الاخبار: مغارة الاتصالات: صفقة مشبوهة ومخاوف من خرق أمني | من يراقب "داتا" الخلوي؟

وال-كتبت صحيفة "الاخبار" تقول: شكوك كثيرة تُثيرها مسألة "دخول" إحدى الشركات إلى قطاع الاتصالات في لبنان عبر تسويقها منتج الـ DPI المعدّ لكشف بيانات المُستخدمين وحركتهم. هذه الشكوك تتعدّى مسألة الفساد المالي "المعتاد" في القطاع الذي يحكم عمليات التلزيم وتتخطّاه الى مخاوف من احتمال إجراء خرق أمني. ولعلّ ما يُعزّز هذه المخاوف، هو ما يُثار حول علاقة هذه الشركة بشركة أميركية مُدانة بموجب قرارات قضائية بسرقة معلومات المُستخدمين وبيعها لجهات "مجهولة"


تدرس شركة "تاتش" حالياً عرضاً مُقدّماً من شركة nexius يتعلّق بشراء منتج الـDPI) Deep packet inspection). هذا المنتج، وفق عدد من الخبراء الذين تواصلت معهم "الأخبار"، يسمح بتحديد وكشف ما سمّوه "سلوك مُستخدم الهاتف الذكي"، مع ما يتضمّنه من تسجيل جميع التطبيقات والمواقع التي يزورها حامل الهاتف ويستخدمها، فضلاً عن معرفة الجهات التي يتواصل معها عبر التطبيقات غير المشفّرة.


شركة "تاتش" لا تملك هذا المُنتج حتى الآن، في حين أنّ شركة "ألفا" لديها منتج الـ DPI منذ عام 2015 (وقد أوكلت تشغيله في الفترة السابقة لشركة PROCERA بموجب عقد رضائي قبل أن تستغني عن الشركة بعدما قيل إنها إسرائيلية)، علما بأنّ "ألفا" وقّعت عقداً بالتراضي مع شركة nexius المذكورة أعلاه منذ نحو سنة، بعد موافقة وزارة الاتصالات، لشراء منتج DPI الجديد ودفعت مُسبقاً نحو 3 ملايين دولار للحصول عليه، باعتراف المعنيين في الشركة أنفسهم. المُفارقة أنّ هذا المنتج الجديد لا يزال قيد التطوير ولم يجهز بعد! ما يعني أن "ألفا" دفعت كلفة منتج قبل أن يصبح موجوداً، فيما تسعى الشركة صاحبة المنتج في الوقت الراهن إلى تسويقه وبيعه لشركة "تاتش". وفيما تقول مصادر في إحدى الشركات المنافسة لـ"nexius" إنّ كلفة شراء وتشغيل منتج الـ DPI لا تتجاوز المليوني دولار، وإنّ العقد الموقع مع "ألفا" ينصّ على دفع سبعة ملايين دولار، ما يعني أن خمسة ملايين دولار إضافية ستُدفع من مال وزارة الاتصالات"، تؤكّد مصادر "ألفا" لـ"الأخبار" أنّ شركة nexius ستتقاضى 3 ملايين دولار فقط.


تلزيم بالتراضي: أبعد من تنفيعات؟
لم تُنظّم "ألفا" مناقصة لاستدراج عروض الشركات التي ستحلّ مكان شركة procera. أمّا السبب، فبرأي مصادر الأولى، هو "غياب شركات موثوقة في السوق، إذ إنّ غالبيتها تكون إسرائيلية أو مملوكة من شركات إسرائيلية. لذلك فضّلنا تلزيم شركة nexius لأنّها لبنانية، وقرّرنا منحها الوقت لإنتاج منتج الـ DPI".


في المُقابل، تعرض مصادر شركات منافسة لـ"نكسيوس" وجود ثلاث شركات تملك المنتج جاهزاً في السوق، وهي سبق لها أن تقدّمت بعروض لدى إدارة "تاتش" وهي: شركة protei الروسية، Vedicis الفرنسية وشركة F5 الأمريكية، "ما يعني حجة غياب الشركات والعروض غير منطقية"، على حد تعبير المصادر.


إلّا أن قضية nexius ومنتجها الجديد تتعدّى مسألة "الفساد المالي" والتنفيعات الحاصلة في قطاع الاتصالات وتتخطّاه إلى شكوك جديّة تتعلّق بقضية خرق أمني بسبب حساسية المنتج المذكور.


