هل الحكومة الإلكترونية آمنة؟

هل الحكومة الإلكترونية آمنة؟

الخميس 11 كانون الثاني 2018

 برويّة تنتقل اليوم مساحة إجراء المعاملات الحكومية من المكاتب والطوابق والدوائر إلى المواقع والتطبيقات الإلكترونية. فتعلن وزارة الاتصالات تقديم عشر خدمات بطريقة إلكترونية فقط ابتداءً من اليوم الأول من 2018، منها شهادة عدم المحكومية ومعاملات تجديد رخص المهن وغيرها. سيختصر المواطنون الوقت والواسطات وعناء التنقل بين مكاتب الموظفين عن طريق إنشاء حسابات، تعتمد على بياناتهم الشخصية، عبر المواقع والتطبيقات الحكومية. يكون هذا الحساب مفتاح النفاذ إلى بيانات الضرائب والمخالفات وقضايا عدم المحكومية وغيرها من المعاملات التي ستطرحها الحكومة.

كمّ البيانات التي ستتدفق من أجهزة المواطنين إلى خوادم الوزارات، والاعتماد الكامل على شبكة الإنترنت في إتمام بعض المعاملات يدفعنا للتساؤل عن مدى اتخاذ الجهات الحكومية للتدابير اللازمة لتأمين هذه البيانات. «أمن المعلومات» كان أحد المحاور الأربعة الأساسية في استراتيجية الحكومة الإلكترونية 2006 -2009. وبحسب تصريح مكتب أمين عام وزارة الاتصالات، نادر ذنيبات، عبر البريد الإلكتروني لحبر فإن أمن المعلومات هو أحد المعايير التي تُخضِع الوزارة الخدماتِ الإلكترونية المقترحة لها، بالإضافة إلى رحلة المستخدم وجودة الخدمة، «وبناء على نتائج الفحص تقرّر الوزارة الإطلاق أم عدمه».

أثبتت العديد من الخدمات الإلكترونية سهولة إتمام إجراءاتها وتلبيتها لاحتياجات المواطنين. لكن في هذا المقال نعرض ملاحظات على الثغرات الأمنية، أو الإجرائية أو التقنية، في تصميم هذه الخدمات التي تعرّض بيانات المواطنين لخطر الاختراق. ليس الهدف أن نُمطر النقد على خدمات الحكومة الإلكترونية بعد أربعة عشر عامًا من إطلاق المشروع في 2001، بل رفع وعي المواطنين والمسؤولين على الفرص التي قد تتيحها هذه الثغرات لارتكاب جرائم انتحال الشخصية والتجسس، لا من مخترقين محترفين بأدوات معقدة، بل من هواة بأدوات بسيطة.

مواقع لا تدعم الـ(HTTPS)

إذا نظرت إلى عنوان الموقع الذي تقرأه الآن في أعلى متصفحك، سترى بأنه يبدأ بمجموعة الأحرف https تسبقها علامة قفل خضراء. تعني هذه العلامة بأن الموقع قام بتوظيف شهادة آمنة لنقل البيانات من جهاز المستخدم إلى خوادم الموقع التي ستُخزّن عليها البيانات. هذه الإشارة تعني أيضًا أن المتصفح تحقق من هوية الموقع كموقع آمن لإدخال البيانات الشخصية ولا ينتحل هوية موقع آخر. طباعة معلومات شخصية (اسم الحساب وكلمة السر أو الرقم الوطني أو العنوان أو رقم بطاقة الشراء…إلخ) في موقع لا يشمل عنوانه هذه الصيغة (https) خطير مثل كتابة هذه المعلومات على ورقة ورميها في الشارع.

حرف الـ«s» اختصار لكلمة (secure) أي آمن. تشير هذه الـ«s» إلى طبقة المنافذ الآمنة (SSL/TLS) الذي تنشئ قناة تقوم بتشفير شكل البيانات القادمة من جهاز الكمبيوتر لخادم الموقع. اليوم تحمل كل المواقع التي تطلب بيانات شخصية شهادة (SSL) محكمة لإيقاف المتلصصين.

