Rethink Cybersecurity Kerajaan di Era AI Pintar

AI dalam Kerajaan & Sektor AwamBy 3L3C

Model cybersecurity kerajaan lama tak cukup untuk AI, bandar pintar dan MyDIGITAL. Ini cara sektor awam Malaysia perlu fikir semula Zero Trust dan risiko siber.

cybersecurity kerajaanAI sektor awamZero TrustMalaysia Digital Economy Blueprintbandar pintarkeselamatan data rakyat
Share:

Cybersecurity kerajaan kita masih cara lama?

Pada suku pertama 2025, organisasi kerajaan di seluruh dunia diserang purata 2,678 kali seminggu. Bukan angka global korporat – ini khusus sektor awam. Dalam masa yang sama, kerajaan-kerajaan sedang berbelanja berbilion ringgit untuk inisiatif AI, bandar pintar, identiti digital dan keselamatan negara.

Ini maksudnya satu perkara: kalau model keselamatan kita masih mentaliti ‘pagar dan pintu pagar’ (perimeter), kita sebenarnya bina lebuh raya digital di bawah kerangka keselamatan abad ke-20.

Rencana asal Lou Eichenbaum untuk agensi persekutuan di AS membawa satu mesej yang sangat relevan untuk Malaysia: cybersecurity bukan tentang menghapuskan risiko, tapi mengurus risiko dengan bijak. Dalam konteks Malaysia Digital Economy Blueprint (MyDIGITAL) dan projek bandar pintar seperti Kuala Lumpur, Johor Bahru atau Kuching, mesej ini patut jadi wake-up call untuk seluruh sektor awam.

Dalam artikel ini, kita akan lihat:

  • Kenapa model cybersecurity lama tak lagi cukup untuk kerajaan dan bandar pintar
  • Peranan sebenar Zero Trust dan microsegmentation untuk sektor awam
  • Di mana AI patut duduk dalam strategi keselamatan kerajaan
  • Langkah praktikal yang agensi di Malaysia boleh ambil dalam 12–24 bulan akan datang

Dari ‘kubu’ ke ‘bandar’: kenapa model lama gagal

Cybersecurity kerajaan dulu fokus pada pagar luar: firewall, VPN, antivirus, gateway internet. Analogi Lou tentang kubu (castle) sangat tepat – dan kita boleh adaptasi pada konteks Malaysia.

  • Parit keliling: firewall dan gateway internet
  • Jambatan: kawalan akses asas, login kata laluan
  • Naga: sistem pengesanan ancaman, SIEM, IDS/IPS

Masalahnya, data bernilai tak berada di parit atau jambatan. Ia berada di:

  • Pangkalan data identiti rakyat (MyKad, eKYC, digital ID)
  • Sistem kutipan hasil, pembayaran bantuan, subsidi
  • Pusat data bandar pintar – CCTV, IoT, sensor trafik, utiliti
  • Sistem AI analitik trafik, kesihatan awam, ramalan jenayah

Apabila penyerang berjaya tembus perimeter – kadang-kadang hanya melalui satu e-mel phishing di satu laptop pegawai – tanpa kawalan dalaman yang kukuh, mereka boleh bergerak lateral ke sistem lain. Inilah yang berlaku dalam kes kebocoran data yang besar di banyak negara: satu titik lemah, kesan berantai.

Realitinya untuk sektor awam Malaysia:

  • Rangkaian agensi saling terhubung – kementerian, kerajaan negeri, PBT, GLC
  • Banyak integrasi sistem lama (legacy) dengan aplikasi awan baharu
  • Projek bandar pintar menghubungkan ribuan peranti IoT yang sukar dipantau

Kalau strategi anda hanya fokus tambah firewall lebih besar, anda sebenarnya menguatkan pagar tapi membiarkan dalaman rumah terbuka.

Zero Trust bukan produk, ia falsafah untuk kerajaan digital

Ramai pembuat keputusan nampak Zero Trust sebagai satu produk atau tender besar. Itu silap besar.

Zero Trust ialah cara fikir:

“Jangan automatik percaya apa-apa – pengguna, peranti, aplikasi atau rangkaian – walaupun datang dari dalam kerajaan.”

Untuk sektor awam dan projek AI kerajaan, Zero Trust patut diterjemah kepada tiga prinsip praktikal:

1. Fokus pada perlindungan data dan misi, bukan hanya rangkaian

Daripada tanya “berapa banyak firewall kita ada?”, lebih baik tanya:

  • Di mana data paling sensitif? (data rakyat, data kesihatan, data kewangan)
  • Siapa patut boleh akses, dari mana, pada waktu apa?
  • Apa yang berlaku kalau seorang pegawai biasa tiba-tiba muat turun 10GB data tengah malam?

