Trending
Nasional

MySejahtera cuba digodam 1.12 juta kali

PUTRAJAYA: Audit terhadap Pengurusan Pendaftaran Penerima Vaksin COVID-19 dan Aplikasi MySejahtera mendapati wujud 1.12 juta cubaan serangan untuk memecah masuk ke aplikasi berkenaan.

Ketua Audit Negara, Datuk Seri Nik Azman Nik Abdul Majid, berkata Minit Mesyuarat Keselamatan MySejahtera Bilangan 1 Tahun 2022 yang dirujuk Jabatan Audit Negara mendapati cubaan itu menggunakan alamat IP 167.XX.XX.122.

Beliau berkata, cubaan itu dikesan berlaku mulai 27 Oktober 2021.

Laporan Ketua Audit Negara (LKAN) Tahun 2021 menyatakan, semakan audit turut mendapati syarikat terbabit dengan pembangunan aplikasi itu mengambil tindakan menyah aktif IP berkenaan sebagai langkah keselamatan.

Syarikat itu juga memasang peralatan Web Application Firewall (WAF) di awan pada 1 November 2021, selain melaksanakan pemantauan secara berterusan menggunakan peralatan WAF.

"Mesyuarat dipengerusikan pihak Agensi Keselamatan Siber Negara (NACSA) pada 28 Oktober 2021 manakala cadangan susulan dibincang untuk dilaksanakan.

"Tindakan yang diambil adalah penyekatan IP pada 28 Oktober 2021 dan laporan polis pada 5 November 2021 serta mengkaji punca serangan dan mengambil langkah penambahbaikan," katanya pada sidang media LKAN 20021 di sini, hari ini.

Nik Azman berkata, semakan terhadap Minit Mesyuarat Keselamatan MySejahtera Bilangan 1 Tahun 2022, mendapati ada cubaan daripada akaun 'Super Admin' melakukan akses mencurigakan dan memuat turun tiga juta maklumat penerima vaksin daripada aplikasi MySejahtera.

Beliau berkata, data menunjukkan aktiviti itu bermula pada 28 Oktober 2021 hingga 31 Oktober 2021 dengan menggunakan pelbagai alamat IP.

Semakan lanjut Jabatan Audit Negara melalui data pengguna bagi urusan pentadbiran aplikasi MySejahtera mendapati akaun 'Super Admin' adalah capaian bagi Vaccine Admin aplikasi MySejahtera.

"Capaian Vaccine Admin membolehkan pengguna memuat naik atau turun janji temu vaksinasi, pengecualian vaksin dan rekod vaksinasi daripada Excel ke dalam pangkalan data MySejahtera secara pukal atau individu, mengemas kini dan menghapus rekod janji temu vaksinasi serta membuat semakan rekod vaksinasi.

"Bagaimanapun, pihak Audit tidak dapat mengesahkan medan data yang dimuat turun daripada aplikasi MySejahtera," katanya.

Bagi menangani perkara itu, Nik Azman berkata, KKM membatalkan akaun pengguna berkenaan, menambah pengesanan anomali dengan menyekat permintaan berulang yang tinggi dari sumber yang sama, memaklumkan pihak NACSA untuk menyekat permintaan berulang berdasarkan pengesanan anomali.

KKM turut memasang WAF di awan pada 1 November 2021 dan laporan polis dibuat pada 5 November 2021.

LKAN berkata, maklum balas KKM yang diterima pada 9 September 2022 dan 7 Oktober 2022 memaklumkan proses memuat turun data vaksin dilakukan melalui akaun Super Admin MyVAS.

Medan yang dimuat turun bagaimanapun tidak dapat dikenal pasti dan masih dalam siasatan pihak berkuasa manakala ID pengguna berkenaan dinyah aktif pada 2 November

2021.

Beliau berkata, pihak pembekal memaklumkan pada 28 Oktober 2021, satu akaun 'Super Admin' yang diberi kelulusan pendaftaran oleh KKM disalah guna dan menghantar permohonan untuk memuat turun tiga juta maklumat penerima vaksin melalui sistem MySejahtera.

"Sebaik dikenal pasti oleh pihak pembekal, akaun berkenaan disekat serta-merta dan dimaklumkan kepada pihak NACSA manakala satu laporan polis dibuat pada 5 November 2021.

"Semakan dengan Polis Diraja Malaysia (PDRM) mendapati siasatan ke atas insiden itu masih berjalan.

"KKM akan sentiasa berhubung dan bekerjasama dengan PDRM untuk mendapatkan lebih maklumat dan mengenal pasti dalangnya," katanya.

Ramai individu ada banyak akaun MySejahtera

Kelemahan lain yang dikenal pasti dalam laporan berkenaan termasuk seramai 1,657 individu yang mempunyai lebih daripada satu akaun MySejahtera dan sebanyak 12,275 rekod vaksinasi yang tidak lengkap.

Susulan itu, Jabatan Audit Negara menggesa Kementerian Kesihatan (KKM) untuk memastikan pengurusan MySejahtera dan MyVAS (sistem pentadbiran vaksinasi) mematuhi garis panduan atau dasar teknologi maklumat daripada KKM yang sedia ada.

"KKM perlu menjalankan pengemasan data untuk memastikan datanya sentiasa lengkap dan boleh dipercayai.

"KKM dinasihatkan untuk menilai keseluruhan keselamatan MySejahtera dan MyVAS dan meningkatkan standard keselamatannya bagi menjamin keselamatan sistem mereka dan datanya," katanya.

Dalam laporan berkenaan juga menyatakan bahawa pengurusan pendaftaran penerima vaksin COVID-19 dan aplikasi MySejahtera dijalankan dengan baik dan membantu negara memerangi pandemik COVID-19.

Bagaimanapun audit tetap perlu dilakukan bagi menilai sama ada pengurusan pendaftaran penerima vaksin COVID-19 dan aplikasi MySejahtera dapat digunakan dengan cekap.

Pengauditan ke atas MySejahtera juga penting dalam menilai sama ada ia mencapai objektifnya bagi menyediakan orang ramai sijil vaksin, memantau kesihatan ketika mereka berada di dalam tempoh kuarantin dan membantu kementerian kesihatan dengan pengesanan kontak.