على مدى الأشهر السبعة الماضية، استهدف الاحتلال الإسرائيليّ على نحوٍ خاصّ الأفراد والمنازل والمركبات في جنوب لبنان والضاحية الجنوبيّة لبيروت، ما أثّر إلى حدٍّ بعيدٍ على الحياة اليوميّة في لبنان.
تأتي هذه الانتهاكات الصارخة نتيجة سنواتٍ من سوء إدارة البيانات، سمحت للجيش الإسرائيليّ باختراق الاتّصالات اللبنانيّة الهشّة أساساً، والتجسس على السكّان، وإجبارهم على النزوح، وتعريض حياتهم/ن للخطر.
تسلّط لينا عويدات، منسّقة اللجنة الوطنيّة للأمن السيبراني ومنسّقة المكافحة المتقدمة للإرهاب، الضوء على التحدّيات الداخليّة أمام تنفيذ استراتيجيّةٍ قويّةٍ للأمن السيبراني في لبنان. إذ تمسّ الحاجة اليوم أكثر من أيّ وقتٍ مضى إلى هذه الاستراتيجية، وتعود للحكومة اللبنانيّة مسؤوليّة ضمان وضعها وتنفيذها بسرعةٍ وفعاليّة. أمّا في الوقت الحالي، لا تزال بياناتنا عرضةً للخطر، إذ يسهل على الإسرائيليين الوصول إليها.
يتتّبع هذا المقال تاريخاً طويلاً من تسرّب البيانات والتجسّس في لبنان يمتدّ على عقدين، ويسلّط الضوء على حوادث رئيسيّة اخترقت فيها الدولة اللبنانيّة بيانات الأفراد.
تسرّب البيانات من خلال أرقام لوحات السيّارات
أتاح تطبيق “كارز 961” (Cars 961) الذي أُطلق في العام 2015 لمستخدميه ومستخدماته الحصول على معلوماتٍ حول السيّارة وصاحبها/تها من خلال تحميل رقم لوحة السيّارة على التطبيق. يزوّد التطبيق المستخدمين/ات بالبيانات الشخصيّة المرتبطة برقم لوحة السيّارة، مثل الاسم الكامل لصاحب/ة السيّارة، والعنوان المفصّل، وتاريخ الميلاد، ورقم الهاتف. وقد أُغلق التطبيق في نهاية المطاف.
لسوء الحظّ، لم تكن حادثة التسريب هذه الأولى في نوعها. بالفعل، يجري تسريب بيانات أرقام لوحات السيّارات في لبنان كلّ سنةٍ تقريباً بسبب سياسة تخزين البيانات وحمايتها الهشّة والبدائيّة التي تتّبعها الحكومة اللبنانيّة وإداراتها. تُخزّن البيانات المتعلّقة بلوحات السيّارات على أقراصٍ مدمجة غير مشفّرة وغير محميّة، وتتعرّض للتسريب كلّ سنة تقريباً، ما يسهّل التزوير في عمليّات تسجيل السيّارات. وتتضمّن البيانات المحفورة على الأقراص المدمجة اسم مالك/ة السيارة بالكامل، بالإضافة إلى تاريخ ومكان الولادة، ورقم السجلّ، ومكان الإقامة، ورقم الهاتف الجوّال والثابت.
وعلى الرغم من أنّ الدولة بدأت في إصدار رخص القيادة البيومتريّة في العام 2017 بعد توقيع عقدٍ مع شركة “إنكريبت” (Inkript)، وهي شركة تطوير برمجيّات لبنانيّة، للتحوّل من الأقراص المدمجة التقليديّة، لا تزال هذه البيانات عرضةً للتسرّب لأنّ المواقع الإلكترونيّة الحكوميّة غير آمنة.
تهديدات بتسريب بيانات اللاجئين/ات السوريّين/ات
طلبت الحكومة اللبنانيّة من المفوضيّة السامية للأمم المتّحدة لشؤون اللاجئين (UNHCR) تسليمها بيانات أكثر من مليونَيْ لاجئٍ/ة سوريّ/ةٍ في لبنان.
