خصوصيات المواطنين معرّضة للانتهاك في المواقع الإلكترونية الحكومية
«صحافة اليرموك» تكتشف ثغرات في مواقع الحكومة الإلكترونية
خصوصيات المواطنين معرّضة للانتهاك بسبب ضعف الأمان بها
الأردن اليوم – الحاسوب الأمن هو فقط الحاسوب المغلق- غير المتصل بالشبكة- و الموضوع في خزينة تيتانيوم مدفونة في قبو خرساني بقاع البحر، محاط بجنود مدفوع لهم الأجر بسخاء.
شكل دخول الإنترنت إلى الأردن عام (1995)، بعدها البدايات في نهوض و استعدادات الدولة الأردنية لخوض التجارب الأولية في مواكبة التطور التكنولوجي، وفور دخول الانترنت الى الأردن قام مركز المعلومات الوطني بإنشاء بنية تحتية للشبكة.
و في عام (1996) أطلق أول مزود لخدمة الانترنت، وفي عام (1997) بدأ مركز تكنولوجيا المعلومات الوطني بتسجيل أول النطاقات الأردنية – domin.JO – على الانترنت، و من هنا بدأت شركات تزويد الخدمة بالتنافس فيما بينها، ليشهد الأردن ولادة الانترنت في جميع أرجاء مناطقه.
في عام (2001) جاءت فكرة برنامج الحكومة الالكترونية – ك مبادرة من جلالة الملك عبدالله الثاني، والمشاريع التنموية التي تتبناها المملكة لتحقيق التنمية المستدامة والتطوير في جميع جوانب الحياة، وقد كلف وزارة الاتصالات وتكنولوجيا المعلومات بتنفيذه، من خلال تحويل الحكومة التقليدية «الورقية» إلى حكومة «لا ورقية» إلكترونية، و الذي يهدف إلى تحسين الأداء الحكومي من ناحية خدمة تقديم العملاء، وكفاءة الأداء، وتقليل الوقت والتكلفة والجهد و العوامل البشرية، و التخفيف من بعض أوجه الفساد الإداري كالواسطة.
الحكومة الإلكترونية التي تجاوز عمرها العشرين عاما، تبين أن بعض مواقعها معرضة للإختراق، و لا يوجد أنظمة حماية متقدمة لها، و لا سيما أن القانون الوحيد الذي يحمي معلومات الأشخاص داخل هذه المواقع المعرضة للإختراق لا يزال في رحم الدراسة وذلك بعدما أن قام فريق عملنا في البحث و التحري لمدة (4) شهور متواصلة عن مدى حماية المواقع الحكومية الإلكترونية.
و يتم استضافة الموقع في المركز الوطني لتكنولوجيا المعلومات المسؤول عن المواقع الحكومية و الذي يضم الخوادم التي تربط جميع خوادم مواقع الحكومة الإلكترونية على شبكة واحدة، يقول محمد الصرايرة مدير المركز الوطني، «في حال أرادت شركة استلام عطاء مطروح لتصميم موقع حكومي معين، تقوم أولا باستكمال الإجراءات و بعدها نقوم بتحويله الى المركز، لنشره تجريبيا، و إجراء فحص أمني لاكتشاف ما إذ كان مصاب بثغرات او مشاكل أخرى في التصميم مثلا، وإذا لم نجد نقوم بنشره، و أذا وجدنا أي خطأ نقوم برفض نشر الموقع لحين استكمال الإجراءات.»
يقول الخبير في أمن المعلومات احمد خليفات أن الاستضافة هي عبارة عن تحويل نطاق الموقع الى (ip) معين باسم نطاق (domin.jo)، مثلا (gov.jo).
و حسب تقرير مركز راصد، وهوبرنامج المسائلة والمشاركة والحكم المحلي في مركز الحياة لتنمية المجتمع المدني،تبين أن عدد المواقع الحكومية الأردنية لغاية عام (2018) بلغ (33) موقعا، و (168) خدمة.
الخدمات الإلكترونية: إصدار بطاقة أحوال، عدم محكومية، جواز سفر، دفع مخالفات…الخ
تعتبر الدوائر أيضا من المواقع الحكومية الإلكترونية المنشأة وأهمها أمانة عمان الكبرى.
