Kemantapan Keselamatan Perlindungan

KEMANTAPAN KESELAMATAN PERLINDUNGAN:CABARAN, HALUAN DAN ISU KEMANTAPAN KESELAMATAN PERLINDUNGAN: CABARAN, HALUAN DAN ISU

A. PENDAHULUAN 1.

Negara Malaysia sejak mencapai kemerdekaan pada tahun 1957 telah memacukan ekonominya secara terancang melalui Rancangan Pembangunan Ekonomi Lima Tahun. Ekonomi Malaysia sejak itu telah berkembang sebagai sebuah negara berasaskan pertanian kepada perindustrian menggunakan automasi. Pada tahun 1990 negara telah memulakan inisiatif memajukan negara memenuhi wawasan 2020 dengan menggunakan ICT sebagai 'Key Enabler' untuk meningkatkan daya saingnya. Semua perkembangan tersebut menuntut kepada sofistikasi proses yang mementingkan operasi peralatan dan perisian komputer serta kemahiran ICT dikalangan pekerjanya. Kelemahan memenuhi cabaran ini akan mendedahkan negara kepada 'vulnerability' ancaman dunia siber. Pihak musuh akan mengambil peluang merealisasikan kelemahan tersebut menjadi risiko dalam pelbagai bentuk sama ada kerugian dari segi kewangan atau reputasi. Oleh itu kemantapan keselamatan perlindungan melalui inovasi teknologi sangat diperlukan dalam dunia siber. B. DEFINASI DAN TAFSIRAN

2.

Definasi dan tafsiran yang digunakan dalam kertas kerja ini membawa maksud sebagaimana dijelaskan seperti di bawah: "Keselamatan Perlindungan" merujuk kepada langkah-langkah yang diambil untuk melindungi aset meliputi keselamatan perlindungan fizikal, dokumen, peribadi dan ICT. "Aset" merujuk kepada apa sahaja yang mempunyai nilai dan mendatangkan impak kepada kelangsungan fungsi organisasi jika berlaku kehilangan, kerosakan dan kemusnahan terhadapnya. "Keselamatan" ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak diterima. "Sabotaj" ialah satu perbuatan atau omitan bertujuan menyebabkan kerosakan fizikal untuk kepentingan-kepentingan sesebuah kuasa asing atau sesuatu tujuan politik yang subversif. Sabotaj mungkin boleh dilakukan pada masa aman atau perang. Dalam masa aman sabotaj mungkin boleh dilakukan oleh orang perseorangan yang bersimpati dengan tujuan-tujuan kuasa-kuasa yang tidak berbaik dengan Malaysia dan ianya mungkin merupakan satu kempen yang teratur. Pada masa peperangan sabotaj berkemungkinan besar dilakukan mengikut suatu rancangan yang teratur dan rancangan ini mungkin pula sebagai sebahagian atau permulaan daripada satu rancangan yang lebih besar untuk melumpuhkan pertahanan negara. C. CABARAN KESELAMATAN PERLINDUNGAN MASA KINI

3.

Keseluruhan organisasi dalam sktor awam telah merubah paradigma pegurusannya kepada yang amat bergantung kepada penggunaan ICT. Potensi infrastruktur strategik organisasi menghadapi serangan siber tidak boleh dielak lagi. Kejayaan serangan siber ke atas sesuatu sistem komputer dan rangkaian telekomunikasi boleh mendatangkan

kesan berangkai ke atas yang lain yang berkemungkinan membawa kemusnahan dan kehancuran kepada organisasi.

4.

Peraturan lama untuk memasang peralatan pencegahan tidak boleh diharap lagi. Tidak beberapa lama dahulu pemasangan 'up to date anti-virus and firewall software' bersamaan dengan 'effective policies of attachments and passwords' adalah pertahanan cukup kebal daripada ancaman siber. Pada hari ini ancaman bersepadu tidak lagi memerlukan campur tangan manusia untuk melancar dan membuka ruang untuk melakukan pencerobohan berbentuk lama dan baru.

5.

Melindungi infrastruktur organisasi daripada serangan siber adalah amat menyulitkan dan kompleks tidak seperti kita melindungi struktur fizikal. Dalam ruang siber tiada sempadan dan lingkungan kawasan. Tedapat banyak ruang kelemahan yang jelas kalau kita ikuti perkembangan statistic jenayah siber. Oleh itu pelbagai program perlu dibangunkan dan diambil tindakan untuk menanganinya.

6.

