Bagaimana Bil Pertahanan AS Memacu AI & Siber

AI dalam Kerajaan & Sektor Awam••By 3L3C

AS meluluskan bil pertahanan bernilai berbilion dolar untuk siber & AI. Apa pengajarannya untuk Malaysia dalam membina AI kerajaan yang selamat dan berkesan?

AI kerajaankeselamatan siberMalaysia Digital Economy Blueprintsektor awampertahanan digitalgovernans AI
Share:

AI, siber dan berbilion dolar: isyarat jelas dari Washington

AS baru sahaja memuktamadkan rang undang-undang pertahanan tahunan (NDAA FY26) yang menyalurkan berbilion dolar kepada keselamatan siber, risikan dan AI. Salah satu angka yang menarik perhatian: hanya untuk U.S. Cyber Command, diperuntukkan lebih USD73 juta untuk operasi siber dan USD314 juta untuk operasi dan penyelenggaraan ibu pejabat.

Ini bukan sekadar cerita politik Washington. Bagi Malaysia – khususnya penjawat awam, pembuat dasar dan penyedia teknologi kepada kerajaan – perkembangan ini menunjukkan satu perkara penting: negara yang serius tentang keselamatan dan kedaulatan digital sedang meletakkan AI dan siber di tengah perbelanjaan pertahanan dan sektor awam.

Malaysia melalui Malaysia Digital Economy Blueprint (MyDIGITAL) dan Pelan Induk Industri 4.0 juga sedang bercakap tentang perkara sama: data, AI, awan dan keselamatan siber sebagai asas ekonomi dan keselamatan negara. Jadi soalan praktikalnya ialah: apa yang boleh kita belajar daripada strategi dan peruntukan besar AS ini, dan bagaimana ia patut mempengaruhi cara kerajaan Malaysia melabur dalam AI dan siber?

Artikel ini menghimpunkan poin utama daripada NDAA AS dan menterjemahkannya ke dalam konteks AI dalam kerajaan & sektor awam Malaysia – daripada dasar, kepada reka bentuk sistem, hinggalah model tadbir urus.

1. Peruntukan besar siber: AI bukan lagi projek sampingan

NDAA FY26 menunjukkan dengan jelas: ancaman siber kini dianggap elemen tetap dalam bajet pertahanan, bukan isu ad-hoc.

Antara intipati penting:

  • U.S. Cyber Command menerima:
    • ~USD73 juta untuk operasi ruang siber
    • ~USD30 juta untuk aktiviti tertentu yang tidak dinamakan
    • ~USD314 juta untuk operasi & penyelenggaraan HQ
  • Berbilion dolar lagi disalurkan untuk latihan siber, operasi dan penyelenggaraan di seluruh cabang tentera (Army, Air Force, Marines dan lain-lain)

Apa kaitan terus dengan AI?

Setiap ringgit (atau dolar) yang dinaikkan untuk siber hari ini, sebahagiannya akan pergi kepada AI:

  • Sistem pengesanan ancaman berasaskan machine learning
  • Analitik log dan telemetri rangkaian secara masa nyata
  • Pengesanan anomaly pada trafik, identiti dan peranti
  • Penggunaan model AI untuk menyaring, mengutamakan dan mengautomasikan respons insiden

Di Malaysia, bila kita bercakap tentang AI untuk keselamatan negara dan sektor awam, ia bukan bermaksud membeli satu “sistem AI” yang ajaib. Ia bermaksud:

  1. Bajet keselamatan siber mesti naik seiring bajet AI. AI tanpa kawalan siber hanya mempercepatkan risiko.
  2. Setiap projek AI kritikal kerajaan (misalnya analitik data cukai, pemantauan sempadan, pengurusan trafik bandar pintar) perlu datang bersama pelan keselamatan siber dan peruntukan yang jelas.

Saya sering nampak organisasi yang ghairah melancar projek AI, tetapi bajet keselamatan masih pada tahap “cukup makan”. Model AS menunjukkan pendekatan sebaliknya: tingkatkan dahulu keupayaan siber, kemudian pacu AI di atas asas yang kukuh.

