وبلاگ

از جمله اسناد بین المللی در این رابطه، می توان به اقدامات سازمان ملل متحد اشاره نمود که در حوزۀ تروریسم سایبر با تصویب و صدور کنوانسیون ها و توصیه نامه های متعدد، اقدامات چشمگیری را به منظور مقابله با تهدیدات سایبری از جمله تروریسم سایبری انجام داده است. در این راستا نهادها و سازمان های بین المللی و منطقه ای نیز اقدام به صدور قطعنامه ها، توصیه نامه ها و اقدامات پیشگیرانه و مقابله ای در زمینۀ محافظت از بزه دیدگان بالقوۀ جرایم سایبری، از جمله زیرساخت های اطلاعاتی، داده ها و سیستم های رایانه ای نموده اند که به طور کلی مشمول اقدامات پیشگیرانۀ کیفری می شود. به عبارتی دیگر، ممکن است در برخی از اسناد و سازمان های مذکور به اقدامات کیفری نیز اشاره ای کوتاهی شده باشد. در این راستا به اقدامات انجام گرفته در حوزۀ پیشگیری غیر کیفری در اسناد بین المللی و منطقه ای اشاره می گردد:
۲-۲-۲-۱- توصیه نامه های نشریۀ بین المللی سیاست جنایی
نشریۀ بین المللی سیاست جنایی، یکی از اقدامات سازمان ملل به منظور نشر و توسعۀ آگاهی های مربوط به امنیت رایانه است. سازمان ملل متحد در سال ۱۹۹۴ در این نشریه به امنیت سیستم های رایانه ای پرداخته و امنیت این سیستم ها را در امنیت سیستم های EDP[66] بیان داشته است. با این توضیح که امنیت سیستم های EDP از هفت مؤلفۀ اساسی تشکیل شده است که شامل امنیت اداری و سازمانی، امنیت پرسنلی، امنیت فیزیکی، امنیت مخابرات الکترونیکی، امنیت سخت افزاری و نرم افزاری، امنیت عملیّاتی و برنامه ریزی است که به صورت کوتاه به بیان هر یک از موارد فوق پرداخته می شود:

1. 1. امنیت اداری و سازمانی: شامل تعیین راهبردهای کلی امنیت برای ایمن سازی سازمان و مشخص نمودن شیوۀ دقیق و ضمانت صحیح اجرای اصول حاکم بر امنیت است.

1. امنیت پرسنلی: این بخش از امنیت شامل تعیین ضوابط و قوانینی است که کارکنان یک سازمان باید برای حفظ امنیت سیستم های اطلاعاتی رعایت کنند. امروزه شمار حملات سایبری موسوم به «خودی» که از طرف کارمندان یک سازمان ارتکاب می یابد، بیشتر شده و به عنوان یک معضل اساسی برای مدیران سازمان های تبدیل شده است.
2. امنیت فیزیکی: این بخش از امنیت، وضعیت محیطی سیستم ها را مورد توجه قرار داده و بیان می دارد که سیستم های EDP باید در مکانی استقرار یابند که از دسترسی عوامل غیرمجاز در امان باشند.
3. امنیت مخابرات الکترونیکی: مخابرات به طور غالب یک بخش اساسی از سیستم های خودکار را تشکیل می دهد. بنابراین تدابیری که مخابرات الکترونیکی را محافظت نماید، برای برقراری امنیت سیستم های رایانه ای و داده های آن ها ضروری است.
4. امنیت سخت افزاری و نرم افزاری: امنیت سخت افزاری به امکانات و ویژگی های حفاظتی مربوط می شود که به کمک مشخصه های ساختاری تجهیزات داده پردازی و همچنین روش های پشتیبانی و کنترلی لازم برای حفاظت از تمامیت عملیّات آن امکانات، تحقق می پذیرد (عقبری، ۱۳۷۷: ۶۷).
5. امنیت عملیّاتی: به سیاست ها و روش هایی مربوط می شود که به منظور قابل استفاده بودن دایم قابلیت های عملیّاتی، قبول نقاط آسیب پذیر امنیتی در داخل محیط مورد نظر، ضرورت دارد.
6. برنامه ریزی احتیاطی: هر سیستم EDP، به منظور ارائۀ نوع خاصی از خدمات یا انجام وظیفه ای ایجاد می شود. برنامه ریزی احتیاطی، صرف نظر از ماهیت اطلاعات پردازش شده یا حجم تأسیسات سرویس دهنده، در برنامۀ تأمین امنیت EDP، شرط اساسی به شمار می آید (دبیرخانۀ شورای عالی انفورماتیک، ۱۳۷۶: ۷۵-۷۴).