تطلب مواقع الحكومة الإلكترونية من المواطنين توفير بياناتهم الشخصية وإنشاء حسابات لهم ليتمكنوا من النفاذ إلى خدماتها. لكنها بالمقابل غفلت عن توفير أدنى المتطلبات التقنية لإحكام أمان المواطنين الرقمي عبر توظيف شهادة (SSL) محكمة. لنفرض أن صاحبة شركة أرادت تسجيل حساب لتستفيد من الخدمات الإلكترونية التي تقدمها دائرة مراقبة الشركات. لضمان سرية وشرعية صاحبة الطلب، تشترط الدائرة حضور المفوضة عن التوقيع شخصيًا لتوقيع طلب رسمي والحصول على اسم المستخدم و كلمة السر. تذهب هذه الضمانات مع الريح في اللحظة التي تُدخل بها صاحبة الحساب معلومات حسابها في موقع دائرة مراقبة الشركات الذي ما زال (حتى تاريخ كتابة هذا المقال) لا يدعم الـ(https). كذلك الحال في الخدمات المطلقة على موقع وزارة الصناعة والتجارة والتموين، ومشروع النافذة الموحدة بين دائرة الأراضي ووزارة المالية الذي يهدف لتمكين المواطنين من الاستعلام عن تفاصيل الضرائب المستحقة أو المدفوعة عن عقاراتهم، وموقع «دعمك» الذي أطلقته وزارة المالية حتى يستطيع أرباب الأسر تقديم طلب بمعلومات مفصّلة للاستفادة من الدعم النقدي بعد رفع الدعم عن الخبز.

وفي الوقت الذي لا تلتزم فيه العديد من مواقع الخدمات الحكومية الإلكترونية بهذا المعيار، تجب الإشادة بتطبيق العديد من الجهات لهذا المعيار، مثل: وزارة الداخلية أو دائرة ضريبة الدخل والمبيعات أو بوابة الحكومة الإلكترونية.

بعض المواقع الأخرى، طبّقت معيار الأمان هذا بعد أشهر على إطلاق الخدمة للجمهور، ومن بينها: أمانة عمان وموقع عدم المحكومية التابع لوزارة العدل والضريبة. يقول سلطان الخرابشة، مدير دائرة تكنولوجيا المعلومات في أمانة عمان، إن «وزارة الاتصالات أوردت ملاحظات بنقص شهادة الـ(SSL) من الموقع عند إخضاع الخدمات الإلكترونية للفحص قبل إطلاقها، لكن ومع ذلك ما في خدمة بتطلع مية بالمية. حتى موضوع السيكيوريتي بتم مراجعة دورية [إله] باستمرار، والخلل اللي منشوفه منحاول نصلحه». أما مدير دائرة تكنولوجيا المعلومات في وزارة العدل، محمد اللحام، فيقول لحبر «على الرغم من أن شهادة الـ(SLL) كانت مطلوبة، ومن أحد النقاط التي رفعتها وزارة الاتصالات عند فحص الخدمة، كان لابد من الخدمة أن تطلق بشكل تجريبي. وتم السير بإطلاق الخدمة إلى حين انتهاء إجراءات شراء الشهادة الأمنية». من الجدير بالذكر هنا بأن موقع خدمة شهادة عدم المحكومية الإلكترونية تم إطلاقه بنسخته الأولى في 2011 (حسب موقع أرشيف الإنترنت).

وفي ردّه على سؤالنا حول التأخر في تبني هذه الشهادة من قبل بعض الجهات الحكومية أجاب مكتب أمين عام وزارة الاتصالات: «فيما يخص الشبكات الداخلية للمؤسسات الحكومية فهي من مسؤولية كل مؤسسة لفرض ضوابط أمن المعلومات عليها». يعني هذا أن قسم الحكومة الإلكترونية في وزارة الاتصالات يدير فقط الخدمات التي تطلقها الحكومة الإلكترونية، وأن جميع الخدمات المدارة من قبل الحكومة الإلكترونية تخضع إلى تقييم أمني، تُفرض على إثره الضوابط الأمنية مثل شهادة (SSL).

كلمة السر ليست سرًا

هل نحتاج لأن نسأل لماذا لا تحتفظ وكالة شركة السيارات بنسخة عن كل مفتاح سيارة باعتها كخدمة، في حال فقد صاحب/ة السيارة المفتاح الخاص به؟ يبدو أن علينا توجيه هذا السؤال للحكومة الإلكترونية لتقريب منطق الحاجة لتشفير كلمات السر الخاصة بحسابات المواطنين عند تخزينها على خادم مركزي لها. تمامًا كما لا يجب أن يكون لموظف شركة السيارات نفاذ على الملكية الخاصة للزبائن، ليس للمسؤول التقني في الحكومة الإلكترونية الحق في النفاذ إلى كلمات سر أصحاب الحسابات، وما تفضي إليها من بيانات أخرى، تعتبر كذلك مُلكية خاصة.

