گفت‌و‌گو با حسین نیازخانی، کارشناس رسمی قوه قضائیه در زمینه جرائم رایانه‌ای

گفت‌و‌گو با حسین نیازخانی، کارشناس رسمی قوه قضائیه در زمینه جرائم رایانه‌ای

جرائم به سمت رایانه‌ای شدن پیش می‌روند

تاریخ:10 مهر 1388

چندی پیش قانون جرائم رایانه‌ای توسط رئیس‌جمهور ابلاغ شد. این قانون که با پیچ‌و‌خم‌های زیاد و در مسیر نفس‌گیر بروکراسی ایران مدت 7 سال سرگردان بود، نقد انتقادات زیادی را چه پیش از تصویب و چه بعد از تصویب در پی داشت. به بهانه ابلاغ این قانون که حالا برای خود دادسرای جدایی نیز دارد، با حسین نیازخانی، کارشناس رسمی قوه قضاییه در زمینه جرایم رایانه‌ای به گفت‌و‌گو نشسته‌ایم.

  بهتر است در ابتدا بیشتر با شما آشنا شویم.
حسین نیازخانی هستم. دارای مدرک مهندسی کامپیوتر (نرم‌افزار) و دارای مدارک بین‌المللی IT در زمینه‌های MCSE ,MCDBA ,MCSE ,MCITP  برای دوره‌های 2000 و2003 و 2008 شرکت مایکروسافت و مدارک CCNA برای شرکت CISCO  و مدرس این دوره‌ها نیز هستم. تقریبا از 12 سال پیش به صورت حرفه‌ای فعالیت خود را در  زمینه IT  شروع کردم. در سال 1383 بود که قوه‌قضائیه برای اولین‌بار اقدام به برگزاری آزمونی برای کارشناسان حوزه کامپیوتر کرد. من در این آزمون شرکت نموده و با نمره بالایی پذیرفته شدم. من جز اولین‌هایی بودم که موفق به اخذ پروانه کارشناسی در زمینه کامپیوتر و جرایم کامپیوتری  شد.  در آن زمان بحثی در مرکز امور مشاوران و کارشناسان قوه قضائیه مطرح شد مبنی بر این که کارشناسان کامپیوتر از کارشناسان جرایم رایانه‌ای جدا ‌شوند.

در آن زمان تصمیم بر این شد که قوه قضاییه با برگزاری آزمونی برای جرایم رایانه‌ای گروهی را به ‌عنوان کارشناس ویژه این جرایم انتخاب نماید. دو- سه سال بعد قوه قضاییه آزمونی دیگر برگزار کرد و من در آن شرکت کردم.  برای تهران 11 نفر کارشناس انتخاب شد که من جزء آن 11 نفر بودم. شرایط من نسبت به 10 نفر دیگر بهتر بود. چون به عنوان اولین کارشناس رسمی کامپیوتر و شرکت‌کننده در این آزمون بودم و در آزمون قبلی مراحل گزینش را گذرانده بودم، البته دوباره این مراحل برای من نیز طی شد. بعد از آن باید پروانه صادر می‌شد، اما به‌ دلیل عدم شفافیت و اختلاف نظراتی که در قوه قضائیه بود برخی مخالف بودند و معتقد بودند که کارشناس کامپیوتر و کارشناس جرایم رایانه‌ای مثل هم هستند و هنوز هم این اختلاف نظر وجود دارد. ولی تنها کسی هستم که هر دو مدرک کارشناسی را دارم، یعنی هم کارشناسی کامپیوتر و هم کارشناسی جرایم رایانه‌ای. البته امیدوارم که این ابهام موجود هر چه سریع‌تر برطرف گردد. 

پس یعنی شما از سال 83 تاکنون به ‌عنوان کارشناس جرایم رایانه‌ای در پرونده‌ها با قوه قضائیه همکاری داشته‌اید؟ 
بله همینطور هست. 

