ISU – ISU KESELAMATAN ICT
Kebanyakan
pihak lupa akan kepentingan keselamatan komputer terutama dunia perniagaan .
Menurut satu kajian yang dijalankan oleh CSI
, sebanyak 41% responden menyatakan pernah menceroboh atau menggunakan
sistem komputer tanpa keizinan dalam tempoh 12 bulan , lebih 50% sektor
korporat Amerika Syarikat adalah mangsa serangan penceroboh . Tambahan pula
lebih 50% tiada polisi bertulis yang menerangkan bagaiman menghadapi
pencerobohan rangkaian komputer , lebih 20% yang tidak tahu sistem komputernya
telah dicerobohi , dan hanya 17% sahaja yang menggunakan hikmat perundangan
jika menyedari menjadi mangsa . Selain itu 70% respondon menyatakan
pencerobohan tidak dilaporkan kepada pihak berkuasa kerana khuatir akan
menjejaskan reputasi organisasi (Internal Auditor , 1996) .
Pada tahun 1994 , kebimbangan
terhadap bahan – bahan yang tidak sesuai untuk pelajaran untuk remaja yang
mudah didapati di Internet telah mendapat perhatian umum terutama di Amerika
Syarikat (Turow , 1999) . Dalam satu bancian oleh USA Today/CNN pada bulan Mei
1999 , didapati 65% remaja mengatakan internet merupakan antara penyumbang
kepada terjadinya keganasan seperti yang berlaku di Littleton , Colorado .
Dalam kejadian itu , 2 pelajar remaja berusia 17 dan 18 tahun telah menembak
mati 13 orang pelajar dan seorang guru di sekolah mereka . Bureau of Alcohol ,
Tobacco and Firearms , agent pusat Amerika Syarikat telah mengenal pasti
sekurang – kurangnya 30 kejadian bom dan 4 cubaan mengebom antara tahun 1985
dan Jun 1996 berlaku kerana golongan yang disyaki telah mendapatkan literasi
membuat bom dari internet . Dalam bulan Februari 1996 , 3 pelajar sekolah
tinggi di Syracuse , New York telah dituduh atas kesalahan membuat bom buatan
sendiri berdasarkan plan yang mereka perolehi dari internet .
Tidak berapa lama selepas kejadian
di Colorado , bekas Timbalan Presiden Amerika Syarikat , Al Gore menyatakan
bahawa apabila internet digunakan , ibu bapa perlu menggunakan teknologi
penapisan untuk menghadkan capaian kehalaman – halaman yang tidak baik (Gore ,
1999) . Hasil kaji selidik yang dibuat oleh NetValue pada bulan March 2001 pula
melaporkan seorang dari 5 kanak – kanak di Britain mengunjungi laman – laman
lucah dengan purata masa yang dihabiskan melawat laman tersebut adalah 28 minit
.
Ancaman siber terhadap keselamatan
sistem atau aplikasi juga boleh disambung oleh kelemahan sistem perisian sedia
ada . Misalnya , walaupun telah ada perisian penapis internet di pasaran ,
namun ia tidak berupaya mengekang sepenuhnya ancaman siber . Dari kajian Ayer
(2001) yang telah menilai sembilan produk penapisan , mendapati bahawa
kelemahan dalam mendifinisikan kategori laman web dan deskripcsi yang terlalu
subjektif terhadap laman web sedia ada
menyebabkan syarikat pengeluar perisian penapisan menghadapi cabaran
untuk menghasilkan sistem yang boleh memenuhi keperluan umum .
Sembilan produk yang telah dinilai
oleh Ayer berserta peratusan ketetapan atau keberkesanan penapisan oleh
perisian – perisian tersebut adalah seperti CyberPatrol dengan ketepatan 74% ,
i-Gear , i-Prism (90%) , N2H2 (94%) , S4F (81%) , SmartFilter (94%) , WebSense
(90%) dan X-Stop (90%) . Walaupun tahap penapisan tidak mencapai seratus
peratus , pengguna internet sekurang – kurangnya mempunyai satu kaedah yang
dapat mengurangkan kesan yang lebih buruk ke atas anak – anak mereka .
