نگاهی به حملات سایبری و مجازات آن‌ها در قانون جرائم رایانه‌ای

با تصویب قانون جرائم رایانه‌ای در سال 1388، فصل جدیدی از جرائم و مجازات برای نوع جدیدی از مجرمان گشوده شد.
در مبحث دوم از فصل دوم این قانون تحت عنوان «تخریب و اخلال در داده‌ها یا سیستم‌های رایانه‌ای و مخابراتی» چهار ماده در مورد اخلال و تخریب داده‌ها، وجود دارد که به توضیح آن‌ها می‌پردازیم.

«ماده ۸ ـ هركس به‌طور غيرمجاز داده‌هاي ديگري را از سامانه‌هاي رايانه‌اي يا مخابراتي يا حامل‌های داده حذف يا تخريب يا مختل يا غیرقابل‌پردازش كند به حبس از شش ماه تا دو سال يا جزاي نقدي از ده ميليون  ريال تا چهل ميليون  ريال يا هر دو مجازات محكوم خواهد شد.»

در ماده‌ی مزبور، چهار عمل حذف، تخریب، اختلال و غیرقابل‌پردازش کردن داده‌ها، به‌عنوان مصادیق مجرمانه ذکر شده‌اند. مثلاً حملات اختلال سرویس توزیع‌شده (DDOS) که از زمان طلوع اینترنت در آسمان فناوری همیشه مورداستفاده‌ی مجرمان سایبری بوده است و در ماده‌ی مزبور می‌گنجد. همچنین به‌طورکلی هر نوع حمله‌ای که از نوع وقفه که موجب اختلال در شبکه و تبادل اطلاعات می‌شود به نظر می‌رسد مشمول این ماده قرار می‌گیرد.

«ماده ۹ ـ هر كس به‌طور غيرمجاز با اعمالي از قبيل واردكردن، انتقال دادن، پخش، حذف كردن، متوقف كردن، دست‌کاری يا تخريب داده‌ها يا امواج الكترومغناطيسي يا نوري، سامانه‌هاي رايانه‌اي يا مخابراتي ديگري را از كار بيندازد يا كاركرد آن‌ها را مختل كند، به حبس از شش ماه تا دو سال يا جزاي نقدي از ده ميليون تا چهل ميليون يا هر دو مجازات محكوم خواهد شد.»

تفاوتی که ماده فوق با ماده‌ی 8 دارد این است که در ماده‌ی 9، به از کار افتادن سامانه‌ی رایانه‌ای یا مخابراتی اشاره شده است؛ اما مسئله‌ی تخریب داده در هر دو ماده ذکر شده که اگر با امواج الکترومغناطیسی صورت گیرد مشمول ماده‌ی 9 وگرنه به نظر می‌رسد که مشمول ماده‌ی 8 باشد. در ماده‌ی فوق مجازاتی برای یکی از قدیمی‌ترین شیوه‌های حمله برای جاسوسی نام برده شده است. در زمان جنگ جهانی دوم شوروی و آمریکا از طریق ایجاد نویزها و امواج الکترومغناطیس سعی در به دست آوردن اطلاعات از یکدیگر داشتند. به‌عنوان‌مثال حمله‌ی تزریق اس‌کیوال (SQL Injection) تحت شمول ماده‌ی 9 است. همچنین پخش بدافزارها برای اختلال نیز مشمول این ماده است؛ اما اگر منجر به حذف اطلاعات شود، داخل در ماده‌ی 8 می‌شود. نکته‌ی مهم دیگر این است که در مواد فوق، «انگیزه» تأثیری در عمل مجرمانه ندارد؛ بنابراین همه‌ی اقسام نفوذ گران از قبیل کلاه‌سفید، کلاه‌سیاه، کلاه خاکستری و کلاه صورتی مشمول مواد قانونی مذکور قرار می‌گیرند.

«ماده ۱۰ ـ هركس به‌طور غيرمجاز با اعمالي از قبيل مخفي كردن داده‌ها، تغيير گذرواژه يا رمزنگاري داده‌ها مانع دسترسي اشخاص مجاز به داده‌ها يا سامانه‌هاي رايانه‌اي يا مخابراتي شود، به حبس از نودویک روز تا يك سال يا جزاي نقدي از پنج ميليون تا بيست ميليون ريال يا هر دو مجازات محكوم خواهد شد.»

