Concerns About Data Safety in Post-Assad Syria/تساؤلات حول أمن البيانات في سوريا ما بعد الأسد
By Wael Qarssifi, MTM 2023 Fellow
Arabic text below/النص العربي أدناه
After the fall of Assad’s terror regime in Syria, the world is still unsure in how far to trust the new Islamist leaders. In this complex and developing situation, data safety does not seem like a priority. The Migration and Technology Monitor’s Wael Qarssifi explains why the issue should not be ignored.
![A giant picture of former Syrian President Bashar al-Assad lies on the ground inside the Presidential Palace. [Omar Sanadiki/AP Photo]](https://images.squarespace-cdn.com/content/v1/626d808cc8cf094dc06d60e4/4ce7e1bc-397c-4206-91a1-d5d0e123b804/A+giant+picture+of+former+Syrian+President+Bashar+al-Assad+lies+on+the+ground+inside+the+Presidential+Palace.+Omar+Sanadiki_AP%C2%A0Photo.jpg)
A giant picture of former Syrian President Bashar al-Assad lies on the ground inside the Presidential Palace. [Omar Sanadiki/AP Photo], 8 December 2024
On 7 January 2025, the Syrian Interim Prime Minister issued a notice to all government agencies, associations, and civil society organisations not to collect any data or information from Syrian citizens through digital forms unless through the platforms of the Ministry of Communications and Information Technology. The notice made clear that all activities that include data collection from Syrian citizens must be organised and approved through the ministry.
After five decades of brutal rule and a war that lasted for 14 years, the country is shattered. In December 2024 Assad’s regime came to an end, following a shocking 11 day campaign by military opposition factions led by hardline islamist group, Hay’at Tahrir Al-Sham (HTS). The interim government, have a lot on their plate. The decision to restrict digital data collection to the Ministry of Communication is understandable in times of chaos, but is does not necessarily translate to practices that protect data safety in Syria. On the contrary, a number of questionable decisions from the government raise questions regarding the safety of Syrians’ data.
Prior to the Ministry’s decision on data collection, many media outlets in Syria, including SyriaNews and Syria TV, reported on government officials instructing workers to download an app called “Sham Cash.” This entailed sharing their banking information on the app in order to receive their delayed salaries since the fall of the regime in December.
Many government workers expressed concerns about the e-wallet app that is connected to “Sham Bank,” a former money transfer company turned into a bank in 2018 and owned by Hay’at Tahrir Al-Sham (HTS), the islamist militant organization that brought the brutal reign of the Assad regime to an end on 8 December 2024. The islamist group is still under international sanctions despite its recent dissolution. Due to these sanctions, and the control the Assad regime had over the banking sector, the HTS-owned company running the app never had any connection to the Syrian banking ecosystem and lacks the regular monetary safety guards and regulation that used to be applied by banks in the country.
Doubts regarding the reliability of the application are not only directed towards the possibility of data theft, but also arise on the technological level. The app that is only available for Android operating systems, is not available on the Google Play Store. While the argument of avoiding sanctions by the developer is used to justify this, it does not change the fact that the app is not approved by a third party such as Google.
Dlshad Othman, a Senior Cyber Threat Intelligence Engineer at Amazon Web Services (AWS), provided technical analysis on the app in a Facebook post, where he said that users are forced to “trust the developer” due to the lack of an independent party security evaluation. Othman expressed concerns regarding requirements placed on users while using the app. In order for the app to work, the phone has to disable sleep mode, allow the app to work in the background and give permission to record biometric data such as facial images and fingerprints. The app server is also prone to cyber attacks according to Othman. Othman also said that the problem with the app is not only technical but also related to the appropriation and monopoly in which HTS makes decisions.
Concerning data threats
The banking sector is not the only problem for the safety of Syrians’ data. Experts refer to many government data portals that are under direct cyber threat in the country.
For example, a January 2025 report by the Syrian Security Operations Centre (SySOC) showed that many portals used by the Syrian interim government to collect data, lack important security measures. According to the report, the data collection forms, some of which are issued by the Ministry of Health, are hosted on servers in Turkey, sparking further concerns regarding the safety of the data. Experts like SySOC fear that such sensitive data belonging to Syrian citizens should not be hosted on servers that can be controlled or disrupted by the government or private entities of other countries.
The centre also found that the systems used by the government are very prone to automated cyber attacks and using old software that include known gaps in the safety protocol. The transfer of data is conducted via unencrypted channels, which makes it easier for a third party to access them.