في العام 2023، وافقت المفوضيّة على هذا الطلب، وأكّد مسؤولٌ في الأمن العام اللبناني أنّ الحكومة حصلت بالفعل على قاعدة بيانات اللاجئين/ات. وتخشى منظّمات حقوقيّة وناشطون/ات حقوقيّون/ات من تسليم البيانات إلى النظام السوريّ، كوسيلةٍ جديدة لاتّخاذ إجراءاتٍ صارمةٍ بحقّ المعارضين/ات للنظام والمطالبة بإعادتهم/نّ إلى سوريا. ونظراً للبنية التحتيّة الضعيفة لأمن البيانات في لبنان، يلوح أيضاً في الأفق خطر اختراق هذه البيانات المهمّة أو تسريبها من قبل موظفين/ات حكوميين/ات إلى أطرافٍ ثالثة.
السفارات اللبنانيّة تسرّب بيانات الرعايا المغتربين
بعد الانتخابات النيابيّة التي أجريت في 6 أيّار/مايو 2018، تلقّى اللبنانيون/ات المقيمون/ات في عدّة دولٍ رسائل بريد إلكتروني تحتوي على البيانات الشخصيّة للناخبين/ات للتحقّق من معلومات تسجيل الناخبين/ات الخاصّة بهم/نّ.
وشمل ذلك اسم الناخب/ة الكامل، واسم الأم والأب، والنوع الاجتماعي، وتاريخ الميلاد، والدين، والوضع العائلي، والعنوان.
تلقّى اللبنانيون/ات المقيمون/ات في لاهاي رسالةً إلكترونيّة أُرسِلت إلى أكثر من مئتَيْ ناخب/ة في نفس الوقت. كان بإمكان جميع المستلمين/ات الاطّلاع على بيانات مئتي ناخب/ة في هولندا ومشاركتها. وفي الإمارات العربيّة المتّحدة، أرسلت السفارة اللبنانيّة رسالة التحقّق الإلكترونيّة نفسها إلى حوالى 5 آلاف مغتربٍ/ة لبنانيّ/ة يقيمون في أراضيها، كما تلقّى الناخبون/ات في بلدانٍ أخرى رسائل من المرشحيّن/ات في إطار استراتيجيّة حملاتهم/نّ الانتخابيّة لحثّهم/ن على التصويت.
فضيحة قرصنةٍ دخلت تاريخ لبنان
في تمّوز/يوليو 2018، قامت شركة القرصنة اللبنانيّة “كريبتون سيكيوريتي” (Krypton Security) التي تأسّست في العام 2013، باختراق أمن المؤسّسات العامّة الكبرى في لبنان. فطالت الاختراقات قاعدة بيانات الرحلات المدنيّة في مطار بيروت الدولي، والمواقع الإلكترونيّة التابعة لوزارة الاقتصاد والداخليّة، وهيئة “أوجيرو”، ومديريّة الأحوال المدنيّة في وزارة الداخليّة. كما حصلت على معلوماتٍ من مواقع إلكترونيّة مرتبطة بالجهاز الأمنيّ اللبناني.
وتمّ اكتشاف الاختراق بعد أن تقدّمت شركة “أي.دي.أم” (Inconet Data Management, IDM)، لتوزيع الإنترنت، بشكوى إلى النيابة العامّة بعد محاولاتٍ فاشلة لوقف أنشطة القرصنة في العام 2017. وكشفت التحقيقات تورّط خليل صحناوي، المستشار اللبناني البلجيكي الذي يرأس شركة “كريبتون سيكيوريتي”، بهذه الهجمات.
تسرّبٌ مستمرٌّ للبيانات من المدارس
نُشرت بيانات أكثر من 27 ألف معلّمٍ/ة في المدارس الرسميّة في لبنان عن طريق الخطأ على الموقع الرسميّ لوزارة التربية هذا العام. وعلى الرغم من أنّ التسريب حصل نتيجة خطأ فنيٍّ، لم تبرّر الوزارة الخطأ ولم تعمل على تصحيحه. ونُشرت البيانات في ملفّ “إكسل” يدرج أسماء الأساتذة، وعناوين البريد الإلكتروني الخاصة بهم/نّ، وساعات العمل، والوضع العائلي، وأرقام الحسابات المصرفيّة.
