لو رفتن اطلاعات شخصی وزیر بهداشت در سامانه نسخه الکترونیک/ نوشتن نسخه بدون اجازه؛ سایر شهروندان نیز در معرض تهدید هستند

جامعه ۲۴- در روز‌های پایانی آذر ماه امسال بود که وزارت بهداشت و سازمان تأمین اجتماعی روز نخست دی‌ ماه را برای اجرای کامل نسخه الکترونیک در نظر گرفتند. این موضوع به شدت با مخالفت سازمان نظام پزشکی مواجه شد.
همچنین شورای عالی این سازمان در نامه‌ای چندین بند را برای دلایل مخالفت خود با اجباری شدن موضوع نسخه الکترونیک برشمرد که از جمله آن عدم امنیت سایبری سامانه‌های تولید این نسخه‌ها بود.

این شورا در نامه خود تصریح کرد: هنوز اقدامات قانونی لازم جهت اخذ «گواهی ارزیابی امنیتی افتا» روی سامانه‌های نسخه الکترونیک بیمه‌های سلامت و تامین اجتماعی انجام نشده و مرکز راهبردی افتا صراحتا سامانه‌های مذکور را فاقد امنیت سایبری لازم اعلام کرده است.
نظام پزشکی بازه زمانی اخذ این گواهی را شش ماه تا یکسال ارزیابی کرده بود.

لو رفتن اطلاعات شخصی وزیر بهداشت

به گزارش جامعه ۲۴ ، دو هفته از این هشدار سازمان نظام پزشکی نگذشته بود که یک پزشک آنکولوژیست در توئیتر با در دست داشتن کد ملی بهرام عین‌اللهی که پیش از آن از طریق انتشار کارت واکسن او در توئیتر عمومی شده بود، از طریق سامانه نسخه الکترونیک به تمامی اطلاعات شخصی وزیر بهداشت دسترسی پیدا کرده و ادعا کرد که می‌تواند بدون اجازه او برایش نسخه الکترونیک تولید کند!

به دنبال این اقدام، پرسش مهمی که مطرح می‌شود این است که آیا تمامی پزشکان می‌توانند صرفا با در اختیار داشتن کد ملی، به اطلاعات شخصی همه ایرانیان که اتفاقا بخش مهمی از آن مانند سوابق بیماری و ... که در پرونده الکترونیک آن‌ها در سامانه سیب وزارت بهداشت درج شده است دسترسی داشته باشند یا خیر؟

از سوی دیگر اینگونه که سازمان نظام پزشکی هشدار داده این سامانه هنوز گواهی‌های امنیتی لازم را نگرفته و به غیر از پزشکان و یا پرسنل و متخصصان داروخانه‌ها که به این سامانه دسترسی قانونی دارند، به راحتی مورد نفوذ مجرمان سایبری قرار گرفته و ضمن دسترسی به تمامی اطلاعات شخصی شهروندان مانند سوابق بیماری و .. امکان سوء استفاده از این اطلاعات را پیدا کنند.

تهدیدی علیه مردم

به گزارش جامعه ۲۴ ، پیش از این نفوذ سایبری به برخی سامانه‌های عمومی مانند کارت سوخت یا ایرانسل و رایتل رخ داده بود و منجر به دسترسی به اطلاعات شخصی کاربران شده بود. اما سامانه تولید نسخه‌های الکترونیک متفاوت از سامانه کارت سوخت است. در اینجا مسأله مستقیما با جان افراد و سلامت آن‌ها ارتباط دارد. آنگونه که این آنکولوژیست گفته است می‌توان با داشتن کد ملی افراد، برای آن‌ها نسخه الکترونیک تولید کرد و مطمئنا می‌توان حتی نسخه‌ها را هم دستکاری کرد و همین موضوع تهدید بسیار بزرگی برای عموم شهروندان است.

بیشتر بخوانید: آقای وزیر بهداشت، شما واکسن اسپوتنیک روسی زده‌اید نه واکسن ایرانی!/ عین‌اللهی هم قدم در راه نمکی گذاشت

علی رغم این موضوعات عبدالرحیم ترابی، مدیرکل حقوقی سازمان بیمه سلامت در این راستا گفت: انتشار اطلاعات هویتی و محرمانه بیمه شدگان توسط پزشکان یا در اختیار قرار دادن نام کاربری و کلمه عبور سامانه نسخه الکترونیک جرم محسوب شده و این موضوع پیگرد قانونی دارد.

عبدالرحیم ترابی گفت: دسترسی به سوابق بیمه شدگان از قبیل سابقه دارو و خدمات پاراکلینیک تجویزی برای بیماران فقط با اجازه بیمه شده و به وسیله رمز دو مرحله‌ای فراهم است و این اطلاعات در حال حاضر فقط برای پزشکان نمایش داده می‌شود.

