قطاع غزة - شبكة قُدس: أثار تسريب البيانات الشخصية لنحو 600 ألف أسرة فلسطينية في قطاع غزة، إثر هجوم سيبراني استهدف برنامج الأغذية العالمي، موجة قلق وتحذيرات من مخاطر قد تطال أمن وسلامة المستفيدين من المساعدات الإنسانية. 

وفي هذا السياق، طالب مركز "حملة" برنامج الأغذية العالمي بالتحلي بالشفافية الكاملة بشأن ملابسات الاختراق، وضمان حماية بيانات الفلسطينيين ومحاسبة المسؤولين عن أي أوجه قصور أدت إلى كشف معلومات حساسة تشمل الأسماء وأرقام الهويات والهواتف وبيانات المواقع الجغرافية. 

ودعا مركز حملة برنامج الأغذية العالمي إلى التحلي بالشفافية الكاملة بشأن ملابسات الحادثة، بما يشمل توقيت الاختراق، وآلية اكتشافه، والإجراءات المتخذة لإبلاغ المتضررين، مع توضيح طبيعة "بيانات الموقع الجغرافي" التي جُمعت وكُشف عنها، بما يتيح تقييمًا دقيقًا لحجم المخاطر المحتملة، وتكليف جهة مستقلة بإجراء تحقيق شامل في الحادثة، بمشاركة مؤسسات المجتمع المدني الفلسطيني، بدلًا من الاكتفاء بالمراجعة الداخلية.

كما طالب بنشر تقييم واضح للمخاطر والأضرار المحتملة، يتضمن إجراءات عملية لحماية المتضررين، وآليات آمنة لإعادة التسجيل، وخطوات ملموسة للحد من انتشار البيانات المسربة أو إساءة استخدامها، واعتماد سياسة واضحة وملزمة لحماية البيانات تقوم على مبدأ تقليل جمع البيانات إلى الحد الأدنى الضروري، وعدم جمع البيانات التعريفية الحساسة، مثل أرقام الهوية أو بيانات الموقع الجغرافي، إلا عندما يكون ذلك ضروريًا لتقديم المساعدة الإنسانية.

وأكد على ضرورة تقديم ضمانات واضحة بعدم مشاركة بيانات المستفيدين أو العاملين في المجال الإنساني مع أي طرف من أطراف النزاع، تحت أي شرط أو متطلب يتعلق بالوصول أو باستمرار العمل الإنساني، وضمان المساءلة والشفافية من خلال إطلاع المجلس التنفيذي لبرنامج الأغذية العالمي والجهات المانحة، بما في ذلك الاتحاد الأوروبي، على نتائج التحقيق المستقل والإجراءات التصحيحية المتخذة لمعالجة أوجه القصور التي يكشف عنها.

ووفقًا لإشعار البرنامج نفسه، فقد أدى اختراق تطبيق التسجيل الذاتي (SRA) إلى كشف أسماء المستفيدين، وأرقام هوياتهم، وأرقام هواتفهم المحمولة، وما وصفه البرنامج بـ“بيانات المواقع”، وبحسب البرنامج، قد تكون هذه أكبر حادثة معروفة حتى اليوم لتسريب بيانات المستفيدين من المساعدات الإنسانية.

ووفق حملة، لم تُقدَّم هذه البيانات طوعًا، بل جُمعت من أشخاص يعتمدون على المساعدات الإنسانية لتأمين احتياجاتهم الأساسية والبقاء على قيد الحياة؛ ففي غزة، كان التسجيل شرطًا أساسيًا للوصول إلى الغذاء والمساعدات، وفي ظل الحصار والتجويع الممنهج، لا يمكن اعتبار الموافقة على مشاركة البيانات موافقة حرة أو مستنيرة، بل ضرورة فرضتها ظروف البقاء، مؤكدا على أن مسؤولية حماية هذه البيانات تقع في أعلى درجاتها، ويجب تقييم التعامل مع هذا الحادث على هذا الأساس.

ورغم الدور الذي يؤديه البرنامج، قال المركز، "إلا أن ذلك لا يقلل من المسؤولية المترتبة عليه تجاه الأشخاص الذين يحتفظ ببياناتهم، وتثير المعلومات المعلنة حول الحادثة تساؤلات جدية تستدعي إجابات واضحة من البرنامج، لا سيما في ظل التقارير التي تفيد بأن موظفين في البرنامج كانوا قد أشاروا مسبقًا إلى وجود ثغرة أمنية، وأن الاختراق وقع في 14 أيار 2026، بينما لم يتم إبلاغ المتضررين إلا بعد سبعة عشر يومًا، أي في 31 أيار".

