16 يناير، 2026

تسريب بيانات، خصوصية، أمن انتخابي، سيادة رقمية، العراق

هيئة تحرير iTach Denmark01 mins

بقلم: م. مصطفى كامل الشريف
باحث ومستشار في أمن المعلومات والسيادة الرقمية – الدنمارك / العراق

المقدمة: حين يتحول الإهمال إلى تهديد وطني

في مشهدٍ مؤلم يعكس ضعف الوعي بأمن المعلومات، نُشرت قوائم الناخبين على جدران المراكز الانتخابية الخارجية، متضمِّنةً في بعض مراكز الاقتراع العراقية، متضمِّنةً الأسماء الكاملة والأرقام القومية ومعلّقةً أمام الناخبين. قد يبدو الأمر إجراءً إداريًا بسيطًا، لكنه في الحقيقة خرقٌ سياديٌّ خطير يمسّ جوهر الثقة في النظام الديمقراطي، ويتيح مسارات واسعة للتزوير، وسرقة الهوية، والاختراقات المصرفية والاستخبارية. إن ما حدث ليس خطأً إجرائيًا فحسب، بل تسريبٌ لبيانات شخصية قابلة للتعريف (PII) يمكّن جهات متعددة من بناء ملفات رقمية عن المواطنين أو انتحال هويتهم. بعبارة أوضح: نحن أمام انتهاكٍ لسيادة البيانات الوطنية قبل أن يكون مجرد إهمال وظيفي.

أولاً: جوهر المشكلة – كيف تحولت بيانات الناخبين إلى أداة بيد المجرمين؟

إن نشر الأسماء مقرونةً بالأرقام القومية علنًا يجعل كل فرد قابلًا للتعريف والتعقّب والاستغلال. ووفق لغة الأمن السيبراني، نحن إزاء تسريب PII عالي الخطورة، إذ تتيح هذه البيانات تنفيذ انتحال الهوية، وبناء بصمات رقمية دقيقة للأشخاص، واستهدافهم عبر حملات تصيد وهندسة اجتماعية، أو إدخال تعديلات خفية على السجلات الانتخابية باستخدام معلومات حقيقية تبدو “موثّقة”.

ماذا يمكن أن يُفعل بهذه المعلومات؟

  1. انتحال الهوية والتصويت بالنيابة:
    استخدام الاسم والرقم القومي لتسجيل أو التصويت باسم صاحب الهوية، خاصة إذا وُجد اختراق داخلي في أنظمة المفوضية.
  2. تزوير السجلات الانتخابية:
    عبر موظفين متواطئين أو مخترقين للأنظمة، يمكن تعديل أو حذف أو إضافة ناخبين باستخدام بيانات حقيقية من القوائم المنشورة.
  3. سرقة مالية وقروض احتيالية:
    باستخدام الرقم القومي يمكن فتح حسابات مصرفية أو تقديم طلبات قروض مزيفة أو سرقة بطاقات SIM واستلام رموز تحقق (OTP).
  4. ابتزاز واستهداف سياسي أو اجتماعي:
    يمكن ربط الأسماء بالمناطق والعشائر والاتجاهات السياسية، مما يسهّل الضغط أو الترهيب أو التلاعب بالرأي العام.
  5. اختراقات استخبارية أجنبية:
    قواعد بيانات الناخبين تعتبر كنزًا استراتيجياً لأي جهة خارجية تسعى لتفكيك المجتمع أو التدخل في قراراته الانتخابية.

ثانيًا: الأثر الاستراتيجي – تهديد للأمن الوطني قبل أن يكون انتخابيًا

هذه الواقعة لا تمسّ فقط خصوصية الأفراد، بل تضرب عمق الثقة المؤسسية في الدولة.
فمن يملك أسماء وأرقام المواطنين يستطيع رسم خريطة كاملة للبنية السكانية، التوزيع الطائفي، والميل الانتخابي، وهي بيانات تُستخدم عادة في عمليات الحرب السيبرانية النفسية (Cyber Psychological Warfare). بعبارة أوضح: الذي يملك بياناتك يمكنه أن يوجّه قراراتك، ويعيد تشكيل وعيك الجمعي دون أن يطلق رصاصة واحدة.

