جزئیات جدید از نشت اطلاعات ۱۸ شرکت بیمه ای

تنها یک روز پس از تایید هک شدن اپلیکیشن «تپسی» و به فروش گذاشتن اطلاعات افشا شده در فضای مجازی، مشخص شده گروه هکری که اطلاعات مختلف مسافران این اپلیکیشن را در معرض فروش گذاشته، چندی قبل هم با هک اطلاعات ۱۸ شرکت فعال بیمه، آمادگی خود را برای فروش آن در فضای مجازی اعلام کرده بود.

۱۱۵میلیون رکورد اطلاعاتی مردم شامل: نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره تلفن/ موبایل، شماره شناسنامه، کد ملی، کد ملی شرکت و… در اختیار این گروه هکری است. تنها اطلاعات و دیتای لو رفته از دو شرکت ابتدایی این لیست روی هم ۳۵ میلیون رکورد است.

بلاتکلیفی بیمه‌گران در شکایت از هکرها

پس از به میان آمدن نام شرکت فناوران به عنوان یکی از کور اینشورنس (نرم افزار جامع بیمه) ها که در صنعت بیمه فعال است با شرکت‌های بیمه مصاحبه‌های انجام شد، برخی با این شرکت قراردادی نداشتند برخی دیگر هم به طور قطع از نشت اطلاعات از سوی این شرکت مطمئن نبودند. شرکت‌های بیمه برای ایجاد ساختار بانک اطلاعاتی و دیتاسنتر خود نیاز به پشتیبان فنی دارند. از این رو، گفته می‌شود فناوران اطلاعات خبره مسوولیت این کار را به عهده گرفته است و شرکت‌های بسیاری جز چند شرکت معدود با آن همکاری دارند.

حسن شریفی، مدیرعامل بیمه ایران در گفت‌وگو با تیتر کوتاه بیان کرد: شرکت فناوران به‌عنوان واسط و کور اینشورنس بیمه با بخش زیادی از فعالان در صنعت بیمه جز بیمه ایران همکاری دارد و اینکه تا چه میزان مسئله نشت اطلاعات از این شرکت صحت داشته باشد را فقط بیمه مرکزی در جریان است. همچنین در صورت مواجه با نشت اطلاعات، شرکت‌های بیمه به هر نحوی یا انفرادی یا جمعی و متمرکز باید طرح دعوا کنند البته که به شخص از حجم و صحت‌وسقم این موضوع بی‌اطلاع هستم. در صورت صحت نشت اطلاعات خود شرکت‌های بیمه انفرادی یا جمعی کور اینشورنس خاطی شکایت می‌کنند.

 وی تشریح کرد: در دولت سیزدهم در مورد موضوع تحول دیجیتال همچنین در حوزه بیمه‌گری صحبت زیاد است همچنین تذکراتی از جانب وزیر داده می‌شود. موضوعات هوشمندسازی در صنعت بیمه را به‌کرات از جانب دولت مشاهده می‌کنیم، همچنین شرکت‌های بیمه نیز به بلوغ کافی رسیده‌اند که برای ادامه مسیر، شرکت‌های دانش‌بنیان را در کنار خود هم در حوزه فروش و هم خدمات پس از فروش همراه کنند. چراکه در این دو حوزه حتماً باید پیرامون مراتب هوشمندسازی و دیجیتال‌سازی اقدامات کافی انجام داده شود. بعضی از شرکت‌ها همچون بیمه ایران قدم‌های خود را با سرعت بیشتری بر می‌دارد؛ چراکه در یک سال گذشته چیزی بالغ بر ۲۷ داشبورد مدیریتی در حوزه دیجیتال طراحی کردیم.

 در همین باره یونس مظلومی، مدیرعامل شرکت بیمه تعاون  هم در گفت‌وگو با تیتر کوتاه بیان کرد: شرکت بیمه تعاون به‌عنوان فعال در این حوزه تمام ریسک‌های مربوط به نفوذ را تحت کنترل دارد و همواره مراقبت‌های لازم صورت می‌گیرد همچنین همواره تست نفوذ انجام می‌شود. البته موضوعی که مشخص است رخنه‌کردن از طرف شرکت‌های بیمه نبود، چراکه اگر هک از جانب فعالان شرکت بیمه باشد به یکباره ۱۸ شرکت هم‌زمان با هم مورد حمله سایبری قرار نمی‌گیرند. شرکت‌های بیمه به‌واسطه قانون و مقررات ناچار به اعطای دسترسی اطلاعات به نهادهای مختلف هستند پس اگر هک اطلاعات مشاهده شود از دست آنها خارج است؛ بنابراین اتفاقی که رخ‌داده نفوذ از خود شرکت بیمه نبود و در جای که اطلاعات خارج از کنترل شرکت بیمه قرار داشته حمله سایبری رخ‌داده است.

 وی ادامه داد: پس بیمه تعاون یا هر شرکت دیگری که اطلاعات را در اختیار دیگر نهادها می‌گذارد بر آن کنترلی ندارد و تنها بر اطلاعات داخلی شرکت خودکنترل دارند؛ بنابراین اگر نفوذ در شرکتی که اطلاعات بیمه‌ای فعالان صنعت بیمه را در اختیار دارد، رخ دهد بی‌شک شرکت بیمه اختیار در قبال آن ندارد.

