Serangan siber SingHealth: Pegawai IHiS teragak-agak buat laporan tentang pencerobohan

SINGAPURA: Proses kerja dan penilaian kakitangan didapati antara kelemahan yang membawa kepada serangan siber yang berlaku terhadap pangkalan data SingHealth.

Demikian didedahkan dalam sesi keempat Jawatankuasa Siasatan semalam (27 Sep).

Pegawai Keselamatan Maklumat Kelompok, Encik Wee Jia Huo, merupakan seorang kakitangan utama yang ditugaskan segera memberi amaran sekiranya berlaku sebarang insiden pencerobohan. Beliau merupakan satu-satunya individu yang menggalas tugas seumpama itu.

Dalam satu insiden, beliau ditunjukkan dokumen-dokumen yang menggambarkan berlakunya satu masalah keselamatan serius. Namun, beliau tidak melaporkan hal itu. Alasannya - ia belum lagi disahkan sebagai satu pencerobohan. Ini meskipun beliau tidak berdepan dengan sebarang tindakan sekiranya membuat laporan yang 'salah'.

Di samping itu, Encik Wee menerangkan bahawa beliau bergantung kepada kakitangan-kakitangan yang juga pakar dalam bidang berkenaan dan tidak selalu mengatur mesyuarat dengan mereka. Beliau juga tidak mempunyai sistem yang memantau sebarang siasatan yang dijalankan dan hanya bergantung kepada kakitangan lain untuk melaporkan perkembangan terkini kepadanya.

Akhir sekali, beliau tidak menetapkan arahan bahawa setiap insiden perlu dilaporkan secepatnya dalam rangka kerja risiko yang dikeluarkan. Ini mendorong Pengerusi COI Richard Magnus untuk bertanya tentang sebab di sebalik tindakannya itu, memandangkan Encik Wee berpengalaman selama 18 tahun sebagai seorang pakar IT, iaitu sejak tahun 2000.

Encik Wee berkata ia merupakan kali pertama beliau memainkan peranan tersebut dan beliau sudah merujuk kepada dasar dan piawai keselamatan IT ketika melakarkan rangka kerja itu.

Dua lagi saksi turut memberi keterangan dalam sesi tersebut - salah seorangnya sebelum ini mendraf Prosedur Operasi Standard (SOP) respons insiden. 

Encik Han Hann Kwang, Penolong Pengarah di Jabatan Khidmat Prasarana menjelaskan apa yang beliau maksudkan sebagai insiden keselamatan yang "disahkan".

Beliau berkata bahawa seorang pegawai perlu mengumpul maklumat yang mencukupi sebelum membuat penilaian lalu membuat aduan, ia bukan sesuatu yang dipandang remeh.

Namun, beliau menarik perhatian bahawa ia bergantung kepada pengalaman dan penilaian seseorang pegawai dan menetapkan garis masa atau perlunya melaporkan insiden seumpama itu, tidak mungkin sama sekali.

Saksi ketiga ialah Encik Henry Arianto, seorang Timbalan Pengarah (Pengurusan dan Penghantaran Produk), di Jabatan Penjagaan Klinikal IHiS. Beliau mempunyai pandangan yang serupa dengan Encik Han dan menekankan bahawa beliau tidak pernah diberi taklimat tentang sebarang kerja untuk membuat laporan. Encik Arianto sebelum ini berfikir sebarang kegiatan mencurigakan merupakan audit yang dijalankan secara mengejut.