Serangan cyber SingHealth: IHiS memecat 2 karyawan dan menjatuhkan hukuman finansial kepada CEO

SINGAPURA: Sistem Informasi Kesehatan Terpadu (IHiS) telah memecat dua karyawan karena kelalaian dalam serangan dunia maya di SingHealth, yang melihat informasi pribadi 1,5 juta pasien dicuri, termasuk dari Perdana Menteri Lee Hsien Loong.

IHiS, agensi TI pusat yang bertanggung jawab untuk sektor kesehatan di Singapura, mengatakan pada hari Senin (14 Januari) bahwa mereka juga mengenakan penalti finansial "signifikan" pada lima anggota manajemen puncaknya, termasuk CEO Bruce Liang, "untuk itu. tanggung jawab kepemimpinan kolektif ".

Denda keuangan "moderat" akan dikenakan pada dua pengawas manajemen menengah yang diawasi oleh dua karyawan yang dipecat.

IHiS menolak untuk memberikan rincian lebih lanjut tentang sanksi keuangan.

BACA: Sistem kesehatan di Singapura dipengaruhi oleh "pelanggaran paling serius terhadap data pribadi"; Data PM Lee ditargetkan

BACA: Jika Anda ingin mempermalukan saya, Anda akan kecewa: PM Lee dalam serangan cyber SingHealth

Keputusan itu muncul setelah IHiS menunjuk panel independen pada November untuk memeriksa mereka yang terlibat dan memberikan serangkaian rekomendasi kepada dewan, yang telah "sepenuhnya menerima" rekomendasi.

Dua orang dipecat, satu dikalahkan

Ditemukan bahwa pemimpin tim Citrix dan manajer respons insiden keamanan "lalai dan tidak mengikuti perintah", yang mengakibatkan implikasi keamanan dan berkontribusi pada "skala insiden yang belum pernah terjadi sebelumnya".

Sementara pemimpin tim Citrix memiliki keterampilan teknis yang diperlukan, sikapnya terhadap keamanan dan konfigurasi servernya menimbulkan risiko yang tidak perlu dan penting bagi sistem, kata IHiS.

Manajer Respons Insiden Keamanan telah "terus mempertahankan pemahaman yang salah" tentang apa yang merupakan insiden keamanan, dan kapan harus diberitahu tentang insiden tersebut. Kepasifannya, bahkan setelah peringatan berulang dari stafnya, menghasilkan peluang yang terlewatkan yang bisa mengurangi atau mencegah efek dari serangan dunia maya, IHiS menambahkan.

"Meskipun tidak ada niat untuk menyebabkan atau memfasilitasi serangan siber, keduanya tidak memenuhi tanggung jawab yang dipercayakan kepada mereka," kata perusahaan itu dalam siaran pers.

BACA: pejabat IHiS ragu-ragu sebelum melaporkan dugaan pelanggaran

Ditemukan juga bahwa Petugas Keamanan Informasi Grup tidak sepenuhnya memahami apa yang merupakan insiden keamanan dan tidak mematuhi proses pelaporan insiden IHiS.

IHiS mengatakan panel mempertimbangkan faktor-faktor mitigasi, seperti kurangnya kemampuan, yang membuatnya tidak cocok untuk kertas. Petugas akan diturunkan pangkatnya dan didistribusikan kembali ke peran lain.

TIGA KARYAWAN TERPADU

IHiS mengatakan surat rekomendasi dikirimkan kepada tiga karyawan, yang rajin menangani insiden di luar lingkup pekerjaan dan tanggung jawab mereka. Mereka "proaktif dan menunjukkan kecerdikan" dalam manajemen serangan siber, katanya.

BACA: Petugas mengambil inisiatif untuk menyelidiki meskipun itu bukan pekerjaannya

Presiden IHiS Paul Chan mengatakan serangan dunia maya itu mengingatkan akan perlunya lebih waspada dan siap menghadapi ancaman dunia maya.

"IHiS akan belajar dari kejadian ini dan akan bekerja dengan Kementerian Kesehatan dan kelompok perawatan kesehatan untuk menerapkan perubahan yang diperlukan yang akan membantu kita menjadi lebih kuat dari ini," tambahnya.

Serangan dunia maya adalah pelanggaran paling serius terhadap data publik di Singapura. Dia melihat catatan 1,5 juta pasien, termasuk nama mereka, nomor dan alamat NRIC, bersama dengan informasi lain yang diakses dari 28 Juni hingga 4 Juli tahun lalu. Di antara data yang diambil adalah catatan obat sekitar 160.000 pasien.

Di antara mereka yang terkena dampak adalah Perdana Menteri Lee Hsien Loong, dengan para penyerang berulang kali menunjuk rincian pribadi mereka dan informasi tentang obat-obatan rawat jalan mereka.

Komite Penelitian (COI), yang menyelidiki serangan siber SingHealth dalam versi publik dari laporannya yang diterbitkan Kamis lalu, menyajikan tujuh prioritas dan sembilan rekomendasi tambahan.

Rekomendasi tersebut merujuk pada lima area luas, mulai dari pembangunan budaya keamanan siber hingga peningkatan kemampuan respons insiden.

BACA: Laporan SingHealth COI dipublikasikan: kerentanan sistem, kesalahan personel, dan peretas ahli menyebabkan serangan dunia maya

BACA: "Penyerang bisa ditahan": laporan SingHealth COI

Dipimpin oleh pensiunan Hakim Distrik, Richard Magnus, IOC yang beranggotakan empat orang itu dituduh membuat berbagai peristiwa dan faktor yang berkontribusi terhadap serangan dunia maya dalam sistem basis data pasien SingHealth pada 27 Juni tahun lalu atau sekitar tanggal itu, dan "exfiltration" selanjutnya dari data jaringan.

IHiS mengatakan telah mempercepat dan mengimplementasikan serangkaian 18 langkah keamanan siber untuk memperkuat perlindungan keamanan sibernya. Selain itu, partisipasi dan pelatihan staf telah ditingkatkan untuk meningkatkan kewaspadaan dan meningkatkan kesadaran staf tentang keamanan siber.

Dia menambahkan bahwa dia sedang mempelajari temuan dan rekomendasi dari IOC.

"Pembelajaran dan bidang kritis peningkatan laporan IOC membutuhkan perubahan paradigma dalam cara kami mengelola keamanan siber," kata perusahaan itu.

Be the first to comment

Leave a Reply

Your email address will not be published.


*