على الرغم من تصريح مكتب أمين عام وزارة الاتصالات بأن معيار أمن البيانات من بين شروط إطلاق الموقع (أو الخدمة) من عدمه، سقط المتطلب البسيط بتشفير كلمة السر من العديد من مواقع أو تطبيقات الحكومة الإلكترونية التي تطلب إنشاء حساب عليها. فعندما تطلب استعادة كلمة السر، في حال نسيانها، من تطبيق «بخدمتكم» المطلق من وزارة الاتصالات، أو تطبيق وزارة العدل، أو موقع «أمانة عمان»، يرسل لك الخادم على البريد الإلكتروني أو رقم الهاتف المسجل نص كلمة السر، مما يعني أن الموقع أو التطبيق يسجل كلمة السر، نصًا وكما أدخلتها، على خادم مركزي. لنتخيّل عدد الحسابات التي يمكن الدخول إليها باستخدام كلمة سر واحدة، وهي أكثر السلوكيات خطرًا على أمن البيانات، وأكثرها شيوعًا. ولأن كلمات السر هذه تُخزّن في خادم مركزي، فلنا أن نتخيل حجم الكنز المكوّن من بيانات حسابات ملايين المواطنين الذي تركته الحكومة الإلكترونية لمخترق حاذق، أو لشخص مخوّل بالدخول إلى الخادم.

تعمل أمانة عمّان حاليًا، بحسب الخرابشة، على تشفير كلمة السر. وردًا منه على استفسار حبر عن عدم القيام بهذه الخطوة قبل إطلاق الخدمة، يقول الخرابشة: «أحكيلك إياها بصراحة ليش أنا مش هاكل همها، كبداية حتى من هاكر أو أي حدا، لأنها عبارة عن حساب عادي، أي لا يسجل المعلومات المالية، فقط معلومات استعلامية أو إجرائية». الجدير بالذكر هنا بأن النفاذ إلى حساب موقع الأمانة يعني النفاذ إلى تفاصيل ضريبة المسقفات ومخالفات السير والملكية العقارية الخاصة بصاحب الحساب إن قام صاحب الحساب بضبط إعداداتها مسبقا.

أمّا تطبيق وزارة العدل، فيولّد كلمة سر من أرقام عشوائية حتى تتمكن من الدخول إلى حسابك دون أن توفر لك خاصية تغييرها. إن نسي المستخدم الكلمة، يرسل التطبيق رقمًا عشوائيًا آخر برسالة نصية إلى هاتفك. وبحسب محمد اللحام فإن «كلمات السر لا تخزن بشكل نص على الخادم. حيث يقوم النظام بإرسالها إلى صاحب العلاقة على هاتفه الشخصي بصورة غير مشفرة لكي يستطيع قراءتها». يعني ذلك أن هناك مفتاح تشفير على ذات الخادم، يشفّر ويفك شيفرات كلمات السر.

وتعليقًا على قدرة الأشخاص المخوّلين بالدخول للخادم، وقدرتهم على النفاذ لذات المفتاح، يقول اللحام: «هاي نقطة جديرة بالاهتمام، وهذه الصلاحيات غير متوفرة إلّا لعدد محدود جدًا من التقنيين من أصحاب الثقة، ويوجد وسائل مراقبة على أدائهم لعملهم». بالإضافة إلى الأشخاص المخوّلين بالدخول لملف بيانات الحسابات، أو أي مخترق محترف، سيكون بمقدور أي شخص يستخدم هاتفك الخلوي، لغايات الصيانة مثلًا، الاستعلام عن سجل القضايا الخاص بك، فكل ما يحتاج لفعله هو الضغط على «forget password» لتصله رسالة نصية بكلمة سر جديدة.

يعدّ توظيف نظام تعمية لتشفير كلمات السر في أماكن تخزينها  من أدنى المعايير التي وجب على المواقع اتباعها. فمثلا اعترفت ياهو في 2017 بتعرض بيانات ثلاثة مليارات حساب للاختراق بسبب استخدام تعمية غير محكمة لتأمين كلمات سر الحسابات قبل ثلاثة سنوات. بناء على خوارزميات معينة، تحوّل هذه التعمية (المختلفة بدرجة إحكامها) مجموعة الحروف التي تدخلها في خانة «كلمة السر» إلى خليط حروف وأرقام تسمى (هاش Hash) وهو ما يخزن على الخادم. لهذا عندما تنسى كلمة السر الخاصة بك وتحاول استرجاعها من موقع البنك أو البريد الالكتروني، لا يرسل الموقع نص كلمة السر إلى بريدك المسجل على الحساب بل يطلب إعادة تكوين كلمة سر أخرى، لأنها ببساطة لا تخزّن النص أو مفتاح تشفير كلمات السر على خوادمها.

