Penulis: Dr. Antonius Alijoyo, ERMCP, CERG
27 Januari 2019
Awal bulan Januari 2019, pemerintah Singapura (Committee of Inquiry: COI) telah mengeluarkan hasil investigasi resmi kasus SingHealth yang terjadi di pertengahan 2018. Dalam kasus tersebut, peretas berhasil membobol sistem informasi SingHealth sebagai penyedia jasa perawatan kesehatan terbesar di Singapura dan menyalin sekitar 2.5 juta data pribadi pasien mereka termasuk data pribadi Perdana Menteri Lee Hsien Loong.

Setelah hasil investigasi dikeluarkan dan publik paham permasalahan yang terjadi, pemerintah Singapura mengeluarkan 16 rekomendasi yang bertujuan untuk mengisolasikan dampak serangan yang sudah terjadi serta mencegah terjadinya serangan sejenis. Di bawah ini adalah hasil temuan COI yang kemudian dipublikasikan kepada publik di bulan Januari 2019, diikuti oleh 16 rekomendasi.
Hasil Investigasi COI pemerintah Singapura:
  1. Staf Teknologi Informasi (TI) yang bertugas tidak memiliki tingkat kesadaran cukup mengenai keamanan siber (cyber security), tidak terbekali pelatihan dan tidak terdukung sumber daya memadai untuk mampu mengukur sejauh apa implikasi keamanan terhadap kejadian peretasan, serta tidak efektif melakukan tanggapan terhadap serangan yang terjadi.
  2. Beberapa staf TI yang memiliki peran kunci dalam penanganan dan pelaporan insiden keamanan TI gagal melakukan tindakan yang patut, serta aksi yang cepat dan efektif, sehingga kehilangan kesempatan untuk mencegah pencurian dan pengambilan paksa data dalam serangan tersebut.
  3. Ada beberapa titik rapuh, kelemahan, dan kesalahan konfigurasi pada sistem dan jaringan SIngHealth yang berkontribusi terhadap kesuksesan si peretas dalam memperoleh dan mengambil paksa data, di mana banyak dari titik rapuh dan kelemahan tersebut sebetulnya dapat diperbaiki sebelum terjadinya serangan.
  4. Penyerang adalah aktor yang canggih dan berkemampuan tinggi yang mencerminkan karakter sebagai kelompok ancaman canggih yang gigih (advanced persistent group).
  5. Sementara pertahanan siber secara umum adalah sesuatu yang tidak akan pernah ‘tidak terkalahkan’ (impregnable), dan karena saat ini sistem yang ada mungkin sulit untuk mencegah ancaman peretasan yang canggih dan gigih, maka penerobosan perimeter jaringan dan sukses peretasan dalam memperoleh dan mengambil paksa data adalah hal yang tidak terhindarkan.
Berikut adalah rekomendasi pemerintah Singapura yang terdiri dari 16 tata rekomendasi dengan 7 rekomendasi prioritas:
  1. Mengadopsi struktur keamanan dan kesiapan yang telah diperkuat. Termasuk di dalamnya adalah pemastian bahwa: keamanan siber harus dipandang sebagai isu manajemen, bukan sekedar isu teknikal; keamanan tidak boleh mengandalkan hanya satu lapis pertahanan saja; dan kesenjangan antara kebijakan dan praktik harus ditangani.
  2. Lapisan siber organisasi harus ditinjau apakah cukup untuk melakukan pertahanan dan tanggapan terhadap ancaman peretasan yang canggih.
  3. Kesadaran staf tentang keamanan siber harus ditingkatkan untuk memperkuat kapasitas dalam mencegah, mendeteksi, serta menanggapi insiden keamanan yang terjadi.
  4. Pengecekan keamanan (siber) yang telah diperkuat harus segera dilaksanakan,
  5. Akun administrator yang memiliki keistimewaan harus diberikan kontrol yang lebih ketat dan pemantauan yang lebih sering dan dalam,
  6. Proses tanggapan terhadap insiden harus ditingkatkan agar lebih efektif dalam memberikan tanggapan terhadap serangan siber,
  7. Kemitraan dibutuhan antara industri dan pemerintah untuk mencapai keamanan kolektif yang lebih tinggi,
Bagi praktisi manajemen risiko Indonesia, kasus serangan siber SingHealth merupakan pembelajaran bagaimana suatu risiko siber dapat terjadi dan menimbulkan kerusakan baik finansial maupun non-finansial terutama reputasi organisasi dan reputasi negara, dan oleh karena itu pertahanan dan ketangguhan organisasi terhadap serangan siber perlu diperkuat.
Terkait dengan membangun pertahanan dan ketangguhan terhadap risiko siber, perlu diketahui oleh praktisi manajemen risiko bahwa ISO 27001 standar internasional mengenai keamanan informasi dapat digunakan sebagai rujukan kerangka kerja yang eksplisit tentang apa saja langkah yang perlu dilakukan oleh suatu organisasi untuk mencegah adanya penyerangan data dan sekaligus memberikan petunjuk tentang sistem manajemen apa yang dapat dipakai dalam mengelola tanggung jawab keamanan informasi organisasi tanpa menimbulkan komplikasi yang besar. Setelah itu, praktisi manajemen risiko perlu melakukan integrasi antara ISO 27001 standar internasional keamanan informasi dengan ISO 31000 standar internasional manajemen risiko.
Integrasi antara keduanya akan membangun ketahanan dan ketangguhan organisasi yang tidak hanya bersandar pada jaringan siber mereka saja tetapi juga terhadap semua titik rawan risiko organisasi secara keseluruhan baik dalam konteks internal maupun eksternal mereka.
Referensi:
  1. The Straits Times, jan 10 2019: COI on SingHealth cyber attack: 16 recommendations https://www.straitstimes.com/singapore/16-recommendations
  2. The Straits Times, july 20, 2018 : SingHealth cyber attack: How it unfolded https://graphics.straitstimes.com/STI/STIMEDIA/Interactives/2018/07/sg-cyber-breach/index.html
  3. SIngapore Law Watch (SLW) 10 January 2019: COI on SingHealth cyber attack: 5 key findings https://www.singaporelawwatch.sg/Headlines/coi-on-singhealth-cyber-attack-5-key-findings
  4. Channel News Asia jan 15, 2019: SingHealth cyberattack: Govt to fully adopt COI recommendations, S Iswaran says. https://www.channelnewsasia.com/news/singapore/singhealth-cyberattack-ministerial-statement-coi-recommendations-11125014