مكافآت الثغرات والقرصنة الأخلاقية في الجزائر: هل يوجد إطار قانوني للإفصاح المسؤول؟

معضلة الباحث

تملك الجزائر مجتمعاً متنامياً من الباحثين في الأمن السيبراني والقراصنة الأخلاقيين المهرة. كثيرون منهم عصاميون، يصقلون مهاراتهم عبر مسابقات CTF (Capture The Flag) ومنصتي HackerOne وBugcrowd والدراسة المستقلة. لكن عندما يتعلق الأمر بالإبلاغ عن ثغرات في الأنظمة الجزائرية — مواقع حكومية وبوابات بنكية وبنية تحتية للاتصالات — يواجه هؤلاء الباحثون أنفسهم حالة عدم يقين قانوني تثبط النشاط ذاته الذي من شأنه تحسين الأمن السيبراني للجزائر.

المشكلة بسيطة وخطيرة: لا يوجد في الجزائر أي حكم ملاذ آمن (safe harbor) لأبحاث الأمن حسنة النية. لا توجد سياسة كشف عن الثغرات (VDP) منشورة من أي وكالة حكومية كبرى. والتشريع الرئيسي للجرائم الإلكترونية — القانون 09-04 المؤرخ في 5 أغسطس 2009 — يحتوي على أحكام واسعة بما يكفي لتجريم فعل اكتشاف ثغرة والإبلاغ عنها حتى بنية بنّاءة صرفة.

هذا يخلق أثراً تثبيطياً. الباحثون الذين يكتشفون أن موقع وزارة يسرّب بيانات المواطنين، أو أن واجهة برمجة بنكية تكشف معلومات الحسابات، يواجهون خياراً ثنائياً: الإبلاغ والمخاطرة بالملاحقة القضائية، أو الصمت. معظمهم يختار الصمت.

التحركات الأخيرة في حوكمة الأمن السيبراني — بما فيها الاستراتيجية الوطنية للأمن السيبراني 2025-2029 (المرسوم الرئاسي رقم 25-321) وإنشاء وحدات أمن سيبراني مخصصة (المرسوم الرئاسي رقم 26-07، يناير 2026) — لا تعالج الإفصاح المسؤول أو الحماية القانونية للباحثين حسني النية.

القانون 09-04: حقل الألغام القانوني

يُجرّم القانون 09-04 الوصول غير المصرح به لأنظمة المعلومات بعقوبات تتراوح بين ثلاثة أشهر وسنة سجناً وغرامات من 50,000 إلى 100,000 دج للجريمة الأساسية. تتضاعف العقوبات عندما تكون الأنظمة المستهدفة تابعة للدفاع الوطني أو المؤسسات العامة.

المسألة الحاسمة هي تعريف “الوصول غير المصرح به”. لا يميز القانون بين الوصول غير المصرح به الخبيث وأبحاث الأمن حسنة النية. لا يوجد استثناء “نية” ولا دفاع “مصلحة عامة”.

على الصعيد الدولي، عُولجت هذه الفجوة بآليات مختلفة. كانت هولندا رائدة في إرشادات الكشف المنسق في 2013. راجعت وزارة العدل الأمريكية سياسة CFAA في مايو 2022. توجيه NIS2 للاتحاد الأوروبي يُلزم كل دولة عضو بتعيين CSIRT لتنسيق الكشف. ليس لدى الجزائر أي إرشاد مكافئ.

الحالات والعواقب: عندما يتكلم الباحثون

يصف باحثون جزائريون في منتديات الأمن السيبراني تجارب تتراوح من اللامبالاة إلى التهديدات الضمنية عند محاولة الإبلاغ عن ثغرات. السيناريو النموذجي: يكتشف باحث ثغرة (حقن SQL أو قاعدة بيانات مكشوفة أو تجاوز مصادقة) ويجد صعوبة في إيجاد جهة اتصال أمنية. بعض الباحثين يبلغون عن تحذيرات بأن الإبلاغ عن ثغرة قد يُفسر كاعتراف بالوصول غير المصرح به.

البديل السري أسوأ. الثغرات المكتشفة في الأنظمة الجزائرية تتداول في مجموعات Telegram الخاصة ومنتديات الويب المظلم. تصاعد الصراعات السيبرانية العابرة للحدود في المنطقة — بما فيها حوادث الجزائر-المغرب السيبرانية في 2025 — يُثبت أن الثغرات غير المُصلحة لها عواقب حقيقية.

بناء إطار الإفصاح: ما تحتاجه الجزائر

يتطلب إطار قابل للتطبيق إجراءً على ثلاثة مستويات. على المستوى القانوني، يجب أن يُنشئ تعديل على القانون 09-04 أو توجيه وزاري جديد ملاذاً آمناً للباحثين حسني النية. على المستوى المؤسسي، يجب على DZ-CERT إنشاء بوابة كشف منسق عن الثغرات. على المستوى التنظيمي، يجب على المؤسسات الجزائرية التي تشغل خدمات رقمية حيوية — بنوك واتصالات وبوابات حكومية — نشر سياسات كشف عن الثغرات.

للمؤسسات التي تملك ميزانية، برامج مكافآت الثغرات الرسمية ستخلق حافزاً سوقياً لتحسين الأمن. اتصالات الجزائر وDjezzy وOoredoo وSATIM — المفتاح الوطني للدفع بين البنوك الذي يربط 19 مؤسسة عضو — ستستفيد جميعها من برامج تجريبية تستغل حوض المواهب الأمنية الجزائرية الموجود.

المصادر والقراءات الإضافية

• Algeria Law 09-04 on Cybercrime Prevention — WIPO Lex
• Netherlands Responsible Disclosure Policy — Government.nl
• US DOJ Policy on Charging CFAA Cases (2022) — Department of Justice
• EU NIS2 Directive Article 12 — Coordinated Vulnerability Disclosure
• ENISA Coordinated Vulnerability Disclosure Policies in the EU
• DZ-CERT Algerian Computer Emergency Response Team — CERIST
• Algeria Cybersecurity Framework 2025-2029 — TechAfrica News
• HackerOne Vulnerability Disclosure Best Practices