Keselamatan Siber di Malaysia

KESELAMATAN SIBER DI MALAYSIA

Penggunaan dan pengembangan ICT telah mendedahkan Malaysia kepada ancaman keselamatan yang lebih luas dan tidak lagi terhad kepada tiga dimensi konvensional iaitu darat, udara dan laut tetapi turut melibatkan dimensi yang baru iaitu ruang siber. Penyalahgunaan ruang siber memberi impak negatif terhadap individu, masyarakat, organisasi dan kerajaan.

Ancaman di ruang siber lebih kompleks dan kritikal kerana sifat dimensi ruang siber yang luas tanpa sempadan. Tambahan pula penjenayah siber semakin canggih dengan keupayaan dan kemahiran teknikal yang tinggi serta modus operandi serangan yang lebih efektif.
Penjenayah siber mempunyai ciri anonymous dan bersifat rentas sempadan untuk menjalankan aktiviti yang melanggar undang-undang. Contohnya pengganas yang menggunakan ruang siber bagi melaksanakan pelbagai aktiviti mereka seperti merancang, menyebar idealogi, merekrut ahli, mendapatkan sumber kewangan serta melumpuhkan sistem kritikal sesebuah negara yang disasar.

Oleh itu, kerajaan telah menyediakan beberapa komponen badan khas untuk memastikan keselamatan siber di negara kita. Antaranya ialah :

Perkhidmatan Komprehensif Keselamatan ICT Terurus (MyGSOC)
MyGSOC  merupakan Pusat Rujukan Keselamatan ICT Sektor Awam yang menyediakan perkhidmatan komprehensif keselamatan ICT terurus ke atas peranti  rangkaian dan pelayan secara dalam talian dan berterusan, menyediakan sistem kawalan keselamatan ICT secara menyeluruh dan berpusat, mewujudkan mekanisma untuk memantau dan melindungi aset ICT Kerajaan dan mengendali insiden keselamatan ICT dengan  cekap dan berkesan.

Sistem Pengurusan Keselamatan Maklumat (ISMS)
Sistem Pengurusan Keselamatan Maklumat (ISMS) merupakan suatu pendekatan yang bersistematik dan berstruktur bagi dalam pengurusan maklumat. Pelaksanaan ISMS meliputi polisi, proses, prosedur, struktur organisasi, perisian dan juga fungsi sesuatu perkakasan.

MAMPU telah memperoleh Pensijilan Semula ISMS (Sistem Pengurusan Keselamatan Maklumat) di bawah standard ISO / IEC 27001:2013 Information Security Management Systems bagi tempoh selama 3 tahun mulai 13 Ogos 2016 hingga 12 Ogos 2019 dengan no sijil: 027-ISO49 oleh CyberSecurity Malaysia. Ia menekankan kepada konsep atau prinsip keselamatan maklumat iaitu pemeliharaan kerahsiaan, integriti dan kebolehsediaan.

Konsep Keselamatan maklumat :

-Pemeliharaan (Preservation):

> Kerahsiaan : Maklumat tidak didedahkan sewenang-wenangnya atau  dibiarkan diakses tanpa kebenaran.
>Integriti : Data dan maklumat yang tepat, lengkap dan terkini serta boleh  diubah dengan cara yang dibenarkan.
>Kebolehsediaan : Data dan maklumat boleh diakses pada bila-bila masa.

-Dicapai dengan melaksanakan kawalan-kawalan yang sesuai (cth: polisi, prosedur, amalan terbaik dan lain-lain lagi)

Rangka Kerja Keselamatan Siber Sektor Awam (RAKKSSA)
Rangka kerja keselamatan siber adalah panduan asas dan komponen keselamatan yang perlu diambil kira oleh kementerian serta agensi sektor awam bagi melindungi maklumat dalam ruang siber mereka.

RAKKSSA adalah memberi panduan asas kepada agensi dalam merancang perlindungan yang diperlukan bagi ruang siber masing-masing dan memastikan keselamatan penyampaian perkhidmatan Sektor Awam serta meningkatkan tahap keyakinan pemegang taruh.

