تعرض الصندوق الوطني للضمان الاجتماعي ،في الايام الاخيرة “لهجوم سيبراني “وتم تسريب العديد من البيانات السرية لعدد كبير من منخرطيه والتي تم تداولها على منصات التواصل الاجتماعي، كما ان هذا “الهجوم السيبراني” استهدف مؤسسات رسمية من بينها وزارة التشغيل ووصل إلى معطيات حساسة لأكثر من مليوني موظف وبيانات مئات الشركات والمقاولات.
وفي هذا الصدد قال الاستاذ يوسف غريب محامي بهيئة الدار البيضاء وفاعل جمعوي وحقوقي في تصريح لـ Ati Mag ان مبدأ السيادة من ضمن المبادئ الاساسية لقيام الدولة ويعتبر الفرنسي – جون بودان- اول من عرف السيادة هذا المــــــــفهوم، وهذا الاخير الذي عرف تطورا على مر التاريخ ومع الثورة التكنولوجية و الرقمية التي عرفها العالم تحول معها الى –قريـــــــــــة صغيرة- ظهرت مجموعة من المفاهيم الجديدة من ضمنها مفهوم السيادة الرقمـــــــــــية للدول و الامــن السيبراني و الذي يمكن تعريفه بحماية الشبكات و انظمة تقنية المعلومات و انظـمة التقنيات التشغيلية و مكوناتها من اجهزة برمجـــيات وما تقدمه و ما تحتويه من بيـــانات من أي اختراق او تعطيل او تعديل او دخول او استخدام غير مشروع.
مضيفا ” وقد نص القانون الدولي على مبدأ السيادة الرقمية للدول و اعــــــــــتبر المساس بها تدخلا في الشؤون الداخلية للدول من خلال مجموعة من الاتفاقـــــــــــــــــيات الدولية من ضمنها اتفاقية بودابست2021 بشان –الجريمة السيبرانية- لسنة و اعتبرت خرقها فعلا مجــــــرما وجعل اي طرف يقوم بخرقها يتحمل المسؤولية الدولية ويقع تحت طائلة المســـــائلةّ، لقد اصبحت الهجمات السيبرانية على المؤسسات الحساسة للدول في تصاعد مستمر بشكل خاص لاسيما فيما يتعلق بالمؤسسات السيادية، كبعض الوزارات، ومراكز القرار، والبنيات التحتية الحيوية ومؤخر اعلنت مجموعة تطلق على نفسها اسم “جبروت الجزائرية (Jabaroot DZ) مسؤوليتها عن اختراق مجموعة من المواقع الخاصة بالمغرب من ضمنها موقع وزارة التشغيل، وتسريب قاعدة بيانات حساسة تعود إلى الصندوق الوطني للضمان الاجتــــــــــــــماعي بهدف محاولة تشويه صورة المغرب دوليًا،. مما يطرح معه التساؤل حول الاطار القانوني و مدى نجاعته في تاطيرها و محاربتها
واكد المتحدث نفسه على ان المشرع المغربي عمل على اصدار مجموعة من القوانين المتعلقة بهذا المجال واولها لقانون 07.03 المتعلق بحماية نظام المعالجة الآلية للمعطيات و قانون رقم 53.05 المتعلق بالتبادل الإلكتروني للمعطيات القانونية و القانون رقم 08.09 المتعلق بحماية المعطيات ذات الطابع الشخصي. والقانون رقم 31.08 القاضي بتحديد تدابير لحماية المستهلك ، وعزز هذه الترسانة التشريعية بإصدار القانون رقم 05.20 المتعلق بالأمن السيبراني هذا الاخير الذي عرفه الاستاذ عدنان مصطفى البار على أنه عبارة عن مجموع الوسائل التقنية و الإدارية التي يتم استخدامها لمنع الاستخدام غير المصرح به وسوء الاستغلال واستعادة المعلومات الالكترونية ونظم الاتصالات و المعلومات التي تحتويها بهدف توافر واستمرارية عمل نظم المعلومات و تأمين حماية وسرية وخصوصية البيانات الشخصية لحماية المواطنين.