2. Microsegmentation: asingkan ‘bilik’ dalam bangunan kerajaan digital

Bayangkan anda pecahkan rangkaian kerajaan kepada zon kecil:

  • Sistem HR tak duduk sebakul dengan sistem kewangan
  • CCTV bandar pintar diasingkan daripada sistem identiti digital
  • Persekitaran pembangunan AI dan data latihan diasingkan daripada sistem produksi

Dengan microsegmentation:

  • Serangan dari satu pelayan tak automatik merebak ke pusat data lain
  • Akses antara sistem dikawal secara eksplisit, bukan ikut ‘default allow’
  • Forensik dan respon insiden jadi jauh lebih mudah dan cepat

3. Identiti sebagai perimeter baharu

Dalam ekosistem kerajaan digital & AI, identiti ialah benteng utama:

  • Single Sign-On dan Multi-Factor Authentication (MFA) wajib, bukan pilihan
  • Pengurusan identiti berasaskan peranan (RBAC) dan konteks (risk-based access)
  • Akaun perkhidmatan AI, API dan bot dilayan seketat identiti manusia

Kalau Zero Trust hanya wujud di slide deck tapi tidak diterjemah kepada polisi akses harian, ia sekadar jargon.

AI dua mata pisau: pemangkin & sasaran dalam cybersecurity kerajaan

Dalam laporan Government Executive yang dirujuk Lou, satu jabatan di AS memberi lebih USD5 bilion kontrak AI sejak Januari 2025, dengan kitaran perolehan purata 47 hari – sangat pantas untuk kerajaan.

Malaysia juga bergerak laju:

  • MyDIGITAL mensasarkan 75% perkhidmatan kerajaan atas talian sepenuhnya menjelang 2025
  • Bandar pintar memperkenalkan analitik video berasaskan AI, prediksi trafik, pengurusan sisa pintar
  • Agensi keselamatan menggunakan AI untuk pengesanan ancaman, analitik media sosial, ramalan jenayah

Ini semua bagus, tapi ada tiga realiti yang sering terlepas pandang:

AI bergantung kepada data yang mungkin tidak selamat

AI hanya sehebat data dan infrastruktur yang menyokongnya. Kalau:

  • Data latihan datang dari sistem yang tak dipantau
  • Akses ke model AI tak dikawal secara ketat
  • Log aktiviti AI tidak diaudit

…maka anda sedang membina ‘otak’ strategik kerajaan di atas lantai yang reput.

AI sendiri boleh diserang

Serangan ke atas AI bukan lagi teori:

  • Data poisoning – data latihan dimanipulasi supaya model membuat keputusan salah
  • Prompt injection / model manipulation – arahan khusus dimasukkan melalui input pengguna atau sistem lain
  • Model theft – pencuri meniru model yang dilatih dengan kos tinggi

Bagi kerajaan, ini boleh bermakna:

  • Sistem AI trafik memberi keutamaan laluan yang salah
  • Model pengesanan penipuan kewangan gagal mengesan transaksi mencurigakan
  • Analitik keselamatan negara diputarbelitkan

AI sebagai alat pertahanan, bukan sekadar risiko

Bahagian positifnya, AI ialah aset besar untuk cybersecurity sektor awam jika diurus betul:

  • Pengesanan anomali dalam trafik rangkaian kerajaan 24/7
  • Analitik tingkah laku pengguna (UEBA) untuk kesan akaun dikompromi
  • Automasi respon insiden untuk hentikan serangan lebih cepat daripada pasukan manusia

Kuncinya: gabungkan AI dengan rangka kerja Zero Trust, bukan jalankan AI di tepi tanpa kawalan keselamatan yang sama ketat seperti sistem lain.

Dari ‘pencegahan’ ke ‘kesiapsiagaan kebocoran’ (breach readiness)

Lou menekankan satu perkara yang ramai CISO kerajaan susah nak terima: anggap sistem anda akan dibocori, dan bina strategi sekeliling andaian itu.

Saya cenderung setuju. Untuk sektor awam Malaysia, pendekatan breach readiness patut mengandungi empat komponen praktikal:

1. Reka bentuk “bent, not break”

Sistem kritikal kerajaan – cukai, bantuan tunai, penguatkuasaan, kesihatan – perlu direka supaya:

  • Kalau satu modul jatuh, keseluruhan perkhidmatan tak lumpuh
  • Fungsi asas kepada rakyat (bayaran, laporan, semakan) masih boleh berjalan dalam mod terhad
  • Ada playbook operasi manual minimum semasa krisis siber berskala besar

2. Latih senario insiden merentas agensi

Bukan sekadar latihan meja di satu jabatan. Sekurang-kurangnya setahun sekali:

  • Simulasikan insiden yang melibatkan data rentas kementerian/kerajaan negeri
  • Uji komunikasi antara MAMPU, agensi keselamatan, kementerian sektor dan kerajaan negeri
  • Termasuk komponen komunikasi awam, bukan hanya teknikal

