65% Diskaun Keselamatan Awan & Pengajaran untuk Malaysia

AI dalam Kerajaan & Sektor Awam••By 3L3C

Perjanjian GSA–Tenable dengan diskaun 65% untuk keselamatan awan tunjuk bagaimana perolehan pintar boleh mengukuhkan AI kerajaan. Apa pengajarannya untuk Malaysia?

AI sektor awamkeselamatan awan kerajaanMalaysia Digital Economy Blueprintsmart cityperolehan kerajaanZero Trust
Share:

Mengapa Perjanjian 65% Diskaun ini Patut Buat Kerajaan Malaysia Berfikir Semula

Amerika Syarikat baru sahaja menunjukkan satu perkara mudah: keselamatan awan kerajaan boleh jadi jauh lebih murah bila dibeli secara bijak di peringkat pusat. General Services Administration (GSA) di sana menandatangani perjanjian OneGov dengan Tenable untuk potongan sehingga 65% bagi alat keselamatan awan.

Ini bukan sekadar cerita diskaun. Ini tentang bagaimana kerajaan besar mengurus risiko siber pada skala nasional, sambil menyokong agenda AI, data raya dan transformasi digital – dengan kos yang lebih terkawal.

Untuk Malaysia yang sedang melaksanakan Malaysia Digital Economy Blueprint (MyDIGITAL), konsep seperti OneGov ini terus terang selari dengan apa yang kita perlukan: model perolehan berpusat, fokus kepada keselamatan awan, dan asas yang kukuh untuk aplikasi AI kerajaan, bandar pintar dan keselamatan nasional.

Dalam artikel ini, saya akan huraikan:

  • Apa sebenarnya yang GSA lakukan dengan Tenable
  • Mengapa model sebegini kritikal untuk AI dalam sektor awam
  • Bagaimana Malaysia boleh mengambil pendekatan yang sama untuk smart city, keselamatan nasional dan perkhidmatan awam berasaskan AI
  • Langkah praktikal yang kementerian, agensi dan GLC boleh mula fikirkan sekarang

Apa yang GSA Capai melalui OneGov–Tenable

GSA menandatangani perjanjian OneGov dengan Tenable untuk menyediakan harga enterprise kepada semua agensi persekutuan di AS.

Inti perjanjian ini:

  • Produk: Tenable Cloud Security Enterprise
  • Status: Diiktiraf FedRAMP (standard keselamatan awan persekutuan AS)
  • Diskaun: 65% daripada harga senarai
  • Tempoh: Sehingga 31/03/2027, dengan pilihan sambungan dua tahun (diskaun turun sedikit kepada 62%)
  • Akses: Semua agensi boleh membeli melalui kontrak GSA yang diurus oleh perantara (reseller) Carahsoft

GSA menyatakan matlamatnya jelas: memudahkan agensi kerajaan melindungi rangkaian dan data dengan lebih mudah dan kos efektif. Tenable pula menekankan kaitan terus antara peralihan kerajaan ke awan, keselamatan siber dan ketahanan nasional.

Dalam bahasa mudah: kerajaan Amerika sedar bahawa bila semua sistem kritikal, data sensitif dan aplikasi AI berpindah ke awan, keselamatan awan bukan lagi pilihan – ia asas pertahanan negara.

Kenapa Model Sebegini Kritikal untuk AI Kerajaan

Untuk siri "AI in Government & Public Sector", ada satu realiti yang selalu saya tekankan: AI kerajaan hanya sekuat data dan infrastruktur awan yang melindunginya.

1. AI Kerajaan Bergantung Kepada Awan

Sama ada:

  • analitik CCTV bandar pintar,
  • sistem pengesanan penipuan cukai,
  • pemantauan trafik masa nyata,
  • atau sistem intelijen keselamatan sempadan,

kebanyakannya berteraskan awan dan data berterusan yang sangat sensitif.