واضاف “لقد نص المشرع المغربي على مجموعة من الجرائم الماسة بــــــحماية المعطيات ذات الطابع الشخصي ورتب عيها جزاءات وعقوبات و التي يمكن التطرق اليها باقتــــضاب من خلال القانون رقم 08-09 الصادر في 18 فبراير 2009 المتعلق بحماية الأشخاص الذاتيين تجاه معـــــــالجة المعطيات ذات الطابع الشخـــــــصي يهدف هذا القانون لحماية الأفراد من الإستعمال التعسفي للمعطيات و من تمة فانه نص على مجموعة من الجرائم كما نص على عقوباتها و على لا ســــبيل المثال لا الحصر يمكن ان نذكر جريمة نقل المعطيات الشخصية دون أن تتوفر لدى هذه الأخير ضمانات كافية لحماية المعطيات الشخصية حسب المادة 60 للاستعمال غير المشروع بالحبس و الغرامة هاتين العقوبتين فقط نذكرسواء أكانت هذه المعالجة بطريقة إلكترونية .او بطريقة يدوية، كما انه فيما يتعلق في بالاستعمال التعسفي أو التدليسي للمعطيات، أو نقلها إلى أشخاص غير مؤهلين، فالعقوبة المنصوص عليها حسب المادة 61 هي الحبس و الغرامة أو بإحدى هاتين العقوبتين فقط”.
كما خولت المادة 61/2 من قانون 09.08 للمحكمة –إضافة إلى العقوبة الأصلية- إمكانية الحكم بعقوبة إضافية تتمثل في حجز المعدات المستعملة في ارتكاب الجريمة، وهي عقوبة ذات أهمية بالغة في سياق هذا النوع من الجرائم إذ يمكن أن نكون أمام حالات تستعمل فيها آلات ومعدات توظف بشكل غير مشروع في استعمال المعطيات الشخصية.
تجدر الاشارة الى ان الجرائم السيبرانية بعيدة كل البعد عن الجرائم التقليدية، حيث نجد الفقرة الثانية من المادة الثانية من القانون 05.20 تنص على أن الجرائم السيبرانية هي “مجموعة من الأفعال المخالفة للتشريع الوطني أو الاتفاقيات الدولية التي صادقت عليها المملكة المغربية، التي تستهدف شبكات ونظم المعلومات أو تستعملها كوسيلة لارتكاب جنحة أو جناية”.اذ نصت المادة 41 من قانون 20.05 على مايلي : ” لأجل التصدي لأي هجوم إلكتروني يستهدف نظم المعلومات ويمس بالوظائف الحيوية للمجتمع أو الصحة أو السلامة أو الأمن أو التقدم الاقتصادي أو الاجتماعي، يقوم أعوان السلطة الوطنية بالتحريات اللازمة لتحديد خصائص الهجوم ويسهرون على ضمان تنفيذ التدابير والتوصيات المعلقة بها”.
و بالرجوع الى القانون 05.20 نجد انه عمل على توفير الحماية للفضاء السيبراني من كل الحوادث أو الجرائم التي قد يقصد بها أصحابها المساس بأنظمة المعلومات أو تغييرها أو التشويش على سيرها، وقد حدد المشرع الجهات المعنية بهذه الحماية التي يوفرها هذا القانون في الأنظمة المعلوماتية الخاصة بالفئات المشار إليها في المادة الأولى من القانون أعلاه.
وتتحدد هذه الفئات في إدارات الدولة و الجماعات الترابية و المؤسسات والمقاولات العمومية و كل شخص اعتباري أخر خاضع للقانون العام، و التي يشار إليهم في القانون ب ” الهيئة”.
كما يشمل نطاق الحماية الأنظمة المعلوماتية الخاصة بالبنيات التحتية ذات الأهمية الحيوية و كذا مستغلي الشبكات العامة للمواصلات ومزودي خدمات الانترنت ومقدمي خدمات الأمن السيبراني و مقدمي الخدمات الرقمية وناشري منصات الانترنت، والتي يشار إليهم بالمتعهدين.
و تبعا لما سبق، فإن هذا القانون يهدف إلى توفير الحماية لبنية المعلوماتية الخاصة بالمؤسسات العامة للدولة، أي بالمصالح الإستراتيجية للدولة، خاصة و أن المرحلة الحالية يغلب عليها لامادية المعطيات و البيانات، و بالتالي فالمساس بهذه المعطيات يعتبر مساسا باسرار الدولة ومؤسساتها.
