Protéger les données du PDN n’a pas pu, le gouvernement a abandonné la loi PDP
JAKARTA - Le Centre de données national (PDN) a subi une cyberattaque depuis jeudi 20 juin et n’a pas été complètement restauré. Bien qu’il ait tenté de restaurer les données, le gouvernement, dans ce cas, l’équipe du ministère de la Communication et de l’Informatique, de la Santé, de la Police nationale et aussi Telkom en tant que gestionnaire du PDN, a finalement admis ne pas récupérer les données stockées dans le PDN.
« Nous faisons beaucoup pour faire des ressources de récupération dont nous disposons. Ce qui est clair, c’est que les données touchées par le ransomware ne peuvent plus être récupérées. Alors maintenant utilisez les ressources que nous avons encore », a déclaré le directeur des solutions Réseaux et informatiques de Telkom, Herlan Wijanarko, mercredi 26 juin.
Selon le directeur de l’élSAM, Wahyudi Djafar, le piratage du PDN et le piratage de données d’un certain nombre d’agents montrent que les systèmes de protection appliqués par le gouvernement sont très vulnérables et doivent être utilisés par la référence aux normes légales.
« Les différents cas de violations présumées des données personnelles, sous la forme d’attaques contre la confidentialité des données, qui ont un impact sur la divulgation d’un certain nombre d’éléments de données, gérés par des contrôleurs de données gouvernementaux, sont encore plus vulnérables au système de protection des données qu’ils appliquent », a-t-il déclaré lundi 1er juillet 2024.
Il a révélé, au milieu des efforts de récupération temporaire du PDN dû à des attaques de ransomware, un certain nombre de données d’agents gouvernementaux ont été colonisées par des pirates via des sites spéciaux. Un certain nombre d’agents soupçonnés d’avoir violé de données sont la Direction générale des transports aériens (données et photos d’employés, noms d’utilisateur et mot de passe pour toutes les applications, participants à la certification des pilotes et données de vol).
D’autres institutions dont les données ont été divulguées par des pirates sont l’Agence d’organisation de la sécurité sociale d’emploi (BPJS) qui comprend les noms et la date de naissance des employés bpjs, l’adresse e-mail, le numéro de téléphone, le groupe d’âge, l’adresse, le code de courrier.
Ensuite, les pirates ont également prétendu voler des données de l’Agence stratégique de renseignement (BAIS), du système d’identification automatique indonésienne (INAFIS) Polri (incluant des données sensibles pour les empreintes digitales), du gouvernement de la ville de Denpasar et du gouvernement de la ville de Semarang.
La protection des données gouvernementales n’est pas conforme aux lois
Bien qu’on ne saurait pas si la source de données d’un certain nombre d’organismes provenait d’un piratage temporaire de PDN ou d’autres, la gestion des données implique des contrôleurs de données personnelles du secteur public gérés par le gouvernement.
Wahyudi a souligné que si le gouvernement est négligent dans la gestion et l’assurance de la protection des données, il viole également la Loi sur la protection des données personnelles (PDP). En effet, la Loi n° 27/2022 sur la protection des données personnelles s’applique également contraignant pour tous les contrôleurs de données publics, y compris pour mettre en œuvre toutes les normes de conformité.
« Le gouvernement, en tant que contrôleur des données, doit être responsable et conforme à la loi, assurer la sécurité du traitement des données, enregistrer les activités de traitement des données, maintenir la confidentialité des données, soumettre des notifications (notices) en cas de violation et effectuer une évaluation de l’impact sur la protection des données », a-t-il expliqué.
Wahyudi a déclaré, parce qu’il s’agit d’un mandat dans la loi PDP, que le gouvernement devrait prendre des mesures techniques et organisationnelles pour assurer le conformité. En outre, le gouvernement doit également prendre des mesures stratégiques rapidement après l’incident de piratage de ransomware contre le PDN temporaire, et la violation présumée de données d’un certain nombre d’institutions, afin de ne pas interférer avec la mise en œuvre du système de gouvernement électronique (SPBE).
Il a déclaré que la vulnérabilité à la protection des données personnelles des citoyens gérée par des institutions publiques n’était pas seulement liée au risque de divulgation de ces données. Mais cela peut également avoir un impact sur l’intégrité jusqu’à la perte de données, comme dans le cas du piratage temporaire de PDN.
