في أيلول/سبتمبر 2021، أطلقت وزارة الشؤون الاجتماعية اللبنانية ومنصّة الحوكمة الإلكترونية “إمباكت” (IMPACT) التي يُشرِف عليها “التفتيش المركزي”، “شبكة دعم للحماية الاجتماعية”، وهو برنامج يهدف إلى تقديم الدعم المالي للعائلات المحتاجة في لبنان. أجرَت منظّمة “سمكس” تحليلاً تقنياً سريعاً للأمن والخصوصية على هذه المنصّة، ووجدَت عدداً من الثغرات المهمّة.
تطلب منصّة “دعم” الكثير من المعلومات الشخصية التعريفية، بعضُها مُبرَّر، والبعض الآخر غير مُبرَّر. بالتالي، يُفترَض بمنصّة “إمباكت” أن تُفسِّر علناً سبب عدم الوضوح بشأن الجهة المسؤولة عن البيانات التي تجمعها المنصّة، وأين ستُخزّن، وكيفية ستُحمى ومن يمكنه الوصول إليها.
بالنسبة إلى الاستضافة (hosting)، يُبيِّن تحليلُنا أنَّ عنوان بروتوكول الإنترنت (IP) الذي يُزوِّد صفحة “شبكة دعم” تابعٌ لـ”سيرفر” (server) لبناني تستضيفه مؤسّسة “أوجيرو” للاتّصالات. هذه مبادرةٌ جيّدة لعزل البيانات في الجوار الإقليمي المُحيط بلبنان، لكنَّها ليست الحقيقة الكاملة.
تحديثات أمنية تقنية، ولكنْ…
على غرار الخدمات الأخرى التي تُقدِّمها منصّة “إمباكت”، مثل موقع التسجيل المسبق لأخذ لقاح كوفيد-19، والموقع المُخصَّص لطلب إذن خلال فترة حظر التجوُّل، طرحت “إمباكت” موقعاً آخر، وهو “شبكة دعم” التي تَستخدِم نفس مكوّنات البنية التحتية والترابطات التابعة للشركة المُطوِّرة.
أجرَت وحدة التكنولوجيا في منظّمة “سمكس” تحليلاً سريعاً لموقع daem.impact.gov.lb من أجل التحقُّق من أخذ الجهة المعنية بالتوصيات السابقة. تَبيَّنَ أنَّ منصّة “إمباكت” نفّذت توصياتنا المتعلّقة بتدابير العزل الأمني وصحَّحت موازِنات التحميل (load-balancers) واستخدمت إصداراً أحدث. في السابق، تمّ استعمال البروكسي المعكوس (reverse-proxy) لعزل “السيرفر” الداخلي المسؤول عن معالجة البيانات، وكانَ متاحاً فقط عبر البروكسي المعكوس “Nginx”.
من ناحية الاستضافة (hosting)، قدّمت “إمباكت” لوحدة التكنولوجيا في منظّمة “سمكس” وثيقة البنية التحتية الخلفية، حيث أشارت إلى الانتقال من سيرفر يمتلكه ويديره مُزوِّد ألماني إلى سيرفر (server) لبناني. إلَّا أنَّ النتائج التي توصَّلت إليها الوحدة لا تؤكّد هذا التصريح لكنَّها ليست قاطعة، فسيرفر البريد الخاصّ بمنصّة “إمباكت” ما زال على مُزوِّد الاستضافة الألماني، ما يدلّ على أنَّ الخدمة ما زالت سارية. ولدى وحدة التكنولوجيا في منظّمة “سمكس” شكوك جدّية حيال عناوين بروتوكول الإنترنت الفعلية للسيرفر، سواء كانت على سيرفرات لبنانية أو لا تزال على البرمجية الألمانية “ليزريب” (Leaseweb) مع وجود البروكسي المعكوس “Nginx” فقط على عنوان لبناني لتغطية الموقع الحقيقي.
