Seguridad ng gov’t websites, paiigtingin sa gitna ng mga hacking —DICT | #TedFailonandDJChaCha
00:44.8
Actually, nangyari po ito noong Monday pa, noong na-report at inimbestigan, hinihingi ang tulong ng DICT.
00:51.3
Napag-alaman natin na...
00:53.3
Ibang individual po ito. Ibang mga individual po ito. Pero pare-pareho nang ginagawa.
00:60.0
So, we don't discount the fact na may connection po sila.
01:03.2
Ang na-compromise po na system nito, malong Ted, is yung reportorial system po ng Bureau of Customs.
01:10.5
Ito yung internal system po nila na kung saan nag-uusap-usap sila to give in their daily reports
01:15.4
para naman for proper coordination and communication with each other, yung sa ibang unit po ng BOC.
01:23.3
Confirmado po talaga na napasok itong sistema ng Bureau of Customs and meron na ho bang, ano bang tawag dyan, kwentada kung gano'ng kalaki po na data ang nakuha?
01:35.6
Hindi sure siya gano'ng kalaki, malong Ted, katulad ng iba. Maganda naman dito sa nangyari sa Bureau of Customs, isolated yung system.
01:42.8
So, naagapan po natin, na-isolate natin yung system, na-isolate natin, kinuwarantin natin even yung internet systems nila para doon lang ho sa reportorial system nila.
01:53.3
Penetrate doon sa main system ho ng BOC.
01:55.8
Pag tinatanong nyo, kung ang tanong nyo, manong Ted, is kung storage-wise, maliit-liit lang ho ito, hindi ho ito aabot ng 10GB.
02:03.7
However, yung mga informasyon na nakuha dito, may mga nakuha rin mga ibang mga vital information,
02:12.1
katulad ng mga personal information ho ng mga empleyado ho ng BOC at saka yung mga customers ho nila, ibang mga kliyente ho nila sa BOC.
02:19.5
Personal information ng mga empleyado.
02:23.3
Kasama kaya dyan yung mga kayamanan ng mga taga-Bure of Customs?
02:36.6
Yung ano, hindi ko alam.
02:38.9
Kami, iniimbestigahan naman.
02:41.0
Papasa ho namin yung imbestigasyon namin sa mga kinakukulan, manong Ted.
02:44.9
Kasama kaya dyan yung mga taga-Customs na may mga hypercars at supercars?
02:51.2
Hindi ko naman, hindi nila nililigay sa report.
02:53.3
May report nila yun, manong Ted.
02:54.8
Ay ko talaga, napatawa mo ng malakas si Asek.
02:58.5
Ah boy, Asek, tungkol po dito sa nabanggit kanina doon sa tanong ni manong Ted na ibang group po ito,
03:04.7
ito po ba yung local group or international hackers po ito?
03:08.8
Ganit, ang tinitingnan namin may mga local threat actors.
03:12.0
Pero again, DJ Chacha, hindi namin tinitingnan namin yung fact na meron silang connection doon sa ibang international groups.
03:21.2
Kasi, pagdating ko sa...
03:23.3
Bureau of Customs, and even yung mga recent natin, they are very familiar with yung mga systems na ginagamit po ng gobyerno.
03:32.7
Kasi, kailangan natin tindihan, hindi ito din-develop ng gobyerno.
03:36.5
Ito ay pinag-procure natin doon sa mga service providers natin, doon sa mga suppliers natin.
03:41.9
At karamihan, because of the budgetary constraints, tindihan naman natin, nakaramihan naman ng mga sistema na ito, Chinese technology.
03:50.9
So, very familiar po sila doon.
03:53.3
Hmm. Ito po bang mga security at firewall na naka-install dito sa mga government agencies na nahack? E pare-pareho?
04:04.4
Iba-iba naman. Pero again, ang medyo similar dito is yung mga supplier, karamihan, hindi naman lahat, karamihan is doon talaga sa mga nag-offer na mura talaga yung mga systems.
