Konsep Pertahanan Menyeluruh (HANRUH) Dalam Melindungi Aset Infrastruktur Kritikal Negara

Definasi

Secara umumnya maksud infrastruktur kritikal negara ialah apa-apa installasi yang hasil keluaran dan perkhidmatannya adalah amat penting kepada negara. Apa-apa bentuk kemusnahan atau kerosakan kepada fungsinya membawa impak yang amat besar kepada ekonomi, pertahanan dan keselamatan negara serta menggangu kesinambungan perkhidmatan kerajaan dan imej negara.

Dalam 'National Cyber Security Policy' Malaysia infrastruktur kritikal negara telah diberi definasi yang bertepatan dengan persekitaran siber iaitu:

'Assets (real or viritual), system and function that are vital to the nation that their incapacity or destruction would have a devastating impact on the national defense security, national economic strength, national image, government capability to function and public health and safety.'

The national critical  infrastructure has been identified in 10 categories i.e.

a. National Defense and Security

b. Banking/Finance

c. Information and Commuunication

d. Energy

e.Transportation

f. Water

g. Healath Services

h.Government

i. Emergency Services

j. Food and Agriculture 

Pendahuluan

Konsep HANRUH (Pertahanan Menyeluruh) dibentuk berteraskan kepada tanggungjawab mempertahankan negara tidak terletak kepada ATM (Angkatan Tentera Malaysia) atau pasukan keselamatan. Pertahanan negara memerlukan penglibatan secara bersepadu dan menyeluruh agensi kerajaan, sektor swasta, badan bukan kerajaan dan rakyat jelata. Rakyat perlu didedahkan kepada semangat untuk mempertahankan negara dalam apa jua keadaan.

Objektif HANRUH ialah untuk membina patriotisme mutlak kepada negara. Untuk mencapai kepada objektif tersebut pendekatan pembangunan secara tiga peringkat perlu dilaksanakan. Peringkat pertama ialah untuk memberi kefahamann kepada rakyat tentang konsep pertahanan menyeluruh. Seterusnya penyelarasan pelaksanaan perlu diadakan dengan menyediakan perundangan dan peraturan yang mencukupi. Akhir sekali ialah penghayatan konsep pertahanan menyeluruh diterima sepenuhnya dihati sanubari rakyat negara ini. 

Sehubungan dengan itu aset infrastruktur kritikal negara yang dibawah pengurusan pihak kerajaan, syarikat berkaitan kerajaan dan swasta adalah bertanggungjawab untuk membekalkan hasil keluaran dan perkhidmatan yang kritikal kepada pelanggan sama ada masa aman, krisis dan peperangan. Strategi pelaksanaan yang dasar dan peraturannya telah dibentuk oleh kerajaan perlu digunakan oleh badan kerajaan, syarikat berkaitan kerajaan dan swasta bagi menjamin bekalan hasil keluaran dan perkhidmatannya berterusan.

Ancaman Keselamatan Kepad Aset Infrastruktur Kritikal Negara

Sebahagian dari aset yang dimiliki oleh badan kerajaan, syarikat berkaitan kerajaan dan swasta yang berkaitan dengan infrastruktur kritikal negara telah digazetkan sebagai Kawasan Latrangan dan Tempat Larangan di bawah Akta Kawasan Larangan dan Tempat Larangan 1959. Berdasarkan kepada kepentingan aset-aset ini sudah pasti ianya terdedah kepada pelbagai ancaman keselamatan. Ancaman keselamatan tersebut boleh timbul dari dua bentuk iaitu ancaman keselamatan berbentuk konvensional dan terkini ancaman keselamatan dalam bentuk siber.

Perancangan, Pelaksanaan Dan Tindakan

Badan kerajaan, syarikat yang berkaitan dengan kerjaan dan swasta yang berkaitan dengan infrastruktur kritikal negara memiliki aset beribu juta ringgit (belum ada statistik tepat yang dikumpulkan). Kebanyakannya telah disenaraikan di papan utama Bursa Malaysia, mempunyai pulohan ribu pegawai dan kakitangan dan menyediakan perkhidmatan kepada jutaan pelanggan di Semenanjung Malaysia, Sabah dan Sarawak. Oleh itu semua pemilik berkenaan seharusnya memainkan peranan bersepadu untuk menentukan kemakmuuran nasional, ekonomi dan sosial negara terjamin dengan menyediakan perkhidmatan yang berdaya harap dan cekap.

Mengikut maklumat yang diperolehi sebahagian besar aset badan kerajaan, syarikat berkaitan kerajaan dan swasta yang telah dikenalpasti mengeluarkan hasil dan perkhidmatan penting telah disenaraikann oleh pihak berkuasa sebagai infrastruktur kritikal negara. Atas dasar kepentingan negara aset-aset penting tersebut perlu dilindungi dengan secukupnya oleh semua pemilik dengan menggunakan segala kuatkuasa undang-undang yang sedia ada, mengurusnya secara sistematik mengikut sistem kualiti dan menyediakan langkah-langkah keselamatan amalan terbaik global yang komprehensif dan total. Mereka tidak boleh berkompromi dalam soal keselamatan aset-aset kritikal di bawah selian mereka. Laporan berkala perlu diberikan memberi kepastian kepada pihak berkuasa bahawa aset kritikal tersebut telah diberi perlindungan total supaya tidak musnah atau rosak. Jika berlaku kemusnahan atau kerosakan fungsinya boleh menyebabkan kerugian yang amat besar kepada ekonomi, pertahanan atau keselamatan negara serta boleh menjejaskan fungsi kerajaan dan imej negara.

