JUTAAN data milik rakyat Malaysia mungkin jatuh ke tangan yang salah jika negara menjadi sasaran perang siber, kata pakar.

Berdasarkan pencerobohan keselamatan siber negara baru-baru ini, terutamanya daripada agensi kerajaan, pakar dalam bidang itu berpendapat Malaysia tidak cukup bersedia atau tidak cukup lengkap menangkis serangan siber.

Pakar keselamatan siber Profesor Dr Selvakumar Manickam dari Universiti Sains Malaysia (UMS) berkata negara masih belum bersedia pada tahap asas sekiranya berlaku serangan siber.

Mengambil contoh kebocoran data baru-baru ini di China, mungkin yang terbesar dalam sejarah, Selvakumar berkata malah sebuah negara yang terkenal dengan keupayaan sibernya turut digodam, dan mempersoalkan pendirian Malaysia jika menghadapi situasi yang sama.

“Malaysia tidak bersedia untuk menghadapi sebarang serangan siber. Kita tidak bersedia walaupun pada tahap asas yang paling rendah,” kata pensyarah kanan dan penyelidik di Pusat IPv6 Lanjutan Nasional (NAv6), UMS, kepada The Malaysian Insight.

“Saya katakan kita agak leka kerana tidak melihat sebarang ancaman besar. Pada masa ini, Malaysia bukan menjadi sasaran negara lain kerana kita tidak berperang atau bertelagah dengan negara lain.

“Tetapi apabila sampai ke tahap apabila terdapat konflik antara kita dan negara lain secara besar-besaran, bagaimanakah nasib kita apabila mereka mula menyerang perkhidmatan dalam talian kita? Saya tidak fikir kita mampu menangani atau mengatasi apa sahaja yang berlaku pada masa itu. 

“Kita tahu China sangat ketat dalam hal privasi, keselamatan dan lain-lain tetapi data mereka juga dicerobohi. Jadi, di manakah kedudukan kita?” tambahnya.

Pada awal tahun ini, didakwa data peribadi kira-kira 22.5 juta orang, daripada nama penuh hingga nombor pengenalan (IC), alamat rumah, nombor hubungan dan pengenalan diri dicuri daripada pelayan kerajaan dan dijual di web tertutup (dark web) bagi harga yang dilaporkan sehingga AS$10,000.

Pada 2017, kebocoran data besar-besaran, dilaporkan terbesar di negara ini setakat ini, berlaku di mana butiran lebih 46 juta pelanggan mudah alih di Malaysia dibocorkan ke web tertutup.

Maklumat yang bocor termasuk nombor telefon mudah alih, nombor siri unik telefon, alamat rumah serta maklumat peribadi daripada pelbagai sektor awam dan laman web komersial.

Baru-baru ini iaitu minggu lepas, sistem e-operasi Kementerian Pendidikan (KPM) turut digodam, dengan penggodam memberi amaran mesra kepada kementerian untuk memperbetulkan kelemahan sistem itu sebelum orang lain dari “luar” menceroboh.

Perunding keselamatan siber Fong Choong Fook melahirkan rasa terkejutnya dengan penggodaman laman web MOE baru-baru ini, menyifatkan ia “tidak boleh dimaafkan” memandangkan teknologi yang ada sekarang untuk melindungi laman web daripada digodam.

Fong berkata jika seseorang boleh menggodam laman web kerajaan dengan mudah, maka beliau menyebut sistem keselamatan itu sebagai “contoh buruk”, dengan mendakwa negara berpotensi mengalami kehilangan besar data dan maklumat jika ia tidak diatasi.

“Laman web hari ini tidak sepatutnya digodam kerana terdapat begitu banyak cara untuk melindunginya dengan pelbagai teknologi canggih yang disediakan.

“Kita mempunyai begitu banyak agensi kerajaan. Jika agensi kerajaan utama tidak dapat menguruskan keselamatan siber dengan baik, contohnya seperti MOE, maka saya tidak dapat bayangkan bagaimana dengan agensi kecil yang lain.