04:18.2
Oo. So, tama yung sinasabi niyo. Ulitin ko lang.
04:20.5
Dito sa nangyari sa Bureau of Customs, maging hindi sa lahat ng mga nahack na ahensya, sa ibang mga ahensya, puro mga Chinese firms yung may hawak?
04:31.4
Chinese suppliers po.
04:32.8
Chinese suppliers.
04:34.5
Na-supply po ng mga systems nila at saka yung mga firewalls nila.
04:39.3
Oo. Dahil yun po ang mura.
04:42.3
So, napag-uusapan na rin po ngayon na malaking posibilidad na hindi nakukuha itong mga ahensya ng gobyerno sa mga Chinese suppliers?
04:50.5
Dahil sa napapadalas po na insidente ng hacking?
04:53.7
Ang napag-uusapan, wala namang nung palisi ang ating pamahalaan tungkol sa pagbaban ng Chinese suppliers.
05:00.5
In fact, bawal po yan sa public procurement law natin.
05:03.8
Pero what we advocate po, DJ Chacha, talagang suriin nila kung una-una kung ma-address ba nito yung mga needs ng ahensya at saka yung mga bawat departamento.
05:16.1
At pangalawa, siguro equally important na rin ngayon sa mga nangyari.
05:20.5
Is gaano ka yung integrity po ng system, yung security po ng system na hindi po siya mapapasok at saka walang backdoor dun sa mga systems na yun.
05:32.0
Opo. Dun siya nakuha ang information, gaano po kalaki yung data breach? Sing laki din o sa DOST or mas maliit po ito?
05:37.7
Maliit na. Mga 10 gig lang po ito.
05:41.6
Kung ikukumpara niyo kasi, yung sa DOST, malaki po siya.
05:46.6
Terabytes po siya kasi schematics, designs.
05:52.3
Dito personal info.
05:53.7
Kasi personal, ano yung mga information, mga maliit lang ang storage nun.
05:58.0
Kagaya ko nun sa, siguro kung by comparison nito, kung matatandaan nyo sa PhilHealth naman po.
06:06.6
Hindi ganun kalaking storage pero marami po kasi it's yung mga information, yung mga personal data.
06:14.0
Pero hindi po ito makaka-apekto sa pagtatrabaho ng mga taga Bureau of Customs?
06:20.1
Kagaya nun nangyari last time sa DOST?
06:24.0
Maapektuhan man ho.
06:25.7
Mapapabagal lang siguro yung pag-proseso because again, magiging mano-mano yung pag-replacement nila doon sa reportorial system nila.
06:32.5
Hanggang ma-i-up po natin ulit at saka ma-insure yung integrity ng bagong sistema nila.
06:37.8
Last na lang po siya akin bago ko ibalik kay Manong Ted.
06:41.6
Asek, sa ngayon, kaya 10 gig lang din yung data breach dito.
06:47.2
Napigilan ito agad ng DICT?
06:48.9
O nung mga humahawak ng security features ng mga taga Bureau of Customs?
06:54.8
It's both po. Napigilan mo ka agad kasi na-isolate ka agad yung system at saka na-quarantine mo yung mga entry points.
07:01.6
And second po, kasi isang sistema lang ang na-breach nila.
07:05.5
Yung reportorial, hindi siya yung main system ng BOC.
07:09.0
Oo. Sa ngayon po ba, Asek, meron ng sistema, ang DICT, na nakakabit sa iba't ibang ahensya ng gobyerno
07:16.4
na every time may hacking, nanonotify kayo agad?
07:18.9
Wala tayong gano'n.
07:21.3
Yung sana ang gusto ko i-address ngayon nung gini-implement natin na bagong pirma ng ating mahal na Pangulo,
07:26.8
yung National Cyber Security Plan natin.
07:29.0
Unang-una po is yung bawat ahensya po siguro magkaroon na ng sarili nilang insert o yung Computer Emergency Response Team
07:35.8
na hindi na nila kailangan tawagan yung DICT.
