برای تخریب، سطح حساسیت سامانه هدف، میزان تقصیر ‏یا قصور متولیان حفاظت از سامانه میانی (توضیحات ‏بیشتر در این مورد در بند ششم همین مکتوب آمده است)، ‏میزان تقصیر یا قصور متولیان حفاظت از سامانه ‏هدف، میزان خرابیهای مستقیم به بار آمده، و ‏همچنین میزان آسیبها و ضررهایی که در مراحل بعد ‏به قربانی/قربانیان فعل مجرمانه وارد می شود (که ‏گاهی اشخاص ثالث حقیقی و حقوقی را هم در بر می گیرد)، ‏همه از مواردی هستند که عرفاً مسئولیت آنها بر ‏عهده مجرم و معاونین او است و لذا در تعیین مجازات، ‏توجه صرف به عنوان مصداق تشخیص داده شده از فعل ‏مجرمانه کافی نیست و باید این موارد نیز در نظر ‏گرفته شوند. این مورد نیز در قوانین کشورهای ‏توسعه یافته که به اقتضای کاربرد فناوری پیش از ‏کشورهای درحال توسعه، زودتر به ضرورت وجود ‏قوانین اینچنینی پی برده اند به چشم می خورد.‏

‏4.‏ بی توجهی به عوامل تأثیرگذار در شدت تقصیر/قصور ‏متولیان امنیت

زمانیکه یک تهاجم موفقیت آمیز (با هر درجه ای از ‏موفقیت) صورت می گیرد، همه مسئولیت خرابیهای به بار ‏آمده بر گردن مهاجم نیست، بلکه مسئولان، ‏سیاستگذاران، و مدیران سامانه هدف نیز در آن ‏شریکند؛ چراکه معمولاً با عدم تدبیر به موقعِ ‏اقدامات لازم برای جلوگیری از نفوذ، راه را برای ‏تهاجم آسان باز گذاشته اند. اما میزان این شراکت ‏بسته به عوامل مختلف (از جمله میزان پیچیدگی روش مورد ‏استفاده برای نفوذ، میزان استحکام تدابیر امنیتی سامانه ‏هدف، و ...) متغیر است.‏

هرچند در ماده 5 پیش نویس مورد بحث به این مورد ‏اشاره ضمنی شده است، اما باز هم بدون توجه به ‏نوع حمله، قصد تخریب، میزان خسارتهای وارده، و ‏سایر موارد مؤثر و صرفاً بدلیل "اعطای دسترسی" به ‏مهاجم، مجازات مشخصی برای خاطیان در نظر گرفته ‏شده است؛ درحالیکه اولاً عوامل مؤثر بر مجازات ‏باید به شرح گفته شده باشند، و ثانیاً، ممکن است ‏فرد خاطی از طریقی غیر از "اعطای دسترسی" به انجام ‏حمله توسط مهاجم کمک کرده باشد.‏

‏5.‏ عدم اشاره به برخی از مهمترین عناوین آزار و ‏اذیت رایانه ای بعنوان مصادیق جرم

برخی از این عناوین بعنوان نمونه ذیلاً مورد اشاره ‏و توضیح مختصر قرار گرفته اند:‏

a‏.‏ نرم افزارهای دارای "درب مخفی"‏ ‏: ایجاد تعمدی ‏درب مخفی در نرم افزار توسط نویسنده نرم ‏افزار؛ جمع آوری اطلاعات کاربران بصورت ‏خودکار توسط نرم افزار، و انتشار آزادانه ‏آن روی وب. این نرم افزارها معمولاً در ‏پایگاههای وب با کارکرد دیگر خود (مثلاً یک ‏بازی رایانه ای) معرفی می شوند، اما پس از ‏دریافت و به اجرا در آمدن توسط کاربران، ‏کارکرد مخرب خود را نیز - غالباً بدون اطلاع ‏کاربران - انجام می دهند؛ بنابراین خود ‏کاربر در آسیب وارده مقصر است، اما از طرف ‏دیگر، از چنین کارکردی توسط نرم افزار اطلاع ‏قبلی نداشته است.‏