الحكومة الإلكترونية «اللاورقية»، بعيدا عن عناء المواطن في الذهاب الى الدوائر الحكومية و الوزارات من أجل إتمام أوراقهم المطلوبة، بدلا من الوقوف و الأنتظار لساعات طويلة على نوافذ العاملين في الدوائر الحكومية، منتظرين «رقم دور»، و بعيدا عن اللجوء إلى الواسطة، صعودا نزولا على الطابق الثاني و الثالث بحثا عن شخص يستطيع إسراع لتنفيذ معاملة ما، سيما أن تواجه تعليقا من الموظف، بالأوراق منقوصة، أو «راجعنا بعد أسبوع».
لتأتي فكرة الحكومة الالكترونية متغاضية عن هذه الأجراءات المعقدة «بكبسة زر»، فمثلا إذا أردت إصدارشهادة عدم محكومية، فما عليك سوى الدخول الى موقع دائرة الأحوال المدنية الإلكتروني، و تعبئة نموذج البيانات المكون من ألأسم و الرقم الوطني والذي يوضحه ، ليتم بعدها طلب إصدار عدم المحكومية و إرسال الطلب. و تمكنت الحكومة الإلكترونية لغاية شهر (٧-٢٠١٨) أن تحصد عدد الحركات الصادرة اليومية المطلقة للمواقع الحكومية المستخدمة من قبل المواطنين والتي بلغت (١,٨٩١,٨١٠) مليون مستخدم لخدمات المواقع الحكومية الإلكترونية، و ذلك حسب «راصد».
إن كل هذه الخدمات، التي تقدمها الحكومة الإلكترونية، من سهولة التقديم، و تقديم العديد من الخدمات الإلكترونية التي كانت ورقية، من الممكن أن تكون مفتاح بداية جديدة للتطور التقني و النهوض الى مواكبة التطور، لكن فقدت هذه المواقع لأهم شريطة من الموجب أن تكون على رأس هرم الأولويات و هي ما تعرف بالشهادة الأمنة (https).
هل تسمح بدقيقة من وقتك، أذهب الى متصفح جوجل، قم بأجراء بحث عن أي موقع من المواقع المعروضة في الصندوق يسار الشاشة، قم بتشغيله، ستلاحظ الآن أذا نظرت الى الرابط في أعلى متصفحك بأنه يبدأ بمجموعة أحرف (http) تسبقها دائرة تحتوي بجوفها علامة استعجاب.
بكل استياء يقول جعفر أبو الندى المتخصص في أمن المعلومات في شركة (update) أن «http » هو بروتوكول خطير و لا ينصح باستخدامه لإدخال بيانات حساسة او بريد رسائل سواء عادي أو خاص.
و هذا يعد أحد الإثباتات على أن الحكومة الإلكترونية غير أمنة- أي لا تحمي البيانات الشخصية و الحساسة التابعة للمواطنين و الدولة من تعرضها للسرقة أو الضياع أو الاختراق من قبل المخترقين «كالهاكرز»- و أن فكرة تحويل الحكومة الى لا ورقية- أي بدون معاملات ورقية- دام عناء (16) سنة؛ كما وصفها مدير جمعية «إنتاج» واصف الحمود «بالسلحفاة» في تحويل الحكومة الى إلكترونية- بدون أي ثغرات، في المواقع التابعة لمشروع الحكومة الإلكترونية.
يقول أمين عام وزارة الاتصالات وتكنولوجيا المعلومات نادر الذنيبات ، «إطلاق الموقع أو عدمه يعتمد على معيار أمن المعلومات»، و لعدم رد مكتب الوزارة على صحافتنا من خلال الاتصال مرتين و إرسال 4 كتب مخاطبة و زيارة الوزارة 3 مرات و التعرض للطرد –بشكل مهذب-عدنا لتصريح الامين العام نادر الذنيبات لموقع حبر «ان أمن المعلومات هو أحد المعايير التي تُخضِع الوزارة الخدماتِ الإلكترونية المقترحة لها، بالإضافة إلى رحلة المستخدم وجودة الخدمة، «وبناء على نتائج الفحص تقرّر الوزارة الإطلاق أم عدمه».