Dunia siber hari ini tidak memerlukan penceroboh hadir secara fizikal untuk mencuri maklumat atau melakukan sabotaj. Sebaliknya serangan boleh dilakukan dengan melaksanakan eksploitasi ICT yang boleh memihak kepada musuh. ICT adalah landasan baru untuk pihak musuh menyerang kita. Serangan boleh dilakukan di tempat-tempat kritikal dalam organisasi. Boleh dikatakan semua perkhidmatan operasi menggunakan komputer dan talian gentian optik, 'switches' dan 'routers' untuk merangkaikannya. Jika rangkaian ini diganggu sudah pasti keselamatan sistem maklumat dalam bahaya.

7.

Dalam mewujudkan undang-undang dan peraturan, Malaysia tidak jauh berbeza berbanding dengan negara maju. Di antara undang-undang yang telah dikuatkuasakan ialah Akta Rahsia Rasmi 1972, Akta Jenayah Komputer 1997, Akta Tandatangan Digital 1997, Akta Teleperubatan 1997, Akta Komunikasi dan Multimedia 1998 dan Peraturan Tandatangan Digital 1998. Beberapa undang-undang baru juga sedang digubal oleh kerajaan untuk memperkukuhkan lagi pelaksanaan undang-undang siber seperti 'Personal Data Privacy Act' dan 'Government Transaction Activities Bill' Ini menunjukkan Negara tidak kurang undang-undang yang selari dengan pembangunan teknologi. Peraturan untuk mengendalikan kebangkitan teknologi baru adalah mencukupi, terkehadapan dan mematuhi piawaian dan kehendak antarabangsa yang terbaik.

8.

Perubahan teknologi baru telah menggerakkan perubahan dari segi aktiviti jenayah. Jenayah boleh dilakukan dengan begitu cepat, tidak mudah lagi bagi pengendali jenayah mengumpul maklumat dan mengemukakannya ke mahkamah untuk pendakwaan. Oleh itu para hakim, pendakwa, peguam dan PKJ memerlukan pengetahuan yang mendalam tentang undang-undang berasaskan internet atau pengetahuan teknikal untuk mengesan dan mendakwa penjenayah komputer dengan pantas.

9.

Mengikut banci keselamatan ICT yang dijalankan di Malaysia oleh pihak NISER pada tahun 2000/2001 mendapati lebih daripada ¾ organisasi yang dibanci tahu akan kewujudan Undang-Undang Siber Malaysia. Sebaliknya majoriti 95% organisasi tersebut tidak memahami dengan sepenuhnya dan ini meragukan kemampuan keberkesanan mereka menjalankan tanggungjawab.

10. Membangunkan sumber manusia yang terlatih dan disahkan oleh badan professional untuk mengendalikan masalah keselamatan perlindungan ICT adalah satu cabaran yang perlu dihadapi oleh organisasi. Negara kita jauh tertinggal ke belakang dalam menyediakan tenaga professional yang disahkan sebagaimana yang diperlukan. Mengikut banci keselamatan ICT yang dijalankan oleh NISER dalam tahun 2000/2001

daripada 414 organisasi yang dibanci hanya 6% memberi pengiktirafan akan keperluan GIAC (Global Incident Analysis Certification) dan 12 % mengiktiraf kepentingan CISSP (Certified Information System Security Professional). Tetapi dalam realitinya hanya 3% yang benar-benar memegang sijil yang disahkan. Bancian itu seterusnya menunjukkan bahawa hanya 1% GIAC yang berdaftar di seluruh dunia adalah warga Negara Malaysia. 11. Negara Malaysia masih diperingkat membangun dalam penyelidikan dan pembangunan keselamatan ICT. Negara masih bergantung kepada kepakaran dan peralatan ICT luar Negara. Di Negara maju mereka telah jauh ke hadapan dalam aktiviti R&D yang membolehkan mereka mengeluarkan dan mengawal eksport peralatan teknologi tinggi. Contoh terbaik ialah pengeluaran 'strong security solutions' iaitu kriptografi. R&D dan pembangunan teknologi dalam bidang ini pada kebiasannya adalah diberi pengelasan yang tinggi dan kekal menjadi rahsia kerajaan. Negara yang mengeluarkan barangan berasaskan kriptografi seperti Perancis, Amerika Syarikat, Belgium, Israel dan China meletakkan kawalan perdagangan yang ketat dalam mengimport dan eksport barangan tersebut terutama kepada Negara yang mereka anggap sebagai musuh.