إن نشر بيانات المواطنين بهذه الصورة يُعد استهتارًا خطيرًا بالهوية الوطنية الرقمية، ويكشف غياب ثقافة الحوكمة المعلوماتية في مؤسسات الدولة. فالمعلومة هنا ليست مجرد رقم أو اسم؛ إنها مكوّن سيادي يعادل في قيمته حماية الحدود أو الوثائق الرسمية. ومن يفرّط في حماية بيانات شعبه، إنما يفتح الباب أمام أطراف داخلية وخارجية للتأثير في إرادته السياسية والاقتصادية، وهو ما يجعل هذا التسريب تهديدًا للأمن الوطني لا يقل خطورة عن أي اختراق استخباري مباشر.

وهنا تتجاوز خطورة الحادثة حدود العملية الانتخابية لتتحوّل إلى قضية سيادة وطنية من الدرجة الأولى، تستوجب تحقيقًا سيبرانيًا شاملاً بإشراف الأجهزة الأمنية العليا، لتحديد مكامن الخلل ومحاسبة من فرّط في أقدس ما تملكه الدولة: بيانات مواطنيها.

ثالثًا: الدروس والعِبَر من التجارب الدولية

  • في أوروبا، يُعتبر نشر اسم وبيانات الناخب دون موافقة انتهاكًا صارخًا لـ اللائحة الأوروبية لحماية البيانات GDPR.
  • في الولايات المتحدة، أي تسريب مشابه يُعامل كـ اختراق من الدرجة الأولى (Category-1 Data Breach)، ويؤدي إلى محاكمات فورية وتعويضات مدنية.
  • في كوريا الجنوبية وإستونيا، تُشفّر بيانات الناخبين وتُعزّز بنظام تحقق مزدوج (2FA) ولا تُنشر مطلقًا إلا في نطاق مغلق ومؤمَّن.

إذن، ما حدث لدينا ليس “تفصيلاً بسيطاً”، بل مخالفة لمعايير دولية أساسية تُنذر بخلل في الحوكمة المعلوماتية.

رابعًا: المخاطر الواقعية على المواطن العراقي

  • قد يتلقى المواطن مكالمات أو رسائل مزيفة تطلب “تحديث بيانات الناخب” وهي في الحقيقة محاولات تصيد واحتيال.
  • قد تُستخدم البيانات لتسجيله في خدمات مالية أو اتصالات دون علمه.
  • وقد يستيقظ ذات يوم ليجد أن “صوته الانتخابي” أُدلي به نيابة عنه.

وهذا ليس خيالاً؛ فقد شهدت دول عدة مثل المكسيك والفلبين تسريبات مشابهة أدت إلى فوضى انتخابية وهجمات مالية لاحقة.

الإطار القانوني الغائب في حماية بيانات الناخبين

رغم خطورة ما حدث من نشر بيانات الناخبين، إلا أن المعضلة الأعمق تكمن في الفراغ التشريعي المتعلق بحماية البيانات الشخصية في العراق. فـ القانون العراقي رقم (78) لسنة 2012 الخاص بالتوقيع والمعاملات الإلكترونية لا يتضمن أي مواد صريحة تُعنى بحماية بيانات المواطنين أو تُلزم المؤسسات الحكومية بوضع سياسات لإدارة الخصوصية الرقمية.
وبالتالي، فإن تسريب بيانات الناخبين لا يُعدّ فقط إخفاقًا إداريًا أو فنيًا، بل نقطة كشف مؤلمة لغياب الإطار القانوني الوطني لحوكمة البيانات.
في المقابل، تعتمد معظم دول العالم منظومات قانونية متقدمة مثل اللائحة الأوروبية لحماية البيانات (GDPR)، والقانون الكندي لحماية الخصوصية (PIPEDA)، وقانون حماية المعلومات الشخصية في كوريا الجنوبية (PIPA)، وكلها تُلزم المؤسسات العامة والخاصة بوضع ضوابط دقيقة لتخزين البيانات، وتشفيرها، والإفصاح عنها.
لذلك، أصبح من الضروري أن تُبادر الدولة العراقية إلى إقرار قانون وطني لحماية البيانات والخصوصية الرقمية، يُعَدّ امتدادًا سياديًا لقانون التوقيع الإلكتروني، ويستند إلى معايير ISO/IEC 27701 وGDPR، بما يضمن حماية هوية المواطن ويمنع استغلال بياناته في أي سياق سياسي أو تجاري أو استخباري.