Oleh itu satu strategi perancangan dan pelan tindakan komprehensif mengurus keselamatan oleh pemilik-pemilik berkaitan perlu dibangunkan berpandukan kepada urus tadbir dan amalan terbaik mengikut Model PDCA (Plan-Do-Check-Act). Aset-aset yang bukan ICT perlu dilindungi mengikut sistem ''Defense in Depth' yang boleh mendatangkan kesan 'Deter, Detect, Delay and Response'. Aset-aset berbentuk ICT diberi perlindungan secara 'Layered Security' yang meliputi perkara 'Terminal Security, Network Security, Communication Security and Data Security'. Pelan mengurus kecemasan yang wujud harus boleh menjamin dan mengelak dari insiden berlaku. Sekirannya insiden terjadi yang boleh membawa kepada krisis entiti berkaitan mempunyai kesedian dan kemampuan untuk menangani kecemasan tersebut. Selepas berlakunya krisis mereka mempunyai keupayaan untuk mengembalikan keadaan kepada sedia kala dalam masa yang singkat.

Untuk menghadapi keadaan darurat dan perang pemilik-pemilik berkaitan dikehendaki membuat persedian dari segi perundangan untuk menubuhkan Pasukan Rejimen Pakar yang sentiasa diberi latihan secara berkala oleh pihak Angkatan Tentera Malaysia untuk melindungi dan memastikan kelangsungan hasil keluaran dan perkhidmatan kritikal berterusan.

Penutup

Semua pemilik infrastruktur kritikal negara perlu dalam kesiapsiagaan melindungi aset-aset mereka dengan membuat perancangan dan tindakan keselamatan berteraskan kepada konsep HANRUH. Pendekatan pembangunannya perlu dilaksanakan mengikut fasa yang ditetapkan iaitu semua yang terlibat perlu faham tentang konsep HANRUH, terdapat anggota yang boleh menyelaras segala tindakan yang perlu dengan memastikan terdapatnya perundangan yang mencukupi dan akhirnya wujud penerimaan dan penghayatan konsep HANRUH di semua peringkat dalam badan kerajaan, syarikat berkaitan kerajaan dan swasta yang asetnya tersenarai sebagai infrastruktur kritkal negara.

Penubuhan IMPACT : Faedah Dan Sumbangannya Kepada Kemantapan Perlindungan Keselamatan Infrastruktur Kritikal Negara

Pendahuluan

Infrastruktur dan aplikasi ICT sememangnya membantu organisasi sama ada di pihak awam atau swasta dalam mempercepatkan pengeluaran perkhidmatan kepada pelanggan. Walau bagaimana pun kebergantungan dan kebaikan yang dibawa oleh ICT telah mewujudkan pelbgai bentuk ancaman baru yang boleh membawa impak kepada politik, ekonomi dan keselamatan negara. Kejayaan serangan siber ke atas sesuatu sistem komputer  dan rangkaian telekomunikasi boleh mendatangkan kesan berangkai yang berkemungkinan boleh membawa kemusnahan dan kehancuran.

Melindungan infrstruktur kritikal negara dari serangan siber adalah amat menyulitkan dan kompleks tidak seperti kita melindungi struktur fizikal. Dalam ruang siber tiada sempadan dan lingkungan kawasan. Terdapat banyak ruang kelemahan yang jelas kalau diikuti perkembangan statistik jenayah siber. Fenomena ancaman siber boleh berlaku pada bila-bila masa dan di mana sahaja tampa mengenal sempadan serta boleh dilakukan oleh sesiapa sahaja dari jarak dekat dan jauh. Pendekatan pertahanan secara unilateral bukannya satu-satu jalan penyelesaian yang terbaik. Tindakan yang lebih komprehensif dan efektif ialah melalui kerjasama global. Segala pelaksanaan perlu dibuat secara bersepadu, berkehendakkan penyelarasan yang cekap untuk menggunakan segala sumber yang terhad dan mengelakkan dari berlakunya pertindihan usaha dalam menanganinya. Penubuhan IMPACT (International Multilateral Partnership Against Cyber Terrorism) sebagai sebuah pertubuhan antarabangsa berkonsepkan kerjasama awam dan swasta (public and private partnership) bertujuan untuk menangani ancaman siber secara global adalah amat tepat. Sokongan sepenuhnya yang diberikan oleh Kerajaan Malaysia dengan membenarkan penempatannya dibuat di Cyberjaya serta menyalurkan sumbangan dana awal pembangunannya telah membawa hasil yang menguntungkan negara.

Isu E-Kedaulatan Di Alam Siber 

Pemerimaan dan penggunaan ICT diikuti bersama dengan risiko. Dunia amat bergantung kepada transaksi elektronik. Oleh kerana terdapat banyaknya ancaman dalam dunia siber, sesebuah negara harus melakukan apa yang termampu untuk mempertahan, melindungi dan mengekalkan kedaulatan dan identitinya. Secara tradisi kedaulatan diasaskan kepada mempertahankan kawasan geografi fizikal. Ini dilakukan melalui penggunaan anggota tentera, polis, anggota imigresen dan kastam. tetapi di alam siber ruang maya adalah tampa sempadan. Secara berterusan mengamalkan model lama (menggunakan anggota keselamatan dan penguatkusaan) tidak akan menjamin kedaulatan atau keselamatan negara dalam keadaan ini. Oleh itu satu paradigma baru mengawal selia dunia politik dan ekonomi diperlukan, 'sempadan baru' perlu sentiasa dilakar di ruang siber bersesuaian dengan kepentingan negara.

E-Kedaulatan mengandungi 3 latar belakang konseptual iaiitu:

A. Pemuliharaan Kendiri (Self Preservation)

Konsep ini meliputi perkara pemuliharaan identiti iaitu budaya, nilai serta kepercayaan dan kedaulatan sesebuah negara (politik dan ekonomi). Dunia tampa sempadan membenarkan penyaluran kandungan mono-budaya yang akan mengancam kepelbagaian budaya sesebuah negara dan kandungan yang negatif akan mengetepikan nilai-nilai dan kepentingan negara berkenaan.