Les cyberattaques, a poursuivi Wahyudi, peuvent mettre en danger la confidentialité, l’intégrité et la disponibilité des données. En fait, la création de PDN est au cœur des objectifs de sécurité des données publiques et gouvernementales.
« S’il n’est pas immédiatement mis en œuvre une réparation complète, on craint que les risques et les menaces pour les résidents soient plus graves, plus il est difficile d’atténuer et entraînera certainement des pertes économiques qui ne sont pas mineures », a-t-il déclaré.
Il a souligné qu’en 2019, le gouvernement sud-coréen devait dépenser jusqu’à 650 millions de dollars pour s’occuper du piratage de données publiques. Ce budget a été dépensé pour remplacer l’identité de 50 millions de Sud-Coréens parce que leurs 20 millions de personnes ont été victimes d’un piratage de données en 2014.
Ridho Rahman Hariadi, expert en cybersécurité du laboratoire de cybersécurité et de cybersécurité de l’ITS, l’échec du gouvernement de protéger les données dans le PDN tout en menaçant non seulement les grandes institutions, mais en ayant également un impact sur la communauté au sens large.
Les menaces pour le public peuvent inclure la perte de données personnelles telles que des photos, des documents et des informations financières infectées par des ransomwares. Les auteurs d’attaques peuvent voler des données sensibles et menacer de les publier ou de les vendre si le rançon n’est pas payé.
« En outre, les auteurs peuvent également attaquer les comptes de médias sociaux aux banques pour obtenir certains profits. Cela apportera certainement l’inconfort et des dangers potentiels pour la communauté », a-t-il déclaré.
Ridho a suggéré que le gouvernement renforce sa coopération avec les établissements d’enseignement et les institutions de recherche pour développer des solutions et surmonter les attaques futures. Y compris par le biais de programmes de formation, de séminaires et de recherche, pour renforcer la cybersécurité nationale.
Grâce à ces mesures, on s’attend à ce que l’incidence d’attaques de ransomware soit minimisée et que la cybersécurité nationale soit améliorée. Les deux choses sont cruciales pour protéger les données et les services publics qui sont essentiels pour la communauté.
« La sensibilisation à l’importance de la cybersécurité doit continuer à être renforcée, à la fois parmi les gouvernements, le secteur privé et le grand public, afin de s’assurer que les données et les systèmes critiques restent protégés contre les menaces croissantes », a déclaré Ridho.
La protection des données est une tâche commune entre les organisateurs et les utilisateurs
Budi Arie Setiadi a déclaré que la cybersécurité, y compris la protection des données, est une tâche commune de toutes les parties prenantes. Parce qu’il y a au moins trois aspects liés aux garanties de sécurité dans la mise en œuvre et l’utilisation du PDN qui doivent être une préoccupation commune entre les organisateurs et les utilisateurs du service PDN.
« Il y a trois aspects qui doivent prendre en compte les organisateurs de PDN et les utilisateurs de services PDN, qui sont abréviés pour la CIA, à savoir les aspects de la confidentialité, de l’intégrité et de la disponibilité des données et de l’information », a-t-il expliqué.
En ce qui concerne la confidentialité, PDN a mis en œuvre la sécurité physique jusqu’à la sécurité informatique au niveau du matériel, du réseau et des systèmes cloud. L’application de sécurité se réfère également à plusieurs normes internationales, à savoir l’ISO 27001, y compris la sécurité physique en exigeant l’accès au centre de données par le biais de plusieurs niveaux de dépistage, telles que la collecte de données à la porte d’entrée à l’espace du centre de données en effectuant une réinscription pour obtenir l’accès à la salle de centre de données et à la plaque de serveur qui sera ciblée par une carte électronique + empreinte de doigt, l’installation d’appareils tels que les pare-feu de réseau, l’AntiDDOS, la vulnérabilité automatique, la surveillance de l’intégrité des fichiers, la sécurité par message, l’antivirus réseau et SIEM, la sécurité au niveau du système d’exploitation du système d’exploitation, la gestion des
« En ce qui concerne l’authenticité, les utilisateurs du service PDN doivent également anticiper le piratage de données et d’informations, en appliquant des sécurités sur des applications telles que l’injection anti-QuaI, le Scripting sur les sites (XSS), le phishing, l’ingénierie sociale, la menace insider, etc. afin que les informations soumises sur le site soient maintenues authenticité », a déclaré Budi Arie.