07:38.8
Yes. Automatic na.
07:41.1
First aid po agad.
07:42.5
Kami naman sa DICT, apart from doon sa amin at mag-resupport,
07:48.9
yung tulong sa amin, meron sa monitoring system na proactively tatawagan namin ang ahensya
07:53.8
pag may nakikita kaming irregularities para naman ma-check nila.
07:56.6
Oo. Pero mas maganda nga sana yung sinasabi ninyo na ipinopropose ninyo na mukhang malaki-laki ang kakailanganin.
08:03.5
Medyo ho. Pero doon naman doon sa batas na pinirman, sa executive order na pinirman ng ating Pangulo,
08:09.9
na nakapaglagay naman doon na kukunin sa GAAS.
08:13.8
So talagang kailangan mag-appropriate doon sa GAAS para naman doon sa implementation.
08:18.9
So for this year na po natin nakikita na posibleng makabili na tayo nitong kailangan ng DICT
08:26.7
para every time may hacking sa ibang ahensya ng gobyerno o kung saan man yan,
08:30.6
alam nyo na agad bago pa nila kayo inotify.
08:34.5
Depende po yun sa bawat ahensya ng pamahalaan.
08:37.4
Kailangan hindi yan kakapirmat pa lang ngayon.
08:39.3
Tapos na yung ini-implement na yung budget for 2024.
08:42.8
So ang pag-uusapan noon nito is yung deliberation ng budget for 2025 na magsisimulahan na rin naman talaga kaagad.
08:48.9
To answer straight your question, BJ Cha, hindi pa ngayon.
08:53.4
Hindi pa ngayong taon.
08:55.8
So yung sinasabing nyo na pinaka-national plan para nga sa pagbibigay ng cyber security sa lahat ng sistema ng gobyerno,
09:07.2
kayo ang punong abala dyan, ano po, di ba, ASEC, no?
09:11.1
Kami ang magiging lead implementer nito.
09:14.8
Pero again, it's a policy that involves a whole of government.
09:18.9
Government approach.
09:19.7
Kaya nga ako sabi, ang sinasaad doon sa National Cyber Security Plan,
09:23.2
is bawat ahensya kailangan may sariling insert.
09:26.3
Kasi sila rin nun ang nangalaga, Manong Ted,
09:28.6
yung sarili nilang system, tsaka sila nagme-maintain.
09:32.1
Oo nga, oo. Pero there will be a standard.
09:36.1
Kasi ngayon po, wala pa standard, kung baga, di ba?
09:40.5
Tama po, Manong Ted.
09:41.6
Yun yung sana din.
09:42.6
Pag na-implement ho yan, kailangan dumaan sila sa pag-susuri ng DICT.
09:47.6
Kung tama ba, unang-una.
09:48.6
Tama ba yung pinoprocure niyong sistema?
09:51.1
Would it address your needs?
09:52.9
Pangalawa ho is, would it be, kasi ang technology, ano eh, kaya yun ang parating natin pinag-uusapan, Manong Ted, DJ Chachap,
09:59.6
parating siya nag-evolve.
10:01.2
Six months from now, obsolete na yan.
10:03.2
Kailangan upgrade-able ho siya.
10:04.9
Kailangan medyo tatagal ho yung sistema na iyon.
10:08.3
It's a balance talaga kung ano yung budget mo at saka anong kailangan mo.
10:13.2
Kailangan, kaya nga sinasabi namin, dumaan muna sa DICT for proper,
10:18.6
to sa pag-formulate ng Terms of Reference for the Procurement.
10:22.9
Kasi nga po, sa mga hindi masyado maalam sa ganito pong mga usapin,
10:27.2
para sa nangyari sa GSIS, nung sila'y napasok,
10:32.3
merong agwat noong panahon na dapat na silang mag-procure, bumili,
10:37.3
ng bagong provider ng kanilang security system sa IT.