و على مختلف البنيات و الخدمات الحيوية للبلاد التي ستحدد بنص تنظيمي من قبل الجهات المختصة، كما تشمل أيضا القطاع الخاص المتمثلين في الشركات العاملة في مجال استغلال الشبكات العامة للاتصال و مقدمي خدمات الأمن السيبراني وبصفة عامة كل الجهات التي تدخل حسب قانون 05.20 ضمن ما يسمى بالمتعهدين.
كما نصت المادة 38 من قانون رقم 05.20 على أنه يعهد إلى السلطة الوطنية بتنفيذ إستراتيجية الدولة في مجال الأمن السيبراني، لذلك فإنها تتولى القيام بمجموعة من المهام كما هي محددة في نفس المادة وهي كالأتي:
– تنسيق الأعمال المتعلقة بإعداد وتنفيذ إستراتيجية الدولة في مجال الأمن السيبراني والسهر على ضمان تطبيق توجيهات اللجنة الإستراتيجية للأمن السيبراني؛
– تحديد تدابير حماية نظم المعلومات والسهر على ضمان تطبيقها؛
– تقديم اقتراحات إلى اللجنة الإستراتيجية للأمن السيبراني بخصوص تدابير التصدي للأزمات التي تمس أو تهدد أمن نظم معلومات الهيئات والبنيات التحتية ذات الأهمية الحيوية؛
– تأهيل مقدمي خدمات افتحاص نظم المعلومات الحساسة للبنيات التحتية ذات الأهمية الحيوية ومقدمي خدمات الآمن السيبراني؛
– وضع تصور للوسائل اللازمة لضمان أمن الاتصالات الإلكترونية بين الوزارية وتنسيق تفعيلها؛
– القيام بأعمال المراقبة المنصوص عليها في هذا القانون؛
– السهر على ضمان إجراءات عمليات افتحاص أمن نظم معلومات الهيئات والبنيات التحتية ذات الأهمية الحيوية؛
– افتحاص متعهدي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية الذين يقدمون خدمات للبنيات ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة؛
– تقديم المساعدة والنصائح إلى الهيئات والبنيات التحتية ذات الأهمية الحيوية قصد تعزيز أمن نظم معلوماتها؛
– مساعدة ومواكبة الهيئات والبنيات التحتية ذات الأهمية الحيوية لوضع أجهزة لرصد أحداث مست أو قد تمس بأمن نظم معلوماتها وكذا تنسيق إجراءات التصدي لهذه الأحداث
– القيام بتعاون مع الهيئات والبنيات التحتية ذات الأهمية الحيوية، بإعداد نظام خارجي لليقظة والرصد والإنذار بأحداث مست أو قد تمس بأمن نظم معلوماتها وكذا تنسيق إجراءات التصدي لهذه الأحداث؛
– القيام بأنشطة البحث العلمي و التقني في مجال الأمن السيبراني وتشجيعها وحماية نظم المعلومات الخاص بالبنيات التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة وحماية نظم المعلومات الخاص بالمتعهدين
و تبعا للقاعدة الفقهية “لكل متضررالحق في اللجوء الى القضاء” فيمكن الاشارة الى نقطتين اساسيتين
الأولى : ان الافراد و الهيئات الذين الذين لحقهم ضرر جراء تبعا لما تفصيله اعلاه جراء ومؤخر اعلنت مجموعة تطلق على نفسها اسم “جبروت الجزائرية (Jabaroot DZ) مسؤوليتها عن اختراق مجموعة من المواقع الخاصة بالمغرب من حقهم اللجوء الى القضاء الوطني و الدولي للتعويض عن الاضرار
الثانية :انه و بالرغم من توفر المغرب على ترسانة قوية متقدمة في مجال الأمن السيبراني غير أن الإشكال يكمن في غياب التفعيل الجاد لهذه القوانين، وعدم التزام العديد من المؤسسات بأبسط أبجديات الحماية الرقمية مثل تحديث البرمجيات، وتكوين العاملين، واستعمال كلمات مرور قوية، وتطبيق المصادقة المتعددة العوامل وغيرها من الإجراءات الحمائية.