قراءة في قانون 05.20 المتعلق بالأمن السيبراني - من اعداد: التهامي الزروقي - منشورات موقع الباحث القانوني

قراءة في قانون 05.20 المتعلق بالأمن السيبراني

  من اعداد: التهامي الزروقي

مقدمة :

إثر التحولات التكنولوجيا التي عرفها العالم المعاصر،  وما رافقه من ظهور أجهزة الاتصال الحديثة على رأسها الكومبيوتر و شبكة الانترنت، فقد برز جيل جديد قائم على الاستعمال الواسع للوسائط الالكترونية  في كافة مناحي الحياة، وذلك  بفضل ما تقدمه من خدمات وما تتميز من خصائص على رأسها السرعة في إيصال المعلومة و اختراقها للحدود.

غير أن هذه الايجابيات التي تتميز بها شبكة الانترنت  تقابلها مجموعة من السلبيات، والتي تتمثل أساسا في مجموعة من المخاطر التي قد تواجه مستعمل  هذه الشبكة، وذلك من قبيل أعمال الاختراق[1] و كذا الولوج غير المسموح به للمعطيات الشخصية[2] والتلاعب بها، و هو ما من شأنه أن يسبب أضرار جسيمة لمستعمل الشبكة.

و وعيا من المشرع المغربي بخطورة هذه الأفعال، فإنه سعى منذ أمد ليس ببعيد إلى تأسيس ترسانة قانونية حمائية للوسط الإلكتروني، والتي تعد في نظر  الباحث محمد فواز من ضمن الأولويات في العصر الحاضر، حيث اعتبر " أن القوانين الخاصة بالانترنت بشكل عام تمثل سلم الأولوية لدى المشرع لأن التطورات التكنولوجية تتجدد وتتبدل، مما يستدعي وجود نظام قانوني يعالج هذه التطورات ويعاصرها ويواكبها بحيث تتم مواءمة كافة التطورات التي يمكن حدوثها في عصر الإلكترونيات"[3]. 

 ويعد قانون 07.03 المتعلق بحماية نظام المعالجة الآلية للمعطيات[4] أول نص قانوني وضعه المشرع من أجل حماية النظم المعلوماتية من خطر التلاعب، حيث  تضمن مقتضيات زجرية ضد كل  الممارسات المخلة بالسير العادي لأنظمة المعالجة الآلية  للمعطيات .

وبعد ذلك صدر القانون رقم 53.05  المتعلق بالتبادل الإلكتروني للمعطيات القانونية[5] و الذي جاء بمجموعة من المقتضيات القانونية التي تضمنت بين طياتها أحكام مؤطرة للعقد المحرر بطريقة إلكترونية، حيث أقر المعادلة بين الوثائق المحررة على العرف وتلك المعدة إلكترونيا ومعترفا لها بحجية التوقيع الإلكتروني و التشفير. إضافة إلى ذلك صدر كذلك القانون رقم 08.09 المتعلق بحماية المعطيات ذات الطابع الشخصي الذي أضفى حماية قانونية على المعطيات الشخصية من كل مساس أو استغلال غير مشروع.

كما لا ننسى قانون رقم 31.08 القاضي بتحديد تدابير لحماية المستهلك[6]  الذي يعد قانون خاص بفئة المستهلكين، وقد سعى إلى توفير الحماية للمستهلك المتعامل بالوسائل الإلكترونية.

و استكمالا لهذه الترسانة التشريعية، فقد صدر قانون رقم 05.20 المتعلق بالأمن السيبراني، وهو قانون يبتغي حماية النظم والشبكات المعلوماتية الخاصة بالمؤسسات وكذا مستغلي الشبكات العامة للمواصلات ومزودي خدمات الانترنت ومقدمي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية وناشري منصات الانترنت.

 وسنحاول في هذا الإطار دراسة مقتضياته من خلال اعتماد التقسيم التالي : الفقرة الأولى: ماهية الأمن السيبراني. الفقرة الثانية: إجراءات الحماية في مجال الأمن السيبراني.

 

الفقرة الأولى: ماهية الأمن السيبراني

يعتبر الأمن السيبراني من المواضيع التي استأثرت بالاهتمام في الآونة الحالية نظرا لكثرة التعامل بالحواسيب، وما نتج عن ذلك من تخوف كبير بخصوص المخاطر التي قد تنجم عن الجرائم الإلكترونية، لذلك  فقد ظهر مفهوم الأمن السيبراني كتعبير عن رغبة وحرص السلطات العامة في حماية النظم المعلوماتية ذات الأهمية داخل الدولة.

ومن أجل دراسة ماهية هذا الموضوع ارتأينا التطرق بداية إلى مفهوم الأمن السيبراني (أولا)، ونطاق تطبيقه(ثانيا)، ثم تمييزه عن بعض المفاهيم المرتبطة به(ثالثا).

أولا: مفهوم الأمن السيبراني:

الأمن السيبراني تقابله باللغة الإنجليزية (cyber security)، وهو يضم كلمتين، الأولى سيبر (Cyber) وهي لاتينية الأصل ومعناها الفضاء المعلوماتي، أما الثانية فهي security و يقصد بها الأمن، فيصبح المقصود بالأمن السيبراني هو أمن الفضاء المعلوماتي.

 و قد عرفه احد الباحثين على أنه عبارة عن مجموع الوسائل التقنية و الإدارية التي يتم استخدامها لمنع الاستخدام غير المصرح به وسوء الاستغلال واستعادة المعلومات الالكترونية ونظم الاتصالات و المعلومات التي  تحتويها بهدف توافر واستمرارية عمل نظم المعلومات و تأمين حماية وسرية وخصوصية البيانات الشخصية لحماية المواطنين[7].

