• ۱۴۰۳ شنبه ۸ دي
روزنامه در یک نگاه
امکانات
روزنامه در یک نگاه دریافت همه صفحات
تبلیغات
بانک ملی بیمه ملت

30 شماره آخر

  • شماره 5573 -
  • ۱۴۰۲ دوشنبه ۱۳ شهريور

اتفاقاتي كه به بركناري رييس كل بيمه مركزي انجاميد

هك و فروش اطلاعات 18 شركت بيمه‌اي

مسعود يوسفي

24 ساعت پس از تاييد هك شدن اپليكيشن «تپسي» و به فروش گذاشتن اطلاعات افشا شده در فضاي مجازي، مشخص شده گروه هكري كه اطلاعات مختلف مسافران اين اپليكيشن را در معرض فروش گذاشته، 20 روز پيش هم با هك اطلاعات 18 شركت فعال بيمه، آمادگي خود را براي فروش آن در فضاي مجازي اعلام كرده بود.

اين گروه هكري در آگهي فروش اطلاعات در دست خود، عنوان كرده بود كه ۱۱۵ ميليون ركورد اطلاعاتي شامل: نام، نام‌خانوادگي، تاريخ تولد، نام پدر، شماره تلفن/موبايل، شماره شناسنامه، كد ملي، كد ملي شركت و ... را در اختيار دارد. بانك اطلاعات و ديتاي لو رفته از دو شركت ابتدايي اين ليست روي هم 35 ميليون ركورد است.

 

چطور اين اتفاق افتاده است؟

شركت‌هاي بيمه براي ايجاد ساختار بانك اطلاعاتي و ديتاسنتر خود نياز به پشتيبان فني دارند. از اين رو، گفته مي‌شود شركتي با رنگ و لعاب استارت‌آپي مسووليت اين كار را به عهده گرفته است. اين شركت خود را «بزرگ‌ترين ارايه‌دهنده راهكارهاي نرم‌‌افزاري جامع و يكپارچه بيمه‌گري (core insurance) به صنعت بيمه كشور» معرفي كرده است. لوگو 24 شركت بيمه‌اي نيز در وب‌سايت اين شركت موجود است كه به عنوان «مشتريان» آن نام برده شده‌اند. حالا گفته مي‌شود كه هك اطلاعات از طريق همين شركت صورت گرفته است. گويا اين شركت، پيمانكار برخي شركت‌هاي بيمه بوده و مورد تاييد بيمه مركزي هم نبوده است. وب‌سايتي به نام «خرد و كلان» به نقل از يك مقام آگاه كه نامي از وي نبرده عنوان كرده كه «شركتي كه اطلاعات آن هك شده است، ارتباطي با بيمه مركزي نداشته و اتفاقا مركز فناوري و حراست بيمه مركزي، بارها تذكرات لازم در خصوص عدم امنيت اين شركت را به صورت كتبي و شفاهي اعلام كرده بود.» با توجه به اينكه تاريخ افشاي اين اطلاعات سه هفته پيش بوده، مشخص نيست چرا بيمه مركزي به عنوان نهاد ناظر بر صنعت بيمه تاكنون در اين باره سكوت كرده بود؟ آيا اگر آن‌گونه كه عنوان مي‌شود پدافند غيرعامل در اين سازمان به درستي عمل كرده بود و هشدارهاي لازم براي ارتقاي سطح ارتباط امن داده مي‌شد، موضوع هك شدن اپليكيشن تپسي نيز پيش مي‌آمد؟ و نكته بعدي اينكه وقتي براي موضوعي به نام «پوشش كاركنان» در استارت‌آپ‌ها، به سرعت كميته تعيين وضعيت تشكيل شده و تصميم هم گرفته مي‌شود؛ چرا براي چنين موضوع مهمي هيچ كميته‌اي تشكيل يا اطلاع‌رساني نشده است؟

خبرنگار «اعتماد» كسب اطلاع كرده كه برخي مديران مرتبط با امنیت شبكه در بيمه مركزي همزمان با وقوع يكي از بحران‌هاي امنيتي در هك و افشاي اطلاعات كاربران بيمه، در خارج از كشور به سر مي‌برند.

 

واكنش بيمه مركزي

هيچ يك از شركت‌ها در خصوص لو رفتن اطلاعات كاربران خود موضع‌گيري رسمي نداشته‌اند. اما بيمه مركزي به عنوان بخش رگولاتوري اين ماجرا، هك شدن شركت‌هاي بيمه‌اي را «شبهه‌افكني برخي كانال‌هاي خبري و رسانه‌ها» به «دلايل غيرتخصصي» خوانده و عنوان كرده كه «صنعت بيمه همچنان امانتدار مردم خواهد بود.» بيمه مركزي در بيانيه خود اضافه كرده كه «شركت‌هاي بيمه‌اي كشور در عقد قرارداد با شركت‌هاي پيمانكاري مرتبط با حوزه اطلاعات و آمار از استقلال نسبي برخوردارند و دسترسي به برخي اطلاعات عمومي بيمه‌گذاران در سطوح مختلف امكان‌پذير است.» بيمه مركزي به عنوان نهاد ناظر صنعت بيمه همچنين هرگونه «هك شدن» يا «افشاي» اطلاعات را نيز رد و اضافه كرده كه « آنچه به شكل سهو يا عمد به اختلال در سامانه‌هاي بيمه مركزي تعبير شده به هيچ عنوان صحت ندارد و بر اساس آمار موجود مجموعه‌هاي پدافند غيرعامل و مركز فاواي بيمه مركزي با قدرت هر چه تمام‌تر و امنيت بالا از اطلاعات بيمه‌گذاران محافظت مي‌كند.با اين وجود هر گونه ايجاد خدشه در اعتماد عمومي براي نهاد ناظر صنعت بيمه پذيرفتني نيست و موضوع مطرح شده از مدت‌ها قبل توسط كارشناسان امنيت بيمه مركزي و مراجع ذي‌صلاح ديگر رصد شده و با دقت و حساسيت در حال پيگيري است.»