اقدامات و توصیه نامه های فوق که در نشریۀ سیاست جنایی مورد اشاره قرار گرفته اند، نمونه ای از تلاش های سازمان ملل متحد در اطلاع رسانی و آموزش سازمان ها در خصوص اتخاذ تدابیر امنیتی رایانه ای هستند که در صورت پیاده سازی این اصول، تهدیدات سایبری از قبیل تروریسم سایبری، به ندرت سلامت داده ها و تأسیسات رایانه ای را مورد تعرض قرار خواهند داد.
۲-۲-۲-۲- دستورالعمل و توصیه نامه های سازمان همکاری و توسعۀ اقتصادی
علاوه بر سازمان ملل متحد، سازمان های دیگری در رابطه با تروریسم سایبری تلاش های را انجام داده اند. برخی از سازمان های منطقه ای و بین المللی، حتی فراتر از سازمان ملل در خصوص جرم انگاری جرایم رایانه ای و تدابیر پیشگیرانه در سطح بین الملل اقدام نموده اند. از جمله سازمان های مذکور، می توان به سازمان همکاری و توسعه اقتصادی، اشاره نمود.
اولین تلاش بین المللی برای مقابله با مشکلات و معضلات جرایم رایانه ای، در سال ۱۹۷۷ توسط سازمان همکاری و توسعه اقتصادی انجام شد. کمیتۀ تخصصی این سازمان در سال ۱۹۸۹ اقداماتی را به منظور اتخاذ سیاستی مشترک برای مقابله با جرایم اینترنتی و هماهنگی قوانین کیفری، همچنین حمایت از حقوق فردی و جریان فراملّی داده های شخصی شروع کرد. در جولای سال ۲۰۰۲ این سازمان، اقدام به انتشار سند جامع «خط مشی هایی برای امنیت سیستم های اطلاعاتی و شبکه ای: به سوی فرهنگ امنیتی»[۶۷] نمود. این خط مشی ها شامل نه اصل، دربارۀ موضوعات مرتبط با امنیت اطلاعات هستند (Dunn&Mauer, 2006: 181). در مورد ایمن سازی سیستم های اطلاعاتی، این سازمان شالوده ای را پی ریزی کرده است که بر اساس آن، کشورها و بخش های خصوصی، به صورت انفرادی یا هماهنگ با یکدیگر، خواهند توانست چارچوبی برای امنیت سیستم های اطلاعاتی به وجود آورند. این چارچوب شامل قوانین، ضوابط رفتاری، تدابیر فنّی، تجربیات مدیران و کاربران، آموزش و آگاه ساختن مردم می شود. دستورالعمل های سازمان همکاری و توسعۀ اقتصادی، بخش های عمومی و خصوصی (اشخاص) را مخاطب خود قرار می دهد و در تمامی سیستم های اطلاعاتی و شبکه ای قابل استناد است و با توجه به اهداف زیر تهیه شده اند:

1. بالا بردن سطح آگاهی نسبت به خطرات محتمل در سیستم های اطلاعاتی و تدابیر حفاظتی موجود برای مقابله با آن ها.
2. فراهم نمودن یک چارچوب کلی برای افراد مسئول برای ایمن سازی سیستم های اطلاعاتی و تدوین روش های جدید برای محافظت از آن ها.
3. ایجاد و گسترش همکاری در بین بخش خصوصی و عمومی در اجرا و ابداع روش های منسجم برای ایمن سازی سیستم های اطلاعاتی.
4. گسترش و ترویج حس اعتماد نسبت به سیستم های اطلاعاتی در نحوۀ ارائه و استفاده از آن ها.
5. ایجاد سازوکارهایی به منظور افزایش بهره برداری از سیستم های اطلاعاتی در دو سطح ملّی و بین المللی.
6. ایجاد و گسترش همکاری های بین المللی و منطقه ای در بین کشورها به منظور پیاده سازی امنیت سیستم های اطلاعاتی (سازمان ملل، ۱۹۹۴: ۸۴).