12. Bagi Negara Malaysia import dan penggunaan barangan berasaskan kriptografi akan mendedahkan sistem maklumat kita kepada 'surveilance activities' oleh negara yang membekalkannya yang berkemungkinan tahu mengaksesnya pada satu-satu masa yang dikehendaki. Pendedahan yang sebegini akan membahayakan keselamatan negara.

D. HALUAN PELAKSANAAN KESELAMATAN PERLINDUNGAN 13. Ketua Jabatan adalah bertanggungjawab sepenuhnya mengenai keselamatan dalam Jabatannya. Tanggungjawab untuk melaksanakan segala arahan-arahan keselamatan ialah Pegawai Keselamatan Jabatan yang terdiri daripada Timbalan Ketua Jabatan yang menjalankan kerja-kerja pentadbiran dengan mendapat nasihat daripada Pegawai Keselamatan Kerajaan. 14. Ketua Pegawai Keselamatan Kerajaan adalah bertanggungjawab untuk merancang, merumus menyelaras dan melaksanakan sistem kawalan keselamatan. Bahagian Inspektorat di Pejabat KPKK jadi pemantau bagi memastikan semua arahan-arahan keselamatan dilaksanakan sepenuhnya diperingkat jabatan-jabatan kerajaan supaya sebarang bentuk jenayah tidak berlaku yang boleh menjejaskan reputasi, dan kelangsungan perkhidmatan kerajaan.

15. Dari penemuan inspektorat yang dijalankan didapati kebanyakan PKJ melaksanakan

sistem kawalan keselamatan secara reaktif. Mereka hanya bertindak dan mendapatkan nasihat daripada Pegawai keselamatan Kerajaan apabila sesuatu pelanggaran keselamatan telah berlaku. Penilaian keselamatan perlindungan kurang dilaksanakan untuk melihat apakah 'security requirement needs' organisasi dipenuhi secukupnya bersesuaian dengan persekitaran ancaman keselamatan yang berubah. Kepastian tidak dapat dibuat oleh PKJ untuk menentukan status ancaman yang dihadapi oleh organisasinya dengan cepat dan tepat apabila diminta oleh Pegawai Keselamatn Kerajaan sebagaimana disebutkan di bawah perkara 16 Arahan Keselamatan.

16. Jika pun PKJ dapat menyenaraikan status ancaman keselamatan organisasinya mereka

tidak tahu untuk menkategorikan setiap ancaman itu sama ada harus diletakkan di bawah tahap ancaman yang rendah, sederhana, tinggi atau sangat tinggi. Bagi setiap ancaman tersebut mereka tidak ada kemahiran untuk 'mitigate and menimise the risk'. Mereka tidak tahu apakah pendekatan yang harus digunakan untuk mengawal segala ancaman yang telah dikategorikan sama ada mencukupi dengan 'baseline approach', 'informal approach', 'detailed risk analysis approach' atau 'combined approach'. Selepas

kawalan dibuat oleh PKJ tidak semua risiko terhapus tetapi akan meninggalkan 'residual risk'. Daripada 'residual risk' ini PKJ kurang pengetahuan untuk membezakan yang mana risiko yang boleh dielakkan, dipindahkan, dikurangkan, kelemahan yang ada dikurangkan, mengurangkan kesan daripada akibatnya atau mengesan insiden yang tidak dikehendaki, bertindak ke atasnya dan memperbaikinya semula. Oleh kerana PKJ tidak dapat melakukan tatacara pengurusan risiko ini dengan sempurna sudah pastilah segala langkah kawalan yang dibuat tidak menepati dengan ancaman yang dihadapi oleh organisasi mereka. Ada cadangan langkah kawalan keselamatan perlindungan didapati terlalu rendah dan mendedahkan organisasi kepada bahaya ancaman dan adakalanya didapati terlalu tinggi sehingga membebankan kewangan organisasi. 17. Mengikut statistik bahagian Inspektorat Pejabat KPKK daripada 48 jabatan kerajaan (tempoh Januari 2000 hingga Februari 2004) di mana pelanggaran keselamatan telah berlaku dan inspektorat keselamatan telah dibuat didapati tiada satu jabatan pun di mana PKJ mereka telah membuat penilaian keselamatan menggunakan senarai semak yang terdapat di dalam 'Pekeliling Am Sulit Bil.1 Tahun 1993. Dalan perkara ini memberi mereka kefahaman akan kepentingan dan faedah membuat penilaian keselamatan perlindungan adalah sama pentingnya dengan menghendaki mereka melaksanakan langkah-langkah keselamatan perlindungan mengikut 'standard' dan prosedur yang tedapat didalam 'Arahan Keselamatan' dan 'MyMIS'.

