Jauh sebelum serangan siber NL, laporkan kelemahan sistem yang ditandai
Canada

Jauh sebelum serangan siber NL, laporkan kelemahan sistem yang ditandai

Pakar dunia maya Israel yang meninjau pengaturan keamanan informasi di Newfoundland dan otoritas kesehatan terbesar Labrador mengkonfirmasi “banyak kerentanan, masalah keamanan, dan masalah kepatuhan” yang perlu ditangani dalam jaringannya.

Detailnya ada dalam rencana bisnis yang disiapkan untuk Eastern Health pada September 2020 dan baru-baru ini diperoleh oleh CBC/Radio-Canada.

“Sistem provinsi mungkin mengalami pelanggaran keamanan siber sekarang tanpa pengetahuan atau tanggapan yang mungkin karena kurangnya staf yang terampil, kurangnya proses yang ditetapkan dan teknologi yang tepat untuk ancaman keamanan siber yang tak terhindarkan,” tulis proposal tersebut.

Laporan itu diselesaikan lebih dari setahun sebelum serangan siber musim gugur lalu melumpuhkan sistem perawatan kesehatan provinsi itu.

Tidak ada indikasi masalah apa pun yang diidentifikasi terkait dengan pelanggaran musim gugur yang lalu.

Faktanya, belum ada pengungkapan publik tentang apa yang menyebabkan serangan siber sama sekali. Pejabat pemerintah provinsi telah berulang kali menolak untuk menjawab pertanyaan tentang serangan itu, dengan alasan keamanan.

Ronald Johnson, wakil presiden inovasi dan kesehatan pedesaan Eastern Health, mengatakan kepada CBC/Radio-Canada bahwa rencana bisnis dibuat sebagai bagian dari proses untuk membangun pusat keunggulan keamanan siber di provinsi tersebut.

Tetapi dia tidak akan mengatakan dengan tepat apa yang telah dilakukan untuk mengatasi kekhawatiran yang diangkat dalam laporan tersebut.

“Beberapa tindakan akan terjadi dari penilaian itu. Tetapi sekali lagi, penilaian itu dimaksudkan untuk mengatur panggung untuk proyek yang lebih besar ini,” kata Johnson.

“Isu-isu yang diidentifikasi, isu-isu yang lebih besar, adalah apa yang saya sebut tantangan untuk sistem kesehatan. Dan tujuan COE, pusat keunggulan dunia maya ini, adalah untuk mengatasi tantangan tersebut.”

Ronald Johnson adalah wakil presiden inovasi dan kesehatan pedesaan di Eastern Health, otoritas kesehatan terbesar di Newfoundland dan Labrador. (Patrick Butler/Radio-Kanada)

Johnson mengatakan pekerjaan itu dimaksudkan untuk mengidentifikasi “masalah global” yang dapat memengaruhi organisasi perawatan kesehatan di seluruh negeri.

“Proyek ini ditujukan untuk mengatasi keamanan siber untuk jangka panjang. Ini tidak serta merta menghalangi apa pun yang terjadi dalam jangka pendek.”

Johnson mengatakan dia tidak bisa membahas upaya jangka pendek.

Departemen Kesehatan menolak membuat siapa pun tersedia untuk wawancara guna mengatasi masalah apa pun yang diangkat oleh laporan tersebut.

‘Ini benar-benar bisa dianggap sebagai peringatan’

Eastern Health telah bekerja sama dengan mitra sejak 2019 dalam konsep center of excellence.

Rencana bisnis 2020 disiapkan oleh perusahaan yang berbasis di Ottawa bernama Canada Israel Technology Solutions.

Ini termasuk “analisis mendalam tentang paparan” sistem TI di Kesehatan Timur dan Pusat Informasi Kesehatan Newfoundland dan Labrador, yang bertanggung jawab atas keamanan jaringan untuk semua otoritas kesehatan di provinsi tersebut.

Analisis sebenarnya, yang dilakukan oleh perusahaan Israel CyberMDX, tetap dirahasiakan. Tetapi garis besar temuannya dijelaskan dalam proposal bisnis 2020.

CBC/Radio-Canada memberikan dokumen setebal 40 halaman itu kepada setengah lusin pakar keamanan siber untuk memahaminya.

“Saya pikir itu benar-benar dapat dianggap sebagai peringatan,” kata Simon Woodworth, direktur Pusat Penelitian Sistem Informasi Kesehatan di University College Cork di Irlandia.

