قانون الامن السيبراني والخلط الحاصل في المفاهيم والتنظيم

تشرفت في العام 2001 بوضع مؤلفنا الاول (cyber Law) ضمن موسوعة القانون وتكنولوجيا المعلومات، وتشرفت اكثر اذ تحصلنا عنه على تقدير دولي بوصفه يتضمن نظرية قانون تكنولوجيا المعلومات العامة وبيان اقسام القانون (الخصوصية الرقمية، الجرائم الالكترونية موضوعيا واجرائيا، المعاملات والتجارة الالكترونية، الملكية الفكرية للمصنفات الرقمية، الاتصالات وتكنولوجيا المعلومات)، ورافق اصدار هذا المؤلف مجموعة المؤلفات في فروع القانون السيبراني والتي تشرفت بالحصول على الجائزة الدولية لافضل كتاب عن كتاب جرائم الكمبيوتر والانترنت واعقب ذلك ان بدأنا مع منظمة الامم المتحدة ولجنة الاسكوا لدول غرب اسيا مشروع التشريعات السيبرانية الذي تشرفت بالعمل معه من العام 2005 بصفة خبير الامم المتحدة بالتشريعات السيبرانية لدول غرب اسيا والذي قدم خدمات لعدة دول عربية في حقل وضع القوانين السيبرانية، لماذا هذه المقدمة التي قد تبدو خاصة تماما في امر لا نحبه ولا نحبذه ؟؟

هي - وبالتاكيد دون اي سعي لامتداح ذواتنا او لبيان الانجاز الفردي - لنقول ان من ابشع الحقائق ان نعيش خللا في الانجاز لمجرد الاصرار على صناعة الذات وتوريمها واستبعاد ذوي الاختصاص.

قانون الامن السيبراني الذي اقر مجلس النواب مشروعه امس الثلاثين من تموز، يقابل انظمة وتشريعات مراكز ومجالس السلامة المعلوماتية في تونس وسلطنة عمان وماليزيا وغيرهما.

التندر على مفهوم الامن السيبراني من المتخصصين قبل العامة مصدره ان المشرع طالعنا بهذا التشريع ولم يكن على مدى ٢٠ عاما منذ بداية استخدام الاصطلاح دوليا قد ذكره او تعرض له رغم سن قانون المعاملات الكترونية في العام ٢٠٠١ كقانون مؤقت والذي اصبح دائما في العام ٢٠١٥ ، ورغم سن قانون الجرائم الالكترونية منذ العام ٢٠١٠ كقانون مؤقت تحت اسم قانون جرائم انظمة المعلومات والذي اصبح دائما تحت اسم قانون الجرائم الالكترونية في العام ٢٠١٥ . الان ينشأ بموجب هذا القانون مجلس للامن السيبراني ومركز للامن السيبراني ويظهر من مبناه انه مجلس معتمد على الاجهزة الامنية والعسكرية بشكل رئيس.

***

وفق مشروع القانون الذي اقر من مجلس النواب ، ينشا في المملكة مجلس وطني للامن السيبراني لاقرار الاستراتيجيات ، وينشا مركز وطني للامن السيبراني لاعداد مشاريع الخطط والاستراتيجيات وتنفيذ التوجهات والاجراءات التي تكفل حماية انظمة المعلومات والشبكات والبنى التحتية واتخاذ الترتيبات ذات الصلة بالفضاء السيبراني ولمنع حدوث اختراقات او هجمات على نظم وشبكات المعلومات.

ويسال سائل: لماذا هذا القانون؟ وما علاقته بقانون الجرائم الالكترونية؟

هذا القانون مطلوب وضروري ولكن اطلاق هذه التسمية عليه اطلاق اسم عريض على امر جزئي او ضيق، ولم يكلف اي من النواب نفسه للرجوع الى مختص او قراءة التجارب المشابهة ليعرف ان القانون ليس للامن السيبراني ولا لامن المعلومات انما هو فقط لانشاء مجلس ومركز للاستجابة والتحوط من الحوادث التقنية الخطرة التي قد تهدد الوطن في انظمته وشبكاته وبناه التحتية.

ولتوضيح الامر، فان مدخل قنوات المعلومات والاتصالات من والى المملكة يمر بمحطة معينة (محطة هاشم)، يمكن عبرها (ومن خلال ربط الاجهزة والمؤسسات والشركات المعنية) مراقبة تدفق المعلومات والاتصالات الرقمية منها، فاذا شوهد او علم او ادرك وجود هجمة فايروس خبيث مثلا يستهدف انظمة معلومات عامة او خاصة في الوطن يجري التصدي لها واتخاذ تدابير حماية انظمة المعلومات منها، وقد تكون الهجمة متخذة تدبيرا معينا يستهدف شبكات الصرف الالي للبنوك فيكون الاحتياط واجراء الحماية خاصة بذلك، وقد يمتد خطر الحادث الالكتروني (السيبراني) الى تعطيل اشارات المرور او كميرات المراقبة لشبكة السيطرة الامنية فيكون التدبير ايجاد نظم بديلة لتحل محل الانظمة والتطبيقات المعطلة وهكذا ..

***

اذن مجلس الامن السيبراني اريد منه ان يشرع ويرسم السياسات والاستراتيجيات لفريق السلامة المعلوماتية الذي هو بمثابة (مركز) الامن السيبراني المنشا في القانون.

ليس لهذا التشريع ووظيفته اي تعارض مع قانون الجرائم الالكترونية وانما يكمله لانه يتعلق بتدابير تحمي انظمة المعلومات والشبكات، ولكن يحميها من سلوكيات منظمة او جريمة تستهدف البيئة الرقمية بمجموعها وليس فعلا جرميا على نظام بعينه. ثم انه تشريع سلوكيات التحوط والتحرك لمنع الهجمات قبل حصولها او لايجاد تدابير تخفيف من اثارها وليس التعامل مع جرائم ارتكبت تلاحق سندا لقانون الجرائم الالكترونية.

في تجاربها، عملت الدول منذ نحو عشرين سنة سبقت في بناء وتعزيز فرق التصدي للهجمات؛ والاهم نظمت ارتباط البنوك والمؤسسات والهيئات وجهات البنى التحتية الصحية والتنظيمية وغيرها مع مراكز المراقبة المعلوماتية ونظمت الابلاغ عن الحوادث وتحليلها وكانت خير جهة للتصدي لانشطة الحرب الالكترونية.

نحتاج هكذا مجلس ومركز لكن لم يكن مقبولا ان يصور الامر وكانه كل تكنولوجيا المعلومات ويجري الخلط بينه كتدبير يعالج جزئية في التنظيم التشريعي للبيئة الرقمية لا اكثر وبين باقي التدابير كقانون الجرائم الالكترونية وقانون المعاملات الالكترونية والاتصالات، والتشريعات التي لم نضعها للان كقانون الخصوصية وغيرها.

بقي ان نشير الى سلوك حسن ومحمود في المشروع مدار البحث وهو انه اعتمد تعريفات للاصطلاحات التقنية كالبيانات والمعلومات وانظمة المعلومات والشبكات المعلوماتية وغيرها بنفس ما عرفها في قانون الجرائم الكترونية ودون تعارض مع تعريفات قانون المعاملات الالكترونية والاتصالات.