Maklumat yang salah dan tidak tepat amat mudah disalurkan melalui media elektronik yang boleh mengancam kestabilan politik, keharmonian kaum dan keselamatan sesebuah negara. Selain dengan itu perancangan dan pemantauan ekonomi telah bertambah rumit dengan adanya dot-com dan pemindahan wang yang melintasi sempadan. Penyimpangan akan berrlaku yang mana sesebuah negara tidak akan sempat mengawal dan membetulkannya. Ini kerana ruang siber dimonopoli oleh syarikat asing serta dikuasai oleh negara kuasa besar tertentu.

B. Perrlindungan (Protection)

Ketiadaan satu Pusat Koordinasi aktiviti bagi semua pelaksana bidang ICT keselamatan adalah satu masalah dalam sesebuah negara. Kekurangan ini akan mengakibatkan ketidakberkesanan perancangan, pelaksanaan dan penyelenggaraan inisiatif pertahanan siber sesebuah negara yang tidak boleh berrtindak dengan segera apabila krisis berlaku.

Amat bergantung kepada perisian penyelesaian luaran (peralatan dan perisian) tampa ada perancangan yang jelas untuk mengurangkannya adalah sesuatu yang membimbangkan. Pakar ICT Keselamatan sesebuah negara perlu dibangunkan secara berkesan oleh kerana peningkatan kompleksiti dan kecanggihan serangan memerlukan pengawasan berkesan berterusan dan tindakan pro-aktif.

Seterusnya untuk melindungi e-kedaulatan, pembangunan masa hadapan harus melibatkan infrastruktur fizikal yang boleh bertahan daripada serangan yang ada tujuan dan kesungguhan. Penyelidikan dan pembangunan harus diambil untuk membina peralatan teknik yang berkesan untuk menghalang akses yang tidak dibenarkan serta pelanggaran keselamatan terhadap rangkaian dan maklumat. Penyelidikan berterusan adalah perlu untuk membangunkan teknik dan peralatan yang boleh mengurangkan peluang bagi seseorang melakukan espionaj, curi maklumat dan penyelewengan. Hukuman yang diperuntukkan dalam undang-undang siber perlu setimpal untuk melindungi dan menghalang dari serangan dan peruntukkan yang ada di dalam undang-undang siber perlulah mantap untuk mendakwa penjenayah siber.

Penonjolan Imej (Projection)  

Dalam usaha untuk penonjolan imej, ICT digunakan untuk membangkitkan imej dn pandangan sesebuah negara ke arah untuk meningkatkan taraf dan lingkungan pengaruhnya. Kawalan ke atas kandungan dan media akan memastikan versi kebenaranya. Web portal telah menjadi penting sebagai pemberatnya. Ia akan mendominasi, meletak peraturan dan menarik perhatian. Hiraki yang ada dalam kerajaan juga menghalang pihak awam memberi maklum balas kepada kejadian, komen dan kritikan dan ini menyuburkan ketidakpercyaan.

Penilaian Faedah dan Sumbangannya.  

Penubuhan IMPACT boleh dikatakan telah mencapai objektifnya dalam menangani ancaman siber secara global melalui sebuah pertubuhan antarabangsa berkonsepkan kerjasama pembentukan dan pembangunan pertahanan e-kedaulatan, perlindungan dan penonjolan imej yang telah dijelaskan seperti di atas. Seterusnya pelan induk IMPACT dalam 6 agenda seperti dinyatakan di bawah telah diimplementasi secara berterusan untuk menyelaras, melaksana dan mengekalkan e-kedaulatan sesebuah negara iaitu:

a. Kesedaran Keselamatan Maklumat Kebangsaan dan Pembangunan Kompetensi (National Information Awareness and Kompetensi Development.

b. Pelan Kelangsungan Urusan Negara (National Business Continuity Plan)

c. Kepastian Maklumat Negara (National Information Assurance)

d. Pertahanan Siber Negara (National Cyber Defense)

e. Kemampuan Penyelidikan dan Pembangunan Negara (National R&D Capabilities

f. Undang-Undang dan Penguatkuasaan

IMPACT yang ditubuhkan dilihat masih kurang menjalankan usaha untuk mengadakan interaksi dengan agensi-agensi yang ditubuhkan oleh negara-negara anggota seperti di negara Malaysia untuk menangani ancaman keselamatan di 'Critical National Infrastructure'. Agensi-agensi tersebut seharusnya diberi tempat untuk terus memberi sumbangan mereka dalam pembentukan ketahanan negara dari ancaman keganasan siber bersama-sama dengan agensi-agensi di peringkat global.

Penutup

Menangani ancaman keganasan siber memerlukan satu tindakan komprehensif berbentuk pelbagai hala melalui kerjasama global dan penubuhan IMPACT telah mencapai kepada hasrat tersebut. Strategi dan pelan tindakannya telah berjaya membantu pembentukan ketahanan ancaman siber dalam negara anggotanya, membangkitkan kesedaran keselamatan dan mendidik rakyatnya terhadap ancaman keganasan siber, menggerakkan tindakan menguatkuasa dan mendakwa penjenayah mengikut undang-undang serta dapat menyelaras secara efektif perkongsian maklumat dan perisikan di peringkat dua hala, serantau dan pelbagai hala untuk kegunaan anggotanya.

Mengurus Perubahan: Isu, Halauan Dan Cabaran Mengurangi Jenayah Aset Dalam Konteks Keselamatan Perlindungan (Final Part)

Cabaran Mencapai Keunggulan

Sebarang perubahan yang hendak diperkenalkan di organisasi memerlukan pembentukan gerakan pembaharuan pemikiran dalam proses dan aliran kerja. Semua anggota dalam organisasi mesti bertindak sealiran dengan pergerakan tersebut. Sesiapa yang masih bertahan ditahap yang lama akan ditinggalkan oleh arus kemajuan tersebut. Oleh itu menjadi cabaran kepada pemimpin organisasi untuk bertindak secara berkesan memimpin arus perubahan bagi memastikan tiada tentangan berlaku dikalangan anggota dalam organisasi.

