Perusahaan perangkat lunak di pusat insiden peretasan pada bulan April telah diminta oleh Kementerian Pendidikan (MOE) untuk menunjuk seorang penyelidik forensik untuk mengevaluasi sistem dan prosesnya, dan memberikan rekomendasi untuk mencegah terulangnya kembali.
Investigasi awal oleh Mobile Guardian, yang berkantor pusat di Surrey, Inggris, menunjukkan bahwa individu yang tidak sah telah memperoleh akses ke akun dukungan di portal manajemennya, menggunakannya untuk melihat informasi pelanggan yang berbasis di Amerika Serikat dan kawasan Asia-Pasifik, termasuk Singapura.
Ini mempengaruhi sekitar 67.000 orang tua dan 22.000 karyawan sekolah di 127 sekolah di Singapura, kata Menteri Pendidikan Chan Chun Sing dalam jawaban parlemen tertulis pada 7 Mei.
Dia menanggapi pertanyaan oleh anggota parlemen Don Wee (Chua Chu Kang GRC), Joan Pereira (Tanjong Pagar GRC) dan Wan Rial (Jalan Besar GRC) tentang pendekatan MOE untuk memastikan keamanan dan integritas perangkat pembelajaran pribadi siswa, serta langkah-langkah untuk melindungi terhadap bahaya online dan pelanggaran data.
Anggota parlemen menyuarakan keprihatinan tentang sertifikasi dan pelatihan vendor TI, strategi respons untuk insiden peretasan dan kebijakan tata kelola untuk penyedia layanan pihak ketiga. Mereka juga bertanya tentang rencana kementerian untuk meningkatkan transparansi dan komunikasi dengan orang tua dan masyarakat mengenai langkah-langkah keamanan data dan pelanggaran.
Investigasi terhadap sistem Mobile Guardian sedang berlangsung, dan tindakan akan diambil jika pelanggaran kewajiban kontrak ditemukan, kata Chan.
Mobile Guardian menetapkan bahwa akun dukungan dikompromikan terutama karena manajemen kata sandi yang tidak memadai, daripada individu yang tidak sah mengeksploitasi kerentanan dalam sistemnya, katanya.
Perusahaan telah menerima email pada 12 April bahwa individu yang tidak sah telah mendapatkan akses ke portal manajemennya, dan dianggap sebagai email phishing, kata Chan.
Portal manajemen Mobile Guardian digunakan untuk tujuan administratif seperti memberikan dukungan teknis, dan portal memiliki akses ke nama pengguna, alamat emailnya, waktu pertama, nama sekolah, dan apakah seseorang adalah orang tua atau anggota staf, kata Chan.
Itu tidak dapat mengubah konfigurasi apa pun pada perangkat pembelajaran pribadi siswa, kata Chan, menambahkan bahwa tidak ada MOE atau sistem TI pemerintah yang dikompromikan karena portal tidak terhubung dengan mereka.
Namun, katanya, tidak ada tindakan yang diambil sampai setelah email kedua diterima pada 16 April, ketika individu tersebut menunjukkan bukti mengakses portal manajemen dan mencoba memeras uang sebagai imbalan untuk tetap diam tentang kemampuannya untuk mengakses portal.
“Mobile Guardian bertindak berdasarkan peringatan kedua, dan bekerja untuk menetapkan tingkat akses dan pelanggan yang terkena dampak.
“Ini termasuk menangguhkan semua akun administratif yang dapat digunakan untuk mengakses portal manajemen MG,” kata Chan.
[[nid:667396]]
Kementerian diberitahu pada 17 April tentang insiden peretasan, serta langkah-langkah keamanan yang diterapkan oleh Mobile Guardian di portal manajemennya, katanya.
Dengan dukungan dari Badan Keamanan Cyber dan GovTech, MOE melakukan pemeriksaan keamanan dan tidak menemukan aktivitas mencurigakan di portal Device Management Application (DMA), serta tidak ada indikasi bahwa portal tersebut telah disusupi.
Pada 19 April, kementerian mengirim email ke semua pengguna yang terkena dampak untuk menjelaskan untuk apa informasi yang bocor dapat digunakan jika upaya phishing atau penipuan dilakukan, kata Chan.
Pengguna ini terdiri dari orang tua dan karyawan sekolah yang mengelola fungsi DMA anak-anak dan siswa mereka.
Sebuah laporan polisi juga telah diajukan atas insiden itu, kata Chan.
“MOE mengambil pandangan serius dari insiden ini,” katanya. “Penyedia layanan TI kami secara kontrak berkewajiban untuk mengambil langkah-langkah untuk melindungi data pribadi dari kehilangan dan akses yang tidak sah.”
Chan menambahkan bahwa kementerian menyatakan “ketidakpuasan mendalam” dengan Mobile Guardian atas insiden ini, dan akan terus menjaga sistem TI dengan melakukan audit independen dan pengujian keamanan cyber secara teratur.
“Kami akan terus menekankan pada pendidikan pengguna dan kewaspadaan berkelanjutan untuk memastikan bahwa sistem TI kami tetap aman,” katanya.
Mobile Guardian adalah salah satu dari dua perusahaan yang MOE terlibat untuk menyediakan solusi DMA yang membantu sekolah dan orang tua mengelola penggunaan perangkat pembelajaran pribadi siswa dengan fungsi seperti batas waktu layar.
Chan mengatakan bahwa tender tersebut diberikan kepada Mobile Guardian pada tahun 2020, yang memegang sertifikasi ISO27001, standar yang diakui secara internasional untuk sistem manajemen keamanan informasi.
BACA JUGA: Poh Heng Jewellery mengatakan informasi pelanggan diakses dalam pelanggaran data, tidak ada informasi kartu pembayaran yang dikompromikan
Artikel ini pertama kali diterbitkan di The Straits Times. Izin diperlukan untuk reproduksi.