2. Harmonisasi regulasi siber: pelajaran terus untuk MyDIGITAL

Satu klausa menarik dalam NDAA ialah arahan kepada Jabatan Pertahanan AS untuk “mengharmonikan” semua regulasi keselamatan siber mereka menjelang Jun tahun depan. Matlamatnya jelas:

Menghapuskan keperluan keselamatan siber yang bertindih, bercanggah atau terlalu khusus kepada kontrak individu.

Kenapa ini kritikal untuk AI dalam kerajaan?

  1. Vendor & rantaian bekalan

    • Banyak inovasi AI datang daripada syarikat teknologi dan start-up.
    • Jika regulasi terlalu berpecah-pecah, kos pematuhan naik, dan ramai pemain inovatif akan menjauh daripada projek kerajaan.

  2. Kelajuan pelaksanaan

    • Sistem AI untuk keselamatan sempadan, pemantauan infrastruktur kritikal atau threat intelligence tak boleh menunggu proses perolehan yang kabur.
    • Regulasi yang selaras memudahkan scaling daripada pilot kepada operasi penuh.

Dalam konteks Malaysia:

  • Kita ada pelbagai rangka kerja dan garis panduan: keselamatan siber nasional, dasar awan sektor awam, peraturan data peribadi, garis panduan AI di beberapa agensi.
  • Cabarannya: banyak organisasi kerajaan dan GLC masih keliru siapa berkuasa apa, dan standard mana yang perlu diikuti untuk projek AI yang merentas agensi.

Pendekatan yang wajar diambil selari dengan semangat MyDIGITAL:

  • Bentuk kerangka tunggal keselamatan siber & AI kerajaan yang:
    • Selaras antara sektor awam persekutuan, negeri dan GLC
    • Ada tahap keperluan berbeza (asas, tinggi, kritikal) tetapi menggunakan bahasa dan piawai yang sama
    • Boleh terus dipetakan kepada standard antarabangsa (cth. NIST, ISO) tanpa menyulitkan vendor tempatan

Harmonisasi ini nampak teknikal, tetapi kesannya besar: ia turunkan geseran dan membuka jalan untuk lebih banyak projek AI kerajaan yang selamat dan cepat diimplementasi.

3. Fokus geopolitik & risikan: AI sebagai enjin keputusan strategik

NDAA juga menyentuh beberapa dimensi risikan yang sangat relevan untuk penggunaan AI dalam kerajaan:

  • Kajian operasi pengaruh jahat oleh Rusia dan China di Balkan Barat
  • Penilaian peperangan siber Rusia, termasuk operasi pengaruh terhadap AS dan rakan sekutu NATO
  • Arahan untuk memperkukuh infrastruktur keselamatan siber di Balkan Barat

Apa kaitannya dengan Malaysia dan ASEAN?

  1. Operasi pengaruh & disinformasi

    • Kawasan Balkan Barat untuk Eropah, seumpama Asia Tenggara bagi Indo-Pasifik.
    • Malaysia juga tak terkecuali daripada operasi pengaruh, sama ada melalui media sosial, kempen maklumat, atau eksploitasi isu sensitif.

  2. AI untuk analitik risikan

    • Data daripada media sosial, platform pesanan, portal berita dan laporan risikan bertambah ribuan kali ganda.
    • Tanpa AI, sukar untuk membezakan:
      • Organik vs bot / akaun palsu
      • Kritikan tulen vs operasi terancang pihak asing
    • Model pemprosesan bahasa (NLP) dan analitik graf sosial menjadi tulang belakang pemantauan ini.

  3. Sokongan kepada dasar luar & keselamatan nasional

    • AI boleh membantu memetakan pola:
      • Aliran naratif yang cuba mengapi-apikan isu perkauman atau agama
      • Aktiviti koordinasi di pelbagai platform oleh aktor yang sama
    • Hasil analisis ini menyokong keputusan dasar yang lebih pantas dan berasaskan bukti.

Malaysia memerlukan infrastruktur data risikan dan pasukan analitik AI rentas agensi (contohnya melibatkan MCMC, PDRM, ANGKATAN TENTERA, KDN, Wisma Putra) jika mahu menangani ancaman maklumat dan siber moden dengan efektif.