در مورد مراکز قضایی رسیدگی به این نوع جرایم بفرمایید؟ 
قبلا ما دادسرای ویژه جرایم اینترنتی نداشتیم، جدیدا چند ماهی است که تشکیل شده است. قبلا در مجتمع کارکنان دولت در میدان امام خمینی(ره) به این پرونده‌ها رسیدگی می‌شد. از طرفی دیگر در قسمت‌های مختلف جرایمی بود که بی‌ارتباط با جرایم رایانه‌ای نبود.  برای مثال پرونده جرایم هرمی که من کارشناس ویژه این نوع  پرونده هستم و چند سالی است که روی این پرونده کار می‌کنم. خوب در ابتدا پرونده هرمی جزء جرایم سنتی و کلاسیک  محسوب می‌شد ولی بعدها وارد حیطه کامپیوتر شد و باتوجه به این که در این نوع جرایم، کامپیوتر به عنوان ابزار جرم تلقی شد، یعنی همه کارها از طریق کامپیوتر انجام می‌شد. به همین دلیل  این نوع جرایم که جلوه جدیدی از بزه‌کاری در کشور ماست به شدت در حال گسترش است. معمولا اکثر پرونده‌های  هرمی در تهران را من کارشناسی نموده‌ام. قبلا این مشکل بود که پرونده این جرایم به شعبه‌ای می‌رفت که قاضی آن به پرونده‌های دیگری مانند قتل و سرقت وغیره رسیدگی می‌کرد. 

حالا باید به پرونده‌ای در مورد جرایم رایانه‌ای رسیدگی کند، خوب این قابل قبول نبود. یعنی نه ارتباط من با قاضی یک ارتباط خوب و علمی بود و نه خروجی کار و حکم نهایی درست بود.  خوب ممکن بود حق کسی هم در این میان از بین برود، چون نمی‌شد ارتباطی با قاضی  برقرار کرد. به هر حال قاضی هم در حیطه تخصصی خود، یعنی حیطه حقوقی فعالیت می‌کرد، ولی من به ‌صورت علمی و فنی کار می‌کردم.  خوب من گزارش‌هایم را به این شکل آماده می‌کردم، که مثلا 4 صفحه علمی و فنی می‌نوشتم، در نهایت 4 خط به ‌صورت عمومی و قابل درک برای قاضی می‌نوشتم، قاضی هم هنگام خواندن گزارش من فقط آن 4 خط انتهایی را می‌خواند. این برای ما سخت بود ولی چاره‌ای نبود، اگر قضات آموزش نبینند، ما همچنان با این مسئله روبرو خواهیم بود. 

بهتر است راجع‌ به جرایم رایانه‌ای صحبت کنیم که اصلا جرم رایانه‌ای چیست؟ 
در جرایم رایانه‌ای با توجه گستردگی و وسعت آن در دنیا تعاریف مختلف ارایه شده است و پس از گذشت تقریبا نیم قرن هنوز یک تعریف استاندارد برای آن ارایه نشده است این نوع جرایم از مرز یک شهر و ایالت و حتی کشور و قاره هم فراتر رفته و می‌توانیم بگوییم که جرایم کلاسیک و سنتی  در حال حاضر به سمت رایانه‌ای شدن پیش می‌روند. در کشورهای مختلف تعاریف متعددی در مورد این نوع جرایم وجود دارد.  به طور مثال قانونگذار فنلاند در تعریف این جریم این چنین تعریف می‌نماید که جرمی است که در برگیرنده سیستم‌ها و داده‌ها و یا منابع‌ نرم‌افزاری و سخت‌افزاری که به عنوان هدف و یا ابزار و یا رکن جرم محسوب گردد و یا  مثلا آمریکا تعریفی که از جرایم رایانه‌ای دارد این است که هر اقدام غیرقانونی که با یک رایانه و یا سیستم رایانه‌ای و یا با بکارگیری از آن مرتبط باشد.  کشورهای مختلف هم همین تعریف را با کمی تغییر پذیرفته‌اند و بیشتر به قوانین پرداخته‌اند.