فمن هي شركة NEXIUS؟ وما هي علاقتها بشركة COMSCORE الأميركية المتهمة بسرقة بيانات المستخدمين؟


لا وجود لاسم شركة NEXIUS في السجلّ التجاري في لبنان، ما يعني أنها ليست لبنانية، بخلاف ما تم الترويج له (علماً بأن مالكيها يؤكدون أنها "لبنانية، لكنها مسجلة في دبي وان في شركة "وايكوم" التابعة لها والمسجلة في لبنان، نحو 200 موظف لبناني يعملون من لبنان على تطوير البرامج"). في المبدأ، فإنّ البحث عن اسم "نكسيوس" على موقع "بلومبرغ" يُبيّن أنها مملوكة من قبل شركة COMSCORE الأميركية ولديها ستة فروع، من بينها فرع في المنطقة الحرة في دبي/ جبل علي، وهو الفرع الذي تقدّم بالعرض لدى شركة "تاتش" والذي سبق أن تقدّم لشركة "ألفا". اللافت أنّ شركة COMSCORE الأميركية سبق أن أُدينت، بموجب أحكام قضائية صادرة بحقها، بسرقة داتا المستخدمين وبيعها لجهات سرّية. إذ يظهر في هذا الصدد وجود حكم قضائي مبرم صادر بتاريخ 31/1/2013بحق الشركة، يُثبت أنها قامت بسرقة معلومات المُستخدمين بطريقة غير شرعية من خلال مقرصنين، فضلاً عن استخدامها برامج لاختراق الحواسيب الشخصية وسرقة الملفات وكلمات المرور الخاصة بالمستخدمين وغيرهم.


كذلك، فإنّ قراراً قضائياً آخر صادراً بتاريخ 28/7/2017 يُثبّت التهم المنسوبة للشركة ويؤكّد أن الأخيرة قامت ببيع المعلومات بطريقة غير قانونية من دون أن تُحدّد الجهات الشارية. واللافت أن قيام الشركة بإخفاء أسماء الشركات والجهات التي اشترت منها الداتا يوحي، وفق مصادر مُطّلعة على الملف، بأنّ البيع لم يكن لشركات تجارية وإلّا كانت أسماؤها معلنة بشكل صريح، "ما يطرح شكوكاً حول احتمال أن تكون هذه المعلومات قد بيعت لشركات وجهات استخبارية". يُشار هنا الى أن شركة COMSCORE وافقت على تسوية دفعت بموجبها نحو 110 ملايين دولار لبعض المستثمرين المتضررين من جرّاء عملياتها بعد رفض المحكمة في نيويورك الاعتراض المُقدّم من قبلها.


وبالعودة إلى شركة nexius، يقول سمير طالب، أحد مؤسسيها اللبنانيين، إنّ الشركة قامت منذ نحو 10 سنوات ببيع أحد منتجاتها الى شركة comscore "وهي ليس لها علاقة أبداً بها. كل ما في الأمر أن المنتج الذي صنّعته nexius باتت تملكه شركة comscore، لذلك قد يظهر أن nexius مملوكة من قبل comscore"، موضّحاً أن nexius تم تأسيسها على يديه وأيدي أشقائه، وهي كبيرة وتضم عدّة شركات، مُشدّداً على أن لا علاقة لشركته بـ comscore.


ماذا عن الشعار (اللوغو) الموحد الذي ظهر في الطلب المُقدم الى شركة "تاتش" والموجود نفسه في موقع "بلومبرغ" للشركة المنضوية تحت comscore؟ يجيب طالب بأن "هذا الأمر طبيعي، لأن comscore تملك منتجاً مصنّعاً من nexius. فنحن كلّما أنتجنا برنامجاً، أسسنا له شركة لتملك حقوق ملكيته الفكرية والقانونية. وعندما نبيع المنتج، نبيع معه الشركة التي تملك حقوقه. وكومسكور اشترت منتجاً كان مسجّلاً باسم شركة تُدعى "نكسيوس إينك"، ولذلك يظهر اسم "نكسيوس" كإحدى الشركات التي تملكها "كومسكور"".


هذه الأجوبة تتناقض مع ما تؤكده مصادر إحدى الشركات المنافسة لـ"نكسيوس"، مشيرة إلى "استحالة ازدواجية الهويات"، لافتةً "إلى وجود شركة nexius واحدة هي ليست إلا فرعاً من فروع شركة comscore". اللافت هو ما يُشير إليه موقع COMSCORE لجهة انضمام أحد أفراد "آل طالب"، وهو الرئيس التنفيذي لشركة NEXIUS، الى فريق عمل الشركة (COMSCORE) عام 2010 ، الأمر الذي يطرح تساؤلات جدّية حول طبيعة العلاقة التي تربط الشركتين.


