16 saranan dikemukakan bagi tangani insiden keselamatan IT

SINGAPURA: Tujuh saranan utama dan sembilan saranan tambahan dikemukakan oleh Jawatankuasa Siasatan (COI) sebagai "langkah perlu dan penting" untuk menangani ancaman keselamatan siber. Demikian menurut COI dalam laporan versi awamnya yang diterbitkan hari ini (10 Jan).

Saranan-saranan itu berkaitan dengan lima bidang utama, yang terdiri daripada membina satu budaya keselamatan siber sehingga ke peningkatan keupayaan memberikan respons.

Tujuh saranan utama termasuk langkah-langkah strategik dan operasi bagi memperkukuh keselamatan siber SingHealth serta IHiS, dan langkah-langkah ini perlu dilaksanakan "secepatnya", menurut COI dalam laporannya.

Sembilan saranan tambahan, pada sisi lain, berkaitan dengan keprihatinan-keprihatinan tertentu yang dibentangkan sepanjang siasatan dijalankan dan "harus dilaksanakan atau dipertimbangkan dengan serius".

KELEMAHAN DARI SEGI KEUPAYAAN PARA PEKERJA

Bagi membina budaya keselamatan siber, dua saranan utama harus dilaksanakan, menurut COI. Pertama, kesedaran para kakitangan tentang keselamatan siber harus dipertingkat bagi mencegah, mengesan dan memberikan respons lebih baik sekiranya berlaku insiden keselamatan.

Meskipun IHiS dan SingHealth sudah melatih kakitangan mereka melalui pelbagai cara, COI mendapati bahawa usaha-usaha itu "gagal" melengkapi para kakitangan IHiS dengan kemahiran untuk memberikan respons secara berkesan terhadap serangan siber yang berlaku.

"Meskipun langkah-langkah sedia ada mencerminkan usaha dan niat baik pihak pengurusan, namun ia tetap menimbulkan keprihatinan sekurang-kurangnya dalam bidang mewujudkan kesedaran tentang risiko memancing maklumat, dengan sebilangan kakitangan SingHealth tetap menjadi mangsa sampai dua kali atau lebih kepada emel-emel yang cuba memancing maklumat seumpama itu," tambah COI, yang menyarankan supaya program untuk meningkatkan kesedaran keselamatan bagi semua kakitangan, kerap dijalankan.

Di samping itu, struktur keselamatan yang dipertingkat perlu dimanfaatkan IHiS dan institusi-institusi kesihatan awam, tambah COI.

MEMANFAATKAN PENGESAHAN KHAS PENGGUNA

Sebagai sebahagian langkah untuk menjaga sistem dengan ketat, satu lagi saranan utama termasuk menyemak "lapisan siber" - beberapa langkah dalam teknologi siber yang diambil syarikat bagi membentuk pertahanan bersepadu terhadap serangan siber.

Satu cara untuk melakukan itu adalah dengan menilai keberkesanan langkah-langkah sedia ada perlindungan emel. Hipotesis yang dibentangkan Agensi Keselamatan Siber (CSA) semasa perbicaraan-perbicaraan COI adalah: rangkaian SingHealth pertama kali berjaya dicerobohi melalui kiriman emel pancing data.

Kedua, pemeriksaan keselamatan dipertingkat pada Prasarana Maklumat Penting (CII) dan sistem-sistem kritikal misi juga perlu dijalankan untuk mencari tahu "kelemahan keselamatan, konfigurasi salah, serangan-serangan yang berpotensi berlaku di samping mengesan sekiranya ada penceroboh dalam rangkaian," menurut COI.

Ketiga, akaun-akaun pentadbir yang dibenarkan mengakses hak-hak tertentu perlu dikawal ketat dan dipantau dengan lebih baik lagi, saran COI.

Antara lain, ini bermakna pentadbir perlu menggunakan pengesahan dua-faktor ketika melakukan kerja-kerja pentadbiran.

ANCAMAN KESELAMATAN SIBER TERUS BAYANGI S'PURA

Proses-proses mengambil tindakan juga perlu dipertingkat supaya menjadi lebih berkesan, menurut laporan.

Ini bermakna, pelan-pelan harus kerap dinilai, dengan latihan dan simulasi sering diadakan. Prosedur untuk membuat aduan berkaitan serangan siber juga perlu dilakarkan.

Saranan-saranan lain dari COI termasuk perlindungan lebih baik untuk menjaga rekod perubatan elektronik di samping melaksanakan strategi akses Internet yang mengurangkan pendedahan kepada ancaman.