4. Keselamatan peranti mudah alih & awan: realiti kerja kerajaan hari ini

Satu lagi aspek yang cukup praktikal dalam NDAA ialah arahan mengenai:

  • Telefon bimbit pegawai kanan pertahanan – perlu memenuhi perlindungan keselamatan siber “dipertingkatkan” dalam masa 90 hari selepas rang undang-undang berkuat kuasa.
  • Larangan akses kepada sumber awan DOD daripada individu yang berada secara fizikal di negara tertentu.

Ini datang selepas insiden di mana Setiausaha Pertahanan AS ketika itu menggunakan aplikasi pesanan Signal untuk berkongsi maklumat serangan di Yaman, yang berpotensi mendedahkan anggota tentera jika dipintas.

Apa pengajarannya untuk sektor awam Malaysia?

  1. Kerja rasmi di telefon peribadi bukan lagi isu kecil

    • Ramai pegawai guna WhatsApp, Telegram atau e-mel peribadi untuk urusan kerja – daripada fail mesyuarat hingga imej dokumen rasmi.
    • Dengan AI dan cloud, kebocoran satu akaun sahaja boleh membuka rantaian akses data yang jauh lebih luas.

  2. Dasar peranti & identiti yang jelas

    • Wujudkan polisi “peranti kerajaan” atau profil kerja khusus yang:
      • Diurus secara pusat (MDM/EMM)
      • Dipantau dan dilindungi dengan kawalan keselamatan tambahan
      • Menggunakan identiti digital tunggal yang boleh diuruskan sepanjang kitaran perkhidmatan pegawai

  3. Awan kerajaan & lokasi akses

    • Bila aplikasi kerajaan berpindah ke awan, perlu ada kawalan tentang:
      • Dari negara mana akses dibenarkan
      • Tahap akses berbeza bergantung lokasi, peranti dan risiko sesi
    • Pendekatan Zero Trust yang disokong AI (misalnya skor risiko dinamik) amat relevan di sini.

Realitinya, AI hanya sekuat persekitaran peranti dan awan yang melindungi data yang dilatih dan dioperasikannya. Tanpa dasar peranti dan awan yang serius, pelaburan AI kerajaan akan sentiasa terdedah.

5. Pilihan raya, vendor sulit dan AI: tadbir urus yang kita tak boleh tangguh

NDAA turut memuatkan beberapa peruntukan yang menyentuh secara langsung isu tadbir urus AI dan teknologi:

  1. Pengujian pencerobohan (penetration testing) sistem pilihan raya

    • Suruhanjaya Bantuan Pilihan Raya AS dikehendaki menjalankan ujian terhadap perisian & perkakasan undi dalam tempoh enam bulan.
    • AI digunakan untuk menganalisis kelemahan, mensimulasikan serangan, dan menilai ketahanan sistem pengiraan.

  2. Pangkalan data vendor operasi sulit

    • Pentagon diwajibkan membina pangkalan data komersial bagi semua vendor yang terlibat dalam operasi ketenteraan sulit.
    • Tujuannya: mengurangkan risiko risikan balas dan memperketat pengawasan.

Bagi Malaysia, ada beberapa implikasi terus:

a) Sistem pilihan raya dan kepercayaan awam

  • Jika Malaysia mahu menggunakan lebih banyak automasi, AI atau analitik data untuk proses pilihan raya (cth. semakan daftar pemilih, pemetaan semula kawasan, pemantauan maklumat palsu), ujian keselamatan berkala perlu menjadi standard, bukan reaksi selepas insiden.
  • Penggunaan AI untuk mengesan corak undi tidak normal atau cubaan penggodaman perlu diikat dengan:
    • Audit bebas
    • Proses semak dan imbang yang telus
    • Komunikasi yang jelas kepada orang ramai mengenai had dan tujuan penggunaan AI

b) Pangkalan data vendor AI kerajaan

  • Hari ini, pelbagai agensi kerajaan mungkin bekerjasama dengan vendor AI / data berbeza, tanpa gambaran menyeluruh siapa memegang apa.
  • Pendekatan seperti Pentagon – mempunyai pangkalan data vendor dan peranan mereka dalam operasi sensitif – wajar dipertimbangkan di Malaysia, khususnya untuk:
    • Sistem AI keselamatan dan pertahanan
    • Platform identiti digital dan data rakyat
    • Infrastruktur kritikal (tenaga, air, pengangkutan, kesihatan)

Ini mengurangkan risiko vendor yang sama terlibat dalam kontrak yang bercanggah kepentingan, dan memudahkan penilaian risiko rantaian bekalan teknologi.

