يوم الثلاثاء 8 أبريل 2025، تعرض الصندوق الوطني للضمان الاجتماعي لهجوم سبيراني غير مسبوق. يتعلق الأمر بأول عملية اختراق كبرى في المغرب تستهدف مؤسسة عمومية رائدة، والخاضعة لوصاية وزارة الاقتصاد والمالية منذ عام 2021. ويجمع الخبراء على تقييم خطورة الحادث، وهناك ما يدعو للقلق.
بالنسبة لعماد البركة، رئيس مركز ديلويت المغرب للأمن السيبراني، فإن هذا الهجوم يشكل نقطة تحول في تاريخ الهجمات السبيرانية في المغرب. فقد تمكن «هاكرز» من سرقة 54 ألف ملف، بما في ذلك المعطيات المتعلقة بنحو 500 ألف شركة و2 مليون منخرط. وتتضمن المعطيات «اسم المؤمن له، ورقم البطاقة الوطنية، واسم الشركة، وعنوان البريد الإلكتروني، ورقم هاتف المدير، وتفاصيل الحساب البنكي»، إلى جانب معطيات شخصية ومهنية أخرى.
«رمزية» اختيار الهدف
اختيار الصندوق الوطني للضمان الاجتماعي كهدف له «رمزية» كبيرة. وقال عماد البركة: «إن الهجوم السبيراني يصبح خطِرا عندما يستهدف مؤسسة اجتماعية». وأضاف: «منذ عام 2022، شهدنا تزايدا في عمليات الاختراق التي تستهدف المؤسسات العمومية، بأشكال متعددة. ويتميز حادث الصندوق الوطني للضمان الاجتماعي بتسريب المعطيات الشخصية ونشرها».
ورغم أن مثل هذه الحادثة غير مسبوقة في المغرب، فقد تم تسجيل هجمات مماثلة في بلدان أخرى، من بين الأكثر تطورا في العالم، ولا سيما الولايات المتحدة، حيث تمكن قراصنة في عام 2015 من الوصول إلى أجهزة الكمبيوتر التابعة لمكتب إدارة الموظفين التابع للحكومة الأمريكية، وتمكنوا من سرقة المعلومات الشخصية (أرقام الضمان الاجتماعي، وبصمات الأصابع، وما إلى ذلك) لنحو 21 مليون شخص. في شتنبر2021، هذه المرة في فرنسا، سمح هجوم استهدف أنظمة الكمبيوتر التابعة لمؤسسة المساعدة العامة في مستشفيات باريس للمتسللين بالوصول إلى المعطيات الشخصية لـ1.4 مليون شخص خضعوا لاختبارات كوفيد-19 في منطقة إيل دو فرانس. ومن الأمثلة الأخرى حالة السجل الوطني الأرجنتيني، الذي تعرض للاختراق في أكتوبر2021، حيث تمكن القراصنة من الوصول إلى المعطيات الخاصة لما بين مليون ومليوني شخص.
وأشار عماد البركة أيضا إلى تورط مجموعات تعلن مسؤوليتها عن الجريمة لأسباب أيديولوجية، رغم أنه في هذه النقطة تحديدا يدعو إلى الحذر الشديد، «فالتحقيقات لم تسمح حتى الآن، في هذه المرحلة، بتحديد هوية القراصنة». فيما أكد علي موطيب، الخبير في مجال الذكاء الاقتصادي، أن «التحقيق الدقيق هو الذي يمكن أن يلقي الضوء على الخيوط التي تؤدي إلى تحديد هوية القراصنة». خلال مؤتمر صحفي عقده يوم الخميس 10 أبريل، وصف الناطق باسم الحكومة هذا الهجوم السبيراني، الذي وقع «في توقيت مشبوه»، بأنه «إجرامي». وقال إن «هذه الهجمات السيبرانية هي بلا شك محاولة للتشويش على نجاحات بلادنا والانتصارات الدبلوماسية المتتالية للمملكة بشأن القضية الوطنية»، مضيفا أن هذه الهجمات «تقف وراءها جهات معادية».
