تروریسم رایانه‌ای

پيشرفت تكنولوژي و سرعت چشمگير رشد فناوري‌هاي رايانه‌اي اين قابليت را براي بزهكاران ايجاد كرده است تا با هزينه ناچيز و احتمال گمنامي بالا آسيب‌هاي مالي‌، اخلاقي و حتي جاني را براي محيط پيراموني خود و يا جوامع دور پديد آورد. در سال‌هاي اخير اخبار متعددي در رسانه‌ها منتشر شده است كه حاكي از تلاش براي نفوذ در شبكه‌ها و اختلال در سامانه‌ها و نرم‌افزارهاي حساس بوده است. تروريست‌هاي رایانه‌ای بطور معمول نقاط حساس و حياتي جوامع را هدف قرار مي‌دهند تا اساسي‌ترين ضربات را به دشمنان خود وارد كنند و تبعات اين اعمال خسارات سنگين و در برخی موارد جبران‌ناپذير مالي و جاني است. در اين مقاله به دنبال آن هستيم كه موضوع تروريسم رایانه‌ای را در نظام حقوقي ايران بررسی کرده و با مجازات آن آشنا شویم.

تروریسم رایانه‌ای چیست؟

واژه‌ی تروريسم كه در فارسي از آن به عنوان وحشت‌افكني يا هراس‌افكني نام برده شده است به هرگونه عملكرد يا تهديد براي ترساندن يا آسيب رساندن به شهروندان، حكومت، يا گروه‌ها و شخصيت‌هاي سياسي گفته مي‌شود. 

تروريسم رایانه‌ای به معني حملات از پيش طراحي شده با انگيزه سياسي است كه توسط گروه‌هاي تحت حمايت كشورها يا عوامل خرابكار يا اشخاص، عليه سيستم‌هاي رايانه‌اي و اطلاعاتي، برنامه‌هاي رايانه‌اي و داده‌ها انجام مي‌شود، به نحوي كه منجر به خشونت عليه اهداف غير نظامي مي‌گردد. تروريست‌هاي فضاي مجازي يا اينترنتي به جاي استفاده از سلاح‌هاي رايج، بمب‌ها و موشك‌ها يا ساير ابزارهاي معمول، از نرم‌افزارهاي مخرب رايانه‌اي براي پيشبرد اهداف خود استفاده مي‌كنند. ويروس‌ها، كرم‌ها، تروجان‌ها، اسپم‌ها، هك و نفوذ رايانه‌اي، بخشي از ابزار هاي تروريست‌هاي رایانه‌ای به شمار می‌رود. 

بررسی جرم تروریسم رایانه‌ای

1- مرتکب جرم تروریسم رایانه‌ای

با وجود اينكه مرتكب جرم تروریسم رایانه‌ای ممكن است حتي يك نفر هم باشد، اما معمولا ارتکاب اين جرم به صورت گروهي واقع مي‌شود. علاوه بر این، قانون جرايم رايانه‌اي به مسئولیت كيفري اشخاص حقوقي توجه داشته و مواد 19 تا 23 اين قانون به این امر پرداخته است. بنابراين مرتكب جرايم تروريسم رایانه‌ای مي‌توانند اشخاص حقوقي نامبرده شده در مواد 19 الي 23 قانون جرايم رايانه‌اي باشند. همچنین دولت‌ها نیز بتوانند مرتكب جرايم سايبري شوند. در واقع بر اساس تعريف نهادهاي بين المللي، حاميان تروريست‌ها نيز تروريسم بوده و قابل مجازات می‌باشند، به همین خاطر در مواردي كه يك دولت از تروريست‌ها حمايت مي‌كند و امكانات مالی، فني و مكان در اختيار تروريست‌ها قرار مي دهد، خود نيز مرتكب جرم تروريسم شده است. 