هر چند در بخشي از اين «بيانيه» بيمه مركزي تلاش كرده تا از خود نيز سلب مسووليت كند و نوشته است: «هشدارهاي لازم امنيتي كه از مدت‌ها قبل به برخي شركت‌هاي بيمه در انتخاب پيمانكار و استانداردهاي امنيتي كه بايد داشته باشد، داده شده بود.» همچنين «به شركت مرتبط هم به‌رغم تذكرات قبلي اعلام شده كه با اقدامات فني پيشگيرانه حتي از ديتاي تاريخ مصرف گذشته و فرعي خود نيز مراقبت بيشتري كنند.» بيمه مركزي اضافه كرده كه «تا برقراري كامل استاندارد‌هاي مورد نظر تخت رصد قرار دارد تا افكارعمومي بيش از اين دستخوش ابهام و آسيب نشود.» روز گذشته مجيد مشعلچي‌فيروزآبادي، قائم‌مقام بيمه مركزي نيز اطمينان داد كه «اطلاعات به سرقت رفته از بيمه‌گزاران، نمي‌تواند مورد سوءاستفاده قرار بگيرد.» چون از نظر او «اين ماجرا به يك ماه پيش مربوط بود و اكنون تمام شده است.»

در واكنش به اين اتفاقات، مدير ارشد فناوري در يك هلدينگ دانش‌بنيان حوزه فناوري اطلاعات در رشته توييتي نوشته است: «حدودا دو ماه از اطلاع‌رساني تلگرامي همين گروه [هكرها] در خصوص نفوذ و فروش اطلاعات شركت‌هاي مختلف بيمه‌اي گذشته و هيچ واكنش عمومي از بيمه مركزي يا نهادهاي مختلف امنيت اطلاعات در اين خصوص منتشر نشده است. اين موضوع باعث مي‌شود كه بقيه سازمان‌ها و شركت‌ها درس آموخته‌اي كسب نكنند، تا زماني كه براي آنها هم همين موضوع پيش بيايد. چه بسا روش نفوذ به تپسي مشابه با بيمه بوده و اگر اطلاعات فني آن نفوذ منتشر مي‌شد الان به تپسي نفوذ نشده بود. پنهانكاري و تكذيب‌هاي مداوم هيچ كمكي به بهبود امنيت اطلاعات نخواهد كرد.»

 

بركناري رييس كل بيمه مركزي

مجموعه اتفاقات در حوزه هك اطلاعات كاربران شركت‌هاي بيمه‌اي، منجر به تصميم‌گيري جديد در حوزه نهاد ناظر بيمه شده و در جلسه‌اي فوري رييس جديد بيمه مركزي معرفي شد.

ریيس جديد علي استاد هاشمي، داراي مدرك تحصيلي دكتراي مديريت مالي دانشگاه شهيد بهشتي و عضو هيات علمي دانشگاه پيام نور است. حضور او در پست معاون نظارتي بدون سابقه كار مشخص در اين حوزه، پيش از اين موجب انتقادهاي بسياري توسط فعالان بيمه‌اي شده بود.

اين در حالي است كه حضور اين چهره نزديك به وزير امور اقتصادي و دارايي در بيمه مركزي، به دليل «دوشغله بودن» توسط ديوان محاسبات غيرقانوني اعلام شده است.

 

آثار منفي فيلترينگ

البته كه بخش بزرگي از حملات سايبري جديد را نيز بايد در حوزه اختلال‌هاي اينترنتي جست‌وجو كرد. بر اساس گزارشي كه به تازگي كميسيون صنايع و معادن مجلس از وضعيت اينترنت در ايران منتشر كرده، سهم پهناي باند ناشناس در شبكه (ترافيكي كه سيستم فيلترينگ قادر به تشخيص پروتكل آن نيست) از كمتر از 5درصد بين‌الملل در سال گذشته به حدود 25درصد در حال حاضر رسيده است. اين بدان معناست كه بخش بزرگي از كاربران اينترنت در ايران براي اتصال به آنچه «اينترنت بين‌الملل» خوانده مي‌شود، از فيلترشكن استفاده مي‌كنند. محمدجواد آذري‌جهرمي، ‌وزير پيشين ارتباطات در اين باره مي‌گويد: «اين يعني ناكارآمدي و شكست براي فيلترينگ. اين يعني ناآگاهي حكمراني از حتي نوع بخش بزرگي از ارتباطات بين‌الملل و افزايش تهديدات سايبري عليه منافع ملي.» كميسيون صنايع و معادن مجلس در اين گزارش آثار منفي ديگري در استفاده از فيلترشكن‌ها در شبكه اينترنت ايران عنوان كرده است. باز شدن نشت فعال، پايين آمدن پهناي باند، مخاطرات امنيتي براي مردم و شبكه ارتباطي و قرار گرفتن اطلاعات كاربر در معرض دسترسي هكرها از آثاري است كه موج استفاده از فيلترشكن‌ها در اينترنت ايران بر‌جاي گذاشته است.

ارسال دیدگاه شما

ورود به حساب کاربری
ایجاد حساب کاربری
عنوان صفحه‌ها
کارتون
کارتون