پیشینه قانون جرایم رایانه‌ای هم در آمریکا بازمی‌گردد به سال 1976 که قوانین جامع و کاملی را برای این حوزه درنظر گرفته‌اند. اما جرایم رایانه‌ای تفاوت‌های اساسی با جرایم سنتی دارد. اول اینکه در جرایم سنتی محل وقوع جرم مشخص است، مثلا سرقتی در بانک انجام می‌شود محل وقوعش مشخص است اما در جرایم رایانه‌ای اینطور نیست.  به ‌علت فرامرزی بودن، مکان مشخص نیست. مثلا شما اینجا پشت میز کامپیوتر خود نشسته‌اید و کامپیوتر دیگری را در کشوری دیگر هک می‌کنید. در کشورهای مختلف قوانین هر روز به‌روز می‌شود. چون تکنولوژی هر روز پیشرفت می‌کند. می‌خواهم بگویم جرایم رایانه‌ای مشخصه‌ای دارد که در آینده نمی‌توانید دیگر آن‌ را از سایر جرایم تفکیک کنید. همانطور که قبلا هم گفتم جرایم سنتی به سمت جرایم رایانه‌ای پیش می‌رود. این در همه جای دنیا اتفاق می‌افتد. 

مشکلات موجود در بررسی و رسیدگی این نوع جرایم چیست؟ 
یکی از بزرگ‌ترین مشکلات ما قضات مشخص این جرایم است. من به ‌عنوان یک کارشناس نظرم را مطرح می‌کنم، سعی هم می‌کنم که به زبان عمومی و قابل فهم برای قضات ارایه دهم اما انتظار دارم که قاضی پرونده هم حداقل 50 درصد از حرف‌های مرا درک کند. خوب این نیاز به این دارد که قاضی پرونده هم کاملا آموزش دیده باشد.  قاضی جرایم رایانه‌ای با قاضی جرایم سنتی متفاوت است. البته این مشکل در همه جای دنیا بوده است ولی مسئله این است که آنها از سال 1976 قانون را داشته‌اند و تاکنون پیشرفت کرده‌اند و مشکلات کار را حل کرده‌اند. ولی ما در ابتدای راه هستیم. بحث به روز شدن کارشناسان جرایم رایانه‌ای موضوع بعدی است، اگر کارشناسان جرایم رایانه‌ای خود و اطلاعات خود را به‌روز نکنند قاعدتا نمی‌توانند کار کارشناسی خوبی را روی پرونده انجام دهند، چون کسانی که به ‌عنوان مجرم، جرمی را در حیطه اینترنت انجام می‌دهند، کسانی هستند که همیشه یک قدم از بقیه افراد جلوتر هستند یعنی دانش زیادی دارند، از نقطه ضعف یک شبکه استفاده می‌کنند و مرتکب جرم می‌شوند. در مرحله آخر آموزش کارآگاهان این نوع جرایم است. 

به طور مثال کارآگاهان جرایم رایانه‌ای چه نوع آموزشی را باید ببینند؟ 
معمولا در این نوع پرونده‌ها ابتدا باید کار تحقیقاتی و کارآگاهی و در مرحله بعد کار کارشناسی انجام پذیرد در همه جای دنیا پلیس‌های ویژه و آموزش دیده برای این کار وجود دارد. البته چند سال پیش من خود دوره‌ای تحت همین عنوان برای کاراگاهان آگاهی تهران که مسئول رسیدگی این جرایم بودند برگزار نمودم ولی این دوره‌ها نیاز به تداوم دارد. 