تتسارع وتيرة الهجمات السيبرانية، ويبدو أن هناك سببا لذلك. «فالمغرب أصبح له تأثير كبير على الساحة العالمية، جيوسياسيا واقتصاديا ورياضيا وثقافيا، إلخ. وبطبيعة الحال، يصبح هدفا واضحا، إما لمجموعات القراصنة الأجانب أو للدول المعادية»، وفق ما أكده رئيس مركز ديلويت المغرب للأمن السيبراني. لكن هذا الأخير أشار أيضا إلى «نقاط ضعف هيكلية في بعض المؤسسات العمومية التي لا تزال غير قادرة على مواجهة التهديدات السيبرانية الحديثة، وغالبا ما تكون بنيتها التحتية متقادمة».
سابقة قانونية
ماذا عن المخاطر القانونية المرتبطة بقضية الصندوق الوطني للضمان الاجتماعي؟ يخضع هذا الجانب للقوانين الجاري بها العمل والمتعلقة بحماية المعطيات الشخصية، أي القانون 08-09 و05-20، والتي تتقاطع مع القانون الأوروبي لحماية المعطيات الأوروبية، وفقا لخبير في الأمن السيبراني، طلب عدم الكشف عن هويته، والذي أكد قائلا: «لم يلتزم الصندوق الوطني للضمان الاجتماعي بواجب الاحتياط. وإذا تبين أن المسؤولية تقع أيضا على عاتق شركة مناولة، فإن الشركة المعنية بدورها يمكن أن تتحمل المسؤولية».
وأوضح الخبير ذاته أن «الصندوق الوطني للضمان الاجتماعي ومنظومته قد يتعرضان لعقوبات إدارية مدنية، بل وجنائية. وستساءل الحكومة بدورها بشأن حكامتها. في بعض الدول، يمهد هذا النوع من الهجمات الطريق أمام دعاوى قضائية جماعية». وهكذا، تجتمع جميع العناصر لتشكل «سابقة قانونية». وفضلا عن ذلك، فقد أعلن الصندوق الوطني للضمان الاجتماعي أنه أشعر السلطات القضائية المختصة.
ومن جانبه، أشاد علي موطيب بـ«العمل الجيد الذي تقوم به المديرية العامة لأمن نظم المعلومات لحماية المؤسسات الحيوية وتوعية الشركات». ولكنه شدد على أنه يتعين على هذه الأخيرة أن تأخذ هذه الظاهرة على محمل الجد من خلال تخصيص الميزانيات والاستثمارات اللازمة لها.ت، تشمل جميع الفاعلين العموميين والخواص المعنيين، فليس من المستبعد وقوع فضائح أكثر خطورة، حيث تنتهي المعطيات الشخصية على شبكة الويب المظلمة، لبيعها إلى المحتالين أو استغلالها لأغراض الدعاية السياسية».
العمل الذي قامت به المديرية العامة لأمن نظم المعلومات
يرى عماد البركة أن المديرية العامة لأمن نظم المعلومات، التابعة لإدارة الدفاع الوطني، تؤدي مهمتها على أكمل وجه: «لقد دقت المديرية العامة لأمن نظم المعلومات ناقوس الخطر في مناسبات عديدة. أعتقد أن الدولة قامت بدورها التنظيمي والتشريعي. للأسف، لم تقم المؤسسات العامة والشركات الخاصة بدورها بشكل كاف. لكن الأمر عام، فلا تدرك أهمية الأمن السيبراني إلا عندما يقع حادث ما».
ومن جانبه أشاد علي موطيب بـ«العمل الجيد الذي تقوم به المديرية العامة لأمن نظم المعلومات لحماية المؤسسات الحيوية وتوعية الشركات». ولكنه شدد على أنه يتعين على هذه الأخيرة أن تأخذ هذه الظاهرة على محمل الجد من خلال تخصيص الميزانيات والاستثمارات اللازمة لها.
وأكد علي موطيب أنه حان الوقت لاتخاذ خطوة جديدة والتصرف بشكل أكثر حزما مع الشركات التي لا تلتزم بأمنها السيبراني. على غرار ما يحدث في العديد من البلدان، وخاصة في أوروبا، حيث بدأت السلطات التنظيمية المكلفة بمسائل الأمن السيبراني أو الدفاع السيبراني في فرض عقوبات على الشركات التي لا تحمي أنظمة المعلومات الخاصة بها بشكل كاف.