خامسًا: توصيات موجهة إلى الأجهزة الأمنية والرقابية

أولاً: التدخل العاجل

  1. فتح تحقيق فوري بإشراف جهاز الأمن الوطني والمخابرات العامة لتحديد مصدر التسريب ومسؤوليه.
  2. جمع النسخ والصور المنتشرة وتوثيقها كأدلة جنائية (Digital Forensics).
  3. استجواب الموظفين المعنيين بالمراكز التي ظهرت فيها القوائم والتحقق من آلية الطباعة والنشر.
  4. إيقاف فوري لأي نشر علني للقوائم الانتخابية إلى حين صدور تعليمات مؤمنة.
  5. تشكيل خلية أزمة مشتركة بين مفوضية الانتخابات والأمن الوطني ومركز الأمن السيبراني الوطني (NCSC-IQ) لمتابعة الحدث وتحليل آثاره.

ثانيًا: المعالجة التقنية

  1. مراجعة صلاحيات الوصول (Access Control) داخل المفوضية وتطبيق مبدأ “الأقل امتيازًا”.
  2. تشفير البيانات الانتخابية أثناء التخزين والنقل (Encryption at rest & in transit).
  3. منع النسخ والطباعة إلا من خلال أجهزة مصادق عليها وتحت إشراف مباشر.
  4. اعتماد نظام تسجيل دخول مزدوج (2FA) لجميع الأنظمة الحساسة في المفوضية.
  5. تفعيل نظم المراقبة والتحذير (SIEM / SOC) لرصد أي تصدير أو نسخ غير مصرح به للبيانات.

الملحق التقني: تعزيز الضوابط السيبرانية داخل المفوضية

إلى جانب الإجراءات الأساسية لحماية قواعد البيانات الانتخابية، يُوصى باعتماد ضوابط تقنية متقدمة لتعزيز مستوى الأمان السيبراني داخل أنظمة المفوضية العليا للانتخابات، ومنها:

  1. تطبيق نظام منع تسرب البيانات (Data Loss Prevention – DLP):
    نظام رقابي ذكي يعمل على رصد أي محاولة لنسخ أو تصدير أو إرسال البيانات الحساسة خارج النطاق المصرّح به، ويُصدر تنبيهات فورية عند اكتشاف أي خرق محتمل.
    يُعدّ هذا النظام من الأدوات الأساسية في حماية قواعد بيانات الناخبين ومنع التسريب الداخلي أو العرضي، خصوصًا في المؤسسات ذات البنية الموزعة جغرافيًا.
  2. استخدام تقنيات العلامة المائية الرقمية (Digital Watermarking) أو التحقق بالهاش (Hash-based Verification):
    تُضاف هذه التقنيات إلى الملفات الانتخابية المطبوعة أو الرقمية لضمان أصالتها وسلامتها، بحيث يمكن التحقق من أي تعديل أو نسخ غير مصرح به بعد الطباعة أو النقل.
    كما تتيح هذه التقنية تتبع مصدر أي تسريب محتمل وتحديد الجهة المسؤولة بدقة عالية من خلال البصمة الرقمية (Digital Fingerprint).
  3. تفعيل أنظمة إدارة الثغرات والمراقبة المتقدمة (Vulnerability Management & SIEM):
    لضمان الكشف المبكر عن أي محاولات اختراق أو تعديل في الأنظمة الانتخابية، مع تسجيل جميع الأنشطة الحساسة وتحليلها في مركز عمليات أمنية (SOC) مشترك مع جهاز الأمن الوطني.

