امروز عصر به دفتر آقای محمد رادپور رفتم. متاسفانه وقتم کم بود و ملاقات کوتاهی داشتیم. ایشان نویسنده «ایران داوری» میباشند و ضمنا نویسنده کتاب بسیار ارزشمند «مجموعه قوانین و مقررات IT» (نشر جوان – زمستان ۱۳۸۵). لطف کردند و یک نسخه از کتاب مذکور را به اینجانب هدیه کردند.
بزودی در مورد کتاب در پست مجزایی بیشتر صحبت خواهم کرد.
با دیدن کتاب ایشان، یاد یک فایل قدیمی افتادم. در بکاپها گشتم و آنرا پیدا کردم. اگر تاریخ فایلی که دارم درست باشد، مربوط به تاریخ ۱/۱۲/۲۰۰۰ مصادف با ۱۰ آذر ۷۹ است. مدتها پیش یکی از دوستان که در تهران به کار وکالت مشغول است (آقای حسینی) تماس گرفت و گفت میخواهند پیشنویس قانون جرایم رایانهای را تهیه کنند. داریم نظرات متخصصین را جمع میکنیم. شما هم اگر نقطه نظری داری، بنویس. نمیدانم چقدر پیشنهاد من موثر بوده؟ متن زیر عین فایل پیشنویس است:
بسمه تعالي
تعريف جرم ؟!
فرض: با توجه به مقوله امنيت در سيستم هاي كامپيوتري از همه ابعادش
جرم = بر هم زدن امنيت يا تهديد آن !
(ضميمه يك)
توضيح: امنيت، محافظت از دسترسي، صحت و تماميت اطلاعات ميباشد و شامل مقولههاي امنيت فيزيكي – سختافزار – نرمافزار – دادهها و نيروي انساني مرتبط با سيستمهاي كامپيوتري (شامل تحليلگر و طراح – برنامهنويس – راهبر سيستم – اپراتور – كاربر) ميباشد.
منابع يا ثروتهاي سيستمهاي كامپيوتري: سختافزار – نرمافزار – دادهها- نيروي انساني
تهديدات امنيت سيستمهاي كامپيوتري:
۱- وقفه: از دست رفتن يا خارج از دسترس شدن منابع كامپيوتري
۲- ساخت: جعل منابع كامپيوتري
۳- تغيير: دستيابي و تغيير غير مجاز منابع
۴- جلوگيري: دستيابي غير مجاز منابع
اصل ارزش زماني:
اقلام كامپيوتري (خصوصا دادهها) تا زماني نياز به حفاظت دارند كه ارزش خود را از دست نداده باشند.
بعبارت ديگر هر يك از تهديدات سيستمهاي كامپيوتري زماني جرم محسوب ميشوند كه در دست حفاظت باشند.
نكته: مجازات متناسب با سطح تخصص مرتكب جرم؟!
با فرض فوق براي تعريف جرم؛ جرائم كامپيوتري شامل موارد زير است:
جرائم مربوط به سختافزار
۱_ سرقت يا ايجاد خرابي در بخشهاي سختافزاري شبكههاي كامپيوتري و سرويس دهندههاي راه دور اعم از پردازندهها – وسايل ارتباطي و كانالهاي مخابراتي (كابلها – خطوط تلفن – بيسيم – خطوط مايكروويو و ماهواره) و دستگاههاي ورودي و خروجي و حافظههاي جانبي به منظور دستيابي به منابع نرمافزاري و دادهها يا جلوگيري از سرويسدهي
۲_ سرقت يا ايجاد خرابي در امكانات سختافزاري كامپيوترهاي بزرگ به منظور فوق
۳_ سرقت يا ايجاد خرابي در امكانات سختافزاري مراكز كامپيوتر شخصي يا كامپيوترهاي شخصي به منظور فوق
۴_ ايجاد تغيير عمدي در سختافزارها به نحويكه ديگر قادر به اجراي كامل نرمافزاري نباشند.
۵_ دسترسي غيرمجاز به منابع سختافزاري اعم از شبكههاي كامپيوتري (گسترده و محلي) – كامپيوترهاي بزرگ و كوچك به منظور دستيابي به منابع نرمافزاري و دادهها.
۶_ سعي در دسترسي غيرمجاز به منابع سختافزاري
جرائم مربوط به نرمافزار
۱_ سرقت نرمافزار
۲_ حذف سيستم عامل يا برنامههاي كاربردي ديگر به نحويكه:
الف _ غيرقابل احيا باشد
ب _ ناقص شود (حذف قسمتي)
ج _ قابل احيا باشد
۳_ ايجاد تغيير در سيستم عامل يا برنامههاي كاربردي از طريق اعمال انواع ويروس يا طرق ديگر به نحويكه:
الف _ غيرقابل استفاده شود
ب _ ناقص شده و برخي از كارهايي كه بايد انجام دهد را انجام ندهد
ج _ علاوه بر كارهايي كه بايد انجام دهد، كارهاي ديگري نيز انجام دهد (مثلا معطل كردن يك سرويس كامپيوتري يا افشاي اطلاعات طبقهبندي شده)
(ضميمه دو )
۴_ جعل نرمافزارهاي كاربردي (يك ويروس ميتواند با حمله به يك برنامه، برنامه جديدي ايجاد كند كه كار ديگري (غير از كاري كه برنامه اصلي بايد انجام دهد) را انجام دهد).