همچنین این سازمان در سال ۱۹۹۰، کمیتۀ خط مشی اطلاعات، رایانه و ارتباطات سازمان توسعه و همکاری اقتصادی را تأسیس و در این راستا اقدام به تشکیل گروهی از کارشناسان به منظور تدوین رهنمودهایی برای ایمن سازی سیستم های اطلاعاتی در حوزه های حقوق، ریاضیات، علوم رایانه ای و نمایندگانی از بخش خصوصی نمود. گروه کارشناسان پس از برگزاری چندین اجلاس، اقدام به تهیۀ گزارشی تحت عنوان «رهنمودهایی جهت امنیت سیستم های اطلاعاتی» نمود و به کمیتۀ خط مش تحویل داد و در سال ۱۹۹۲ توسط همین کمیته تصویب شد. هدف از تدوین چنین رهنمودهایی، گسترش سازوکارهای مربوط به ایمن سازی سیستم های اطلاعاتی و به کارگیری آن ها در بخش خصوصی و دولتی که به صورت قوانین ملّی تهیه شده بودند، دربردارندۀ هشت اصل اساسی هستند که عبارت اند از:

1. “پاسخگویی: مسئولیت و پاسخگویی مالکان، ارائه کنندگان و کاربران سیستم های اطلاعات و اشخاص دیگر مرتبط با امنیت سیستم های اطلاعاتی باید واضح و روشن باشد.
2. آگاهی: بالا بردن آگاهی برای ایجاد اعتماد در سیستم های اطلاعات، صاحبان، تولیدکنندگان و کاربران سیستم های اطلاعاتی و اشخاص دیگر برای کسب اطلاعات مناسب در مورد کم و کیف اقدامات و شیوه های امنیت اطلاعات.
3. اخلاقیات: به این اصل اشاره دارد که ایمن سازی سیستم های اطلاعاتی و همچنین استفاده از آن ها باید طوری برنامه ریزی شود که به حقوق قانونی افراد لطمه وارد نکند.
4. چند زمینه ای: اقدامات و تدابیر امنیتی و حفاظتی باید متناسب با ارزش اطلاعات و ضرر بالقوه اندیشیده شوند.
5. نسبیت: سطوح امنیت، معیارها، هزینه ها و اقدامات، بایستی متناسب با ارزش و درجۀ اطمینان سیستم های اطلاعاتی و نیز ا توجه به سخت گیری، احتمال و محتوای ضرر بالقوه باشد.
6. تلفیق: معیارها، اقدامات و شیوه های امنیت سیستم های اطلاعاتی باید با یکدیگر هماهنگ و منسجم باشند تا بتوانند یک سیستم منسجم امنیتی به وجود آورند.
7. وقت شناسی: سازمان های دولتی و خصوصی، هم در سطح ملّی و بین المللی، باید برای جلوگیری به موقع از نقص امنیت سیستم های اطلاعاتی اطلاع و به صورت دوره ای مورد ارزیابی قرار دهند.
8. دموکراسی: امنیت سیستم های اطلاعاتی و گردش اطلاعات باید در یک جامعۀ دمکراتیک هماهنگ باشد” (System Security Study Committeeet al., 1991: 25).