والمشرع المغربي في إطار قانون 05.20 عمد على غير عادته إلى تعريف الأمن السيبراني، حيث اعتبره في المادة 2 على انه مجموعة من التدابير و الإجراءات و مفاهيم الأمن و طرق إدارة المخاطر و الأعمال و التكوينات و أفضل الممارسات والتكنولوجيات التي تسمح لنظام معلومات أن يقاوم أحداثا مرتبطة بالفضاء السيبراني، من شأنها  أن تمس بتوافر و سلامة و سرية المعطيات المخزنة أو المعالجة أو المرسلة، والخدمات ذات الصلة  التي يقدمها هذا النظام أو تسمح بالولوج إليه.

ومن خلال دراستنا لهذا المفهوم، فإنه يتضح أن مصطلح الأمن السيبراني يشمل العديد من المعاني، و التي يمكن رصد فيما سيأتي:  

- يقصد به بداية مجموعة من الإجراءات الحمائية الهادفة إلى حماية النظم المعلوماتية والتي جاء التنصيص عليها بشكل مفصل في إطار الفصل الثاني من القانون المذكور أعلاه تحث عنوان " إجراءات حماية أمن نظم المعلومات".

- أن الأمن السيبراني يعتبر فضاء لمجموعة من المفاهيم المرتبطة بمجال الحماية والتي عمد المشرع إلى إيراد تعريف لبعضها في المادة 2 من القانون 05.20 وعلى رأسها الجرائم السيبرانية والتهديد السيبراني وغيرها.

- يقصد بالأمن السيبراني أيضا طرق إدارة المخاطر والأعمال و التكوينات، حيث أن الخطر المهدد للنظم المعلوماتية  لا يمكن أن يتم مواجهته إلا وفق مجموعة من التدابير المنصوص عليها في القانون أو تدابير ذات طابع تقني يمكن أن تكون محل تكوين و دراسة في المعاهد و المؤسسات المتخصصة في هذا المجال، سواء كانت تابعة للقطاع العمومي أو القطاع الخاص.

- كما يقصد به الممارسات و التكنولوجيات الهادفة إلى توفير الحماية للنظم المعلوماتية من التهديدات التي يمكن أن تحيط به.

و يتضح إذا أن المشرع حاول قدر المستطاع أن يوسع في مفهوم الأمن السيبراني من خلال تسليط الضوء على كافة المعاني التي يمكن أن يستوعبها وذلك تفاديا لأي لبس قد يقع، ويعد هذا في نظرنا أمرا محمودا ومن شأنه أن يحد من التداخل الذي يمكن أن يحصل مع مجموعة من المفاهيم المتشابهة.

و تجدر الإشارة إلى أن القانون الأردني الخاص بالأمن السيبراني رقم 16 [8]عرف الأمن السيبراني في البند الثاني من المادة الثانية بأنه الإجراءات المتخذة لحماية الأنظمة والشبكات المعلوماتية و البنى التحتية الحرجة من حوادث الأمن السيبراني و القدرة على استعادة عملها واستمراريتها سواء أكان الوصول إليها بدون تصريح أو سوء استخدام أو نتيجة الإخفاق في إتباع الإجراءات  الأمنية  أو التعرض للخداع الذي يؤذي لذلك.

ثانيا : نطاق الحماية التي يوفرها القانون رقم 05.20

يختص القانون رقم 05.20 بتوفير الحماية في الفضاء السيبراني من كل الحوادث أو الجرائم التي قد يقصد بها أصحابها المساس بأنظمة المعلومات أو تغييرها أو التشويش على سيرها.

وقد حدد المشرع الجهات المعنية بهذه الحماية التي يوفرها هذا القانون في الأنظمة المعلوماتية الخاصة بالفئات المشار إليها في المادة الأولى من القانون أعلاه.

وتتحدد هذه الفئات في إدارات الدولة و الجماعات الترابية و المؤسسات والمقاولات العمومية و كل شخص اعتباري أخر خاضع للقانون العام، و التي يشار إليهم في القانون ب " الهيئة".

كما يشمل نطاق الحماية الأنظمة المعلوماتية الخاصة بالبنيات التحتية ذات الأهمية الحيوية و كذا مستغلي الشبكات العامة للمواصلات ومزودي خدمات الانترنت ومقدمي خدمات الأمن السيبراني و مقدمي الخدمات الرقمية وناشري منصات الانترنت، والتي يشار إليهم بالمتعهدين.

و تبعا لما سبق، فإن هذا القانون يهدف إلى توفير الحماية لبنية المعلوماتية الخاصة بالمؤسسات العامة للدولة، أي بالمصالح الإستراتيجية للدولة، خاصة و أن المرحلة الحالية يغلب عليها لامادية المعطيات و البيانات، و بالتالي فالمساس بهذه المعطيات يعتبر مساسا باسرار الدولة ومؤسساتها.

 و على مختلف البنيات و الخدمات الحيوية للبلاد التي ستحدد بنص تنظيمي من قبل الجهات المختصة، كما تشمل أيضا القطاع الخاص المتمثلين في الشركات العاملة في مجال استغلال الشبكات العامة للاتصال و مقدمي خدمات الأمن السيبراني وبصفة عامة كل الجهات التي تدخل حسب قانون 05.20 ضمن ما يسمى بالمتعهدين.

ثالثا: تمييز الأمن السيبيراني عن بعض المفاهيم المرتبطة به

يرتبط الأمن السيبراني بعدة مفاهيم أساسية، والتي سنحاول في هذا الصدد إبرازها وتوضيح أوجه الاختلاف بينهما.

