Pada hari ini, perkataan pendigitalan atau transformasi digital menjadi bualan ramai dalam mendepani cabaran pandemik Covid-19 yang menghadkan pergerakan dan pertemuan secara fizikal. Kebanyakan syarikat dan organisasi beralih arah beroperasi hampir sepenuhnya secara digital atau dalam talian. Pihak kerajaan juga telah mengumumkan talian internet yang merupakan nadi penggerak bagi segala aktiviti secara siber dan digital ini sebagai utiliti negara ketiga selepas bekalan air dan elektrik.
Namun begitu, antara kekangan utama kepada konsep pendigitalan secara siber ini adalah ancaman keselamatan siber. Kebanyakkan organisasi dalam negara ini sudah bersiap sedia untuk menempuh era pendigitalan siber secara hampir sepenuhnya tetapi bagaimana dengan persediaan untuk menghadapi ancaman keselamatan siber?
Kebanyakan organisasi dalam negara tidak mempunyai unit atau jabatan khusus dalam mendepani ancaman keselamatan siber. Kebanyakan tugas ini diberikan kepada unit atau jabatan yang bertanggung jawab dalam hal ehwal teknologi maklumat. Kalau di luar negara, ketua yang bertanggung jawab dalam hal ehwal keselamatan siber dikenali sebagai CISO (Chief of Information Security Officer) yang jawatannya agak tinggi dalam sesebuah organisasi yang menunjukkan tingginya iltizam sesebuah organisasi dalam menghadapi ancaman keselamatan siber.
Begitu juga, hal ehwal keselamatan digital bagi perkhidmatan dan prasarana teknologi maklumat atau digital tidak disertai secara bersepadu dan holistik. Dengan itu, satu pendekatan bersepadu dan holistik perlu diterapkan dalam strategi keselamatan siber bagi sesebuah organisasi. Antara komponen penting dalam pendekatan ini adalah pengenalpastian aset digital, pengenalpastian jenis pencerobohan keselamatan yang terlibat, perlindungan keselamatan proaktif, perlindungan keselamatan dan objektif keselamatan siber.
Perkara utama dan paling penting adalah pengenalpastian aset digital yang dipunyai oleh sesebuah organisasi merangkumi segala perkhidmatan teknologi maklumat dan prasarana digital. Seterusnya, status dari segi tahap kritikal dan keutamaan bagi kesemua perkhidmatan dan prasarana digital yang ada itu perlu ditentukan.
Langkah kedua, setiap perkhidmatan dan prasarana digital tadi dipadankan dengan jenis pencerobohan keselamatan yang berkemungkinan terlibat. Secara umumnya, jenis pencerobohan ini terdiri daripada tiga jenis iaitu rentanan (vulnerability) yang merupakan kelemahan sedia ada dalam perkhidmatan dan prasarana digital, ancaman (threat) yang merupakan agen mengganggu kelancaran pengendalian atau merosakkan integriti perkhidmatan dan prasarana digital dan jangkaan serangan atau exploit yang merupakan teknik tertentu digunakan untuk mengeksploitasi kelemahan sedia ada dalam perkhidmatan dan prasarana digital.
Seterusnya langkah ketiga, setiap perkhidmatan dan prasana digital tadi perlu dipadankan dengan perlindungan keselamatan secara proaktif yang merupakan aktiviti analisis dan pengujian keselamatan perkhidmatan dan prasarana digital. Ada tiga jenis perlindungan keselamatan secara proaktif ini iaitu penilaian rentanan (vulnerability assessment), ujian penembusan (penetration testing) dan audit keselamatan digital.
Kemudian, perlaksanan langkah keempat iaitu perlindungan keselamatan yang mana perlu dikenal pasti kaedah keselamatan yang terlibat dalam melindungi perkhidmatan dan prasarana digital. Umumnya, ia harus merangkumi tiga perkara asas iaitu pendidikan dan kesedaran keselamatan, polisi keselamatan dan perimeter keselamatan. Perimeter keselamatan adalah penggunaan aplikasi atau teknologi keselamatan siber seperti perisian tembok api, perisian anti-Malware, perisian IDS (Intrusion Detection System) dan lain-lain.
Jadi, perlaksanaan langkah kedua sehingga ketiga ini perlu dikhususkan kepada setiap perkhidmatan dan prasana digital yang tertentu dan sedia ada dalam sesebuah organisasi. Langkah terakhir, adalah memetakan kesemua langkah tadi kepada objektif keselamatan siber yang secara umumnya merangkumi tiga perkara atau objektif perlindungan iaitu kerahsiaan (confenditiality), integriti dan kebolehcapaian (availability).
Perlaksanaan kerangka pendekatan penyelenggaraan keselamatan siber yang bersepadu dan holistik ini berupaya mewujudkan pula suasana kesedaran keselamatan siber yang tinggi dalam kalangan kesemua staf sesebuah organisasi terutama staf dalam jabatan teknologi maklumat dalam mendepani apa sahaja jenis ancaman siber yang mendatang. Perlu diingatkan bahawa aspek manusiawi ini merupakan bahagian kelemahan keselamatan siber yang sangat ketara dalam mewujudkan ancaman dan serangan siber dalam sesebuah organisasi.
Kekangan utama dalam perlaksanaan pendekatan ini adalah ia memerlukan keterlibatan ramai sumber manusia yang berkebolehan dalam bidang keselamatan siber. Seterusnya juga memerlukan keterlibatan sokongan yang menyeluruh dalam kalangan semua staf dalam sesebuah organisasi terutama sokongan kuat daripada pihak pengurusan atasan.
Pihak pengurusan organisasi perlu menrencanakan strategi yang utuh, cekap dan berkesan dalam menangani ancaman keselamatan siber terutama bagi membolehkan aktiviti dan operasi berjalan dengan lebih baik dalam suasana pendigitalan siber sebagai norma baharu dalam situasi ancaman pandemik Covid-19 ini.
Firkhan Ali b. Hamid Ali
Pensyarah,
Jabatan Keselamatan Maklumat dan Teknologi Web,
Fakulti Sains Komputer dan Teknologi Maklumat,
Univeristi Tun Hussein Onn Malaysia (UTHM)
Prof. Madya Dr. Mohd Zalisham b. Jali (penulis bersama)
Timbalan Dekan (Penyelidikan dan Inovasi),
Fakulti Sains dan Teknologi,
Universiti Sains Islam Malaysia (USIM)