Keutuhan digital adalah terlihat kepada sistem maklumat yang tinggi teknologi keselamatannya. Keselamatan maklumat yang kukuh perlu melalui proses kenal pasti aset, analisa ancaman, ukuran risiko serta impak, bina kawalan serta audit keselamatan. Sistem keselamatan maklumat perlu mencapai piawai standard ISO27100 sebagai indikator kepada aplikasi kawalan data adalah benar benar berkesan dan diverifikasi oleh juruaudit bertauliah. Namun begitu, peningkatan dalam teknologi digital mengundang kepada kepelbagaian ancaman. Natijahnya sistem pelindungan maklumat diragukan.
Laporan daripada Majalah “Global Trend Report 2023” telah menunjukkan serangan ancaman berbentuk perisian perosak “malware attack”. Ransomware menjadi pilihan tool bagi melancarkan serangan berbentuk tebusan. Contoh terkini dunia dikejutkan dengan insiden gangguan IT global atau (Global IT outage). Melalui laporan media rasmi dalam dan luar negara, insiden ini telah menyebabkan kelewatan dalam operasi sektor kritikal seperti pengangkutan dan kesihatan.
Kaca television melaporkan gangguan kepada sistem tiket di lapangan terbang dan kereta api hampir seluruh dunia. Sistem pengurusan tiket memaparkan skrin biru dan ini mengakibatkan operasi terhenti seterusnya melewatkan urusniaga semasa. Kesannya ribuan penumpang seluruh dunia terkandas dalam jadual perjalanan masing masing. Impak signifikan kerugian ribuan Dolar Amerika secara individu mahupun syarikat gergasi. Ini adalah kritikal!
Negara kita pula dikejutkan dengan berita insiden keselamatan siber berlaku di syarikat gergasi rel iaitu Prasarana. Kejadian ini menyuntik keresahan kepada seluruh rakyat Malaysia secara umum serta pemain industri rel negara serta dunia. Artikel kali ini ingin berkongsi ilmu secara santai perbezaan ancaman dan kelemahan sistem maklumat seterusnya membangunkan polisi kendiri. Perkongsian ini sedikit sebanyak membantu pembaca dalam memastikan teknologi digital kita utuh dan dilindungi.
Perbezaan
Secara ringkas ancaman boleh dikategorikan kepada dua iaitu ancaman yang dirancang dan ancaman yang tidak rancang. Dalam dunia digital, ancaman yang dirancang adalah dipengerahui oleh tiga faktor iaitu motif, peluang dan metod. Jadual 1.0 contoh insiden yang berlaku secara dirancang. Ancaman ini kebiasaannya dilakukan oleh kumpulan individu tertentu dengan sasaran dan objektif.
Ancaman dirancang | |||
Insiden | Jana Pendatan Haram | Kebocoran Data | Pencerhoban Sistem |
Motif | Mendapatkan Sumber Kewangan Melalui Transaksi Digital | Jual data penting | Tambah masa transaksi |
Peluang | Katalaluan Lemah | Kelemahan Algoritma Enkripsi | Sistem tiada firewall |
Metod | Jadi Scammer | Hidu Paket | Godam |
Jadual 1.0. Contoh ancaman dirancang
Jadual 1.0. hanya menampakkan pembolehubah asas dalam ancaman iaitu motif, pelang dan metod. Terdapat banyak lagi pembolehubah yang boleh dinamakan antaranya sasaran, tempoh serangan dan impak.
Jenis ancaman kedua adalah ancaman yang tidak rancang atau berlaku secara tiba tiba meliputi ancaman yang disebabkan oleh persekitaran seperti bencana alam, kebakaran dan haiwan perosak. Jadual 2.0. Contoh ancaman yang tidak dirancang.
