Kepala keamanan siber HHS telah menyuarakan keprihatinan tentang situs pertukaran kesehatan
FILE – Dalam foto arsip tanggal 4 Desember 2013 ini, Ketua Komite Pengawasan dan Reformasi Pemerintahan DPR, Rep. Darrell Issa, R-Calif., kanan, dengan peringkat panitia Demokrat, Rep. Elijah Cummings, D-Md., di Capitol Hill di Washington, sebelum dimulainya sidang komite mengenai penerapan situs web HealthCare.gov Affordable Care Act. (AP)
WASHINGTON – Pejabat tinggi keamanan siber di Departemen Kesehatan dan Layanan Kemanusiaan mengatakan dia prihatin dengan potensi kerentanan menjelang peluncuran situs web layanan kesehatan pemerintahan Obama.
Namun Kevin Charest mengatakan kepada penyelidik Kongres bahwa dia tidak bisa mendapatkan jawaban atas pertanyaannya dari orang lain di departemen tersebut. Dia menyimpulkan bahwa pengujian situs tersebut di bawah standar.
“Menurut saya, hal ini tidak mengikuti praktik terbaik,” Charest bersaksi dalam pernyataannya pada 8 Januari. Kutipan kesaksiannya diberikan kepada The Associated Press oleh Komite Pengawasan DPR dan Reformasi Pemerintah.
Charest dan Teresa Fryer – profesional keamanan siber pemerintah lainnya yang juga mengalami masalah – dijadwalkan untuk memberikan kesaksian di depan panel pada hari Kamis.
Ketua Darrell Issa, R-Calif., yang sedang menyelidiki kekacauan peluncuran situs HealthCare.gov, berpendapat bahwa pemerintah mempertaruhkan informasi pribadi jutaan orang Amerika dalam semangatnya untuk memenuhi tenggat waktu yang ditetapkan sendiri pada 1 Oktober. Pasar asuransi federal online adalah portal utama untuk mendapatkan perlindungan di bawah program khas Presiden Barack Obama.
Anggota senior panel Demokrat, Rep. Elijah Cummings dari Maryland, mengatakan pemerintah mengatasi potensi masalah keamanan melalui kewaspadaan tambahan yang dilakukan sebelum situs tersebut ditayangkan. Dia mengatakan meskipun ada masalah operasional awal, situs web tersebut tidak berhasil diretas. Cummings mengatakan Partai Republiklah yang mempertaruhkan privasi rata-rata warga negara dengan menuntut cetak biru rinci yang, jika bocor, akan menjadi peta jalan bagi para peretas.
Dengan “Obamacare” yang diperkirakan akan menjadi isu polarisasi dalam pemilihan paruh waktu kongres, kedua partai politik berada di posisi yang bersaing. Partai Republik telah menyuarakan kekhawatirannya akan keamanan, namun belum menghasilkan solusi yang tepat.
Sebagai kepala petugas keamanan informasi untuk HHS, Charest memberikan gambaran sekilas tentang kekhawatiran orang dalam selama beberapa minggu dan hari sebelum situs tersebut tersedia. Masalah teknis segera berkembang dan banyak pelanggan potensial yang dibekukan. Saat ini situs tersebut tampaknya berfungsi dengan baik, namun kampanye pendaftaran oleh pemerintah belum sepenuhnya mendapatkan kembali momentumnya.
“Saya dibayar untuk menjadi paranoid,” kata Charest dalam transkripnya. “Jadi saya ingin memahami pengendalian yang tepat, lingkungan apa, prosedur apa, kebijakan apa.”
Namun Pusat Layanan Medicare dan Medicaid – bagian departemen yang mengelola peluncuran layanan kesehatan – tidak berbagi pendapat.
“Saya frustrasi dengan sejumlah permintaan yang saya buat tetapi tidak saya terima,” kata Charest. Permintaan tersebut tidak hanya terkait keamanan, tetapi juga masalah operasional lainnya.
Ia mengatakan bahwa ia percaya bahwa CMS – sebutan untuk divisi ini – sengaja menyimpan informasi untuk dirinya sendiri. “Saya tidak bisa menjelaskannya,” katanya.
Meskipun dia tidak memiliki wewenang langsung dalam rantai komando atas pengerahan tersebut, “Saya memiliki tanggung jawab untuk mengendalikan insiden,” Charest bersaksi. “Mengenakan topi penjahatku, itu akan menjadi sesuatu yang menurutku diinginkan jika seseorang ingin menyerang.”
HealthCare.gov memiliki dua komponen utama: “ruang belakang” elektronik yang menerima sertifikasi operasional dan keamanan penuh dan “ruang depan” yang menghadap konsumen yang untuk sementara disertifikasi pada tanggal 27 September.
Ruang belakang, yang dikenal sebagai Pusat Layanan Data Federal, mengirim pesan ke lembaga pemerintah untuk memverifikasi informasi pribadi pelamar. Itu tidak menyimpan data.
Tapi ruang depan bisa. Di sinilah konsumen di 36 negara bagian yang dilayani oleh situs web federal membuat dan menyimpan akun mereka. Masing-masing komponen ruang depan telah menjalani pengujian keamanan. Namun sistem secara keseluruhan tidak dapat diuji karena dikerjakan hingga akhir proses — dan juga gagal.
Charest bersaksi bahwa pengujian keamanan biasanya dilakukan pada sistem yang sepenuhnya dibangun dan stabil yang mewakili fungsionalitas sebenarnya.
Jalan yang diambil HealthCare.gov “tidak biasa,” katanya. “Di dunia yang sempurna, sistem sudah selesai sepenuhnya saat Anda mengujinya.”
Charest bersaksi bahwa dia baru bisa meninjau penilaian keamanan kontraktor luar yang penting pada bulan November, sebulan setelah peluncuran. Dia baru mengetahui melalui laporan media bahwa bagian situs web yang menghadap konsumen telah diberikan sertifikat pengoperasian dan keamanan sementara selama enam bulan.
Meskipun pejabat administrasi melakukan proses yang tidak biasa pada situs tersebut, Charest menyatakan optimisme yang hati-hati tentang kewaspadaan tambahan dan langkah-langkah pengujian yang dilakukan untuk mengurangi risiko.
“Saya tidak punya alasan untuk percaya bahwa strategi mitigasi yang luas ini, jika diikuti secara rinci, tidak akan memitigasi risiko,” katanya kepada komite.
Fryer, yang merupakan kepala petugas keamanan informasi CMS, bersaksi bahwa dia tidak merekomendasikan penerbitan sertifikasi penuh untuk bagian situs web yang berhubungan dengan konsumen. Dia mengungkapkan kekhawatirannya dalam memo tertanggal 24 September, namun tidak pernah dikirimkan.