Laporan oleh Ayer (2001) turut
menyatakan bahawa pasaran perisian penapisan ini telah berkembang dalam
beberapa tahun kebelakangan ini berdasarkan maklum balas dan persepsi
masyarakat terhadap 3 situasi . Pertama , kebimbangan meningkatnya kejadian
gangguan seksualdi tempat kerja dan dipercayai bahawa penggunaan internet akan
menyebabkan suasana tidak selamat di tempat kerja . Kedua , kebimbangan
terhadap penurunan produktiviti di tempat kerja berikutan pekerja terlalu leka
menggunakan internet untuk tujuan yanh tidak berkaitan dengan kerjanya . Ketiga
, peningkatan kebimbangan terhadap kesan pornografi ke atas kanak – kanak dan
dipercayai bahawa internet telah menjadi sumber yang mudah untuk mendapakan
gambar – gambar pornografi .
Terdapat banyak kes yang melibatkan
jenayah siber berlaku di Malaysia seperti penyalahgunaan kemudahan perbankan
internet , pencerobohan (hacking) ,
menjual maklumat dan sebagainya . Menurut statistik yang dikeluarkan oleh
pasukan Tindakan Keselamatan Komputer Malaysia (MyCERT) terdapat purata kira –
kira 600 kes direkodkan setahun dan data ini hanya mewakili 3% dari keadaan
sebenar yang berlaku . Keadaan ini sepatutnya tidak berlaku kerana setiap
kejadian yang melibatkan jenayah siber mestilah dilaporkan kerana jika tidak ,
pihak yang tidak bertanggungjawab akan kekal berleluasa tanpa berjaya dikesan .
Ini mungkin juga berlaku disebabkan kurangnya pendedahan terhadap bentuk –
bentuk ancaman yang boleh diklasifikasikan sebagai ancaman siber .
Apabila memperkatakan tentang
ancaman siber , ia sememangnya terdiri daripada beberapa bentuk . Antara bentuk
ancaman siber yang popular adalah seperti aktiviti pencerobohan (intrusion activity) , capaian yang tidak
sah (unauthorized access) , serangan
DoS (Denial of Service Attack) ,
serangan virus , trojan dan cecacing (worm)
dan tidak kurang juga serangan yang disebabkan oleh penggodam (hackers) komputer itu sendiri sama ada
untuk tujuan peribadi atau lain – lain tujuan . Ancaman – ancaman siber ini
mungkin dilakukan secara berasingan atau mungkin juga boleh dilancarkan secara
gabungan dan serentak . contohnya , aktiviti pencerobohan (intrusion activity) yang dilakukan ke atas sistem maklumat sesebuah
organisasi boleh menyebabkan capaian yang tidak sah dilakukan oleh pihak luar
yang tidak bertanggungjawab . Apabila ini berlaku , kerahsiaan maklumat
syarikat atau organisasi sudah tidak dapat dilindungi . Ini sangat merbahaya
kepada sesebuah syarikat sekiranya maklumat rahsia syarikat berada di tangan
pesaing yang mana sudah tentu syarikat bakal mengalami kerugian yang besar dan
turut kehilangan peluang perniagaan . Selain daripada bentuk ancaman siber yang
dinyatakan di atas , serangan virus dan cecacing (worm) turut menduduki tangga teratas dalam senarai bentuk ancaman
siber yang agak popular . Walaupun serangan tersebut kedengaran biasa bagi kita
, namun kesan yang terpaksa ditanggung adalah di luar jangkaan kita . Sebagai
contoh . cecacing (worm) Code Red
telah melancarkan serangan pada tanggal 18 Jun 2001 . Serangan ini memfokus
kepada komputer pelayan (server computer)
berjenis Microsoft yang tidak mempunyai kod aturcara keselamatan (security cording patches) yang terkini .
