Persatuan Guaman diarah pertingkat keselamatan IT selepas data peribadi 16,000 anggota digodam
Anggaran Waktu Membaca:
Gambar fail. (Gambar: REUTERS/Kacper Pempel/Illustration/File Photo)
SINGAPURA: Persatuan Peguam Singapura (LawSoc) diarahkan untuk memperbaiki kekurangan dalam keselamatan teknologi maklumatnnya (IT).
Ini selepas berlakunya serangan perisian tebusan pada Januari 2021 terhadap pelayannya (server) yang berisiko membocorkan data peribadi 16,009 anggotanya.
Dalam keputusan yang dikeluarkan pada Khamis (11 Mei), Suruhanjaya Perlindungan Data Peribadi (PDPC) menyatakan bahawa persatuan itu sudah melanggar Bahagian 24 Akta Perlindungan Data Peribadi dengan menggunakan kata laluan yang mudah untuk diteka.
Kata laluan "Welcome2020lawsoc" digunakan untuk akaun pentadbiran LawSoc, yang digodam ketika serangan tersebut.
Persatuan itu juga tidak menukar kata laluan akaun pada "waktu-waktu yang sepatutnya" dan gagal untuk melakukan pemeriksaan keselamatan dalam tempoh tiga tahun sebelum berlakunya insiden itu, menurut PDPC.
Nama-nama anggota, alamat rumah, tarikh lahir dan nombor kad pengenalan dicuri ketika serangan pada Januari 27 2021.
Namun, tiada bukti data tersebut disalah guna dalam sebarang kejadian dan ia bukan maklumat "lebih sensitif" seperti maklumat kewangan atau perubatan, tambah suruhanjaya itu.
PDPC mengarahkan persatuan itu untuk menggunakan syarikat khidmat keselamatan yang berkelulusan untuk melakukan audit keselamatan yang lengkap, menyerahkan laporan tersebut dalam 60 hari, serta memperbaiki sebarang kekurangan keselamatan yang dikenal pasti.
Pesalah di sebalik serangan itu mendapatkan akses kepada akaun pentadbiran IT LawSoc and menggunakannya untuk membuat akaun baru yang mempunyai hak pentadbiran yang penuh.
Individu itu memasang perisian pada pelayan (server) persatuan itu dan menyebabkan beberapa fail disulitkan secara haram.
Serangan itu dikesan pada hari yang sama oleh satu perisian yang mengesan perisian hasad yang digunakan oleh LawSoc. Ia mengambil tindakan dengan segera untuk menyingkirkan akaun pentadbiran itu dan mengembalikan pelayan-pelayan kepada keadaan asalnya, tambah PDPC.
Dalam kenyataan media pada Jumaat (12 Mei), LawSoc menyatakan bahawa ia akan mematuhi arahan PDPC dengan sepenuhnya.
Ia menambah bahawa ia sudah melaksanakan beberapa langkah untuk memperbaiki infrastruktur keselamatan sibernya dalam tempoh dua tahun sejak serangan itu.
Ini termasuk melaksanakan pengesahan pelbagai faktor bagi semua akses VPN dan memperkukuhkan pasukan IT di pejabat untuk mengatasi sebarang masalah keselamatan siber.
Ini selepas berlakunya serangan perisian tebusan pada Januari 2021 terhadap pelayannya (server) yang berisiko membocorkan data peribadi 16,009 anggotanya.
Dalam keputusan yang dikeluarkan pada Khamis (11 Mei), Suruhanjaya Perlindungan Data Peribadi (PDPC) menyatakan bahawa persatuan itu sudah melanggar Bahagian 24 Akta Perlindungan Data Peribadi dengan menggunakan kata laluan yang mudah untuk diteka.
Kata laluan "Welcome2020lawsoc" digunakan untuk akaun pentadbiran LawSoc, yang digodam ketika serangan tersebut.
Persatuan itu juga tidak menukar kata laluan akaun pada "waktu-waktu yang sepatutnya" dan gagal untuk melakukan pemeriksaan keselamatan dalam tempoh tiga tahun sebelum berlakunya insiden itu, menurut PDPC.
Nama-nama anggota, alamat rumah, tarikh lahir dan nombor kad pengenalan dicuri ketika serangan pada Januari 27 2021.
Namun, tiada bukti data tersebut disalah guna dalam sebarang kejadian dan ia bukan maklumat "lebih sensitif" seperti maklumat kewangan atau perubatan, tambah suruhanjaya itu.
PDPC mengarahkan persatuan itu untuk menggunakan syarikat khidmat keselamatan yang berkelulusan untuk melakukan audit keselamatan yang lengkap, menyerahkan laporan tersebut dalam 60 hari, serta memperbaiki sebarang kekurangan keselamatan yang dikenal pasti.
Pesalah di sebalik serangan itu mendapatkan akses kepada akaun pentadbiran IT LawSoc and menggunakannya untuk membuat akaun baru yang mempunyai hak pentadbiran yang penuh.
Individu itu memasang perisian pada pelayan (server) persatuan itu dan menyebabkan beberapa fail disulitkan secara haram.
Serangan itu dikesan pada hari yang sama oleh satu perisian yang mengesan perisian hasad yang digunakan oleh LawSoc. Ia mengambil tindakan dengan segera untuk menyingkirkan akaun pentadbiran itu dan mengembalikan pelayan-pelayan kepada keadaan asalnya, tambah PDPC.
Dalam kenyataan media pada Jumaat (12 Mei), LawSoc menyatakan bahawa ia akan mematuhi arahan PDPC dengan sepenuhnya.
Ia menambah bahawa ia sudah melaksanakan beberapa langkah untuk memperbaiki infrastruktur keselamatan sibernya dalam tempoh dua tahun sejak serangan itu.
Ini termasuk melaksanakan pengesahan pelbagai faktor bagi semua akses VPN dan memperkukuhkan pasukan IT di pejabat untuk mengatasi sebarang masalah keselamatan siber.
Sumber : Today/AE/ae
Ikuti perkembangan kami dan dapatkan Berita Terkini
Langgani buletin emel kami
Dengan mengklik hantar, saya bersetuju data peribadi saya boleh digunakan untuk menghantar artikel dari Berita, tawaran promosi dan juga untuk penyelidikan dan analisis.
