المصدر: Kataeb.org
الكاتب: جولي مجدلاني
الجمعة 18 شباط 2022 14:15:25
تتحدى السلطات الرسمية اللبنانية نفسها في كل مرة تطلق مشروعًا جديدًا، في تخطي كمية الاهمال وغياب الاستراتيجيات ومنهجية العمل العلمي.
وآخر انجازات هذه السلطة، إهمال ثغرات أمنية عدة تبيّنت عقب إطلاق وزارة الصحة منصة MOPH، تعرّض بيانات المسجلين الشخصية لخطر الاختراق، وتهدد بيانات أي شخص يصل إلى مطار بيروت، ولم تلتزم الوزارة ببديهيات الأمن الرقمي وحماية خصوصية المستخدمين.
761 ثغرة رقمية أمنية خطرة
وفي هذا الاطار، كانت قد نشرت جمعية مركز البحوث لتعزيز الحماية السيبرانية دراستها التحليلية الرابعة للثغرات الأمنية في "النطاق الرقمي" اللبناني. لتكشف عن وجود ما يقارب الـ761 ثغرة في الأنظمة المعلوماتية المختلفة في الفضاء السيبراني اللبناني من مختلف القطاعات (خدماتية، صناعية، صحية، مصرفية، تكنولوجية، أو غيرها).
ماذا حصل في المنصة التابعة لوزارة الصحة
وفي حديث لـ Kataeb.org، أوضح المستشار والخبير في التحوّل الرقمي وأمن المعلومات رولان ابي نجم، ان المشكلة الرئيسية التي تحصل في لبنان هي ان كل جهة تستعين بمبرمج خاص لها دون اي دراسة وفق المحسوبيات.
اما بموضوع وزارة الصحة والحديث عن خرق معلومات المستخدمين، فشرح ابي نجم، قائلا:"وزارة الصحة التي لديها اصلا منصة IMPACT المتخصصة بموضوع اللقاحات واضافت اليها لاحقا مساعدات الشؤون الاجتماعية، يشرف عليها التفتيش المركزي وتعمل بحسب المواصفات الدولية بموضوع الامن السيبراني، ولكن قامت الوزارة لاحقًا بإنشاء منصة جديدة وهي MOPH وهذا امر مستغرب اذ بدلا من تركيز الداتا بمكان واحد قامت بإنشاء منصة لا تستوفي الشروط والاسس المتعلقة بالامن السيبراني وفيها الكثير من الثغرات الامنية التي تسمح باختراقها بشكل سهل، الامر الذي يحصل في كل المواقع والمنصات في الدولة اللبنانية، ولكن الفرق ان اختراق منصة MOPH يمثل خطرا كبيرا،حيث يتسجل عليها جميع اللبنانيين وغير اللبنانيين القادمين الى لبنان للحصول على تصريح مرور صحي مبني على فحوصات " PCR" بعكس باقي المنصات المتخصصة باللبنانيين حصرا، وبالتالي فإنها تكشف تفاصيل يجب ان تبقى محصورة بالامن العام اي تفاصيل ورقم الرحلة، رقم جواز السفر، الامر الذي يعرض خصوصية وأمن اي شخص قادم من سياسيين، امنيين، رجال اعمال، وافراد للاختراق الفاضح اضافة الى الخطر على سلامتهم وامنهم الشخصي".
واستذكر ابي نجم الخرق الذي حصل عند وصول الشهيد جبران التويني الى لبنان والذي تبعه عملية الاغتيال.
وتابع:" قبل اطلاق المنصة حذرنا وزارة الصحة انها تتضمن الكثيرمن الثغرات الامنية ويمكن اختراقها بكل سهولة، ولكن لا جواب".
وفي تفاصيل ما حصل، قال ابي نجم:"هناك مجموعة في لبنان من فئةETHICAL HACKER أو BUG HUNTERS من واجبهم التحقق من عدم وجود ثغرات امنية في اي منصة وهم خبراء امنيون متخصصون في هذا المجال، فمثلا شركة "غوغل" دفعت في العام 2021 8.7 مليون دولار لهؤلاء الاشخاص للتحقق من امنها السيبراني وهذا امرمعترف به عالميا ودوليا والحكومات تقوم بهذا العمل قبل اطلاق أي منصة، اضافة الى الشركات الكبرى كـ "فيسبوك".
وتابع:" ما يحصل في لبنان انه يتم اطلاق المنصات قبل التحقق من أمنها السيبراني، وبعد طرحها يتم اكتشاف الثغرات فيها من قبل هؤلاء الاشخاص ولكن يتم التعامل معهم على 3 مستويات: الاول عدم الرد عليهم وتجاهلهم، ثانيا تسخيفهم وتسخيف طرحهم، الثالث يتم رفع دعوى عليهم بعد تقديم دلائل على الخرق الامني وهذا ما حصل مع وزير الصحة".
واضاف:" بعد شهرين من عدم رد وزير الصحة قدم هؤلاء الاشخاص الدلائل التي تثبت وجود امكانية لخرق الداتا، فرفع الوزير دعوى عليهم، في حين تدفع حكومات الخارج لهم للقيام بهذا العمل، ويتم تقديرهم لانهم وجدوا ثغرات كان يمكن ان تكلفهم مليارات الدولارات".
وردا على سؤال حول الجهة المسؤولة عن المنصة، قال: "وزير الصحة اشار الى ان شركة Potech Consulting هي التي عملت على المنصة، في حين قالت الشركة ان لا علاقة لها، وبالتالي نظريا غير معروف من عمل على اطلاقها، ولكن السؤال الاهم طالما ان للوزارة منصة تعمل بإشراف التفتيش المركزي وتستوفي المعايير الدولية، لماذا تم انشاء منصة جديدة منفصلة؟"
واشار الى ان الاشكالية اليوم هي انه بدلا من ان يحاسب وزير الصحة الشركة التي قامت بهذا العمل، حاسب من ساعده وقدم له الدلائل عن وجود تغرات، مضيفًا:" هناك اشخاص تريد مساعدة الدولة ولكن الاخيرة لا تستمع لهم وترفض المساعدة".
وتابع:" بمجرد ان الثغرات الامنية ممكنة فهذا يعني ان اي جهة اخرى كإسرائيل مثلا قد سحبت كل الداتا منذ بدء العمل بالمنصة".
وعن منصات المؤسسات الرسمية التي يجري العمل من خلالها حاليًا، قال ابي نجم انه كان يفترض بالامن العام التحقق من الثغرات الامنية قبل اطلاق المنصة الخاصة بالمديرية.
وكشف عن خرق امني جديد للمنصة التابعة لمركز التربوي للبحوث والانماء، حيث بإمكان اي شخص الدخول الى داتا الاساتذة والتلاميذ، واجراء التعديلات عليها واضافة اسماء أخرى وهمية.