Walaupun pihak Microsoft telah mengeluarkan kod aturcara keselamatan (security cording patches) , namun ramai
di kalangan pentadbir sistem (system
administrator) yang tidak mengemas kini kod tersebut . Akibatnya , ia telah
memberi peluang kepada penjenayah siber untuk melancarkan serangan cecacing (worm) yang seterusnya iaitu Code Red II , diikuti Code Red III dan Nimba .
PIAWAIAN POLISI KESELAMATAN MAKLUMAT
Pakar
keselamatan sistem rangkaian komputer Malaysia yang menganggotai panel Pusat
Tindak Balas Kecemasan dan Keselamatan ICT Kebangsaan (NISER) merumuskan empat
langkah penting bagi menangani ancaman keselamatan siber . Empat tindakan
penting yang telah digariskan adalah seperti berikut :
i.
Menentukan tahap keseriusan ancaman berkenaan
bagi menghasilkan tindak balas susulan dengan seberapa segera .
ii.
Merangka dasar berkaitan isu keselamatan
sistem rangkaian komputer .
iii.
Menyelaras tindakan antara penyedia
perkhidmatan Internet .
iv.
Membuat hebahan kepada orang ramai supaya
mengambil langkah berjaga – jaga .
Selain
polisi keselamatan ICT , piawaian (standard)
keselamatan ICT juga merupakan satu perkara yang penting dan diperkukuhkan
dalam kontes Malaysia . Perkembangan ICT yang mendorong pelbagai maklumat perlu
disimpan dengan kaedah terbaik tentunya memerlukan piawaian (standard) yang
boleh diikuti oleh syarikat – syarikat tempatan dalam menjamin keselamatan
maklumat tersebut . Bagi memberi peluang kepada syarikat tempatan melaksanakan
kaedah perlindungan data terbaik , SIRIM Berhad telah memperkenalkan sijil bagi
mencapai piawaian (standard) tersebut
. Piawaian (standard) yang dikenali
sebagai Pengurusan Keselamatan Maklumat berasaskan piawaian BS7799 (British Standard) tersebut dikendalikan oleh
anak syarikat SIRIM iaitu SIRIM QAS secara percubaan dengan kerjasama NISER .
Terdapat beberapa piawaian polisi
yang diterimapakai di peringkat antarabangsa dibawah . Terdapat polisi yang
sesuai dengan Malaysia dan diterimapakai
di negara ini . Jadi , perbincangan mengenai standard keselamatan di sini
adalah sebagai salah satu pendedahan awal kepada kumpulan pengguna ICT . Namun
demikian , secara umumnya penilaian pengukuran ICT yang baik perlu mempunyai
kriteria tertentu . Menurut John Bourn di dalam penulisannya , Good Practice in Performance Reporting in
Agencies telah menyatakan terdapat penilaian pengukuran yang baik , iaitu :
a. Menerangkan
apa yang diukur yang menunjukkan kepentingan pengukuran ini .
b. Menerangkan
di mana data itu diperolehi dan bagaimana ia dikumpulkan .
c. Menunjukkan
data yang mana harus direkodkan dan dilaporkan .
d. Menerangkan
bagaimana data itu dinilai termasuk data – data terkini atau data lampau .
e. Mengenalpasti
kekangan data termasuk faktor kawalan maklumat sulit organisasi .
f. Menetukan
siapa yang bertanggungjawab terhadap fasa pengumpulan , pengiraan atau
penilaian pengukuran data tersebut .
Rujukan : Isu –
isu Kontemporari Koridor Raya Multimedia INOVASI TEKNOLOGI
“ Abdul Manaf Bohari (Pengelenggara) Cetakan Pertama
2006”
Tiada ulasan:
Catat Ulasan