اخبار غیر رسمی از احتمال درز اطلاعات بیمه گذاران / نام چند شرکت بیمه در لیست درز اطلاعات مرکز ماهر +بیانیه مرکز ماهر

به گزارش ریسک نیوز با شیوع کرونا و بخشنامه بیمه مرکزی مبنی بر تمدید خودکار بیمه نامه تا 15 اردیبهشت و یا تمدید از طریق سامانه های الکترونیکی ، شرکتهای بیمه طی اطلاعیه هایی امکان تمدید غیر حضوری بیمه نامه ها را اطلاع رسانی کردند.

اما سوال اساسی اینجاست که آیا شرکتهای بیمه تمهیدات لازم جهت جلوگیری از افشای داده های سازمانی و مشتریان خود را در فضای مجازی و اینترنت در دستور کار قرار داده اند؟

برخی اطلاعات از سوی فعالان صنعت بیمه در اختیار ریسک نیوز قرار گرفته که نشان می دهد اطلاعات بیمه گذاران برخی شرکتهای بیمه توسط سایتهای نامشخص و در فضای وب رد و بدل شده و تقاضای تمدید بیمه نامه توسط این سایتها به مشتری ارایه می شود.

چندین نماینده شرکتهای بیمه با این رسانه تماس گرفتند و عنوان کردند اطلاعات بیمه گذارانشان در چندین جا منتشر شده و در اختیار افراد دیگری قرار گرفته به طوریکه با تماس بیمه گذاران ازین موضوع اطلاع پیدا کردند چرا که فرد دیگری به انها با پیامک پیشنهاد تمدید و فروش ثالث داده است در حالیکه بیمه گذار نمی داند اطلاعات وی چگونه بدست این افراد رسیده وازین موشوع شاکی بوده است.

علاوه براین سامانه ای  نیز در میان شبکه فروش ایجاد نگرانی کرده به طوریکه دهها نماینده و کارگزار با  ریسک نیوز تماس گرفته و عنوان کردند این سامانه اطلاعات مشتریان انها را در خود ثبت کرده و جالب اینجاست که به مشتری پیامک می دهد شرکت قبلی شما میزان تعهد درخواستی شما را پشتیبانی نمی کند.

گفتنی است ،اطلاعات ثالث و بدنه مشتریان چندین شرکت بیمه در فضای مجازی درز کرده و رد و بدل می شود ضمن اینکه این اطلاعات شامل کد ملی ، اسم و نام خانوادگی و شماره ملی و و شماره تلفن می باشد.

علاوه بر این چند روز پیش نیز خبری مبنی بر درز اطلاعات یکی از شرکتهای بیمه منتشر شد که البته از سوی این شرکت تکذیب شده و در خصوص اطلاعات انتشار یافته طی اطلاعیه ای شفاف سازی صورت گرفت.

در این راستا ریسک نیوز در تماسی با مرکز ماهر به اطلاعات جدیدی دست پیدا کرد.

یکی از کارشناسان مرکز ماهر به ریسک نیوز گفت:بر اثر بی احتیاطی برخی نهاد ها وسازمان ها که در میان آنها نام برخی شرکتهای بیمه نیز به چشم می خورد، طی چند هفته گذشته بخشی از اطلاعات مشتریان در دسترس و به اصطلاح نشت اطلاعات صورت گرفته است ،در این راستا این سوال ایجاد شد که چه کسانی به اطلاعات دسترسی پیدا کردند و سوء استفاده کردند.

این کارشناس امنیت اطلاعات در مرکز ماهر به ریسک نیوز اذعان داشت: در همین راستا روز گذشته مرکز ماهر بیانیه ای در خصوص ضرورت  امنیت اطلاعات در کسب و کار ها و سازمان های مختلف صادر کرد.

وی با بیان اینکه اگر به نشت اطلاعات برسیم به نهاد و سازمانهای مربوطه اطلاع می دهیم، تاکید کرد:از آنجا که در میان سازمانها و نهادهایی که در مدت اخیر دچار نشت اطلاعات شدند شرکتهای بیمه گر نیز بودند حتما با انها تماس گرفته شده است.

این کارشناس امنیت مرکز ماهر تاکید کرد : شرکتهای بیمه باید فرایندهای امن سازی و ارزیابی امنیتی زیر ساختهای الکترونیک خود را توسعه دهند ضمن اینکه بیانیه روز گذشته مرکز ماهر راهکارهایی را جهت امن سازی اطلاعات در اختیار کسب و کارها قرار داده است.