إلى ذلك، يقول طالب إن الشركة تقدّمت في عرضها (سواء لـ"تاتش" أو لـ"ألفا") باسم شركة nexius، "إلّا أن الشركة التي ستقوم بإنتاج الـ DPI هي شركة NET VEE التي هي تابعة لشركة NEXIUS وإنّ من سيقوم بإنجاز هذا المنتج هم نحو 200 موظف لبناني يعملون في شركة وايكوم اللبنانية". لماذا لم يتم التقدم باسم NET VEE منذ البداية؟ "لأنها كانت قيد الإنشاء"!


هذا الأمر يعني عملياً أنّ شركة "ألفا" قرّرت تلزيم شركة قيد الإنشاء إنتاج منتج غير جاهز لديها بعد؟ "نعم"، تجيب مصادر "ألفا" لـ"الأخبار"!


تقنيو "تاتش" قلقون
في "تاتش"، يستند الفريق التقني على ما تقدّم بشأن تاريخ شركة COMSCORE، إلى مطالبة إدارة الشركة بـ"إجراء المزيد من التحقيقات" قبل المضي في مشروع شراء المنتج من شركة nexius. هذه التوصية وردت في كتاب أرسله الفريق التقني في "تاتش" إلى إدارة شركته، قبل نحو 3 أسابيع، واطلعت "الأخبار" على مضمونه. وتناول الكتاب مخالفة شركة comscore لقانون الاتصالات المخزنة وقانون خصوصية الاتصالات الإلكترونية، فضلاً عن مخالفات تتعلق بالاحتيال. كذلك، يذكر الكتاب مسألة إدانة الشركة بجمع المعلومات الشخصية للمستهلك وبيعها، بما في ذلك أرقام الضمان الاجتماعي وأرقام بطاقات الائتمان وأرقام المعلومات المالية وغيرها.


إلى تلك المُلاحظات المتعلّقة بخلفية الشركة المثيرة للشكوك، ثمة ملاحظات تقنية يشير إليها الكتاب، ولعلّ أبرزها يتمثّل بـ"فشل nexius حتى الآن في تطوير الـ DPI وتسليمه لشركة "ألفا"، لافتاً الى أن "تاتش لا تملك منتج الـ DPI بعد، وهي لا تملك ترف انتظار الشركة لتطويره في وقت يتوافر فيه الكثير من المنتجات الجاهزة في السوق". في المقابل، تؤكد مصادر "ألفا" أن المنتج صار موجوداً لديها، و"دخل مرحلة التجربة لإدخال تعديلات عليه، تمهيداً لبدء تشغيله في غضون شهرين أو ثلاثة".


إصرار على التعامل مع NEXIUS؟
تُركّز بعض المصادر المتابعة للملف على أهمية هذه الجملة الواردة على لسان تقنيي "تاتش" المتعلّقة بوجود خيارات أخرى متنوعة في السوق، علماً بأن مصادر في "تاتش" قالت لـ"الأخبار" إن "الشركة لم تحسم بعد أمر التعاقد مع "nexius"، وإن وزارة الاتصالات هي التي كانت تدفع في اتجاه الاتفاق مع "نكسيوس" بذريعة إيجاد "منصة" موحّدة لمنتج الـ DPI بين ألفا وتاتش. وفيما قالت مصادر من داخل الشركة إن إدارتها ماضية في النقاشات المتعلقة بالعرض من دون أن تتوقف عند ملاحظات التقنيين العاملين فيها، قالت مصادر إدارية "إن الشركة مستمرة في المفاوضات ودراسة كل العروض من أجل اختيار الأفضل والأكثر أماناً، وحتى الآن لم يُحسَم أي خيار". وتفيد المعلومات بأنها ليست المرّة الأولى التي تحاول فيها NEXIUS "الدخول" الى شركة "تاتش". إذ سبق لها أن عرضت قبل ثلاث سنوات منتجاً آخر (بالشراكة مع SAND VINE)، فيما كانت الإدارة المعنية حينها تستعد لإطلاق مناقصة، "قبل أن تتخذ وزارة الاتصالات حينها (الوزير السابق جمال الجراح) قراراً بإلغاء المناقصة". بدوره، يقول وزير الاتصالات محمد شقير لـ"الأخبار" إنه لم يطلع بعد على الملف، وإنه "مستعد للبحث فيه في ما بعد لإبداء الرأي واتخاذ الإجراءات اللازمة".