“كتبت كارين عبد النور في نداء الوطن
لايختلف اثنان على أن اللبنانيين وصلوا إلى مرحلة من الميل شبه المطلق لعدم تكذيب أي شيء. فما بالكم إن كان الأمر يمسّ بأمنهم وأمانهم وسيرورة حياتهم اليومية؟ هم لا يلامون على ذلك لأن الشواهد كثيرة. أما إلى أي قدر يتحمّل اللبناني مسؤولية ما وصل إليه، فبحث آخر. لكن يبقى له الحق في التساؤل عن واقع أمنه وأمانه الواقعيين والافتراضيين. وIMPACT، كنموذج غير مسبوق لمنصة رقابية للحوكمة، تعود اليوم من بوابة الأمن السيبراني وخرق وتسريب الداتا إلى الواجهة.
أنشئت المنصة في المقام الأول لضبط ومراقبة أعمال البلديات في أزمة كورونا ولاحقاً لمراقبة إدارة برنامج التلقيح والبطاقة التمويلية، لكنها تحوّلت في خلال الأيام الماضية منصة للإتّهامات والردود حيال “بيع” رئيس التفتيش المركزي، القاضي جورج عطية، داتا اللبنانيين من خلالها إلى مؤسسة بريطانية غير حكومية “سايرن اسوشيتس” مكلّفة من قِبَل السفارة البريطانية في بيروت لتنفيذ المشروع. طبعاً جاء النفي من عطية والسفارة البريطانية سريعاً. وذلك مفهوم، في الشكل على الأقل. البعض يتحدّث عن دوافع سياسية ما كامنة خلف إعادة تسليط الضوء على المنصة. والبعض الآخر يلفت إلى التوقيت. لكن بعيداً عن هذا وذاك، هل داتا المنصة، من المنظار التقني البحت، بأمان؟ وهذا الأهم.
رقابي أم تنفيذي؟
نحمل السؤال إلى مصدر مقرّب من رئاسة التفتيش المركزي الذي أوضح لـ”نداء الوطن” بداية أن القانون رقم 230 الصادر عن مجلس النواب بتاريخ 16/07/2021 حدّد لجنة وزارية مؤلّفة من رئيس مجلس الوزراء وكل من وزراء المالية والشؤون الاجتماعية والاقتصاد والتجارة، مهمّتها وضع آلية التسجيل للبطاقة التمويلية ومعاييرها. وقد صدر عن اللجنة المذكورة القرار رقم 5/قـ.م بتاريخ 30/09/2021 حيث أقرّت المادة الثانية عشرة منه اعتماد المنصة الرقابية IMPACT بإدارة التفتيش المركزي وتحت مراقبته وإشرافه. وتزامن ذلك مع تكليف شركة متخصّصة بإنشاء بوّابة إلكترونية عليها خاصة بالبطاقة التمويلية، على أن توضع الأجهزة والخوادم الرئيسية (Servers) لدى هيئة أوجيرو، وتكون، إضافة إلى البيانات، مشفّرة وفق معايير أمان عالية تضمن حماية المعلومات المتعلقة بها.
وأضاف المصدر عينه أن العقد مع الشركة البريطانية وُقّع من قِبَل رئيس مجلس الوزراء، وأن المادة الخامسة عشرة من القرار رقم 5 المشار إليه أعلاه تنص على أن ملكية المعلومات تعود للدولة اللبنانية ممثّلة بمجلس الوزراء، أي أن الأخير هو من يملك الداتا وليس التفتيش المركزي. “يُمنع الوصول المباشر إلى قاعدة البيانات الإسمية بأي شكل من الأشكال وتحت أي ظرف من الظروف باستثناء تلك المنصوص عليها في قواعد الخصوصية التي تعتمدها اللجنة الوزارية”. ووفقاً للمادة السادسة عشرة، فقد تحدّدت مهام التفتيش المركزي بالإشراف والرقابة على الشركة المتخصصة والتأكد من القيام بدورها وفق المعايير التي طلبتها اللجنة؛ القيام بالرقابة اللازمة على عمل الإدارات؛ إجراء الإشراف الرقابي الكامل؛ نشر التقارير التفصيلية؛ مراقبة حسن حفظ ملكية البرنامج بالنيابة عن الحكومة اللبنانية ومراقبة إدارة تنفيذ الآليات. وتساءل المصدر: “بعد كل ما تقدّم، أين يكون الدور التنفيذي للتفتيش المركزي؟ إنه دور رقابي بامتياز في حين أن رئاسة مجلس الوزراء ووزير الشؤون الاجتماعية هما المكلّفان بالدور التنفيذي”. فكيف يُترجَم ذلك تقنياً؟
لِمَ IMPACT؟
