Rafidah Mat Ruzki


Putrajaya: Audit yang dijalankan terhadap Pengurusan Pendaftaran Penerima Vaksin Covid-19 dan aplikasi MySejahtera mendapati wujud 1.12 juta cubaan serangan untuk memecah masuk ke aplikasi berkenaan.

Ketua Audit Negara, Datuk Seri Nik Azman Nik Abdul Majid berkata, Minit Mesyuarat Keselamatan MySejahtera Bilangan 1 Tahun 2022 yang dirujuk Jabatan Audit Negara mendapati cubaan itu menggunakan alamat IP 167.XX.XX.122.

Beliau berkata, cubaan itu dikesan berlaku mulai 27 Oktober 2021.

Laporan Ketua Audit Negara (LKAN) Tahun 2021 menyatakan, semakan audit juga mendapati syarikat terbabit dengan pembangunan aplikasi itu mengambil tindakan menyahaktif (take down) IP berkenaan bagi memastikan keselamatan aplikasi itu.

Syarikat itu juga memasang peralatan Web Application Firewall (WAF) di awan (cloud) pada 1 November 2021 selain melaksanakan pemantauan secara berterusan dengan menggunakan peralatan WAF.

"Mesyuarat yang dipengerusikan pihak Agensi Keselamatan Siber Negara (NACSA) diadakan pada 28 Oktober 2021. Cadangan susulan dibincang untuk dilaksanakan.

"Tindakan yang telah diambil adalah penyekatan IP pada 28 Oktober 2021 dan laporan polis pada 5 November 2021 serta mengkaji punca serangan dan mengambil langkah penambahbaikan," katanya pada sidang media LKAN 20021, di sini, hari ini.

Selain itu, Nik Azman berkata, semakan terhadap Minit Mesyuarat Keselamatan MySejahtera Bilangan 1 Tahun 2022, mendapati ada cubaan daripada satu akaun 'Super Admin', melakukan akses yang mencurigakan dan memuat turun tiga juta maklumat penerima vaksin daripada aplikasi MySejahtera.

Beliau berkata, data menunjukkan aktiviti itu bermula pada 28 Oktober 2021 sehingga 31 Oktober 2021 dengan menggunakan pelbagai alamat IP.

Katanya, semakan lanjut Jabatan Audit Negara melalui data pengguna bagi urusan pentadbiran aplikasi MySejahtera mendapati akaun 'Super Admin' berkenaan adalah capaian bagi Vaccine Admin aplikasi MySejahtera.

"Capaian Vaccine Admin membolehkan pengguna untuk memuat naik atau turun janji temu vaksinasi, pengecualian vaksin dan rekod vaksinasi daripada Excel ke dalam pangkalan data MySejahtera secara pukal atau individu, mengemas kini dan menghapus rekod janji temu vaksinasi serta membuat semakan rekod vaksinasi.

"Bagaimanapun, pihak audit tidak dapat mengesahkan medan data yang dimuat turun daripada aplikasi MySejahtera," katanya.

Bagi menangani insiden itu, Nik Azman berkata, KKM bertindak membatalkan akaun pengguna berkenaan, menambah pengesanan anomali dengan menyekat permintaan berulang yang tinggi dari sumber yang sama dan memaklumkan pihak NACSA untuk menyekat permintaan berulang berdasarkan pengesanan anomali.

KKM juga memasang peralatan Web Application Firewall (WAF) di cloud pada 1 November 2021 dan laporan polis dibuat berkenaan insiden ini pada 5 November 2021.

LKAN turut menyebut, maklum balas KKM yang diterima pada 9 September 2022 dan 7 Oktober 2022 memaklumkan proses memuat turun data vaksin dilakukan melalui akaun Super Admin MyVAS.

Medan yang dimuat turun bagaimanapun tidak dapat dikenal pasti dan masih dalam siasatan pihak berkuasa manakala ID pengguna berkenaan dinyahaktif pada 2 November 2021.

Selain itu, beliau berkata, pihak pembekal memaklumkan bahawa pada 28 Oktober 2021, satu akaun 'Super Admin' yang diberi kelulusan pendaftaran oleh KKM disalahguna dan menghantar permohonan untuk memuat turun sejumlah 3 juta maklumat penerima vaksin melalui sistem MySejahtera.

"Sebaik saja perkara itu dikenal pasti oleh pihak pembekal, akaun berkenaan disekat serta-merta dan dimaklumkan kepada pihak NACSA manakala satu laporan polis dibuat pada 5 November 2021.

"Semakan terkini daripada Polis Diraja Malaysia (PDRM) mendapati siasatan ke atas insiden itu masih berjalan.

"Pihak KKM akan sentiasa berhubung dan bekerjasama dengan PDRM untuk mendapatkan lebih maklumat dan mengenal pasti dalang di sebalik perkara itu," katanya.

Artikel ini disiarkan pada : Khamis, 16 Februari 2023 @ 4:00 PM