Sidang COI SingHealth: Pegawai IHiS kongsi mengapa teragak-agak laporkan insiden IT mencurigakan

SINGAPURA: Pengurus kanan Sistem Maklumat Kesihatan Bersepadu (IHiS) kembali memberikan keterangan pada Rabu (31 Okt) untuk menerangkan lebih lanjut sebab beliau tidak melaporkan aktiviti mencurigakan pada rangkaian data SingHealth kepada pihak atasan beliau, selepas rekod perbualannya dengan rakan-rakan kerja dibentangkan kepada beliau.

Mesej yang dikongsi termasuk perbualan antara beliau dan tujuh anggota pasukannya - Benjamin Lee, Wee Jia Huo, Muhammad Azzlan Zainuddin, Alvin Chua, Lum Yuan Woh, Zac Lim dan Sean Navin antara 13 Jun hingga 9 Julai, semasa serangan siber dilakukan.

Dalam beberapa rakaman perbualan, kakitangan bawahan Encik Tan menarik perhatian akan beberapa aktiviti mencurigakan namun beliau memilih untuk tidak melaporkan kepada pihak atasan atas beberapa sebab.

Contohnya, beliau diberitahu pada 26 Jun tentang adanya akses ke server Citrix menggunakan akaun pengguna tertentu. Encik Tan dalam rakaman perbualan itu menjawab bahawa beliau mendapati perbuatan itu 'ganjil' tetapi 'tidak membimbangkan' apabila seorang pegawainya yang bernama Benjamin berkata "penyerang mungkin dapat meneka kata kunci" akaun berkenaan.

Encik Tan berkata: "Saya tidak begitu risau, kerana Benjamin (orang bawahannya) hanya menyarankan kemungkinan akaun itu digodam".

"Beliau tidak mengesahkan bahawa akaun itu benar-benar digodam."

Encik Tan memberi keterangannya itu pada hari ketiga sesi mendengar keterangan awam Jawatankuasa Siasatan (COI) mengenai serangan siber terhadap pangkalan data SingHealth pada Jun lalu.

Ia bertujuan menentukan sebab berlakunya serangan siber paling buruk di Singapura yang menjejas SingHealth sehingga berjaya mencuri butiran peribadi kira-kira 1.5 juta pesakit - dengan 160,000 daripadanya termasuk Perdana Menteri Lee Hsien Loong turut dicuri rekod perubatan mereka.

"JIKA SAYA LAPORKAN PERKARA ITU, APA YANG SAYA DAPAT?"

Satu lagi kejadian berlaku pada 4 Julai, iaitu hari serangan siber itu dikesan dan berjaya digagalkan seorang lagi kakitangan IHiS, Katherine Tan - Benjamin memberitahu Encik Tan bahawa "kita benar-benar perlu laporkan insiden... Nampak seperti seseorang berjaya masuk ke pangkalan data SCM (Pengurus Klinik Sunrise) ... Serangan sedang berlaku".

Menjawabnya Encik Tan berkata beliau "tidak nampak ada keperluan untuk melaporkannya kepada pihak atasan" dan tidak bersetuju dengan penilaian orang bawahannya.

Beliau menambah: "Bagi saya, saya perlu dapatkan semua maklumat berikut sebelum hal itu boleh dilaporkan:

a. Semua maklumat tentang kesan serangan;
b. Identiti penyerang;
c. Dari mana datangnya serangan;
d. Adakah penyerangnya 'orang dalam' atau 'dari luas' iaitu pengguna SingHealth atau luar sistem SingHealth;
e. Adakah maklumat dari pangkalan data SCM benar-benar diakses;
f. Sama ada terdapat lebih dari satu kejadian akses ke pangkalan data SCM."

Beliau menambah tumpuannya pada masa itu adalah "memencilkan, membendung dan pertahan dahulu".

Dalam mesej kepada pasukannya pada 6 Julai beliau menambah: "Meskipun kita laporkan sekarang dan bawa pakar ke sini, mereka akan mengatakan langkah-langkah mengetatkan keselamatan yang kita lakukan sekarang tidak mencukupi...sebaik kita bawakan ke perhatian pengurusan, semua orang di IHis akan bekerja siang malam untuk tangani kes ini."

Namun beliau akur pada ketika itu beliau harus melaporkan kejadian tersebut kepada pihak pengurusan tetapi memilih untuk tidak melakukannya.

Bahkan pengurus kanan itu menambah : "Jika saya laporkan perkara itu, apa yang saya dapat?" sambil menambah akan "mendapat lebih tekanan" dari agensi-agensi seperti Agensi Keselamatan Siber (CSA) dan Kementerian Kesihatan.

Namun, saksi kedua sesi hari ini, Ketua Pegawai Maklumat Kumpulan (GCIO) SingHealth Benedict Tan, menegaskan bahawa maklumat yang didakwa perlu oleh Encik Ernest Tan untuk melaporkan insiden tersebut pada hakikatnya "tidak diperlukan" .

Encik Benedict Tan berkata lebih penting lagi adalah bagi insiden itu segera dilaporkan daripada cara ia dilaporkan.

Sidang diteruskan petang ini, dengan sebahagiannya tidak dibuka kepada media atas sebab keselamatan negara.