Perubahan yang berjaya untuk diserapkan di pemikiran anggota organisasi dan dilaksanakan dengan sempurna memerlukan kepada pemahaman mengenai psikologi dan dinamisma perubahan.Diperingkat awal pelaksanaan punca tentangan perlu dicari dan tindakan penyelesaiannya dibentuk. Perubahan itu perlulah berjalan tahap demi tahap mengikut status penerimaan oleh para pelaksana dalam organisasi. Cara ini akan membolehkan program perubahan yang dicadangkan untuk dilaksanakan akan menerima kurang tentangan dan menggalakkan penerimaan.

Dalam sistem putaran perubahan harus dimulakan dengan menghubungkan pemahaman konsep kepada pelaksana dalam organisasi. Ini akan memudahkan persetujuan dan komitmen diperolehi dalam melaksanakan perubahan yang dicadangkan. Wujudnya persekitaran pertentangan yang minima akan mempercepatkan proses perubahan berlaku. Banyak proses dan aktiviti penyesuaian, penerimaan dan pembetulan perlu dilakukan untuk melicinkan urusan pergerakan perubahan. Selepas proses perubahan menjadi realiti usaha perlu dibuat secara berterusan untuk mennilai, membuat rombakan dan jika perlu konsep baru sekali lagi perlu diwujudkan. Putaran proses ini bersesuain dengan strategi pengurusan yang terdapat dalam BPR (Business Process Re-engineering) dan TQM (Total Quality Management).

Statistik insiden jenayah di Malaysia sentiasa meningkat setiap tahun. Sebaliknya didapati kebanyakan dari Ketua Jabatan atau Ketua Keselamatan Korporat dan syarikat tidak merasakan bahawa mereka ada masalah. Tambahan kepada itu mereka tidak tahu apakah tatacara yang perlu digunakan untuk mengetahui bahawa masalah keselamatan perlindungan wujud diorganisasi mereka. Sekiranya mereka tahu bahawa mereka ada masalah mereka tidak tahu bagaimana penyelesaian yang terbaik untuk mengatasinya. Kebanyakan Pegawai Keselamatan Jabatan, Korporat atau syarikat lebih suka jika masalah yang dihadapi disembunyikan daripada pengetahuan pihak atasan. Pada mereka apa-apa syor yang dikemukakan untuk meningkatkan tahap keselamatan perlindungan di organisasi mereka dianggap sebagai satu kritikan terhadap kompetensi pengurusan mereka. Penilaian keselamatan perlindungan akan hanya menjadi penting kepada Pegawai Keselamatan Jabatan, Korporat atau Syarikat apabila sesuatu insiden berlaku kepada organisasi mereka. Pada kebiasaannya kerugian yang ditanggung akibat daripada pelanggaran keselamatan adalah lebih tinggi daripada kos untuk mendapatkan peralatan kawalan keselamatan. Ini adalah contoh kes yang amat menyerupai apa yang dipanggil sebagai ' a knee jerk reaction' dimana mereka merasakan kepentingan untuk menutup kandang lembu mereka wujud apabila semua lembu dikandangnya telah dicuri.

Terdapat juga organisasi di pihak kerajaan, korporat dan syarikat yang menyedari akan kepentingan untuk melindungi maklumat kritikal telah membangunkan sistem tetapi tidak menepati kehendak 'security specification requirement needs'. Pegawai Keselamatan Jabatan, Korporat dan Syarikat tidak mengambil tanggungjawab untuk memastikan bahawa semua keperluan dipenuhi bukan sahaja langkah kawalan keselamatan perlindungan maklumat di organisasi tetapi juga mematuhi sepenuhnya kehendak undang-undang dan peraturan yang berkaitan dengannya. Sebagai contoh di bawah Seksyen 8(1)(iv) Akta Rahsia Rasmi 1972 menyebutkan bahawa 'fails to take reasonable care of, or so conducts himself as to endanger the safety, or secrecy of, any such official secret or thing......' adalah satu kesalahan yang boleh dihukum penjara tidak kurang daripada satu tahun tetapi tidak melebihi tujuh tahun. Perkataan 'reasonable care of' di sini bermaksud bahawa semua pengwujudan, penyimpanan, penyenggaraan, penghantaran dan pelupusan rahsia rasmi perlu diuruskan mengikut arahan keselamatan yang dikeluarkan yang sepenuhnya mematuhi Seksyen 30A Akata Rahsia Rasmi 1972. Sistem yang hanya menyelesaikan masalah teknologi akan menghadapi implikasi perundangan jika sesuatu pembocoran maklumat berlaku dan dihapkan di mahkamah.

Penutup

Setiap Sistem Keselamatan Perlindungan yang mantap perlu melalui proses perubahan kreativiti dan inovasi teknologi yang dapat mencegah, mengesan, melambatkan dan boleh bertindak dengan cepat kepada kejadian. Untuk mencapai kepada objektif tersebut pengurusannya harus mengikut sistem kualiti yang menekan kepada pematuhan standard 'best practice and good governance', mengikut Model PDCA (Plan-Do-Check-Act), memenuhi kehendak undang-undang dan peraturan semasa serta membuat penambahbaikan yang melampaui kehendak pelanggan. Walau bagaimana pun gerakan perubahan tidak mudah diketengahkan. Setiap cadangan perubahan akan mempelawa tentangan. Oleh itu untuk merealisasikan sesuatu perubahan berlaku perancangan yang rapi perlu dibuat dengan memastikan konsepnya selari dengan kehendak stakeholder, mengkaji isu-isu yang berkaitan, apakah haluan yang perlu diikuti dan cabaran-cabaran yang perlu diharungi dengan menggunakan pendekatan pengurusan 'Blue Ocean Strategi', 'Business Proceess Re-engineering', 'Total Quality Management' dan 'Business Continuity Managemennt' dalam usaha melonjakkan organisasi ditahap global.  

