رود
يا نه؟
قمی:
به نظر من لزوماً نه!
پرويزی: چرا، ممكن است الان
نباشد، ولی فردا ممكن است هر كسی استفاده غيرمجاز از آن بكند...
قمی:
به نظر من ممكن نيست ابزاری پيدا كنيم كه "صرفاً" برای هك و
ارتكاب جرم باشد، عموماً استفاده امنيتی و مديريت امنيت هم می
شود...
پرويزی:
مثلا ابزاری هست كه در تماس Dial-up شما با شركت ISP فقط و فقط
برای شنود به كار می
رود،
آن هم شنود دادهها
قمی:
اما شركتهای
مخابراتی همين ابزار را در كنار تجهيزات خود میفروشند
برای Diagnostics
پرويزی: ببينيد مانند اسلحه
است كه داشتن آن در كشور ما جرم است، ولی قاضی و پليس و . . .
قانوناً آن را دارند.
رشتی: اگر يك شركت
خصوصی از اين ابزارها به منظور بررسی وضعيت يك شبكه استفاده
كندتا بتواند نقايص آن را بيابد وگزارش كند، الان مشمول انجام
جرم است در اين قانون!
پرويزی:
معلوم است كه بخش
هايی
به وجود میآيند
كه كار بررسی و مطالعه و تأمين امنيت شبكهها
را انجام خواهند داد، و قاعدتاً بايد قانون ديگری باشد كه در
مورد وضعيت آنها نظر بدهد، اين قانون فعلی قرار نيست كه در همه
مورد نظر بدهد و تكليفشان را معلوم كند. مثل كسی كه به دلايل
مشخصی میتواند
تقاضای مجوز داشتن اسلحه بكند...
قمی:
بايد محيط وشرايط كلی به گونه
ای
باشد كه برای قانون مساعد باشد، مثلاً مدتی پيش ديدم كه در
امريكا برعليه "مهندسی معكوس" (Reverse Engineering) نرمافزارها
در حال قانون گذاری هستند، در حالی كه تا مدتی پيش خودشان از
آن درآمد كسب میكردند
ولی حالا كه چين وارد اين عرصه شده و آنها درآمدشان از اين
بابت كاهش يافته، عليه آن قانون وضع میكنند
بنابراين قانون بايد ناظر برسود و منافع ملی باشد، مثال ديگر،
مدتی پيش نويسنده ويروس "سارس" در آلمان دستگير شد، جالب است
كه نوعی غرور در اين كشور از اين بابت به وجود آمد! كه قابل
توجه است و كمتر جايی به اين موضوع پرداخته شد، نكته پنهان در
اين قضيه، انتقال سرمايه عظيمی در زمينه نرمافزار
از آمريكا به كشور چك است، چون بيشترين منبع هك در دنيا كشور
چك است... منظورم اين است كه تجربه آنها نشان میدهد
كه اجازه دادند كه سيستم آنها به سطحی از بلوغ برسد، (كه البته
ممكن است كمی هم بينظمی در آن وجود داشته باشد) ولی در مجموع
نبودن قيد و بندها باعث سود عمومی برای كشور میشود،
با رسيدن به بلوغ، بحث قانون و محدوديتها
به وجود میآيد.
به نظر من اين قانون در شرايط فعلی برای كشورما و با شكل
فعلياش شايد زود باشد...
پرويزی:
اشكالی كه در چنين نظری وجود دارد، بی
قانونی
و هرج و مرجی است كه به وجود میآيد
و قابل كنترل نيست، در حالی كه از ابتدا میتوان
همه مقدمات و شرايط و نيازها و مشكلات را ديد، مضافاً اين كه
اين تكنولوژی هم بسيار سريع و درحال تغييرات و اگر بخواهيم صبر
كنيم تا در آينده برای آن بستر سازی و قانونگذاری كنيم، ديگر
زمان را از دست خواهيم داد.
قمی:
البته ميتوان نوعی قانون مينيماليستی داشت كه نياز امروز را
برطرف كند، و نه قانون حداكثری و گسترده
پرويزی:
اتفاقاً اين قانون كاملاً حداقلی است و خيلی مباحث در آن ديده
نشده، مثلاً بحث اسپم و...
دولتشاهی: اگر می
بينيد
كه اين قانون كمی بيشتر و جلوتر از وضع و شرايط فعلی ما را هدف
قرار داده است، به اين خاطر است كه اصولاً مطابق قانون اساسی،
يكی ازوظايف قوه قضاييه، "پيشگيری از جرم" است، و با توجه به
سرعتی كه در وقوع و پيشرفت جرايم رايانهای
ديده میشود،
نمیتوانيم
هر سال قانون تازهای
را وضع كنيم، اين سرعت ايجاب میكند
كه ما پيشبينی
5 سال آينده را بكنيم، اين به اقتضای ماهيت جرايم رايانهای
است.
اروج
زاده:
پيامد مهمی كه قانون حداكثری و سختگيری میتواند
داشته باشد هم به نظر من قابل توجه است، فرض كنيد كه نتيجه يك
قانون، سختی و محدوديت زياد در كار فعالان اين بخش مثل ISPها و
شركتهای
ميزبان و... باشد، قطعاً اين محدوديت باعث میشود
بخش زيادی از سرمايهگذاران
اين حوزه خارج شوند، و چون اصولاً اينترنت و كلاً IT در
كشورمان توسط بخش خصوصی دنبال میشود
و توسعه پيدا میكند،
بعيد نيست كه به كليت اين حوزه مهم و مؤثر علمی و اقتصادی
كشورمان لطمه اساسی بخورد.