6. Rangka kerja keselamatan untuk AI: dari MyDIGITAL ke operasi sebenar

Akhir sekali, NDAA meletakkan keperluan khusus kepada Setiausaha Pertahanan AS untuk:

Membangunkan rangka kerja pelaksanaan standard dan amalan terbaik keselamatan siber dan keselamatan fizikal berkaitan teknologi AI dan pembelajaran mesin, bagi mengurangkan risiko kepada Jabatan Pertahanan daripada penggunaan teknologi tersebut.

Inilah inti pati AI dalam kerajaan & sektor awam yang sering terlepas pandang:

AI bukan hanya persoalan apa yang boleh dibuat, tetapi apa yang selamat dan patut dibuat, di bawah rangka kerja yang jelas.

Untuk Malaysia, beberapa langkah praktikal yang selari dengan semangat ini:

  1. Rangka kerja nasional keselamatan AI sektor awam

    • Tak perlu bermula dari kosong; ambil elemen daripada:
      • Dasar keselamatan siber nasional
      • Prinsip MyDIGITAL tentang tadbir urus data & AI
    • Tambah komponen khusus seperti:
      • Pengurusan model (model governance)
      • Rantaian bekalan data & model
      • Keperluan log dan audit untuk keputusan AI yang berimpak tinggi

  2. Klasifikasi penggunaan AI mengikut tahap risiko

    • Risiko rendah: automasi dalaman, cadangan tidak kritikal
    • Risiko sederhana: analitik yang menyokong keputusan operasi tetapi boleh disemak manusia
    • Risiko tinggi: keselamatan negara, penguatkuasaan undang-undang, kelayakan bantuan sosial, kesihatan
    • Setiap kategori mesti ada syarat keselamatan, audit dan human-in-the-loop yang jelas.

  3. Latihan dan peranan baharu dalam kerajaan

    • Seperti trend Chief AI Officer di luar negara, agensi utama Malaysia juga perlukan:
      • Pemilik dasar AI
      • Pasukan MLOps kerajaan
      • Pegawai pematuhan data & AI yang faham teknologi dan undang-undang

Bila rangka kerja ini jelas, pelaburan AI di bawah MyDIGITAL tak akan berhenti di peringkat proof-of-concept – ia boleh berkembang kepada kapasiti operasi sebenar yang selamat dan berdaya tahan.

Penutup: Jika Washington sanggup bayar bilion, apa langkah seterusnya untuk kita?

NDAA FY26 menunjukkan arah yang sukar dipertikaikan: negara yang mahu kekal berdaulat dalam era digital mesti melabur serius dalam kombinasi AI, siber dan risikan berasaskan data. Bukan satu persatu, tetapi sebagai satu ekosistem.

Bagi Malaysia, yang sudah meletakkan MyDIGITAL sebagai kerangka besar, langkah seterusnya bukan lagi soal “perlu atau tidak”, tetapi:

  • Sejauh mana kita sanggup menyelaraskan regulasi untuk mempercepat projek AI kerajaan?
  • Seberapa serius kita melindungi peranti, awan dan data yang menjadi asas model AI sektor awam?
  • Adakah kita sanggup membina tadbir urus vendor dan rangka kerja keselamatan AI sebelum insiden besar berlaku?

Jika anda berada dalam kerajaan, GLC atau syarikat teknologi yang menyokong sektor awam, masa untuk menunggu sudah berakhir. AI dalam kerajaan & sektor awam bukan lagi topik seminar – ia sedang dibentuk melalui bajet, rang undang-undang dan keputusan perolehan.

Soalan yang patut kita tanya hari ini: apakah strategi konkrit organisasi kita untuk memastikan setiap ringgit yang dibelanjakan untuk AI datang bersama keselamatan, tadbir urus dan impak sebenar kepada keselamatan negara dan perkhidmatan awam?