Skip Navigation LinksKeselamatan ICT Pemahaman terhadap ancaman persekitaran ICT

​Keselamatan ICT : Pemahaman terhadap ancaman persekitaran ICT


Definisi

Menurut Malaysian Public Sector Management of Information and Communications Technology Security Handbook (MyMIS), keselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah.

Objektif

Tujuan utama keselamatan ICT adalah untuk menjamin kesinambungan urusan Kerajaan dengan meminimumkan kesan insiden keselamatan. Keselamatan ICT berkait rapat dengan perlindungan maklumat dan aset ICT. Ini kerana komponen peralatan dan perisian yang merupakan sebahagian daripada aset ICT kerajaan adalah pelaburan besar dan perlu dilindungi.

Dalam belanjawan Rancangan Malaysia ke Lapan (RMK8) Kerajaan telah membelanjakan sebanyak RM 1.8 bilion manakala dalam RMK 9 pula kerajaan telah memperuntukkan sejumlah RM 12 bilion untuk perbelanjaan aset ICT kerajaan. Ini merupakan jumlah yang besar untuk aset ICT. Oleh itu, keperluan terhadap perlindungan daripada ancaman keselamatan aset ICT tersebut amat mustahak untuk dilaksanakan. (Buku Laporan RMKe-9: 26.43)

Menurut sumber Niser, berdasarkan statistik yang dikeluarkan, terdapat lebih kurang 883 kes ancaman keselamatan dari April 2009 hingga Jun 2009.

Rajah 1: Statistik Kes Ancaman Keselamatan dari April 2009 hingga Jun 2009

ictSumber : Niser (e-Security Q2 2009)

Menurut MAMPU pula daripada kajian yang dijalankan pada bulan Disember 2006, terdapat lebih kurang 94 daripada 169 (56%) agensi kerajaan didapati berisiko tinggi. Kebarangkalian agensi di ceroboh adalah 4:10 dan sekiranya tindakan pengukuhan tidak dilaksanakan, agensi akan terus terdedah kepada ancaman pencerobohan.

Implikasi

Implikasi kejadian pencerobohan keselamatan terhadap perkhidmatan sektor awam boleh menjejaskan kredibiliti negara sebagai peneraju aplikasi perdana dalam MSC pada pandangan dunia ICT. Implikasi jika aset ICT tidak dilindungi adalah seperti berikut :-

  • Keaiban / imej buruk
  • Kerahsiaan maklumat dipersoalkan
  • Integriti maklumat diragukan
  • Isu-isu perundangan
  • Penyamaran melalui identiti palsu
  • Gangguan sistem / rangkaian dan terhentinya perkhidmatan
  • Kurang kepercayaan
  • Bertambah perbelanjaan
  • Kecurian maklumat / komunikasi dan lain-lain perkhidmatan
  • Pendedahan atau pengubahsuaian hak milik data
  • Kerosakan melalui manipulasi

Ciri-ciri utama keselamatan maklumat

Ciri-ciri utama keselamatan maklumat adalah seperti berikut:

  1. Kerahsiaan – Maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran

  2. Integriti – Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan.

  3. Kebolehsediaan – Data dan maklumat hendaklah boleh diakses pada bila-bila masa.

Gambar rajah (sumber MAMPU) seperti berikut:

Rajah 2: Ciri-ciri Utama Keselamatan Maklumat

ict1 

Ancaman 

Definisi

Ancaman ialah suatu kejadian atau keadaan yang berpotensi untuk mengakibatkan kerosakan kepada aset ICT. Kebiasaannya pada peringkat awal pembangunan sistem aplikasi, keselamatan ICT diberi penekanan manakala semasa di peringkat operasi atau pelaksanaan, aspek keselamatan ICT kurang sekali diperhatikan. Pada ketika inilah penceroboh mengambil kesempatan untuk memecah masuk ke infrastruktur ICT.