- الأمن السيبراني والفضاء السيبراني

لم يعرف المغربي الفضاء السيبراني، و بالرجوع إلى القانون الأردني فقد عرفه في البند الأول من المادة الثانية على أنه بيئة تتكون من تفاعل الأشخاص والبيانات والمعلومات والبرامج على الشبكات المعلوماتية وأنظمة الاتصالات والبنى التحتية المرتبطة بها.

ومن جهتنا نعتبر الفضاء السيبراني هو الفضاء الذي تتم فيه العمليات الإلكترونية المرتبطة بالمعلومات و المعطيات  والتعاملات الإلكترونية سواء فيما بين الأطراف أو بينهم و بين المؤسسات أو بين هاته الأخيرة نفسها.

ونظرا لكون هذا الفضاء الإلكتروني قد يعرف بعض الممارسات غير المشروعة التي تستهدف المساس بالأنظمة المعلوماتية الخاصة ببعض مؤسسات الدولة أو البنيات التحتية ذات الأهمية الحساسة، فإن الضرورة تقتضي توفير الحماية لهذه المؤسسات والبنيات من خلال إجراءات وبرامج واستراتيجيات ناجعة تدخل ضمن إطار عام يسمى بالأمن السيبراني.

- الأمن السيبراني والأمن المعلوماتي

كثيرا ما يقع الخلط بين الأمن السيبراني و الأمن المعلوماتي و يعتقد دائما أن هما مصطلح لمعنى واحد، إلا أن هناك فروقات تجعلهما يختلفان من حيث الحمولة ومن حيث المقصد.

ففي هذا الإطار فقد تم وضع معيارين كمرجعين للتمييز بينهما، الأول هو NIST7298[9] و الثاني [10]CNSSI4009 ، فحسب هاذين المرجعين فالأمن المعلوماتي يهدف إلى حماية الأنظمة الحاسوبية من الوصول غير الشرعي لها أو العبث بالمعلومات أثناء التخزين أو المعالجة أو النقل، كما يهدف إلى توفير الحماية ضد تعطيل خدمة المستخدمين الشرعيين. كما يعنى بالوسائل الضرورية لاكتشاف وتوثيق وصد كل هذه التهديدات .

أما الأمن السيبراني فحسب نفس المرجع أعلاه، فإنه يعرفه بأنه يهدف للدفاع عن الفضاء السيبراني ضد  الهجمات السيبرانية[11].

وهو ما ولد اختلاف حول من هو أعم من الأخر، هل الأمن السييراني يعد الأعم من الأمن المعلوماتي أم العكس من ذلك.

فالأمن المعلوماتي هو عبارة عن تخصص يستهدف البرامج و التقنيات الهادفة إلى حفظ المعلومات و تشفيرها وحمايتها من أي تهديد قد يطالها.

و يختلف عن الأمن السيبراني في كون هذا الأخير هو أوسع نطاقا منه، حيث أنه  لا يقتصر على  حفظ المعلومات فقط ، بل يستهدف  أيضا عملية الحماية من خلال الآليات و الوسائل الحمائية التي تسعى إلى اكتشاف الثغرات، بالإضافة إلى تحليل المخاطر و الحوادث و تقييمها لتفادي الوقوع بها من جديد، ثم البحث عن سبل معالجتها.

الفقرة الثانية: إجراءات الحماية في مجال الأمن السيبراني

 نظم المشرع المغربي في إطار القانون رقم 05.20 مجموعة من إجراءات الحماية المرتبطة بالأمن السيبراني، و الكفيلة بتحقيق حماية فعالة من كل التهديدات التي قد تطال النظم المعلوماتية الخاصة بالفئات المشار إليها في المادة الأولى من القانون أعلاه. و قد أوكل في هذا الإطار مهمة تتبع و مراقبة سير تنفيذ هذه إجراءات إلى جهاز إداري يدعى بالسلطة الوطنية.

وتبعا لذلك سنحاول تسليط الضوء بداية على صلاحية السلطة الوطنية في مجال الأمن السيبراني(أولا)، ثم بعد ذلك ننتقل إلى أهم التدابير والإجراءات التي سنها قانون 05.20 لتوفير الأمن السيبراني(ثانيا).

أولا: صلاحيات السلطة الوطنية في مجال الأمن السيبراني

إن الحديث عن الصلاحيات المخولة للسلطة الوطنية للأمن السيبراني في القانون رقم 20.05(2) يقتضي بداية التعرف على هذه السلطة من خلال تحديد مفهومها(1)، و هو ما سنحدده في هذا المحور.

1-   مفهوم السلطة الوطنية

لم يعرف المشرع المغربي ما المقصود بالسلطة الوطنية في إطار قانون 05.20، وهو أمر كان لبد منه، وذلك من أجل فك الغموض بشأن هذا الجهاز الذي يجب على كافة الهيئات المشار إليها في المادة الأولى من القانون المذكور أن تتبع إرشاداتها وأن تتواصل معها بخصوص المخاطر أو العوارض التي قد تصادفها.

واستنادا إلى الصلاحيات المخولة لها في المواد 38 وما يليها من القانون المذكور، يمكن القول أن السلطة الوطنية هي عبارة عن جهاز إداري(ويمكن نعته كذلك بدركي الفضاء السيبراني) يختص قانونا بمهام الرقابة والتوجيه و التتبع لكافة الهيئات المشار إليها في القانون رقم 20.05، وذلك بغية الحفاظ على أمن وسلامة النظم المعلوماتية الحيوية من الأخطار السيبرانية التي تهددها.

