Berita Mudah Alih, Alat, Blog Sekenziami

NPCI Terpengaruh Lebih dari Kerentanan Keselamatan pada tahun 2019, Dokumen Kerajaan Dedahkan

Audit pemerintah terhadap pemproses pembayaran utama India tahun lalu mendapati lebih daripada 40 kelemahan keselamatan termasuk beberapa yang disebut sebagai risiko “kritikal” dan “tinggi”, menurut dokumen pemerintah dalaman yang dilihat oleh Reuters.

Audit, yang berlangsung selama empat bulan hingga Februari 2019, menunjukkan kurangnya penyulitan data peribadi di National Payments Corporation of India (NPCI) yang menjadi tulang belakang sistem pembayaran digital negara dan mengoperasikan rangkaian kad RuPay yang diperjuangkan oleh Prime Menteri Narendra Modi.

Dokumen pemerintah Mac 2019 menyebutkan penyimpanan nombor kad 16 digit dan maklumat peribadi lain seperti nama pelanggan, nombor akaun dan nombor identiti nasional dalam “teks biasa” dalam beberapa pangkalan data, membiarkan data tidak dilindungi jika sistem tersebut dilanggar.

Audit tidak pernah dilaporkan sebelum ini.

NPCI mengatakan dalam sebuah pernyataan kepada Reuters bahawa ia selalu diaudit demi kepentingan keselamatan dan pihak pengurusan kanan mengkaji semua penemuan, yang kemudian “diperbaiki untuk (kepuasan) juruaudit”.

Ini termasuk penemuan yang dikutip oleh Reuters, katanya.

Penyelaras Keselamatan Siber Nasional India, Rajesh Pant, yang pejabatnya menyelaraskan audit, juga mengatakan dalam sebuah pernyataan kepada Reuters bahawa “semua pengamatan yang dikemukakan dalam laporan tahun lalu telah disahkan sebagai diselesaikan oleh NPCI”.

Audit seluar adalah amalan terbaik untuk mengurangkan serangan siber dan dijalankan secara berkala oleh semua syarikat.

Pengauditan dilakukan untuk memberi gambaran keseluruhan kepada Majlis Keselamatan Nasional PM Modi mengenai pertahanan NPCI terhadap serangan siber.

Pejabat PM Modi dan kementerian kewangan tidak menanggapi permintaan Reuters untuk memberi komen.

Penemuan audit menggarisbawahi cabaran keselamatan data yang dihadapi oleh NPCI yang memproses berbilion dolar setiap hari melalui perkhidmatan yang merangkumi pemindahan dana antara bank, transaksi ATM dan pembayaran digital.

Di India dan seterusnya, institusi kewangan berada di bawah tekanan besar untuk melakukan pertahanan yang berkesan untuk melindungi pelanggan mereka apabila jumlah serangan siber berbahaya bertambah dan penggodam menjadi lebih canggih.

Ditubuhkan pada tahun 2008, NPCI adalah sebuah syarikat nirlaba yang pada bulan Mac 2019 telah mengira 56 bank sebagai pemegang sahamnya, termasuk State Bank of India, Citibank dan HSBC.

RuPay, khususnya, dengan penuh semangat telah disokong oleh Modi yang telah menyamakan penggunaannya dengan tugas nasional.

Ini telah berkembang menjadi hampir dua pertiga daripada hampir 900 juta kad debit dan kredit yang dikeluarkan di India pada bulan Oktober, menurut data NPCI dan bank pusat.

Kebimbangan pemerintahan
Pengauditan itu mengikuti laporan pemeriksaan Reserve Bank of India (RBI) mengenai NPCI pada bulan Julai 2017 yang mendapati terdapat kelemahan dalam amalan audit dalamannya, risiko operasi dan dasar pemberi maklumat yang tidak betul.

Terdapat “kurangnya kesadaran akan risiko dan budaya risiko di institusi ini,” menurut versi laporan 37 halaman yang kebanyakannya disunting yang diperoleh oleh Reuters melalui Hak atas Maklumat (RTI) tahun lalu.

Dokumen pemerintah 2019 mengenai audit itu juga mencatat: “Ada keperluan kuat untuk pemerintahan yang betul.”

RBI melakukan pemeriksaan lain antara bulan November dan Disember 2019.

Laporan 33 halaman mengenai audit tersebut termasuk penilaiannya terhadap risiko pemerintahan dan operasi dan kredit NPCI.

Tetapi sebahagian besar laporan itu, juga diperoleh oleh Reuters melalui RTI Act, disusun semula oleh bank pusat yang menyebut perlunya melindungi kepentingan ekonomi India dan NPCI.

NPCI dalam pernyataannya tidak mengulas secara khusus mengenai laporan RBI, tetapi mengatakan semua pengamatan yang dikutip oleh Reuters diperbaiki.

RBI tidak mengulas mengenai laporan tersebut.

Isu yang dipetik
Dokumen pemerintah Mac 2019 mengatakan pelbagai nombor kad tidak disulitkan dalam pangkalan data NPCI untuk rangkaian negara hampir 250,000 ATM, sementara nombor kad RuPay yang tidak disulitkan juga dapat dilihat dalam log pelayan organisasi.

Ia mengesyorkan agar data sensitif, data pelanggan dan maklumat identiti peribadi “disulitkan / disembunyikan dengan betul dalam pangkalan data dan log”.

NPCI mengatakan dalam pernyataannya kepada Reuters bahawa ia menyimpan data kad sesuai dengan piawaian yang ditetapkan oleh Majlis Piawaian Keselamatan PCI, dan telah menjalani audit yang diizinkan oleh dewan. “Tidak ada ketidaksesuaian yang diperhatikan dan kami sepenuhnya mematuhi piawaian ini,” kata kenyataan itu.

Masalah berisiko tinggi lain di RuPay dan aplikasi NPCI lain yang dikutip oleh audit pemerintah termasuk kerentanan yang disebut “buffer overflow”, masalah keselamatan memori yang dapat membolehkan penggodam mengambil kesempatan daripada kesalahan pengekodan.

Sistem operasi yang digunakan oleh NPCI tidak “terkini” dan salah satu pelayan melnya mempunyai fungsi anti-malware yang tidak mencukupi, katanya.

Pengauditan itu dilakukan oleh sepasukan yang terdiri dari 10 hingga 12 orang di ibu pejabat dan pejabat NPCI di Mumbai di dua bandar lain, kata seorang yang biasa dengan perkara itu, dan enggan dikenali.