بر اساس این گزارش کارشناسان آی تی در صنعت بیمه معتقدند احتمالا داده ها در روی یک صفحه وب قرار داده شده و اصلاحا در گوگل کش شده و یا اینکه برخی افراد سودجو و غیر متخصص از طریق نفوذ در زیر ساختهای آی تی شرکتهای بیمه توانسته اند به اطلاعات مشتریان دسترسی پیدا کنند.

همچنین به زعم بسیاری از متخصصان آی تی، امنیت سایبری در صنعت بیمه بسیار ضعیف است این در حالی است که یکی از لوازم مهم تحول دیجیتال امنیت سایبری است.
علاوه بر این  اگر قرار است دیتا بیس و اطلاعات مشتریان در اختیار عموم قرار بگیرد آن هم اطلاعاتی چون کد ملی و شماره تلفن همراه ، مرزهای امنیت اطلاعات چگونه حفظ خواهد شد؟

بیانیه مرکز ماهر درباره افشای داده های شهروندان

مرکز ماهر پیرو پرسش‌هایی که در خصوص اخبار مربوط به افشاء داده‌های شهروندان مطرح شده با انتشار بیانیه ای به نکات زیر اشاره کرد:

– ارتقا هر سیستمی، از جمله امنیت و حفاظت از داده‌های شهروندان نیازمند دریافت بازخوردها و تصحیح آن سیستم است. همچنین مطالبه‌گری صحیح، نقطه‌ آغازین بهبود و اصلاح هر سیستمی است.

– مطابق بند ۵-۱ نظام ملی مقابله با حوادث فضای مجازی کشور، «مسئولیت پیشگیری و مقابله با حوادث فضای مجازی هر دستگاه، بر عهده بالاترین مقام آن دستگاه خواهد بود.» به این ترتیب مسئولیت اصلی در پاسخ به سوالات امنیت بانک‌های داده و اطلاعات، در وهله اول بر عهده بالاترین مسئول دستگاه است.

– مرکز ماهر بر اساس چارچوب‌های قانونی و ماموریت‌های محوله، گزارش خود را در خصوص حوادث، صرفا برای مقامات مسئول ارسال می‌کند؛ هر چند پس از اتمام بحران این مرکز این حق را برای خود قائل است تا به تدوین گزارش‌هایی عمومی (با حفظ امنیت و حریم خصوصی داده‌ها ) اقدام کند؛ تا به عنوان وظیفه ذاتی هر جزء از سیستم، با ارائه بازخوردهای مناسب گامی جهت ارتقاء و بهبود نظام حکمرانی داده بردارد.

– مرکز ماهر به این اصل اعتقاد دارد که مقابله با آن دسته از حوادث فضای مجازی کشور که منجر به افشاء داده‌های شهروندان می‌شود، باید به صورت متمرکز و کاملا تخصصی، صرفا به یک مرکز مستقل دولتی واگذار شود تا امکان بررسی مستقل، بدون جانبداری، همراه با واکنش سریع و همچنین ایجاد زمینه مناسب برای اطلاع‌رسانی به موقع و باکیفیت همراه با انباشت دانش امنیت داده برای حفظ منافع ملی فراهم آید.

–  مرکز ماهر بر اساس وظایف ذاتی و قانونی خود موارد متعددی از این دست را همواره کشف و یا از افراد دلسوزی که به صورت مسئولانه و صادقانه اطلاع‌رسانی می‌کنند دریافت می‌کند. تمام این موارد پس از بررسی‌های فنی جهت راستی‌آزمایی و استخراج شواهد و راهکار مقابله بر اساس چارچوب‌های قانونی به صورت محرمانه به صاحبان سرویس‌ها و داده‌ها اطلاع‌رسانی می‌شود و تلاش دارد تا در صورت نیاز برای مقابله با آن اقدام عملیاتی مناسب انجام دهد.

– دعوت همیشگی مرکز ماهر از تمام متخصصان و کارشناسان امنیت سایبری این است که در صورت مشاهده هرگونه افشاء غیرمجاز یا آسیب‌پذیری در سامانه‌های بومی آن را از طریق کانال‌های ارتباطی مرکز ماهر اطلاع‌رسانی کنند. طبیعتا اعلام عمومی یک داده افشا شده یا یک آسیب‌پذیری امنیتی از طریق رسانه و شبکه‌های اجتماعی بدون اطلاع قبلی به خود قربانی یا به نهادهای مسئول مانند مرکز ماهر یا مرکز افتای ریاست جمهوری، حرکت سازنده و همراه با مسئولیت اجتماعی محسوب نمی‌شود.

– به سازمان‌ها و دستگاه‌های مختلف یادآور می‌شود که «سکوت، پاسخ‌گویی مناسب نیست؛ بلکه تنها سرمایه اجتماعی را کاهش می‌دهد»؛ هرچند شهروندان و مطالبه‌گران از مرجع پاسخ‌گویی آگاهی نداشته باشند.