سهولة انتحال الشخصية

للتدليل على سهولة انتحال شخصية ما، نذكر متطلّبات استخراج الأوراق من بعض المواقع الحكومية:

الرقم الوطني وتاريخ الميلاد هو ما يحتاجه المواطن لطلب شهادة عدم محكومية على موقع وزارة العدل.

الرقم الوطني فقط للاستعلام عن الذمم المالية المستحقة على موقع وزارة المالية.

الرقم الوطني ورقم الهوية لتسجيل حساب على تطبيق وزارة العدل.

الرقم الوطني ورقم القيد لتسجيل حساب على بوابة الحكومة الإلكترونية سيمكنك من النفاذ إلى بيانات دفتر العائلة وجواز السفر لدى دائرة الأحوال المدنية والجوازات، والاستعلام عن ضريبة الأبنية والمسقفات لدى أمانة عمان الكبرى، والدعوات القضائية الخاصة بك لدى وزارة العدل.

في كل هذه الخدمات المطروحة يحتاج الموقع إلى الرقم الوطني (أو رقم القيد على بطاقة الهوية) دون التحقق من شرعية صاحب الطلب بالنفاذ إليها. يعني ذلك أن أفراد العائلة التي تتناقل صور الهوية بين بعضها البعض، أو الموظفين الذين بحوزتهم صورة عن هوية العملاء (لنتخيل عدد الأشخاص الذين لديهم صورة عن هوياتنا في البنوك وشركات الاتصالات والفنادق وشركات تأجير السيارات ودائرة الأحوال المدنية.. إلخ)، كل هؤلاء لديهم القدرة على تسجيل حساب لك على موقع حكومتي بخدمتي، أو موقع الأمانة، كما لديهم القدرة على معرفة الأبنية المسجلة باسمك مثلًا، أو ضريبة المسقفات المستحقة، أو القضايا العالقة عليك.

أما بالنسبة للخدمات التي لا تتطلب الرقم الوطني فقط، بدون رقم الهوية، فقد سهلت «الهيئة المستقلة للانتخابات» و«دائرة الأحوال المدنية» لكل من ليس بحوزته نسخ عن هوية الشخص، بنشر الأرقام الوطنية لملايين المواطنين على مواقعها. ففي عام 2017، نشرت الهيئة الأرقام الوطنية لملايين الناخبين الذكور الذين يحق لهم الانتخاب في الانتخابات البلديات بحجة إتاحة المجال للاعتراض على أماكن تسجيلهم. كما تضمنت القائمة المنشورة الأسماء الرباعية والدوائر المسجلة لدى دائرة الأحوال المدنية. كان من الممكن للهيئة الاكتفاء بالأسماء الرباعية ليس ذلك فقط، بل ما تزال هذه الأرقام منشورة على موقع الهيئة على الرغم من انتهاء الغرض المخصص لها. وفي العام 2016 نشرت دائرة الأحوال المدنية قوائم الأسماء الرباعية والأرقام الوطنية لكل أبناء الأردنيات المتزوجات من أجانب لاستلام بطاقات أبنائهم.

تصرّح هيئة الانتخابات عبر حسابها على تويتر بأن «نشر أسماء المواطنين وأرقامهم الوطنية جاء تبعًا للتعليمات التنفيذية للعملية الانتخابية». ولكن هذا إنما يشير إلى تدني أو انعدام التفكير بأمن بيانات المواطنين كمعيار في آلية تفاعل هذه المؤسسات مع مواطنيها على الإنترنت.

المشكلة في هذا الموضوع من شقين: الأول هو استباحة المؤسسات الحكومية لخصوصية ملايين المواطنين بنشر معلومات تسهل انتحال شخصيتهم رغم إمكانية الاكتفاء بعرض الاسم الرباعي لتلبية ذات الغاية. الثاني، هو إغفال الجهات الحكومية المقدّمة للخدمات ضمانات توثيق هوية الحساب والتحقق من شرعية من يقوم بإنشائه. يعتقد الخرابشة أنه كلمّا «غلّبت المواطن» في عملية الدخول إلى حسابه، فإنه يتكاسل في استخدامه. ويؤكد بالمقابل على المسؤولية المترتبة على أي جهة جامعة للبيانات في تأمين بيانات المواطنين: «أي إشي بخص السكيوريتي أنا ما بشتغله من أمانة عمان حاليًا، أنا بشتغله عن طريق وزارة الاتصالات». أما وزارة العدل فتكتفي بأضعف الإيمان: إبلاغ المنتحل بأنه يخالف القانون كما في تطبيق وزارة العدل. يقول اللحام: «التطبيق يطلب معلومات غير موجودة إلّا عند صاحب العلاقة مثل الرقم الوطني ورقم الهوية». وعندما أشرنا إلى توفر صور الهوية في مئات الأماكن والشركات مثل دائرة الأحوال أو شركات التأمين، قال اللحام: «لماذا سيكون له مصلحة بالدخول إلى بياناتك؟ أيضًا، سيظهر لدى المواطن المعني رسالة تفيد بأنه تم إنشاء حسابٍ آخر بمعلوماته، عندها يستطيع يقدم شكوى لوزارة العدل بحق الشخص الذي سجل حساب باسمه على التطبيق، وتستطيع وزارة العدل تتبع منتحل الشخصية بوسائل متوفرة لدى الوزارة».

