تحديث: ردت “إمباكت” على المخاوف التي أثيرت في هذه المقالة عبر توضيح بعض النقاط. ثمّ قدّم فريقنا التقني المزيد من الأدلّة على صحّة المخاوف الأمنية التي تناولتها المقالة، وما زلنا ننتظر ردّ “إمباكت”. أبدت “إمباكت” مراراً تعاونها معنا استجابتها لمعالجة الملاحظات التي نطرحها، مثل نشر سياسة الخصوصية للمنصّة على covid.pcm.gov.lb بعد مطالبة “سمكس” بذلك.
عقدت وزارة الصحة العامة اللبنانية (MoPH) و”هيئة التفتيش المركزي” شراكة مع جهاتٍ مانحة للاستثمار في “منصة الوزارات والبلديات المشتركة للتقييم والتنسيق والمتابعة” (IMPACT)، وذلك في محاولةٍ لتحسين الاستجابة لجائحة كورونا.
تتولّى منصة “إمباكت” معالجة الخدمات المرتبطة بمكافحة فيروس كوفيد-19 على الإنترنت وإدارتها، بالتعاون مع وزارة الصحة العامة، مثل إصدار أذونات التنقّل خلال فترات الإغلاق التام، وصولاً إلى التسجيل لتلقّي اللقاح. وتُعتبر معظم البيانات التي تُجمع في هذا الإطار معلوماتٍ حسّاسة حول كل فرد، كالاسم الكامل، وتاريخ الولادة، ومكان الإقامة، ورقم بطاقة الهوية، فضلاً عن المعلومات الطبية. وبعد أن تابعت “سمكس” الموضوع عن كثب، نشرت منصة “إمباكت” سياسة الخصوصية لمنصّة “كوفاكس” (COVAX) المخصّصة للتسجيل من أجل الحصول على اللقاح، بعد أن تمّ تحديثها للمرّة الأخيرة في شباط/فبراير 2021.
وكانت “سمكس” راجعت سياسة الخصوصية للمنصة، عبر مقارنتها بمعايير “النظام الأوروبي العام لحماية البيانات” (GDPR)، سيّما وأنّ المنصة تخزن البيانات التي تجمعها على سيرفرات في ألمانيا، كما قارنّا سياسة الخصوصية نفسها بأحكام “قانون المعاملات الإلكترونية والبيانات ذات الطابع الشخصي” اللبناني رقم 81/2018، ومن ثمّ أجرينا تحليلاً تقنياً للمنصّة وقدّمنا بعض التوصيات بشأن سياساتها.
تقييم سياسة الخصوصية
معالجة البيانات
“قد نستعين ببياناتك الشخصية لأغراض بحثية”؛ هذا ما جاء في سياسة الخصوصية لمنصة “إمباكت”، من دون الإشارة إلى نوع هذه البحوث أو الجهات التي ستجريها. وفقاً لـ”قانون المعاملات الإلكترونية اللبناني” رقم 81/2018، لا تتّسم العبارة أعلاه بالوضوح الكافي في ما يتعلّق بأغراض معالجة البيانات، ما يشكّل انتهاكاً للمادة 87 منه التي تنصّ على أن “تُجمع البيانات ذات الطابع الشخصي بأمانة وأهداف مشروعة ومحدّدة وصريحة”. وتتعارض العبارة أيضاً مع المبادئ التوجيهية لـ”النظام الأوروبي العام لحماية البيانات“، كونها لا تتحلّى بما يكفي من الاقتضاب والشفافية.
الاحتفاظ بالبيانات
تشير سياسة الخصوصية، في القسم المرتبط بالاحتفاظ بالبيانات، إلى أنّه “يتمّ استضافة البيانات على خادمٍ ضمن التفتيش المركزي. ويتمّ أيضًا نسخ البيانات احتياطيًا على خادمٍ في ألمانيا يديره موظفون من التفتيش المركزي”. يثير هذا البند مخاوف حول الخصوصية، في وقت تفرض المادة 88 من القانون رقم 81/2018 وجوب إعلام الأشخاص الذين تُستقى منهم البيانات ذات الطابع الشخصي “بالأشخاص الذين ستُرسل لهم هذه البيانات” (البند 5). في هذه الحالة، من غير الواضح أين ستوضع النسخ الاحتياطية من البيانات في ألمانيا ومن يستطيع الوصول إليها.