18. Di samping itu statistik insiden jenayah di Malaysia sentiasa meningkat setiap tahun. Sebaliknya kebanyakan daripada Ketua Jabatan atau Pegawai Keselamatan Jabatan tidak merasakan bahawa mereka ada masalah. Tambahan pada itu mereka tidak tahu apakah tatacara yang perlu digunakan untuk mengetahui bahawa masalah keselamatan perlindungan wujud di organisasi mereka. Sekiranya mereka tahu bahawa mereka ada masalah mereka tidak tahu bagaimana penyelesaian yang terbaik untuk mengatasinya. Kebanyakan PKJ lebih suka jika masalah yang dihadapi disembunyikan daripada pengetahuan pihak atasan. Pada mereka apa-apa syor yang dikemukakan untuk meningkatkan tahap keselamatan perlindungan di organisasi mereka dianggap sebagai satu kritikan terhadap kompetensi pengurusan mereka. Penilaian keselamatan perlindungan akan hanya menjadi penting kepada PKJ apabila sesuatu insiden berlaku kepada organisasi mereka. Pada kebiasaannya kerugian yang ditanggung akibat daripada pelanggaran keselamatan adalah lebih tinggi daripada kos untuk mendapatkan peralatan kawalan keselamatan. Ini adalah satu kes yang amat menyerupai apa yang dipanggil sebagai 'a knee-jerk reaction' di mana mereka merasakan kepentingan untuk menutup pintu kandang mereka wujud apabila semua kuda dikandangnya telah dicuri. 19. Terdapat juga organisasi yang menyedari akan kepentingan melindungi maklumat rahsia rasmi telah membangunkan sistem tetapi tidak menepati kehendak 'security specification requirement need'. Ketua Jabatan dan PKJ tidak mengambil tanggungjawab untuk memastikan bahawa semua keperluan dipenuhi bukan sahaja langkah kawalan keselamatan perlindungan maklumat diorganisasi tetapi juga mematuhi sepenuhnya kehendak undang-undang dan peraturan yang berkaitan dengannya. Contohnya di bawah seksyen 8(1)(iv) Akta Rahsia Rasmi menyebutkan bahawa 'fails to take reasonable care of, or so conducts himself as to endanger the safety or secrecy of, any such official secret or thing' adalah satu kesalahan yang boleh dihukum penjara tidak kurang daripada satu tahun tetapi tidak melebihi tujuh tahun. Perkataan 'reasonable care' di sini bermaksud bahawa semua pengwujudan, penyimpanan, penyenggaraan, penghantaran dan pelupusan rahsia rasmi dan dokumen rahsia rasmi perlu diuruskan mengikut Arahan Keselamatan yang sepenuhnya mematuhi seksyen 30A Akta Rahsia Rasmi 1972. Sistem yang hanya menyelesaikan masalah kehendak teknologi akan menghadapi implikasi perundangan jika sesuatu pembocoran maklumat berlaku yang memerlukan pendakwaan dibuat di mahkamah.

E. ISU PENYELESAIAN KEPADA KESELAMATAN PERLINDUNGAN 20. Tiada organisasi boleh mengelak daripada insiden berlaku dalam organisasi tampa mengambil langkah-langkah pencegahan keselamatan perlindungan. Begitu juga tiada perancangan keselamatan boleh berjalan dengan berkesan tampa mengambil langkahlangkah untuk memastikan ianya sentiasa selari dengan perkembangan terbaru dan ancaman semasa kepada organisasi. Atas sebab-sebab ini satu perancangan perlu dibuat Oleh Ketua Jabatan dengan kerjasama PKJ untuk mengurus keselamatan perlindungan yang boleh memberi impak yang maksima kepada organisasi. 21. Pengurusan keselamatan perlindungan maklumat yang berkesan harus dilaksanakan mengikut sistem kualiti. Sistem kualiti menuntut dalam hal ini pengurusan keselamatan perlindungan diurus dengan cara yang sistematik berdasarkan kepada standard kualiti yang diamalkan di peringkat antarabangsa. Di samping itu sistem pengurusan tersebut harus mematuhi sepenuhnya kehendak undang-undang dan peraturan yang sedia ada. Sistem juga menyediakan ruang untuk tindakan penambahbaikan supaya objektif untuk mengeluarkan perkhidmatan melampaui kehendak pelanggan dapat dicapai.