جرائم سایبری مانند فیشینگ که از طریق آن شخص به رمز عبور کاربر پی می‌برد یا استفاده از باج افزار (ransomware) که موجب عدم دسترسی کاربر به داده‌ی خود می‌شود، مشمول مقررات این ماده است. البته اگر از طریق فیشینگ یا باج افزار، داده‌های شخص به سرقت برده شود، مشمول ماده‌ی دیگری است که در پایان این نوشتار به آن اشاره خواهیم کرد.

«ماده ۱۱ ـ هركس به‌قصد خطر انداختن امنيت، آسايش و امنيت عمومي اعمال مذكور در مواد (۸)، (۹) و (۱۰) اين قانون را عليه سامانه‌هاي رايانه‌اي و مخابراتي كه براي ارائه خدمات ضروري عمومي به كار مي‌روند، از قبيل خدمات درماني، آب، برق، گاز، مخابرات، حمل‌ونقل و بانكداري مرتكب شود، به حبس از سه تا ده سال محكوم خواهد شد.»

در این ماده، به حملاتی که به زیرساخت‌های حیاتی یک کشور یا خرابکاری (سابوتاژ) سایبری (Cyber Sabotage)، صورت می‌گیرد اشاره شده است. لازم به ذکر است که در سابوتاژ سایبری، مهاجم قصد اختلال در نظام سیاسی یا امنیت یک کشور را دارد. با توجه به اینکه این حملات قاعدتاً به‌قصد به خطر انداختن امنیت، آسایش و امنیت عمومی به کار می‌رود و از عنوان «جرم سایبری» به «جنگ سایبری» تبدیل می‌شود، قصد مهاجم مبنی بر اختلال در امنیت عمومی در این نوع حملات مفروض است؛ بنابراین می‌توان گفت اگر حمله به زیرساخت‌های حیاتی یک کشور صورت گیرد، مشمول این ماده است. لذا اصل بر این است که مهاجم در این نوع حملات قصد بر هم زدن امنیت عمومی را داشته مگر اینکه خلاف آن ثابت شود. نکته‌ی مهم دیگر این است که اگر یک حمله مانند تغییر صفحه‌ی نخست یک وب‌گاه (deface) یا حملات اختلال سرویس توزیع‌شده به‌قصد اختلال در امنیت عمومی باشد مشمول این ماده است، ولی با توجه به اینکه این‌گونه حملات معمولاً به‌قصد اختلال در امنیت عمومی نیست، در نتیجه باید قصد مهاجم، مبنی بر اختلال در امنیت عمومی در این موارد ثابت شود و اصل بر این است که مهاجم قصد اختلال در امنیت عمومی را نداشته است.
نکته‌ی بعدی این است که اگر حمله‌ای برای سرقت داده و نه اختلال، صورت گیرد تحت شمول یکی از دو ماده‌ی زیر می‌تواند باشد که در فصل چهارم این قانون قرار دارند.

«ماده ۱۲ ـ هركس به‌طور غيرمجاز داده‌هاي متعلق به ديگري را بربايد، چنانچه عين داده‌ها در اختيار صاحب آن باشد، به جزای نقدي از یک‌میلیون ريال تا بيست ميليون ريال و در غير اين صورت به حبس از نودویک روز تا يك سال يا جزاي نقدي از پنج ميليون ريال تا بيست ميليون ريال يا هر دو مجازات محكوم خواهد شد.»

اما چنانچه حمله‌ای مانند فیشینگ یا هر نوع حمله‌ی دیگری به‌قصد اکتساب مال یا منفعت یا خدمات یا امتیازات مالی باشد، مشمول ماده‌ی ذیل است:

«ماده ۱۳ ـ هركس به‌طور غيرمجاز از سامانه‌هاي رايانه‌اي يا مخابراتي با ارتكاب اعمالي از قبيل واردکردن، تغيير، محو، ايجاد يا متوقف كردن داده‌ها يا مختل كردن سامانه، وجه يا مـال يا منفعت يا خدمات يا امتيازات مالي براي خود يا ديگري تحصيل كند علاوه بر رد مال به صاحب آن به حبس از يك تا پنج سال يا جزاي نقدي از بيست ميليون ريال تا یک‌صد ميليون ريال يا هر دو مجازات محكوم خواهد شد.»

بنابراین حملاتی که به شیوه‌ی مهندسی اجتماعی (social engineering) به سامانه‌های رایانه‌ای صورت می‌گیرد تا داده‌هایی را به سرقت ببرند، مشمول ماده‌ی فوق می‌تواند باشد.