جزئیات جدید از نشت اطلاعات ۱۸ شرکت بیمه ای
مدیرعامل بیمه ایران گفت: شرکت فناوران بهعنوان واسط و کور اینشورنس بیمه با بخش زیادی از فعالان در صنعت بیمه جز بیمه ایران همکاری دارد و اینکه تا چه میزان مسئله نشت اطلاعات از این شرکت صحت داشته باشد را فقط بیمه مرکزی در جریان است.
تنها یک روز پس از تایید هک شدن اپلیکیشن «تپسی» و به فروش گذاشتن اطلاعات افشا شده در فضای مجازی، مشخص شده گروه هکری که اطلاعات مختلف مسافران این اپلیکیشن را در معرض فروش گذاشته، چندی قبل هم با هک اطلاعات ۱۸ شرکت فعال بیمه، آمادگی خود را برای فروش آن در فضای مجازی اعلام کرده بود.
۱۱۵میلیون رکورد اطلاعاتی مردم شامل: نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره تلفن/ موبایل، شماره شناسنامه، کد ملی، کد ملی شرکت و… در اختیار این گروه هکری است. تنها اطلاعات و دیتای لو رفته از دو شرکت ابتدایی این لیست روی هم ۳۵ میلیون رکورد است.
بلاتکلیفی بیمهگران در شکایت از هکرها
پس از به میان آمدن نام شرکت فناوران به عنوان یکی از کور اینشورنس (نرم افزار جامع بیمه) ها که در صنعت بیمه فعال است با شرکتهای بیمه مصاحبههای انجام شد، برخی با این شرکت قراردادی نداشتند برخی دیگر هم به طور قطع از نشت اطلاعات از سوی این شرکت مطمئن نبودند. شرکتهای بیمه برای ایجاد ساختار بانک اطلاعاتی و دیتاسنتر خود نیاز به پشتیبان فنی دارند. از این رو، گفته میشود فناوران اطلاعات خبره مسوولیت این کار را به عهده گرفته است و شرکتهای بسیاری جز چند شرکت معدود با آن همکاری دارند.
حسن شریفی ، مدیرعامل بیمه ایران در گفتوگو با تیتر کوتاه بیان کرد: شرکت فناوران بهعنوان واسط و کور اینشورنس بیمه با بخش زیادی از فعالان در صنعت بیمه جز بیمه ایران همکاری دارد و اینکه تا چه میزان مسئله نشت اطلاعات از این شرکت صحت داشته باشد را فقط بیمه مرکزی در جریان است. همچنین در صورت مواجه با نشت اطلاعات، شرکتهای بیمه به هر نحوی یا انفرادی یا جمعی و متمرکز باید طرح دعوا کنند البته که به شخص از حجم و صحتوسقم این موضوع بیاطلاع هستم. در صورت صحت نشت اطلاعات خود شرکتهای بیمه انفرادی یا جمعی کور اینشورنس خاطی شکایت میکنند.
وی تشریح کرد: در دولت سیزدهم در مورد موضوع تحول دیجیتال همچنین در حوزه بیمهگری صحبت زیاد است همچنین تذکراتی از جانب وزیر داده میشود. موضوعات هوشمندسازی در صنعت بیمه را بهکرات از جانب دولت مشاهده میکنیم، همچنین شرکتهای بیمه نیز به بلوغ کافی رسیدهاند که برای ادامه مسیر، شرکتهای دانشبنیان را در کنار خود هم در حوزه فروش و هم خدمات پس از فروش همراه کنند. چراکه در این دو حوزه حتماً باید پیرامون مراتب هوشمندسازی و دیجیتالسازی اقدامات کافی انجام داده شود. بعضی از شرکتها همچون بیمه ایران قدمهای خود را با سرعت بیشتری بر میدارد؛ چراکه در یک سال گذشته چیزی بالغ بر ۲۷ داشبورد مدیریتی در حوزه دیجیتال طراحی کردیم.
در همین باره یونس مظلومی ، مدیرعامل شرکت بیمه تعاون هم در گفتوگو با تیتر کوتاه بیان کرد: شرکت بیمه تعاون بهعنوان فعال در این حوزه تمام ریسکهای مربوط به نفوذ را تحت کنترل دارد و همواره مراقبتهای لازم صورت میگیرد همچنین همواره تست نفوذ انجام میشود. البته موضوعی که مشخص است رخنهکردن از طرف شرکتهای بیمه نبود، چراکه اگر هک از جانب فعالان شرکت بیمه باشد به یکباره ۱۸ شرکت همزمان با هم مورد حمله سایبری قرار نمیگیرند. شرکتهای بیمه بهواسطه قانون و مقررات ناچار به اعطای دسترسی اطلاعات به نهادهای مختلف هستند پس اگر هک اطلاعات مشاهده شود از دست آنها خارج است؛ بنابراین اتفاقی که رخداده نفوذ از خود شرکت بیمه نبود و در جای که اطلاعات خارج از کنترل شرکت بیمه قرار داشته حمله سایبری رخداده است.
وی ادامه داد: پس بیمه تعاون یا هر شرکت دیگری که اطلاعات را در اختیار دیگر نهادها میگذارد بر آن کنترلی ندارد و تنها بر اطلاعات داخلی شرکت خودکنترل دارند؛ بنابراین اگر نفوذ در شرکتی که اطلاعات بیمهای فعالان صنعت بیمه را در اختیار دارد، رخ دهد بیشک شرکت بیمه اختیار در قبال آن ندارد.