۵_ شكستن قفلهاي سختافزاري و نرمافزاري
۶_ دستيابي به نرمافزار (كپي غيرمجاز)
۷_ سعي در دسترسي به نرمافزار
جرائم مربوط به دادهها
با توجه به هزينهاي كه صرف احيا، ايجاد و يا توسعه دادهها ميشود بعلاوه ارزش داده (سري – محرمانه ….) و با در نظر گرفتن اصل ارزش زماني، ميتوان دادهها را ارزشگذاري كرده و براي در نظر گرفتن اهميت جرم، مورد استفاده قرار داد.
۱_ سرقت دادهها
۲_ حذف دادهها
۳_ از بين بردن يا غيرقابل استفاده كردن نسخههاي پشتيبان از دادهها
۴_ جعل دادهها ( ايجاد دادههاي اضافي و غير معتبر )
۵_ تغيير دادههاي موجود در سيستمهاي كامپيوتري
۶_ سعي در دسترسي به دادهها (مثلا از طريق تطميع كارمندان كليدي)
جرائم مربوط به تأسيسات و ساختمان
۱_ سرقت يا ايجاد خرابي و اختلال در تأسيسات برقي سايتهاي كامپيوتري
۲_ سرقت يا ايجاد خرابي و اختلال در تأسيسات تهويه و تبريد سايتهاي كامپيوتري
۳_ ايجاد خرابي در تأسيسات ساختماني سايتها به منظور دستيابي به سختافزار يا نرمافزار و دادههاي كامپيوتري
۴_ ايجاد ميدانهاي مغناطيسي قوي براي اختلال در جريان اطلاعات
۵_ دسترسي به پورتهاي ارتباطي
۶_ اقدام به اعمال فوق
جرائم مربوط به نيروي انساني (پرسنل يا مرتبط)
۱_ كشتن يا مضروب كردن پرسنل سيستمهاي كامپيوتري به قصد تعطيل يا معطل كردن يك سرويس كامپيوتري
۲_ امتناع پرسنل از در اختيارگذاري اطلاعات مورد نياز مسئولين مجاز (در صورت ايفا شدن كامل حقوق)
۳_ تهديد يا ارعاب يا تطميع پرسنل به قصد فوق
۴_ در اختيار گذاردن سرويسهاي غيرمجاز توسط پرسنل سيستمهاي كامپيوتري به افراد غيرمجاز يا دادن اطلاعات به آنها
۵- برهم زدن امنيت روشهاي رمزنگاري:
الف _ افشاي روش رمزنگاري
ب _ افشاي كليدهاي مورد استفاده
۶_ افشاي كلمات عبور
۷_ جعل امضاء توسط كامپيوتر
الف _ امضاي ديجيتال
ب _ امضاي معمولي
۸- تلاش در جهت بدست آوردن اطلاعاتي كه پرسنل دارا ميباشند به منظور سوء استفاده.
مرتكب جرم ؟!
معاونت ؟!
(ضميمه يك)
همانطور كه ديدهايد افراد شرور و بدكار معمولا لباسهاي كهنهاي ميپوشند، نگاههاي شيطاني و هدفداري دارند و همراه جنايتكاران در خارج از شهر زندگي ميكنند. (در مقابل مردان شريف بخوبي لباس ميپوشند، سربلند ميايستند و در شهر براي همه شناخته شده ميباشند و ترسي از حمله جنايتكاران ندارند، درجه دانشگاهي دارند، و از اركان اجتماع خود محسوب ميشوند.) اكثرا نوجوان يا دانشجوي دانشگاه ميباشند. برخي از آنها مجريان ميانسال تجارت ميباشند. برخي از آنها از نظر رواني ديوانه ميباشند و يا كاملا متخاصم ميباشند يا بشدت به هدف يا جنبشي سرسپرده ميباشند و به كامپيوترها به عنوان سمبل حمله ميبرند. برخي ديگر مردمي هستند كه وسوسه منافع شخصي، انتقام، رقابت، پيشرفت و يا امنيت شغلي آنها را فريفته است. صرفنظر از انگيزههاي آنها، تبهكاران كامپيوتري دسترسي به مقادير هنگفتي از سختافزار، نرمافزار و داده دارند. آنها پتانسيل فلج كردن و از كار انداختن تجارت موثر و همچنين دولتها را در جهان دارا ميباشند.