«كل تأخيرة فيها خيرة»

لا ينطبق هذا المثل على موضوع تطبيق معايير الأمان العالمية بما يتعلق بالخدمات الإلكترونية المقدّمة للعامة. كان بإمكان الحكومة الإلكترونية الاستفادة من تجارب الحكومات الأخرى في وضع معايير أمان تقنية وجب على جميع المؤسسات الالتزام بها قبل إطلاق خدماتها. فمثلا تنشر الحكومة الأمريكية دليلًا تقنيًا عن (https) يجب على الوكالات الفدرالية الالتزام به عند إطلاق خدماتها الإلكترونية، وأطلقت الحكومة الهندية موقعًا خاصًا يتعلق بمعايير إطلاق أي خدمات إلكترونية تتضمن معايير تقنية على مستوى التشفير والتوثيق والتحقق.

عند السؤال حول توفر دليل للمعايير التقنية أو الإجرائية تُلزَم الجهات الرسمية المختلفة بالتقيد بها عند تصميمها لخدماتها الإلكترونية، شاركنا مكتب الأمين العام لوزارة الاتصالات «الاستراتجية الوطنية لتأمين المعلومات والأمن السيبراني» وهي وثيقة أطلقت في عام 2012 تُذكر فيها محاور يجب على الجهات الحكومية التقيد بها، ولكن دون ذكر تفاصيل للمعايير الإجرائية أو التقنية. مثلًا، تذكر الوثيقة أهمية تطوير «نظام تشفير وطني» دون إدراج التفاصيل التقنية لهذه الأنظمة. يذكر مكتب الأمين العام بأن لدى الوزارة «أحدث الأجهزة والبرمجيات للحفاظ على أمن المعلومات (Firewall, WAF, IDS and IPS). تعمل الوزارة أيضًا على ربط جميع المؤسسات الحكومية على (SGN) شبكة الحكومة الآمنة». قد تكون هناك ضوابط وأدوات أمنية تطبقها وزارة الاتصالات على مستوى بنية الشبكة التحتية لحمايتها من الاختراق الممنهج والمعقد، ولكن في هذا المقال نشير إلى معايير بسيطة وجب اتباعها لحماية بيانات المواطنين على مستوى نقلها وتخزينها وتوثيقها.

وفي حال إقرار مشروع قانون حماية البيانات الذي ما زالت تعمل وزارة الاتصالات على نسخته الأخيرة، فإن المؤسسات الحكومية تتحمّل المسؤولية القانونية بسبب عدم اتخاذها تدابير تقنية أو إجرائية مناسبة لتأمين بيانات المواطنين التي تخدمهم. نعم، الأموال التي خُصّصت لتقديم خدمات الحكومة الإلكترونية كبيرة، والفترة الزمنية التي انتظرها المواطنون لتطوير الحكومة الإلكترونية طويلة أيضًا، ولكن المجازفة في موضوع الاختراقات الأمنية، وخسارة ثقة المواطنين بالحكومة الإلكترونية أشدّ ضررًا وأكثر كلفة.

  • هنالك استهتار تام وعدم مبالاة من موظفي الحكومة، تحدثت مع مجموعة من المعارف حول ضرورة حماية هذه المعلومات، وقال أحدهم “عادي، شو المشكلة يعرف رقمي الوطني أو تاريخ ولادتي” !!!! علمًا بأن استخدام هاتين المعلومتين كفيل بكشف خصوصية ملايين الأردنيين.
    هنالك جهل مطبق من كلا الطرفين، لكن لا يُعفي هذا الجهل الحكومة من مسؤولية توعية مواطنيها وحماية خصوصياتهم.
    في جميع الأحوال، ما زلت أفضل إنجاز المعاملات الحكومية بالطرق التقليدية، لأن معظم أعمال التطوير والأتمتة أضافت المزيد من التعقيد والروتينية، وهي مجرد زينة فقط، وتنحصر فكرة التطوير باستخدام حاسب آلي وطابعة للمعاملة بدل الكتابة بقلم حبر الجاف.