SINGAPURA: Meskipun penceroboh sangat mahir, serangan siber terhadap pangkalan data SingHealth bukanlah sesuatu "yang tidak boleh dicegah", menurut Jawatankuasa Siasatan (COI) dalam laporan yang diterbitkan hari ini (10 Jan).

"Walaupun pertahanan siber kita tidak akan sempurna sepenuhnya dan mungkin sukar untuk mencegah Ancaman Maju Berterusan (APT) daripada mencerobohi rangkaian sistem, kejayaan penceroboh untuk mendapatkan data dengan menceroboh sistem adalah sesuatu yang dapat dicegah," menurut laporan.

Sepatutnya beberapa kelemahan dan konfigurasi salah ditangani sebelum serangan berlaku. Itu mungkin dapat menyulitkan penceroboh untuk mencapai matlamatnya.

Meskipun penceroboh sangat teliti dalam langkah-langkah yang diambil, tanda-tanda serangan siber sebenarnya jelas dan disedari para kakitangan IHiS.

"Andai sahaja pegawai IHiS mengenal pasti serangan siber sedang berlaku dan mengambil tindakan, penceroboh mungkin dapat dihalang sebelum dia mencapai matlamatnya," menurut laporan.

Serangan itu menyebabkan data 1.5 juta pesakit dicerobohi - termasuk nama, nombor NRIC, alamat dan butiran-butiran lain. Data-data tersebut diakses dari 28 Jun hingga 4 Jul tahun lalu. Antara maklumat lain yang dicerobohi adalah rekod perubatan milik hampir 160,000 pesakit.

BUKAN PENCEROBOH BIASA, SANGAT MAHIR

COI juga mendapati bahawa penceroboh mempunyai ciri-ciri sebuah kumpulan APT.

Menurutnya, penceroboh mempunyai "sasaran jelas", iaitu data perubatan peribadi Perdana Menteri Lee Hsien Loong. Data PM Lee, khususnya, "disasarkan dan berulang kali diakses".

Penceroboh menggunakan taktik, teknik dan prosedur maju (TTP) bagi serangan rapi seperti menggunakan perisian hasad yang disesuaikan, di samping menunjukkan keupayaan untuk memanfaatkan kelemahan-kelemahan dalam rangkaian IT SingHealth dan pangkalan data pesakit.

Penceroboh sangat berhati-hati dan tidak terburu-buru untuk melakukan serangan. Dia menunggu selama lebih 10 bulan sebelum melakukan pencerobohan. Penceroboh juga memastikan dia mempunyai beberapa cara untuk mengakses rangkaian SingHealth.

COI turut mendapati bahawa penceroboh mempunyai "banyak sumber" dengan rangkaian perintah dan jaringan kawal yang besar. Dia juga mempunyai keupayaan membangunkan beberapa wadah tersendiri serta kepakaran teknikal yang luas.

KAKITANGAN IHiS KURANG MAHIR, SUMBER UNTUK BERTINDAK

Menurut COI lagi, para kakitangan IHiS tidak mempunyai kesedaran, latihan dan sumber keselamatan siber "yang memadai" untuk memahami akan kesan keselamatan bagi tanda-tanda serangan siber, sehingga tidak mampu memberikan respons secara berkesan.

Sejumlah pentadbir IT IHiS dipuji dalam laporan tersebut kerana menyedari akan kegiatan mencurigakan, seperti percubaan log masuk tanpa izin dan permintaan bagi maklumat server serta pangkalan data para pesakit.

"Namun, para pentadbir IT ini tidak memahami sepenuhnya akan kesan hasil dapatan mereka sendiri, dan tidak dapat memadankan dapatan ini dengan TTP penceroboh yang mahir," menurut laporan.

"Mereka juga tidak begitu terbiasa dengan dokumen-dokumen dasar keselamatan IT yang berkaitan serta kurang memahami keperluan untuk memaklumkan CSA. Tiada juga rangka kerja membuat aduan bagi mereka untuk dijadikan sebagai rujukan," tambahnya.

KAKITANGAN GAGAL BERTINDAK

Laporan COI menyatakan bahawa kegagalan untuk mengambil tindakan sesuai, berkesan dan secepatnya juga mengakibatkan mereka "terlepas peluang" untuk mencegah pencerobohan pangkalan data SingHealth.

Pengurus Respons Insiden Keselamatan (SIRM) dan Pegawai Keselamatan Maklumat Berkelompok (ISO) bagi SingHealth, yang bertanggungjawab untuk memberikan respons dan membuat aduan, mempunyai "pengertian salah" tentang apa yang disifatkan sebagai insiden keselamatan, dan sekiranya ia perlu dilaporkan.

SIRM juga mengatakan beliau tidak membuat aduan secepatnya kerana merasakan "tekanan tambahan terhadap diri dan pasukannya sekiranya keadaan diketahui pihak pengurusan".