المصدر أجاب معرباً عن قناعة بأن ليس هناك أي نظام آخر معتمداً في لبنان ومحكوماً بهذه الدرجة العالية من قواعد الحوكمة ومعايير ضبط الأمان السيبراني. فبهدف السيطرة على البيانات التي يتم جمعها عبر المنصة، تمّ استخدام عدة تقنيات لضمان عدم خرقها أو تسريبها من قِبَل أي جهة كانت (خارجية أو داخلية)، آخذين بالاعتبار الحفاظ على الخصوصية وحماية البيانات كما هو معتمد عالمياً. فإضافة إلى نظام جدار الحماية (Firewall) ونظام إدارة الوصول المتميّز (PAM System) الذي يسجّل كافة عمليات الدخول والخروج وكل حركة تجري على المنصة، هناك ما يُعرف بالـSplit Password وهي كلمة سر موزّعة بين عدة أطراف ما يجعل عملية الدخول مستحيلة من قِبَل طرف واحد. وقد أشاد البنك الدولي بعمل التفتيش المركزي بعد أن قام بإرسال خبرائه للمراقبة والتقييم، كما ذكّر المصدر. أما عن التعاون مع الجهات الأمنية، فأشار إلى اللجان الأمنية التي شُكّلت منذ شباط 2021 والمؤلّفة من الأجهزة الأمنية كافة، وقد تم التعاون معها من قِبَل التفتيش المركزي من خلال تقديم كل المستندات المطلوبة، مؤكّداً إصرار التفتيش على التكامل المؤسساتي كون الأجهزة الأمنية هي المخوّلة حماية أي مؤسسة من أي هجوم خارجي.
“إن كان التخوّف اليوم هو من تسريب بيانات العائلات المتواضعة الحال، فماذا عن بيانات باقي الوزارات كالمالية التي تظهر فيها الضرائب المدفوعة مثلاً، أو الصحة التي تكشف التفاصيل الصحية للمواطن أو أرقام السيارات التي تكشف أصحابها بالأسماء وأرقام هواتفهم وغيرها؟ وكم تبلغ نسبة الداتا التي يتكلّمون عنها مقارنة مع داتا باقي الوزارات؟”. تساؤل آخر أرفقه المصدر بالقول إن هناك تخوّفاً من تحقيق المكننة خلافاً للأصول، لأن المكننة من دون رقابة وأي تحوّل رقمي من دون حوكمة يزيدان من الفساد ويغطّيانه. ختاماً ردّ المصدر بأن التفتيش المركزي لم يبتعد عن دوره الرقابي لينغمس في عملية التحوّل الرقمي إذ أن الرقابة الرقمية تمكّن المفتّش من الوصول إلى الحقائق لاستصدار التقارير اللازمة وإنجاز التحقيقات الهادفة. “لنتذكّر أن الهدف ليس معاقبة الموظف فقط إنما تحسين أساليب العمل للحد من نسبة الخطأ، أي منع الخطأ قبل حصوله”. لكن، مع ذلك، نريد أن نعرف أكثر عن البعد السيبراني للمسألة.
معايير الأمان مفقودة
المستشار والخبير في التحوّل الرقمي وأمن المعلومات، رولان أبي نجم، أراد التأكيد بداية خلال اتصال مع “نداء الوطن” أن جميع المنصات في لبنان تفتقد إلى أبسط معايير الأمان وسرية المعلومات كما أبسط المعايير العالمية المتعلقة بخصوصية البيانات. لكن ماذا عن منصة IMPACT تحديداً؟ الإشكاليات التي ترافقت مع إطلاق المنصة مردّها إلى عوامل عدّة، بحسب أبي نجم. عند الانطلاق كانت خوادمها خارج لبنان ما يشكّل خطراً على خرق البيانات، فعادت ونُقلت إلى لبنان (أوجيرو). “غير أن أوجيرو ليست شخصاً معنوياً، بل هي شركة والكل يعلم من يديرها ومن هي المرجعيات الحزبية المسيطرة على الاتصالات وأمن المعلومات فيها”. وإذ تساءل أبي نجم عن سبب توجيه الاتهامات في اتجاهات أخرى، لم يستبعد احتمال تسريب بعض البيانات لجهات حزبية معيّنة، مضيفاً أن ما حصل على صعيد داتا الاغتراب أثناء الانتخابات النيابية الأخيرة يجعل السؤال مشروعاً. فالبيانات التي كانت تُسجَّل على منصة وزارة الخارجية تحوّلت بكاملها إلى ماكينة أحد التيارات السياسية الذي جاهرت قيادته علناً خلال إحدى جلسات مجلس الوزراء بأن البيانات عامة و”إذا بدكن منعطيكن إياها”. للأسف، هكذا يتم التعاطي مع بيانات الشعب اللبناني باستخفاف لا مثيل له. فأين هي السرية؟