Mengurus Perubahan: Isu, Haluan Dan Cabaran Mengurangi Jenayah Aset Dalam Konteks Keselamatan Perlindungan (Part III)

Haluan Menuju Keunggulan

Negara bergerak maju dipandu oleh bentuk kepimpinan sedia ada. Pembangunan Malaysia dilakar setiap lima tahun melalui pembentukan pelan induk dengan mengenal pasti sektor yang memerlukan pelaburan untuk dikembangkan. Secara komprehensif pada 31 Mac 2006 YAB Perdana Menteri telah melancarkan Rancangan Malaysia Ke 9 dengan menyenaraikan 6 bidang utama untuk dimajukan meliputi daya saing global negara, pembangunan modal insan, integrasi nasional, pengagihan pendapatan dan kekayaan serta kualiti hidup rakyat. Pencapaian  terhadap enam bidang yang disebutkan bertunjang kepada lima teras utama untuk memacu pencapaiannya. Pertama ialah meningkatkan tambah nilai ekonomi negara, diikuti dengan penambahbaikan kapasiti ilmu negara, kreativiti dan inovasi. Teras ketiga ialah membaiki keseimbangan sosio ekonomi serta disusuli dengan peningkatan mempertahan kualiti hidup rakyat. Akhir sekali ialah untuk memperkukuhkan institusi dan kapasiti pelaksanaannya.

Kelangsungan kepada Rancangan Malaysia ke 9 telah diikuti dengan kerajaan memperkenalkan model Ekonomi Baru untuk memacu transformasi negara Malaysia ke arah negara maju pada tahun 2020. Dalam laporan yang dibuat oleh NEAC (National Economic Advisory Council) pada 30 Mac 2009 telah menyenaraikan 4 bidang utama untuk dimajukan yang meliputi Program 1 Malaysia, Program Transformasi Kerajaan, Program Transformasi Ekonomi dan Rancangan Ekonomi Malaysia Ke 10. Pencapaian terhadap bidang yang disebutkan bertunjang kepada teras Rakyat Didahulukan Pencapaian Diutamakan, Enam Bidang Utama Keberhasilan Negara, 6 strategi perubahan inisiatif dan sasaran pembangunan makro dan pengagihan peruntukan. Ke semua yang telah dinyatakan harus menjadi landasan untuk kita membuat perancangan, strategi dan pelaksanaan pembangunan Keselamatan Perlindungan supaya rangka kerjanya tidak lari arus pelan perancangan tersebut.

Dalam era globalisasi perubahan inovasi melalui kreativiti modal insan dan masa menjadi penentu dalam membuat lonjakan dalam pembangunan negara. Dua faktor ini akan memastikan kita boleh bersaing dan berada dikedudukan 'berdiri sama tinggi dan duduk sama rendah' dengan negara yang sudah jauh kehadapan maju dari negara kita. Dalam perkembangan ini pembangunan teknologi menjadi katalis kepada pencapaian hasrat tersebut. Perubahan teknologi yang bergerak tahap demi tahap perlu dilontarkan ke dalam tong sampah sejarah. Pembaharuan teknologi harus berpaksi kepada penggunaan 'convergence technology'.

Persaingan di dunia global memerlukan mindset modal insan berpendirian glokal sebagaimana disarankan oleh YAB Perdana Menteri Dato' Seri Nagib Tun Haji Abdul Razak. Negara kita bukan sahaja ingin mencapai status negara maju menjelang 2020 tetapi hendak memastikan kita maju mengikut nilai dan acuan kita sendiri tampa meninggalkan peluang kita berkembang dipersada anatarabangsa. Untuk tujuan tersebut kita harus memenuhi keperluan dan pematuhan kepada standard 'best practice, good governance' diperingkat global.

Organisasi Keselamatan Perlindungan yang mematuhi 'best practice', 'good goverrnance' dan 'Model PDCA' akan mengambil kira semua komponen 'Defence in Depth' dalam membangunkan langkah keselamatan perlindungan yang mantap dan 'Layered Security' dalam melindungi infrastrukur maklumat ICT. Ciri-ciri keselamatan kompoonen 'Defence in Depth' mengandungi integrasi perkara-perkara berikut:

a. langkah-langkah mencegah (deterrence)

b. langkah mengesan (detection)

c. langkah-langkah untuk melambatkan (to delay action)

d. langkah-langkah untuk bertindak ke atas penjenayah (response)

Dalam aspek melindungi keselamatan maklumat pula perkara-perkara berikut perlu diwujudkan yang boleh bertindak untuk memperkukuhkan pertahanan keselamatan perlindungan antara satu sama lain. Lapisan pertahanan tersebut ialah:

a. Keselamatan Terminal

b. Keselamatan Rankaian

c. Keselamatan Komunikasi

d. Keselamatan Data

Langkah-langkah keselamatan perlindungan di atas boleh dipertingkatkan lagi oleh organisasi dan badan korporat dengan mendapatkan sijil pematuhan kepada amalan terbaik global berikut:

a. Amalan 5 S

b. Pengurusan Kualiti MS ISO 9000:2000

c. Keselamatan Alam Sekitar MS ISO 14000

d. Amalan Keselamatan dan Kesihatan Pekerjaan MS ISO 18000

e. Pengurusan Sistem Keselamatan Maklumat (ISMS) MS ISO 27000

f. Business Continuity Plan

g. Akta Perlidungan Data Persedirian (PDPA)

