Bagaimana AI & Siber Bentuk Semula Keselamatan Negara

AI dalam Kerajaan & Sektor Awam••By 3L3C

NDAA AS tunjuk bagaimana AI dan siber jadi teras keselamatan negara. Apa pelajaran untuk Malaysia di bawah MyDIGITAL dan sektor awam kita?

AI sektor awamkeselamatan siberMalaysia Digital Economy Blueprintrisikan digitaltransformasi kerajaanAI in Government & Public Sector
Share:

Bagaimana AI & Siber Bentuk Semula Keselamatan Negara

Pada 2026, Amerika Syarikat merancang berbilion dolar untuk pertahanan siber, kecerdasan buatan (AI) dan operasi risikan di bawah rang undang‑undang National Defense Authorization Act (NDAA). Di sebalik angka besar itu, ada satu mesej jelas: keselamatan negara sekarang adalah permainan data, algoritma dan infrastruktur digital.

Ini sangat selari dengan hala tuju Malaysia Digital Economy Blueprint (MyDIGITAL) dan Pelan Induk Ekonomi Digital Negara yang menekankan AI, keselamatan siber dan data raya sebagai asas transformasi sektor awam.

Artikel ini ambil pelajaran daripada NDAA AS – bukan untuk menyalin, tapi untuk memetakan apa yang kerajaan Malaysia dan agensi sektor awam boleh buat bagi mengukuhkan keselamatan negara, automasi perkhidmatan, serta keupayaan risikan dengan AI dan teknologi siber.

Apa Sebenarnya Berlaku dalam NDAA: Fokus Siber & AI

Inti NDAA 2026 ialah memperuntukkan berbilion dolar kepada operasi siber, risikan dan AI di pelbagai agensi pertahanan.

Beberapa poin penting daripada rang undang‑undang tersebut:

  • US Cyber Command menerima ratusan juta dolar untuk:
    • operasi di ruang siber
    • aktiviti khas (tidak dinamakan secara terbuka)
    • operasi & penyelenggaraan markas
  • Peraturan keselamatan siber diselaraskan di seluruh Jabatan Pertahanan untuk menghapuskan syarat yang bertindih dan tidak konsisten.
  • Telefon mudah alih pegawai kanan pertahanan diwajibkan perlindungan siber dipertingkat, selepas insiden kebocoran maklumat sensitif melalui aplikasi mesej.
  • Akses kepada sumber awan (cloud) DOD dihadkan mengikut lokasi fizikal pengguna, untuk kurangkan risiko jurutera luar negara menyentuh sistem kritikal.
  • Suruhanjaya Bantuan Pilihan Raya diwajibkan melaksanakan ujian pencerobohan (penetration testing) ke atas sistem pengundian dalam tempoh 6 bulan.
  • AI dan Machine Learning dijadikan keutamaan: Setiausaha Pertahanan diminta membangunkan rangka kerja keselamatan siber dan fizikal khusus untuk teknologi AI/ML.

Secara ringkas: mereka tidak lagi memisahkan keselamatan fizikal, digital, AI dan data. Semua digabungkan di bawah satu ekosistem keselamatan negara berasaskan teknologi.

Ini sangat dekat dengan apa yang Malaysia cuba capai di bawah tema AI in Government & Public Sector – cuma perbezaannya ialah skala dan disiplin pelaksanaan.

Kenapa Pendekatan Ini Penting untuk Malaysia

Pendekatan NDAA menunjukkan tiga realiti yang Malaysia tak boleh abaikan:

  1. Ancaman siber sekarang adalah isu pertahanan, bukan sekadar IT.
  2. AI adalah komponen wajib dalam risikan moden dan keselamatan negara.
  3. Peraturan yang bertindih dan silo teknologi dalam kerajaan hanya melemahkan pertahanan.

Malaysia sudah ada asas:

  • MyDIGITAL menyasar kerajaan berpendapatan tinggi berasaskan digital menjelang 2030.
  • Pelbagai inisiatif GovTech, ID digital, bandar pintar, analitik data raya dan pusat operasi keselamatan (SOC) sedang dibangunkan.

