قوانین سایبری

قوانین جرایم سایبری و توافقنامه های امنیتی

قوانین جرایم سایبری از جدیدترین قوانین قضایی مصوب در اکثر کشورهای  پیشرفته جهان است. سرعت فوق العاده پیشرفت تکنولوژی های مرتبط با اینترنت و شبکه، اهمیت داشتن قوانین سایبری دقیق و کامل را برای تمام کشورهای پیشرو در صنعت آی تی واضح و مبرهن مینماید. آشنایی و درک ابعاد قوانین سایبری برای تمام کاربران فضای سایبری خصوصا متخصصین و فعالین امنیت سایبری الزامی است. قوانین دقیق سایبری تضمین کننده امنیت کاربران در برابر جرایم سایبری خصوصا جرایم سایبری سازمان یافته ای است که طبق آمار منتشر شده روز به روز در حال افزایش است.

قانون جرائم رایانه‌ای ایران در اواخر دهه هشتاد هجری شمسی به تصویب مجلس شورای اسلامی ایران رسید. قوانین سایبری ایران در بخشی از زمینه ها از تکامل قوانین سایبری کشورهای پیش رو در امنیت سایبری برخوردار نیست و با توجه به تغییر ماهیت و پیچیدگی جرایم سایبری نیاز به بازنگری و تکامل این قوانین محسوس است.

مشخص نبودن جزییات قوانین جرایم سایبری میتواند مشکلات فراوانی برای کاربران و فعالین این رشته بوجود آورد. در بعضی از کشورها حتی اسکن غیر فعال شبکه (Passive Scanning) غیرقانونی است و خاطی با مشکلات قضایی فراوانی گریبان گیر خواهد شد. به طور مثال در اسکن شبکه در مرحله شناسایی (Reconnaissance) و به فرض حضور اسکن کننده در کشور A  و سرورهای سیستم اسکن شونده در کشور B، در این صورت قوانین کشور  A ملاک عمل خواهد بود یا قوانین کشور B یا کشورهایی که تراقیک برای رسیدن به کشور  Bاز آنها عبور میکند؟ جواب، همه این کشورها خواهد بود!  گرچه به باور خیلی از فعالین امنیت سایبری این قوانین دست و پا گیر هستند، ولی برای احترام به قوانین و در امان بودن از مشکلات قانونی و حقوقی، درک دقیق این قوانین و پایبندی به آنها کاملا الزامی است. در مسیر جهانی شدن و در تعامل با دیگر کشورها نیازمند شناختی کامل و دقیق از قوانین کشورهای هدف هستیم. قوانین سایبری بیش از صد کشور دنیا از جمله کشورمان ایران در بخش قوانین جرایم سایبری سایت سازمان ملل (UNODC Database of Legislation)  قابل دسترسی است. مطالعه و بررسی و مقایسه این قوانین قطعا میتواند کمک شایانی به بهبود شناخت و نگرش ما به قوانین دیگر کشورها و اصلاح و بروز رسانی قوانین جاری سایبری کشورمان گردد.

در کنار قوانین سایبری لازم الاجرایی که سیستم قضایی هر کشوری برای محافظت از کاربران اینترنت در مقابل جرایم سایبری تصویب و اجرا مینماید، شرکتها و متخصصین امنیت هم نیازمند طراحی و اجرای قوانینی برای حفاظت از حقوق خود هستند. مفاد و جزییات این قوانین معمولا قبل از عقد قرارداد های همکاری بین شرکتهای و موسسات متقاضی سرویس و متخصصین ارائه دهنده این خدمات تصویب و بر جزییات آن توافق میگردد. از مهمترین این توافقات Non-disclosure agreement و Get out of jail free است.

توافقنامه محافظت از حقوق متخصصین امنیتی یا اصطلاحا Get Out of Jail Free، توافقنامه ای است که معمولا درخواست کنندگان سرویسهای امنیتی قبل از انجام تست های نفوذ باید بر جزییات آن توافق نموده و به متخصصین امنیت ارائه نمایند. این توافق نامه شامل اجازه کتبی برای انجام تستهای امنیتی، محدوده تحت پوشش (Test Scope)، مدت زمان و شرایط دقیق انجام قرارداد خواهد بود. در قراردادهایی که محدوده تست خارج از تجهیزات درخواست کننده است مثلا سرورهای مجازی ای که بر فضای ابری دیگر شرکتها قرار دارند، اجازه کتبی سرویس دهنده فضای ابری نیز لازم است. این توافق نامه ضامن و تعیین کننده حقوق متخصص امنیتی است و میتواند تا حدود زیادی از پیش آمدن مشکلات حقوقی جلوگیری نماید.

در طرف دیگر همچنان که نفوذ گران قانونی و متخصصین امنیت نیازمند قوانین مدونی برای محافظت از خود در مقابل مشکلات قانونی و حقوقی هستند، شرکتها و موسسات سرویس گیرنده نیز نیازمند قوانین و قراردادهایی برای محافظت از حقوق قانونی خود هستند. توافقنامه عدم افشا یا NDA  جزو ابتدایی ترین و مهمترین توافقنامه هایی است که درخواست کنندگان خدمات امنیتی برای محافظت از عدم نشر اطلاعات امنیتی و حساس خود که معمولا در هنگام انجام تست نفوذ (Penetration Testing) یا بررسی امنیتی (Vulnerability Assessment) بدست می آید، اهمیت فراوانی قائل میشوند. این توافق نامه حافظ حقوق درخواست کنندگان سرویس های امنیتی است و سرویس دهندگان امنیتی را قانوناً ملزم به عدم افشا و نشر یافته ها و نقص هایی میکند که در هنگام انجام تستهای مختلف ممکن است با آن مواجه شوند.

مسلما عدم پایبندی به قوانین جرایم سایبری و عدم انعقاد این توافق نامه های الزام آور یا عدم التزام کامل به آنها میتواند مشکلات حقوقی و قضایی فراوانی را برای طرفین ایجاد نماید.

برچسب ها

‫۴ نظرها

  1. سلام
    لطفا در مورد این توافقنامه ها در ایران هم توضیح بدید. آیا تو ایران هم برای آزمون تست نیازی به این قرارداد ها هست؟

    1. سلام
      حتما در مطالب بعدی بیشتر توضیح خواهیم داد. بله قطعا تو کشورمون ایران هم برای جلوگیری از مشکلات حقوقی و قضایی باید توافقنامه هایی بین سرویس دهنده و سرویس گیرنده ردو بدل بشه. ممنون از پیامتون.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
بستن