22. Sistem yang perlu diaplikasikan dalam melindungi keselamatan maklumat rasmi dan

rahsia rasmi di organisasi yang memenuhi ciri-ciri keselamatan perlindungan maklumat ialah 'Information Security Management System(ISMS) - BS 7799. Sistem ini mengikut amalan 'best practice and good governance'. Aplikasi sistem ini mengambilkira secara seimbang kehendak keselamatan fizikal, teknikal dan personel dalam melindungi keselamatan maklumat. BS 7799 mempunyai ciri-ciri dan pendekatan proses mengikut model Plan-Do-Check- Act (PDCA). Definasi dan penjelasannya ada jalinan hubungan di antara penilaian risiko, pemilihan kawalan keselamatan perlindungan dan kenyataan aplikasinya. Sekiranya pematuhan dilaksanakan sepenuhnya sistem ini akan dapat menghalang sebarang pelanggaran keselamatan berlaku.

23. Di samping itu Sistem Legasi yang diamalkan sekarang perlu diteruskan untuk menguruskan maklumat rasmi dan rahsia rasmi dalam bentuk kertas. Sistem ini telah terbukti dapat menjamin kerahsian sesuatu maklumat atau dokumen tidak dikompromi yang mengambil kira proses pengwujudan hingga ke proses pelupusan mengikut turutan berikut: 23.1. Mematuhi semua kehendak Akta Rahsia Rasmi 1972 dan Arahan Keselamatan 23.2. Memerlukan perlantikan Pegawai Pengelas mengikut Seksyen 2B Akta Rahsia Rasmi 1972 dan Surat Pekeliling Am Bil. 2 Tahun 1987 23.3. Mengenalpasti dengan tepat maklumat yang menepati tafsiran rahsia rasmi sebelum membuat pengelasan 23.4. Mendaftarkan dan melabelkan rahsia rasmi yang telah dikelaskan 23.5. Menyimpan dengan selamat mengikut kategori penyimpanan yang ditetapkan 23.6. Menghantarkanya dengan selamat mengikut Arahan Keselamatan 23.7. Membuat penilaian dari masa ke semasa untuk mengelaskan semula rahsia rasmi mengikut Seksyen 2C Akta Rahsia Rasmi 23.8. Melupuskannya mengikut tatacara yang ditetapkan dalam Arahan Keselamatan dan menerima khidmat nasihat daripada Jabatan Arkib Negara.

24. Untuk mengurus rahsia rasmi yang diproses dalam bentuk elektronik Pejabat KPKK

sedang dalam proses membangunkan Sistem 'Secure Electronic Document System' dengan bantuan kepakaran daripada pihak MIMOS. Sistem SEDS ini dibangunkan menggunakan Infrastruktur Kekunci Awam dan hanya boleh diekses menggunakan aplikasi MyKad, katalaluan dan identifikasi biometrik sebagai tiga faktor pengesahan. Tandatangan Digital dan 'Time Stamping' akan digunakan untuk menghantar dokumen elektronik supaya penghantar dokumen berkenaan boleh dikenalpasti dan sah di bawah Akta Tandatangan Digital 1997. Apa-apa pindaan yang dibuat ke atas dokumen yang telah ditanda tangan secara digital akan dikenali oleh sistem ini. Sebagai tambahan

teknologi penyulitan boleh diintegrasikan ke dalam sistem ini menggunakan 'Advanced Encryption Standard' (AES). Semua 'computer terminal' yang digunakan akan melalui proses kemampapan (hardened process) sebagai satu cara memberi pengesahan bahawa maklumat di dalam komputer tidak akan dirompak keluar melalui 'USB port', 'floppy drive', 'infrared port', 'serial port', dan 'parallel port'. Ke semua proses dalam menyalurkan maklumat rahsia rasmi akan di rekodkan dan sebarang ketidakakuran akan mudah dikesan. F. PENUTUP 25. Perubahan yang begitu pantas dalam persekitaran elektronik memerlukan perancangan yang rapi dalam usaha membentuk 'Security Architectural Design' yang memenuhi keperluan keselamatan semasa, membangunkan sistem yang memakai amalan 'best practise and good governance, mengadakan pembaharuan undang-undang yang menutupi segala ruang kelemahan daripada pendakwaan dan melakukan penambahbaikan yang sentiasa mendahului penjenayah. Kemantapan Keselamatan Perlindungan akan dapat dikekalkan dengan meneruskan 'Legacy System' yang sedia ada selagi diperlukan, mendapatkan perakuan membangunkan dan melaksanakan Sistem SEDS dan meletakkan semua infrastruktur ICT sektor awam di bawah pengawasan elektronik jarak jauh Sistem PRISMA.