Pejabat publik melaporkan 178 kasus kebocoran data oleh Pemerintah Singapura pada tahun yang berakhir pada 31 Maret, meningkat tajam 65 persen dari 108 kasus pada tahun sebelumnya.
Semua insiden dinilai memiliki tingkat keparahan “sedang” atau “rendah”, menurut laporan tahunan ketiga tentang upaya perlindungan data pribadi Pemerintah yang dirilis pada hari Kamis (28 Juli).
Tanpa mengungkapkan rinciannya, penulisnya, Smart Nation and Digital Government Office (SNDGO), mendefinisikan tingkat keparahan sedang berarti bahwa lembaga pemerintah telah menderita konsekuensi yang sulit atau tidak diinginkan, dengan ketidaknyamanan kecil bagi individu atau bisnis.
Tidak ada insiden parah yang dilaporkan dalam 12 bulan hingga Maret tahun ini. Ini adalah insiden yang merusak keamanan nasional atau kepercayaan publik, atau yang mengakibatkan kematian atau cedera fisik, keuangan, atau emosional serius pada seseorang.
Sampai saat ini, hanya dua insiden parah yang dilaporkan. Keduanya berlangsung pada 2018.
Yang pertama adalah pengungkapan data rahasia yang tidak sah dari 14.200 pasien dari registri HIV Kementerian Kesehatan. Kedua, akses tidak sah terhadap 223 berkas perkara karena kerentanan dalam sistem online Pengadilan Negeri.
Dari 178 kasus tahun lalu, 14 kasus dilaporkan oleh anggota masyarakat melalui portal Pusat Kontak Keamanan Data Pemerintah, yang diluncurkan pada April 2020. Rincian kasus ini belum dirilis.
SNDGO mengatakan peningkatan insiden data sektor publik mencerminkan tren di sektor swasta di sini dan secara global, karena pertukaran dan penggunaan data terus tumbuh.
“Laju adopsi digital telah dipercepat ketika pandemi Covid-19 memasuki tahun kedua pada tahun 2021,” kata SNDGO, mencatat bahwa lebih banyak orang dan aktivitas bisnis menjadi online. “Karena semakin banyak data yang dibuat dan dipertukarkan, risiko data terekspos atau disalahgunakan meningkat secara bersamaan.”
Tahun lalu, penduduk setempat mengajukan 6.700 keluhan terhadap organisasi swasta tentang potensi pelanggaran data pribadi, kata SNDGO. Ini naik dari 6.100 keluhan yang dibuat untuk pengawas privasi Komisi Perlindungan Data Pribadi pada tahun 2020, dan 4.500 keluhan pada tahun 2019.
Sektor publik telah mulai meluncurkan 24 perbaikan besar pada alur kerja keamanannya, sebagai bagian dari investasi $ 1 miliar untuk melindungi data pribadi warga negara dengan lebih baik.
Langkah-langkah ini direkomendasikan oleh Komite Peninjau Keamanan Data Sektor Publik (PSDSRC), yang dibentuk pada Maret 2019 setelah serentetan pelanggaran keamanan siber, termasuk pelanggaran data terburuk di Singapura yang melibatkan 1,5 juta data pasien SingHealth pada Juni 2018.
Tiga dari proyek perbaikan ini sedang berlangsung tetapi akan selesai pada akhir 2023. Ini termasuk sistem untuk secara otomatis menonaktifkan akun pengguna yang tidak aktif, dan mendeteksi dan menghentikan perilaku pengguna berisiko seperti menyalin file sensitif dari laptop.
Pekerjaan lain yang sedang berlangsung adalah sistem untuk memisahkan kumpulan data berdasarkan sensitivitasnya dan secara otomatis mengenkripsi data dalam penyimpanan.
Kerangka kerja PSDSRC secara bertahap akan menggantikan praktik-praktik saat ini di lembaga-lembaga publik, banyak di antaranya telah merancang protokol mereka sendiri.
Berbeda dengan sektor swasta, lembaga publik tidak tunduk pada Undang-Undang Perlindungan Data Pribadi, yang telah sepenuhnya diterapkan sejak 2014 untuk melindungi konsumen dari pengumpulan, penggunaan, dan pengungkapan data pribadi yang salah.
Pihak ketiga yang menangani data pemerintah berada di bawah PDPA, setelah amandemen mulai berlaku pada Februari tahun lalu. Sebelumnya, pihak ketiga hanya tunduk pada kewajiban dalam kontrak mereka dengan lembaga publik dan, jika berlaku, undang-undang seperti Undang-Undang Rahasia Resmi.
Lembaga publik berada di bawah Undang-Undang Sektor Publik (Tata Kelola), di mana pengungkapan yang tidak sah dan penggunaan yang tidak tepat dapat dihukum dengan denda hingga $ 5.000, penjara hingga dua tahun, atau keduanya.
Charmian Aw, seorang pengacara teknologi dan data di Reed Smith, mengatakan bahwa Undang-Undang Sektor Publik (Tata Kelola) lebih preskriptif – dan hukuman pidana yang dibawanya bisa dibilang lebih keras – daripada PDPA.
“Ini mungkin karena mengerikannya mengungkapkan apa yang mungkin merupakan data yang sangat sensitif yang dipegang oleh badan publik,” katanya. “Tetapi hak tindakan pribadi terhadap bisnis di bawah PDPA juga bisa menyengat karena secara teknis tidak ada batasan jumlah kerusakan moneter yang dapat diberikan pengadilan dalam kasus-kasus pelanggaran data yang serius.”
