Healthcare.gov ‘mungkin sudah disusupi’, kata pakar keamanan

Tidak hanya health.gov yang berisiko, namun mungkin sudah disusupi, kata seorang pakar keamanan di hadapan Senat.

“Peretas pasti mengincarnya,” David Kennedy, CEO perusahaan keamanan informasi TrustedSEC, mengatakan di hadapan Komite Ilmu Pengetahuan, Ruang Angkasa dan Teknologi House mengenai masalah keamanan seputar situs Healthcare.gov yang bermasalah.

“Dan jika saya harus menebak, berdasarkan apa yang saya lihat…menurut saya situs tersebut telah diretas atau akan segera diretas.”

Kennedy mengatakan kepada FoxNews.com bahwa dia mendasarkan hal ini pada analisis yang mengungkapkan sejumlah besar serangan injeksi SQL terhadap situs health.gov, yang mengindikasikan “sejumlah besar” upaya peretasan.

(tanda kutip)

“Berdasarkan paparan yang telah saya identifikasi, dan banyak lagi yang belum saya publikasikan karena pentingnya paparan – jika seorang peretas menginginkan akses ke situs atau informasi sensitif – mereka bisa mendapatkannya,” katanya kepada FoxNews.com.

Juru bicara Departemen Kesehatan dan Layanan Kemanusiaan, yang mengelola situs layanan kesehatan baru di negara tersebut, tidak segera menanggapi permintaan informasi lebih lanjut.

Salah satu masalah utama yang dihadapi Healthcare.gov adalah bahwa keamanan tidak dibangun di situs sejak awal, katanya – pandangan yang dianut oleh Kennedy dan Fred Chang, ketua terkemuka dalam keamanan siber di Southern Methodist University.

“Tidak banyak pengamanan yang dibangun di lokasi tersebut, setidaknya itulah yang bisa kita lihat dari jarak 10.000 kaki,” kata Kennedy kepada komite. Meskipun situs tersebut tidak berisi catatan medis, situs tersebut terintegrasi secara mendalam dengan situs lain, mencakup informasi e-niaga, dan menampung beragam data yang memberikan target yang sangat penting.

“Ini bukan hanya nomor Jaminan Sosial… ini adalah salah satu kumpulan data pribadi, Jaminan Sosial, dan segala hal lainnya yang terbesar yang pernah kami lihat,” kata Kennedy.

Beberapa anggota panel mengungkapkan keterkejutannya atas kata-kata kasar tersebut, dan mencatat bahwa orang-orang memasukkan nomor Jaminan Sosial di seluruh web, antara lain. Anggota Kongres Eddie Johnson, D.-Texas, anggota komite, juga mencatat kemudahan ketersediaan rekam medis di masa lalu.

“Mengapa ada protes keras di pengadilan ini jika catatan medis tersedia (di masa lalu),” tanyanya. “Apakah industri layanan kesehatan tertinggal dalam upaya perlindungan ini?”

Hal itulah yang terjadi, kata Avi Rubin, direktur teknis Institut Keamanan Informasi Universitas Johns Hopkins. Memang benar, industri kesehatan sangat tertinggal.

“Ini sebenarnya tertinggal jauh dalam hal keamanan…bahkan ada hal-hal di ruang operasi yang mengejutkan saya. Saya pikir layanan kesehatan yang menjalankannya perlu belajar banyak dari beberapa industri lain untuk meningkatkan keamanannya,” kata Rubin.

Rubin menyerukan peninjauan keamanan situs web tersebut, namun tidak menyerukan pembongkaran total dan pembangunan kembali situs health.gov. Yang lainnya kurang berhati-hati.

“Anda bisa memasang baut pada pintu besi untuk membuat rumah menjadi lebih baik, tapi jika fondasinya buruk…” kata Kennedy.

Keempat pakar keamanan siber dengan suara bulat sepakat bahwa, mengingat masalah keamanan, masyarakat Amerika tidak boleh menggunakan situs tersebut saat ini.