Ancaman tidak dirancang | |||
Kes 1 | Kes 2 | Kes 3 | |
Insiden | Banjir | Serangan Haiwan sambungan Internet | Kebakaran |
Jenis | Bencana Alam | Haiwan
Perosak |
Litar Pintas |
Kesan | Kerosakan Perkakasan | Gangguan Internet Putus | Tiada bekalan elektrik |
Impak | Data Hilang | Transaksi Perlahan / Tiada Transaksi | Tiada transaksi |
Jadual 2.0. Ancaman tidak dirancang
Kompetensi yang diperlukan untuk analisa ancaman ini adalah kompentesi kenal pasti aset dan potensi ancaman yang mungkin berlaku kepada aset tersebut. Contohnya, seorang mahasiswa universiti mempunyai beberapa aset digital seperti telefon pintar, peranti ipad dan komputer riba. Rekod aset perlu diwujudkan untuk menyimpan maklumat aset seperti harga peranti, aras kerahsiaan data, kegunaan dan pengguna. Melalui maklumat aset pengguna boleh rekodkan apakah insiden boleh berlaku antaranya kehilangan data, kerosakan peranti, sistem tidak berfungsi atau tiada capaian. Analisa ancaman mampu untuk meletakkan impak jika keseluruhan aset digital termusnah.
Setelah mengenali jenis ancaman dan contoh insiden, adalah baik untuk kita mengenal pasti kelemahan sistem. Kelemahan sistem disebut system vulnerabilities membolehkan ancaman kepada operasi seterusnya boleh menggugat reputasi organisasi. Kelemahan sistem boleh dipandang dalam tiga sudut utama iaitu manusia, proses dan teknologi. Jadual 3.0 menghuraikan kelemahan sistem dalam konteks tiga komponen berbeza dan contoh insiden.
KELEMAHAN SISTEM | |||
MANUSIA | PROSES | TEKNOLOGI | |
Insiden | Ancaman Orang Dalam | Carta Alir tidak menunjukan proses logik yang tepat
|
Lesen Perisiam Tamat |
Contoh Kes | Kongsi Kata laluan | Coding Error | Kesilapan Konfigurasi
Rangkaian |
Impak | Kebocoran
Maklumat |
Perlaksanaan aturcara tidak tepat | Tiada capaian Internet |
Jadual 3.0. Kelemahan Sistem
Kelemahan sistem boleh mengundang kepada ancaman serius melibatkan sistem maklumat secara keseluruhan. Sebagai contoh kurang kesedaran dalam pengurusan kata laluan boleh mengakibatkan kebocoran kata laluan sesama kakitangan dalam organisasi yang sama. Perkongsian kata laluan tanpa sedar boleh mengakibatkan godaman sistem dari staf organisasi yang sah atau Insider Attack. Jadual 3.0 hanya menunjukkan sebahagian contoh berbentuk insider sebenar.
Kemahiran dalam menganalisa kelemahan sistem boleh dilakukan secara manual dan sistem pintar atau gabungan keduanya. Terdapat pelbagai teknik dan perisian dalam mengukur kelemahan sistem komputer. Kompetensi menggunakan tool untuk menganalisa kelemahan sistem penting dalam menjejaki potensi kemungkinan berlaku ancaman. Selain itu kemahiran dalam analisa kelemahan sistem dapat memastikan proses tambah baik berlaku.
Analisa ancaman dan kelemahan sistem membantu pentadbir sistem sesebuah organisasi membangunkan solusi kepada permasalahan digital. Seksyen seterusnya menerangkan solusi ringkas kepada masalah keselematan sistem sekali gus mencadangkan rangkakerja kepada stesen kerja digital utuh dan terlindung.
Solusi keselamatan sistem maklumat, polisi kendiri
Setiap ancaman dalam sistem maklumat perlu didatangi dengan kaedah perlindungan. Pembinaan sistem keselamatan yang padu perlu merangkumi tiga komponen utama iaitu Manusia, Prosidur dan Teknologi. Fokus kali ini adalah solusi keselamatan yang menyentuh manusia dan prosidur. Seperti yang kita nyatakan sebelum ini, penghasilan solusi keselamatan maklumat adalah terletak kepada kenal pasti ancaman sedia ada dan masa hadapan. Proses kenal pasti ancaman ini didahului dengan pengumpulan aset pemilikan peribadi atau syarikat. Dalam ilmu teknologi maklumat aset merangkumi peranti, data, dokumen prosedur kerja dan aset fizikal yang dimiliki oleh pemengang organisasi. Selesai pengecaman ancaman kepada aset yang dimiliki, langkah seterusnya adalah membangunkan polisi keselamatan maklumat.
Polisi keselamatan sistem maklumat juga dikenali sebagai dengan pelbagai nama iaitu polisi keselamatan siber, polisi keselamatan digital, polisi kawalan capaian, polisi keselamatan data dan polisi keselamatan rangkaian.
