2 syarikat didenda S$43,000 atas kebocoran data peribadi kakitangan Mindef, SAF

SINGAPURA: Institut Sains Kesihatan HMI dan ST Logistics masing-masing didenda S$35,000 dan S$8,000 berikutan dua insiden serangan perisian hasad (malware) berasingan pada 2019 yang menyebabkan kebocoran data peribadi ribuan kakitangan Kementerian Pertahanan (Mindef) dan Angkatan Bersenjata Singapura (SAF).

Kedua-dua firma adalah penyedia khidmat pihak ketiga. Data yang terjejas termasuk nama, NRIC, alamat, emel dan nombor telefon.

BACA: Maklumat peribadi 2,400 anggota MINDEF, SAF mungkin terjejas akibat kebocoran data

BACA: Data 120,000 individu termasuk 98,000 anggota SAF terjejas serangan perisian tebusan

Suruhanjaya Perlindungan Data Peribadi (PDPC) yang mengenakan denda, mengeluarkan keputusan bertulisnya pada Khamis (10 Jun).

INSIDEN HMI

Institut HMI mendapati server komputernya dicemari serangan siber menuntut wang tebusan pada 4 Disember 2019.

Institut tersebut dilantik SAF untuk menjalankan latihan bantuan pernafasan (CPR) dan defibrilator luaran automatik (AED) untuk kakitangan Mindef dan SAF.

Perisian tebusan itu menyulit dan melarang akses kepada beberapa fail termasuk yang mengandungi data peribadi sekitar 110,080 peserta kursus-kursus latihan Institut HMI dan lagi 253 kakitangannya sendiri.

Antara mereka yang terjejas termasuk 98,000 anggota perkhidmatan SAF yang menghadiri kursus-kursus Institut HMI. Namun, hanya nama dan nombor NRIC mereka disimpan dalam server tersebut.

PDPC menyatakan bahawa disebabkan Institut HMI gagal melaksanakan langkah-langkah keselamatan yang memadai, ia mendedahkan data peribadi kepada risiko selama lebih empat tahun - dari sejak server itu dibangunkan pada 2014 hingga ia dimatikan selepas insiden berlaku.

Institut itu juga gagal melaksanakan dasar-dasar pengurusan kata laluan yang sewajarnya.

Namun, PDPC maklum bahawa Institut HMI mengambil tindakan pemulihan segera.

INSIDEN ST LOGISTICS

Bagi kes ST Logistics, beberapa kakitangannya terpedaya oleh serangan 'phishing' (memancing data) melibatkan perisian hasad yang dikirimkan kepada akaun emel mereka pada Oktober 2019.

Ini menyebabkan kebocoran data peribadi 2,400 kakitangan Mindef dan SAF. Semua yang terjejas dimaklumkan oleh Mindef menerusi kiriman mesej sebelum hujung Disember 2019.

ST Logisitics mengetengahkan beberapa faktor ketika meminta denda dikurangkan seperti risiko rendah angkara insiden itu kerana data terjejas hanya membabitkan emel dan tiada bukti data lain yang bocor.

PDPC menyatakan dalam membuat pertimbangan mengurangkan denda, ia "dengan teliti mengambil kira hujah-hujah" dan kerjasama ST Logistics serta respons segera mereka kepada pertanyaan-pertanyaan suruhanjaya itu.

Siasatan menunjukkan bahawa ST Logistics gagal menjalankan semakan keselamatan secara berkala untuk mengesan kelemahan sistem IT syarikat tersebut.

Ini bermakna perisian antivirus yang dipasang dalam komputer riba para pekerja yang sepatutnya boleh menyekat atau memusnahkan perisian hasad, tidak dikemaskini.

Tahun lalu, Agensi Keselamatan Siber Singapura melaporkan 47,500 kes phishing, hampir tiga kali ganda berbanding 2018.