این رهنمودها چندین حوزۀ اجرایی را مورد بررسی قرار می دهند، از جمله ایجاد خط مشی، آموزش و تربیت، تحمیل و اصلاح موارد مرتبط با اجرای خط مشی، حفاظت از امنیت اطلاعات و همکاری بین دولت ها و بخش خصوصی از جمله حوزه هایی است که رهنمودهای مذکور آن ها را تحت پوشش قرار می دهند. در این راستا این سازمان به معرفی مصادیقی از جرایم رایانه ای پرداخته که برخی از آن ها به طور عام به اعمال مرتبط با تروریسم سایبری اشاره دارد. یکی از مصادیق مذکور عبارت است از: ورود، تغییر، پاک کردن و یا متوقف سازی داده ها و یا برنامه های رایانه ای که به طور عمدی و با قصد جلوگیری از عملکرد سیستم های رایانه ای و مخابراتی صورت گرفته باشد.
با توجه به این که سابوتاژ رایانه ای، می تواند وسیله ای برای تحصیل و پیشبرد فعالیت های غیرقانونی تروریست های دارای انگیزه های مختلف باشد، در این زمینه می توان به متن پیشنهادی شورای اروپا اشاره نمود که دربارۀ جرایم سایبری برای تصویب به کمیتۀ وزرا پیشنهاد گردید. در این متن به سابوتاژ رایانه ای اشاره شده که شباهت خاصی به برخی ارکان تروریسم سایبری دارد. سابوتاژ رایانه ای به «وارد کردن، تغییر، محو یا موقوف سازی داده های رایانه ای یا برنامه های رایانه ای یا مداخله در سیستم های رایانه ای یا قصد ایجاد وقفه در عملکرد رایانه یا سیستم ارتباطی- مخابراتی» (حسن بیگی، ۱۳۸۴: ۱۹۵-۱۹۴) و همچنین به «استفادۀ بدون حق از برنامۀ رایانه ای که توسط قانون مورد حمایت قرار گرفته است و همچنین ایجاد و ارائۀ مجدد آن بدون حق، خواه با قصد کسب امتیاز اقتصادی برای خود یا دیگری و خواه به قصد ایجاد صدمه ای برای دارنده حق باشد» (حسن بیگی، ۱۳۸۴: ۱۹۶) گفته می شود. این سازمان هشت اصل کلی را برای اعمال در داخل کشورها پیشنهاد داده که در اصل پنجم توصیه نامه، به محافظت های امنیتی پرداخته که مستلزم تدابیر متعارف امنیتی است (نوری و همکاران، ۱۳۹۰: ۱۷۱-۱۷۰). همان طور که در اصل پنجم اشاره گردید، این سازمان به طور عامیانه به تدابیری امنیتی برای محافظت از داده ها به منظور اعمال غیرمجاز علیه آن ها پرداخته است و هیچ گونه اشارۀ خاصی به اقدامات امنیتی در مقابل تروریسم سایبری و پیشگیری از آن نکرده است.
علاوه بر اقدامات فوق، این سازمان در خصوص امنیت سیستم های اطلاعاتی، چارچوبی را از جمله قوانین، ضوابط رفتاری، تدابیر فنّی، تجربیات مدیران و کاربران، آموزش و آگاه ساختن مردم تدوین نموده است و شش مورد را با توجه به وظایف زیر عنوان کرده است:

1. “بالا بردن سطح آگاهی نسبت به خطرات محتمل در سیستم های اطلاعاتی و تدابیر محافظتی موجود در مقابله با آن ها.
2. ایجاد یک چارچوب کلی برای کمک به افراد مسئول در بخش های عمومی و خصوصی، به منظور ابداع و اجرای تدابیر و روش های منسجم برای امنیت سیستم های اطلاعاتی.
3. ترویج و اشاعۀ همکاری بین دو بخش خصوصی و عمومی در ابداع و اجرای تدابیر و روش های مزبور.
4. ترویج اعتماد در سیستم های اطلاعاتی در نحوۀ ارائه و استفاده از آن ها.
5. تسهیل در توسعه و بهره برداری از سیستم های اطلاعاتی در سطح ملّی و بین المللی.
6. اشاعۀ همکاری بین کشورها در دستیابی به امنیت سیستم های اطلاعاتی” (سازمان ملل، ۱۹۹۴: ۸۴).

۲-۲-۲-۳- هشتمین نشست سازمان ملل متحد دربارۀ پیشگیری از جرم و اصلاح مجرمین
این قطعنامه، نتیجۀ تلاش سیزدهمین نشست پیشگیری از جرم و اصلاح مجرمین، دربارۀ جرایم رایانه ای بود که با شمارۀ ۱۲۱/۴۵ در ۱۴ دسامبر سال ۱۹۹۸ مورد پذیرش مجمع عمومی سازمان ملل قرار گرفت. مجمع عمومی در این قطعنامه از کشورهای عضو خواسته است که به منظور مبارزه با جرایم رایانه ای، مواردی از این قبیل را در دستور کار خود قرار دهند: به روز نمودن قوانین و دادرسی های کیفری ملّی، تقویت و ایجاد سازوکارهای پیشگیرانه و امنیتی برای هرگونه استفاده از رایانه با در نظر گرفتن حریم خصوصی کاربران و آزادی های مشروع افراد، افزایش آگاهی عمومی و توجه قانون گذاران و مردم نسبت به جرایم رایانه ای و توسّل به اقدامات پیشگیرانه، آموزش به دست اندرکاران قوۀ قضاییه در زمینۀ فرایندهای کیفری مربوط به جرایم رایانه ای و اقتصادی، مطالعه و همکاری با سازمان های ذینفع در زمینۀ اخلاق استفاده از رایانه و اقدام به تدوین مواد درسی و آموزشی به منظور ارتقای سطح آگاهی جامعه و همچنین اتخاذ سیاست های مربوط به بزه دیدگان جرایم رایانه ای، بر اساس اعلامیۀ اصول بنیادین عدالت برای بزه دیدگان و قربانیان سوءاستفاده از قدرت تلاش کنند (UN Resolution, 45/121, 1998).