في نهاية شهر نوفمبر من العام الماضي، أعلنت وزارة الداخلية اليمنية التابعة للحكومة المعترف بها دوليًا، عبر موقعها الرسمي، تدشين العمل على إصدار البطائق الشخصية بصورة مختلفة لما كان معمول به سابقًا.
جاء إعلان وزارة الداخلية عن مشروع لاستخراج البطائق الذكية للمواطنين المقيمين في المناطق المحررة، والتي تعمل بنظام البصمة "البيومتير"، وهو نظام عالمي يحد من مخاطر التزوير وانتحال الشخصيات، وذلك عبر أخذ بصمات اليد كاملة، بالإضافة إلى بصمة الوجه، وتخزينها في شريحة مصغرة على البطاقة يمكن قراءة البيانات عبر أجهزة خاصة.
مشروع وصف بالضخم، وبأنه خطوة صحيحة في تطوير البنية التحتية وتنظيم بيانات المواطنين ومنع التضارب في الهوايات وسجلات المدنيين، في ذات التوقيت أثار المشروع تساؤلات كثيرة حول مدى مشروعيته، وإمكانية حماية البيانات، وبخاصة في ظل عدم الكشف عن هوية الشركة التي نفذت المشروع.
وزير الداخلية إبراهيم حيدان، اكتفى بالقول إن المنظومة تم تصميمها بحرفية عالية ووفقا للمواصفات الفنية الأكثر حداثة وأماناً وشمولية المعلومات، نظراً لما تتضمنه من بيانات ومعلومات دقيقة، وبأنه تم اختيار الشركة بمواصفات عالمية، ولم يذكر أي تفاصيل أخرى عن هوية الشركة المنفذة للمشروع أو جنسيتها ومدى إمكانية تأمين البيانات وتخزينها بطرق آمنة.
يتهرب مسؤولو البلاد من الرد على استفساراتنا بخصوص مشروع البطائق الذكية، ومدى قانونيته والتدابير المعمول بها لمواجهة حالات الطوارئ المحتملة، ودور البرلمان في مساءلة الحكومة باعتباره الجهة المخولة لذلك.
صلاحيات محدودة
تؤكد مصادر خاصة أن النظام يتم إدارته من السعودية، وأن البيانات يتم رفعها بصورة مباشرة من كل الفروع حيث يتم الموافقة عليها وطباعتها في السفارة اليمنية ومن ثم إرسالها إلى اليمن، في ظل بنية تحتية رقمية ضعيفة، ما يعني أن نسبة المخاطر الأمنية والرقمية عالية، ناهيك عن الثغرات الأمنية التي قد يستغلها المخترقون للوصول إلى البيانات.
موظف في مصلحة الأحوال المدنية في تعز فضل عدم الكشف عن اسمه، يؤكد لموقع "يمن فريدم" أن الصلاحيات الممنوحة لموظفي الأحوال المدنية في المحافظات المحررة محدودة، يقول: "الصلاحيات محدودة لمصلحة الأحوال المدنية في عدن، وحتى الموظفين لا يعرفوا كيف يتعاملوا مع النظام أو يديروا المصلحة في جميع المحافظات، لأن النظام مغلق عليهم من السعودية"
موظف آخر في عدن، يؤكد ذات الكلام، ويضيف أنه لا يسمح لهم في الوصول الكامل أو التحكم بالنظام، ويؤكد أيضًا أن قاعدة البيانات الأساسية مخزنة في الرياض، وصلاحية الوصول إلى البيانات متاحة لديهم في المصلحة.
ومنذ تدشين منظومة البطائق الذكية، أجبر موظفي الوزارات والمكاتب الحكومية في المحافظات المحررة على استخراج البطائق الذكية، لم ينتهي الأمر عند هذا الحد حتى وصل مؤخرًا إلى إجبار الوحدات الأمنية والجيش وكل المنتسبين إلى وزارة الدفاع بحجة عدم القدرة على استلام رواتبهم إلا بالبطاقة الذكية.
جريمة أمن قومي
المثير في عملية إصدار البطائق الشخصية الإلكترونية، أن البيانات يتم تخزينها في السفارة اليمنية بالرياض، ناهيك عن أن النظام يعتمد على الإدارة المركزية، حيث يتم إرسال البيانات من مختلف فروع مصالحة الأحوال المدنية في المحافظات المحررة، إلى الإدارة المركزية في الرياض، ويتم الموافقة عليها وطباعتها.
الأمر الذي يعني فقد السيادة الوطنية على بيانات الأحوال المدنية، وتسليمها للدولة المستضيفة، وخضوع هذه البيانات للقوانين الخاصة بتلك الدولة والمتمثلة في السعودية بدواعي مراقبة البيانات والتأكد من عدم وجود بيانات قد تضر بأمن الدولة المستضيفة.