“Dan dalam hal itu, penting bahwa serangan siber terjadi setahun setelah peringatan itu.”

Sam Harper, jurnalis dan programmer Crypto Quebec, berkata, “Alarm [were] pergi ketika saya sedang membacanya.”

‘Analis keamanan tidak memadai’

Bagian dari laporan tentang kebutuhan keamanan siber mengacu pada sejumlah masalah potensial.

Mulai dari teknologi yang ketinggalan zaman hingga kurangnya staf hingga database yang tidak memadai yang digunakan untuk melacak informasi tentang aset.

Menurut laporan tersebut, ada komponen kuno di beberapa sistem TI yang tidak dapat dikelola atau ditambal dengan tepat, dan kemungkinan besar perlu ditingkatkan atau dinonaktifkan sama sekali.

Dokumen tersebut merekomendasikan lebih banyak staf keamanan untuk mengidentifikasi, menanggapi, mengurangi, dan mempertahankan diri dari ancaman siber.

Dikatakan bahwa sementara sistem Kesehatan Timur dan NLCHI dibangun dengan praktik terbaik dan standar keamanan, ada “analis keamanan yang tidak memadai yang dapat memastikan kepatuhan penuh.”

Akibatnya, hanya sebagian audit yang dilakukan setiap tahun pada sejumlah sistem keamanan kritis tertentu.

Pejabat Kesehatan Timur mengatakan laporan tahun 2020 yang mengidentifikasi potensi masalah dibuat sebagai bagian dari proses jangka panjang untuk membangun pusat keunggulan keamanan siber di Newfoundland dan Labrador. (REUTERS/Kacper Pempel/File Photo)

“Jika Anda tidak memiliki personel untuk memelihara sistem, itu seperti memiliki mobil yang tidak pernah Anda rencanakan untuk mengganti oli, atau bola lampu, atau ban,” kata Iva Tasheva, salah satu pendiri dan pimpinan manajemen keamanan siber untuk Perusahaan konsultan CyEn yang berbasis di Brussel.

“Jadi pada akhirnya itu akan luntur dan akan sangat cepat menjadi usang.”

Sam Harper dari Crypto Quebec setuju.

“Semua orang selalu mengatakan bahwa segala sesuatu dibangun dengan standar dan segalanya, tetapi sayangnya, bagaimana Anda mempertahankannya setelah itu yang penting,” kata Harper.

“Maksud saya, Anda dapat membangun rumah dengan cara sebaik mungkin, tetapi jika Anda tidak pernah melakukan perbaikan yang diperlukan, jika Anda tidak memperbaiki barang-barang saat rusak, yah, setelah 20 tahun, setelah 10 tahun, Anda mungkin dalam masalah.”

Risiko baru berkembang dan begitu juga praktik, termasuk praktik kriminal, kata Solange Ghernaouti, profesor keamanan siber di Universitas Lausanne di Swiss.

“Artinya kita butuh teknisi untuk melakukan pengamanan, tapi di atas semua itu kita butuh analis yang mampu memahami situasi, apa yang perlu dilindungi, risikonya,” kata Ghernaouti.

‘Masalah kepatuhan yang harus ditangani’ di jaringan

Rencana bisnis 2020 juga mencatat kurangnya database item konfigurasi lengkap saat ini baik yang ada maupun yang dipelihara, sehingga sulit untuk menentukan cakupan penuh dari peningkatan dan penambalan yang diperlukan.

Basis data itu pada dasarnya adalah inventaris aset perangkat keras dan perangkat lunak.

“Dalam hal ini, jelas terlihat kurangnya visibilitas di seluruh jaringan,” kata Ronan Murphy, ketua eksekutif SmartTech247, sebuah perusahaan keamanan siber Irlandia yang beroperasi secara global.

“Bahkan jika Anda memiliki visibilitas, itu adalah lingkaran setan jika Anda tidak memiliki analis atau kemampuan untuk menyelesaikan masalah yang Anda lihat. Ini adalah poin yang bisa diperdebatkan.”