باید به این نکته هم اشاره کرد که در جرم تروریسم رایانه‌ای، انگيزه مرتکب موضوع بسيار مهمي است چرا که عامل اصلي كه باعث تفاوت جرايم عادي از جرم تروريستي مي‌شود همين انگيزه است. اين انگيزه مي‌تواند سياسي، عقيدتي یا صنفي باشد، اما به هر حال انگيزه اين جرايم بايد ايجاد رعب و وحشت و هراس عمومي باشد. 

2- رفتار مرتکب جرم تروریسم رایانه‌ای

تروريسم رایانه‌ای يك عنوان كلي بوده و نام جرم خاصي نيست. در واقع تروريسم به هرنوع رفتار فردي يا گروهي اطلاق مي‌شود كه هدف آن ايجاد اختلال مهم و جدي در نظم عمومي با ايجاد ترس و وحشت براي نيل به درخواست‌هاي سياسي، مالي، مذهبي و آزادي توأم با ايجاد ناامني و ترس در مردم است. تروریست‌های سایبری به جای استفاده از سلاح‌های رایج و بمب‌ها و موشک یا سایر ابزارها از روش‌های متفاوتی برای پیشبرد اهداف خود استفاده می‌نمایند. حملات سایبری که توسط تروریست‌های رایانه‌ای انجام می‌پذیرد بطور عمده شامل سه رفتار می‌باشد که عبارت‌اند از حمله بوسیله‌ی بدافزارها و نرم‌افزارهای زیان‌آور بویژه ویروس‌ها، تخریب سایبری که شامل از بین بردن یا از کار انداختن اطلاعات و داده‌ها می‌باشد و سوم اخلال سایبری که ناظر بر مختل کردن یا از کار انداختن سامانه‌ها و شبکه‌های رایانه‌ای است. 

3- حمله تروریست رایانه‌ای بوسیله‌ی بدافزارها

حمله بوسیله‌ی نرم‌افزارها مانند ویروس‌ها، کرم‌ها و.. می‌تواند در سطح وسیعی به اطلاعات و سیستم‌ها آسیب وارد کرده و از این جهت مورد توجه تروریست‌ها می‌باشد. انجام حملات با استفاده از بدافزارها موجب خرابی داده‌ها، تحت نظر قرار گرفتن یا دریافت دستوراتی از طریق اینترنت برای از کار انداختن خدمات رایانه مورد هدف می‌شود. در نظام حقوقی ما صرف انتشار نرم‌افزار مضر در ماده 25 قانون جرایم رایانه‌ای، جرم دانسته شده است. هرچند جرم بودن این رفتار دلیل بر یک عمل تروریستی نیست، اما اگر حمله بوسیله‌ی بدافزارها مانند انتشار ویروس با قصد برهم زدن امنیت و انگیزه‌ی سیاسی صورت گیرد و منجر به تخریب یا اخلال در داده‌ها یا سامانه گردد، می‌تواند در قالب تروریسم رایانه‌ای مطرح شود. 

در ادامه برخی از مهم‌ترین بدافزارهای مخرب اشاره می‌شود:

1- ویروس‌ها: 

ویروس‌ها برنامه، فایل یا دستوری نرم‌افزاری هستند که برای آلوده کردن، تخریب، تغییر یا ایجاد مشکلات دیگر در کامپیوتر یا برنامه‌های نرم‌افزاری طراحی شده‌اند. انواع گوناگونی از ویروس‌ها وجود دارد که همگی به سرعت عمل کرده و موجب خرابی داده‌ها، سوءعمل رایانه و آلوده کردن فایل‌ها می‌گردد.