 مظلومی که طرف قرارداد با شرکت فناوران است با اشاره به امکان اقدام قانونی برای فعالان صنعت بیمه تشریح کرد: درباره اتفاقی که برای ۱۸ شرکت بیمه رخ‌داده است هیچ‌کس نمی‌داند که باید از کجا شکایت کند ابتدا باید مشخص شود که اطلاعات از طریقی نشت داشته است تا اقدام قانونی انجام گیرد. باید گفت که مرجع رسیدگی در دستگاه قضا به این دست پرونده‌ها دادگاه رسیدگی به جرایم رایانه‌ای است که شرکت‌های بیمه باید از طریق آن در مورد موضوع هک اطلاعات و انتشار آن اقدام کنند.

 مدیرعامل شرکت بیمه تعاون در پایان اظهارکرد: اتفاقات تازه‌ای در بیمه مرکزی رخ‌داده است که از مهم‌ترین آن می‌توان به تدوین آیین‌نامه در مورد تأسیس شرکت‌های فناوری بیمه اشاره کرد. امیدواریم که با تدوین این آیین‌نامه شاهد تحول بزرگ در حوزه دیجیتال و روند استفاده از فناورهای اطلاعات باشیم.

اطلاعات منتشر شده بیمه‌ای نیست!

 یک مسئول مطلع در بیمه مرکزی که نخواست نامش فاش شود، درباره موضوع هک‌شدن اطلاعات بیمه‌ای به خبرنگار تیتر کوتاه چنین گفت: موضوع هک اطلاعات مربوط به شرکت‌های بیمه است نه اینکه مربوط به نهاد ناظر صنعت بیمه باشد. شرکت‌های بیمه با شرکت‌های اطلاعات آماری که در اصطلاح کور اینشورنس نام دارند طرف قرارداد هستند.این شرکت‌های اطلاعات بیمه‌گزاران (تاریخ شروع و پایان بیمه‌نامه افراد) را دارند در واقع بیمه‌گر یک شرکت واسط دارد به‌عنوان‌مثال فناوران اطلاعات خبره (اطلاعات را نگهداری می‌کند البته از قبل تعهداتی مبنی بر امانت‌داری، رعایت مسائل امنیتی و بالابردن ضریب امنیتی را داده است) دراین‌بین فناوران مقداری در انجام تعهدات خود کوتاهی کرده و پروتکل‌ها را رعایت نکرده است؛ بنابراین بخشی از اطلاعات منتشر شد که در حالت عادی هم در دسترس (راهنمایی‌ورانندگی، ثبت‌احوال و دیگر مراکز هم دسترسی دارند) است البته که در دسته‌بندی اهمیتی جزو دسته کم‌اهمیت یا بی‌اهمیت قرار می‌گیرد.

 وی افزود: باید گفت اطلاعاتی که منتشر شده است بیمه‌ای نیست؛ اطلاعات بیمه‌ای یعنی بیمه‌گزار چند عدد ماشین دارد از چه شرکتی بیمه خرید کرده یا حتی اطلاعات بیماری که به فرض مثال کدام مسئول با چه بیماری درگیر است که این اطلاعات را بخواهند هک کنند. اصلاً این دست اطلاعات در اختیار شرکت‌های کور اینشورنس نیست که نگرانی برای هک شدن آن وجود داشته باشد، تنها اطلاعات شماره شناسنامه، کد ملی و اطلاعات پایه است. تنها نگرانی که وجود دارد درباره امکان ارسال پیامک از جانب خریدار اطلاعات (کارگزاری آنلاین) است. این دست اقدامات در سامانه خرید خودرو و ترمیم مو هم دیده می‌شود.

 این مسئول در بیمه مرکزی بیان کرد: بیمه مرکزی خود سامانه پدافند غیرعاملی دارد که سه سال متوالی بالاترین میزان امنیت را به خود اختصاص داده است. اگر که از شرکتی اطلاعاتی نشر می‌شود، ارتباطی با بیمه مرکزی ندارد و مسئول مستقیم حفظ و حراست از آن هم خود بخش فناوری و اطلاعات و مدیران در آن شرکت است. به طور مثال اگر اتفاقی در شعبی از بانکی در استانی رخ دهد بانک مرکزی که نباید مستقیم ورود کند. به طور مثال شرکتی نرخ‌شکنی کرده است، خود شرکت باید مقابله کند و در صورت ثبت شکایت نهاد ناظر به طور مستقیم ورود می‌کند، درصورتی‌که بیمه‌گزاری اعلام شکایت کند در مدت یک هفته به درخواست شخص پاسخ داده می‌شود.

تغییر رئیس‌کل بیمه مرکزی ارتباطی  به هک ندارد

 وی با اشاره به اینکه رئیس‌کل بیمه مرکزی را کابینه دولت انتخاب می‌کند، تشریح کرد: تغییر رئیس‌کل بیمه مرکزی ارتباطی به موضوع انتشار اطلاعات از شرکت‌های بیمه (این موضوع به خود بیمه مرکزی هم مرتبط نیست) ندارد. انتصاب رئیس‌کل بیمه مرکزی با هیات دولت است، رسانه، وزیر و افکار عمومی قادر به‌عوض کردن رئیس‌کل بیمه مرکزی نیستند. اصلاً امکان ندارد تغییر و انتصاب به این مهمی با یک خبر صورت گیرد.