پس این به ‌این معناست که جرم خاص قانون خاصی را نیز می‌طلبد؟ 
دقیقا همین‌طور است. در حال حاضر قانونی که داریم، نیاز به تغییرات و تحولات زیادی دارد. شاید اگر این قانون 3 سال پیش تصویب شده بود تا حالا کامل‌تر شده بود و نقاط ضعف آن گرفته شده بود. البته همه جای دنیا این روال مرسوم است، برای مثال در آمریکا که من بررسی کامل و جامعی روی آن داشتم، دیدم که قانونی که سال 1976 تصویب شده بود با قانونی که در حال‌ حاضر جاریست کاملا متفاوت است.  در کشور ایالت متحده قوانین خاص هر ایالت هست که فقط در همان منطقه و ایالت قابل اجرا می باشد و نوع دیگر  قوانین وجود دارد که به‌طور عموم در سطح ایالات متحده اجرا می‌شود. از طرفی قوانینی هم دارند که در ارتباط با کشورهای دیگر است.  این قانون که اخیرا ابلاغ شد مخصوص داخل ایران است ولی همانطور هم که به یک نمونه اشاره کردم زمانی پرونده از ایران خارج می‌شود و در کشور دیگری اتفاق می‌افتد، شما پرونده‌ای را بررسی می‌کنید ولی بعد به یک IP مربوط به کشوری دیگر مثل امارات یا فرانسه می‌رسید.  

خوب شما چه خواهید کرد؟ اگر تفاهم‌نامه‌ بین‌المللی نباشد مطمئنا به مشکل برخواهیم خورد. موضوع بعدی در مورد جرایم رایانه‌ای فراسرزمینی بودن آن است.  
این نوع جرایم محل خاصی ندارد، فرد از هر نقطه‌ای در دنیا می‌تواند به اینترنت متصل شود و جرم خود را مرتکب شود. این موضوع، جرایم سنتی را از جرایم رایانه‌ای منفک می‌کند. مورد بعدی که باید به آن اشاره کنم بحث قضاتی است که روی این پرونده‌ها قضاوت می‌کنند، این یکی از نکات مهم قضیه است، من هر چقدر هم که در کار خود خبره باشم و قضیه را تحلیل کنم، در نهایت این قاضی است که حکم نهایی را صادر می‌کند.  اگر این قاضی دیدگاه مثبتی به این قضیه نداشته باشد و یا دانش، اطلاعات و آموزش کافی نداشته باشد، خوب نهایتا معلوم است که چه اتفاقی خواهد افتاد. اتفاقی که در همه دنیا افتاده و قضات آنها را از پایه  شروع به آموزش دیدن کرده‌اند.   

چرا تصویب لایحه جرایم رایانه‌ای 7 سال به طول انجامید؟ 
خوب این لایحه بین مجلس وقوه قضاییه در حال رفت‌وآمد بود و اشکالات محتوایی بر آن وارد بود که باید رفع می‌شد که همین رفت‌وبرگشت‌ها خود هر کدام 7-6 ماه طول ‌کشید. ولی به هر حال کار به اتمام رسید و این لایحه تصویب و توسط رئیس‌جمهور ابلاغ شد. در تارخ 3/5/88 مجلس نظر نهایی خود را داد و نهایتا به تایید شورای نگهبان رسید و ابلاغ شد.  این قانون شامل 54 ماده است. بخش اول در مورد جرایم و مجازات‌هاست.  یعنی در 8 فصل که از موارد 1 تا 27 را شامل می‌شود به تعریف جرایم، ارکان و عناصر جرایم نیز پرداخته شده است. در بخش دوم این قانون، قانونگذار به آیین دادرسی جرایم رایانه‌ای پرداخته است، که از ماده 28 تا54 را شامل می‌شود. در این بخش‌ بندی آورده شده است که قانون مربوط به ادله الکترونیکی و جمع‌آوری آن تا شش ماه پس از تصویب این قانون باید تهیه و تصویب شود. 