پرويزی:
البته در دنيا معمولاً شركتی به نام ISP همه خدمات از قبيل
اينترنت و هاستينگ و ثبت دامنه و... را انجام می
دهد،
ولی ما اينجا آمدهايم
و به دلايل مختلف آن را تكهتكه
كردهايم!
نكته بعد اين كه مطابق مستندات و قوانين مختلف در دنيا، مطالعه
نشان میدهد
كه مهمترين اصل ، "از بين بردن كردن خلاف در نطفه" است، كه
بستر اصلی آن در "هاستينگ" است، يعنی از طريق آن میتوان
مشكلات مراحل بعدی در ISP و... را پيشگيری كرد؛ مثلاً شركتی كه
يك نام دامنه مسئلهدار
را ثبت میكند،
قطعاً از نام آن میتواند
بفهمد كه هدف از سايت آن چه خواهد بود، آيا اين شركت هاستينگ
مسئوليتی نخواهد داشت؟ ما در اين باره بحثهای
فراوانی داشتيم، مسئوليتی هم كه برای هاست در قانون آمده، برای
مسائل اخلاقی و پورن است، نه برای مسائل سياسی و توهين و امثال
اينها. حتی در اين موارد هم طوری نيست كه هاست موظف به قضاوت
باشد، بلكه فقط مصاديق بارز مانند عكسهای
پورنوگرافی و... مسئول است.
مولوی:
البته معمولاً به اين ترتيب هم نيست كه اين موارد را بتوان به
راحتی پيدا كرد، يعنی اين كه چنين مصاديقی در همان صفحات اصلی
و اوليه قرار نيست كه مدير هاست بتواند به راحتی آن را پيدا
كند، بنابراين نمی
توان
هميشه آن را "مصداق بارز" دانست...
پرويزی:
قطعاً در آيين
نامه
اجرايی قانون، موضوع به تفصيل بررسی خواهد شد، يعنی اگر كسی
روی هاست شما مورد خلافی ببيند، (مثلاً توهين به خودش) در اين
مورد با اعلام قانونی، آن مورد بايد از روی هاست حذف شود (ونه
همة سايت) و اگر در طول زمان معينی، فرد مدعی نتواند از مجاری
قانونی اقدام كند، مسئله منتفی خواهد شد، همچنين در قانون شبكههای
اطلاعرسانی
(كه الآن در دست كار و بررسی است) همه جزئيات و ضوابط و شبكهها
دقيقتر
مشخص میگردد.
اين نكته
را هم نبايد فراموش كرد كه در تدوين اين قانون، نمايندگان بخش
خصوصی هم حضور داشتهاند(رييس انجمن ISPها) و به اندازه كافی
تلاش برای حفظ حقوق بخش خصوصی كرده
اند.
قمی: نكته ديگر، حفظ
حريم خصوصی كاربران است، اگر قرار باشد همه اطلاعات ردوبدل شده
كاربران، ذخيره و بررسی گردد كه مبادا در آينده جرمی اتفاق
بيفتد، اين در واقع تجاوز به حريم خصوصی است...
پرويزی
: بله، ولی اين برداشت ناشی از يك سوءتفاهم رايج است. ببينيد،
"داده محتوا" و "داده ترافيك" تفاوتشان همين است، از نگاه ناظر
خارجی ، من در ساعت خاصی وارد دفتر مجله كامپيوتر و ارتباطات
می
شوم
و با آقای اروجزاده
يك ساعت صحبت میكنم،
اين "داده ترافيك" است و در واقع سابقه كار، ولی اين كه محتوای
صحبت ما چيست Content است. ISP قرار نيست كه محتوا را ثبت كند
و اين كه كاربر چه سايتهايی
را ديده و... بلكه قرار است نوع خدمات اصلی ثبت شود (پروتكلها
مثل ... , HTTP , Mail , FTP) و نحوه ارتباط (شامل مبدا ارتباط
كه آدرس IP آن است) و مدت آن و هويت كاربری كه تماس گرفته و
مبدا ارتباط (شماره كاربر) يعنی هويت تماس گيرنده بايد برای
شما مشخص باشد و مسير هم به اين معنا كه مثلاً شما از داخل يك
LAN وصل شدهايد
به يك ISP و از آنجا به يك ICP كشور، تا اينجا مسير است.
بنابراين اين طور نيست كه همه سايتهايی
كه ديده بايد ثبت شود و... بلكه فقط "داده ترافيك" ثبت میشود،
اين مفهوم هم دقيقاً مطابق با تعريف كنفرانسيون بينالمللی
جرايم سايبر بوداپست است.
اروج
زاده:
به اين ترتيب در واقع كارت اينترنت با اين سازوكار فعلی ديگر
نمیتواند
وجود داشته باشد...
پرويزی: بله.
قمی:
آنچه از "داده ترافيك" فهميده می
شود
كه بايد توسط ISP لاگ گرفته و ثبت شود ظاهراً چيزی مانند
سيگنالينگ است در تلفن، بنابراين تصور اين كه همه فعاليت يك
كاربر ثبت شود و حجم عظيمی از اطلاعات بايد توسط ISPها ذخيره
شود درست نيست.
پرويزی:
همين طور است. اينها ناشی از سوءتفاهم است. همان طور كه گفتم
اين پيش
نويس
همچنان در معرض ديد و نظر كارشناسان است، همين طور در سايت
مخصوص همايش حقوق فناوری اطلاعات. همه صاحبنظران میتوانند
نظرات و انتقادهای خود را بر آن بنويسند.
منبع :
http://ccwmagazine.com/Issues/Issue24/vijhe/mizgerd.ASP
