Skip links
تواصل معنا

شركة المحامي عبدالرحمن الفراج – خبرة قانونية لحفظ حقوقكم بثقة.

تصفح الخدمات
شركة المحامي عبدالرحمن الفراج
مخطط جنائي رقمي يوضح مسار الدليل: ضبط الجهاز/السحابة → تصوير جنائي (Image) مع قيم Hash → توثيق سلسلة الحيازة → تحليل منهجي → تقرير خبير → عرض أمام المحكمة.

التحقيق في الجرائم السيبرانية: جمع الأدلة الرقمية وحجيتها

Author
Published on:
Published in: محامي جرائم إلكترونية

التحقيق في الجرائم السيبرانية اصبحت من ابتزازٍ إلكتروني واختراق حسابات إلى احتيال مالي وهجمات على الأنظمة مسرحًا رئيسيًا للإثبات الحديث. الدليل في هذا المضمار ليس شاهدًا يروي ولا سلاحًا يلمع؛ بل «بتّات» صامتة لا تنطق إلا إذا جُمعت وحُفظت وحُللت بمنهجٍ علمي صارم. أي ثغرة في سلسلة الحيازة أو منهج الفحص قد تهوي بقيمة الدليل، فيما قد تُسند إجراءات صحيحة وقائع قوية فيثبُت الاتهام. يقدم هذا الدليل خريطة عملية دقيقة لجمع الأدلة الرقمية وحفظها وتحليلها وطرحها أمام المحكمة، مع أبرز الدفوع والحجج التي تعالجها محاكم الموضوع والاستئناف.

1) ما الذي يجعل الدليل الرقمي «حجة»؟

قوة الدليل الرقمي ليست في وجود الملف أو الرسالة فحسب، بل في قدرتك على إثبات أصالته وسلامة مسار انتقاله وعدم العبث به:

  • الأصالة (Authenticity): هل الملف هو نفسه منذ لحظة الضبط؟
  • السلامة (Integrity): هل تغيرت محتوياته؟
  • العلاقة (Relevance): ما صلته المباشرة بموضوع الاتهام؟
  • الموثوقية (Reliability): هل اتُّبع منهجٌ علمي يمكن تكراره للوصول لذات النتائج؟

يفترض هذا أن الضبط والتوثيق والتحليل تمّت وفق إجراءاتٍ واضحة، وأن كل خطوة قابلة للمراجعة.

2) الضبط الميداني للأدلة الرقمية… حيث تبدأ القصة

  • تثبيت المشهد الرقمي: قبل لمس أي جهاز، يُوثَّق الوضع القائم (تشغيل/إيقاف، اتصالات، ملحقات)، مع تصويرٍ فوتوغرافي للمناضد، الأسلاك، الشاشات المفتوحة.
  • النطاق: لا يجوز أن يتجاوز الضبط والبحث نطاق الإذن؛ فتح حسابات أو سحابات خارج المحددات يعرّض الدليل للطعن.
  • التعامل مع الأجهزة قيد التشغيل: عند وجود كمبيوتر مُشغّل، تُقيَّم المخاطر (تشفير/برامج حذف ذاتي). قد يبرر ذلك أخذ نسخة ذاكرة حيّة (Live Memory) ثم الإغلاق الآمن.
  • الهواتف والأجهزة المحمولة: تُحفظ في حقائب عازلة للإشارات (Faraday) لمنع المزامنة أو المسح عن بُعد.
  • الخدمات السحابية والحسابات: يُطلب من الجهة المقدِّمة سجلات نظامية وفق الأصول، مع الحفاظ على بيانات التعريف (Metadata) وأزمنة الخوادم.

ضمن التحضير الإجرائي، ينبغي توثيق كل خطوة داخلة في تفاصيل الدعوى الجنائية أثناء ترتيب الملف والملاحق الزمنية وخطط الجلسات، بحيث تتطابق الإحالات في المذكرات مع أسماء المرفقات.

3) التصوير الجنائي ونسخ البيانات (Forensic Imaging)

جوهر الطب الشرعي الرقمي هو العمل على نسخة لا على الأصل.