Tetapi kebanyakan usaha ini masih terpisah mengikut agensi. NDAA memberi gambaran bagaimana sebuah kerajaan menyusun semula perbelanjaan dan peraturan untuk menjadikan siber & AI sebagai teras tunggal pertahanan nasional.

5 Pelajaran Utama NDAA untuk Malaysia

1. Letak Keselamatan Siber Setaraf Pertahanan Negara

Amerika memperuntukkan jumlah besar terus kepada Cyber Command dan operasi siber kerana mereka menganggap:

Serangan siber ke atas grid tenaga atau sistem pertahanan adalah sama serius dengan serangan fizikal.

Bagi Malaysia, ini bermaksud:

  • Menaik taraf peranan Agensi Keselamatan Siber Negara & CSM setaraf entiti pertahanan dalam perancangan strategik.
  • Mengiktiraf SOC kerajaan, pusat data nasional dan rangkaian 5G sebagai infrastruktur kritikal, bukan sekadar aset IT.
  • Menyepadukan latihan siber, simulasi insiden dan latihan perang maya dalam doktrin keselamatan negara.

Daripada sudut praktikal, setiap kementerian yang mempunyai fungsi kritikal – seperti KDN, MINDEF, MOF, MOSTI, KKM – patut mempunyai dashboard ancaman siber masa nyata yang digerakkan oleh AI untuk pengesanan awal.

2. Harmonikan Standard & Peraturan Keselamatan Siber

Salah satu langkah paling menarik dalam NDAA ialah arahan untuk “harmonize” semua peraturan keselamatan siber DOD menjelang tarikh tertentu.

Mereka secara spesifik mahu:

  • menghapuskan syarat yang bertindih
  • membuang keperluan unik yang hanya wujud untuk satu kontrak

Kesannya kepada ekosistem:

  • Vendor faham dengan jelas standard apa yang perlu dipatuhi.
  • Masa kelulusan kontrak dan projek teknologi dipendekkan.
  • Risiko “jurang” keselamatan kerana peraturan bercanggah dikurangkan.

Untuk Malaysia, ini sangat relevan kerana:

  • Banyak agensi mempunyai dokumen dasar keselamatan IT sendiri, kadang‑kadang bercanggah dengan garis panduan pusat.
  • Pembekal sistem kepada kerajaan perlu ikut pelbagai standard berbeza, yang akhirnya melambatkan inovasi.

Apa yang patut dibuat:

  • Wujudkan Rangka Kerja Keselamatan Siber Kerajaan Persekutuan yang tunggal tetapi fleksibel.
  • Selaraskan dengan standard antarabangsa seperti ISO 27001/27701 dan prinsip Zero Trust.
  • Jadikan rangka kerja ini sebagai syarat asas dalam semua tender digital kerajaan, termasuk projek AI, data raya dan cloud.

3. Ambil Serius Keselamatan Peranti Individu – Bukan Hanya Sistem

NDAA mengarahkan dalam tempoh 90 hari selepas diluluskan, telefon pegawai kanan pertahanan mesti memenuhi piawaian keselamatan siber yang dipertingkat.

Ini datang selepas insiden di mana:

  • Maklumat operasi ketenteraan dikongsikan melalui aplikasi mesej yang disulitkan.
  • Jika mesej itu dipintas, nyawa anggota tentera boleh terancam.

Realitinya, dalam konteks Malaysia:

  • Pegawai tinggi kerajaan, termasuk di peringkat negeri dan PBT, kerap menggunakan WhatsApp peribadi, peranti tidak diurus (unmanaged devices) dan rangkaian awam untuk urusan rasmi.

