⚡ أبرز النقاط

لا تملك الجزائر أي حماية قانونية للباحثين الأمنيين — القانون 09-04 يجرّم الوصول غير المصرح به بعقوبة تصل إلى سنة سجن دون تمييز بين القراصنة الخبيثين والباحثين حسني النية. لا تنشر أي وكالة حكومية جزائرية سياسة للإفصاح عن الثغرات، وتتضاعف العقوبات عندما تتعلق الأنظمة بالدفاع الوطني.

خلاصة: على المؤسسات الجزائرية نشر سياسات الإفصاح عن الثغرات فوراً — لا تكلفة لذلك وتفتح قناة للباحثين الذين يختارون حالياً الصمت تجنباً للمخاطر القانونية.

اقرأ التحليل الكامل ↓

إعلان

🧭 رادار القرار

الأهمية بالنسبة للجزائرعالية
تملك الجزائر مواهب أمنية لكن لا إطار قانوني يمكّنها من المساهمة في الأمن السيبراني الوطني عبر الإفصاح المسؤول
الجدول الزمني للعملفوري
لسياسات VDP التنظيمية؛ 6-12 شهراً للتوجيهات التنظيمية؛ 12-24 شهراً للملاذ الآمن التشريعي
أصحاب المصلحة الرئيسيونوزارة العدل، وزارة البريد والمواصلات الس…
وزارة العدل، وزارة البريد والمواصلات السلكية واللاسلكية، CERIST/DZ-CERT، ANPDP، القطاع البنكي (ABEF)، مشغلو الاتصالات، مجتمع أبحاث الأمن
نوع القراراستراتيجي
يتطلب قرارات استراتيجية مؤسسية تشكل التموضع طويل الأمد في مجال مكافآت الثغرات والقرصنة الأخلاقية في الجزائر
مستوى الأولويةعالي
ينبغي أن يحظى بالأولوية في التخطيط قصير المدى — مهم للحفاظ على الموقع التنافسي

خلاصة سريعة: تُجرّم الجزائر فعل اكتشاف الثغرات دون التمييز بين المهاجمين والمدافعين. ملاذ آمن قانوني وبوابة وطنية لتنسيق الثغرات وسياسات إفصاح منشورة من المؤسسات الكبرى ستحول وضع الأمن السيبراني في الجزائر بتمكين الباحثين الراغبين في المساعدة.

معضلة الباحث

تملك الجزائر مجتمعاً متنامياً من الباحثين في الأمن السيبراني والقراصنة الأخلاقيين المهرة. كثيرون منهم عصاميون، يصقلون مهاراتهم عبر مسابقات CTF (Capture The Flag) ومنصتي HackerOne وBugcrowd والدراسة المستقلة. أبلغ باحثون جزائريون عن ثغرات في منصات دولية وحصلوا على اعتراف في مجتمع أبحاث الأمن العالمي. لكن عندما يتعلق الأمر بالإبلاغ عن ثغرات في الأنظمة الجزائرية — مواقع حكومية وبوابات بنكية وبنية تحتية للاتصالات وشبكات جامعية — يواجه هؤلاء الباحثون أنفسهم حالة عدم يقين قانوني صارخة تثبط النشاط ذاته الذي من شأنه تحسين الأمن السيبراني للجزائر.

المشكلة بسيطة وخطيرة: لا يوجد في الجزائر أي حكم ملاذ آمن (safe harbor) لأبحاث الأمن حسنة النية. لا توجد سياسة كشف عن الثغرات (VDP) منشورة من أي وكالة حكومية جزائرية كبرى. لا يوجد إطار كشف منسق. والتشريع الرئيسي للجرائم الإلكترونية — القانون 09-04 المؤرخ في 5 أغسطس 2009، المتضمن القواعد الخاصة للوقاية من الجرائم المتصلة بتكنولوجيات الإعلام والاتصال ومكافحتها — يحتوي على أحكام واسعة بما يكفي لتجريم فعل اكتشاف ثغرة والإبلاغ عنها، حتى لو كانت النية بنّاءة صرفة.