وهي ليست المرّة الأولى التي تقوم فيها وزارة التربية والتعليم بتسريب بياناتٍ خاصّة بالمدارس، ففي العام 2022، نُشرت بيانات حوالى 56 ألف طالبٍ/ة في مرحلة الشهادة المتوسّطة على الإنترنت، بما في ذلك نتائجهم/نّ المدرسيّة ومعلوماتهم/نّ الشخصيّة. وفتحت الوزارة آنذاك تحقيقاً، ثمّ أصرّت على الاستمرار في رقمنة بيانات الموظفين/ات والطلاب والطالبات، متجاهلةً سياسات لبنان الضعيفة في مجال الأمن السيبراني.
وزارة الاتّصالات تسلّم بيانات المواطنين/ات إلى المحكمة الخاصّة بلبنان
عندما كان النائب السابق مروان حمادة وزيراً للاتّصالات بين العامَيْن 2005 و2008، تعاون مع المحكمة الخاصّة بلبنان إثر اغتيال رئيس الوزراء الأسبق رفيق الحريري في 14 شباط/فبراير 2005، من خلال تسليم بيانات الأشخاص المقيمين في لبنان. حرصاً على استمرار التحقيقات، سلّم حمادة هذه البيانات إلى المحكمة لتتبّع المكالمات بشكلٍ أفضل وتسهيل التحقيق في القضية.
وصدر حكمٌ غيابيٌ بعد 15 عاماً بإدانة سليم عياش المرتبط بحزب الله، وتبرئة ثلاثة آخرين. واغتيل المحقّق اللبناني وسام عيد الذي قدّم مخطّطات عمليّة الاغتيال وأرقام هواتف الضالعين فيها، في بيروت، في العام 2008.
بيانات الناس غير آمنة في يد الدولة
على الرغم من ضعف البنية التحتيّة للأمن السيبراني في لبنان، بما في ذلك المواقع اللبنانيّة الرسميّة، استثمرت الحكومة الوقت والمال لتجميع بيانات المواطنين/ات عن طريق رقمنة القطاع العام.
صحيحٌ أنّ هذا التحوّل ضروريٌّ لتحسين الحوكمة، إلا أنه أثّر سلباً على خصوصيّة المواطنين/ات. فعلى سبيل المثال، تقدّم شركتا الاتّصالات في لبنان، “تاتش” (Touch) و”ألفا” (Alfa)، خدمة بيع أرقام هواتف المستخدمين/ات وعناوين البريد الإلكترونيّة الخاصّة بهم/نّ للشركات الراغبة في جذب المزيد من العملاء من خلال التواصل مع الأشخاص عبر الرسائل القصيرة أو رسائل البريد الإلكتروني. وتقسّم هذه البيانات المستخدمين/ات المستهدفين/ات على أساس النوع الاجتماعي والعمر والمهنة، بحسب ما يرد على المواقع الإلكترونيّة للشركتين.
كما تُجمع البيانات من خلال جوازات السفر البيومتريّة، والتراخيص، وبطاقات الائتمان، ومؤخراً إخراج القيد الفردي أو العائلي الذي تصدره وزارة الداخليّة.
المقلق في الأمر هو أنّ تسريبات البيانات من السفارات، وشركات الاتّصالات، ولوحات السيّارات، والجامعة الأمريكيّة في بيروت، وهيئة “أوجيرو”، والوزارات الحكوميّة، والمحاكم الخاصّة، لم تكن كافية. إذ تسعى الحكومة اللبنانيّة لجمع المزيد من البيانات من المواطنين/ات لتسليمها إلى بنية اتّصالات تحتيّة هشّة وسهلة الاختراق.
الصورة الرئيسية من أ ف ب.