والملاحظ أن القانون أعلاه لم يحدد هذه السلطة، غير انه بالرجوع إلى قانون 53.05 المتعلق بالتبادل الإلكتروني للمعطيات القانونية، نجد أن المشرع قد أشار إلى نفس السلطة، وذلك في إطار المادة التاسعة منه، و التي تنص على ما يلي: " تسلم شهادة المطابقة المشار إليها في الفقرة 2 من المادة 6 أعلاه السلطة الوطنية المكلفة  باعتماد ومراقبة المصادقة الإلكترونية على التوقيع والمنصوص عليها في المادة 15 من هذا القانون، عندما تستجيب آلية إنشاء التوقيع الإلكتروني للمعطيات التالية..." .

وبناء على هذا التشابه في المصطلح، فإنه يمكن القول على أن كلتا الجهتين الواردتين في القانون رقم 20.05 وكذا القانون رقم 53.05 هي سلطة واحدة تختص بصلاحيات متعددة، تشمل من جهة ما هو مرسوم لها في إطار الأمن السيبراني، ومن جهة أخرى يمتد إلى عمليات التبادل الإلكتروني للمعطيات القانونية.

وتجدر الإشارة إلى أن المرسوم رقم 2.13.881 [12] قد حدد المقصود بالسلطة الوطنية، حيث نص في مادته الثالثة على ما يلي: " يراد بالسلطة الوطنية المنصوص عليها في القانون السالف الذكر رقم 53.05 السلطة  الحكومية المكلفة بالدفاع الوطنية (المديرية العامة لأمن نظم المعلومات)". وبالتالي فإن المقصود بالسلطة الوطنية للأمن السيبراني كما هي منظمة في المادة 38 وما يليه هو المديرية العامة لأمن نظم المعلومات.

2-   صلاحيات السلطة الوطنية للأمن السيبراني

بالعودة إلى المواد 38 و ما يليها من القانون رقم 20.05، يتضح أن مهام وصلاحيات السلطة الوطنية تتعدد وتتنوع، وهو ما سنحاول إبرازه في ما سيأتي .

أ‌-      مهمة تنفيذ إستراتيجية الدولة في مجال الأمن السيبراني

تنص المادة 38 من قانون رقم 05.20 على أنه يعهد إلى السلطة الوطنية بتنفيذ إستراتيجية الدولة في مجال الأمن السيبراني، لذلك فإنها تتولى القيام بمجموعة من المهام كما هي محددة في نفس المادة وهي كالأتي:

- تنسيق  الأعمال المتعلقة بإعداد وتنفيذ إستراتيجية الدولة في مجال الأمن السيبراني والسهر على ضمان تطبيق توجيهات اللجنة  الإستراتيجية للأمن السيبراني؛

- تحديد تدابير حماية نظم المعلومات والسهر على ضمان تطبيقها؛

- تقديم اقتراحات إلى اللجنة الإستراتيجية للأمن السيبراني بخصوص تدابير التصدي للأزمات التي تمس أو تهدد أمن نظم معلومات الهيئات والبنيات التحتية ذات الأهمية الحيوية؛

- تأهيل مقدمي خدمات افتحاص نظم المعلومات الحساسة للبنيات التحتية ذات الأهمية الحيوية ومقدمي خدمات الآمن السيبراني؛

- وضع تصور للوسائل اللازمة لضمان أمن الاتصالات الإلكترونية بين الوزارية وتنسيق تفعيلها؛

- القيام بأعمال المراقبة المنصوص عليها في هذا القانون؛

- السهر على ضمان إجراءات عمليات افتحاص أمن نظم معلومات الهيئات والبنيات التحتية ذات الأهمية الحيوية؛

- افتحاص متعهدي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية الذين يقدمون خدمات للبنيات ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة؛

- تقديم المساعدة والنصائح إلى الهيئات والبنيات التحتية ذات الأهمية الحيوية قصد تعزيز أمن نظم معلوماتها؛

- مساعدة ومواكبة الهيئات والبنيات التحتية ذات الأهمية الحيوية لوضع أجهزة لرصد أحداث مست أو قد تمس بأمن نظم معلوماتها وكذا تنسيق إجراءات التصدي لهذه الأحداث؛

- القيام بتعاون مع الهيئات والبنيات التحتية ذات الأهمية الحيوية، بإعداد نظام خارجي لليقظة والرصد والإنذار بأحداث مست أو قد تمس بأمن نظم معلوماتها وكذا تنسيق إجراءات التصدي لهذه الأحداث؛

- القيام بأنشطة البحث العلمي و التقني في مجال الأمن السيبراني وتشجيعها

ب- مهام تنظيمية

إضافة إلى ما سبق الإشارة إليه سلفا فإن السلطة الوطنية تتولى كذلك مهاما تنظيمية، والتي تتجلى بالأساس في تحديد القواعد اللازمة لحماية النظم المعلوماتية، حيث جاء في المادة 40 ما يلي: " تحدد السلطة الوطنية قواعد الأمن اللازمة لحماية نظم المعلومات الهيئات و البنيات التحتية ذات الأهمية الحيوية والمتعهدين المشار إليهم في المادة لأولى من هذا القانون

تحدد السلطة الوطنية قواعد أمن خاصة بقطاع أنشطة ذي أهمية حيوية معين و تقوم بتبليغ هذه القواعد وكذا كيفيات وأجال تطبيقها إلى مسؤولي البنيات التحتية ذات الأهمية الحيوية التابعين للقطاع المعني. "

وبالتالي فإن السلطة الوطنية المتجسدة في المديرية العامة لأمن نظم المعلومات، تختص بوضع القواعد الكفيلة بتوفير الحماية للفئات المعنية بهذا القانون المشار إليها في المادة الأولى من القانون رقم 20.05.