من جهةٍ أخرى، تنصّ المبادئ التوجيهية لـ”النظام الأوروبي العام لحماية البيانات” على أنّه “ينبغي الإفصاح عن جميع تفاصيل نقل البيانات ذات الطابع الشخصي إلى بلدٍ ثالث والإشارة إلى الضمانات المعتمدة لذلك”. وعلاوةً على ذلك، تمتنع سياسة الخصوصية لمنصة “كوفاكس” اللبنانية عن ذكر مدّة الاحتفاظ بهذه البيانات، وتكتفي بالإشارة إلى أنّه “سيتمّ الاحتفاظ بالبيانات الشخصية طالما كان ذلك ضرورياً”. لا يتعارض ذلك مع المبادئ التوجيهية للنظام الأوروبي وحسب، بل يشكّل خرقاً للمادة 90 من القانون رقم 81/2018 والتي تشدّد على “ألّا يكون حفظ البيانات ذات الطابع الشخصي مشروعاً إلّا خلال الفترة المبيّنة في التصريح عن المعالجة أو في القرار التي يرخّص بها”، وأن تكون مدّة الاحتفاظ بالبيانات محدّدة.
تقديم الشكاوى
لا تضمن سياسة الخصوصية لمنصة “إمباكت” حقّ تقديم الشكاوى لدى الهيئة الإشرافية المختصة، وهو حقٌّ يضمنه كلٌّ من القانون رقم 81/2018 في المادة 92 التي تنص على أنّه “لكلّ شخصٍ طبيعي الحق في الاعتراض، لأسباب مشروعة، أمام المسؤول عن المعالجة على تجميع البيانات ذات الطابع الشخصي الخاصة به ومعالجتها”. كما أنّ المبادئ التوجيهية لـ”النظام الأوروبي العام لحماية البيانات” تحمي “الحقّ في تقديم الشكاوى لدى الهيئة الإشرافية المختصة”.
نظامٌ مؤتمت (معالجة آلية) لاّتخاذ القرارات/إصدار التراخيص
تجدر الإشارة أيضاً إلى غياب أي إشارة لإمكانية الاطّلاع على “معالجة البيانات ذات الطابع الشخصي على المعلومات والتحاليل المستعملة في المعالجات الآلية المتعلقة به”، وفقًا لما جاء في المادة 86 من القانون رقم 81. وفي السياق نفسه، تشدّد المبادئ التوجيهية للنظام الأوروبي العام لحماية البيانات على ضرورة “وجود نظامٍ مؤتمتٍ لاتخاذ القرارات، ومعلوماتٍ حول طريقة ضبطه، وأهميّته، والتبعات المترتّبة عنه”.
في المقابل، تنصّ المادة 98 من قانون المعاملات الإلكترونية اللبناني على وجوب تحديد “التصريح المقّدم أو الترخيص المُعطى”، وهو عنصرٌ آخر لم تأتِ سياسة الخصوصية على ذكره.
وفي حين تسعى سياسة الخصوصية لمنصّة “إمباكت” إلى استيفاء كافة معايير النظام الأوروبي والقانون اللبناني، تشير النتائج التي خلُصت إليها “سمكس” إلى عدد من المخاوف المرتبطة بالخصوصية، لا سيّما على مستوى خوادم المنصة في ألمانيا.
التقييم التقني
بعد إجراء تحليلٍ أمني للموقِعَين الإلكترونيين (covax.moph.gov.lb) و(covid.pcm.gov.lb) التابعين لمنصة “إمباكت”، لم تجد “سمكس” أيّ تهديداتٍ أمنية بالغة على الموقعين. ولكن، ثمّة بعض مواطن الضعف التي ينبغي معالجتها على الفور.