الإشكالية الثانية تتمثّل في تكليف شركة خاصة مموّلة من الحكومة البريطانية العمل على المنصة. وبطبيعة الحال من شأن الشركة تلك أن تملك حق الاطلاع على المعلومات لأنها الجهة المسؤولة عن معالجة المشاكل الحاصلة والتطوير والمتابعة والتحديث. فهي، والحال كذلك، قادرة على الوصول إلى البيانات بسهولة، رغم أن المصدر المقرّب من التفتيش المركزي سبق وأكد أن نظام الأمان في المنصة يحول دون إمكانية التفرّد في الدخول إلى البيانات من أي جهة كانت. أبي نجم جزم بأن ما تقدّم يحصل على مستوى كافة المنصات، بيد أنه استغرب الهجوم على منصة IMPACT بالذات. فهي بالرغم من التحفّظات والثغرات المذكورة، تبقى الأفضل بين مثيلاتها. إذاً، هل هي أسباب سياسية، معلومة كانت أو مجهولة، في خلفية الأمر؟
القانون يحميها
نستمع إلى الخبير بالجرائم والقوانين المعلوماتية، المحامي شربل شبير، الذي شرح لـ”نداء الوطن” تفاصيل ما حصل من الناحيتين العلمية والقانونية. أوّلاً، اعتبر من حيث الشكل أن هناك أسباباً موجبة للقانون أو لاتخاذ أي قرار. والأسباب الموجبة لمنصة IMPACT هي الحاجة الملحة لتسيير أمور اللبنانيين الذين كانوا تحت رحمة الحجر المنزلي خلال جائحة كورونا. فجاءت المنصة لتسهيل كل ما يتعلّق بالتدابير ذات الصلة ولاحقاً اللقاح وصولاً إلى البطاقة التمويلية. وأردف شبير: “تُعتبر البطاقة التمويلية الأهم هنا كون بياناتها هي الأكثر حساسية وبالتالي تتطلّب حمايتها معايير أدقّ وأشمل من الناحيتين القانونية والعلمية. لكن لا بدّ، من وجهة نظره، أن تُعطى هذه المنصة حقّها. فقد اعتُمد فيها القانون رقم 81/2018 والذي يتضمن حماية البيانات ذات الطابع الشخصي وخصوصية الداتا. وقد أشير داخل المنصة إلى سياسة الخصوصية تلك كما إلى شروط الاستخدام. وهنا تأتي مسؤولية المستخدم في قبول شروط الاستخدام مع عدم إغفال أن قراءة الشروط من عدمها يرتبط بالمستوى الثقافي – المعلوماتي للمستخدم”.
جيّد، لكن لِنَعُد إلى سؤالنا حول من يملك معلومات المنصة. يجيب شبير جازماً بأنها الدولة اللبنانية، بحسب القرار رقم 5، ممثّلة بمجلس الوزراء. فماذا عن قدرة رئيس التفتيش المركزي على التمتّع بهذه الصلاحية؟ الردّ جاء نفياً قاطعاً كون ذلك من صلاحيات اللجنة الوزارية. لا بل أكثر. فموضوع حماية البيانات يجري بناء على المادة 12 من القرار رقم 5 وفق المعايير والتوصيات المعتمدة أوروبياً EU – GDPR، ما يؤكّد أن ثمة مستوى عالياً من الحماية. أما بالنسبة للشق التقني، فقد عيّنت اللجنة الوزارية شركة خاصة ذات خبرة عالمية لحماية النظام والبيانات كما تمّ وضع استراتيجية متكاملة في حال حصول أي خرق. “كل الأطراف الذين لهم حق الاطلاع على البيانات والمعلومات قاموا بتوقيع اتفاقية عدم إفصاح (NDA AGREEMENT)، وبالتالي العملية بأكملها محمية من الناحية القانونية”، كما يقول شبير.
على أي حال، يجمع الخبراء أن خطر خرق نظم المعلوماتية قائم دائماً. حتى الأنظمة الأكثر تطوراً والتزاماً بمعايير الأمان ليست بمنأى تام عنه. لكنهم ينوّهون أيضاً بأن اتخاذ كافة الاحتياطات القانونية والتقنية للحد من احتمالات الخرق تلك هو الفيصل. وهذه هي حال منصة IMPACT التي – للمفارقة – يبقى الخوف ليس فقط من خرق أمانها خارجياً إنما من ممارسة الضغوط والترهيب لخرقها داخلياً.