اجازه بدهيد جرم يا جنايت كامپيوتري را تعريف كنيم. در برخي كشورها پليس، جرم و جنايت كامپيوتري را از جنايتهاي ديگر جدا نميداند. بنابراين اكثر شركتها جرمهاي كامپيوتري را به دلايل عديده به پليس گزارش نميكنند. ضرري كه بابت جنايات و جرايم كامپيوتري تخمين زده شده است، سالانه بين سيصد ميليون دلار تا پانصد ميليون دلار ميباشد. بيشتر كارشناسان معتقدند كه امنيت كامپيوتري يك مشكل اساسي ميباشد. مطالعاتي براي تعيين مشخصات افرادي كه جرايم كامپيوتري را مرتكب ميشوند در حال انجام است. در اين مطالعات برآنند كه به كشف جرايم و شناسايي مجرمين و جلوگيري از آنها كمك كنند. در ذيل به برخي از افرادي كه مرتكب جرايم كامپيوتري ميشوند اشاره شده است.
مبتديان : مبتديان جرايم گزارش شده در اين زمانه را مرتكب شدهاند. بيشترين اختلاسها را نه مجرمين حرفهاي بلكه مردم عادي كه به نقصي در امنيت سيستم پي بردهاند، كه به آنها اجازه ميدهد به پول يا چيزهاي قيمتي ديگر دسترسي يابند، مرتكب ميشوند. بدين لحاظ بيشتر مجرمين كامپيوتري كاربران عادي كامپيوتر هستند كه زماني متوجه ميشوند كه ميتوانند به چيز باارزشي دسترسي يابند كه دارند كارهاي عادی خود را انجام ميدهند. مبتديان ممكن است استفاده از كامپيوتر را براي نامهنگاري يا انجام محاسبات شروع كنند. اين وضعيت ممكن است تا وقتي ادامه يابد كه كارمندي در حال انجام محاسبات تجاري باشد، يا سهامي را به موجودي بيافزايد، يا با استفاده از امكانات كامپيوتري كارمندان، در حال چاپ اوراق بهادار باشد. در اين حال مبتدي ممكن است بخاطر موقعيت شغلي منفي خود ناراحت شود و با خود عهد كند كه بوسيله خراب كردن سيستم كامپيوتري انتقام بگيرد. نكتهاي كه درباره تبهكاران مبتدي وجود دارد اينست كه آنها زمينه علمي و فني خيلي ضعيفي دارند كه اين مسئله كمتر منجر به مشكوك شدن به آنها ميشود.
افراد Hacker : اين افراد معمولا دانشآموزان دبيرستانها يا دانشجويان دانشگاهها ميباشند كه مبادرت به دسترسي به امكانات محاسباتي غيرمجاز ميكنند. نقطه مشترك اينان گرايش و رفاقت آنان با چند دوست ميباشد، كه اين مسئله مزاحمت آنان را دوچندان ميكند. آنها اكثرا باهوش ميباشند ولي شفاها قادر به ابزار اين هوش به مردم نيستند. آنها بجاي مردم به كامپيوترها رو ميآورند و ميدانند كه كامپيوترها آنها را از خود طرد نميكنند و بنابراين كامپيوترها وسيله سربلندي اجتماعي آنان را فراهم ميكنند. شكل ديگري از روابط اجتماعي استفاده از امكانات مخابراتي Bulletin Board ميباشد، كه داراي ديوار الكترونيكي ايمن و محفوظي ميباشد.
رخنه كردن در استحكامات كامپيوتري يكي از جرايم بدون تلفات ميباشد. هيچكس زخمي يا كشته نميشود حتي اگر در حال ايجاد ارتباط با كامپيوتر ديده شود. اكثر رخنه ها ميتواند بدون روبرو شدن با شخصي و يا حتي بدون شنيدن صداي انساني انجام شود. افراد Hacker براي عبور موفق از قسمتهاي سري به مانند چند قطعه ايزوله كوچك كه براي ايجاد يك اثر بزرگ گرد هم جمع شدهاند، به همديگر كمك مي كنند.
رخنه به سيستمهاي كامپيوتري يك خطر جدي است كه ممكن است ميليونها دلار ضرر ببار آورد، لذا رخنهكنندگان بايستي قانونا جريمههاي هنگفتي را بپردازند.
مجرمين حرفهاي: در مقابل مبتديان و افراد Hacker، جنايتكاران كامپيوتري حرفهاي هدف از جرم كامپيوتري را به خوبي درك كردهاند. تبهكاران حرفهاي، ميدان كار خود را از آتش زدن، نابودي و سرقت به محاسبه تسري دادهاند.
همانگونه كه قبلا اشاره شد برخي از شركتها در پيگيري مجرمين كامپيوتري محتاط هستند. در حقيقت پس از كشف يك جرم كامپيوتري، اگر مجرم بي سروصدا كنارهگيري كند يا استعفا بدهد، شركتها ممنون خواهند شد و بنابراين مجرم آزاد خواهد بود كه همان كارهاي غيرقانوني را در شركتهاي ديگر ادامه دهد.
(ضميمه دو)
دستهبندي تغييرات نرمافزار شامل موارد زير است:
۱_ يك اسب تراوا، برنامهاي كه ظاهرا كاري را انجام ميدهد در صورتي كه در باطن كار ديگري را انجام ميدهد.
۲_ يك دريچه، يك نقطه ورود مخفي به يك برنامه.
۳_ برنامهاي كه اطلاعات را فاش ميسازد و اين اطلاعات را در دسترس برنامهها يا افرادي كه قصد آنرا ندارند، ميگذارد.