Vulnerability pula boleh didefinisikan sebagai kelemahan yang terdapat dalam sesebuah infrastruktur ICT. Ia mungkin wujud pada prosedur sistem keselamatan, reka bentuk sistem, pada peringkat pelaksanaan, kawalan dalaman dan sebagainya.

Infrastruktur yang mempunyai kelemahan boleh diibaratkan sebuah rumah yang pintunya sudah reput, di luar pintu tersebut dipasang dengan kunci mangga yang amat besar dan kuat. Penceroboh tidak perlu masuk dengan cuba untuk membuka kunci rumah tersebut sebaliknya hanya perlu menendang saja pintu tersebut untuk menceroboh masuk.

Misalnya penceroboh boleh memecah masuk ke dalam infrastruktur ICT hanya dengan mengambil kesempatan di atas kelemahan port 80 yang terbuka untuk penggunaan Internet. Jika agensi berkenaan tidak memasang firewall maka kemungkinan besar lebih memudahkan kerja-kerja pencerobohan. Hackers atau penceroboh amat gemar untuk memasuki infrastruktur ICT dengan menekapassword sys. admin. Jika sys. Admin tidak memperkukuhkan password yang digunakan maka kelemahan begini akan disalahgunakan oleh penceroboh. 

Jenis Ancaman Terhadap Kerahsiaan, Integriti dan Kebolehsediaan :-


(a)  Kerahsiaan

Bermaksud maklumat tidak boleh didedahkan sewenang-wenangnya atau dibiarkan diakses tanpa kebenaran. Dalam kes ini, pusat data haruslah bebas daripada sebarang bentuk ancaman terhadap elemen kerahsiaan. Ancaman yang boleh dikategorikan di bawah kerahsiaan ini ialah seperti berikut :-

i. Akses terhadap pintu masuk pusat data

Pintu masuk pusat data menjadi faktor keselamatan yang utama terhadap elemen kerahsiaan Ini kerana jika tidak dikawal sepenuhnya, maka sesiapa sahaja yang tidak berkenaan boleh masuk ke pusat data. Ini boleh mendatangkan masalah kerahsiaan kerana dengan berjayanya seseorang itu memasuki pusat data, maka maklumat secara fizikal keadaan pusat itu dapat diketahui seperti bilangan server, jenis server, kemudahan atau utiliti pusat data, jenis rangkaian dan sebagainya. Paling membimbangkan ialah terdapat keadaan di mana penceroboh dapat mengambil backup tape yang mengandungi maklumat terperingkat atau user id dan kata laluan. Ini memberikan akses sepenuhnya kepada penceroboh berkenaan terhadap maklumat tadi. Sehubungan dengan itu, langkah keselamatan harus diambil seperti menggunakan akses kad, no. pin atau teknologi biometrics untuk mengakses bilik pusat data.

ii. Serangan virus

Virus adalah dalam kategori kod jahat iaitu program yang dibangunkan untuk tujuan yang tidak baik. Biasanya untuk memusnahkan sistem yang dicerobohi. Serangan virus jika tidak dikawal, maka akan berlaku kebocoran maklumat. Contohnya pernah berlaku sewaktu serangan virus melisa, menurut sumber Suruhanjaya Komunikasi & Multimedia (MCMC), terdapat banyak dokumen terperingkat dari jabatan kerajaan dibawa oleh virus tersebut ke Amerika. Ini kerana bila server e-mail tidak dikemas kini patternantivirus, maka dengan mudah virus tersebut mengambil dokumen daripada kelemahan Microsoft Word. Maka dokumen yang asalnya menjadi rahsia atau untuk diakses oleh orang tertentu kini tidak lagi rahsia dengan menjadi tatapan orang yang tidak berkenaan.