مظلومی که طرف قرارداد با شرکت فناوران است با اشاره به امکان اقدام قانونی برای فعالان صنعت بیمه تشریح کرد: درباره اتفاقی که برای ۱۸ شرکت بیمه رخداده است هیچکس نمیداند که باید از کجا شکایت کند ابتدا باید مشخص شود که اطلاعات از طریقی نشت داشته است تا اقدام قانونی انجام گیرد. باید گفت که مرجع رسیدگی در دستگاه قضا به این دست پروندهها دادگاه رسیدگی به جرایم رایانهای است که شرکتهای بیمه باید از طریق آن در مورد موضوع هک اطلاعات و انتشار آن اقدام کنند.
مدیرعامل شرکت بیمه تعاون در پایان اظهارکرد: اتفاقات تازهای در بیمه مرکزی رخداده است که از مهمترین آن میتوان به تدوین آییننامه در مورد تأسیس شرکتهای فناوری بیمه اشاره کرد. امیدواریم که با تدوین این آییننامه شاهد تحول بزرگ در حوزه دیجیتال و روند استفاده از فناورهای اطلاعات باشیم.
اطلاعات منتشر شده بیمهای نیست!
یک مسئول مطلع در بیمه مرکزی که نخواست نامش فاش شود، درباره موضوع هکشدن اطلاعات بیمهای به خبرنگار تیتر کوتاه چنین گفت: موضوع هک اطلاعات مربوط به شرکتهای بیمه است نه اینکه مربوط به نهاد ناظر صنعت بیمه باشد. شرکتهای بیمه با شرکتهای اطلاعات آماری که در اصطلاح کور اینشورنس نام دارند طرف قرارداد هستند.این شرکتهای اطلاعات بیمهگزاران (تاریخ شروع و پایان بیمهنامه افراد) را دارند در واقع بیمهگر یک شرکت واسط دارد بهعنوانمثال فناوران اطلاعات خبره (اطلاعات را نگهداری میکند البته از قبل تعهداتی مبنی بر امانتداری، رعایت مسائل امنیتی و بالابردن ضریب امنیتی را داده است) دراینبین فناوران مقداری در انجام تعهدات خود کوتاهی کرده و پروتکلها را رعایت نکرده است؛ بنابراین بخشی از اطلاعات منتشر شد که در حالت عادی هم در دسترس (راهنماییورانندگی، ثبتاحوال و دیگر مراکز هم دسترسی دارند) است البته که در دستهبندی اهمیتی جزو دسته کماهمیت یا بیاهمیت قرار میگیرد.
وی افزود: باید گفت اطلاعاتی که منتشر شده است بیمهای نیست؛ اطلاعات بیمهای یعنی بیمهگزار چند عدد ماشین دارد از چه شرکتی بیمه خرید کرده یا حتی اطلاعات بیماری که به فرض مثال کدام مسئول با چه بیماری درگیر است که این اطلاعات را بخواهند هک کنند. اصلاً این دست اطلاعات در اختیار شرکتهای کور اینشورنس نیست که نگرانی برای هک شدن آن وجود داشته باشد، تنها اطلاعات شماره شناسنامه، کد ملی و اطلاعات پایه است. تنها نگرانی که وجود دارد درباره امکان ارسال پیامک از جانب خریدار اطلاعات ( کارگزاری آنلاین) است. این دست اقدامات در سامانه خرید خودرو و ترمیم مو هم دیده میشود.
این مسئول در بیمه مرکزی بیان کرد: بیمه مرکزی خود سامانه پدافند غیرعاملی دارد که سه سال متوالی بالاترین میزان امنیت را به خود اختصاص داده است. اگر که از شرکتی اطلاعاتی نشر میشود، ارتباطی با بیمه مرکزی ندارد و مسئول مستقیم حفظ و حراست از آن هم خود بخش فناوری و اطلاعات و مدیران در آن شرکت است. به طور مثال اگر اتفاقی در شعبی از بانکی در استانی رخ دهد بانک مرکزی که نباید مستقیم ورود کند. به طور مثال شرکتی نرخشکنی کرده است، خود شرکت باید مقابله کند و در صورت ثبت شکایت نهاد ناظر به طور مستقیم ورود میکند، درصورتیکه بیمهگزاری اعلام شکایت کند در مدت یک هفته به درخواست شخص پاسخ داده میشود.
تغییر رئیسکل بیمه مرکزی ارتباطی به هک ندارد
وی با اشاره به اینکه رئیسکل بیمه مرکزی را کابینه دولت انتخاب میکند، تشریح کرد: تغییر رئیسکل بیمه مرکزی ارتباطی به موضوع انتشار اطلاعات از شرکتهای بیمه (این موضوع به خود بیمه مرکزی هم مرتبط نیست) ندارد. انتصاب رئیسکل بیمه مرکزی با هیات دولت است، رسانه، وزیر و افکار عمومی قادر بهعوض کردن رئیسکل بیمه مرکزی نیستند. اصلاً امکان ندارد تغییر و انتصاب به این مهمی با یک خبر صورت گیرد.