Ang kamakailang pag-hack sa mga computer ng Philippine Health Insurance Corp. (PhilHealth) ay nagdulot ng epekto sa mga accounts ng “milyon-milyon” na miyembro, kung kaya’t ito ang pinakamalaking paglabag sa datos ng pamahalaan mula nang ang “Comeleak” ng Commission on Elections (Comelec) noong 2016.

Sa tabi ng Cybersecurity Month 2023 event noong Lunes, kinumpirma ni Information Undersecretary Jeffrey Dy na “malaki” ang dami ng pribadong impormasyon ng mga miyembro ng PhilHealth na ninakaw sa Medusa ransomware attack.

“Binigyan namin ng pahayag na hanggang ngayon, natuklasan namin ang libu-libong [apektadong accounts]. Pero tila mas marami na pala,” ani Dy, na namumuno sa cybersecurity division ng Department of Information and Communications Technology (DICT).

Ayon sa kanya, halos 90 porsyento na silang tapos sa pagsusuri ng ninakaw na datos, na sinabi ng National Privacy Commission na kasama ang “kakaibang dami” na 730 gigabytes ng impormasyon, o halos katumbas ng mahigit isang milyong form ng pagsusuri sa pagiging miyembro ng PhilHealth.

Binalaan ni Dy ang publiko laban sa pag-access sa mga natapon na file dahil natuklasan nila ang mga attachments ng malware sa kanilang patuloy na pagsusuri. “Nakita namin maraming mga file na may kwestyonableng extension na maaaring gamitin bilang mga entry point [ng mga fraudster],” aniya.

Ang DICT, kasama ang Digital Pilipinas, ay naglunsad ng buwang pagdiriwang upang taasan ang kamalayan ng publiko sa cybersecurity. Ang lumalaking mga atake ay naging isang problema hindi lamang para sa mga negosyo kundi pati na rin sa ilang pambansang ahensiya ng pamahalaan.

Noong Abril, higit sa isang milyong record mula sa Philippine National Police, National Bureau of Investigation, Bureau of Internal Revenue, at Special Action Force ay na-leak sa isang hiwalay na paglabag sa datos.

Ngunit ang PhilHealth data breach, ayon sa pinakabagong tantiya, ay maaaring maging pinakamalaki mula nang ang insidente ng pag-hack ng Comelec na naapektohan ang personal na impormasyon ng halos 55 milyong rehistradong botante.

Sinabi ni Information Secretary Ivan Uy sa mga mamahayag na hindi nila maayos na ma-assess ang integridad ng lahat ng pambansang ahensiya ng pamahalaan dahil sa limitadong mga mapagkukunan at bumababaw na budget para sa cybersecurity, na binawasan mula sa P1 bilyon noong 2022 hanggang sa mga P300 milyon para sa susunod na taon.

“Habang patuloy na lumalaki ang banta [ng mga cyberattack], ang ating cybersecurity budget ay lalong lumiliit,” pahayag niya, na idinagdag na sa kabila ng kanilang limitadong mga mapagkukunan, nagpapalakas din sila ng kanilang mga tauhan sa cybersecurity.

Ngunit hindi sang-ayon si House Deputy Minority Leader at ACT Teachers Rep. France Castro sa hiling ng DICT para sa P300 milyon na confidential fund para sa 2024, at sinabi na ang kailangan nito ay “mas maraming masusing pondo para makapag-hire ng mas maraming tauhan at makabili ng mas maraming kagamitan upang mapanatili ang kaligtasan ng Philippine cyberspace.”

Sa isang pahayag noong Lunes, ipinunto ni Castro ang pagdami ng mga scammers at hackers, “isang glaring example nito ang PhilHealth cyberattack.”

“Kung sinasabi ng DICT na kulang sila sa tauhan para suriin o bantayan ang Philippine cyberspace, kailangan [nilang] mag-hire ng mas maraming tauhan kaysa hilingin ang hindi malinaw na confidential fund,” aniya. “Hindi dapat bigyan ng confidential funds ang DICT pa. Kailangan nito ng pondo para sa tauhan at kagamitan upang protektahan ang Philippine cyberspace, at hindi para sa pagsasagawa ng surveillance.”