هذا يخلق أثراً تثبيطياً. الباحثون الذين يكتشفون أن موقع وزارة يسرّب بيانات المواطنين، أو أن واجهة برمجة تطبيقات (API) بنكية تكشف معلومات حسابات العملاء، يواجهون خياراً ثنائياً: الإبلاغ عن الثغرة والمخاطرة بالملاحقة القضائية، أو الصمت وترك الثغرة قائمة حتى يستغلها فاعل خبيث. معظمهم يختار الصمت. والنتيجة أن المواطنين الأكثر وعياً بالأمن في الجزائر مُثبَّطون قانونياً عن المساعدة في تأمين البنية التحتية الرقمية للبلاد.

التحركات الأخيرة للجزائر في حوكمة الأمن السيبراني — بما فيها الاستراتيجية الوطنية للأمن السيبراني 2025-2029 (المرسوم الرئاسي رقم 25-321، ديسمبر 2025) وإنشاء وحدات أمن سيبراني مخصصة في المؤسسات العامة (المرسوم الرئاسي رقم 26-07، يناير 2026) — تمثل تقدماً مؤسسياً. لكن أياً من هذين المرسومين لا يعالج الإفصاح المسؤول أو الإبلاغ عن الثغرات أو الحماية القانونية للباحثين الأمنيين حسني النية. الفجوة مستمرة.

القانون 09-04: حقل الألغام القانوني

صدر القانون 09-04 في 5 أغسطس 2009 لإرساء الإطار القانوني الجزائري في مجال الجرائم الإلكترونية. يضم 19 مادة موزعة على ستة فصول، يُجرّم الوصول غير المصرح به لأنظمة المعلومات (المادة 394 مكرر من قانون العقوبات، بصيغته المعدلة)، والاعتراض غير المصرح به للبيانات، والتدخل في عمل الأنظمة. عقوبات الجريمة الأساسية للوصول غير المصرح به هي السجن من ثلاثة أشهر إلى سنة وغرامات من 50,000 إلى 100,000 دج. تتصاعد العقوبات بشكل كبير في الحالات المشددة: إذا عُدلت البيانات أو حُذفت أو خُرّب عمل النظام، يمكن أن تصل العقوبات إلى سنتين إلى ثلاث سنوات سجناً مع غرامات تصل إلى عدة ملايين دج. تُضاعَف العقوبات عندما تكون الأنظمة المستهدفة تابعة للدفاع الوطني أو المؤسسات العامة.

المسألة الحاسمة للباحثين الأمنيين هي تعريف «الوصول غير المصرح به». في كثير من الأنظمة القانونية، يحتج الباحثون بأن فحص نظام لاكتشاف ثغرات — دون تعديل بيانات أو تعطيل خدمات أو تسريب معلومات — لا ينبغي أن يشكل جريمة جنائية، خاصة عندما يكون القصد هو إبلاغ مالك النظام بالنتائج. لكن القانون 09-04 لا يميز بين الوصول غير المصرح به الخبيث وأبحاث الأمن حسنة النية. لا يوجد استثناء «نية»، ولا دفاع «مصلحة عامة»، ولا اعتراف بمفهوم الإفصاح المسؤول. كما يُلزم القانون مزودي الخدمات بالتعاون مع الشرطة القضائية والسلطات، مما يزيد من تعقيد وضع الباحثين الذين يتفاعلون مع مالكي الأنظمة.

