Sebuah fasilitas kesehatan memulai penyelidikan setelah salah satu manajernya meminta puluhan karyawannya untuk memberikan kata sandi mereka sehingga dia bisa memasuki sesi komputer mereka.
“Manajemen meminta saya untuk selalu memperbarui tabel dengan pengidentifikasi dan kata sandi Windows Anda (untuk memasuki sesi Anda) (dan) kata sandi pesan suara Anda,” tulis asisten administrasi untuk 45 karyawan CISSS de la Montérégie-Ouest, Selasa, di email yang diperoleh Biro Investigasi kami.
“Jangan khawatir, saya tidak akan merilis informasinya. Hanya jika diperlukan, jika ada yang sedang cuti sakit,” lanjut perempuan yang menulis atas nama Karine Plante-Boulay, kepala program Kesehatan Mental Remaja di CISSS-MO.
Organisasi tersebut mengonfirmasi bahwa penyelidikan internal telah dibuka setelah insiden tersebut. “Tindakan disipliner yang sesuai dapat diterapkan,” jelas Jade St-Jean, juru bicara CISSS.
Tanggapan email
Dia juga menegaskan bahwa karyawan tertentu merasa perlu untuk menanggapi permintaan yang dibuat melalui email. Kata sandi yang dipermasalahkan telah ditangguhkan.
“Pusat operasional keamanan siber melakukan penyelidikan untuk memastikan tidak ada pelanggaran keamanan dan menghancurkan semua email di kotak masuk karyawan yang menerimanya,” tambah M.Saya St-Jean.
Selain itu, sebuah pesan dikirimkan ke sekitar 11.000 karyawan CISSS untuk mengingatkan mereka bahwa dilarang membagikan nama pengguna dan kata sandi.
CISSS-MO saat ini menilai bahwa ini adalah “kesalahan manusia yang dilakukan tanpa niat jahat”.
Lampu merah
Menurut Éric Parent, pakar keamanan komputer, ini jelas merupakan “praktik yang sangat buruk”.
“Diminta kata sandi adalah lampu merah otomatis. Ini yang menjadi landasannya, bab pertama dalam buku tentang keamanan komputer,” ujar CEO EVA Technologies.
Risiko utamanya adalah daftar kata sandi ini jatuh ke tangan yang salah, baik secara tidak sengaja maupun jahat.
“Seberapa amankah daftar ini? Di mana itu akan disimpan? Siapa yang punya akses ke sana? Kalau dikirim lewat email, mungkin beberapa karyawan IT bisa mengakses passwordnya,” kata Pak Parent.
Belum lagi kata sandi yang hanya diketahui oleh satu orang memungkinkan mereka untuk diberi tanggung jawab atas stasiun kerja.
“Jika lebih dari satu orang mengetahui kata sandinya, kami tidak akan pernah dapat lagi menetapkan tindakan kepada pengguna. Jika kami mencurigai seorang karyawan melakukan kesalahan, kami tidak akan pernah bisa membuktikannya.”
Manajer Karine Plante-Boulay memilih untuk tidak berkomentar.