واكتشفت منظّمة “سمكس” بعدَ تحليلٍ دقيق أنَّ البروكسي المعكوس الذي يتلقّى طلبات الويب موجودٌ في لبنان – وهذا ينطبق على كلّ الخدمات المتوفّرة عبر منصّة “إمباكت” – عن طريق عنوان IP لبناني مُسجَّل لدى “أوجيرو”. وأخيراً، نشير في منظّمة “سمكس”إلى أنَّنا لا نملك القدرة على التحقُّق تقنياً ممّا وراء البروكسي المعكوس.
مع هذه التحديثات الأمنية العديدة، تُجدِّد منظّمة “سمكس” مطالبتها بالشفافية من جانب منصّة “إمباكت” حول موقع تخزين البيانات وكيفية إدارة البنية التحتية الكامنة وراء البروكسي المعكوس.
غموضٌ قانوني….
وفقاً للمرسوم الاشتراعي رقم 115/1959 “إنشاء التفتيش المركزي”، الصادر بتاريخ 12/12/1958، والتعديلات التي أُجرِيَت بتاريخ 05/03/1963، يشمل دور التفتيش المركزي إجراء أنواع مختلفة من التفتيش لـ”مراقبة الإدارات والمؤسّسات العامّة والبلديات، والسعي إلى تحسين أساليب العمل الإداري، وإبداء المشورة للسلطات الإدارية تلقائياً أو بناءً لطلبها، وتنسيق الأعمال المشتركة بين عدّة إدارات عامّة، والقيام بالدراسات والتحقيقات والأعمال التي تُكلِّفه بها السلطات”.
أمّا دوره الموضّح على منصّة “إمباكت” فيتمثّل في “إدارة وتشغيل برنامج التفتيش المركزي على المنصّة. يُمنَح المفتّشون المعنيّون حقَّ الوصول إلى البرنامج لمراقبة الإدارات العامّة. كما يُدقِّق التفتيش المركزي في عدد من البرامج القطاعية التي تدخل في نطاق مهامه من خلال لوحات البيانات التفاعلية (Dashboards) المتوفّرة على منصّة إمباكت”. وعلى صفحة “الأسئلة المتكرّرة” نفسها، تشرح منصّة “إمباكت” أنَّ التفتيش المركزي مسؤولٌ أيضاً عن “حوكمة كافّة البيانات من خلال برامج المنصّة، إذ “يحرص على تطبيق مبادئ النظام الأوروبي المُعتمَد لحماية أمن البيانات (GDPR)، بالإضافة إلى المبادئ الخمسة المتعلّقة بالحوكمة: العدالة، الأمن، الخصوصية، الشفافية، والمساءلة”.
وتنصّ الصفحة كذلك على أنّ ملكية البيانات”تعود إلى الدولة اللبنانية”.
يثير كلّ هذا الغموض القانوني الأسئلة التالية:
- استناداً إلى المادّة 104 من قانون “المعاملات الإلكترونية والبيانات ذات الطابع الشخصي” 81/2018، هل يندرج العمل الذي تقوم به منصّة “إمباكت” عبر مختلف الخدمات ضمن مهام التفتيش المركزي؟
- لماذا تطلب منصّة “دعم” كلّ هذه المعلومات الشخصية المفصّلة، مثل أرقام لوحات السيّارات وإثبات الملكية، وصور الوجه الواضحة، ورفع السرّية المصرفية؟
- هل يحقّ للتفتيش المركزي أن يجمع ويُعالِج هذه البيانات؟
- أين يتمّ تخزين هذه البيانات؟
- تُشير صفحة الأسئلة المتكرّرة على منصّة “إمباكت” و”سياسة الخصوصية” إلى أنَّ “ملكية البيانات” تعود إلى “الدولة اللبنانية”. ولكنْ، أيّ مؤسّسة أو هيئة حكومية ستكون مسؤولة في حال إساءة استخدام البيانات أو استعمالها؟
- ما هي آلية المساءلة على منصّة “إمباكت”؟
تُعرب “سمكس” عن استعدادها لمساعدة التطبيقات والمواقع الإلكترونية الجديدة على تعزيز الخصوصية والأمن. كما وأنّها ستعمل – بالشراكة مع “مؤسسة فريدريش ناومان” (FNF) في لبنان وسوريا – على توسيع عملها في السهر على حماية بيانات المواطنين الرقمية على المنصات الحكومية اللبنانية.