2- کرم‌ها: 

کرم‌ها برنامه‌های نرم‌افزاری تخریبی‌اند که حاوی دستورالعملی هستند که می‌تواند به شبکه‌ها و کامپیوترها دسترسی یافته و به محض ورود به شبکه و کامپیوتر، موجب حذف، تغییر، توزیع یا هر نوع صدمه دیگر در داده‌ها می‌شوند. کرم‌ها می‌توانند بطور فعالانه و خودکار در رایانه‌ی هدف مستقر گردند و برخلاف ویرس‌ها خودشان را به برنامه‌های دیگر نمی‌چسبانند. به عبارت دیگر، کرم‌ها برنامه‌هایی هستند که مشابه ویروس‌ها توان تکثیر کردن خود را دارند، ولی برعکس آن‌ها برای گسترش خود نیاز به برنامه‌هایی دیگر ندارند تا آن‌ها را آلوده کرده و تحت عنوان فایل‌های آلوده اقدام به انتقال و آلوده کردن دستگاه های دیگر نمایند.

3- اسب‌های تروجان: 

اسب تروجان برنامه‌ای است که در ظاهر به دنبال کاری مُجاز می‌باشد، اما در واقع اقدامی ناخواسته را به انجام می‌رساند. بسیاری از ویروس‌ها و کرم‌ها از طریق برنامه اسب تروجان انتقال داده می‌شوند تا سیستم هدف را آلوده بسازند. اسب‌های تروجان می‌توانند به گونه‌ای ارسال شوند که هدف متوجه حمله نباشد. برای مثال ممکن است پیامی را ارسال کند که به ظاهر حاوی اطلاعات دوستانه مانند دریافت پاداش است، اما در واقع برای دستیابی برای اطلاعات مهمی مانند کلمه رمز ورود سیستم هدف می‌باشد. 

4- تخریب سایبری

تخریب سایبری عمدتا بر داده‌ها واقع می‌شود. تخریب داده‌ها به معناي از بين بردن داده‌هاست، به گونه‌اي كه آن داده بعضا يا كلا موجود يا قابل پردازش نباشد. باید توجه داشت که اقداماتي نظير حذف، تخريب، مختل يا غير قابل پردازش كردن داده‌ها اتلاف محسوب مي‌شود. اما اگر شخص مرتكب، داده‌ی ديگري را كپي كند يا حتي اگر برش (CUT) دهد، به نحوي كه ديگر داده در رايانه و فايل مربوطه باقي نماند، تخريب محسوب نشده و با قصد ربون، سرقت رایانه‌ای محسوب می‌شود.  

تخريب داده يكي از اقدامات بنيادين از سوي تروريست‌ها، بويژه نسبت به داده‌هاي دولتي است. اين تخريب مي‌تواند نسبت به داده‌هاي منحصر به فرد يا حياتي صورت بگيرد كه تخريبشان در نهايت منجر به اختلال در سامانه‌ها و شبكه‌ها نيز مي‌شود. اين جرم در ماده 8 قانون جرايم رايانه‌ای پيش‌بيني شده است. طبق اين ماده، هركس بطور غيرمجاز داده‌هاي ديگري را از سامانه‌هاي رايانه‌اي يا مخابراتي يا حامل‌هاي داده حذف يا تخريب يا مختل يا غير قابل پردازش كند، به حبس از شش ماه تا دو سال يا جزاي نقدي از بیست و پنج میلیون ریال تا صد میلیون ریال یا هر دو مجازات محکوم خواهد شد. 

باید توجه داشت که آسيب‌هاي جزئي را نبايد تحت عنوان تروريسم رایانه‌ای قرار داد، چراکه تروريسم رایانه‌ای به معناي اختلال “شديد” سامانه‌هاي رايانه‌اي با انگيزه سياسي، مذهبي يا ايدئولوژيكي است و حتي تخريبي پر هزينه، اگر شدید محسوب نشود، نبايد به عنوان تروريسم رایانه‌ای تلقی گردد.  

5- اخلال سایبری

اخلال سايبري به معناي ايجاد آشفتگي و بي‌نظمي در سيستم‌ها و شبكه‌هاست، به گونه‌اي كه كاركرد طبيعي و عادي آن‌ها با مشكل مواجه گردد؛ اعم از اينكه اين اخلال سبب از كار افتادن جزئي گردد و يا اينكه سامانه بطور كلي مختل شود. ايجاد اختلال در كاركرد سيستم رايانه‌اي جرمي است مقيد كه با ايجاد هرگونه اخلال و از كار افتادگي در عملكرد سيستم رايانه‌اي تحقق مي‌يابد. 

