Gedung Putih tidak akan merilis dokumen terkait keamanan situs ObamaCare

Gedung Putih telah menolak permintaan untuk merilis secara publik dokumen terkait jenis perangkat lunak keamanan dan sistem komputer di balik situs pertukaran layanan kesehatan federal tersebut, dengan mengatakan bahwa informasi tersebut “berpotensi” digunakan oleh peretas.

Pusat Layanan Medicare dan Medicaid menolak permintaan Undang-Undang Kebebasan Informasi yang dibuat oleh Associated Press akhir tahun lalu di tengah kekhawatiran yang diajukan oleh Partai Republik tentang keamanan situs web tersebut, yang memiliki gangguan teknis yang menghalangi jutaan orang untuk mendaftar asuransi di bawah ObamaCare . .

Dengan menolak akses terhadap dokumen-dokumen tersebut, termasuk apa yang dikenal sebagai rencana keamanan situs, Medicare mengatakan kepada AP bahwa melepaskan dokumen-dokumen tersebut dapat melanggar undang-undang privasi kesehatan karena dapat memberikan informasi yang cukup kepada peretas untuk membobol layanan tersebut.

“Kami menyimpulkan bahwa menyebarkan informasi ini berpotensi menimbulkan risiko yang tidak dapat dibenarkan terhadap informasi pribadi konsumen,” kata juru bicara CMS Aaron Albright dalam sebuah pernyataan.

AP meminta pemerintah mempertimbangkan kembali. Pada tahun 2009, Obama memerintahkan lembaga-lembaga federal untuk tidak merahasiakan informasi “hanya karena pejabat publik mungkin malu jika diungkapkan, karena kesalahan dan kegagalan mungkin terungkap, atau karena ketakutan spekulatif atau abstrak.” Namun, pemerintah, dalam penolakannya terhadap permintaan AP, berspekulasi bahwa merilis catatan tersebut mungkin, namun belum tentu atau bahkan mungkin, memberikan kunci yang dibutuhkan para peretas untuk membobolnya.

Bahkan ketika pemerintah menyimpulkan bahwa catatan tersebut tidak dapat diungkapkan sepenuhnya, Jaksa Agung Eric Holder telah mengarahkan lembaga-lembaga tersebut untuk mempertimbangkan apakah bagian dari file tersebut dapat diungkapkan dengan bagian sensitif yang disensor. CMS mengatakan kepada AP bahwa mereka tidak akan merilis bagian apa pun dari catatan tersebut.

Keputusan pemerintah ini menyoroti permasalahan ketika mereka bergulat dengan keputusan Mahkamah Agung tahun 2011 yang secara signifikan membatasi ketentuan dalam undang-undang pencatatan terbuka yang melindungi praktik internal suatu lembaga. Badan-badan federal telah mencoba menggunakan cara lain yang lebih kreatif untuk menjaga agar informasi tetap tersensor.

Selain menyebutkan potensi pelanggaran privasi kesehatan, pemerintah menyebutkan pengecualian yang dimaksudkan untuk melindungi privasi pribadi dan catatan penegakan hukum, meskipun badan tersebut tidak menjelaskan file apa saja di situs layanan kesehatan yang dikumpulkan untuk tujuan penegakan hukum. Beberapa pendukung pemerintah bersikap skeptis.

“Di sini Anda memiliki contoh sebuah lembaga yang menggunakan klaim privasi yang dibuat-buat dalam upaya yang belum pernah terjadi sebelumnya untuk menjembatani kesenjangan hukum ini dan dalam prosesnya memperburuk keadaan dengan secara berlebihan menyembunyikan catatan tersebut secara keseluruhan,” kata Dan. Metcalfe, mantan direktur Kantor Informasi dan Privasi Departemen Kehakiman yang sekarang kuliah di fakultas hukum American University.

Menjaga rincian mengenai praktik lockdown secara rahasia umumnya dicemooh oleh para pakar teknologi informasi sebagai “keamanan karena ketidakjelasan.” Mengungkapkan jenis informasi tertentu dapat membantu peretas merumuskan strategi peretasan, namun fakta lain, seperti jumlah peretasan atau deskripsi tentang cara sistem menyimpan data pribadi, biasanya dibagikan di sektor swasta. “Praktik keamanan bukanlah informasi pribadi,” kata David Kennedy, seorang konsultan industri yang memberikan kesaksian di depan Kongres tahun lalu tentang keamanan HealthCare.gov.

Tahun lalu, AP menemukan bahwa Administrator CMS Marilyn Tavenner mengambil langkah yang tidak biasa dengan menandatangani sendiri sertifikat keamanan operasional untuk HealthCare.gov, meskipun staf keamanan lembaganya menolak. Memo tersebut menyatakan bahwa pengujian yang tidak lengkap menciptakan ketidakpastian yang berpotensi menimbulkan risiko keamanan tinggi pada situs. Mereka menyerukan “program mitigasi” enam bulan, termasuk pemantauan dan pengujian berkelanjutan. Situs ini telah lulus uji keamanan penuh.

Pakar keamanan siber pemerintah juga khawatir bahwa komputer pemerintah yang terhubung ke sistem federal yang memverifikasi informasi pribadi pemohon asuransi rentan terhadap serangan. Sekitar seminggu sebelum peluncuran HealthCare.gov, tinjauan federal menemukan perbedaan signifikan dalam kesiapan negara bagian. Pemerintah mengatakan kekhawatiran mengenai sistem negara telah diatasi.

Associated Press berkontribusi pada laporan ini.