Organisasi Keselamatan Perlindungan yang mematuhi ke semua keperluan di atas dan mendapat pengiktirafan sijil amalan terbaik global boleh dikategorikan sebagai organisasi keselamatan perlindungan yang menuju kepada organisasi bertaraf dunia. Untuk cemerlang sesuatu organisasi keselamatan perlindungan hendaklah mematuhi 'best practice and good governance' global. Pencapaiannya harus diukur dengan penentuan 'Key Performance Indicator' melalui pelaksanaan amalan 'Balance Score Card' dan 'Benchmarking'. Pengukuran tersebut akan mengesahkan bahawa orgaisasi sudah berada ditahap gemilang. Untuk menjadi terbilang kita dikehendaki berusaha untuk mendapat pengiktirafan dunia bahawa kita sememangnya terbaik diperingkat global dan dinobatkan sebagai yang terbilang. Untuk kekal menjadi terbilang kita harus mengamalkan dan melaksanakan konsep 'Blue Ocean Strategy' yang sentiasa membuat 'research, eliminate, inovate dan create' untuk memastikan organisasi sentiasa berada ditahap tampa saingan.

Mengurus Perubahan: Isu, Haluan Dan Cabaran Mengurangi Jenayah Aset dalam Konteks Keselamatan Perlindungan (Part II)

Isu-Isu Dihadapi Untuk Mencapai Keunggulan

Terdapat dua isu fundamental (Dr. Josef Eby Ruin, 2006) yang seseorang pemimpim perlu nilai apabila beliau berusaha untuk mengekalkan dan mengurus daya saing organisasi di dalam keadaan yang sering berubah iaitu:

a) bagaimana saya boleh mengatasi perubahan yang spesifik secara berkesan supaya hasil yan dijangka dapat dikekalkan dan

b) bagaimana saya mengimbang elemen ketahanan dalam organisasi supaya operasi sentiasa  berterusan walaupun dalam arus perubahan dan ketidakpastian

Masyarakat masa kini meletakkan harapan yang sangat tinggi kepada organisasi kerajaan dan syarikat swasta supaya memberi perkhidmatan yang terbaik, cepat dan tepat. Oleh itu keseluruhan organisasi dalam sektor awam dan swasta telah merubah paradigma pengurusannya kepada yang amat bergantung kepada penggunaan ICT. Seiring dengan perkembangan tersebut telah memperluaskan lanskap ancaman keselamatan konvensional ke arah infrastruktur strategik dan kritikal ICT organisasi awam dan korporat untuk diceroboh dan dimusnahkan melalui aktiviti keganansan siber. Kejayaan serangan siber ke atas sesuatu rangkain komputer dan rangkaian telekomunikasi boleh mendatangkan kesan berangkai yang boleh menjejaskan sistem kecekapan perkhidmatan kerajaan, korporat dan syarikat swasta.

Melindungi infrastruktur perkhidamatan kerajaan, korporat dan syarikat swasta daripada serangan siber adalah amat mnyulitkan dan kompleks tidak seperti kita melindungai struktur fizikal. Dalam ruang siber tiada sempadan dan lingkungan kawasan. Terdapat banyak ruang kelemahan yang jelas kalau kita ikuti perkembangan statistik jenayah siber. Oleh itu pelbagai strategi, program dan aktiviti perlu dibangunkan dan diambil tindakan untuk menaganinya. Jika tidak segala hasrat kita untuk mencapai keunggulan perkhidmatan akan menjadi satu impian sahaja.

Perkembangan ICT telah memasuki dalam semua proses kerja di semua bahagian di dalam perkhidmatan kerajaan, korporat dan syarikat swasta. Setiap proses kerja melibatkan beberapa proses sebelum sesuatu input itu menjadi output sama ada sebagai satu produk atau perkhidmatan. Tugas Pegawai Keselamatan Jabatan, korporat dan syarikat swasta ialah untuk menkaji setiap perubahan yang berlaku antara satu proses ke satu proses sama ada terdapat 'vulnerabilities' atau kelemahan yang boleh di 'exploit' oleh musuh untuk direalisasikan menjadi ancaman. Ancaman yang wujud jika tidak dikawal dengan sempurna akan ditanggung oleh jabatan, korporat dan syarikat swasta sebagai risiko sama ada dalam bentuk reputasi yang negatif atau kerugian dari segi kewangan.

Pegawai Keselamatan Jabatan, Badan Korporat dan Syarikat Swasta tidak akan dapat mengelak daripada insiden berlaku dalam organisasi tampa mengambil langkah-langkah pencegahan keselamatan perrlindungan. Sesuatu langkah pencegahan pula tidak akan membawa impak yang berkesan sekiranya perancangan yang dibuat tidak menepati kepada 'security requirement needs' jabatan, badan korporat dan syarikat swasta. 'Security requirement needs' pula berbeza antara sesuatu jabatan, badan korporat dan syrikat swasta. Oleh itu pemilihan 'Security Architectural Design' dan model perlaksanaannya perlulah menepati dengan keperrluan tersebut. Kekurangan ini sekiranya tidak ditangani dengan kompeten akan mengakibatkan pendedahan kepada segala bentuk ancaman dan pencerobohan.

(Akan disambung dalam posting di Part III)

MENGURUS PERUBAHAN: ISU, HALUAN DAN CABARAN MENGURANGI JENAYAH ASET DALAM KONTEKS KESELAMATAN PERLINDUNGAN (PART I)

Pengenalan

Perubahan sentiasa berlaku mengarah kehadapan tampa noktah dan kekal berterusan dalam kehidupan. Ada yang berbentuk perubahan semula jadi dan ada yang berlaku disumbang oleh perlakuan manusia. Penulisan ini tidak bertujuan untuk meramal masa hadapan dan cuba mengurus perubahan yang mungkin berlaku. Sebaliknya perkara yang akan dibincangkan ialah tentang perubahan yang eksekutif boleh lakukan dan ada keperluan untuk melakukannya.

