فشل الحكومة في حماية بيانات PDN ، انتهكت الحكومة قانون PDP
جاكرتا - شهد المركز الوطني للبيانات (PDN) هجوما إلكترونيا منذ يوم الخميس 20 يونيو ولم يتعافى تماما. على الرغم من محاولة إعادة هذه البيانات ، اعترف فريق الحكومة في هذه الحالة من وزارة الاتصالات والمعلوماتية و BSSN و Polri وكذلك Telkom كإدارة ل PDN أخيرا بأنه فشل في استعادة البيانات المخزنة في PDN.
"نحن نعمل بجد لاسترداد الموارد التي لدينا. ما هو واضح هو أنه لا يمكننا استرداد البيانات التي تعرضت لبرمجيات الفدية. لذلك الآن نستخدم الموارد التي ما زلنا نملكها "، قال مدير شبكة وتكنولوجيا المعلومات في Telkom ، هيرلان ويجاناركو ، الأربعاء ، 26 يونيو.
ووفقا لمدير ELSAM ، Wahyudi Djafar ، فإن اختراق PDN واقتحام البيانات من عدد من الوكالات يظهر أن نظام الحماية الذي تنفذه الحكومة ضعيف للغاية ، ويجب معالجته في إشارة إلى معايير القانون.
وقال الاثنين 1 يوليو 2024 "إن حالات مختلفة من الانتهاكات المزعومة للبيانات الشخصية ، في شكل هجمات على سرية البيانات (الخصوصية) ، والتي لها تأثير على الكشف عن عدد من عناصر البيانات ، التي تديرها مراقبو البيانات الحكوميون ، تؤكد بشكل متزايد على ضعف نظام حماية البيانات الذي ينفذه".
وكشف ، في خضم الجهود المبذولة لاستعادة PDN المؤقتة بسبب هجمات برامج الفدية ، أن عددا من بيانات الوكالات الحكومية تم بيعها من قبل المتسللين من خلال مواقع خاصة. وهناك عدد من الوكالات التي يشتبه في تعرضها لاقتحام البيانات هي المديرية العامة للطيران المدني (البيانات وصور الموظفين ، واسم المستخدم وكلمة المرور لجميع التطبيقات ، والمشاركين في شهادة الطيار بدون طيار ، وبيانات الطيران).
مؤسسات أخرى تم تسريب بياناتها من قبل المتسللين هي وكالة تنفيذ الضمان الاجتماعي للتوظيف (BPJS) التي تتضمن أسماء وتواريخ ميلاد المشاركين في BPJS Ketenagakerjaan وعناوين البريد الإلكتروني وأرقام الهواتف والفئات العمرية والعناوين ورموز البريد.
ثم اعترف المتسللون أيضا بسرقة بيانات من وكالة الاستخبارات الاستراتيجية (BAIS) التابعة ل TNI ، ونظام تحديد بصمات الأصابع التلقائي الإندونيسي (INAFIS) التابع للشرطة الوطنية (يغطي البيانات الحساسة عن بصمات الأصابع) ، وحكومة مدينة دينباسار ، وحكومة مدينة سيمارانغ.
حماية البيانات الحكومية لا تتوافق مع معايير القانون
على الرغم من أنه من غير المعروف بعد ما إذا كان مصدر البيانات لعدد من الوكالات يأتي من اختراق PDN المؤقت أو غيره ، إلا أن إدارة البيانات تنطوي على مراقبي البيانات الشخصية من القطاع العام الذي تديره الحكومة.
وشدد الوهيودي على أنه إذا كانت الحكومة مهملة في إدارة البيانات وضمانها وحمايتها، فإنها لن تنتهك قانون حماية البيانات الشخصية. وذلك لأن القانون رقم 27/2022 بشأن حماية البيانات الشخصية ينطبق أيضا على جميع مراقبي البيانات العامة، بما في ذلك تنفيذ جميع معايير الامتثال.
وأوضح أن "الحكومة بصفتها وحدة التحكم في البيانات يجب أن تكون مسؤولة ومتوافقة مع القانون، وأن تضمن أمن معالجة البيانات، وأن تسجل أنشطة معالجة البيانات، وأن تحافظ على سرية البيانات، وأن تقدم إشعارات (إشعارات) في حالة حدوث انتهاكات، وأن تقيم تأثير حماية البيانات".
وذكر الوهيودي أنه نظرا لولاية قانون PDP ، يجب على الحكومة اتخاذ خطوات تقنية ومنظمة لضمان الامتثال. بالإضافة إلى ذلك، يجب على الحكومة أيضا التحرك بسرعة لاتخاذ خطوات استراتيجية بعد حادثة اختراق برامج الفدية ضد PDN المؤقتة، والاقتحام المزعوم لبيانات عدد من المؤسسات، حتى لا تتداخل مع تنفيذ نظام الحكم الإلكتروني (SPBE).
وقال إن ضعف حماية البيانات الشخصية للمواطنين التي تديرها المؤسسات العامة لا يرتبط فقط بمخاطر الكشف عن هذه البيانات. ولكن يمكن أن يكون لها أيضا تأثير على النزاهة حتى فقدان البيانات ، كما يحدث في حالة القرصنة المؤقتة ل PDN.