ويقول مدير مديرية المركز الوطني محمد الصرايرة «إن إجراءات حماية موقع إلكتروني موجودة داخل المركز، و تبدأ التأكد بعدم وجود ثغرات و التأكد من أن يكون الموقع خاليا من المشاكل البرمجية و نشر الموقع خلف أجهزة حماية موجودة امام الموقع للتأكد من حمايته كليا».
و يذكر أن وزارة الاتصالات تمتلك أحدث الأجهزة والبرمجيات للحفاظ على أمن المعلومات من ( firewall,ids,ips ) و قيام الوزارة بربط جميع المؤسسات الحكومية على (sgn) شبكة الحكومة الأمنة.
يقول المخترق الأخلاقي (ليث علي)»أجريت فحص أمني ، لموقع وزارة الصحة الأردنية، و وجدت ثغرة (***) تسمح للهاكرز من تسجيل الدخول لمعلومات أي موظف في الوزارة على نفس الشبكة»؛ و يضيف أن الفحص الأمني أكتشف أن ضعف في موقع وزارة الصحة نتج عنه بعض الثغرات الأخرى التي تأثر على المستخدمين بشكل كبير.
«أجهزة الحماية الموجودة في الوزارات و المتصلة بشبكة واحدة في الحكومة الإلكترونية، بإمكان أي شخص لديه خبرة بسيطة في أمن الشبكات من سحب جميع الملفات الموجودة داخل الشبكة؛» هكذا يقول موظف سابق (طلب عدم الكشف عن اسمه) بقسم تكنولوجيا أمن المعلومات في وزارة الاتصال و تكنولوجيا المعلومات.
وعن حقيقة ضعف أجهزة الحمايةالمخترق، يقول الأخلاقي أحمد صالح «ليس بوسع الحكومة الإلكترونية في حماية بياناتها من الاختراق سوى أن تقوم بفصل قاطع الكهرباء.»
و يدل ذلك على أن وزارة الاتصالات تفتقد للكفاءات و عدم وجود برامج قوية تحمي بيانات المواطنين من التعرض الى الضياع أو السرقة أو الاحتيال أو العبث بها من خلال الاطلاع عليها من أجل استخدامها كسلاح ضد مواطن معين- كالابتزاز، و أخذ معلومات شخصية حساسة مقابل مبلغ مالي، و يؤكد المحامي عمر أبو ناموس أن من أكثر الجرائم الإلكترونية تعرض الشخص الى الابتزاز مقابل دفع مالي أو خدمة معينة.
لاتدعم الشهادة الآمنة..
يقول سلطان الخرابشة مدير تكنولوجيا المعلومات في أمانة عمان، « كل يوم تتعرض أمانة عمان الكبرى لمحاولات اختراق و بصراحة عاتق المسؤولية يقع على المؤسسة التي أضاعت البيانات أو على المؤسسة المضيعة للبيانات و المؤسسة التي طلبت المشاركة لهذه البيانات و أيضا على وزارة الاتصالات في بعض الأحيان».
و «إن الوزارة أوردت ملاحظات لنقص شهادة توثيق الموقع»؛ و بالرغم من أن الشهادة شرط في إطلاق الموقع، كان من المفترض عدم إطلاق الخدمات.
تنص وثيقة الاستراتيجية الوطنية لتأمين المعلومات و الأمن السيبراني، و التي أطلقت عام ٢٠١٢م و التي تضم محاور تلزم به الجهات الحكومية أن تتقيد به، منها ما جاء في أحد المحاور «أهمية تطوير نظام تشفير وطني» و هو نظام بروتوكول (Https) الشهادة الآمنة، و أن أي موقع لا يطبق و يلتزم بهذه المحاور يرفض قرار نشر موقعه، حتى احضار نظام التشفير او شراؤه».
و يروي لنا المخترق الأخلاقي (ليث علي) طريقة نقل المعلومات و البيانات من المرسل الى المستقبل و العكس، يقول «أنه طريق وعر و شائك للبيانات، لو افترضنا أن أحد الأشخاص دخل الى موقع دائرة الأحوال المدنية و الجوازات ليحصل على شهادة عدم محكومية، فإن الموقع يطلب منه أن يقوم بإدراج الاسم(س) و الرقم الوطني (ص).