10:43.9
Manong Ted, maganda yung binabanggit nyo ngayon.
10:45.9
Kasi Philly, ano, ito ang panunuri.
10:48.6
Kasi we're in the first quarter of the year, ini-implement pa lang, nag-start pa lang yung mga procurement processes natin.
10:54.7
Yung iba pong mga ahensya siguro, dahil nandito at nagpo-procure pala sila,
10:59.1
baka nag-expire na rin yung mga kanilang mga sistema.
11:03.0
Yan ho sana yung isang ina-address namin at pinapanukala na pagbabago doon sa public procurement law natin,
11:09.3
pagdating sa ICT procurement, magkaroon lang exception sana,
11:12.0
na mas mabilis makapag-procure, lalo na doon sa mga subscription ng mga firewalls po.
11:18.6
Oo, kasi nga po, ano ito eh, para kang may binibiling gamit para pangalagaan, software ho ito o hardware?
11:27.5
Tama po. It's a combination of both. Pero yung mga firewall ho natin, software po yan.
11:32.7
Okay. May binibili ka ng mga pananggalang para pangalagaan ang iyong computer system sa iyong ahensya,
11:38.9
dumadaan ka sa bidding process, et cetera.
11:41.0
So dito rin po, may mga bidders din, may kanya-kanya din pong iniaalok itong mga software providers na ito.
11:48.6
Anong po yun, Aset?
11:50.9
Okay. And then kapag nataon naman na mahina ang nakuha mo, pe pwede kang atakihin?
11:57.4
Tama po, Manon Ted. Yun lang ako yung talaga nangyayari din na madalas pag magkakaroon ng penetration
12:03.4
or nagkakaroon talaga ng successful hacking, medyo mas advanced yung gini-employ yung mga hackers.
12:10.0
Wala po itong ano, walang insurance yan, meaning kung meron ka namang provider nga ng security
12:17.2
sa iyong IT system at napasok ka, meron ba yung usually sa kanila pong kontrata, may pananagutan yung kanilang IT security provider?
12:28.3
Meron ho. Pag lumabag sila doon sa terms of reference nila, Manon Ted.
12:31.7
Pero madalas pag nire-review nyo yung terms of reference, it only addresses particular.
12:35.4
In the technology of now, it doesn't address your technology yung six months from now, three months from now.
12:42.2
Sige. So ito ngayon ang papel nyo, ayusin ang lahat ng ito.
12:45.8
Kasi nga, kakaspirma pa lang itong executive order, dito po ilalatagnain ninyo sa lahat ng government agency ang panuntunan sa...
12:56.7
Sa standards. Okay. Kailan pong actual na simula po nito ng pagpapatupad ninyo?
13:02.7
Nag-ano na ho, sinisimula na ho na natin yung pagbubuo nung cyber security council ho natin,
13:09.0
na magmangalaga at magpapropose ng mga standards ho natin.
13:13.2
Pero ano yan, it's lateral efforts din.
13:15.8
So, nagsisimula na rin tayo doon sa mga pwede natin simula.
13:18.2
Like yung upskilling ho, nagkakaroon na lang kanya-kanyang pagkuha sa kanya-kanyang pondo
13:22.0
para ma-upskill naman ho yung mga tao na bawat ahensya ay meron for their IT professionals and cyber security experts po.
13:29.2
Okay. Apo, apo, apo. Sige. Ito lang sa customs, hindi napasok ang kanilang E2M system?
13:35.5
Kasi sa customs ngayon, electronic filing nga na rin eh.
13:38.8
Ito yung mga importers, mga dokumento nila, E2M na yan. Napasok ko ba yun?
13:43.4
Hindi po, Manong Ted.
13:45.8
E2M lang po. Fortunately, yung na-infiltrate at na-compromise ng mga hackers po.
13:51.3
Okay. Reportorial system, meaning?
