SINGAPURA: Sistem yang mudah diserang, kelemahan para kakitangan dan kumpulan penceroboh yang sangat mahir adalah faktor-faktor di sebalik serangan siber terhadap pangkalan data pesakit SingHealth tahun lalu, menurut laporan daripada Jawatankuasa Siasatan (COI) mengenai pencerobohan itu.

Versi awam bagi laporan setebal 424 muka surat itu dikeluarkan hari ini (10 Jan).

Laporan sama, yang diklasifikasikan sebagai "Rahsia Utama" dengan maklumat sensitif dijaga, sebelum ini diserahkan kepada Menteri Bertanggungjawab bagi Keselamatan Siber S Iswaran pada Disember.

Ia merangkumi butiran tentang bagaimana serangan siber itu berlaku, tindakan susulan yang diambil, hasil siasatan serta 16 saranan oleh COI, yang dipimpin mantan Hakim Daerah Richard Magnus.

COI tersebut dilantik oleh Encik Iswaran, yang juga Menteri Perhubungan dan Penerangan.

Keseluruhannya, COI itu mengambil keterangan daripada 37 saksi menerusi sesi tertutup dan perbicaraan awam yang berlangsung selama lebih 22 hari. Ia turut menerima 26 saranan bertulis daripada para individu, pertubuhan-pertubuhan dan persatuan-persatuan industri.

COI membentangkan lima perkara utama dalam hasil siasatannya. Dua daripadanya berkaitan dengan kebolehan para kakitangan IHiS serta sumber-sumber yang tersedia bagi mereka untuk bertindak terhadap insiden serangan siber. Mereka yang bertanggungjawab untuk bertindak terhadap insiden keselamatan IT didapati gagal mengambil "tindakan sesuai, berkesan atau secepatnya" sehingga tidak berjaya mencegah serangan siber.

COI turut mendapati bahawa terdapat beberapa kelemahan dan konfigurasi salah pada rangkaian SingHealth yang memudahkan percubaan menceroboh sistem.

Menurut laporan, sekiranya kelemahan dan masalah konfigurasi diatasi terlebih dahulu, ia akan menyulitkan usaha penceroboh untuk mencapai objektifnya.

Lantaran itu, COI membentangkan 16 saranan. Saranan-saranan ini mempunyai tiga matlamat utama: Untuk mempertingkat pelan tindakan bagi insiden serupa, untuk melindungi lebih baik sistem pangkalan data pesakit SingHealth terhadap serangan siber, dan mengurangkan risiko serangan siber seumpama itu terhadap sistem-sistem dalam sektor awam yang menyimpan banyak data peribadi.

Langkah-langkah, yang bermatlamat untuk mempertingkat keselamatan siber sistem SingHealth dan IHiS, harus dilaksanakan dan dipertimbangkan dengan serius, menurut laporan.

"Meskipun beberapa saranan yang dikemukakan kelihatan mudah dan seharusnya sudah dijalankan, serangan siber membuktikan bahawa ia tidak dilaksanakan secara berkesan oleh IHiS semasa serangan berlaku," tambahnya.

Laporan itu menyatakan bahawa saranan-saranan itu tidak hanya untuk IHiS atau SingHealth, dan boleh digunakan semua pertubuhan yang mempunyai pangkalan data yang besar.

"Bagi IHiS, SingHealth dan pertubuhan-pertubuhan lain yang menyimpan banyak data peribadi, memastikan asas sistem kukuh penting dan perlu dalam membina keupayaan untuk mengatasi ancaman siber yang nyata dan kian berubah-ubah," tambahnya.