In the report, SySOC called on the government to immediately find solutions to the urgent security threats to protect the data of Syrians against any leaks or cyber attacks.
Why should Syrians be concerned?
The current insecure technical environment in which the Syrian government is operating many of its platforms might put the data of millions of Syrians under the threat of being leaked, manipulated or even sold. In 2018, India’s identification database “Aadhaar” had a huge data leak which led to the data of millions of Indians being sold on the internet and put many of them under the risk of identity theft. The leaked data included names, bank details and biometric data. Investigations into the case showed that thousands of former employees still had access to all that sensitive data after leaving their positions due to lack of a proper protection protocol.
Another important issue related to data protection is the total lack of transparency. The example of the “Sham Cash” app and the fact that the interim government in Damascus does not reveal any information regarding the private company that owns the app rings alarm bells on potential data monopolies or nepotism in granting data handling deals to specific private entities.
Such practices may lead to very dangerous data leaks similar to the case of “Deep Root Analytics” in the US in 2016. Sensitive data of 198 million voters were leaked ahead of the presidential elections. The company that was contracted by the Republican National Committee had many weaknesses in its protection and protocol systems leading to the leaking of sensitive information that included voters' first and last names, birth dates, home and mailing addresses, phone numbers, registered party, and ethnicity.
Countries with much more developed data protection systems than Syria suffered from huge data leaks due to lack of protection and absence of transparency in data policies. The current situation of data protection in Syria hardly leaves room for optimism if the major concerns pointed out by many experts cannot be solved soon.
In March 2025, the current interim administration is expected to be replaced by a transitional government that faces the challenge of rebuilding a country after decades of war. Data protection does not seem to hold an important position in this agenda. But in an increasingly digital world, the handling of data is also an indicator for individual rights. The new Syrian government will have the responsibility to consult with Syrian tech experts, both in the country or in the diaspora. The goal can only be one: to present to its citizens a precisely defined and accountable policy on data protection, in which transparency and public accountability must be the guidelines. This approach also entails a commitment to strict legislation regulating how the government can collaborate with private entities when it comes to data collection and management.
Want to learn more?
Follow Wael’s work here, including his reporting for Al Jazeera on the many issues facing refugees in Malaysia
تساؤلات حول أمن البيانات في سوريا ما بعد الأسد
بعد سقوط نظام الأسد المرعب في سوريا، لا زال العالم متردداً بشأن الثقة بالقادة الإسلاميين الجدد في البلاد. في خضم هذا الوضع المعقد والمستمر بالتغير يبدو أن أمن البيانات لا يحظى بالأولوية. في هذا المقال يشرح وائل قرصيفي من مرصد الهجرة والتكنولوجيا ضرورة عدم تجاهل هذه القضية.
في 7 يناير الماضي، أصدر رئيس الوزراء السوري المؤقت بلاغاً لجميع المؤسسات الحكومية والنقابات ومنظمات المجتمع المدني بعدم جمع أي بيانات أو معلومات من المواطنين السوريين عبر النماذج الإلكترونية بدون استعمال المنصات الخاصة بوزارة الاتصالات وتقانة المعلومات السورية، وأعلن البلاغ حصر جميع عمليات جمع البيانات من المواطنين في البلاد بالتنظيم والموافقة من الوزارة المعنية.
بعد خمسة عقود من الحكم الوحشي وحرب دامت 14 عامًا، سقط نظام الأسد في ديسمبر 2024 بعد حملة عسكرية صادمة استمرت 11 يومًا من قبل فصائل المعارضة العسكرية بقيادة الجماعة الإسلامية المتشددة هيئة تحرير الشام. أمام الحكومة المؤقتة مسؤوليات كبرى وقرار تقييد جمع البيانات عبر الوسائل الرقمية بيد وزارة الاتصالات قرار مفهوم في سياق الفوضى الراهنة. القرار الجيد من الناحية النظرية لم يترجم بالضرورة بممارسات لحماية بيانات السوريين، بل على العكس صدرت من الحكومة الجديدة عدة قرارات مبهمة أثارت الكثير من التساؤلات حول خطط الحكومة لحماية بيانات المواطنين السوريين.