وتابع واهيودي أن الهجمات الإلكترونية يمكن أن تجعل سرية البيانات ونزاهتها وتوافرها مهددة. في الواقع ، يعد إنشاء PDN في صميم أهداف أمن البيانات العامة والحكومية.
وقال: "إذا لم يتم إجراء تحسين شامل على الفور ، فمن المخوف أن المخاطر والتهديدات للمواطنين ستصبح أسوأ ، وكلما كان من الصعب التخفيف ، وبالطبع ستؤدي إلى خسائر اقتصادية ضئيلة".
وأعطى مثالا على ذلك ، اضطرت حكومة كوريا الجنوبية في عام 2019 إلى ضخ ميزانية تصل إلى 650 مليون دولار أمريكي للتعامل مع اختراق البيانات العامة. تم صرف مثل هذه الميزانية لتغيير هوية 50 مليون كوري جنوبي حيث وقع 20 مليون من مواطنيها ضحايا لاختراق البيانات في عام 2014.
جاكرتا - خبير الأمن السيبراني من مختبر المدن الذكية والأمن السيبراني ITS ، ريدو رحمن حريادي ، فشل الحكومة في حماية البيانات في PDN Sementara لا يهدد المؤسسات الكبيرة فحسب ، بل يؤثر أيضا على المجتمع الأوسع.
يمكن أن تشمل التهديدات للجمهور فقدان البيانات الشخصية مثل الصور والوثائق والمعلومات المالية المصابة ببرامج الفدية. يمكن لمهاجمين سرقة البيانات الحساسة والتهديد بنشرها أو بيعها إذا لم يتم دفع الفدية.
"بالإضافة إلى ذلك ، يمكن للجناة أيضا مهاجمة حسابات وسائل التواصل الاجتماعي للبنوك للحصول على مزايا معينة. هذا بالتأكيد سيجلب الإزعاج والأضرار المحتملة للمجتمع".
واقترح ريدو أن تعزز الحكومة التعاون مع المؤسسات التعليمية والمؤسسات البحثية لتطوير الحلول والتغلب على الهجمات المستقبلية. بما في ذلك من خلال برامج التدريب والندوات والبحوث ، لتعزيز المرونة السيبرانية الوطنية.
من خلال هذه التدابير ، من المأمول أن يتم تقليل حوادث هجمات برامج الفدية إلى الحد الأدنى ويمكن تحسين الأمن السيبراني الوطني. والسبب هو أن كلا الأمرين حاسمان للغاية في حماية البيانات والخدمات العامة التي تعتبر مهمة للمجتمع.
وقال ريدو: "يجب الاستمرار في زيادة الوعي بأهمية الأمن السيبراني ، سواء بين الحكومة أو القطاع الخاص أو عامة الناس ، لضمان حماية البيانات والنظم الحرجة من التهديدات المتزايدة".
حماية البيانات هي مهمة مشتركة بين المنظمين والمستخدمين
صرح وزير الاتصالات والمعلوماتية ، بودي آري سيتيادي ، أن الأمن السيبراني ، بما في ذلك حماية البيانات ، هو مهمة مشتركة لجميع أصحاب المصلحة. لأن هناك ثلاثة جوانب على الأقل تتعلق بالضمانات الأمنية في تنفيذ واستخدام PDN والتي يجب أن تكون شاغلا مشتركا بين مقدمي خدمات PDN ومستخدميها.
وأوضح أن "هناك ثلاثة جوانب يجب على منظمي PDN ومستخدمي خدمات PDN الانتباه إليها ، والتي تم اختصارها مع وكالة المخابرات المركزية ، وهي جوانب الخصوصية (السرية) ، والنزاهة (الأصالة) ، وتوافر البيانات والمعلومات".
وفيما يتعلق بالسرية، نفذت PDN الأمن المادي حتى أمن تكنولوجيا المعلومات على مستوى الأجهزة والشبكات والأنظمة السحابية. يشير تطبيق الأمن أيضا إلى العديد من المعايير الدولية ، وهي ISO 27001 ، بما في ذلك الأمن المادي من خلال طلب الوصول إلى مراكز البيانات من خلال عدة طبقات من الفحص ، مثل جمع بيانات الوصول من بوابات المدخل إلى غرفة مركز البيانات عن طريق إعادة التسجيل للوصول إلى مساحة مركز البيانات ورفوف الخادم التي ستكون مخصصة لبطاقات الهوية الإلكترونية + بصمات الأصابع ، وتثبيت أجهزة مثل جدران الحماية للشبكة ، وجدران حماية تطبيقات الويب ، ومكافحةDDOS ، والإصابة السلبية التلقائية ، ومراقبة نزاهة الملفات البريد الإلكتروني ، وأ
وقال بودي آري: "فيما يتعلق بالصحة ، يجب على مستخدمي خدمة PDN أيضا توقع اختراق البيانات والمعلومات ، من خلال تطبيق الأمان على التطبيقات مثل تطبيق مضاد لحقن SQL ، والكتابة عبر الموقع (XSS) ، والتصيد الاحتيالي ، والهندسة الاجتماعية ، وتهديدات المحتوى ، وما إلى ذلك حتى يتم الحفاظ على صحة المعلومات المقدمة داخل الموقع".