المستشار القانوني، عمر الحميري، يقول إن الحديث عن قواعد البيانات الوطنية يعد أمن قومي، ويتطلب الحرص على حمايتها بعد زيادة مخاطر اختراقها واستخدامها في الإضرار بسياسات واقتصاديات الدول التي تعتمد على تقديم خدمات إلكترونية ولا يمكن تحقيق رؤية الدولة اليمنية دون توفير أقصى حماية لأمن المعلومات.
يضيف الحميري لموقع "يمن فريدم" قوله " الواجب على وزارة الداخلية إصدار توضيح حول الأمن المتعلق بعمل منظومة الأحوال المدنية، والإفصاح عن هوية الشركة وطبيعة الخدمات التي تقدمها، وما هو مصوغ اشتراكها في عملية إصدار بطائق الهوية الإلكترونية، وذلك من خلال تحديد طبيعة العلاقة مع الشركة وبيان مدى مشروعية العقود، وهل تنظمها اتفاقيات يحكمها القانون والدستور اليمني".
ويتساءل "الحميري" ومعه الكثير حول الظروف التي دفعت بالحكومة إلى اللجوء لشركة أجنبية في إصدار البطائق الشخصية وعن الضمانات التي تم تقديمها لحماية البيانات من المخاطر وعدم استخدامها لأغراض أخرى، أسئلة مشروعة ينتظر المواطنين منذ عام توضيحها من وزارة الداخلية.
الحماية الرقمة وإمكانية الاختراق
تعتمد الدول المتقدمة على أنظمة حماية رقمية معقدة ويتم مراقبتها وتحديثها باستمرار لسد الثغرات الأمنية فيها، فيما دول العالم الثالث ومن بينها اليمن تستخدم أنظمة توصف بالضعيفة في حماية بياناتها الحساسة، ونقل البيانات عبر هذه الأنظمة يزيد من مخاطر تعرضها للاختراق، أو الوصول إليها واستغلالها.
خبير في الأمن السيبراني، فضّل عدم ذكره اسمه، يقول إن عملية نقل بيانات حساسة وتقديمها لدولة أخرى يعني تسليم جزء مهم من السيادة الوطنية لدولة أخرى، الأمر الذي قد يؤدي إلى استخدام هذه البيانات لأغراض خاصة بالدولة المستضيفة للبيانات، من خلال التأثير على الأمن القومي واستغلال هذه البيانات في توجيه السياسات الخاصة بالدولة الناقلة للبيانات، وذلك يعني التحكم بالجانب السيادي والسياسي والمعلوماتي الهام للدولة.
ويضيف الخبير في الأمن السيبراني في تصريحه لـ"يمن فريدم"، " هل نقل قاعدة البيانات إلى الرياض يعتبر ضمن مقر تابع لحكومتنا، تصل إليها البيانات دون أن تتعرض لفرض الهيمنة من الدولة السعودية، يعني أنه أي بيانات لا بد أن تمر عبر شبكة البيانات السعودية، وأنه من الضروري أن تطلع عليها السعودية تحت أي مبررات قد تكون من أجل الأمن القومي السعودي، أو معرفة إذا كان للمعلومات أي صلة بالإرهاب"
تنقل البيانات من مصالح الأحوال المدنية بأنظمة حماية ضعيفة، وعبر شبكة تسيطر عليها مليشيات الحوثي، ناهيك عن إمكانية خضوعها للرقابة من قبل السعودية، ما يعني أن هناك تداعيات وخطورة في استخدام هذه البيانات للأغراض الاستخباراتية والسياسية، في تهديد صريح لخصوصية اليمن كدولة ولأمنها القومي والوطني.
تشفير البيانات
تتنوع أنظمة التشفير والبروتكولات المعقدة لنقل البيانات التي تمس بأمن الدول من أجل حماية هذه البيانات وحين ترسل بدون آليات تشفير معقدة وقوية فإن إمكانية اختراقها وارد من قبل "الهكرز" أو جماعات معادية، من خلال اعتراض البيانات المرسلة في الشبكة وقراءتها بسهولة، واستخدامها في أغراض متعددة لتحقيق المصالح أو فرض القرارات، وحتى ابتزاز المسؤولين ورجال الأعمال، والدولة ذاتها.
عن تشفير البيانات، يقول الخبير السيبراني :" كدولة لما أعتمد على بنية تحتية وعلى شركات خارجية تدير لي بياناتي الحساسة هذا يضاعف ويفاقم المخاطر لأنه ما تتوفر مستويات التشفير عند جهة تتعاقد معها الدولة لحماية هذه البيانات مع نفس مستويات التشفير التي يمكنني أن أقوم بها أو أطبقها كدولة داخلية".
مخاطر لا تعد ولا تحصى مترتبة على عملية نقل قاعدة البيانات إلى السعودية في ظل ضبابية وغموض كبيرين حول مشروع البطائق الذكية، والشركة التي تدير المنظومة ومدى الصلاحيات الممنوحة لها، في الوقت الذي تتعامل فيه الدول مع البيانات الحساسة كضرورة وطنية وتعمل لتوفير أقصى درجات الحماية، وضمان الحفاظ على السيادة القومية والمعلوماتية.