منظور از این ادله چیست؟ 
بحث ادله به این شکل است که در جرایم سنتی از یک تار موی بجا مانده، از آب دهان برای چسباندن در یک پاکت و موارد بسیار دیگر به عنوان ادله محسوب و در پرونده ثبت می‌شود، در مورد جرایم رایانه‌ای هم این ادله لازم است و خوب کاملا مشخص است که ادله جرایم رایانه‌ای با جرایم سنتی متفاوت است.  این مصادیق هنوز مشخص نشده و این بند همین را می‌گوید که باید تا شش ماه دیگر مصادیق این ادله مشخص و روشن شوند. مثلا بعضی کشورها ایمیل را به عنوان ادله الکترونیکی قبول ندارند. این بند باید تا شش ماه دیگر مشخص شود تا وقتی من روی پرونده‌ای کار می‌کنم و ایمیلی را به عنوان مستند دریافت می‌کنم، بدانم که آن را باید به عنوان ادله ضمیمه پرونده کنم یا خیر؟ و وقتی از کامپیوتر اطلاعاتی را جمع‌آوری می‌کنم آیا به‌ عنوان مستند می‌توانم ضمیمه پرونده کنم یا نه. خوب این اشکالات بزرگ این قانون است که می‌توان با این اشکال گفت که این قانون در حال حاضر هم ماهیت اجرایی دارد، هم ندارد.  نداشتن ماهیت اجرایی هم دقیقا به‌خاطر همین مشخص نبودن ادله است که تعیین آن در قانون برای 6 ماه آینده پیش‌بینی شده است. 

خوب این ادله چگونه تعیین خواهد شد؟ 
ببینید گروهی را مشخص کرده‌اند و این گروه باید بیاید و بگوید که این مصادیق چه چیزهایی می‌تواند باشد.مشاوره با افراد متخصص و کارشناس در این زمینه می تواند کمک به ارایه را ه حل های بهتر در این زمینه گردد یعنی این گروه متخصص باید آیین‌نامه‌ای را تهیه کند و در آن دقیقا مشخص کند که این ادله چیست و چه مصادیقی دارد. 

حالا که بحث به اینجا رسید لطفا بفرمایید آیا مجازات‌هایی که در این قانون تعیین شده کافی و منطقی است یا نه؟
بینید در بندی از این قانون آمده که مجازات‌ها هر 2 یا 3 سال یک بار همراه با تورم باید تغییر کند. در حوزه‌های دیگر نیز کم و بیش چنین بندی وجود دارد، البته به نظر من مبالغی که در قانون درنظر گرفته شده زیاد نیست. چون با توجه به خساراتی که از انجام جرایم رایانه‌ای ایجاد می‌شود که بعضی مواقع مبالغ هنگفتی است، این میزان به عنوان جریمه ناچیز است. به نظر من این مبالغ معقول است و قانونگذار نیز پیش‌بینی کرده که با تورم تغییر کند. البته در بعضی موارد ما شاهد بیان کلیاتی هستیم که خوب این هم طبیعی است و وقتی قانونی برای اولین بار تدوین می‌شود به کلیات می‌پردازد. این قانون هم از قوانین کشورهای دیگر الگوبرداری شده و باید زمان بگذرد و مواردی پیش بیاید تا بخش‌های تکمیلی به آن اضافه شود. 

اشکالاتی که بعضا به این قانون وارد می‌شود این است که به وضوح به حضور کارشناس در پرونده اشاره نشده، آیا حضور کارشناس در یک پرونده جرم رایانه‌ای الزام حقوقی دارد؟ 
معمولا حضور کارشناس در یک پرونده الزام حقوقی ندارد و مستلزم تشخیص قاضی و یا در خواست طرفین و موافقت قاضی پرونده می‌باشد. 

پس به طور صریح در این قانون صحبتی از الزام حضور کارشناس نشده است؟ 
بله همین طور هست. 

پس می‌شود گفت این مسئله زیاد خوب نیست؟ 
خوب با توجه به اینکه درحال حاضر قضات و کارگاهان  در مورد این نوع جرایم آموزش  ندیده‌اند باید گفت بله. ولی اشاره نکردن به حضور کارشناس در این قانون نمی‌تواند از ارزش نظرات کارشناسی در این نوع پرونده‌ها کم نماید.  