b‏.‏ کرمهای اینترنتی ؛ که معمولاً برای انتشار خود ‏از اطلاعات یافته شده روی رایانه های قربانی ‏سوء استفاده می کنند و بعنوان مثال، از طرف ‏برخی آدرسهای یافته شده در سامانه قربانی، ‏برای برخی دیگر از آدرسهای همان فهرست، ‏نامه الکترونیکی ارسال می کنند. واضح است که ‏در چنین موردی، مقصر اصلی پدید آورنده ‏اولیه کرم اینترنتی است.‏

c‏.‏ کلاهبرداری اینترنتی ؛ مثلاً طراحی یک صفحه ورود ‏اطلاعات مشابه صفحه ورود اطلاعات سامانه های ‏پرداخت الکترونیکی (مثلاً سامانه هایی از قبیل ‏بانک سامان و بانک پارسیان)، و فریب کاربران ‏برای ورود اطلاعات کارتهای خرید/پرداخت ‏الکترونیکی، و سوء استفاده از اطلاعات جمع ‏آوری شده. در این خصوص، خود کاربر با ‏رضایت کامل اقدام به ورود اطلاعات در ‏پایگاه فرد کلاهبردار کرده، اما ابتدا توسط ‏او فریب خورده است و پس از ورود اطلاعات ‏نیز این کاربر است که قربانی این کلاهبرداری ‏می شود.‏

d‏.‏ ارسال هرزنامه ؛ که عبارت است از ارسال ‏نامه های تبلیغاتی/با مصارف دیگر به ‏فهرستهای بزرگی از آدرسهای پست الکترونیکی، ‏خصوصاً در شرایطی که دریافت کنندگان تمایلی ‏به دریافت آن نامه ها ندارند. این عمل در ‏قوانین کلیة کشورهای پیشرو در صنعت فناوری ‏اطلاعات و ارتباطات از جرائم سنگین محسوب می ‏شود.‏

‏6.‏ مشکلات قانونی پیگرد الکترونیکی؛ درصورت تصویب ‏این پیش نویس

در قسمتهای مختلفی از قانون، مواردی آمده که می ‏تواند کاربردهای مشروع، قانونی، و بعضاً مورد ‏نیاز برای جلوگیری از وقوع جرائم رایانه ای را ‏دچار مشکل کند؛ که در ادامه بطور مختصر به برخی ‏از آنها اشاره شده است:‏

a‏.‏ شنود الکترونیکی؛ که برای نظارت و ارتقای ‏امنیت سامانه های الکترونیکی جزء اولیه ترین ‏نیازها است، اما طبق این پیش نویس، انجام ‏اینکار پس از تصویب این پیش نویس، جرم ‏خواهد بود.‏

b‏.‏ معامله ابزارهای تست ضریب امنیت؛ که می ‏توانند کارکرد دوگانه داشته باشند. این ‏خصوصیت تمام ابزارها و نرم افزارهای امنیت ‏الکترونیکی است که هم می توانند توسط راهبران ‏امنیت و در جهت ارتقای امنیت شبکه و محیط ‏بکار روند، و هم می توانند توسط نفوذگران و ‏در جهت تخریب سیستمها مورد استفاده قرار ‏گیرند.‏

c‏.‏ گستراندن دام برای کسب اطلاعات از روش کار ‏مهاجم (‏honeypot‏)؛ که این پیش نویس درخصوص ‏قانونی و مشروع بودن آن مسکوت است، اما ‏طبق موادی از آن، می توان اینکار را فعل ‏مجرمانه برشمرد.‏

d‏.‏ نفوذ اخلاقی؛ که به درخواست یک سازمان از ‏یک تیم/شرکت امنیتی برای نفوذ به سیستمها ‏جهت ارزیابی استحکام اقدامات دفاعی سازمان

‏7.‏ سکوت در برابر سوء استفاده از سامانه ها برای ‏تهاجم به سامانه های شخص ثالث

در جرائم رایانه ای، امکان سوء استفاده از ‏سامانه رایانه ای یک سازمان برای تهاجم و یا ‏تسهیل تهاجم به سامانه یک سازمان ثالث نیز وجود ‏دارد. در اینصورت آیا سازمانی که برای حمله به ‏سازمان ثالث از سامانه های رایانه ای آن سوء ‏استفاده شده، بعلت تقصیر یا قصور مستحق مجازات ‏است یا خیر؟ طبق الگوهای سرآمدی دنیا، در این ‏مورد سازمانی که از سامانه آن برای تهاجم سوء ‏استفاده شده، مسئولیت حفظ امنیت آنرا به عهده ‏داشته و حتی درصورت عدم آگاهی نیز، بخشی از ‏مسئولیت با آن است.‏