وتطبيقا للفقرة الثانية من المادة 40 أعلاه، فإنه يجب على هذه الفئات أن تخضع لهذه القواعد، و أن تلتزم بتنفيذها و على نفقاتها.

ج-  مهام التقصي عن المخالفات

نصت المادة 41 من قانون 20.05 على مايلي : " لأجل التصدي لأي هجوم إلكتروني يستهدف نظم المعلومات ويمس بالوظائف الحيوية للمجتمع أو الصحة أو السلامة أو الأمن أو التقدم الاقتصادي أو الاجتماعي، يقوم أعوان السلطة الوطنية بالتحريات اللازمة لتحديد خصائص الهجوم ويسهرون على ضمان تنفيذ التدابير والتوصيات المعلقة بها".

يتضح من المادة أعلاه، أن السلطة الوطنية تنتدب أعوان البحث من أجل القيام بالتحريات التي يستلزمها التصدي لأي هجوم  إلكتروني يستهدف إحدى النظم المعلوماتية الحيوية التي لها علاقة بالمجتمع أو الصحة أو السلامة أو التقدم الاقتصادي أو الاجتماعي، وذلك وفق الكيفيات المبينة في الفصل الخامس من  القانون أعلاه المعنون بمعاينة المخالفات و العقوبات.

ويحق  للسلطة الوطنية بمناسبة قيامها بالتحريات المذكورة، القيام بالتنسيق مع مختلف المصالح المختصة في الدولة، و ذلك من أجل تبادل أي معلومات أو معطيات مفيدة في البحث. وإذا تبين أثناء ذلك وجود مخالفة للقانون المتعلق بالأمن السيبراني، فإنها تحيل الأمر على المصالح المختصة.

د-  التنسيق والتعاون

تتعدد مظاهر انفتاح السلطة الوطنية على مختلف المؤسسات والمصالح التي لها ارتباط بالأمن السيبراني، وذلك بغية تحقيق الرفع من مستوى الجاهزية للتصدي لأي خطر قد يهدد الأمن السيبراني، و تتضح مظاهر التنسيق و التعاون فيما يلي:

- تبادل المعلومات و المعطيات بين السلطة الوطنية و مصالح الدولة، من أجل معالجة الجرائم التي تخل بسير نظم المعالجة الآلية للمعطيات.

- إحداث شراكات بين السلطة الوطنية و باقي المتدخلين في مجال الأمن السيبراني، وذلك من تنظيم دورات تكوينية لفائدة مستخدمي الهيئات و البنيات التحتية ذات الأهمية الحيوية.[13]  

- تقوم السلطة الوطنية بتحديد و تنفيذ برامج تحسيسية بشأن الأخلاقيات السيبرانية والتحديات المتعلقة بتهديدات ومخاطر الأمن السيبراني لفائدة مستخدمي الهيئات والبنيات التحتية ذات الأهمية الحيوية والقطاع الخاص والأفراد.[14]

- تسهم السلطة الوطنية في دعم البرامج التي تعدها الهيئات المختصة في الدولة من أجل تعزيز الثقة الرقمية وتطوير رقمنة الخدمات وحماية المعطيات ذات الطابع الشخصي[15].

- تقوم السلطة الوطنية، بتشاور مع الإدارات المعنية، بتطوير علاقات التعاون مع المنظمات الوطنية والأجنبية في مجال الأمن السيبراني وتنسيقها[16].

- تقوم السلطة الوطنية بربط علاقات التعاون على الصعيدين الوطني والدولي لمعالجة حوادث الأمن السيبراني وتطوير تبادل التجارب والخبرات في هذا المجال.[17]

ثانيا: إجراءات الأمن السيبراني

جاء المشرع المغربي في إطار الفصل الثاني من القانون رقم 20.05 المعنون بإجراءات حماية أمن نظم المعلومات، بمجموعة من التدابير والإجراءات التي تهدف إلى تحقيق الأمن في الفضاء السيبراني، وتتنوع هذه الإجراءات بحسب كل فئة من الفئات المشار إليها في المادة الأولى من القانون أعلاه.

وتبعا لذلك فإن دراسة هذه الإجراءات تقتضي التطرق بداية إلى إجراءات حماية نظم المعلومات الخاص بالهيئات(1) ثم الخاص بالبنيات التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة(2) وأخيرا الخاص بالمتعهدين(3).

1-    حماية نظم المعلومات الخاص بالهيئات

أورد المشرع في إطار المادة الأولى من القانون رقم 05.20 مجموعة من المؤسسات و المنشأت المعنية بأحكام هذا القانون، و أطلق عليها اسم الهيئات، و تضم كل من إدارات الدولة و الجماعات الترابية و المؤسسات العمومية و كل شخص اعتباري أخر خاضع للقانون العام.

وتلزم  هذه الهيئات بموجب الفرع الأول من الفصل الثاني من القانون أعلاه، بجملة من التدابير التي يجب عليها أن تتقيد بها من أجل الحفاظ على أمنها السيبراني. وتضم هذه التدابير ما يلي:

-  جعل النظم النظم المعلوماتية مواكبة ومطابقة للتوجهات والقواعد والأنظمة والمراجع والتوصيات الصادرة عن السلطة الوطنية؛

- كما يجب عليها أن تحدد الأخطار التي تهدد أمن نظم معلوماتها واتخاذ الإجراءات التقنية والتنظيمية اللازمة لإدارة هذه المخاطر، و ذلك بغية تجنب الحوادث التي من شأنها المساس بنظم المعلومات، و كذا التقليل إلى أدنى حد ممكن من الآثار التي قد تنجم عن هذه الحوادث؛

- تلتزم الهيئات حسب الفقرة الثالثة من المادة 4 من القانون رقم 05.20 بضرورة إجراء افتحاص قبل الشروع في استغلال النظام المعلوماتي؛

- يجب عليها أن تقوم بتصنيف أنظمتها حسب درجة حساسيتها من حيث السرية والتمامية و التوافر، والتي سيتم تحديد دليلها المرجعي- أي الخاص بالتصنيفات- في إطار نص تنظيمي،  و في مقابل ذلك أن تكون الإجراءات الحمائية التي تتخذها لأصول المعلومات متناسبة مع كل من هذه التصنيفات المحددة.