Umum mengetahui dunia digital adalah tanpa sempadan. Jesteru bagi mencapai perlindungan minima langkah penting kepada individu atau sesebuah organisasi bina polisi keselamatan maklumat secara kendiri untuk setiap aset berbentuk peranti yang digunakan. Contoh polisi kendiri bersifat individu adalah seperti jadual 4.0
Polisi/Peranti | Peranti A | Peranti B | Peranti C |
Manusia | Implementasi kata laluan mudah ingat | Katalaluan bersifat
multifactor |
Implementasi katalaluan dengan tempoh tertentu |
Prosidur | Polisi set kepada tiada Capaian Internet | Polisi kepada Capaian Internet
Tanpa capaian media sosial |
Polisi di setkan kepada Capaian Internet
Sepenuh masa |
Teknologi | Instalasi perisian anti virus | Aktif firewall dengan mod sekat penggunaan media sosial | Aktifkan Firewall |
Jadual 4.0 Contoh Polisi Kendiri Kepada Peranti
Polisi kendiri di atas hanyalah contoh terpakai kepada individu secara ringkas. Untuk sesebuah organisasi yang melaksanakan urusniaga melalui teknologi digital polisi keselamatan maklumat perlu diberi perhatian. Pembangunan polisi keselamatan maklumat perlu melibatkan semua lapisan kakitangan dan terpenting pengurusan tertinggi memperakukan polisi bagi tujuan perlaksanaan.
Tanpa sedar, sistem pengoperasian komputer atau operating system mempunyai polisi kawalan capaian yang dimodelkan dalam konsep rujukan paparan atau reference monitor. Kandungan utama di dalam reference monitor adalah matrix kawalan capaian diantara objek seperti fail dan pengguna fail atau subjek.
Contoh ringkas setiap fail boleh dibaca, disalin dan dilaksanakan jadi Jadual 5.0 adalah contoh matrix kawalan capaian bagi fail Bernama file x, file y dan file z. Kemahiran dalam konfigurasi reference monitor amat penting. Rujuk jadual 5.0, untuk simulasi mudah, setiap file mempunyai pengguna dan dalam matrik di Jadual 5.0 File X dan Y pengguna Bernama Rabiah dan Dini dibenarkan untuk baca sahaja. Manakala tiada capaian kedua fail kepada pengguna Bernama Ilham.
Jenis Tindakan/Pengguna | Rabiah | Dini | Ilham |
Salin, Write | Z | ||
Baca, Read | X, Y | X,Y | |
Laksana/ Execute | Z | XYZ |
Jadual 5 Matrix Kawalan Capaian
Teknologi sistem pengoperasian cepat berubah seiring mengikut keperluan. Sebagai contoh sistem pengoperasian Windows kerap bertukar versi dan ianya menuntut pengguna untuk cakna dan mahir dalam melakukan setting fungsi keselamatan.
Kebanyakan ancaman godam kepada organisasi menjadikan sistem pengoperasian sebagai sasaran maka bakat dalam meningkatkan ketahanan dan keutuhan sistem pengoperasian komputer perlu diperhebatkan di setiap organisasi. Justeru kemahiran konfigurasi ringkas dalam matrix kawalan capaian adalah mungkin kompetensi awalan sebelum bergelar pakar keselamatan maklumat. Namun ini hanya pandangan penulis sahaja.
Industri keselamatan sistem maklumat mahupun digital menjadi semakin sengit kerana permintaan solusi yang efektif dari segi teknologi, bakat dan proses kerja. Keperluan bakat melindungi sistem maklumat dan komputer seterusnya dunia digital terus meningkat. Universiti di seluruh dunia mengambil pendekatan serius dengan memperkenalkan program keselamatan maklumat di pelbagai peringkat. Namun kompetensi dan kemahiran bidang ini memerlukan pendedahan kepada infrastruktur terkehadapan. Kolaborasi industri, universiti, komuniti dan agensi penting dalam meningkatkan tenaga pakar sistem keselamatan maklumat demi pembangunan solusi lebih cekap dan terlindung. Sistem keselamatan maklumat yang efisien dan mengikut piawai adalah representasi keutuhan transformasi digital.
Profesor Ts. Dr. Rabiah Ahmad
Timbalan Naib Canselor (Penyelidikan dan Inovasi)
Universiti Tun Hussein Onn Malaysia (UTHM)