Mengurus Wawasan Keunggulan

Ketua Jabatan Kerajaan, Ketua Pegawai Eksekutif Korporat dan syarikat swasta sentiasa menggariskan perkara perubahan yang hendak dilakukan dan meletakkan keperluan untuk dilaksanakan.Oleh itu adalah menjadi tanggungjawab pegawai dan eksekutif untuk merancang, merumus, menyelaras dan melaksanakan perubahan yang digariskan. Objektif perubahan itu perlu dicapai melalui pengurusan yang teratur dan sistematik, memenuhi segala kehendak undang-undang dan peraturan yang ditetapkan, memantau dan membuat penyesuaian dalam menyulusuri pelaksanaan perubahan dan memastikan penambahbaikan dibuat secara berterrusan supaya hasrat menjadi unggul itu tercapai. Ini perlu dilakukan dengan mengikut Model Sistem Kualiti (Plan-Do-Check-Act).

Faktor Penentu Kejayaan Wawasan Keunggulan

Usaha untuk memastikan sesuatu wawasan menjadi realiti perlu kepada pelan strategik yang sistematik dan teratur. Jika strategi telah dikenalpasti ia perlu disusuli dengan program, aktiviti dan tindakan. Program Keselamatan Perlindungan terbaik memerlukan kekuatan faktor pendukung untuk menjayakannya yang meliputi perkara sistem, sikap, fundamental, pengalaman, masa dan anda sendiri yang menjadi pelaksananya (Danial A Crowl/Joseph F Louvar, 2002)

Sistem

Sesuatu program keselamatan memerlukan sistem. Satu sistem untuk merekod (i) apa yang  perlu dilakukan untuk membuahkan hasil perancangan, tindakan dan pencapaian yang cemerlang, gemilang dan terbilang, (ii) melakukan apa yang sepatutnya dilakukan (iii) merekodkan bahawa tugasan yang hendak disempurnakan telah diselesaikan

Sikap  

Pelaksana program keselamatan perlindungan mesti menghayati sikap positif iaitu sanggup melakukan tugas apa sahaja termasuk antaranya yang belum tentu menerima imbuhan demi kejayaan yang hendak dicapai.

Fundamental

Pelaksana mesti memahami dan menggunakan fundamental proses keselamatan perlindungan untuk membentuk, membina dan mengoperasi pelan strategik mengurangi kejadian jenayah berkaitan aset.

Pengalaman

Setiap pelaksana mesti belajar dari pengalaman sejarah atau anda akan mengulangi kesilapan masa lampau. Adalah disarankan semua pelaksana mesti membaca dan memahami kejadian sejarah masa lampau. Tanya individu organisasi atau organisasi lain mengenai pengalaman dan nasihat mereka.

Masa 

Semua pelaksana harus mengakui bahawa program keselamatan perlindungan memerlukan masa untuk berjaya. Masa untuk mengkaji, masa untuk melaksanakannya, masa untuk merekod keputusan, masa untuk berkongsi pengalaman dan masa untuk melatih atau dilatih.

Anda

Semua pelaksana (Anda) seharusnya mengambil tanggungjawab untuk menyumbang kepada program keselamatan perlindungan. Program keselamatan perlindungan perlu mendapat sepenuh komitmen dari semua peringkat didalam organisasi. Program keselamatan perlindungan perlu diberi sama kepentingan dengan program-program pengurusan yang lain.

(Akan disambung pada posting akan datang dalam (Bahagian II)

Sistem Keselamatan Perlindungan Dalam Mengurangi Jenayah Berkaitan Aset

   

Kerajaan masa kini dilihat bersungguh-sungguh untuk mencapai Wawasan 2020 supaya Malaysia menjadi negara maju berpendapatan tinggi melalui Model Ekonomi Baru. Segala peluang dan ruang perlu diberikan kepada kerajaan untuk menjayakan wawasan ini dengan kita memberi sokongan yang padu. Badan-badan kerajaan dan korporat, dan pemilik syarikat swasta perlu berusaha , merancang, mengenalpasti starategi dan melaksana pelan tindakan supaya sektor awam memberi perkhidmatan yang cemerlang dan syarikat jenama Malaysia boleh berdaya saing di peringkat global. Semua ini boleh dicapai jika badan kerajaan dan pemilik syarikat swasta mempunyai aset yang sesuai dan sentiasa diberi perlindungan secukupnya bersesuian dengan nilai kepentingannya kepada organisasi.

Matlamat di atas boleh dicapai sekiranya konsep Keselamatan Perlindungan dapat diwujudkan dalam organisasi sektor awam , korporat dan syarikat swasta. Konsep ini merujuk kepada langkah-langkah keselamatan yang boleh diambil untuk melindungi aset. Langkah keselamatannya terbina dalam satu sistem yang dinamakan sebagai 'Sistem Pertahanan Berlapis' (Defence in Depth System) yang mengaplikasikan segala kuatkuasa undang-undang serta mewujudkan langkah-langkah keselamatan fizikal, dokumen, peribadi dan ICT untuk mencegah supaya jenayah tidak berlaku terhadap aset.

Persoalan pasti akan timbul kenapa kita perlu meliindungi aset. Aset didefinasikan sebagai meliputi perkara-perkara berkaitan dokumen, maklumat, peralatan, barang-barang berharga, wang tunai, sistem pengoperasian dan sebagainya. Ianya mempunyai nilai dan impak kepada keselesaan hidup seseorang individu, kelangsungan pengurusan sesuatu organisasi dan kemakmuran rakyat sesebuah negeri dan negara. Impak yang negatif akan dialami oleh individu, organisasi, negeri dan negara jika berlaku sesuatu kerosakan, kemusnahan dan kehilangan berlaku kepada aset mengikut intensiti nilai kerugian yang ditanggung.