Pejabat pemerintah Newfoundland dan Labrador hanya memberikan sedikit informasi tentang serangan siber yang membuat sistem perawatan kesehatan provinsi itu kacau balau musim gugur lalu. Mereka tidak akan mengatakan apakah itu disebabkan oleh ransomware, atau siapa yang bertanggung jawab. (Kacper Pempel/Reuters)

Menurut laporan itu, Eastern Health menyewa CyberMDX untuk keterlibatan “bukti nilai” selama satu bulan untuk memantau sistem secara pasif di rumah sakit Carbonear.

“Dalam waktu singkat sistem berfungsi, temuan CyberMDX telah mengkonfirmasi bahwa ada banyak kerentanan, masalah keamanan, dan masalah kepatuhan yang harus ditangani dalam jaringan EH,” tulis proposal bisnis 2020.

CyberMDX — yang baru-baru ini diakuisisi oleh perusahaan lain — menolak permintaan CBC/Radio-Canada untuk memberikan lebih banyak informasi tentang pekerjaannya di Newfoundland dan Labrador.

Pejabat dengan Canada Israel Technology Solutions tidak dapat dihubungi untuk dimintai komentar.

Status pusat keunggulan

Sejumlah pakar keamanan siber yang dihubungi oleh CBC/Radio-Canada menekankan bahwa rencana bisnis 2020 adalah bagian dari promosi penjualan kepada otoritas kesehatan, dan konteks itu harus diingat ketika melihat kesimpulannya.

Eastern Health membuat dokumen tersebut tersedia bagi calon mitra sektor swasta tahun lalu, saat proses bergerak maju untuk mengukur minat dan umpan balik industri di pusat ide keunggulan.

Wakil presiden Ronald Johnson mengatakan rencana itu terus berkembang, dengan “batu bata dan mortir” mungkin terjadi pada akhir tahun ini.

Tujuannya adalah untuk mengamankan infrastruktur perawatan kesehatan provinsi dari ancaman siber, sambil membangun keahlian di industri ini.

“Kami akan melindungi aset kami, tetapi pada saat yang sama, kami akan menciptakan lapangan kerja dan pembangunan ekonomi,” kata Johnson.

“Itulah mengapa kami telah melakukannya.”

Menurut presentasi Eastern Health dari musim panas lalu, pusat keunggulan hampir mencapai titik impas setelah lima tahun, setelah menimbulkan biaya bersih lebih dari $28 juta.

Pertanyaan tentang serangan siber tetap tidak terjawab

Pejabat pemerintah tetap diam tentang sebagian besar aspek serangan siber, yang melumpuhkan banyak sistem komputer kesehatan di provinsi tersebut.

Mereka telah mengkonfirmasi bahwa informasi pribadi dari ribuan pegawai otoritas kesehatan telah dicuri, selama bertahun-tahun atau bahkan puluhan tahun, bersama dengan 200.000 catatan Kesehatan Timur yang dapat berisi data kesehatan pasien. Operasi dan prosedur medis ditunda musim gugur yang lalu.

Tetapi pemerintah provinsi tidak akan mengatakan siapa yang bertanggung jawab atas serangan itu, apakah itu melibatkan ransomware, apakah ada uang tebusan yang dibayarkan, atau apakah ada yang telah dilakukan sejak itu untuk mengatasi masalah apa pun.

“Saya pikir akan aman untuk mengatakan kami telah mengambil langkah-langkah untuk memperbaiki masalah yang kami temukan,” kata Menteri Kesehatan John Haggie pada akhir Maret.

“Saya pikir lebih dari itu, tidak bijaksana untuk membahas terlalu banyak detail lagi. Untuk alasan keamanan, ini seperti memberikan kode sandi untuk sistem alarm Anda kepada pencuri.”

Tetapi Simon Woodworth dari University College Cork mengatakan harus ada transparansi dan keterbukaan.

“Ada kebiasaan buruk baik individu maupun perusahaan dan departemen pemerintah untuk tetap diam tentang serangan dunia maya dan konsekuensinya,” katanya.

“Ini adalah data pasien yang mereka tangani. Orang berhak mengetahui seberapa baik perlindungan data tersebut.”

Dan Woodworth mempertanyakan mengapa rencana bisnis tidak lebih fokus pada solusi jangka pendek daripada tujuan jangka panjang.

“Dokumen itu mungkin bisa mengatakan sedikit lebih banyak tentang ‘ini adalah hal yang perlu Anda lakukan segera sebelum kita terjebak dalam rencana besar,'” katanya.

Baca lebih lanjut dari CBC Newfoundland dan Labrador

Posted By : data hk 2021