با توجه به تجربه شما در پرونده‌هایی که تاکنون کار کارشناسی بر روی آن انجام داده‌اید، جرایم رایانه‌ای در ایران چه سیر و تحولی را گذرانده است؟ منظورم این است که جرایم رایانه‌ای ایران در چه سطحی است؟‌  
در جرایم سنتی هر ساله آماری تهیه می‌شود و این آمار نشان می‌دهد که هر جرمی در سال چه میزان بالا و پایین و یا نوسان دارد. مثلا ممکن است امسال میزان سرقت ماشین کمتر ازسال گذشته باشد ولی در مورد جرایم رایانه‌ای به هیچ‌وجه این را نخواهیم دید. یعنی میزان جرایم رایانه‌ای همواره در یک خط صعودی خواهد بود. این هم یک دلیل دارد و آن این‌که همیشه مجرمان و هکرها یک قدم از شما جلوتر هستند. در همه جای دنیا و همه کشورها اینگونه است در ایران نیز اینگونه خواهد بود. ببینید از زمانی که قانون  و مجازات‌های این جرائم تعریف شده، همیشه قوانین رشد کرده، چون میزان وقوع جرایم بیشتر شده و رشد کرده است.  

رده سنی و جنسیتی این جرایم چگونه است؟ 
بستگی دارد، مثلا فردی که در اینترنت عکس خانوادگی کسی را منتشر می‌کند، معمولا در سن جوانی یا نوجوانی است، ولی جرایمی که مربوط به هک، نفوذ و یا کلاهبرداری‌های کلان است قاعدتا تا سنین بالاتر و افراد تحصیلکرده را شامل می‌شود. 

نوع جرایمی که در ایران اتفاق می‌افتد بیشتر از چه دسته‌ای است؟ 
در حال حاضر در کشور ما بستر وقوع هر دو نوع جرایم فراهم است و لازم به ذکر است که در حال حاضر می‌توان به جلوه‌ای تازه از جرایم تحت عنوان فعالیت‌های هرمی اشاره نمود که به شدت در قشر جوان و حتی اکثر موارد در افراد دانشگاهی و تحصیل کرده رو به افزایش است که با توجه به این که در این جرایم معمولا کامپیوتر به عنوان ابزار و یکی از ارکان این نوع جرایم مطرح می‌شود. لذا نیاز به تامل بیشتر و به روز نمودن قوانین در این مورد هر دارد.  

اصولا امنیت سیستم‌های ارتباطی و کامپیوتری به چه صورتی قابل راه‌اندازی است؟ 
بحث امنیت در دو حیطه دنبال می‌شود، بخشی از امنیت مربوط به سیاست‌های امنیتی تعریف شده در ارگان ها و سازمان ها می باشد و کارشناسان متخصص سازمان‌ها باید الگوهایی امنیتی مناسب تعریف نمایند و در لایه بالاتر  ایجاد بستر ارتباطی امن توسط مراکز مخابراتی و ارتباطی یک کشور می باشد که متاسفانه کشور ما در هر دو زمینه ضعیف عمل نموده است.    

قانون تجارت الکترونیکی سابق و قانون جرایم رایانه‌ای تصویب شده و موارد و اختلافات موجود در آن به چه نحوی قابل توجیح است؟ 
این دو قانون دارای فصول مشترک و متعارض هم می‌باشد که نقاط مشترک این دو قانون می‌توان به جرایم جعل و کلاهبرداری اشاره نمود و در تعارضات احتمالی این دو قانون طبق یکی از بندهای جرایم رایانه‌ای باید به قانون تازه تصویب جرایم رایانه‌ای تکیه نمود.

لینک یکتا: http://www.ccw.ir/content/88/default.aspx منبع