وی در ادامه با بیان اینکه انتشار تصویری از کارت واکسیناسیون وزیر بهداشت و مشخص شدن کد ملی و تاریخ تولد و همچنین استفاده از شماره تلفن همراه بیمه شده، منجر به سوءاستفاده یکی از پزشکان و دسترسی به صفحه اول اطلاعات شخصی آقای دکتر بهرام عین‌اللهی شده است، افزود: این اقدام مصداق بارز نقض حریم خصوصی و افشای اطلاعات و همچنین نشر اکاذیب و تشویش اذهان عمومی بوده و پیگیری‌های لازم حقوقی در این زمینه انجام خواهد شد.

واکنش و تهدید سازمان بیمه سلامت

مدیر کل حقوقی سازمان بیمه سلامت همچنین گفت: لازم به ذکر است که از ابتدای راه اندازی سامانه نسخه الکترونیک، امکان ورود کاربران با رمز دو مرحله‌ای به منظور افزایش امنیت سامانه فراهم شده و کاربر پس از ثبت نام، به صورت پیش فرض دارای قابلیت ورود دو مرحله‌ای است؛ بنابراین با توجه به درخواست‌های مکرر استان‌ها درباره مشکلات در دریافت رمز دو مرحله‌ای به دلیل اختلال در بستر ارسال پیامک و اختلال در اپراتور‌های همراه و مشکلات مخابراتی در برخی موقعیت‌های جغرافیایی، فرم تعهدنامه‌ای جهت حذف ورود دو مرحله‌ای در اختیار کاربر قرار می‌گیرد تا پس از اخذ تعهد، ورود فقط با نام کاربری و رمز عبور قابل انجام باشد.

وی در ادامه افزود: در این تعهدنامه ذکر شده که کاربر باید از ارائه اطلاعات کاربری به دیگران خودداری کرده و هرگونه افشای اطلاعات کاربری متوجه شخص کاربر خواهد بود.

ترابی همچنین گفت: در راستای حفظ محرمانگی اطلاعات بیمه شدگان، عدم نمایش بخشی از شماره تلفن همراه و تاریخ تولد بیمه شده در دستور کار قرار گرفته و به زودی در تمام سامانه‌ها و سرویس نسخه الکترونیک، امکان مشاهده کامل شماره تلفن همراه و تاریخ تولد بیمه شدگان وجود نخواهد شد.

مدیر کل حقوقی سازمان بیمه سلامت در ادامه افزود: با توجه به مشکلات رمز دو مرحله‌ای و عدم دریافت پیامک در برخی استان‌ها، راهکار‌های پشتیبان مانند قابلیت تولید محدود رمز دو مرحله‌ای رزرو در سامانه نسخه الکترونیک پس از احراز هویت کاربر و ارائه اپلیکیشن برای تولید رمز دو مرحله‌ای به صورت آفلاین پس از احراز هویت در حال طراحی و پیاده‌سازی است.

وی در پایان تاکید کرد: انتشار اطلاعات بیمه شدگان سازمان بیمه سلامت، خط قرمزی در راستای محرمانگی اطلاعات و حفظ اطلاعات شخصی افراد بوده و با هرگونه اهمال و بی‌توجهی در این زمینه برخورد جدی انجام می‌شود.

به گزارش جامعه ۲۴ ، سخنان ترابی چیزی در رابطه با رفع نگرانی از امنیت سامانه تولید نسخه الکترونیک کم نکرده و ضمن تأیید ادعای پزشکی که این نسخه را تولید کرده، تنها به تهدیدات حقوقی دست زده است. از سوی دیگر این سخنان مصداق همان ضرب المثل است که می‌گوید «از کرامات شیخ ما این است شیره خورد و گفت شیرین است».

با این حال سازمان بیمه سلامت و همچنین سازمان تأمین اجتماعی در وهله نخست می‌بایست به فکر گواهی امنیت سایبری می‌بودند و پس از آن اقدام به راه‌اندازی نسخه الکترونیک می‌کردند. اینکه با افشا شدن باگ‌ها به فکر عدم نمایش دادن تاریخ تولد و شماره تلفن باشد یا با رمز دو مرحله‌ای بخواهند این سامانه را تقویت کنند صرفا تغییر ظاهر بنای سستی است که می‌تواند در آینده به مشکلات بسیار بزرگتری دامن بزند. این موضوع نمی‌تواند امنیت اطلاعات شخصی افراد را تضمین کند حتی اگر روزی هزاران بار گفته شود که اطلاعات شخصی بیمه‌شدگان خط قرمز سازمان بیمه سلامت است.