باید توجه داشت که در اخلال سايبري، اگر رفتار فيزيكي‌اي كه خود عنوان مجرمانه دارد سبب مختل شدن سامانه‌ها و شبكه گردد، مانند جعل داده، تنها جرم اخلال محقق شده است. اين نكته را مي‌توان از ماده 9 قانون جرايم رايانه‌اي برداشت نمود. به موجب ماده 9 این قانون، هركس به طور غير مجاز با اعمالي از قبيل وارد كردن، انتقال دادن، پخش، حذف كردن، متوقف كردن، دستكاري يا تخريب داده‌ها يا امواج الكترو مغناطيسي يا نوري، سامانه‌هاي رايانه‌اي يا مخابراتي ديگري را از كار بياندازد يا كاركرد آنها را مختل كند، به حبس از شش ماه تا دو سال یا جزای نقدی از بیست و پنج میلیون ریال تا صد میلیون ریال یا هر دو مجازات محکوم خواهد شد.

باید توجه داشت در اخلال سایبری چنانچه قصد مرتكب به خطر انداختن  آسايش و امنيت عمومي باشد و موضوع حمله نيز سامانه‌هاي رايانه‌اي و مخابراتي كه براي ارائه خدمات ضروري عمومي به كار مي‌روند از قبيل خدمات درماني، آب، برق، گاز، مخابرات، حمل و نقل و بانكداري موضوع ماده 11 قانون جرایم رایانه‌ای قرار گیرد، مجازات حبس از سه تا ده سال پيش بيني شده است.

جرایم مرتبط با تروریسم رایانه‌ای

در این خصوص باید گفت برخی جرایم ماهیتا با تروریسم رایانه‌ای تفاوت دارند، اما غالبا تروریست‌ها اقدامات خود را با توسل به این اعمال آغاز می‌کنند که در ادامه به آن‌ها خواهیم پرداخت. 

 دسترسی غیرمجاز

در یک اقدام تروریستی، شیوه‌های دسترسی غیرمجاز یا حمله مقدماتی به سیستم‌ها بسیار متنوع بوده و در هر زمان شیوه‌های جدید و خطرناکی ظهور می‌کند. این حمله‌ها که برای دسترسی به داده‌ها و سیستم‌های رایانه‌ای حفاظت‌شده انجام می‌شود رایج‌ترین حمله‌ی رایانه‌ای است و معمولا مقدمه‌ی ارتکاب سایر حملات است؛ چراکه برای انجام یک حمله‌ی تروریستی، شخص باید ابتدا به سیستم دسترسی داشته باشد. دسترسی غیرمجاز در ابتدا باعث نقض محرمانگی سیستم شده و زمانی که مرزهای محرمانگی داده یا سامانه برای یک تروریست از میان برود، او اقدام به انجام عملیات خود می‌کند. جرم دسترسی غیر مجاز در قانون جرایم رایانه‌ای پیش‌بینی شده است. مطابق ماده یک قانون جرایم رایانه‌ای هرکس به طور غیرمجاز به داده‎ ها یا سامانه‎ های رایانه‌ ‎ای یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده است دسترسی یابد، به حبس از نود و یک روز تا یک سال یا جزای نقدی از بیست میلیون ریال تا هشتاد میلیون ریال یا هر دو مجازات محکوم خواهد شد.