Alat seperti Tenable Cloud Security Enterprise (atau setara) biasanya memberi keupayaan seperti:

  • pengesanan konfigurasi awan yang lemah,
  • pemetaan aset awan yang terdedah,
  • pemantauan berterusan terhadap risiko,
  • integrasi dengan alat AI/analitik keselamatan.

Tanpa lapisan ini, projek AI kerajaan ialah "enjin Ferrari yang diletakkan di tempat letak kereta terbuka tanpa kunci".

2. Kos Keselamatan Tak Boleh Menghentikan Inovasi AI

Banyak agensi, termasuk di Malaysia, menghadapi dilema klasik:

"Kami mahu bangunkan AI dan data platform, tapi bajet keselamatan awan melambung tinggi."

Model seperti OneGov menyelesaikan dua masalah sekali gus:

  • Skala harga: bila dibeli secara agregat di peringkat pusat, diskaun boleh mencecah puluhan peratus.
  • Piawaian bersama: kerajaan boleh tetapkan baseline keselamatan minimum untuk semua projek AI sektor awam.

Ini membuka ruang untuk:

  • projek AI rentas agensi (contoh: data kesihatan + data sosial untuk intervensi bantuan lebih tepat),
  • inisiatif bandar pintar yang konsisten,
  • platform data nasional yang lebih mudah diurus dari sudut keselamatan.

3. Zero Trust dan Pengurusan Pendedahan

Tenable memposisikan produknya sebagai sebahagian daripada exposure management dan pendekatan Zero Trust. Ini sejalan dengan trend global di mana:

  • TI kerajaan tidak lagi menganggap rangkaian dalaman sebagai "selamat secara automatik",
  • setiap akses data (termasuk dari aplikasi AI) dinilai berdasarkan identiti, konteks dan risiko.

Untuk Malaysia, ini relevan terus kepada:

  • pelaksanaan dasar Zero Trust dalam agensi kerajaan,
  • perlindungan data MyDigital ID,
  • perkongsian data antara kerajaan persekutuan, negeri dan PBT.

Apa Pengajarannya untuk Malaysia & MyDIGITAL

GSA–Tenable bukan sekadar cerita Amerika. Ia adalah template yang boleh disesuaikan untuk konteks Malaysia.

1. Jadikan Keselamatan Awan Sebagai Kontrak Pusat Nasional

MyDIGITAL sudah pun meletakkan sasaran migrasi awan untuk agensi kerajaan. Soalan seterusnya: siapa yang mengurus kontrak keselamatan awan ini secara pusat?

Pendekatan yang patut dipertimbangkan:

  • Satu atau beberapa kontrak rangka (framework agreement) nasional untuk alat keselamatan awan utama (CSPM, CWPP, IAM, SIEM berasaskan awan).
  • Ditadbir oleh entiti pusat (contoh: MOF + MAMPU + CyberSecurity Malaysia + MyGovCloud operator).
  • Membolehkan semua kementerian, kerajaan negeri dan PBT membeli dengan harga yang sudah dirunding pada skala nasional.

Kesan yang biasanya berlaku bila skala sebegini dicapai:

  • potensi penjimatan dua angka (%),
  • kecekapan perolehan (tak perlu ulang tender berulang kali untuk produk sama),
  • konsistensi standard keselamatan.

2. Rangka Piawaian Seakan FedRAMP untuk Persekitaran Awan Kerajaan

Tenable yang dipilih GSA sudah FedRAMP-authorized. Ini bukan detail kecil. Ia cara kerajaan Amerika memastikan vendor awan memenuhi standard minimum keselamatan.

Malaysia boleh:

  • memperkukuh atau perluaskan rangka kerja seperti ISMS MS ISO/IEC 27001, RMiT (untuk sektor kewangan), dan panduan MyDIGITAL kepada satu skema kelulusan awan kerajaan yang jelas;
  • menggariskan level kelulusan berbeza (contoh: data awam, terhad, rahsia) dan keperluan vendor mengikut tahap;
  • mengutamakan produk yang sudah lulus standard ini dalam kontrak pusat.

