Pakar keamanan siber: Healthcare.gov ‘secara keseluruhan buruk dan semakin buruk’
Ini adalah transkrip terburu-buru dari “On the Record,” 16 Januari 2014. Salinan ini mungkin belum dalam bentuk final dan mungkin diperbarui.
GRETA VAN SUSTEREN, PEMBAWA ACARA FOX: Ini adalah peringatan FOX News. Situs web ObamaCare tidak 100 persen aman. Informasi pribadi Anda dapat diretas. Healthcare.gov menjadi lebih buruk.
(MULAI KLIP VIDEO)
DAVID KENNEDY, CEO, TRESTEDSEC: Tidak ada yang berubah sejak kesaksian tanggal 19 November. Faktanya, sejak kesaksian tanggal 19 November, keadaannya bahkan lebih buruk lagi.
(AKHIR VIDEO CEPAT)
DARI Saudari: Ingat ini dari November lalu? Nah, pakar keamanan siber memperingatkan Kongres bahwa situs ObamaCare menimbulkan risiko keamanan yang besar.
(MULAI KLIP VIDEO)
Anggota KONGRES Tak Dikenal: Apakah ada di antara Anda yang menganggap situs tersebut aman saat ini?
AHLI KEAMANAN TAK TERIDENTIFIKASI: TIDAK.
AHLI KEAMANAN TAK TERIDENTIFIKASI: TIDAK.
AHLI KEAMANAN TAK TERIDENTIFIKASI: TIDAK.
KENNEDY: TIDAK.
(AKHIR VIDEO CEPAT)
DARI Saudari: Hari ini para ahli kembali ke Komite DPR yang sama. Jadi apa pendapat mereka tentang Healthcare.gov? Ada perbaikan?
(MULAI KLIP VIDEO)
KENNEDY: Healthcare.gov saat ini tidak aman dan tidak ada yang benar-benar berubah sejak kesaksian tanggal 19 November. Faktanya, berdasarkan kesaksian kami pada tanggal 19 November, keadaannya bahkan lebih buruk. Saya tidak mengerti bagaimana kami masih mendiskusikan apakah situs tersebut tidak aman atau tidak. Dia. Tidak ada keraguan tentang hal itu.
Anggota KONGRES Tak Dikenal: Apakah ini tidak pasti?
KENNEDY: Tidak pasti, 100 persen.
(AKHIR VIDEO CEPAT)
DARI Saudari: Pakar keamanan David Kennedy bergabunglah dengan kami
Saya tidak tahu apakah saya harus bertanya kepada Anda 100 persen tidak yakin atau malah menjadi lebih buruk. Saya tidak tahu pernyataan apa yang lebih mengerikan. Pertama izinkan saya memulai dengan 100 persen tidak yakin. Tidak ada keraguan tentang hal itu?
KENNEDY: Tidak ada pertanyaan. Faktanya, terakhir kali saya khawatir ketika saya memberikan kesaksian bahwa saya akan menjadi satu-satunya yang keluar dari peneliti keamanan. Saya melibatkan beberapa peneliti keamanan lain yang sangat terkenal untuk menyelidiki hal ini. Mereka semua kembali dan mengatakan bahwa ini tidak baik, buruk, 100 persen buruk, dan ini adalah hal-hal yang kami lihat sebagai pelanggaran keamanan. Jadi, seperti sekarang, 100 persen jelek banget.
DARI Saudari: Anda bilang keadaannya menjadi lebih buruk. Bagaimana hal ini bisa menjadi lebih buruk pada bulan November?
KENNEDY: Kami memiliki tenggat waktu 1 Oktober, yang mana mereka meluncurkannya, dan situs itu sendiri sangat buruk, tidak stabil, dan lainnya. Apa yang mereka lakukan adalah menjejali banyak server di sana. Mereka memiliki banyak orang di balik pemrograman keyboard dengan sangat cepat untuk menjaga situs tetap aktif dan stabil. Dan mereka memperkenalkan kode baru, kerentanan baru, paparan baru. Peneliti keamanan lainnya juga mulai menyelidiki situs ini dan menemukan sejumlah masalah tambahan pada situs tersebut. Semuanya buruk dan semakin buruk.
DARI Saudari: Yang menarik hari ini adalah Whalen Crush (ph), yang ada di sana, dialah yang sepertinya berpikir ada perbaikan, tapi yang menarik, jika Anda membuka akun Twitter-nya, yang merupakan hal yang luar biasa, dia berkata, “Peretas terbesar di dunia menyebut keamanan Healthcare.gov memalukan.” Itu yang dia tweet.
KENNEDY: Itu menarik. Menurutku, Whalen punya sesuatu yang menarik tentang dia. Dia sangat berpihak pada, Anda tahu, kami tidak mengetahui cukup informasi tentang hal itu. Bagi saya pribadi, saya melakukannya selama 14 tahun, saya melakukannya untuk NSA, Korps Marinir Amerika Serikat, saya melakukannya untuk sektor swasta. Ketika Anda melihat sesuatu seperti ini dan Anda melihat masalah sistemik, ada masalah yang jauh lebih besar di dalamnya. Dan itu adalah sesuatu yang benar-benar perlu kita perhatikan dan atasi. Itu buruk.
DARI Saudari: Jadi informasi pribadi termasuk keuangan?
KENNEDY: Ya, ada bagiannya. Mereka segera menambahkan fungsi kartu kredit. Saat ini, informasi pribadi adalah nama depan, nama belakang, alamat email, nomor jaminan sosial, serta integrasi ke IRS dan DHS, yang berisi semua informasi pajak dan informasi keuangan Anda, serta apa yang DHS miliki tentang Anda. Pada dasarnya, seluruh profil online Anda dapat diakses melalui pusat data.
DARI Saudari: Dan informasi kesehatan Anda?
KENNEDY: Informasi kesehatan sebenarnya tidak ada di website. Tapi itu terintegrasi ke bursa negara lain. Jadi bursa negara bagian California atau bursa negara bagian New York. Jadi mereka memiliki bagian integrasi di dalamnya. Inilah titik fokusnya. Sebagai penyerang, saya akan melakukan kompromi ini, meretasnya, dan dari sana saya memiliki akses ke semua lembaga yang berbeda, entitas pemerintah yang berbeda dari tingkat negara bagian dan federal.
DARI Saudari: Anda mengatakan itu 100 persen. Sepertinya keadaannya tidak akan menjadi lebih buruk. Seberapa mudah untuk meretasnya?
KENNEDY: Jenis serangan yang kami lihat, hal-hal yang — kerentanan yang kami identifikasi dan ungkapkan, merupakan peretasan dasar yang belum sempurna. Tidak perlu seseorang yang sangat canggih untuk membobol situs ini.
DARI Saudari: Ini sangat buruk.
KENNEDY: Ini sangat buruk.
DARI Saudari: Dengan baik.
KENNEDY: Dan masalahnya adalah mereka tidak perlu mengungkapkannya. Tidak ada undang-undang federal yang mengatakan Anda harus mengungkapkan informasi pribadi apa pun yang bocor, kecuali DPR meloloskan undang-undang tersebut pada Jumat lalu untuk mengungkapkannya dalam waktu 48 jam, tetapi RUU tersebut mungkin tidak akan sampai ke Senat.
DARI Saudari: Dalam mimpi terliar Anda, pernahkah Anda mendaftar ke health.gov?
KENNEDY: Sama sekali tidak. Dan saya akan sangat takut jika ada anggota keluarga saya yang melakukan hal ini juga.
DARI Saudari: David, terima kasih banyak.
KENNEDY: Terima kasih, Greta.