التحليل التقني لموقع (Covax.Moph.Gov.Lb)
ملاحظة: ينطبق هذا التحليل على منصة (Covid.pcm.gov.lb) التابع لمنصة “إمباكت”، بما أنّ الرموز البرمجية والخوادم هي عينها، فيما تختلف واجهة المستخدم (UI) عن خدمات الموقع الإلكتروني.
السيرفرات في ألمانيا
تستعين منصّة “إمباكت” الفرعية لتسجيل اللقاحات بعنوان بروتوكول إنترنت (IP) ألماني، وذلك يعود إلى وجود سيرفر الشبكة الرئيسي في ألمانيا، على سحابة “كلاودستاك بريميوم” (Cloudstack Premium) لدى شركة “ليزويب دويتشلاند” (Leaseweb Deutschland Gmbh). تشير الشركة المذكورة إلى أنّ استضافة البيانات تقوم على تقنياتٍ سحابية، ولكن، نظراً لطبيعة البيانات التي تجمعها منصة “كوفاكس”، يتعيّن على وزارة الصحة العامة و”إمباكت” تقديم توضيحاتٍ حول مكان تخزين بيانات المستخدمين/ات. فإذا كانت هذه الأخيرة محفوظةً في ألمانيا، ينبغي اتّخاذ التدابير اللازمة حرصاً على حماية بيانات المواطنين/ات اللبنانيين/ات واحترام الخصوصية في تخزينها.
تشفير طبقة المنافذ الآمنة ليس الأفضل من نوعه
لا تستخدم منصّة “كوفاكس” أفضل التقنيات المتوفّرة في تشفير طبقة المنافذ الآمنة (SSL Encryption)، وهو بروتوكولٌ يحفظ أمن الاتصالات ضمن شبكةٍ حاسوبية. بل على العكس من ذلك، تستعين طبقة المنافذ الآمنة على منصّة “كوفاكس” بنسخٍ أقدم طرازاً من بروتوكول أمان طبقة النقل (TLS)، وهي TLS1.0 و TLS1.1 و TLS1.2، ما يعرّض المنصة لهجمات محتملة لإرجاع الإصدار (downgrade attack) على مستوى أمان طبقة النقل.
يُستخدم بروتوكول أمان طبقة النقل لتشفير الاتصالات بين المستخدمين/ات والسيرفرات، أي المواطنين/ات اللبنانيين/ات ومنصّة “كوفاكس” في هذه الحالة. هذا ولا تُستخدم النسخة الأخيرة من البروتوكول إلّا إذا كان العميل (متصفّح كروم/أندرويد/آيفون، إلخ.) والسيرفر يدعمه. وإذا كانت الجهتان تحتملان نسخةً آمنة غير ضعيفة من بروتوكول أمان طبقة النقل، يُمكن حينها تنفيذ هجوم الوسيط (MITM)، حيث يعمد منفّذ الهجوم بشكلٍ سرّي إلى كشف الاتصالات بين الطرفين (أي الخادم وأجهزة العميل بشكلٍ رئيسي).
أمّا هجوم إرجاع الإصدار (downgrade attack) على بروتوكول أمان طبقة النقل (TLS)، فتخدع جهاز العميل باستخدام نسخةٍ ضعيفة أقدم طرازاً من بروتوكول أمان طبقة النقل لتشفير المعلومات قيد النقل. ثمّ يحاول منفّذ الهجوم اعتراض هذه المعلومات واستغلال الثغرات في نسخة البروتوكول القديمة أو الخوارزميات المشفّرة الضعيفة. هذا وكانت “إمباكت” صرّحت أنّها تستخدم هذه النسخ من البروتوكولات لّأنها تتطابق مع النسخ الأقدم من برامج التصفّح والأجهزة التي لا تدعم بروتوكولات أمان طبقة النقل الجديدة.