  • إنشاء صورة جنائية (Bit-by-Bit Image): تُؤخذ نسخة كاملة بجميع القطاعات، لا ملفات مختارة، مع تسجيل أداة النسخ وإصدارها.
  • قيم Hash قبل/بعد: تُولَّد قيم تجزئة (مثل SHA-256) للأصل وللنسخة. تطابق القيم يُثبت أن النسخ «صورة طبق الأصل».
  • وسائط الحفظ: تُخزّن النسخ على وسائط محمية ومختومة، مع سجل استلام وتسليم واضح.
  • توثيق الأدوات: مَن نفّذ النسخ؟ أي جهاز استخدم؟ ما تاريخ وساعة العملية؟ كل ذلك يُدوّن بدقّة.

أي غيابٍ لقيم الـHash أو العمل على الأصول مباشرة يفتح الباب لدفوعٍ قوية تستهدف الحجية.

4) سلسلة الحيازة (Chain of Custody)… الخيط الذهبي

سلسلة الحيازة هي سجلٌّ زمني يبين من استلم الدليل، متى، أين حُفظ، كيف نُقل، ومن فحصه.

  • الانقطاع: ثغرة واحدة غير مفسَّرة—ساعة أو يوم دون مُستلمٍ مذكور—تكفي لخلق شكّ معقول في إمكانية العبث.
  • التحكّم بالوصول: قوائم بالأسماء المخولة، سجلات دخول المخزن/المختبر، وأختام سليمة.
  • الفصل بين الأصول والنسخ: الأصول تُحفظ مختومة، والتحليل يُجرى على النسخ فقط.

إتقان هذه السلسلة يضمن أن أي نتيجة تحليل تُنسب فعليًا إلى البيانات المضبوطة، لا إلى «نسخة مجهولة المصدر».

5) التحليل: منهج علمي لا «استكشاف حر»

  • ذكر الأداة والإصدار: سواءً في استعادة المحذوف أو تحليل سجلات WhatsApp/Email أو سجلات نظام، لا بد من تسمية الأداة وإصدارها وحدودها.
  • تمثيل العينة: عند التعامل مع بيانات ضخمة (خادم/سحابة)، يجب بيان كيف اعتُمدت عيّنة ممثلة، ولماذا تُعد كافية.
  • السياق الزمني (Timeline): ربط الأحداث بطوابع الزمن (UTC/المنطقة) مع توحيد التوقيتات.
  • التحقّق المتبادل (Cross-Validation): مقارنة رسائل البريد مع سجلات الخادم، أو مواقع الهاتف مع نقاط اتصال Wi-Fi أو سجلات شركة الاتصالات.
  • المخرجات: تقارير واضحة لا تكتفي باللقطات؛ تتضمن جداول، مسارات ملفات، وملحقات بيانات تعريف (Metadata).

6) الأدلة الشائعة في الجرائم السيبرانية… وكيف تُقرأ؟

  • محادثات التطبيقات: لا حجية للقطات شاشة منفردة؛ تُطلب قواعد بيانات التطبيق أو سجلات الخادم مع قيم Hash وسياق المحادثة الكامل.
  • بريد إلكتروني: رؤوس الرسائل (Headers) ومسارات التسليم (Received-From)، وقوائم الـDKIM/SPF/DMARC تساعد في التحقق من الانتحال.
  • سجلات النظام (Windows/Linux/Mobile): الدخول/الخروج، تثبيت برمجيات، وصل أجهزة USB، تفعيل VPN.
  • المحتوى السحابي: نسخ احتياطية، إصدارات ملفات، سجلات تعديل، وصلات مشاركة.
  • أثر الشبكة: سجلات جدار ناري، NetFlow، DNS، سجلات مزود خدمة الإنترنت—تربط عنوانًا أو جلسة بمستخدم.

7) حجية الدليل الرقمي أمام المحكمة: ما الذي تنظر إليه الدائرة؟

  • المشروعية: كان التفتيش ضمن نطاق الإذن؟ هل استُوفيت إجراءات الاستدعاء أو التلبّس؟
  • السلسلة والمنهج: هل قُدمت قيم Hash؟ هل عُمل على النسخ؟ هل وُثِّقت الأداة والإصدار؟
  • الملاءمة والتفسير البديل: هل هناك رواية أخرى معقولة (انتحال/وصول غير مصرح/جهاز مشترك)؟
  • الترابط مع بقية الأدلة: شهادة الشهود، المستندات، والطب الشرعي المادي.