وإن بداية الطريق ستجد مزود الخدمة-بوابة العالم الخارجي و بدونه لا يمكن أجراء أي عملية أتصال على الشبكة-بعدها تصل إلى الحكومات (المواقع الحكومية المتصلة على الشبكة)، عند تخطيه ستخرج لتعبر جسر فوق مستنقع يوجد بداخله أشخاص يتجسسون على هذه البيانات، و أخيرا ستجد «قاطعي طرق البيانات» مخترقون يأخذون جزية عدم الحماية الكافية، و هدفهم سرقة هذه البيانات.
وسير البيانات من المرسل الى المستقبل ستكون ذهابا و إيابا و مكررة في كل عملية، و البيانات ستعبر الطريق بكافة عوائقه-مزود خدمة، حكومات، أشخاص يتجسسون، مخترقين- و هذا يعرض البيانات المدخلة مهما كانت للسرقة وجذب المخترقين الى مثل هذه المواقع غير الداعمة للشهادة الأمنة (https).
ويقول المتخصص في أمن المعلومات جعفر ابو الندى «إن تشفير البيانات في البروتوكول الآمن (https) يقوم من خلال عمل مفتاح و قفل، و هناك قفل عام و خاص، مبنية على معاملات رياضية معقدة، من الصعب جدا فك تشفيرها للاطلاع على البيانات، و أن لتشفير داتا معينة من هذا النوع الآمن يحتاج ١٤٠يوم للدخول أقل من دقيقة للبيانات.
و قبل عام كامل، تحديدا في تاريخ (١١-١-٢٠١٨)، تم نشر تقرير على موقع حبر للكاتبة ريم المصري بعنوان «هل الحكومة الالكترونية آمنة؟»، توجه به الى تنبيه وزارة الاتصالات عن عدم وجود شهادة (sll) الآمنة، إلا أن الجهات الرسمية أغفلت و تقاعست عن الموضوع بالغ الأهمية، و الى الأن لم يحدث أي استجابة سوى في موقعي (الجمارك الأردنية و أمانة عمان الكبرى.)
و يبين الأستاذ المساعد في قسم الإدارة المعلوماتية في جامعة اليرموك رأفت الشرمان ، أن كل وزارة لها موقع إلكتروني مسؤولة عن حمايته.
وينص قانون حماية البيانات الشخصية- لا يزال مسودة- في الفقرة (أ) من المادة (7) تكون الجهة المسيطرة مسؤولة عن بياناتها، و عن تلك البيانات الشخصية التي سلمت إليها من قبل أي جهة أخرى وفقا لنظام القانون، حسب المحامي أنس القضاة.
و يقول المحامي سامي الخزاعلة «هناك مسودة لقانون حماية البيانات الشخصية و سحب هذا القانون، لا يعني عدم وجود قوانين أخرى تحاسب فقانون الجرائم الإلكترونية و قانون العقوبات متصلين جدا بقانون حماية البيانات الشخصية»، ومن وجهة نظري أنه يجب على وزارة الاتصالات رفع قضايا على كل موقع الكتروني لم يقُم بتوظيف الشهادة الآمنة ولا يوجد تطبيق أو تنفيذ من قبل القانون لها.
لايوجد قانون.. و آخر لا يحاسب
تم سحب مسودة قانون حماية البيانات الشخصية مؤخرا من قبل الحكومة، هذا القانون الذي يعد الأكثر تماشيا مع مشروع الحكومة الإلكترونية، لاحتوائه على مواد خاصة في حماية البيانات الشخصية في حال تعرضت لأي من الفقدان، أو الإضافة، أو التعديل، أو الحذف و الشطب، أو الاطلاع عليها، ويرى المحامي عمر أبو ناموس أن هناك قوانين أخرى ساريةكقانوني العقوبات و قانون الجرائم الإلكترونية تحتوي مواد قانونية رادعة و مانعة للجرائم.
ويبرز المحامي نشأت بني حمد المادة (25) من قانون الجرائم الالكترونية التي تنص على أن تعاقب أي جهة من جهات التوثيق الالكتروني المرخصة أو المعتمدة بغرامة لا تقل عن 50.000 الف دينار ولا تزيد عن 100.000 الف دينار إضافة الى إلغاء ترخيصها أو اعتمادها أذا أقدمت معلومات غير صحيحة في طلب الترخيص أو الاعتماد أو أفشت أسرار أحد عملائها أو استغلت المعلومات المتوافر لديها عند طالب الشهادة التوثيق الالكتروني لأغراض أخرى غير نشطة التوثيق دون الحصول على موافقة من طالب الشهادة الخطية المسبقة.