Langkah praktikal yang Malaysia boleh ambil:

  • Memperkenalkan standard minimum keselamatan peranti mudah alih untuk semua pegawai kanan kerajaan dan penjawat awam yang urus data sensitif.
  • Menggunakan Mobile Device Management (MDM) di seluruh perkhidmatan awam.
  • Menetapkan garis panduan jelas:
    • aplikasi apa yang dibenarkan
    • bagaimana data dikongsi
    • bila komunikasi mesti melalui saluran rasmi yang disulitkan dan dipantau.

Di sinilah AI untuk analitik tingkah laku (behavioral analytics) boleh membantu mengesan akses luar biasa, log masuk luar negara atau salinan data yang mencurigakan daripada peranti pegawai.

4. AI untuk Risikan, Pilihan Raya & Perlindungan Infrastruktur

NDAA menyentuh beberapa aspek yang biasanya sensitif:

  • Kajian operasi pengaruh jahat oleh Rusia & China di rantau tertentu.
  • Ujian pencerobohan ke atas sistem pilihan raya dalam masa 6 bulan.
  • Pangkalan data vendor komersial yang terlibat dalam operasi sulit.

Ini semua berkait rapat dengan AI dalam risikan dan analitik keselamatan negara.

Bagaimana ini terpakai di Malaysia?

a) AI untuk risikan dan pemantauan pengaruh asing

Malaysia sebagai negara perdagangan terbuka tidak kebal daripada:

  • kempen pengaruh di media sosial
  • serangan maklumat (disinformation)
  • manipulasi sentimen menjelang pilihan raya

AI boleh digunakan untuk:

  • menganalisis berjuta‑juta pos media sosial untuk pola naratif yang diselaraskan dari luar negara
  • mengesan akaun bot dan koordinasi kempen
  • memetakan ekosistem maklumat yang cuba mengganggu kestabilan politik atau menjejaskan keyakinan terhadap institusi awam.

b) Keselamatan pilihan raya & sistem e-kerajaan

Bila NDAA mewajibkan penetration testing ke atas sistem pilihan raya, mesejnya jelas: sistem demokrasi digital mesti diuji seperti sistem kritikal lain.

Malaysia semakin bergerak ke arah:

  • pengundian elektronik (pada masa depan)
  • sistem daftar pemilih digital
  • portal e-kerajaan untuk subsidi, bantuan dan pengundian dalaman parti atau organisasi.

AI boleh menyokong dengan:

  • memantau trafik rangkaian untuk pola serangan DDoS menjelang hari penting
  • mengenal pasti percubaan login yang luar biasa ke sistem kritikal
  • mengesan manipulasi data secara halus dalam pangkalan data.

c) Pangkalan data vendor & pengurusan rantaian bekalan

NDAA mengarahkan penciptaan pangkalan data vendor yang terlibat dalam operasi sulit. Dalam dunia siber, rantaian bekalan perisian & perkakasan adalah lubang keselamatan terbesar.

Untuk projek kerajaan Malaysia, terutama dalam:

  • cloud kerajaan
  • identiti digital
  • CCTV bandar pintar dan Sistem Pengesanan Nombor Plat (ANPR)

AI boleh digunakan untuk:

  • menilai risiko vendor berdasarkan asal usul komponen, sejarah insiden keselamatan, dan hubungan pemilikan
  • memantau kemas kini perisian dan firmware untuk tanda kompromi
  • menyokong audit rantaian bekalan secara berterusan, bukan sekadar sekali semasa tender.

5. Bangunkan Rangka Kerja Keselamatan Khusus untuk AI

Salah satu klausa paling relevan untuk Malaysia ialah arahan supaya Setiausaha Pertahanan AS:

membangunkan rangka kerja pelaksanaan standard keselamatan siber dan fizikal untuk teknologi AI dan Machine Learning.

Saya rasa ini sesuatu yang Malaysia wajib tiru dan adaptasi.

Kenapa?

  • AI digunakan dalam kamera pengawasan, sistem pengesanan muka, pengesanan anomali kewangan, sistem kredit mikro, pengurusan trafik dan kesihatan awam.
  • Setiap model AI membawa risiko:
    • bias algoritma
    • manipulasi data latihan
    • serangan adversarial (input yang sengaja dicipta untuk mengelirukan model)
    • kebocoran data sensitif.

