未能保护PDN数据,政府违反了PDP法

雅加达 - 国家数据中心(PDN)自6月20日星期四以来一直经历网络攻击,尚未完全恢复。虽然政府试图恢复这些数据,但在这种情况下,来自通信和信息部,BSSN,Polri以及Telkom作为PDN管理层的团队最终承认未能恢复PDN中存储的数据。

“我们正在努力恢复我们拥有的资源。显而易见的是,受勒索软件影响的数据无法再恢复。因此,现在使用我们仍然拥有的资源,“Telkom的网络和IT解决方案总监Herlan Wijanarko于6月26日星期三表示。

根据ELSAM主任Wahyudi Djafar的说法,黑客攻击PDN和侵入多个机构的数据表明,政府实施的保护系统非常脆弱,必须参考法律标准。

“各种涉嫌侵犯个人数据的案件,以攻击数据机密性的形式,对政府数据控制者管理的一些数据元素的披露产生影响,进一步证实了他们实施的数据保护系统的脆弱性,”他说,2024年7月1日星期一。

他透露,在因勒索软件攻击而努力恢复临时PDN的过程中,一些政府机构数据被黑客通过特定网站追踪。一些涉嫌经历数据泄露的机构是航空运输总局(员工数据和照片,所有应用程序的用户名和密码,无人机飞行员认证参与者和飞行数据)。

黑客泄露数据的其他机构是就业社会保障实施局(BPJS),其中包括BPJS就业参与者的姓名和出生日期,电子邮件地址,电话号码,年龄组,地址,邮政代码。

然后,黑客还承认窃取了TNI战略情报局(BAIS)、印度尼西亚自动指纹识别系统(INAFIS)Polri(包括指纹照片的敏感数据)、登巴萨市政府和三宝垄市政府的数据。

政府数据保护不符合法律标准

虽然目前尚不清楚一些机构的数据源是否来自临时PDN黑客攻击或其他攻击,但数据管理涉及由政府管理的公共部门的个人数据控制者。

Wahyudi强调,如果政府疏忽管理和保证数据保护,那就违反个人数据保护法(PDP)一样。这是因为关于个人数据保护的第27/2022号法律也适用于对所有公共数据控制者,包括实施所有合规标准。

“政府作为数据控制者,有义务负责任并遵守法律,确保数据处理的安全性,记录数据处理活动,保持数据机密性,在发生违规行为时发出通知(通知),并对数据保护的影响进行评估,”他解释说。

华育迪表示,由于这是PDP法的授权,政府应采取技术和组织措施来确保合规。此外,政府还必须迅速采取战略措施,在PDN的临时勒索软件黑客事件以及涉嫌闯入多家机构的数据之后采取战略措施,以免干扰电子基于政府系统(SPBE)的实施。

他说,公立机构管理的公民个人数据保护的脆弱性,不仅与披露这些数据的风险的程度有关。但它也会对数据丢失的完整性产生影响,例如在临时PDN黑客攻击案中。

Wahyudi继续说,网络攻击可能会威胁到数据的机密性、完整性和可用性。事实上,PDN的创建是公共和政府数据安全目的的核心。

“如果不立即进行彻底的改进,人们担心对公民的风险和威胁会更加严重,减轻更困难,当然会造成大量的经济损失,”他说。

他举了一个例子,2019年韩国政府不得不投入高达6.5亿美元的预算用于处理公共数据黑客攻击。如此大的预算是为了取代5000万韩国人的身份,因为2014年有2000万韩国人成为数据泄露的受害者。

ITS智慧城市和网络安全实验室的网络安全专家Ridho Rahman Hariadi,政府未能保护PDN中的数据,同时不仅威胁大型机构,而且对更广泛的社区产生影响。

对公众的威胁可能包括丢失个人数据,如照片、文档和受勒索软件感染的金融信息。攻击的肇事者可能会窃取敏感数据,并威胁要在未付赎金时发布或出售。

“此外,肇事者还可以攻击银行的社交媒体账户,以获得一定的利益。这肯定会给社区带来不便和潜在的危害,“他说。

Ridho建议政府加强与教育机构和研究机构的合作,以开发解决方案并应对未来的攻击。包括通过培训计划、研讨会和研究,以加强国家网络安全。

通过这些措施,希望勒索软件攻击事件能够最小化,国家网络安全能够提高。原因是,这两件事在保护对社会至关重要的公共数据和服务方面都非常重要。

Ridho说:“政府、私营部门和公众都必须继续提高对网络安全重要性的认识,以确保关键数据和系统仍然受到保护,免受不断增长的威胁。

数据保护是组织者和用户的任务

通信和信息学部长Budi Arie Setiadi表示,网络安全,包括数据保护,是所有利益相关者的共同任务。因为PDN的实施和使用中至少有三个方面与安全保障有关,这必须是PDN服务提供商和用户之间的共同关切。

“PDN组织者和PDN服务用户必须考虑三个方面,缩写为中央情报局,即机密性(机密性),完整性(真实性)和数据和信息的可用性(可用性)方面,”他解释说。

在机密性方面,PDN在硬件、网络和云系统层面实施了物理安全到IT安全。安全性实施还指的是ISO 27001等几个国际标准,包括通过几层屏幕要求访问数据中心的物理安全,例如通过重新注册以电子ID卡+指纹为目标的数据中心空间和服务器架进行访问的数据中心数据收集, 安装设备,如网络防御墙、Web应用防御墙、AntiDDOS、自动脆弱性、文件整合监控、电子邮件安全、网络防病毒软件和SIEM、操作系统层面的安全、管理平台管理、管理、数据管理等数据,因为使用IAA(基础设施服务)服务的PDN服务用户使用VPS/ Virtual数据,特别是数据机密管理的数据。

“在真实性方面,PDN服务用户还必须通过将安全性应用于应用于应用于应用,例如使用反SQL注射,交叉网站加密(XSS),网络钓鱼,社会工程,内部威胁等,从而预测数据和信息的黑客攻击,以便网站上传输的信息保持真实性,”Budi Arie说。