MANILA, Philippines — Inamin ng Philippine Health Insurance Corporation (PhilHealth) na ang mahigit 42 milyong miyembro na ang data ay nakompromiso sa insidente ng pag-hack noong Setyembre 2022 ay hindi pa naabisuhan tungkol sa lawak ng paglabag.
Sa pagdinig ng House of Representatives committee on appropriations noong Lunes, tinanong ni Marikina 2nd District Rep. Stella Quimbo si PhilHealth executive vice president Eli Dino Santos kung sinunod ng state-run insurer ang mga hakbang na ipinahiwatig ng National Privacy Commission (NPC).
Sinabi ni NPC Director IV Maria Theresita Patula na naroroon sa pagdinig na sa ilalim ng Data Privacy Law, ang PhilHealth ay may obligasyon na tuparin at ipaliwanag ang mga sumusunod:
- Ang mga apektadong indibidwal ay dapat maabisuhan sa loob ng 72 oras
- Anong data ang nilabag
- Paano ginawa ang paglabag, at mga posibleng panganib na malantad sa mga apektadong indibidwal
- Paano protektahan ang kanilang sarili
“Okay, Attorney Santos, ano ang plano natin para sa 42 million na indibidwal na ang impormasyon ay nasa labas, na maaaring ma-access ng sinuman sa puntong ito? Tama ba, ganun ba ang sitwasyon? Na maaaring ma-access ang mga talaang nakompromiso?” tanong ni Quimbo.
“Ganyan ang sitwasyon, Attorney Eli, di ba? Hindi nila alam, at least, dapat alam nila para maprotektahan nila ang sarili nila. tama? Yun ang dapat nangyari,” she added.
“Oo, Madam Chair, pangunahing responsibilidad ng PhilHealth na ipaalam sa mga apektadong data subject, Madam Chair,” sagot ni Patula.
Una nang sinabi ni Santos na sumunod sila sa Data Privacy Act, ngunit nang idiin pa siya ni Quimbo, tinanong kung ilang indibidwal ang naabisuhan, sa huli ay inamin ni Santos na walang naabisuhan.
“Tingnan mo, iyon ang iyong tiyak na responsibilidad, Attorney Eli. Ang tanging sagot ay oo o hindi. Alam ba ng 42 milyong apektadong indibidwal na nakompromiso ang kanilang data? At samakatuwid, dapat nilang gawin ang mga sumusunod na pag-iingat?” Sabi ni Quimbo.
“Madam Chairperson, sa pamamagitan ng Information Security Office, nagpatupad kami ng mga hakbang upang subukan,” sabi ni Santos.
“Hindi po sir, very specific na tanong eh. Oo o hindi lang? Forty-two million eh, may 42 million na indibidwal ang apektado. Alam ba nila ang apat na impormasyon na dapat nilang malaman? Oo o hindi lang?” tanong ulit ni Quimbo.
“Kung tungkol sa mga indibidwal, Madam Chairperson, hindi,” pag-amin ni Santos.
Sinabi ni Patula na mayroong 181 milyong mga rekord na nakompromiso sa panahon ng pagtagas ng data, ngunit marami sa mga ito ay mga duplicate na entry — binabanggit na pinaliit nila ito sa 42 milyong indibidwal.
Sa ngayon, gumawa ang NPC ng isang site kung saan maaaring ipasok ng mga miyembro ng PhilHealth ang kanilang 12-digit na numero (nang walang gitling) upang suriin kung ang kanilang data ay bahagi ng mga na-leak sa insidente ng pag-hack. Bisitahin ang site sa pamamagitan ng pag-click dito.
Sinabi naman ni NPC officer Reginald Francisco na kasalukuyang protektado ang sistema ng PhilHealth, dahil ang Department of Information And Communications Technology (DICT) National Computer Emergency Response Team ay nagbigay ng backup na anti-virus system.
Kinumpirma ni Santos na nakuha nila ang software mula sa DICT, idinagdag na habang ang mga pag-atake ay patuloy, ang data ay protektado, at ang mga function ng PhilHealth website ay magagamit.
“Sa ngayon, Madam Chairperson, na-inform ako na sa araw-araw, ang PhilHealth ay nakakaranas ng mga pagtatangka sa pag-hack, Madam Chairperson, pero ang kasalukuyang sistema na nakalagay ngayon ay pumipigil na maulit ang mga ganitong pag-atake, Madam Chairperson. At muli, salamat sa DICT, Madam Chairperson,” Santos noted.
Inilarawan ng mga eksperto sa NPC at cybersecurity ang pagtagas ng data ng PhilHealth bilang nakakagulat, dahil inihayag ng mga paunang pagtasa na mahigit 730 gigabytes ng data ang nakompromiso.
BASAHIN: Ang nag-leak na data ng Philhealth ay ‘nakakagulat,’ sabi ng NPC
Sinabi ni Patula na nakahanap sila ng mga datos tulad ng mga rekord ng medikal ng pasyente, mga pagsingil na isinampa sa mga rekord ng miyembro, mga rekord ng miyembro ng mga rebel returnees, mga talaan ng pagsingil ng mga indigents, at mga operasyong pinatay-in-action o napatay-sa-pulis.
BASAHIN: PhilHealth: Ang data ng ilang miyembro ay nakompromiso ng paglabag sa system
Pagkatapos ay sinisi ng PhilHealth ang pag-hack sa mga patakaran sa pagkuha, dahil ang batas ay ipinagbabawal umano sa kanila na palakasin ang kanilang mga kakayahan sa cyber defense.