Apa yang kerajaan Malaysia boleh rangka:

  • Standard keselamatan untuk model AI sektor awam, merangkumi:
    • pemilihan data latihan (privasi & representasi)
    • mekanisme audit keputusan model
    • kawalan akses kepada model & data
    • pemantauan output untuk mengesan kelakuan luar biasa.
  • Menetapkan bahawa projek AI dalam keselamatan negara dan risikan mesti:
    • diuji terhadap serangan adversarial
    • mempunyai pelan sandaran manual jika model gagal
    • direka dengan prinsip “human-in-the-loop” – manusia tetap bertanggungjawab.

Ini sejalan dengan naratif siri AI in Government & Public Sector: AI bukan sahaja tentang automasi kerja pejabat, tetapi juga teras kepada pertahanan digital negara.

Apa Langkah Seterusnya untuk Agensi di Malaysia

Kalau anda berada dalam kerajaan, GLC atau vendor yang membekalkan solusi kepada sektor awam, NDAA memberikan gambaran hala tuju global. Untuk konteks Malaysia, beberapa langkah praktikal yang boleh diambil sekarang:

  1. Audit semula landskap peraturan dalaman keselamatan siber

    • Kenal pasti polisi yang bertindih antara kementerian/agensi.
    • Susun semula ke arah satu rangka kerja nasional yang lebih konsisten.

  2. Nilai semula projek AI dan data raya sedia ada

    • Adakah projek tersebut mempunyai kawalan keselamatan mencukupi pada model, data dan rantaian bekalan?
    • Adakah AI digunakan untuk mengukuhkan keselamatan, bukan sekadar tambah fungsi analitik cantik di dashboard?

  3. Bangunkan pusat kecerdasan keselamatan (security intelligence) berasaskan AI

    • Gabungkan log rangkaian, sistem pilihan raya, e-kerajaan, perbankan kerajaan dan infrastruktur kritikal.
    • Gunakan AI untuk pengesanan anomali, peringatan awal dan sokongan siasatan digital.

  4. Latih pegawai kanan tentang risiko digital peribadi

    • Bukan sahaja “jangan klik pautan meragukan”, tetapi juga:
      • jangan guna akaun peribadi untuk urusan rasmi sensitif
      • faham bagaimana metadata mesej atau lokasi boleh mendedahkan operasi.

  5. Libatkan industri dan akademia secara serius

    • Bentuk kerjasama tiga hala: kerajaan – universiti – industri untuk:
      • membangunkan rangka kerja AI selamat
      • melatih pakar keselamatan siber sektor awam
      • menguji teknologi baru dalam persekitaran terkawal.

Menjadikan AI & Siber Teras Keselamatan Negara Malaysia

NDAA bukan manual yang wajib disalin, tetapi ia jelas menunjukkan arah dunia bergerak: dari senjata fizikal kepada senjata algoritma, data dan akses jauh.

Bagi Malaysia, peluangnya besar:

  • MyDIGITAL sudah pun meletakkan asas ekonomi digital dan kerajaan berteraskan data.
  • Pelaburan dalam AI, cloud, identiti digital dan bandar pintar boleh digabungkan dengan rangka kerja keselamatan negara yang lebih moden.

Kesimpulannya, kalau kita anggap keselamatan siber dan AI hanya isu “teknologi”, kita akan sentiasa mengejar dari belakang. Tetapi jika ia dilihat sebagai teras strategi pertahanan dan tadbir urus negara, Malaysia boleh muncul sebagai salah satu contoh terbaik rantau ini dalam penggunaan AI untuk sektor awam.

Persoalan untuk kita sekarang: adakah bajet, dasar dan struktur institusi kita sudah menyokong realiti itu – atau kita masih mengurus ancaman digital dengan mentaliti analog?

🇲🇾 Bagaimana AI & Siber Bentuk Semula Keselamatan Negara - Malaysia | 3L3C