3. Microsegmentation & penguatkuasaan progresif

Gunakan teknologi untuk memastikan:

  • Pergerakan lateral dalam rangkaian kerajaan dipantau dan dihadkan
  • Polisi akses boleh diperketat secara automatik bila risiko meningkat (contoh: log masuk luar biasa, lokasi aneh)
  • Akses sistem AI kritikal hanya dibenarkan melalui gateway yang dipantau

4. Perspektif manusia: rakyat sebagai pihak berkepentingan utama

Apabila data jutaaan rakyat bocor, kesannya bukan hanya malu:

  • Penipuan kewangan, pinjaman palsu
  • Penyalahgunaan identiti untuk jenayah merentas sempadan
  • Erosion kepercayaan terhadap sistem digital kerajaan dan MyDIGITAL

Cybersecurity kerajaan ialah isu kepercayaan awam, bukan sekadar isu IT.

12–24 bulan akan datang: apa yang agensi Malaysia patut buat

Berikut langkah praktikal yang realistik untuk agensi kerajaan, PBT dan GLC yang menyokong agenda MyDIGITAL dan bandar pintar:

1. Audit semula risiko dengan lensa AI & integrasi

Dalam tempoh 3–6 bulan:

  • Peta semua sistem yang menggunakan AI atau berkongsi data dengan sistem AI
  • Kenal pasti di mana data sensitif rakyat mengalir antara agensi dan vendor
  • Semak semula risk register anda – adakah risiko berkaitan AI dan integrasi sudah dinilai?

2. Pilih satu atau dua domain sebagai ‘projek perintis Zero Trust’

Contoh kawasan sesuai:

  • Sistem identiti digital / Single Sign-On kerajaan
  • Pusat data bandar pintar / pusat operasi pintar (command center)
  • Sistem perkongsian data antara kerajaan persekutuan-negeri

Objektifnya bukan sempurna, tapi untuk bina kemahiran, proses dan rujukan yang boleh dikembangkan.

3. Naik taraf pengurusan identiti & akses

Dalam 6–12 bulan:

  • Wajibkan MFA untuk semua pegawai yang akses sistem kritikal dan data rakyat
  • Laksana role-based access yang jelas; hapuskan akaun generik dan kongsi kata laluan
  • Pantau dan audit akaun istimewa (privileged accounts) secara lebih ketat

4. Integrasi AI ke dalam operasi keselamatan, bukan projek berasingan

Untuk SOC kerajaan, pusat data, atau pasukan keselamatan ICT:

  • Guna AI/ML untuk pengesanan anomali dan threat hunting
  • Automasi tugasan berulang (correlation log, pengkategorian insiden)
  • Pastikan model AI keselamatan anda juga diaudit, dikemas kini dan diawasi

5. Perkukuh tadbir urus dan kompetensi dalaman

Ini bahagian yang jarang glamour, tapi kritikal:

  • Bentuk atau perkasakan Jawatankuasa Tadbir Urus AI & Keselamatan di peringkat kementerian/agensi
  • Bina laluan kerjaya untuk pegawai cybersecurity, data & AI – kalau tidak, bakat akan lari ke sektor swasta
  • Wujudkan garis panduan jelas untuk perolehan teknologi: “tiada projek digital atau AI tanpa pelan keselamatan yang jelas”

Menyelaraskan AI, bandar pintar dan keselamatan negara

AI dalam kerajaan dan sektor awam bukan lagi ‘pilot project’. Ia sudah menyentuh pengangkutan, kesihatan, kesejahteraan sosial, keselamatan bandar dan sempadan. Semua ini duduk di bawah payung besar Malaysia Digital Economy Blueprint.

Kalau kita jujur, banyak organisasi masih lihat cybersecurity sebagai sesuatu yang perlu “ditanda kotak pematuhan”, bukan sebagai komponen strategik kepada keselamatan negara dan keyakinan pelabur.

Saya berpendapat kita perlu beralih kepada cara fikir baharu:

  • Cybersecurity = kepercayaan rakyat + kesinambungan misi kerajaan
  • Zero Trust = cara kerja harian, bukan projek sekali lalu
  • AI + keselamatan = pasangan yang mesti dirancang bersama, bukan berasingan

Akhirnya, soalan paling penting untuk setiap pemimpin sektor awam di Malaysia bukan “berapa banyak alat keselamatan yang kita beli?”, tetapi:

“Jika satu laptop pegawai kita dikompromi hari ini, berapa jauh penyerang boleh pergi, dan berapa pantas kita boleh hentikan mereka tanpa lumpuhkan perkhidmatan kepada rakyat?”

Kalau jawapannya belum meyakinkan, mungkin sudah masanya rancang sesi strategi serius tentang AI, Zero Trust dan cybersecurity – sebelum serangan seterusnya memaksa anda melakukannya dalam panik.