على الصعيد الدولي، عُولجت هذه الفجوة بآليات متنوعة. كانت هولندا رائدة في إرشادات الكشف المنسق عن الثغرات (CVD) في 2013، عندما نشر المركز الوطني الهولندي للأمن السيبراني (NCSC) إرشادات الإفصاح المسؤول وأصدرت دائرة الادعاء العام رسالة سياسة تحدد كيفية تعامل المدعين العامين مع حالات القرصنة الأخلاقية. تأخذ السياسة في الاعتبار عوامل مثل ما إذا كان الباحث قد خدم مصلحة عامة مهمة، وتصرف بتناسب، ولم يكن بإمكانه تحقيق النتيجة نفسها بوسائل أقل تدخلاً — رغم أنها لا تضمن الحصانة من الملاحقة. راجعت وزارة العدل الأمريكية سياسة الاتهام بموجب CFAA (قانون الاحتيال وإساءة استخدام الحاسوب) في مايو 2022، مصرحة صراحة بأن أبحاث الأمن حسنة النية — المعرّفة بالوصول إلى حاسوب فقط لأغراض الاختبار أو التحقيق أو تصحيح خلل أمني بطريقة مصممة لتجنب الضرر — لا ينبغي أن تكون محل اتهام. يُلزم توجيه NIS2 للاتحاد الأوروبي (التوجيه 2022/2555، المعتمد في ديسمبر 2022) كل دولة عضو بتعيين فريق CSIRT كمنسق للكشف عن الثغرات وإنشاء سياسات وطنية للكشف المنسق، مع موعد نهائي في أكتوبر 2024 للتنفيذ. ليس لدى الجزائر أي إرشاد مكافئ على أي مستوى — تشريعي أو قضائي أو تنظيمي.

إعلان

الحالات والعواقب: عندما يتكلم الباحثون

رغم أن الجزائر لا تملك حالات مُعلنة على نطاق واسع لباحثين لوحقوا قضائياً تحديداً بسبب الإفصاح المسؤول (على خلاف، مثلاً، حالة 2017 لباحث هنغاري عمره 18 عاماً اعتُقل بعد إبلاغه عن ثغرة في موقع التذاكر الإلكترونية لهيئة النقل في Budapest، مما أثار ردة فعل عامة هائلة)، فإن غياب الملاحقات القضائية لا يعني غياب المخاطر. يصف باحثون جزائريون في منتديات الأمن السيبراني وعلى وسائل التواصل الاجتماعي تجارب تتراوح من اللامبالاة إلى التهديدات الضمنية عند محاولة الإبلاغ عن ثغرات لمؤسسات جزائرية.

السيناريو النموذجي: يكتشف باحث ثغرة (حقن SQL أو قاعدة بيانات مكشوفة أو تجاوز مصادقة) في موقع حكومي أو مؤسسي جزائري. يحاول الاتصال بالمؤسسة — ويجد صعوبة غالباً في إيجاد أي معلومات اتصال أمنية (لا ملف security.txt، لا تنسيق CERT، لا بريد إلكتروني للإفصاح المسؤول). عندما يصل إلى شخص ما، تتراوح الردود بين «من أنت وكيف وصلت إلى نظامنا؟» والصمت التام. بعض الباحثين يبلغون عن تحذيرات من المؤسسات بأن الإبلاغ عن ثغرة قد يُفسر كاعتراف بالوصول غير المصرح به.

البديل السري أسوأ. الثغرات المكتشفة في الأنظمة الجزائرية تتداول فعلاً في مجموعات Telegram الخاصة ومنتديات الويب المظلم، حيث تُشارَك أو تُباع لفاعلين خبيثين دون أي نية للإفصاح المسؤول. تصاعد النزاعات السيبرانية العابرة للحدود في منطقة شمال أفريقيا — بما فيها الحوادث السيبرانية بين الجزائر والمغرب في 2025، التي شهدت تسريب ملايين سجلات المواطنين في منتديات سرية — يُثبت أن الثغرات غير المُصلحة في المؤسسات الإقليمية لها عواقب حقيقية عندما يستغلها فاعلون خبيثون بدلاً من أن يُبلّغ عنها باحثون مسؤولون. نظام إفصاح مسؤول فعّال سيوجه على الأقل بعض هذه الاكتشافات نحو المعالجة بدلاً من الاستغلال.