 كما تشير المعلومات المتوفرة إلى أنه لم يكن قد أُجري أي تقييم للمخاطر حتى تاريخ إبلاغ المتضررين. وفي ظل المعايير الدولية المتعارف عليها والتي توصي بالإخطار عن حوادث اختراق البيانات خلال 72 ساعة من اكتشافها، فإن هذا التأخير حرم المتضررين من فرصة اتخاذ إجراءات مبكرة للحد من المخاطر المحتملة وحماية أنفسهم، وفق مركز حملة.

وتكتسب هذه الحادثة خطورة استثنائية في السياق الفلسطيني؛ ففي حين يُنظر عادة إلى تسريب بيانات التسجيل على أنه انتهاك للخصوصية، فإن كشف هذه البيانات في غزة قد يعرّض الأفراد لمخاطر أكبر بكثير، فربط الأسماء بأرقام الهوية وأرقام الهواتف وبيانات المواقع الجغرافية قد يسهم، إذا وصلت هذه المعلومات إلى جهات غير مخولة، في تحديد مواقع الأفراد والتعرف عليهم.

وأوضح، أن هذه المخاوف ليست افتراضية، إذ قُتل فلسطينيون أثناء سعيهم للحصول على المساعدات، كما مارست سلطات الاحتلال ضغوطًا على المنظمات الإنسانية للحصول على بيانات الأشخاص المرتبطين بعمليات الإغاثة في غزة.

 ومنذ عام 2025، وبموجب القرار الإسرائيلي رقم 2542، فُرضت متطلبات لتسليم هذه البيانات كشرط لمواصلة العمل الإنساني، وهو ما دفع منظمات، من بينها أطباء بلا حدود وأوكسفام، إلى رفض تلك المطالب والتحذير من أن مشاركة البيانات مع أحد أطراف النزاع قد تعرض حياة المدنيين للخطر، كما جرى الطعن في هذه المتطلبات أمام المحاكم. البيانات التي سعت هذه المنظمات إلى حمايتها هي ذاتها البيانات التي كُشف عنها في هذا الاختراق، ما يجعل التعامل مع الحادثة باعتبارها مجرد واقعة تقنية أمرًا غير مقبول.

كما تؤكد المعايير الدولية ذات الصلة وضوح الالتزامات القانونية والأخلاقية في هذا المجال، فالحق في الخصوصية مكفول بموجب المادة 17 من العهد الدولي الخاص بالحقوق المدنية والسياسية والمادة 12 من الإعلان العالمي لحقوق الإنسان.

 كما يلتزم كل من الأمم المتحدة وبرنامج الأغذية العالمي بمبادئ الأمم المتحدة لحماية البيانات الشخصية والخصوصية لعام 2018 وسياسات البرنامج الخاصة بحماية البيانات والخصوصية، والتي تنص على ضرورة تقليل جمع البيانات إلى الحد الأدنى اللازم، وإجراء تقييمات للمخاطر، وتوفير تدابير الحماية الأمنية، والإبلاغ السريع عن حوادث الاختراق. 

كما أن خطر هذه الحوادث لم يكن غير متوقع، فقد سبق أن تعرضت اللجنة الدولية للصليب الأحمر عام 2022 لهجوم سيبراني كشف بيانات أكثر من 515 ألف شخص من الفئات الأكثر هشاشة، وكانت تلك الحادثة كفيلة بتنبيه القطاع الإنساني بأكمله إلى حجم المخاطر المرتبطة بحماية البيانات، والحاجة إلى تعزيز التدابير الوقائية، فهذه المعايير والسياسات وُضعت أساسًا لمنع وقوع الضرر قبل حدوثه، لا للاكتفاء بالاستجابة له بعد وقوعه.

وقال برنامج الأغذية العالمي إنه غير قادر على الإجابة عن الأسئلة التفصيلية المتعلقة بالتسلسل الزمني للحادثة، باستثناء تأكيد تاريخ وقوع الاختراق.

وقال عامل إغاثة من غزة، طلب عدم الكشف عن هويته لأسباب أمنية بعد تلقيه بيان البرنامج: "إنه توقيت مخيف للغاية وغير قابل للتنبؤ، حيث يمكن استخدام هذا القانون وهذه البيانات حرفيًا كسلاح ضد الناس، وتعقبهم وإلحاق الأذى بهم"، مضيفًا: "والآن تم اختراقها بالفعل".