وعليه، يتعيّن على منصّة “كوفاكس” معالجة هذه المشكلة عبر وقف استخدام النسخ الضعيفة من البروتوكول، بما في ذلك النسختين TLS1.0 وTLS1.1.
احتمال التعرّض لهجمات الاختطاف بالنقر
اكتشفت “سمكس” أنّ منصة “كوفاكس” قد تتعرّض لهجمات الاختطاف بالنقر (Clickjacking attacks) نظرًا لضعف معايير الأمن من جهة المستخدمين. الاختطاف بالنقر هو هجومٌ قائمٌ على الواجهة (واجهة الموقع الإلكتروني من جهة المستخدمين) حيث يتعرّض المستخدم/ة لعملية خداع من أجل النقر على محتوى عملي يعود لموقعٍ إلكتروني خفيّ، عن طريق الضغط على بعض المحتويات الأخرى في موقعٍ خبيث.
وعلى الرغم من احتمال حدوث هجومٍ من هذا النوع يبقى ضئيلاً، إلّا أنّه في حال حدوثه، يسهّل هجمات التصيّد (Phishing attacks)، ويعرّض المعلومات للخطر مع الوقت.
الاستضافة المشتركة لمواقع الويب
أخيرًا، تؤّمن منصّة “كوفاكس” خدمات ويب مشتركة قائمة على خدمة “جيتي” (Jetty service). ومن المرجّح أن تكون الخدمة متاحةً للهيئات الحكومية الأخرى، وأن تُستخدم للحصول على المعلومات والوصول إلى البيانات على منصّة “كوفاكس”. وقد حدّدت “سمكس” النسخة المستخدمة بخدمة Jetty 9.4.36.v20210114. وفي حين تُعتبر هذه النسخة متوسّطة المتانة، إلّا أنّها قد تخلّف أثراً كبيراً على منصة “كوفاكس”. فعندما تتلقّى خدمة “جيتي” طلباً يحتوي على أكثر من عريضةٍ بعنوان “قبول” (معدّلة خصيصاً)، مع كمٍّ كبيرٍ من المعايير الخاصة، قد يدخل الخادم في حالة تعطّل الخدمة، بما أنّ معالجة هذه القيم النوعية تستهلك نسبةً كبيرة من سعة وحدة المعالجة المركزية (CPU)، حيث تحتاج الوحدة إلى دقائق عدّة لمعالجتها.
الخلاصة
لعبت منصّات “إمباكت” الإلكترونية دوراً بارزاً في تيسير الاستجابة السريعة للجائحة، إلّا أنّها تنطوي على بعض المخاطر المرتبطة بالخصوصية والأمن التي لم تُعالج. فعلى سبيل المثال، تفتقر سياسة الخصوصية إلى بعض المعلومات الأساسية حول الاحتفاظ بالبيانات ذات الطابع الشخصي ومعالجتها. كذلك، كشف التحليل التقني الذي أجرته “سمكس” عن بعض مواطن الضعف التي تكشف البيانات التي تمّ جمعها على المنصّة.
وعليه، تدعو “سمكس” منصة “إمباكت” إلى استخدام أحدث تدابير الأمن وأكثرها تقدّمًا في التعامل مع سجّلات المواطنين الشخصية وخلفيّاتهم الطبية. فلتكن المنصة أكثر شفافيةً في ما يخصّ الخوادم، ولتنشر تقرير شفافيةٍ يشرح سبب وجود الخادم في ألمانيا، وكيفية تخزين بيانات المستخدمين ومعالجتها، والأشخاص المخوّلين الوصول إليها ومعالجتها.
هذا وتُعرب “سمكس” عن استعدادها لمساعدة التطبيقات والمواقع الإلكترونية الجديدة على تعزيز الخصوصية والأمن. كما وأنّها ستعمل – بالشراكة مع “مؤسسة فريدريش ناومان” (FNF) في لبنان وسوريا – على توسيع عملها في السهر على حماية بيانات المواطنين الرقمية على المنصات الحكومية اللبنانية.
