PDNデータの保護に失敗した政府はPDP法に違反した
ジャカルタ - 国立データセンター(PDN)は6月20日木曜日からサイバー攻撃を受けており、完全には回復していません。これらのデータを返そうとしたにもかかわらず、この場合、通信情報省、BSSN、Polri、そしてPDNの管理者としてのTelkomのチームは、PDNに保存されたデータを回復できなかったことを最終的に認めました。
「私たちは、私たちが持っているリソースを回復するために一生懸命努力しています。明らかなのは、ランサムウェアの影響を受けたデータはもはや回復できないということです。そのため、現在も利用可能なリソースを使用しています」と、TelkomのネットワークおよびITソリューション担当ディレクター、Herlan Wijanarkoは先週の水曜日、6月26日に述べました。
ELSAMのワヒュディ・ジャファール所長によると、PDNのハッキングと多くの機関のデータの侵害は、政府が実施する保護システムが非常に脆弱であり、法律の基準を参照して対処する必要があることを示しています。
「政府のデータ管理者によって管理される多くのデータ要素の開示に影響を与えるデータ機密性への攻撃の形での個人データ侵害の疑いのあるさまざまなケースは、彼らが実装するデータ保護システムの脆弱性をさらに裏付けています」と彼は2024年7月1日月曜日に言いました。
彼は、ランサムウェア攻撃による一時的なPDN回復努力の中で、多くの政府機関のデータが特別なサイトを通じてハッカーによって行商されたことを明らかにしました。データ侵害の疑いがある多くの機関は、民間航空総局(すべてのアプリケーションの従業員データと写真、ユーザー名とパスワード、ドローンパイロット認証参加者、飛行データ)です。
ハッカーによってデータが漏洩した他の機関は、BPJS雇用参加者の名前と生年月日、電子メールアドレス、電話番号、年齢層、住所、郵便番号を含む雇用社会保障組織庁(BPJS)でした。
その後、ハッカーはTNIの戦略情報局(BAIS)、インドネシア自動指紋識別システム(INAFIS)Polri(指紋写真の機密データを含む)、デンパサール市政府、スマラン市政府からデータを盗んだことを認めました。
政府のデータ保護は法的基準に準拠していない
多くの機関のデータソースが一時的なPDNハッキングから来たのかはまだわかっていませんが、これらのデータの管理には、政府が管理する公共部門の個人データ管理者が関与しています。
Wahyudi氏は、政府がデータ保護の管理と保証に怠慢であれば、個人情報保護法(PDP)に違反することに等しいと強調した。これは、個人データの保護に関する法律番号27/2022が、すべてのコンプライアンス基準を実装することを含め、すべての公開データ管理者にも拘束力を適用するためです。
「データ管理者としての政府は、責任を持ち、法律を遵守し、データ処理のセキュリティを確保し、データ処理活動を記録し、データの機密性を維持し、違反が発生した場合に通知(通知)を提出し、データ保護の影響を評価する必要があります」と彼は説明しました。
Wahyudi氏は、PDP法の義務であるため、政府はコンプライアンスを確保するために技術的および組織的措置を講じるべきであると述べた。さらに、政府はまた、電子ベースの政府システム(SPBE)の実施を妨げないように、PDN一時的なランサムウェアハッキング事件と多くの機関のデータ侵害の疑いの後に戦略的措置を講じるために迅速に行動しなければなりません。
彼は、公共機関によって管理されている市民の個人データを保護することの脆弱性は、それらのデータの開示に対するリスクの大きさだけに関連しているわけではないと述べた。ただし、一時的なPDNハッキングの場合に発生するなど、データの消失まで完全性に影響を与える可能性もあります。
Wahyudiを継続するサイバー攻撃は、データの機密性、整合性、可用性を脅かす可能性があります。実際、PDNの作成は、公開データと政府のセキュリティ目標の中核です。
「直ちに徹底的な改善が行われなければ、住民へのリスクと脅威が悪化し、緩和がより困難になり、もちろん多くの経済的損失をもたらすことが懸念されています」と彼は言いました。
彼は例を挙げて、2019年に韓国政府は公開データのハッキングを処理するために最大6億5000万ドルの予算を注ぎ込まなければなりませんでした。このような多額の予算は、2014年に2,000万人の市民がデータ侵害の被害者であったため、5,000万人の韓国の市民の身元を置き換えるために支払われました。
ITSスマートシティ研究所とサイバーセキュリティのサイバーセキュリティ専門家であるRidho Rahman Hariadiは、PDNで政府がデータを保護しなかったことは、大規模な機関を脅かすだけでなく、より広いコミュニティにも影響を与えました。
公衆への脅威には、ランサムウェアに感染した写真、文書、財務情報などの個人データの紛失が含まれる可能性があります。攻撃者は機密データを盗み、身代金が支払われない場合に公開または販売すると脅す可能性があります。
「さらに、加害者は銀行にソーシャルメディアアカウントを攻撃して特定の利益を得ることもできます。これは確かに不便さをもたらし、コミュニティに潜在的な危険をもたらすでしょう」と彼は言いました。
Ridho氏は、政府が解決策を開発し、将来の攻撃に対処するために教育機関や研究機関との協力を強化することを提案した。これには、国家サイバーレジリエンスを強化するためのトレーニングプログラム、セミナー、研究が含まれます。
これらの措置により、ランサムウェア攻撃のインシデントを最小限に抑え、国家サイバーレジリエンスを向上させることが期待されます。その理由は、これら2つのことは、コミュニティにとって重要なデータと公共サービスを保護する上で非常に重要であるからです。
「サイバーセキュリティの重要性に対する認識は、重要なデータとシステムが進化する脅威から保護され続けることを保証するために、政府、民間部門、および一般市民の間で継続的に改善されなければなりません」とRidho氏は述べています。
データ保護は、主催者とユーザーとの作業
Budi Arie Setiadi通信情報大臣は、データ保護を含むサイバーセキュリティはすべての利害関係者の共通の課題であると述べた。PDNサービスの主催者とユーザーの間で共通の関心事でなければならないPDNの実装と利用におけるセキュリティ保証に関連する少なくとも3つの側面があるためです。
「PDNサービスの主催者とユーザーが考慮しなければならない3つの側面があり、CIAと略される、すなわち機密性、完全性、データと情報の可用性の側面」と彼は説明した。
機密性の面では、PDNはハードウェア、ネットワーク、クラウドシステムレベルでITセキュリティに物理的なセキュリティを実装しています。このようなセキュリティの適用は、電子IDカード+指紋を用いたデータセンタースペースへのアクセスを得るために再登録することにより、データセンタールームへのアクセスに関するデータを収集するなど、いくつかのスクリーニング層を通じてデータセンターへのアクセスを要求することによる物理的なセキュリティを含む、ISO 27001といういくつかの国際規格も指します。 ネットワークファイアウォール、Web アプリケーション ファイアウォール、アンチDDOS、自動可用性、ファイルインテグリティ監視、電子メールセキュリティ、ネットワークアンチウイルス、SIEM、オペレーティングシステムレベルでのセキュリティ
「信憑性の面では、PDNサービスのユーザーは、ウェブサイトで提出された情報が信憑性を維持するために、アンチキューインジェクション、クロスサイトライティング(XSS)、フィッシング、ソーシャルエンジニアリング、インサイダー脅威などのアプリケーションにセキュリティを実装することにより、データや情報のハッキングも予測する必要があります」とBudi Arie氏は述べています。