Oleh sebab aset mepunyai nilai ia mengundang ancaman keselamatan dari dalam dan luar persekitaran individu, organisasi, negeri dan negara. Ancaman keselamatan yang sering boleh berlaku adalah seperti sabotaj, espionaj, kecurian, kebocoran maklumat, kelemahan manusia, subversif, kerosakan tidak diselenggara (sama ada disengaja atau tidak disengaja), kemusnahan akibat bencana alam, dibom atau vandalisma serta lain-lain ancaman keselamatan yang sentiasa berubah. Jenayah terhadap aset ini boleh membawa impak reputasi, kerugian dalam bentuk kewangan, kelangsungan perjalanan urusan organisasi, syarikat dan implikasi keselamatan kepada individu.

Oleh itu satu sistem keselamatan yang menyeluruh perlu dibangunkan untuk menghadapi segala bentuk ancaman keselamatan terhadap aset. Dasar, peraturan dan amalan terbaik hendaklah digubal untuk memastikan kecekapan perlaksanaan, kos yang efektif dan pragmatik dapat diperolehi untuk menentang dan mengurangkan risiko yang berlaku terhadap aset.

Sistem Keselamatan perlidungan yang menyeluruh perlu mengandungi elemen keselamatan fizikal, dokumen, peribadi dan siber. Tiada mana-mana satu langkah keselamatan tersebut yang boleh menjamin keselamatan total. Semua elemen perlu diintegrasikan supaya menyokong antara satu sama lain untuk membawa kesan keselamatan 4M iaitu mencegah (deter), mengesan (detect), melengahkan (delay) dan mengambil tindakan (response) terhadap penjenayah.

Mengikut Danial A. Crowl/ Joseph Louvar (2002) sesuatu program keselamatan yang mantap memerlukan beberapa ramuan untuk berjaya. Perkara yang menjadi 'critical success factor' dalam membangunkan Program Keselamatan Perlindungan yang mantap dan komprehensif ialah sistem, sifat, fundamental, pengalaman, masa dan individu.

Sistem sangat penting dalam usaha untuk menjayakan Program Keselamatan Perlindungan. Orang yang terlibat dalam pelaksanaan sistem perlu mempunyai sifat yang positif. Untuk menggerakkan sistem individu mesti mempunyai kefahaman serta tahu akan 'fundamentals of security' sebelum boleh membangunkan 'security architectural design' yang bertepatan dengan kehendak dan perkembangan semasa. Disamping itu pengalaman dari kejadian yang lepas amat penting bagi kita mengelakkan mengulangi kesilapan yang lalu. Akhirnya masa dan komitmen akan menentukan sama ada sesuatu program keselamatan perlindungan yang mantap boleh mencapai kejayaan.

Program Keselamatan Perlindungan yang terbina tidak akan mencapai matlamatnya jika tidak dilaksanakan dengan cekap, kos efektif dan berkesan. Perlaksanaanya perlu dirancang, dirumus, diselaras dan diambil tindakan mengikut apa yang digariskan. Objektifnya perlu dicapai melalui pengurusan yang teratur dan sistematik, mematuhi segala kehendak undang-undang dan peraturan yang ditetapkan. Pemantauan, membuat penyesuaian dalam menyulusuri perubahan dan memastikan penambahbaikan dibuat secara berterusan sentiasa dilakukan supaya hasrat untuk menjadi unggul mengikut Model Sistem Kualiti PDCA (Plan-Do-Check-Act) tercapai.

Kelangsungan dari itu semua langkah-langkah keselamatan fizikal, dokumen, peribadi dan siber yang terbentuk dalam Sistem Pertahanan Berlapis (Defence in Depth) hendaklah diperkukuhkan dengan membuat pematuhan kepada prinsip-prinsip keselamatan perlindungan iaitu:

a) cadangan langkah-langkah keselamatan perlu diterima akal

b) kenal pasti aset-aset yang hendak dilindungi

c) kenal pasti ancaman keselamatan terhadap aset dan kelemahannya

d) tahap keselamatan perlindungan perlu di persetujui

e) semua peringkat pegawai dan kakitangan memahami kenapa langkah-langkah keselamatan   perlindungan diperlukan dan bagaimana untuk melaksanakannya

f) keselamatan tidak mengenal musim

Kesimpulannya Konsep Keselamatan Perlindungan harus difahami oleh jabatan di sektor awam, korporat dan syarikat swasta serta melaksanakannya bagi memastikan aset yang ada dalam organisasi tidak diancam dan kelangsungan perkhidmatan di sektor awam, korporat dan syarikat swasta tidak terjejas. Sebagai contoh seperti berlakunya kebocoran kertas soalan peperiksaan UPSR baru-baru ini. Oleh itu untuk mengelakkan perkara sebegini tidak berlaku satu perancangan strategi dan tindakan komprehensif perlu dibangunkan dengan berpandukan kepada urus tadbir dan amalan terbaik model PDCA (Plan-Do=Check-Act). Aset-aset yang bukan ICT perlu dilindungi mengikut 'System Defence in Depth' yang boleh mendatangkan kesan mencegah, mengesan, melengahkan dan mengambil tindakan terhadap penjenayah (deter, detect, delay and response). Manakala aset-aset ICT diberi perlindungan secara pertahanan pelbagai lapisan (Layered Security) meliputi perkara keselamatan pangkalan, keselamatan rangkaian, keselamatan komunikasi dan keselamatan data (terminal security, network security, communication security and data security). Tambahan kepada itu pelan mengurus kecemasan berunsur mengelak dari insiden berlaku perlu dibentuk. Sekiranya kecemasan berlaku kita hendaklah bersedia dan berkemampuan untuk mengendalikannya serta berupaya untuk mengembalikan keadaan kepada sedia kala dalam waktu yang singkat.