(b)  Integriti

Data dan maklumat hendaklah tepat, lengkap dan kemas kini. Ia hanya boleh diubah dengan cara yang dibenarkan. Jika didapati data telah diubah maka elemen integriti ini sudah tidak dipatuhi lagi. Bentuk ancaman yang diletakkan dalam kategori ini ialah seperti berikut:-

i. Penggodam

Penggodam yang berjaya akses terhadap sistem atau maklumat yang tidak dikawal boleh mengubah maklumat tersebut. Misalnya pencerobohan laman web sebuah agensi kerajaan di mana sepatutnya denda yang dikenakan terhadap seorang pesalah ialah RM30.00 tetapi telah diubah menjadi RM1.00 sahaja.

ii. Orang dalam

Orang di dalam organisasi juga boleh menjadi ancaman terhadap integriti di mana sistem yang boleh diakses dibuat pengubahsuaian dengan tujuan tertentu. Misalnya dalam kes Aman Shah yang melibatkan jenayah komputer. Difahamkan beliau telah mengeluarkan amaun tertentu dari akaun lain dan memasukkan ke akaunnya sendiri. Dengan itu beliau dapat memiliki kereta mewah seperti Mazda Savana, Mercedez Benz 300E, Porche Carrera, Mercedez Benz 300 SL24, Lamborghini Countach, BMW 3201 dan juga Porsche 928 S4.

(c)  Kebolehsediaan

Data dan maklumat hendaklah boleh diakses pada bila-bila masa diperlukan. Jika server atau rangkaian kerap kali mengalami gangguan, maka elemen kebolehsediaan tadi tidak lagi dipatuhi. Jenis ancaman dalam kategori kebolehsediaan ini ialah seperti berikut:-

i. Denial of Services (Dos Attack)

Serangan Denial of service ini berlaku dengan penghantaran data yang banyak dan besar hingga menyebabkan rangkaian atau server mengalami gangguan ’down’ atau ’hang’. Jika ini berlaku maka pengguna yang hendak akses ke server tersebut tidak dapat berbuat demikian.

ii. Bencana alam

Pada 26 Disember 2006 gangguan terhadap perkhidmatan Internet telah berlaku akibat dari gempa bumi berukuran 7.1 pada skala Richter di Taiwan. Gempa bumi tersebut telah merosakkan kabel dasar laut SEA-WE-ME3 di Taiwan yang telah menyebabkan berjuta-juta pengguna Internet di Asia Timur mengalami gangguan perkhidmatan selama dua bulan.

iii. Kegagalan utiliti

Kegagalan utiliti seperti gangguan bekalan elektrik boleh mengakibatkan perkakasan dan perisian tidak boleh berfungsi. Pihak berkenaan perlu memastikan bekalan elektrik dapat dibekalkan tanpa sebarang gangguan.

Kesimpulan

Pemahaman mengenai asas keselamatan ICT adalah amat penting untuk difahami oleh setiap penjawat awam untuk mempertingkatkan tahap awarenesssupaya aset kerajaan dapat dilindungi.

Rujukan

  1. Malaysian Administrative Modernisation and Management Planning Unit (2000). "Malaysian Public Sector: Management of Information and Communications Technology Security Handbook". Putrajaya: (MyMIS)

  2. Keith Osborne (1998). "Auditing The IT Security Function". Computer and Security.17(2). 34-41

  3. Randall K. Nichols, Daniel J. Ryan and Julie J. C. H. Ryan (2000). "Defending Your Digital Assets". RSA Press

  4. Http://www.mycert.org.my/en/services/statistic/mycert/2009/main/detail/625/index.html

  5. Http://pkukmweb.ukm.my/~fuu/program%20akademik/pasca-siswazah/computercrime.ppt

  6. E-Security, CyberSecurity Malaysia, Volume 18 (Q2/2009)


Disediakan oleh:

Muhammad Faris @ Masliza Bin Idrus
Institut Perakaunan Negara

Dimuat naik pada : 12 Mac 2010

Penafian: Penulisan ini merupakan pendapat peribadi penulis dan ianya tidak menggambarkan pendirian JANM.​