تسريبات CNSS : ثغرات أمنية منذ عام 2020 رغم ميزانية قدرها 4.8 مليون درهم في 2024

شهد المغرب يوم ثلاثاء أسود في مجال أمن المعلومات. فبعد ساعات قليلة من الهجوم على وزارة التشغيل، أعلن فريق "جبروت DZ" عن اختراق كبير لأنظمة الصندوق الوطني للضمان الاجتماعي . تمكن القراصنة من الوصول إلى شهادات وتصريحات الرواتب للشركات، بالإضافة إلى القائمة الاسمية للموظفين، مما أدى إلى تسريب 53,576 ملف PDF يخص 500,000 شركة و2 مليون موظف.

كان الصندوق الوطني للضمان الاجتماعي على دراية بحساسية البيانات التي يستضيفها وتم تنبيهه بشأن ضعف أمان نظام معلوماته. في يناير 2020، كشف موقع يابلادي عن وصول غير آمن لبيانات 3.5 مليون مؤمن في القطاع الخاص على موقع الصندوق، بما في ذلك رقم بطاقة التعريف الوطنية، والعنوان البريدي، وأرقام الحسابات البنكية، بالإضافة إلى تاريخ السداد الصحي وكشوف الرواتب لأربع سنوات. وقد تمكنت الفرق التقنية في الصندوق الوطني للضمان الاجتماعي من تصحيح هذه الثغرة دون عواقب على المؤمنين، بفضل يقظة أحد المبلغين عن المخاطر وتدخل إحدى وسائل الإعلام.

كان من المتوقع أن تكون هذه التجربة درسًا مستفادًا. وقد زادت الميزانيات المخصصة لأمن المعلومات تبعًا لذلك. في عام 2024، أطلق الصندوق الوطني للضمان الاجتماعي على الأقل دعوتي عروض تتعلقان بأمن المعلومات، بقيمة إجمالية تبلغ 4.8 مليون درهم.

بحسب معلوماتنا، فازت شركة داتابروتيكت المغربية، المتخصصة في حلول أمن المعلومات والتي تأسست في عام 2008 وتعمل في عدة دول في أفريقيا وأوروبا والشرق الأوسط، بطلب العروض الأول (12/2024). كان الطلب يتعلق بتدقيق ممارسات أمان أنظمة المعلومات، بقيمة 2.75 مليون درهم. وكانت داتابروتيكت حينها المتقدم الوحيد.

فازت شركة مودكود، المتخصصة في أمن المعلومات والتي تأسست في عام 2018 ومقرها في الرباط، بطلب العروض الثاني (96/2024). كانت هذه الصفقة، بقيمة 1.6 مليون درهم، تتعلق بحل لمنع الاختراقات، مع عقد صيانة سنوي بقيمة 480,000 درهم. 

من المقلق ملاحظة وجود عدد قليل من المتقدمين لمناقصات ذات أهمية استراتيجية ومالية كبيرة. سيتساءل المغاربة بحق عن نزاهة عملية الاختيار، خاصة في ضوء الثغرات المتكررة وخطورة تسرب البيانات يوم الثلاثاء.

تقع المسؤوليات في نهاية المطاف على عاتق قادة الصندوق الوطني للضمان الاجتماعي. رغم أن الخطر الصفري غير موجود، فإن التحذيرات المتتالية والموارد المالية والتقنية المستخدمة كان ينبغي أن تمنع مثل هذا التسرب الكبير للبيانات.

يتعلق الأمر هنا بالأمن الوطني، بحماية البيانات وبالثقة في مؤسساتنا. ولكن ليس هذا فحسب، فإن هذا التسرب للبيانات سيكون له أيضًا تأثير على العلاقات الإنسانية والمهنية، حيث يتم الكشف عن خيارات رواتب الشركات على الملأ.