و تجدر الإشارة إلى أن مهمة الإشراف على أمن النظم المعلوماتية تقع على مسؤول يتم تعيينه من قبل الهيئة، ويسهر على تطبيق سياسة أمن نظم المعلومات، ويعتبر بهذه الصفة هو المخاطب أمام السلطة الوطنية، ويجب أن يتمتع بالاستقلالية اللازمة لممارسة مهامه[18].

و تعمل الهيئة على توفير كافة الوسائل التقنية و التكنولوجية المناسبة لمراقبة ورصد الأحداث التي قد تمس بأمن نظم المعلومات و يكون لها وقع بالغ على استمرارية الخدمات التي تقدمها[19].

و يحظر على السلطة الوطنية حسب مقتضيات الفقرة الثانية من المادة 7 من مشروع القانون 05.20 أن تستعمل المعلومات المحصل عليها من أجهزة المراقبة والرصد المذكورة أعلاه، ما عدا في سبيل تحديد و معالجة الخطر الذي يمس بأمن نظم معلومات الهيئة المعنية .

و تجدر الإشارة إلى أن كل رصد لأي خطر أو حادث يمكن أن يؤثر على أمن و سير نظم المعلومات، فإنه يجب أن يكون موضوع تبليغ إلى السلطة الوطنية، كما تبلغ بناء على طلب هذه الأخيرة كل المعلومات الإضافية الضرورية، على أن ترسل السلطة الوطنية إلى الهيئة المعنية بالحادث تقريرا تركيبيا يضمن التدابير والتوصيات المقترحة لمعالجة الحادث.

و في الحالة التي تنتج عن أي حادث أثار على سير الأنشطة الخاصة بالهيئة، فإن هذه الأخيرة تقوم بإعداد مخطط يتضمن مجموع الحلول البديلة لإبطال مفعول انقطاعات الأنشطة و حماية الوظائف المهمة والحساسة من الآثار الناجمة عن الاختلالات الأساسية لنظم المعلومات أو عن الكوارث، و ضمان استئناف عمل هذه الوظائف في أقرب الآجال.

و يجب أن يكون المخطط المذكور معد بدقة حتى يمكن أن يخضع لتعديلات لاحقة من  طرف الهيئات المعنية حسب التطورات الخاصة بها أو الخاصة بالتهديدات المتنامية.

و في الحالة التي يتم فيها إسناد مسؤولية الإشراف على نظم المعلومات إلى جهة خارجية، فإن هذه الأخيرة تتحمل عبء احترام القواعد و الأنظمة و الدلائل المرجعية التقنية المتعلقة بأمن نظم المعلومات و التي تضعها السلطة الوطنية، كما أن عملية الإيواء للمعلومات الحساسة لا يمكن أن تكون إلا داخل التراب الوطني.

و تعد العلاقة التعاقدية القائم على أساسها الإسناد الخارجي لنظام المعلومات، خاضعة لمقتضيات القانون المغربي، ويتضمن العقد المؤطر لها على وجه الخصوص الالتزامات المتعلقة بحماية المعلومات و قابليتها للافتحاص واستعادتها، وكذا متطلبات الأمن ومستوى الخدمة المرغوب فيها.

وتحدد السلطة الوطنية القواعد و الدليل المرجعي التقني المنظم لشروط الأمن المتعلقة بالإسناد الخارجي لنظم المعلومات[20].

2-    حماية نظم المعلومات الخاص بالبنيات التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة

تعرف بادئ ذي بدأ البنيات التحتية ذات الأهمية الحيوية حسب ما جاء به المشرع المغربي في المادة 2 من القانون رقم 05.20 على أنها التجهيزات و المنشآت و الأنظمة الضرورية للحفاظ على استمرارية الوظائف الحيوية للمجتمع و الصحة و الأمن و السلامة والتقدم الاقتصادي أو الاجتماعي حيث إن أي ضرر أو إتلاف أو ضياع قد يصيبها يترتب  عنه خلل في هذه الوظائف.

و يتم تحديد القطاعات المعتبرة ذات الأهمية الحيوية و كذا بنياتها التحتية بنص تنظيمي، وذلك بعد استطلاع رأي السلطة الوطنية من طرف السلطة الحكومية أو المؤسسة العمومية أو الشخص الاعتباري الخاضع للقانون العام المشرف على تنسيق هذا القطاع.

و يلتزم المسؤول عن البنية التحتية ذات الأهمية الحيوية، بناء على نتائج تحليل المخاطر، بإعداد لائحة نظم المعلومات الحساسة، و إرسالها في صيغتها المحينة إلى السلطة الوطنية، وبناء عليها يمكن لهذه الأخيرة أن توجه ملاحظات إلى المسؤول مع لائحة المعلومات المذكورة، و التي يجب أن تأخذ بعين الاعتبار في إطار تعديل اللائحة المذكورة والتي يعاد إرسالها مرة أخرى إلى السلطة الوطنية.

