القائمة

مقالة

هل فعلا معطياتك الشخصية محمية بشكل جيد من قبل شركات التأمين؟ [تحقيق]

من واجب شركات التأمين الخاصة بك أن تقدم لك تعويضا في حالة وقوع حادث أو مرض أو أي شيء من هذا القبيل. لكن ماذا لو لم تتمكن الشركة نفسها من ضمان حماية معطياتك الشخصية؟‎

نشر
DR
مدة القراءة: 4'

تعد شركة تأمين اليزيدي التي تأسست عام 1954 من أقدم شركات التأمين في المغرب. آنذاك لم يكن هناك جهاز كمبيوتر، ولا القانون 09-08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي، ولكن في السنوات الأخيرة، قامت شركات التأمين والوكلاء العامون وسماسرة التأمين برقمنة عملياتهم.

ومن المفروض في عملية الرقمنة أن تحمي المعطيات الشخصية للزبائن، عند دخولك للموقع الرسمي لشركة تأمين اليزيدي، يُطلب منك تسجيل الدخول، وهو أمر يسير ويتم إعطاؤك كلمة مرور افتراضية، يمكن استخدامها مع جميع الحسابات التي لم تغير بعد كلمة المرور الخاصة بها، مما يتيح الفرصة لأي شخص الحصول على جميع بيانات المُؤَمَّنين: الاسم الكامل، ورقم البطاقة الوطنية، ورقم الهاتف والعنوان، وبالتالي يمكنك إدخال أي تعديل على معلومات المُؤَمَّنين.

والأخطر من هذا، يمكنك أيضا أن تنتقل من حساب أحد المُؤَمَّنين إلى حساب مؤمن آخر دون أي حواجز أمنية. بهذه الطريقة تمكنا من الكشف على أكثر من 141000 حساب لعملاء الشركة الوطنية للنقل والخدمات اللوجستية. وبالتالي، يمكن الوصول إلى البيانات الشخصية لعملاء الشركة المملوكة للقطاع العام (وريث مكتب النقل الوطني، الذي يعد أقدم من شركة تأمين اليزيدي) عبر هذه الثغرة الأمنية. وحاولنا الاتصال بالشركة الوطنية للنقل والخدمات اللوجستية، لكن دون جدوى.

من جانبها، عبرت شركة تأمين اليزيدي عن تفاجئها بهذه الثغرة الأمنية. وفي تصريح لموقع يابلادي مؤرخ في 22 أبريل الماضي، قال رشيد بلعربي، مدير نظام المعلومات "لا أعلم بوجود هذه الثغرة الأمنية، ولم نتوصل بأي شكاية في الموضوع".

وعبر بلعربي عن ثقته في أمن نظام معلومات الشركة، وأوضح قائلا "تتم إدارة الموقع من طرف مقدم خدمات معروف محليًا (MTDS  تحققنا من ذلك)، والذي يتولى أيضا الجزء الأمني، وقواعد بيانات...، علما أنها تتوفر على العديد من الأدوات للتأكد من أمن الموقع"، إلا أن هذه الأدوات لم تقم بمهمتها أمام خطأ في تصميم الموقع الذي يسمح بالحصول على المعطيات الشخصية للزبناء. إذ أن كشفنا على هذه الثغرة، أثار قلق مدير نظام معلومات الشركة.

"سوف نتصل بمقدم الخدمات الخاص بنا، لأنه يجب إصلاح هذا الخطأ في أقرب وقت ممكن ومن واجبه تقديم تفسير لنا حول الأمر"

رشيد بلعربي 

وفي 27 أبريل، اتصل موقع يابلادي مرة أخرى، بمدير قسم المعلومات في شركة تأمين اليزيدي، وأوضح رشيد بلعربي أن "الموقع قيد المراجعة ونحن نقوم باختباره، لكننا لم نعثر بعد على الثغرة". وعند تحققنا من ذلك، وجدنا أنه تم توقيف الموقع عن الخدمة، ثم أعيد تشغيله ولكن دون التمكن من الوصول إلى حسابات العملاء. وبالتالي، لم يعد بإمكان موظفي الدولة الذين يستخدمون المركبات التي توفرها الشركة الوطنية للنقل والخدمات اللوجستية، ولا حتى العملاء الآخرين والشركات التي تأمنهم شركة تأمين اليزيدي، الولوج إلى حساباتهم الشخصية. ليس بالحل الأمثل، لكن على الأقل لم تبق المعطيات الشخصية متاحة أمام الجميع.

كما وقعت مجموعة AFMA المدرجة في بورصة الدار البيضاء منذ دجنبر 2015 هي شركة تابعة لمجموعة تينور، والمتخصصة في الوساطة في مجال التأمين والتي تأسست عام 1953، ضحية أيضا لثغرة أمنية تتيح الوصول إلى البيانات الشخصية للزبناء. إذ يتيح نظام للكشف عن المبالغ المسددة، الوصول إلى البيانات الشخصية لمسؤولي الجمارك، وبريد المغرب، والشركات الخاصة والأفراد.

وفي اتصال مع موقع يابلادي، أعربت إدارة الشركة المعنية، عن قلقها بشأن هذا الموضوع. وقال محسن التوزاني، المدير العام، إنه يولي "اهتماما خاصا للقضايا التي تتعلق بأمن المعلومات".

وكحل لذلك، قامت الشركة باستبدال الموقع بنسخة جديدة كانت قيد الإعداد. وتم إصلاح الثغرة الأمنية ولم يعد يسمح لأي كان، بالوصول إلى المعطيات الشخصية للمؤمنين. وعبر التوزاني عن امتنانه لموقعنا وقال "نشكركم على تنبيهنا لوجود هذه الثغرة. إذ تمكنا عن طريقكم من تصحيح المشكلة بسرعة ".

ومن شأن هذه القضية، أن تنبه وسطاء التأمين الآخرين، وكذلك شركات التأمين في المغرب إلى ضرورة التدقيق في أمن أنظمة المعلومات، حيث أصبحت حماية المعطيات الشخصية للمؤمن عليهم أكثر إلحاحا خلال فترة انتشار فيروس كورونا، حيث يتم إجراء معظم العمليات عبر القنوات الرقمية.‎

كن أول من يضيف تعليق على هذا المقال