قبل أيام من إعلان الحكومة حصر عملية جمع البيانات بوزارة الاتصالات، نقلت العديد من وسائل الإعلام السورية من بينها سيريانيوز وتلفزيون سوريا أن مسؤولين في الوزارات الحكومية أصدروا توجيهات للموظفين بتحميل تطبيق "شام كاش" ومشاركة بيانات حساباتهم في التطبيق مع السلطات للحصول على رواتبهم المؤجلة منذ سقوط النظام في ديسمبر.
وعبّر العديد من الموظفين الحكوميين عن مخاوفهم بشأن تحميل تطبيق المحفظة الإلكترونية المرتبط بمؤسسة "بنك شام" وهي شركة حوالات سابقة تحولت إلى مصرف في عام 2018 ويمتلكها أفراد مرتبطون بهيئة تحرير الشام، الحركة التي قادت العملية العسكرية التي أسقطت النظام في 8 ديسمبر 2024. الحركة الإسلامية ورغم حلها إلا أنها لازالت خاضعة للعديد من العقوبات الدولية، وبسبب تلك العقوبات وسيطرة نظام الأسد على القطاع المصرفي فلم يكن لهذا المصرف التابع للحركة أي اتصال مع القطاع المصرفي السوري، وافتقاد لمعظم آليات الأمان والقوانين التي تعمل بها المصارف عادة في سوريا.
التساؤلات حول التطبيق المذكور لا ترتبط فقط باحتمالية سرقة البيانات بل كذلك بالمستوى التقني ككل، فالتطبيق غير متوفر سوى على الأجهزة التي تعمل بنظام أندرويد، ورغم ذلك فإنه غير متوفر على التطبيقات الرسمية مثل متجر جوجل، وفيما يعزى ذلك إلى العقوبات ومحاولة تلافيها من قبل مبرمجي التطبيق فإن ذلك لا يغير واقع أن التطبيق لم يخضع لأي موافقة من جهة ثالثة مثل جوجل بخصوص إجراءات الأمان.
المختص في مجال أمن المعلومات ومهندس في مجال التهديدات الرقمية لدى خدمات أمازون ويب (AWS)، دلشاد عثمان، كتب في منشور عبر موقع فيسبوك تحليلاً أولياً لوضع التطبيق، حيث أوضح أنه يتطلب من المستخدمين "الوثوق بالمطور" في غياب أي تقييم أمان من جهة ثالثة للتطبيق، وعبر عن تساؤلات بخصوص الأذونات التي يطلبها التطبيق. للعمل بالشكل المطلوب يمنع التطبيق الهاتف من دخول وضع السكون ويستمر بالعمل في الخلفية كما يقوم بتسجيل معلومات هامة مثل بصمة الأصابع والوجه، كما أن الخوادم التي يعتمد عليها التطبيق هي عرضة للهجمات السيبرانية بحسب الخبير الذي أوضح أن المشكلة مع التطبيق ليست تقنية بقدر ما هي مرتبطة بسياسة هيئة تحرير الشام واحتكارها لاتخاذ مثل هذه القرارات.
مخاوف تهدد بيانات السوريين
القطاع المصرفي ليس القطاع الوحيد الذي تواجه فيه بيانات السوريين تهديدات أمان جدية، حيث يشير خبراء إلى عدة منصات حكومية تعمل تحت خطر هجمات سيبرانية قد تهدد أمن بيانات المواطنين في البلاد.
على سبيل المثال، أصدر المركز السوري للأمن الرقمي مؤخراً تقريراً أظهر أن العديد من المنصات المعتمدة لجمع بيانات من قبل الحكومة السورية المؤقتة تفتقر لإجراءات أمن أساسية لحماية البيانات والمعلومات التي تقوم بجمعها. بحسب التقرير فإن نماذج جمع البيانات التي تستعملها العديد من المؤسسات الحكومية بما فيها وزارة الصحة تعمل على خوادم في تركيا، وعنوان بروتوكول إنترنت (IP) يشير إلى استضافة مشتركة قد تكون غير آمنة للبيانات التي يتم جمعها من المواطنين السوريين، ورغم أن وجود الخوادم التركية قد يكون بسبب الشبكات التركية في إدلب إلا أن المحاذير الأمنية لا تزال جدية بهذا الشأن. كما يحذر الخبراء مثل المركز السوري من خطورة وضع معلومات حساسة تخص السوريين على خوادم يُمكن التحكم بها أو تعطيلها من قبل حكومات أو شركات خاصة أجنبية.