“Ini adalah petunjuk yang sangat baik untuk menunjukkan kita sebenarnya tidak bersedia. Jika laman web MOE boleh digodam begitu sahaja, maka ia adalah contoh tidak baik, ia sebenarnya memberitahu kita banyak perkara,” katanya.

Berdasarkan pengalaman peribadinya, Fong yang menjalankan tugas menyediakan penilaian dan ujian keselamatan siber berkata terdapat jurang yang sangat besar antara sektor swasta dan awam apabila ia melibatkan perlindungan untuk sistem dan pelayan.

Beliau berkata perkhidmatan awam perlu berusaha menutup jurang ini, supaya mereka dapat meningkatkan perlindungan keselamatan siber.

PDPA tidak memadai

Pakar juga berpandangan Akta Perlindungan Data Peribadi (2010) semasa sudah lapuk, lemah dan tidak mempertanggungjawabkan kerajaan bagi kebocoran data.

Mereka berkata akta itu perlu diteliti semula, disemak dan dikemas kini mengikut situasi, perkembangan dan amalan semasa.

Selvakumar berkata penggubal dasar perlu melihat cara memastikan mereka yang bertanggungjawab terhadap pelanggaran atau kebocoran data pengguna bertanggungjawab.

“Ia bagi memastikan mereka (organisasi atau agensi) menggunakan mekanisme yang betul dan melakukan yang terbaik untuk mencegah kebocoran data tersebut.

“Mereka juga perlu memastikan pakar di luar organisasi diambil untuk mengaudit dan menilai sistem mereka. Itu perlu dilaksanakan,” katanya.

Memandangkan Malaysia juga semakin maju dan bergantung kepada internet dan teknologi digital, dengan ramai yang kini mempunyai aset digital seperti Token tidak sepiawai (NFT) dan lain-lain, Selvakumar berkata akta itu harus memberi hukuman berat jika berlaku kebocoran data.

“Sekarang kita beralih kepada aset digital seperti NFT, mata wang kripto…. dan apabila data saya yang mengandungi semua butiran ini dicuri, saya mesti boleh menyaman mereka.

“Data peribadi saya mempunyai nilai jauh lebih tinggi dalam perspektif saya. Jadi, hukuman sepatutnya sama dengan apa sahaja yang berlaku di dunia nyata,” katanya.

Fong juga bersetuju struktur perundangan Malaysia sangat lemah.

Beliau berkata tiada penguatkuasaan yang kuat terhadap pelanggaran PDPA, dengan mendakwa kerajaan dan kerajaan negeri dikecualikan daripada perlaksanaannya.

“Kami mempunyai PDPA yang sangat ringkas di mana pada dasarnya kerajaan dikecualikan daripada akta itu.

“Maknanya, jika mana-mana agensi atau kakitangan kerajaan kerana kecuaian mereka, kejahilan menyebabkan kebocoran data secara besar-besaran, tidak akan ada sesiapa yang memikul tanggungjawab di pihak kerajaan.

“Jadi PDPA sendiri tidak memadai. Kita tidak nampak penguatkuasaan kuat PDPA terhadap penyalahgunaan,” katanya.

Mengikut kajian 2019, Malaysia disenaraikan sebagai negara kelima terburuk dari segi melindungi data peribadi rakyatnya.

Foong bersetuju dengan hasil kajian itu dan berkata terdapat sangat sedikit kes yang didakwa di bawah PDPA.

“Berapa banyak organisasi sebenarnya yang didakwa di bawah PDPA? Terdapat beberapa kes dan ia terus berlaku dan ia akan terus berlaku kerana kita mempunyai rangka kerja undang-undang yang sangat lemah dalam menghukum penggunaan data haram.”  – 18 Julai, 2022.

Berita penuh di sini