يخضع كل نظام أمن معلوماتي إلى مصادقة أولية و ذلك قبل الشروع في عملية الاستغلال، كما أنه يخضع لافتحاص دوري تباشره السلطة الوطنية أو المفتحصين المؤهلين من قبلها. و في هذا الصدد و سلامة لإجراءات الافتحاص المذكور، يجب على المسؤول على البنايات الحيوية أن يقدم كل البيانات و المعلومات و العناصر الخاضعة للعملية، و في المقابل يلتزم المفتحصون بضرورة الالتزام بالسر المهني بشأن المعلومات التي اطلعوا عليها طيلة مدة العملية و بعد الانتهاء منها، و ذلك تحث طائلة العقوبات المشار إليها في مجموعة القانون الجنائي[21].

و يترتب عن عملية افتحاص حسب المادة 22 من القانون موضوع الدراسة، ضرورة إعداد المسؤول عن البنية التحتية ذات الأهمية الحيوية لتقرير الافتحاص و إرساله إلى السلطة الوطنية، بالإضافة إلى وضع برنامج تنفيذ التوصيات المدرجة في التقرير المرسل كما أنه يلتزم بأداء مصاريف العملية المذكورة.

و يجب على المسؤولين عن البنيات التحتية أن يلتجؤ إلى الخدمات أو المنتوجات أو الحلول التي تسمح بتعزيز الوظائف الأمنية، و التي يمكن أن تقدمها جهات داخلية، كما يمكن أن تقدمها جهات خارجية، و في هذه الحالة فقد اشترط المشرع صراحة على أنه يجب على المسؤول اللجوء إلى مقدمي خدمات مؤهلين من طرف السلطة الوطنية .

3-    حماية نظم المعلومات الخاص بالمتعهدين

يقصد بالمتعهدين حسب المادة 1 من قانون 05.20 مستغلي الشبكات العامة للمواصلات و مزودي خدمات الانترنت ومقدمي خدمات الأمن السيبراني و مقدمي الخدمات الرقمية وناشري منصات الانترنت.

و يلزم هؤلاء في إطار اشتغالهم على التقيد بتوجيهات السلطة الوطنية، لاسيما تلك المتعلقة بالمحافظة على المعطيات التقنية اللازمة لتحديد أي حادث سيبراني، وذلك طيلة مدة زمنية محددة في سنة واحدة قابلة للتغيير بنص تنظيمي.

وتتضمن المعطيات المذكورة أعلاه حسب الفقرة الثانية من المادة 26 على بيانات الربط و النشرات المعلوماتية و أثار أحداث الأمن المحصل عليها بواسطة نظم الاستغلال والتطبيقات و منتوجات الأمن.

ومن أجل ضمان أمن نظم المعلومات المختصة بالهيئات و البنيات التحتية ذات الأهمية الحيوية، يسمح لأعوان السلطة الوطنية المعتمدين حصريا بهدف الوقاية و تحديد خصائص التهديد السيبراني، بتجميع و تحليل المعطيات التقنية، دون استغلال أخر، لدى مستغلي الشبكات العامة للمواصلات و مزودي خدمات الانترنت و مقدمي خدمات الأمن السيبراني و مقدمي الخدمات الرقمية وناشري منصات الانترنت.

و تؤهل السلطة التقنية لوضع أجهزة تقنية على الشبكات المذكورة أعلاه بهدف رصد الأحداث التي قد تؤثر على أمن نظم معلومات الهيئات و البنيات التحتية ذات الأهمية الحيوية. كما أن كل حدث مؤثر على نظم معلومات الشبكات المشار إليها يجب أن يكون محل إخطار للسلطة الوطنية . و في الحالة التي يكون فيها الإشكال ناتج عن إخلال مقدم الخدمات فإنه بعد إخضاعه للمراقبة وثبوت الإخلال المذكور، فإن السلطة الوطنية توجه إليه اعذرا بضرورة التقيد بالالتزامات، و ذلك داخل أجل تحدده هذه السلطة.

خاتمة:

خلاصة القول أن المشرع المغربي أقدم في إطار القانون رقم 05.20 على سن نظام عام يهدف من خلاله بالأساس إلى توفير الأمن السيبراني لمختلف الجهات المشار إليها في المادة الأولى من القانون المذكور، وهو ما تجسد من خلال جملة الإجراءات الواردة في الفصل الثاني و التي تلتزم المؤسسات المعنية به باحترامها بغية جعل أنظمة معلوماتها بمنأى عن أي خطر محتمل.

و من اجل تتبع حسن تنفيذ الإجراءات المذكورة فقد خلق آلية إدارية مراقبة، متمثلة في السلطة الوطنية، وخول لها صلاحيات مهمة تتجلى في التنسيق والرقابة والتقصي عن مخالفات محتملة لأحكام هذا القانون، بالإضافة إلى التوجيه والإشراف.

كما تجدر الإشارة إنه أشار إلى هيئات أخرى  في الباب المتعلق بالحكامة، ومن أهمها اللجنة الإستراتيجية للأمن السيبراني و التي تضطلع هي أيضا بمهام لا تقل أهمية عن السلطة الوطنية، و هو ما يدفعنا لطرح تساؤل متمثل في ما يلي: دور هيئات الحكامة في تحقيق الأمن السيبراني؟ 

لائحة المراجع:

الكتب:

- محمد خليفة: " الحماية القانونية لمعطيات الحاسب الآلي ، دار الجامعة الجديدة، طبعة 2008.

- محمد فواز المطالقة، " الوجيز في عقود التجارة الإلكترونية"، دراسة مقارنة، دار الثقافة للنشر و التوزيع،  دون ذكر المكان ،الطبعة 2008.