عند الوصول إلى مرحلة المرافعة والدفوع، يُستحسن إحكام الصياغة وفق ما تنظمه إجراءات النظام الجزائي فيما يخص المهل والصيغ، على أن تُحفظ الإحالات الدقيقة للملاحق ضمن ملفك المنظم أساسًا عبر تفاصيل الدعوى الجنائية.

8) دفوع دفاعية عملية تُضعف أدلة الادعاء

  1. تجاوز نطاق الإذن: جُمعت بيانات من حساب أو جهاز خارج الوصف؛ يُطلب الاستبعاد لما ضُبط خارج النطاق.
  2. غياب قيم Hash أو العمل على الأصل: يهز سلامة الدليل ويفتح باب العبث النظري.
  3. انقطاع سلسلة الحيازة: ثغرات زمنية/إدارية غير مفسرة بين الضبط والتحليل.
  4. غياب توثيق الأداة/الإصدار: يضعف إمكانية تكرار النتيجة (Repeatability).
  5. تعميم من عيّنة غير ممثلة: استنتاجات واسعة من مقتطفات محدودة بلا مسوغ منهجي.
  6. احتمالات الانتحال أو الوصول المشترك: جلسات دخول متزامنة من نقاط جغرافية بعيدة، أجهزة متعددة، أو شبكة مشتركة.

9) كتابة مذكرة فنية قانونية موجزة (قالب)

  1. الطلبات أولًا: استبعاد دليل لعيب السلسلة/النطاق؛ احتياطيًا ندب خبرة رقمية مستقلة؛ إلزام بتقديم سجلات خادم/مزود خدمة؛ تعديل التكييف.
  2. الوقائع موجزًا (12–15 سطرًا): ضبط الجهاز/الحساب، إجراءات النسخ، أدوات الفحص، أبرز ما يستند إليه الادعاء.
  3. الأسباب:
    • بطلان الضبط/تجاوز الإذن.
    • انقطاع سلسلة الحيازة/غياب Hash.
    • قصور المنهج (أداة/إصدار/تمثيل عينة).
    • تفسير بديل معقول (انتحال/وصول مشترك).
  4. الملاحق: صور ضبط، سجلات سلسلة الحيازة، تقارير Hash، مقتطفات سجلات بنطاق واضح، مراسلات المزود.

وعند إيداع المذكرات أو متابعة الطلبات الإلكترونية، تُستكمل الإجراءات عبر منصة ناجز، بينما تُقدم وزارة العدل السعودية خدمات عدلية عامة تعين على سير الخطوات، ويمكن الاستئناس بالنصوص المنظمة المتاحة في موسوعة الأنظمة السعودية خلال التحضير.

10) سيناريوهات تطبيقية مختصرة

أ) ابتزاز عبر حساب مخترق

  • ادعاء: رسائل تهديد من حساب المتهم.
  • دفاع: جلسات دخول متزامنة من بلدين، اختلاف بصمة جهاز/متصفح، غياب قيم Hash لنسخة البيانات، طلب سجلات مزود البريد.
  • النتيجة المحتملة: شكّ معقول في نسبة الفعل → استبعاد أو خفض وزن الدليل.

ب) احتيال مالي عبر متجر إلكتروني

  • ادعاء: فواتير صورية ومعاملات بوابة دفع.
  • دفاع: سجلات منصة الدفع، تتبع عناوين IP، إثبات استخدام حسابات موظفين آخرين من جهاز مشترك، وفصل مسؤوليات داخل فريق المبيعات.
  • الأثر: إعادة توصيف إلى مخالفة امتثال/توثيق بدل قصد احتيالي.

ج) تسريب ملفات شركة إلى سحابة شخصية

  • ادعاء: نقل غير مصرح به.
  • دفاع: غياب إذن يُجيز تفتيش السحابة الشخصية، وعدم توحيد التوقيتات (UTC/محلي) في سجل الأحداث، وغياب تقرير أداة التحليل وإصداره.
  • الأثر: إضعاف الحجية وربما استبعاد جزء من الدليل.