و تخالف جميع الوزارات هذا القانون،باستثناء الجمارك الأردنية و أمانة عمان، لعدم احتوائها على وجود معيار أساسي الذي ينص بضرورة وجود شهادة أمنة كما أشرنا بذلك سابقا، مما يعني أن ليس هناك تطبيق للقانون ولا يوجد حماية للبيانات من قبل الوزارات من خلال القانون، حسب ما قاله المحامي سامي الخزاعلة.
يقول المحامي عمر أبو ناموس في حال تم اختراق الحكومة الالكترونية من خلال احد المواقع التابعة لها، تكون المحاكم الاردنية مختصة بالقضية لعدة أسباب و يجب عليها متابعة هذه القضية.
من حقك ما تعرف..
تقدم فريقنا بإرسال طلب حق الحصول على المعلومة إلى مديرية الأحوال المدنية و الجوازات و ذلك قبل( 30) يوم و لم يتم أي رد (لغاية تاريخ كتابة التحقيق) سواء بمكالمة هاتفية أو عبر البريد الالكتروني أو الفاكس.
قمنا بطرح أسئلة حول أنواع شكاوي المواطنين، على مواقع الالكترونية الحكومية، و عن خطوط الدفاع الموجودة في الوزارة و عن سبب التعاقد مع مايكروسوفت أوفي الترخيص، و عن الشهادة الآمنة (https).
وتقدم معدو التحقيق بطلب للحصول على بعض المعلومات من وزارة الاتصالات، لكن وزارة الاتصالات أجابت عن بعض الأسئلة بأسلوب غير واضح أبدا، و قال لنا موظف في قسم العلاقات العامة بلكنة استعجابية» الأسئلة صعبة»، أما الأحوال المدنية فلا نزال ننتظر ردا منهم على الطلب- أنواع شكاوي المواطنين- إلى هذه اللحظة.
و تؤكد راصد أن تقديم الشكاوي متاح بنسبة 82% لجميع مواقع حكومة الكترونية، و 28% أعطت أرقام لمتابعة المواطنين، و 29% أغلقت الشكاوي الذي أرسلها فريق التقرير لتقييم العمل.
العمل و النقل و السياحة.. تم اختراقها
مجرد أرقام مدخلة و برامج لا تعرف سوى لغة (0.1) أن تدمر جهاز حاسوب لك في لحظة، يقوم المهكرون «المتسللون» بمحاولة أخذ العديد من الفرص التي تسنح لهم مثلا ضعف أمني لضعف (الأنتي فايروس)، عدم وجود أنظمة حماية كافية، مواقع لاتحتوي شهادة آمنة، برامج بخيسة أمام برامج فايروسية يدفع فيها ملايين الدولارات من أجل الحصول على ملفات و استغلالها من أجل مصالح شخصيةمثل سرقة بيانات شخصية خاصة أو صور و عرضها مقابل المال، أو دولية مثل التجسس على دولة أخرى.
و يكشف المتخصص في أمن المعلومات في شركة (ابديت) جعفر أبو الندى أن الموقع الرسمي لوزارة السياحة و الأثار الأردنية يستغل أجهزة الزوار بعملية تعدين العملة من خلال استخدام سكريبت (CHINHIVE)- ثغرة – والسبب استخدام بروتوكول (HTTP) لها.
و يمتلك معدو التحقيق من خلال ابو الندى فيديو كامل لكيفية حدوث التزوير و الاختراق و خداع الزوار بعملة (البيتكوينز) الخاص بالشراء عبرالانترنت.
و يقول مدير أمن المعلومات في احد البنوك الاردنية فضل عدم الكشف عن اسمه أن وزارة العمل تعرضت الى الاختراق من قبل فريق مخترقين خارجين و تم إغلاق هذه الثغرات، و ذلك قبل عام تقريبا و تعذر الحصول على دليل لذلك لكن تناولت الصحف و المواقع بعض هذه الصور التي تدل على الاختراق، و السبب حذف التقارير و المنشورات من قبل الوزارة خوفا على الاستغلال من جديد للوزارة.