كما وجد المركز خلال تقييمه لتلك المنصات أن العديد من الأنظمة المستعملة من قبل الحكومة معرضة بشكل كبير للهجمات السيبرانية وتستعمل مكتبات برمجية قديمة تحمل ثغرات معروفة ويُمكن اختراقها، فيما يتم نقل العديد من البيانات والمعلومات من خلال اتصالات غير مشفرة مما قد يعرضها لخطر الاعتراض من جهات ثالثة.
ودعا المركز الحكومة السورية المؤقتة لاتخاذ إجراءات عاجلة لحماية بيانات السوريين من التهديدات واحتمالية التسريب، وذلك عبر نقل جميع المنصات الحكومية إلى خوادم مخصصة وتحديث البنية التحتية بما يتلائم مع التقنيات الحالية.
لماذا على السوريين الاهتمام بهذه القضية؟
البيئة التقنية غير الآمنة في سوريا والتي تعمل الحكومة المؤقتة من خلالها قد تضع بيانات الملايين من السوريين في خطر التسريب أو التلاعب أو البيع. في عام 2018 شهدت الهند تسريباً لملايين البيانات من خلال نظام الهويات الحكومي "آداهار" وهو ما تسبب بتعريض ملايين المواطنين الهنود لخطر انتحال الشخصية أو نشر بيانات شخصية حساسة، حيث تضمن التسريب أسماء المواطنين وتفاصيل حساباتهم البنكية ومعلوماتهم البيومترية، فيما كشفت التحقيقات أن آلاف الموظفين الحكوميين في الهند كانوا يمتلكون ولوجاً إلى تلك المعلومات قبل التسريب رغم أنهم غادروا وظائفهم منذ سنوات بسبب غياب البروتوكولات الأمنية المناسبة.
للقضية بعد آخر يرتبط بالغياب التام للشفافية، فتطبيق "شام كاش" كمثال وتعامل الحكومة في دمشق معه دون الكشف عن أي معلومات مرتبطة بالشركة الخاصة التي تمتلكه يدق ناقوس الخطر بخصوص احتمالية تأسيس احتكارات أو محسوبيات في المستقبل لمنح صفقات لشركات خاصة للتعامل مع بيانات السوريين.
ممارسات مثل هذه قد تقود مستقبلاً لتسريبات بيانات خطيرة كما حصل في حالة شركة "ديب روت أناليتكس" الأمريكية في عام 2016، حيث تسببت مشاكل الأمان في الشركة بتسريب بيانات 198 مليون ناخباً أمريكياً قبل الانتخابات الرئاسية. الشركة التي تعاقد معها الحزب الجمهوري الأمريكي كانت تعاني من العديد من الثغرات في نظمها الأمنية وهو ما تسبب بتسريب بيانات حساسة تتضمن أسماء الناخبين وتواريخ ميلادهم وعناوين السكن والبريد وأرقام هواتفهم والحزب الذي ينتمون إليه وتصنيفهم العرقي.
الواقع يؤكد أن الدول التي تمتلك نظم حماية بيانات أفضل بكثير من سوريا عانت سابقاً من تسريبات كبرى بسبب غياب وسائل الأمن الضرورية وغياب الشفافية في السياسات أو الصفقات، والوضع الحالي في سوريا لا يترك مجالاً للتفاؤل في هذا الشأن إذا لم يتم حل المشاكل التقنية الواضحة التي أشار إليها العديد من الخبراء وبشكل عاجل.
من المتوقع أن تستبدل الحكومة السورية المؤقتة بحكومة انتقالية في شهر مارس، وأمام هذه الحكومة تحد كبير لإعادة بناء بلد مدمر بعد أكثر من عقد من الحرب، ويبدو أن أمن البيانات لا يبدو على رأس سلم الأولويات في الوقت الحالي. في عالم رقمي وأكثر رقمية كل يوم، تعامل الحكومات مع بيانات المواطنين هو مؤشر هام على تعاملها مع الحريات والحقوق الفردية، والحكومة السورية مطالبة اليوم بالاعتماد على خبرات السوريين في سوريا وفي المهجر نحو تحقيق هدف واحد وهو: تقديم سياسة واضحة وشفافة وقابلة للمساءلة حول حماية بيانات السوريين وتقديم قوانين صارمة بخصوص التعامل مع الشركات والهيئات الخاصة عندما يتعلق الأمر بجمع البيانات والتعامل معها.