دستورالعمل اقدامات پیشگیرانه از نشت اطلاعات در فضای مجازی

در همین حال این مرکز با انتشار دستورالعمل اقدامات پایه ای جهت پیشگیری از نشت اطلاعات سازمان ها و کسب و کارها در فضای مجازی و ارتقای سطح امنیت و حفاظت از حریم خصوصی سامانه‌ها، به نکات زیر تاکید کرده است:

–  عدم اتصال مستقیم پایگاه‌های داده به صورت مستقیم به شبکه اینترنت

تا حد امکان لازم است دسترسی مستقیم به پایگاه‌های داده از طریق اینترنت برقرار نشود.

یکی از مواردی که باعث این اشتباه بزرگ می‌شود روال پشتیبانی شرکت‌های ارائه دهنده راهکارهای نرم‌افزاری کاربردی است که برای انجام پشتیبانی ۲۴*۷، مشتریان خود را الزام به برقراری دسترسی مستقیم راه دور از بستر اینترنت به بانک‌های اطلاعاتی می‌کنند. در صورت اجبار شرکت‌ها و سازمان‌ها به این مساله، این دسترسی حتما باید روی یک بستر امن و با استفاده از VPN ایجاد شود.

– دقت در راه‌اندازی پایگاه‌های داده‌ به ویژه انواع پایگاه‌های داده‌ NoSQL و اطمینان از عدم وجود دسترسی حفاظت نشده

لازم به توجه است بسیاری از موارد نشت اطلاعات مربوط به پایگاه‌های داده‌ای است که به طور موقت و جهت انجام فعالیت‌های موردی و کوتاه مدت راه‌اندازی شده است. لازم است اهمیت و حساسیت این نوع پایگاه‌های داده هم‌تراز پایگاه‌های اصلی درنظر گرفته شود.

– بررسی و غیرفعال‌سازی قابلیت Directory Listing غیرضروری در سرویس‌ دهنده‌های وب جهت جلوگیری از دسترسی به فایل‌ها

دقت در وضعیت دسترسی به دایرکتوری‌های محل بارگذاری داده‌ها و اسناد توسط کاربران وبسایت نظیر دایرکتوری‌های uploads و temp و … .علاوه بر لزوم کنترل دسترسی‌ها و غیرفعالسازی قابلیت directory listing، لازم است تا حد امکان این اسناد به محل دیگری منتقل شده و از دسترس خارج شوند.

– سرویس دهنده‌ رایج و پرکاربرد Microsoft Exchange و Microsoft Sharepoint و Zimbra با توجه به انتشار عمومی آسیب‌پذیری‌های حیاتی و اکسپلویت‌های مربوطه طی یکسال گذشته مورد سواستفاده جدی قرار گرفته‌اند. در صورت استفاده از این سرویس‌دهنده‌ها لازم است نسبت به بروز بودن آنها و نصب تمام وصله‌های امنیتی منتشر شده اطمینان حاصل شود.

 – از عدم دسترسی مستقیم از طریق اینترنت به هرگونه سرویس مدیریتی نظیر RDP، iLO، کنسول مدیریت vCenter و ESX، کنسول مدیریت فایروال و … اطمینان حاصل کنید.

این دسترسی‌ها لازم است از طریق سرویس VPN اختصاصی و یا بر اساس آدرس IP‌ مبدا مجاز محدود شوند.

– از نگهداری هرگونه نسخه پشتیبان از سیستم‌ها روی سرور وب خودداری کنید

– جهت اطمینان از عدم وجود دسترسی به سرویس‌ها و سامانه‌ها به صورت ناخواسته، نسبت به اسکن ساده‌ سرویس‌های فعال روی بلوک‌های IP سازمان خود به صورت مداوم اقدام کرده و سرویس‌های مشاهده شده‌ غیرضروری را از دسترسی خارج کنید

این موارد به هیچ عنوان جایگزین فرآیندهای کامل امن‌سازی و ارزیابی امنیتی نبوده و صرفا برطرف کننده شماری از ضعف‌های جدی مشاهده شده هستند.

مرکز ماهر اظهار امیدواری کرده است که صاحبان بانک‌های اطلاعاتی که داده‌ها و اطلاعات شخصی مردم به صورت امانت در اختیار آنها است، نه تنها نسبت به حفظ این امانت و حریم خصوصی شهروندان، هم بر اساس قانون و هم بر اساس مسئولیت اجتماعی، حساسیت لازم را داشته باشند و با پاسخ‌گویی مناسب بتوانند امنیت روانی عمومی را نیز فراهم آورند.