إن هذه الإجراءات تمثل الحد الأدنى المطلوب لتحقيق امتثال حقيقي لمعايير ISO/IEC 27001 وISO/IEC 27701، وتحويل المفوضية إلى كيان مؤسسي محكوم بالسياسات الرقمية لا بالأفراد، ما يعزز الثقة العامة ويمنع تكرار مثل هذه الحوادث مستقبلاً.

ثالثًا: التوصيات الاستراتيجية

  1. إقرار قانون وطني لحماية البيانات الشخصية على غرار GDPR الأوروبي.
  2. إلزام المفوضية والمصارف والجهات الحكومية بتطبيق معايير ISO/IEC 27001 وISO/IEC 27701.
  3. إدخال الأمن السيبراني في تدريب موظفي الدولة، خصوصاً من يتعامل مع قواعد بيانات المواطنين.
  4. إطلاق حملة وطنية توعوية بعنوان “بياناتك هي هويتك” لتثقيف المواطنين حول حماية أرقامهم الوطنية.
  5. تأسيس وحدة دائمة للأمن الانتخابي السيبراني (Cyber Election Security Unit) تعمل تحت إشراف الأجهزة الأمنية العليا.

سادسًا: التوصيات للمواطن

  • لا تشارك رقمك القومي أو صورتك الوطنية في أي موقع غير رسمي.
  • تجاهل أي رسائل أو مكالمات تزعم تحديث بيانات المفوضية.
  • بلّغ الجهات الأمنية فورًا عن أي محاولة لاستخدام بياناتك الشخصية.

خاتمة: السيادة تبدأ من أمن البيانات

إن من يُفرّط في حماية بيانات ناخبيه، يُفرّط في أمن وطنه.
فالانتخابات ليست مجرد صناديق، بل منظومة ثقة رقمية تتأسس على حماية المواطن ومعلوماته.
ونشر بيانات الناخبين بهذه الصورة يُعد جرس إنذار مبكر يجب أن تسمعه الدولة بكل مؤسساتها الأمنية والسيادية، قبل أن تُستغل هذه البيانات في حرب خفية لا تُطلق فيها رصاصة واحدة… بل يُخترق فيها الوطن من بوابة الإهمال.

المصادر

  1. اللائحة العامة لحماية البيانات (GDPR – Regulation (EU) 2016/679):
    الإطار القانوني الأوروبي لحماية خصوصية الأفراد وتنظيم جمع البيانات الشخصية ومعالجتها داخل الاتحاد الأوروبي وخارجه، ويُعد المرجع الأعلى في مجال حماية الخصوصية الرقمية عالميًا.
  2. المعيار الدولي ISO/IEC 27001:2022 – نظام إدارة أمن المعلومات:
    يحدد المتطلبات الأساسية لإنشاء نظام متكامل لإدارة أمن المعلومات داخل المؤسسات، بما يضمن السرية والتكامل والتوافر (CIA Triad) ويُعتبر المعيار المرجعي العالمي للأمن السيبراني المؤسسي.
  3. المعيار الدولي ISO/IEC 27701:2019 – نظام إدارة معلومات الخصوصية (PIMS):
    يُكمل المعيار 27001 ويركز على حوكمة البيانات الشخصية وإدارة الخصوصية، ويُعد أساسًا لتطبيق ممارسات الامتثال لمتطلبات الـ GDPR والأنظمة الوطنية لحماية البيانات.
  4. دليل NIST SP 800-122 – حماية سرية المعلومات الشخصية (PII):
    صادر عن المعهد الوطني الأمريكي للمعايير والتقنية (NIST)، ويُعد مرجعًا تفصيليًا لآليات تصنيف ومعالجة وتأمين المعلومات القابلة للتعريف بالأشخاص داخل الأنظمة الحكومية والخاصة.
  5. توصية الاتحاد الدولي للاتصالات ITU-T X.1058 – إطار الخصوصية لإدارة الهوية الرقمية:
    تضع هذه التوصية الأسس الفنية والقانونية لحماية الهويات الرقمية، وإدارة دورة حياة البيانات الشخصية ضمن بيئات الاتصالات والأنظمة السيادية.

أخبار ذات صلة