Malaysia Trustmark Sektor Awam (MTSA)
Malaysia Trustmark Sektor Awam diperkenalkan sebagai satu usaha untuk meningkatkan kepercayaan dan jaminan kepada pengguna dalam menggalakkan penggunaan perkhidmatan pembayaran secara atas talian oleh pengguna. MAMPU berperanan sebagai Pengendali dan Pengesah MTSA yang akan mengeluarkan surat pentauliahan MTSA dan akan menjalankan Audit Keselamatan MTSA.

Pasukan Respons Kecemasan Komputer Kerajaan (GCERT)

GCERT ditubuhkan untuk menjamin kesinambungan urusan kerajaan dengan meminimumkan kesan insiden keselamatan ICT. GCERT MAMPU sebagai agensi pusat yang bertanggungjawab menangani semua laporan insiden keselamatan ICT sektor awam.

Secara amnya tugas GCERT adalah seperti berikut:
i.    Menerima dan mengambil tindakan ke atas insiden keselamatan yang dilaporkan
ii.    Menyebarkan maklumat bagi membantu pengukuhan keselamatan ICT Sektor Awam dari semasa ke semasa
iii.    Menyediakan khidmat nasihat kepada agensi-agensi dalam mengesan,         mengenal pasti dan menangani sesuatu insiden keselamatan
iv.    Menjadi penyelaras kepada pihak-pihak yang terlibat seperti Malaysian Computer Emergency Response Team (MyCERT), pembekal, Internet Service Provider (ISP) dan agensi-agensi penguatkuasa.

Perkhidmatan Prasarana Kunci Awam Kerajaan (GPKI)
GPKI adalah satu perkhidmatan keselamatan ICT menggunakan sijil digital yang mematuhi Akta Tandatangan Digital 1997 dan Peraturan-peraturan Tandatangan Digital 1998. Pelaksanaan GPKI juga melibatkan pembekalan sijil digital oleh Pihak Berkuasa Pemerakuan Berlesen – Certification Authority (CA) yang dilantik oleh Suruhanjaya Komunikasi dan Mutlimedia Malaysia.

Antara aplikasi-aplikasi yang menggunakan perkhidmatan ini adalah seperti berikut :
– Power gen2
– e-filing
– E-Syariah
– eVetting
– eperolehan baharu
– perolehan
– MyGST
– eSPKB
– 1GFMAS

Perlindungan Ketirisan Maklumat Elektronik – DLP
Sistem DLP merupakan satu sistem yang digunakan untuk mengesan kemungkinan berlakunya insiden kebocoran maklumat. Ianya melibatkan kaedah mengenalpasti, memantau dan melindungi data dalam tiga (3) kaedah/keadaan iaitu :

1) Data dalam penggunaan (semasa penggunaan komputer desktop, komputer riba, telefon pintar, tablet atau lain-lain peranti mudah alih).
2) Data dalam simpanan (pangkalan data, sistem fail dan media storan)
3) Data yang sedang dipindahkan (data dalam rangkaian melalui internet dan rangkaian tanpa wayar).

Objektif pelaksanaan projek DLP adalah untuk:
1) Melindungi dan menghalang ketirisan maklumat elektronik daripada perbuatan yang disengajakan atau tidak.
2) Memudah cara pengesanan awal aktiviti berisiko dan membolehkan tindakan mitigasi segera;
3) Mengurangkan kos penyiasatan insiden ketirisan dan kos membina kembali reputasi organisasi sekiranya berlaku insiden ketirisan maklumat
4) Meningkatkan tahap keyakinan pengurusan organisasi dengan adanya langkah kawalan keselamatan perlindungan maklumat elektronik.

Oleh itu, latihan semula pekerja dalam aspek keselamatan siber adalah sangat penting untuk memastikan mereka peka terhadap isu keselamatan siber dan memahami bagaimana serangan siber boleh dilakukan ke atas data elektronik syarikat mereka.

Sumber: Kementerian Dalam Negeri, Web PDRM dan portal MyGovernment.