البته قانون جرایم رایانه‌ای دسترسی غیرمجاز را در دو ماده پیش‌بینی کرده است که یکی دسترسی غیرمجاز بطور عام است و از سوی هرکس با نقض تدابیر امنیتی نسبت به سامانه‌ی دیگری قابل ارتکاب است و دیگری دسترسی غیرمجاز به طور خاص است که تنها به سامانه‌هایی اختصاص دارد که محل ذخیره و یا نگهداری داده‌های سری باشند. مطابق ماده 4 این قانون، هرکس به قصد دسترسی به داده‎ های سری موضوع ماده (۳) این قانون، تدابیر امنیتی سامانه‌های رایانه‌ای یا مخابراتی را نقض کند، به حبس از شش ماه تا دو سال یا جزای نقدی از بیست و پنج میلیون ریال تا صد و پنجاه میلیون ریال یا هر دو مجازات محکوم خواهد شد. در واقع در این ماده موضوع جرم دسترسی غیرمجاز به داده‌های سری می‌باشد. تعریف داده‌های سری در تبصره یک ماده 3 قانون جرایم رایانه‌ای اینگونه آورده شده: داده‎های سری داده هایی است که افشای آنها به امنیت کشور یا منافع ملی لطمه می‌زند.

شنود غیرمجاز

شنود لزوما شنیدن با گوش نبوده و بطور کلی دریافت بدون مجوز اطلاعات دیگری را شامل می‌شود. در خصوص داده‌های رایانه‌ای، شنود عبارت است از نظارت، کنترل، کسب اطلاع یا نسخه‌برداری با استفاده از وسایل فنی از محتوای داده‌های در حال انتقال. شنود بخاطر تلاش مرتکب در دستیابی به اطلاعات یا داده‌هایی که صلاحیت دسترسی به آن‌ها را ندارد شبیه دسترسی غیرمجاز است؛ با این تفاوت که موضوع جرم شنود، داده‌های در حال انتقال است، در حالی که موضوع جرم دستیابی غیرمجاز داده‌های ذخیره شده است. 

شنود اطلاعات نیز یکی از ابزارهای مقدماتی تروریست‌ها برای برنامه‌ریزی و طراحی عملیات تروریستی است. تروریست‌ها با دریافت اطلاعات مستقیم موقعیت خود و قربانی را بررسی می‌نمایند. جرم شنود در ماده 2 قانون جرایم رایانه‌ای اشاره شده است. به موجب این ماده هرکس به طور غیرمجاز محتوای در حال انتقال ارتباطات غیرعمومی در سامانه‌های رایانه‌ای یا مخابراتی یا امواج الکترومغناطیسی یا نوری را شنود کند، به حبس از شش ماه تا دو سال یا جزای نقدی از بیست و پنج میلیون ریال تا صد و پنجاه میلیون ریال یا هر دو مجازات محکوم خواهد شد.

جاسوسی رایانه‌ای

جاسوسی رایانه‌ای مانند جاسسوسی سنتی است و در هر دو مرتکب به دنبال یافتن اطلاعات است. در جاسوسی رایانه‌ای، تروریست پس از دسترسی غیرمجاز به رایانه‌ی هدف اقدام به جستجوی اطلاعات می‌نماید. هدف از جاسوسی رایانه‌ای می‌تواند کشف پیکربندی کامپیوتر مورد هدف یا ارزیابی حفاظت‌های سیستمی آن یا دریافت و کپی‌برداری غیرمجاز از داده‌ها باشد. جاسوسی رایانه‌ای نقض محرمانگی سیستم و داده‌ها و آشکار کردن نقاط ضعف امنیتی بوده و با انجام آن یک تروریست می‌تواند نه تنها برای یکبار بلکه برای مدت طولانی از سیستم هدف خود بهره‌برداری نمایند. 

جاسوسی رایانه‌ای در ماده 3 قانون جرایم رایانه‌ای آورده شده است. به موجب این ماده هرکس به طور غیرمجاز نسبت به داده‌های سری در حال انتقال یا ذخیره‌شده در سامانه‌های رایانه‌ای یا مخابراتی یا حامل‌های داده مرتکب اعمال زیر شود، به مجازات‌های مقرر محکوم خواهد شد:

الف) دسترسی به داده‎های مذکور یا تحصیل آن‌ها یا شنود محتوای سری در حال انتقال، به حبس از یک تا سه سال یا جزای نقدی از شصت میلیون ریال تا صد و هشتاد میلیون ریال یا هر دو مجازات.