المواقع الإلكترونية:

- عدنان مصطفى البار:  أمن المعلومات و الأمن السيبراني، مقال منشور بالموقع الإلكتروني  www.kau.edu.sa  الأمن السيبراني و الأمن المعلوماتي.

القوانين:

- القانون رقم 05.20 المتعلق بالأمن السيبراني

- قانون رقم 16 لسنة 2019 الخاص بالأمن السيبراني، المنشور بالجريدة الرسمية رقم 5143 .

---

[1] - الاختراق هو قدرة الطرف على الدخول إلى جهاز طرف أخر بغض النظر عما يلحقه به، ويتم بطريقة غير مشروعة أي بدون إذن الطرف المخترق، فالاختراق بشكل عام هو القدرة على الوصول لهدف معين بطريقة غير مشروعة  عن طريق ثغرات في نظام الحماية الخاص بالهدف أو الوصول إلى البيانات الموجودة على الأجهزة الشخصية بوسائل غير  مشروعة .

للمزيد انظر : محمد خليفة: " الحماية القانونية لمعطيات الحاسب الآلي ، دار الجامعة الجديدة، طبعة 2008، ص: 140.

[2] - الدخول غير المصرح به هو الولوج إلى لمعطيات المخزنة داخل نظام الحاسب الآلي بدون رضا المسؤول عن هذا النظام أو هو إساءة استخدام الحاسب الآلي ونظامه عن طريق شخص غير مرخص له باستخدامه و الدخول إلى المعلومات و المعطيات المخزنة بداخله للاطلاع عليها أو لمجرد التسلية أو لإشباع الشعور بالنجاح في اختراق الحاسب الآلي.

- للمزيد أنظر محمد خليفة، المرجع أعلاه، ص: 139-140.

[3] - محمد فواز المطالقة، " الوجيز في عقود التجارة الإلكترونية"، دراسة مقارنة، دار الثقافة للنشر و التوزيع،  دون ذكر المكان ،الطبعة 2008، ص: 12

[4] - القانون رقم 07.03 المتمم لمجموعة القانون الجنائي فيما يتعلق بالجرائم المتعلقة بنظم المعالجة الألية للمعطيات الصادر بتنفيذه الظهير الشريف رقم 1.03.179 بتاريخ 16 من رمضان 1424(11 نونبر 2003)، الجريدة الرسمية  عدد 5171 بتاريخ 27 شوال 1424 (22 ديسمبر 2003)،ص: 4284.

[5] - ظهير شريف رقم 1- 07-129 صادر في 19 ذي  القعدة 1428(30 نونبر 2007)، بتنفيذ القانون رقم 53-05 المتعلق بالتبادل الإلكتروني للمعطيات القانونية، الجردية الرسمية عدد 5584، بتاريخ 6 دجنبر 2007، ص: 3880.

[6] - ظهير شريف رقم 1.11.03 صادر في 14 من ربيع الأول 1432 (18 فبراير 2011) بتنفيذ القانون رقم 31.08 القاضي بتحديد تدابير لحماية المستهلك، والصادر في الجريدة الرسمية عدد 5932 بتاريخ 3 جمادى الأولى 1432 (7 أبريل 2011)، ص 1072.

[7] - عدنان مصطفى البار:  أمن المعلومات و الأمن السيبراني، مقال منشور بالموقع الإلكتروني  www.kau.edu.sa  الأمن السيبراني و الأمن المعلوماتي، ص: 8

تم الإطلاع عليه في 08/08/2020 على الساعة 21.01 مساء.

[8] - قانون رقم 16 لسنة 2019 الخاص بالأمن السيبراني، المنشور بالجريدة الرسمية رقم 5143 .

[9] -  يقصد ب NIST الذراع المعيارية لوزارة التجارة الأمريكية، و التي تعد تابعة لوكالة الدفاع القومي NSA فيما يتعلق بمعايير أمن المعلومات.

[10] - هي اللجنة الأمريكية لأنظمة الأمن الوطني التي ترأسها وزارة الدفاع الأمريكية.

[11] - http://www.al-jazirah.com/2018/20180411/rj3.htm

تم الاطلاع في 09/08/2020  على الساعة 13.01

[12] - مرسوم رقم 2.13.881 صادر في 28 من ربيع الأول 1436 (20 يناير 2015) ، الصادر في الجريدة الرسمية عدد 6332 الصادرة بتاريخ 15 ربيع الأخر 1436(5 فبراير 2015).

والجدير بالذكر أن هذا المرسوم جاء لتتميم و تغيير المرسوم رقم 2.08.518 الصادر في 25 من جمادى الأولى 1430(21 ماي 2009) لتطبيق المواد 13 و14و15 و21 و23 ن القانون رقم 53.05، و الذي كان يحدد السلطة الوطنية في السلطة الحكومية المكلفة في التكنولوجيات الحديثة، و في الوكالة الوطنية لتقنين الموصلات في مواضع أخرى من المرسوم المذكور.

[13] - أنظر المادة 43 من القانون رقم 20.05.

[14] - أنظر الفقؤة الأولى من المادة 44 من القانون رقم 20.05.

[15] - أنظر المادة 45 من القانون أعلاه.

[16] - أنظر الماد 46 من القانون أعلاه.

[17] - أنظر المادة 47 من القانون أعلاه.

[18] - أنظر المادة 6 من القانون 05.20.

[19] - أنظر الفقرة الأولى من المادة 7 من القانون أعلاه.

[20] - أنظر المادة 13 من القانون 05.20

[21] - أنظر الفصل 446 من مجموعة القانون الجنائي.