Selamatkah maklumat anda?

Oleh Salmiah A Hamid
05 Nov 2008 (page 4-13)
IT@Harian Metro

SEDARKAH kita kehidupan tanpa maklumat, tanpa berita dan tanpa ilmu pengetahuan boleh menjadikan individu umpama hidup pada zaman batu?.

Frasa ini turut merujuk betapa berharganya maklumat yang memainkan peranan penting dalam kehidupan manusia apatah lagi ketika kita menuju ke era globalisasi.

Sejak manusia dilahirkan, segala maklumat seperti tarikh lahir, nombor kad pengenalan dan tarikh kematian menjadi identiti unik seseorang.

Apabila negara dilanda angin teknologi, apa juga yang membabitkan maklumat orang perseorangan atau syarikat, kini diurus mengikut peredaran teknologi dan bukan lagi tercatat di atas kertas, sebaliknya dalam bentuk digital dalam sistem perkomputeran.

Peralihan teknologi ini banyak memberi kesan positif secara keseluruhannya, namun ada juga negatifnya ke atas perkhidmatan organisasi yang turut memberi impak besar kepada orang ramai.

Dari sudut positif, antaranya pembayaran bil yang biasanya diuruskan di kaunter, kini diselesaikan di Internet tanpa anda perlu keluar dari rumah. Negatifnya pula, anda berhadapan dengan risiko maklumat diri yang terdedah kepada anasir jahat untuk dimanipulasi bagi mendapatkan keuntungan.

Oleh itu, kita juga perlu sangsi dan bersedia dengan perubahan negatif yang terhasil akibat penggunaan tanpa henti dan belum ada perisian keselamatan yang mampu menyekat sepenuhnya kecurian data dan perkongsian maklumat.

Ia turut dikaitkan dengan perkembangan virus, malware, kod berniat jahat (malicious), bot jahat atau pelbagai jenis cecacing yang bertindak menggodam komputer untuk mencuri maklumat. Kehilangan maklumat ini turut dikaitkan sebagai kebocoran data yang tidak diketahui pergerakannya.

Kebocoran atau ketirisan data dirujuk sebagai data atau maklumat yang tidak dapat dilihat kehilangannya sama ada dimiliki oleh organisasi atau individu.

Ia adalah masalah hari ini yang perlu diberi perhatian sepenuhnya kerana membabitkan kecurian maklumat yang dianggap sebagai hak peribadi individu atau organisasi.

Kajian firma penyelidikan, InfoWatch meliputi negara di Asia Pasifik-Jepun dan Amerika Syarikat, mendapati punca kebocoran maklumat adalah berpunca dari perbuatan sabotaj yang kebanyakannya berpunca dari angkara pihak dalaman.

InfoWatch mengesan 185 kebocoran data didaftarkan dalam pangkalan datanya sepanjang enam bulan pertama 2008.

Kehilangan data peribadi dianggap paling tinggi iaitu 95 peratus berbanding kebocoran data yang membabitkan rahsia komersial dan rahsia kerajaan.

Ketirisan data pada 2008 tidak menampakkan sebarang perubahan berbanding tahun sebelumnya. Kehilangan komputer riba dan PDA berada di tangga teratas iaitu sebanyak 31 peratus berbanding kebocoran data menerusi Internet sebanyak 27 peratus.

Pengarah Kanan Pemasaran Produk Symantec Corporation, Mathew Lodge berkata, berdasarkan Laporan Ancaman Keselamatan Internet Symantec XIII (ISTR XIII) bagi Julai hingga Disember 2007, Malaysia antara negara di Asia Tenggara yang menjadi tumpuan utama jenayah siber dengan berlakunya aktiviti penyebaran kod malicious berbanding negara lain iaitu sebanyak 68 peratus.

“Aktiviti pengiklanan, penukaran, penjualan dan pembelian maklumat pelayar seperti akaun bank, kad kredit, akaun eBay, PayPal dan kata laluan e-mel adalah tujuan penggodam untuk memecah masuk komputer pelayar dengan menggunakan perisian tertentu. Symantec turut melaporkan 499,811 maklumat dicuri dan dijual ke dalam pasaran gelap,” katanya.

Menurut Mathew, terdapat kes pekerja yang mengambil kesempatan dengan mencuri segala maklumat syarikat kemudian menjualkannya kepada syarikat pesaing demi memenuhi keuntungan diri sendiri.

Ia membabitkan agensi kerajaan dan swasta yang tersohor di dunia seperti yang dihadapi oleh bank terkemuka Hong Kong yang berlaku tahun ini, membabitkan sejumlah 159,000 transaksi data pemegang akaun dikatakan hilang daripada sistem pelayan bank dan kes itu masih dalam siasatan.

“Sentiasa ada pembaharuan dalam teknologi yang mengubah cara kita berkomunikasi dengan keluarga, rakan dan rakan perniagaan. Pengalaman atas talian meluaskan pengaruh, interaksi sosial dan kerjasama,” katanya.

Menurut Mathew, keselamatan maklumat bukan saja dengan cara memastikan ia terlindung daripada sebarang ancaman atau godaman luar malah turut memastikan maklumat itu tidak dicuri keluar dan disebarkan oleh mereka yang tidak bertanggungjawab.

“Organisasi perlu sentiasa melindungi dan menghadapi risiko kehilangan maklumat di samping mematuhi peraturan luar syarikat dengan dasar dalaman syarikat,” katanya.