بناء إطار الإفصاح: ما تحتاجه الجزائر

يتطلب إطار إفصاح مسؤول قابل للتطبيق في الجزائر إجراءً على ثلاثة مستويات: قانوني ومؤسسي وتنظيمي. على المستوى القانوني، يجب أن يُنشئ تعديل على القانون 09-04 أو توجيه وزاري جديد ملاذاً آمناً للباحثين الأمنيين الذين: (1) يتصرفون بحسن نية لتحديد الثغرات، (2) لا يصلون إلى بيانات أو يعدلونها أو يُسربونها بما يتجاوز ما هو ضروري لإثبات الثغرة، (3) يُبلّغون عن نتائجهم لمالك النظام أو هيئة تنسيق معينة خلال إطار زمني معقول، و(4) لا يكشفون الثغرة علنياً قبل أن يحصل المالك على وقت معقول للمعالجة. هذا لا يتطلب إلغاء تجريم القرصنة — بل يتطلب التمييز بين البحث والهجوم.

على المستوى المؤسسي، يجب على DZ-CERT (فريق الاستجابة لطوارئ الحاسوب الجزائري، المستضاف لدى CERIST) أو هيئة تنسيق معينة إنشاء بوابة كشف منسق عن الثغرات حيث يمكن للباحثين تقديم اكتشافاتهم بسرية. ستقوم هذه الهيئة بفرز التقارير والتحقق من الثغرات وإخطار المؤسسات المتأثرة وتتبع المعالجة وتوفير غطاء قانوني للباحثين الذين يتبعون الإجراء. يمكن لمؤسسات الأمن السيبراني القائمة في الجزائر — بما فيها ASSI (وكالة أمن أنظمة المعلومات تحت وزارة الدفاع الوطني) ووحدات الأمن السيبراني المنشأة حديثاً في المؤسسات العامة — دمج تفويض CVD في أطرها التشغيلية. نشرت ENISA التابعة للاتحاد الأوروبي إرشادات مفصلة لإنشاء أطر وطنية للكشف المنسق يمكن للجزائر تكييفها، وتوفر المادة 12 من توجيه NIS2 نموذجاً مُثبتاً للكشف المنسق عبر فرق CSIRT.

على المستوى التنظيمي، يجب على المؤسسات الجزائرية التي تشغل خدمات رقمية حيوية — بنوك واتصالات وبوابات حكومية ومعالجات دفع — نشر سياسات كشف عن الثغرات (VDP) على مواقعها الإلكترونية. سياسة VDP هي ببساطة صفحة تنص على: «نرحب بالتقارير الأمنية. إليكم طريقة الاتصال بنا. إليكم ما نعتبره ضمن النطاق. إليكم التزامنا بعدم اتخاذ إجراءات قانونية ضد الباحثين حسني النية.» تنفيذها لا يكلف شيئاً ويفتح فوراً قناة لتحسينات الأمن. للمؤسسات التي تملك ميزانية، برامج مكافآت الثغرات الرسمية (دفع مكافآت للباحثين مقابل تقارير الثغرات المُتحقق منها) تخلق حافزاً سوقياً لتحسين الأمن. اتصالات الجزائر وDjezzy وOoredoo وSATIM — المفتاح الوطني للدفع بين البنوك الذي يربط 19 مؤسسة عضو تشمل 18 بنكاً وبريد الجزائر — ستستفيد جميعها من برامج تجريبية تستغل حوض المواهب الأمنية الجزائرية القائم.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

ما المقصود بـ Bug Bounty and Ethical Hacking in Algeria؟

يتناول هذا المقال الجوانب الأساسية لهذا الموضوع، ويستعرض الاتجاهات الحالية والجهات الفاعلة الرئيسية والتداعيات العملية على المهنيين والمؤسسات في عام 2026.

لماذا يُعد هذا الموضوع مهمًا بالنسبة للجزائر؟

يكتسب هذا الموضوع أهمية خاصة بالنسبة للجزائر لارتباطه المباشر بأهداف التحول الرقمي للبلاد واستراتيجية التنويع الاقتصادي ومنظومتها التقنية المتنامية.

ما أبرز النقاط المستخلصة من هذا المقال؟

يحلل المقال الآليات الرئيسية والأطر المرجعية والأمثلة الواقعية التي تشرح كيفية عمل هذا المجال، مستندًا إلى بيانات حديثة ودراسات حالة عملية.

المصادر والقراءات الإضافية