د) رسائل دردشة مُقتطعة

  • ادعاء: محادثة تدين المتهم.
  • دفاع: لقطات غير كافية؛ طلب قاعدة بيانات التطبيق وسياق كامل، وقيم Hash، وخبرة لغوية تُظهر اقتطاعًا يُغيّر المعنى.
  • الأثر: خفض الوزن الإثباتي للمحادثات.

11) أسئلة خبرة ذكية للمحقق/الخبير

  • ما الأداة والإصدار المستخدمان لاستخراج البيانات؟ وهل عُمل على نسخة جنائية؟
  • ما قيم Hash قبل/بعد لكل وسيط وصورة؟ وأين سُجلت؟
  • كيف جرى تمثيل العينة عند التعامل مع بيانات ضخمة؟ ولماذا تُعد كافية؟
  • هل وُحِّدت المناطق الزمنية في التقرير؟ وكيف رُبطت الأحداث عبر الأنظمة المختلفة؟
  • ما سلسلة الحيازة لكل قطعة دليل منذ الضبط حتى العرض أمام المحكمة؟
  • ما نسبة الخطأ وحدود الأداة؟ وهل يمكن تكرار النتيجة باستعمال ذات المنهج؟

12) إدارة الجلسة: ثلاث نقاط تُقنع في دقائق

  • ابدأ بالطلبات القابلة للتنفيذ (استبعاد/خبرة/سجلات).
  • اعرض ثلاث ثغراتٍ محورية فقط: نطاق الإذن + السلسلة/Hash + المنهج/العينة.
  • إحالات دقيقة: اجعل كل ادّعاء مرتبطًا بمرفق مُرقَّم وصفحة محددة.

13) ما بعد الحكم: الاستئناف بوصفه مراجعة منهجية

إذا رُفضت دفوعك، ينتقل الدور إلى الاستئناف بأسباب مركزة:

  • قصور تسبيب: الحكم لم يُجب على دفعٍ جوهري (غياب Hash/انقطاع سلسلة).
  • فساد استدلال: قفز من مؤشر تقني (IP/جهاز) إلى يقين نسبة الفعل دون نفي الانتحال أو الوصول المشترك.
  • خطأ في التكييف: وصف أشد لا تحتمله الوقائع الرقمية.
  • دليل جديد/خبرة مضادّة: تقرير ينسف منهج التحليل أو يثبت عيب التوقيتات.

14) توصيات تنظيمية للمؤسسات والأفراد

  • للأفراد: فعّل التحقق الثنائي، وحافظ على كلمات مرور قوية، وتجنب مشاركة الأجهزة أو الحسابات، واحفظ فواتير وأدلة شراء الأجهزة والاشتراكات.
  • للشركات: سياسة احتفاظ سجلات واضحة، منصّات مركزية للرسائل، مصفوفة صلاحيات، خطة استجابة للحوادث (Incident Response) بتدريبٍ دوري، ومراجعات امتثال دورية.

خاتمة

التحقيق في الجرائم السيبرانية ليس سباق أدوات، بل منهج يبدأ بضبطٍ مشروع لا يتجاوز الإذن، يليه تصوير جنائي محكَم مع قيم Hash، وسجلّ سلسلة حيازة لا ثغرات فيه، ثم تحليلٌ علميٌّ شفاف يمكن تكراره، وأخيرًا مرافعة مركّزة تطلب ما يمكن للمحكمة تنفيذه. إن بنيت ملفك بهذه الأعمدة، صار الدليل الرقمي قوةً تُثبت الحق، أو—إن غابت هذه الضمانات—صار مدخلًا مشروعًا للشكّ المعقول يفضي إلى استبعادٍ أو خفض وزنٍ يغيّر النتيجة. وخلال الرحلة، نظّم ملاحقك وخطة جلساتك وفق ما تعتاده في تفاصيل الدعوى الجنائية، واضبط المهل والصيغ العملية بالرجوع إلى إجراءات النظام الجزائي عند الحاجة، وتابع طلباتك إلكترونيًا عبر منصة ناجز، مستأنسًا بالنصوص المنشورة في موسوعة الأنظمة السعودية وما تُتيحه وزارة العدل السعودية من خدمات مساندة. بهذه الأدوات تُدار القضايا السيبرانية بميزان القانون والعلم، لا بسطوة الانطباع أو ضجيج التقنية.

You may also like

Leave a comment

Explore
Drag