MINDEF dedahkan sistem komputer kepada penggodam bagi cari, perbaiki kelemahan

SINGAPURA: Kementerian Pertahanan (MINDEF) mendedahkan sistem-sistem yang menggunakan Internet kepada penggodam dalam percubaan pertama seumpama itu bagi mengenal pasti dan memperbaiki kelemahan dalam sistem komputer sektor awam.

Program Pencegahan Pepijat MINDEF diumumkan oleh ketua siber pertahanan Singapura David Koh di luar lawatannya ke Pusat Ujian dan Penilaian Pertahanan Siber (CyTEC) pada Selasa (12 Dis).

Dari 15 Januari hingga 4 Februari 2018, sekitar 300 penggodam topi putih terpilih dari merata dunia akan diundang bagi mencari kelemahan dalam lapan sistem Internetnya.

Penggodam topi putih adalah istilah industri bagi menggambarkan mereka yang menggunakan kemahiran untuk meningkatkan tahap keselamatan dengan mendedahkan kelemahan sebelum penggodam berniat jahat (yang dikenali sebagai penggodam topi hitam) boleh mengesan dan mengambil kesempatan daripada kelemahan itu.

Sistem-sistem tersebut adalah laman MINDEF, Portal NS, laman Pangkalan Tenaga Manusia, laman Agensi Sains dan Teknologi Pertahanan, eHealth, Kiriman Pertahanan, Portal LearNet 2 dan Portal myOASIS, dedah kenyataan itu.

Kelemahan-kelemahan itu kemudian harus didedahkan kepada MINDEF dan para penggodam akan diberi ganjaran atas penemuan mereka, bergantung kepada betapa genting keadaan tersebut.

Ganjaran yang diberikan bernilai antara S$150 sehingga S$20,000, berdasarkan program sebelumnya yang dianjurkan oleh HackerOne, syarikat pencegahan pepijat yang diambil untuk bekerjasama dalam memudahkan program tersebut.

Encik Koh, yang turut menerajui Agensi Keselamatan Siber Singapura, akur bahawa terdapat beberapa risiko dalam menjalankan latihan sedemikian, tetapi langkah-langkah sudahpun diambil bagi mengurangkannya.

Sebagai contoh, beliau merujuk kepada kemungkinan penggodam terpilih boleh 'berpaling tadah' dan mendedahkan dapatan mereka online daripada mendedahkannya kepada MINDEF.

Bagaimanapun, itu jugalah sebabnya mengapa kementerian itu memilih penggodam topi putih untuk turut serta, dan HackerOne untuk memudahkannya, kerana mereka memiliki reputasi baik menggodam atas alasan wajar, menurutnya.

HackerOne juga mengeluarkan syarat-syarat pendampingan yang patut dipatuhi para penggodam, seperti tidak melancarkan pembatalan khidmat (DDoS) dan tidak menjual dapatan mereka. Jika mereka gagal mematuhinya, mereka akan ditegur, dedah ketua siber pertahanan itu.

"Ini adalah kali pertama MINDEF melancarkan program berani seumpama ini," dedah Encik Koh.

Beliau mendedahkan program pencegahan pepijat bukanlah sesuatu yang baru di peringkat global, selepas Jabatan Pertahanan Amerika Syarikat menjalankan latihan '"Godam Pentagon", manakala syarikat seperti Google dan Facebook juga menjalankan inisiatif serupa.

MINDEF menyatakan jumlah ganjaran yang dibayar bergantung kepada jumlah dan mutu kelemahan yang dikesan, dan dijangka bernilai "jauh lebih rendah" berbanding mengambil khidmat pasukan penilaian kelemahan keselamatan siber komersil.

Encik Koh menjelaskan bahawa mengambil khidmat syarikat keselamatan siber bagi menilai kedudukan keselamatan siber sesebuah pertubuhan mungkin bernilai "sekitar sejuta dolar". Ini jauh berbeza berbanding latihan "Godam Pentagon" yang memberikan ganjaran AS$70,000 (S$94,600).

Beliau menekankan kos tersebut bukanlah faktor utama bagi melancarkan program itu, tetapi unsur maklum balas terbuka itu membolehkan lebih ramai individu dan mereka yang memiliki pelbagai kemahiran untuk turut serta.

Ia juga akan membolehkan penggodam topi putih tempatan untuk menajamkan kemahiran mereka. Daripada 300 penggodam yang terpilih, beliau berharap dua pertiga daripada penggodamnya berasal dari luar negara dan sepertiga lagi dari Singapura.

Program pencegahan pepjiat itu dilancarkan selepas kementerian itu mengumumkan pada bulan Februari tahun ini bahawa sistem yang menggunakan Internet - sistem I-net - terjejas, yang menyebabkan data peribadi 850 anggota perkhidmatan negara dan kakitangan dicuri.

Tiada data rahsia tentera yang dicuri, menurutnya.

"Alam siber adalah medan pertempuran baru. Singapura sering terdedah kepada risiko serangan siber yang kian meningkat, dan MINDEF adalah sasaran bagi kegiatan siber yang berniat jahat," dedah kementerian itu.

"Dengan adanya penggodam berniat jahat yang mencari cara baru untuk menceroboh rangkaian itu, MINDEF mesti sentiasa berubah dan meningkatkan pertahanannya terhadap ancaman siber."