ب) در دسترس قرار دادن داده های مذکور برای اشخاص فاقد صلاحیت، به حبس از دو تا ده سال.

ج) افشاء یا در دسترس قرار دادن داده‎های مذکور برای دولت، سازمان، شرکت یا گروه بیگانه یا عاملان آن‌ها، به حبس از پنج تا پانزده سال.

رش‌های جاسوسی رایانه‌ای برای یک حمله‌ی تروریستی متفاوت است. یکی از این روش‌ها سرقت هویت است. سرقت هویت عبارت است از تصاحب یا ادعای داشتن هویت شخص دیگر برای کسب مال یا اخذ خدمات یا ارتکاب جرم. سرقت هویت می‌تواند این امکان را به تروریست بدهد تا خسارت‌های سنگینی به افراد بیگناه یا سازمان‌ها وارد آورد. برای مثال هویت الکترونیکی یک فرمانده رزمی می‌تواند توسط حمله‌کننده سرقت شود و برای بسیج کردن سربازان جهت انجام عملیاتی مورد استفاده قرار گیرد.

جاسوسی رایانه‌ای در ماده 5 قانون جرایم رایانه‌ای نیز آورده شده است. در این ماده به یکی از روش‌های تروریست‌ها در ورود به سامانه‌ها و دسترسی به اطلاعات اشاره شده و آن استفاده از نفوذ کلامی یا رفتاری آن‌ها در مواجهه با ماموران دولتی برای به دست‌ آورده اطلاعات می‌باشد. طبق این ماده چنانچه مأموران دولتی که مسئول حفظ داده‌های سری مقرر در ماده (۳) این قانون یا سامانه‎های مربوط هستند و به آنها آموزش لازم داده شده است یا داده‌ها یا سامانه‌های مذکور در اختیار آنها قرار گرفته است بر اثر بی‌احتیاطی، بی‌مبالاتی یا عدم رعایت تدابیر امنیتی موجب دسترسی اشخاص فاقد صلاحیت به داده‌ها، حامل‌های داده یا سامانه‌های مذکور شوند، به حبس از نود و یک روز تا دو سال یا جزای نقدی از پانزده میلیون ریال تا صد میلیون ریال یا هر دو مجازات و انفصال از خدمت از شش ماه تا دو سال محکوم خواهند شد.

جمع بندی

در آخر باید گفت حملات رایانه‌ای توسط عوامل نامعلوم صورت مي‌گيرد و رديابي و يافتن محل اختفاي آنها بسيار دشوار است. مخدوش شدن مرزهاي زميني از ويژگي‌هاي حملات رایانه‌ای است و شناسايي منابع اصلي اين حملات بسيار پيچيده و در اكثر مواقع غيرممكن است. هزینه‌ی حملات رایانه‌ای بسيار کمتر از حمله جنگ‌هاي معمولي است و در عين حال كه فاقد آسيب‌پذيري و هزينه‌هاي جانبي است، بيشتر مورد توجه شخص مهاجم قرار مي‌گيرد. در واقع این حملات نياز به منابع گسترده مالي و نيروي انساني براي حمله ندارد، بلکه داشتن متخصص سيستم رايانه‌اي تنها شرط لازم براي شروع يك حمله رایانه‌ای توسط تروریسم رایانه‌ای است. بنابراین با توجه به مطالب بیان‌شده و همچنین نتايج زيانبار تروريسم رایانه‌ای در امور اجرايي كشور، ضروری است این جرم از طریق وکیلی متخصص در حوزه تروریسم رایانه‌ای پیگیری شود. 

سوالات متداول