Menurutnya lagi, organisasi hari ini perlu memberi perhatian kepada Halangan Kehilangan Data (DLP) menerusi beberapa perkara iaitu perkembangan jaringan jalur lebar; tuntutan terhadap undang-undang negara dan Suruhanjaya keselamatan memerangi jenayah kolar putih.

Kes kecurian dan kehilangan data membabitkan badan kerajaan seperti pencerobohan sistem pangkalan data Perbadanan Tabung Pendidikan Tinggi Nasional (PTPTN) menggemparkan negara kerana dilihat sistem keselamatan agensi itu tidak kukuh hingga mampu dicerobohi penggodam.

Segala maklumat peminjam yang keseluruhannya adalah penuntut institusi pengajian tinggi (IPT), dipadam terus daripada pangkalan data PTPTN.

Malahan sindiket yang didalangi penggodam komputer cuba membuat keuntungan melalui iklan khidmat melupuskan data peminjam dengan mengenakan caj RM2,000 yang didakwa mampu menghapuskan data pinjaman sekali gus membebaskan individu itu daripada membayar balik pinjaman.

Turut dikesan perkara yang serupa, penggodam menceroboh Sistem Pendaftaran Tanah Berkomputer Pejabat Tanah dan Galian (PTG) di beberapa negeri termasuk Wilayah Persekutuan Kuala Lumpur yang dikatakan menggunakan ‘orang dalam’ bertujuan memalsukan geran tanah.

Ketua Pegawai Eksekutif CyberSecurity Malaysia, Leftenan Kolonel (B) Husin Haji Jazri berkata, berdasarkan analisis, kecurian data berlaku kepada organisasi atau individu yang dikenalpasti mempunyai maklumat penting dan kebiasaannya membabitkan ancaman dalaman.

“Dari Januari hingga September 2008, sebanyak 1,346 insiden dilaporkan, termasuk 471 insiden pencerobohan siber dan 55 insiden ancaman godaman (hack threat). Bagi 2007, sejumlah 1,038 insiden siber telah dikendalikan berbanding 1,372 insiden pada tahun 2006,” katanya.

“Kebanyakan organisasi tidak mempunyai polisi yang lengkap untuk memelihara maklumat daripada diakses mereka yang tidak diberi kuasa. Oleh itu, organisasi sedemikian dinasihatkan agar mengetat dan meningkatkan kawalan keselamatan pentadbiran dengan menyatukan pentadbiran korporat.”

“Setiap organisasi seharusnya memiliki polisi maklumat keselamatan dan mentakrif polisi dokumen. Ia dilakukan bermula dengan penilaian terhadap kandungan maklumat, ancaman dan kemusnahannya di bawah kawalan pengurusan atasan,” katanya.

Katanya lagi, kehilangan data boleh berlaku disebabkan beberapa aspek kelemahan iaitu secara teknikal, fizikal dan sosial.

Adalah penting bagi organisasi untuk membangunkan dasar keselamatan maklumat dan disokong oleh prosedur yang bersesuaian.

Berdasarkan kepada standard antarabangsa Sistem Pengurusan Keselamatan Maklumat (ISMS) ISO/IEC 27001:2005, terdapat sekurang-kurangnya dua kawalan yang boleh dilaksanakan untuk mengawal keselamatan maklumat dalam sesebuah organisasi.

i) Klasifikasi maklumat adalah perlu apabila ia perlu dipertingkatkan berdasarkan nilai, keperluan undang-undang, sensitiviti dan kepentingan maklumat tersebut.

ii) Maklumat perlu dilabelkan mengikut klasifikasi yang ditentukan. Seterusnya, pengendalian maklumat secara sistematik harus dilaksanakan.

CyberSecurity Malaysia turut menggariskan beberapa panduan keselamatan kepada individu dan organisasi bagi mengelakkan sebarang penipuan internet iaitu:

A) Individu

  • Berhati-hati ketika memberi maklumat peribadi di dalam laman web, e-mel, sistem pesanan segera, bilik bual atau pada papan mesej, terutamanya apabila tidak pasti. Individu berhak bertanya mengapa dan bagaimana maklumat itu digunakan.
  • Individu perlu melindungi maklumat peribadi. Ia amat berharga.
  • Kenali dengan siapa individu berurusan setiap masa.
  • Menggunakan perisian anti virus, anti spyware dan firewall serta pastikan ia sentiasa dikemas kini.
  • Memastikan sistem operasi dan penyemak imbas laman web ditetapkan dengan betul dan sentiasa dikemas kini.
  • Melindungi kata laluan komputer, e-mel dan laman penting yang selalu dilawati.
  • Membuat sandaran bagi fail yang penting.
  • Kenali siapa perlu dihubungi jika sesuatu berlaku dalam talian.
  • B) Organisasi

  • Membuat jadual bagi data sandaran pada kekerapan yang boleh diharapkan.
  • Mengekalkan data sandaran dalam tempoh tertentu untuk membenarkan pemulihan semula atau isu pembaikan yang tidak didedahkan serta-merta.
  • Menggunakan sandaran secara automatik.
  • Melakukan siri ujian kepada proses penyalinan.
  • Sediakan komputer tambahan untuk sentiasa menyalin data.
  • Memastikan data sandaran mempunyai log tarikh dan masa supaya dapat disahkan.
  • Buat sandaran untuk pelbagai jenis medium (salinan cakera mudah alih, CD, VCD, USB).
  • Meletakkan data sandaran di tempat yang selamat.