‏8.‏ لزوم توجه به عدم اختلال در خدمات

عدم ایجاد اختلال در خدمات، اصلی است که همواره ‏باید در پیگردهای قانونی جرائم الکترونیک مدنظر ‏قرار گیرد. در غیر اینصورت، ممکن است کاری که ‏مهاجم موفق به انجام آن نشده (از کار انداختن ارائه ‏خدمات)، توسط ضابطین قضائی و در جهت اجرای قانون ‏صورت پذیرد. گاهی لطمات این از کار افتادگی ‏خدمت، می تواند بسیار بیش از اصل تهاجم برای ‏سازمان قربانی خسارت به بار بیاورد.‏

‏9.‏ همگن نبودن مواد مختلف در تعیین مصادیق‏

در تعریف مصادیق جرم، این پیش نویس در برخی مواد ‏آنچنان پیش رفته که سعی کرده کوچکترین جزئیات را ‏برای تعریف مصداق فعل مجرمانه بر شمارد (نمونه: ‏مواد فصل چهارم)، و در مواردی نیز بکلی تعیین ‏مصادیق را به آیین نامه هایی که جز یک نام از آنها ‏وجود ندارد موکول کرده است.‏

یکی از مواردی که درصورت رعایت بندهای 1 و 2 ‏این مکتوب عاید قانونگذار می شود، همگن بودن مواد ‏مختلف از جهات مختلف است که در عمل، اجرای قانون ‏را به میزان قابل توجهی تسهیل

می کند.‏

‏10.‏ آیین نامه های مبهم

آیین نامه های متعددی که این قانون به آنها ارجاع ‏دارد و هیچیک حتی در حد پیش نویس هم آماده نشده ‏اند، بسیار حیاتی هستند و به همین دلیل لازم است ‏پیشنهاد دهندگان محترم حداقل محورهای اصلی این ‏آیین نامه ها و نیز حیطه، شمول، و کلیات بندهای آنها ‏را نیز پیشنهاد دهند.‏

‏11.‏ برخی نکات موردی

نکاتی نیز درخصوص جامع و مانع بودن این پیش نویس ‏وجود دارد، که چند نمونه از آن ذیلاً آمده است:‏

a‏.‏ مواد 1 و 2 با بند اول ماده 3 همپوشانی قابل ‏توجهی دارند.‏

b‏.‏ ماده 5: "چنانچه مأمورین دولتی که ... به ‏آنها آموزش لازم داده شده ... ". اگر ‏سازمانی مورد تهاجم قرار گرفت که متولیان ‏امنیت آن، اصولاً آموزشهای لازم امنیتی را ‏ندیده باشند تکلیف چیست؟ آیا صرف اینکه از ‏نظر فنی ناآگاه بوده اند، دلیل موجهی برای ‏پوشش سهل انگاری انجام شده در تدبیر اقدامات ‏دفاعی است که متن پیشنهادی قانون در قبال ‏آن مسکوت است؟

c‏.‏ ماده 7: ممکن است کسی بتواند از کارتها یا ‏تراشه های مجعول استفاده صحیح کند؛ بنابراین ‏عمومیت کلمه "استفاده" در این بند، می ‏تواند این بند قانون را در عمل و هنگام ‏تفسیر، با مشکلاتی مواجه سازد.‏

نتیجه گیری

بنظر میرسد با عنایت به موارد فوق، لزوم بازنگری در ‏لایحه پیشنهادی بیش از پیش آشکار شده باشد. امید است ‏مسئولان و تصمیم گیرندگان و کلیه افرادی که به هر نحو ‏در تصویب این قانون مؤثر هستند، برای تصویب یک ‏قانون جامع و قابل اجرا درخصوص جرائم رایانه ای، ‏نکات کارشناسی فوق را مدنظر داشته باشند.‏