و قال أنس محمد فضل عدم ذكر اسمه ،انه حدث اختراق لموقع وزارة النقل، وذلك بعد ما أن قام التاكسي المميز برفع دعوى على تطبيق كريم أتذكر في الساعة(1) تم حجب الخدمة – كريم – و في الساعة (5) تقريبا تم استرجاع الخدمة و صرحت حينها وزارة النقل أن الموقع تعرض للاختراق، و أنه تم فك الحجب، علما أنهاتابعة الى منظومة مشروع الحكومة الالكترونية الغامض.
فايروس في الأنتي فايروس..
إن الفايروس هو اختراع أقرب إليه الأنسان و الدخان، و الحاسوب و الفايروس، هي برامج خبيثة تقوم على تخريب أو نسخ أو سرقة او تعديل أو تدمير أو مراقبة ما يطلبه صاحب هذا الفايروس من أوامر خاصة – برمجيات خاصة مثل تروجان- حتى يحصل على مراده.
يقول الخبير سيف مخارزة إن الفايروس هو برنامج متطور جدا يتغير في كل يوم و يحدث ليصبح ذو قدرات أكبر و ذو خطورة أضخم، فلذلك يحاول المختصون جاهدين تطوير و تحديث البرامج أو التطبيقات أو أي شيء على الشبكة- أون لاين- حتى يحاولوا قدر المستطاع منع هذا الفايروس من إلحاق الضرر بأجهزتهم.
و يؤكد أن حتى نظام (WINDWOS) يوجد به فايروس خصوصا في الشرق الأوسط، ليؤكد (احمد )حتى تتمكن من معرفة ذلك عند تنصيبك للويندوز على جهازك المحمول، قم بتفعيل مضاد الفايروس سيقوم حينها المضاد بالكشف عن ملفات تروجان-برنامج فايروس- في النظام.
التحقيق يبحث و الأرقام تؤكد..
حصل معدو التحقيق على تقرير لمنظمة الأمم المتحدة المسؤولة عن برنامج تنمية الحكومة الإلكترونية في (193) دولة في العالم، بعد مراسلتهم ، والمنظمة تصدر تقرير كل سنتين عن مؤشرات التنمية الحكومية، و تعتمد على ثلاثة معايير، معيار رأس المال البشري، مؤشر البنية التحتية، مؤشر خدمة الانترنت.
وبحسب التقرير لعام 2018، تبين أن نسبة مؤشر تنمية الحكومة الالكترونية الأردنية وصل الى (0.5575) بمرتبة (98) عالميا من أصل (193) دولة، لتهبط (7) درجات عما كانت عليه في عام 2016، و ان نسبة مشاركتها الالكترونية بلغت (0.4831) بمرتبة 117 عالميا، وهذا دليل واضح على تراجع الحكومة ايضا (19) درجة عن عام 2016.
و حسب راصد فإن مؤشر (TTI) – مؤشر البنية التحتية اي الالياف الضوئية التي تقوم على حماية و نقل المعلومات من مكان لمكان، الذي يدل على جاهزية المحتوى و توفير أمن التقنيات المستخدمة لتحويل الحكومة الى إلكترونية انخفض الى المرتبة 47 متراجعا عن عام 2018، و أن الاستثمار الأجنبي المباشر لنقل التكنولوجيا تراجع أيضا من (33 الى 49)خلال عام واحد حسب إحصائيات2018/2017.
ويطالب المحامي نشأت بني حمد بأن تكون الحكومة الإلكترونية ضامنة لحماية بيانات المواطنين الموجودة على شبكة،عن طريق برامج حماية.
يقول (انس محمد) الذي انهى خدماته من وزارة الاتصالات بعد خدمة طويلة و بإرادة شخصية، «سيرفرات الدولة كلها المشبوكة على (SGN) كانت من الجيل الثاني و الثالث و تطورت الى الجيل الرابع، لكن أغلبيتها محملة بالفيروسات، و أن مضاد الفيروس (FORFRONT) الذي يستخدم في حماية أمن المعلومات في الحكومة هو «فايروسي» و لا يصلح بتاتا بحسب اتفاقية مايكروسوفت،» مضيفا «قمنا بإرسال تقارير لتغييره».
صحافة اليرموك – جامعة اليرموك
Related