انتصاب رئیس‌کل جدید بیمه مرکزی در سایه هک اطلاعات ۱۸ شرکت بیمه ای/ ضعف امنیت و اهمال مدیران بیمه

به گزارش خبرنگار اقتصادی خبرگزاری برنا، یک گروه هکری حدود 20 روز پیش، 18 شرکت بیمه را هک کرده و اطلاعات آنها را برای فروش گذاشته است. این گروه ادعا کرده که 115 میلیون رکورد اطلاعاتی از شرکت‌های بیمه در اختیار دارد و این رکوردها، اطلاعاتی را از جمله نام، نام‌ خانوادگی، تاریخ تولد، نام پدر، شماره تلفن، شماره شناسنامه، کد ملی و …بیمه‌گزاران را دربر دارد.

این گروه هکری در آگهی فروش اطلاعات در دست خود، عنوان کرده بود که ۱۱۵ میلیون رکورد اطلاعاتی شامل: نام، نام‌خانوادگی، تاریخ تولد، نام پدر، شماره تلفن/موبایل، شماره شناسنامه، کد ملی، کد ملی شرکت و … را در اختیار دارد. بانک اطلاعات و دیتای لو رفته از دو شرکت ابتدایی این لیست روی هم ۳۵ میلیون رکورد است.

چطور این اتفاق افتاده است؟

شرکت‌های بیمه برای ایجاد ساختار بانک اطلاعاتی و دیتاسنتر خود نیاز به پشتیبان فنی دارند. از این رو، گفته می‌شود شرکتی با رنگ و لعاب استارت‌آپی مسوولیت این کار را به عهده گرفته است.

این شرکت خود را «بزرگ‌ترین ارایه‌دهنده راهکارهای نرم‌‌افزاری جامع و یکپارچه بیمه‌گری (core insurance) به صنعت بیمه کشور» معرفی کرده است.

لوگو 24 شرکت بیمه‌ای نیز در وب‌سایت این شرکت موجود است که به عنوان «مشتریان» آن نام برده شده‌اند.

حالا گفته می‌شود که هک اطلاعات از طریق همین شرکت صورت گرفته است. گویا این شرکت، پیمانکار برخی شرکت‌های بیمه بوده و مورد تایید بیمه مرکزی هم نبوده است.

وب‌سایتی به نام «خرد و کلان» به نقل از یک مقام آگاه که نامی از وی نبرده عنوان کرده که «شرکتی که اطلاعات آن هک شده است، ارتباطی با بیمه مرکزی نداشته و اتفاقا مرکز فناوری و حراست بیمه مرکزی، بارها تذکرات لازم در خصوص عدم امنیت این شرکت را به صورت کتبی و شفاهی اعلام کرده بود.»

با توجه به اینکه تاریخ افشای این اطلاعات سه هفته پیش بوده، مشخص نیست چرا بیمه مرکزی به عنوان نهاد ناظر بر صنعت بیمه تاکنون در این باره سکوت کرده بود؟ آیا اگر آن‌گونه که عنوان می‌شود پدافند غیرعامل در این سازمان به درستی عمل کرده بود و هشدارهای لازم برای ارتقای سطح ارتباط امن داده می‌شد، موضوع هک شدن اپلیکیشن تپسی نیز پیش می‌آمد؟ و نکته بعدی اینکه وقتی برای موضوعی به نام «پوشش کارکنان» در استارت‌آپ‌ها، به سرعت کمیته تعیین وضعیت تشکیل شده و تصمیم هم گرفته می‌شود؛ چرا برای چنین موضوع مهمی هیچ کمیته‌ای تشکیل یا اطلاع‌رسانی نشده است؟

واکنش بیمه مرکزی به خبر هک شدن شرکت‌های بیمه

پس از انتشار این خبر، بیمه مرکزی با انتشار اطلاعیه‌ای، هک اطلاعات مهم بیمه را تکذیب و آن را «شبهه‌افکنی برخی کانال‌های خبری و رسانه‌ها» دانست. بیمه مرکزی همچنین تاکید کرد که با وجود حملات جدی، هیچ اطلاعاتی از سامانه‌های بیمه مرکزی افشا نشده است.

بیمه مرکزی در ادامه نیز به نوعی فراری رو به جلو داشته و در این اطلاعیه ذکر کرده که از مدت‌ها قبل به برخی شرکت‌های بیمه نسبت به انتخاب پیمانکار و استانداردهای امنیتی، هشدارهای لازم امنیتی را داده است.