13:54.8
Ito yung mga internal system nila. Yung day-by-day operations nila, nire-report nila para makita ho ng bawat units ng ahensya.
14:02.6
So, parang it's a separate system for yung parang gangboard nila. Yung bawat ahensya makikita yung progress ng bawat unit.
14:12.5
Okay. Sige po. Sige.
14:15.8
Customs sa BOC Underfinance Department. Ngayon ba may findings na po kayo? Ano ito? Kung sino ang kanilang provider ng siguridad dito sa kanilang IT system?
14:28.9
I don't know. Madali ho yun kasi makikita ko.
14:33.1
Kaya nga. So, sino ito? Chinese din ito?
14:38.4
Actually, yung buong system nila, mostly Chinese suppliers po ang nakita ho ng DICT.
14:45.8
Hmm. Hindi pa expired ang kontrata, meaning existing po ito? I mean, valid siya?
14:54.5
Opo, opo. Hindi naman siya subscription-based, Mano Ted. Yung report, yung mismo system nila. Hindi ka tulad ng mga firewalls na talagang subscription-based.
15:06.6
Okay. So, iba ang kanilang provider doon sa BIR Underfinance Department? Magkakaiba sila?
15:14.9
So, we have to verify, Mano.
15:15.8
Magkakaiba. Kasi may mga pagka... Kasi it's usual in government na yung ibang systems pare-pareho, yung ibang systems iba-iba.
15:25.2
Okay. Sige. So, salamat sa informasyon, Asec, at for being always available para humaintindihan po ng ating mga kababayan ngayong itong issue nito.
15:33.1
At magkaroon din po tayo ng kaisipan ano ba ito nangyayari at kung ano pong ginagawa ng DICT kasi kayo ang lead agency dito. Opo.
15:41.6
Ano po, Mano Ted. Maraming salamat din po talaga.
15:44.4
At may napagbibigay po sa amin ng plataforma para naman, gaya na siya sabi niyo, makapagpaliwanag po kami. At ma-educate din po yung mga taong bahay natin.
15:52.5
Okay. Sige po. So, sir, meron lang po ngayong ano ha. Meron pong mga ano ngayon. Nagpapatuloy po ng mga tech scam pa rin ha para sa mga GCash users.
16:01.5
Oo. Oo. Sir, hindi humatigil-tigil ito. Kaya nga pati si Sen. Rapimintel ang sasabi, baka may mga kinakailangan na naman pong baguhin sa batas.
16:09.4
Ano pong bang inyong ano dito? Pahabol lang. Ano bang inyong ginagawa ngayon dito? Aksyon?
16:14.4
Nakontra ho sa patuloy pa rin ng mga tech scam at marami pa rin pong kumakagat.
16:19.6
Ang talaga nito, lead agency ho dito is yung National Telecommunications Commission which is an attached agency naman ho ng BICT pero separate agency ho sila.
16:28.6
Sila din ang tagapagpatupad ng SIM Registration Act ho natin. Although as a policy ho talagang kinakausap din natin yung mga iba't-ibang mga service providers ho natin ng telecommunications
16:41.3
para naman ho yung parang pag ni-report.
16:43.8
Kaya sa tulong ho ng CICC naman na may scam watch ho tayo na pag ni-report ho sa CICC talagang pinapablock na ho natin yung mga numbers na yan.
16:52.6
Although talagang ano yung nangyari ho nung SIM Registration, nagkaroon ng nakawan ng mga SIM cards, nagkaroon ng mass buying ng mga SIM cards na talagang it became a challenge manong Ted.
17:04.4
Sige po. So sana po magkaroon din po ng spokesperson pong NTC mismo for this issue.
17:10.1
Sige po. Paparating ko po manong Ted.
17:13.8
Salamat na marami ASEC. Mabuhay. Thank you sir.
17:15.7
Marami salamat po. Salamat.
17:16.9
Thank you. Alright. Si ASEC Aboy Paraiso po ang spokesperson ng DICT.