Bila piawaian jelas, projek AI sektor awam akan bergerak lebih laju kerana:

  • isu "boleh guna atau tidak dari sudut keselamatan" sudah jelas di awal,
  • pasukan teknikal boleh fokus kepada penggunaan AI, bukan bergaduh tentang asas keselamatan.

3. Selaraskan Pelaburan AI, Cloud dan Keselamatan

Banyak organisasi kerajaan beli:

  • platform AI berasingan,
  • perkhidmatan awan berasingan,
  • alat keselamatan berasingan.

Hasilnya:

  • kos bertindih,
  • integrasi sukar,
  • sukar nak dapat gambaran menyeluruh risiko.

Apa yang model GSA tunjukkan ialah manfaat pakej:

  • kontrak pusat untuk awan,
  • kontrak pusat untuk keselamatan awan,
  • dan pelan jalan (roadmap) AI yang memanfaatkan kedua-duanya.

Malaysia boleh minta setiap projek utama AI sektor awam menunjukkan tiga perkara secara serentak:

  1. Di mana data tinggal (awan mana, rantau mana);
  2. Kawalan keselamatan yang digunakan (produk, piawaian, audit);
  3. Bagaimana ia menyokong sasaran MyDIGITAL dan dasar keselamatan nasional.

Aplikasi Khusus: Bandar Pintar & Keselamatan Nasional

Soalan praktikal yang selalu timbul: "Ini semua nampak konsep. Dalam situasi sebenar, apa bezanya?"

Bandar Pintar (Smart City) – Contoh Majlis Bandaraya

Bayangkan sebuah majlis bandaraya di Malaysia yang mahu:

  • analitik video AI untuk CCTV,
  • sistem ramalan banjir berasaskan data IoT,
  • papan pemuka masa nyata untuk trafik dan kecemasan.

Tanpa kontrak pusat dan alat keselamatan awan yang standard:

  • setiap projek mungkin pilih platform awan dan kawalan keselamatan sendiri,
  • lesen keselamatan awan dibeli secara kecil-kecilan dengan harga lebih mahal,
  • integrasi dan pemantauan keselamatan jadi bercelaru.

Dengan model ala OneGov:

  • majlis hanya "plug in" kepada platform awan dan keselamatan yang sudah distandardkan di peringkat nasional;
  • kos lesen keselamatan awan lebih rendah kerana dibeli secara agregat;
  • pemantauan ancaman dan pengurusan pendedahan boleh dibuat di pusat (contoh: SOC nasional), bukan terpisah-pisah.

Keselamatan Nasional & Analitik AI

Aplikasi AI untuk keselamatan sempadan, pemantauan maritim, analitik komunikasi dan intelijen memerlukan:

  • data yang sangat sensitif,
  • kerahsiaan tinggi,
  • kawalan akses yang ketat.

Tanpa platform keselamatan awan yang mantap:

  • risiko kebocoran data meningkat,
  • sukar untuk menguatkuasakan prinsip "need-to-know" dan Zero Trust,
  • audit dan forensik menjadi sukar bila berlaku insiden.

Model seperti GSA–Tenable menunjukkan bahawa:

  • kerajaan boleh memilih satu atau beberapa platform keselamatan awan yang terbukti,
  • merundingkan harga di peringkat nasional,
  • dan memberi garis panduan jelas kepada semua agensi keselamatan tentang apa yang wajib digunakan.

Apa Langkah Praktikal untuk Agensi Malaysia Sekarang

Bagi pembuat dasar, CIO kerajaan, dan pemimpin projek AI sektor awam, beberapa langkah praktikal yang boleh dipertimbangkan:

1. Audit Perbelanjaan Keselamatan Awan Semasa

  • Senaraikan semua alat keselamatan awan yang sedang digunakan oleh agensi anda.
  • Kenal pasti pertindihan fungsi (contoh: dua produk berbeza untuk pemantauan konfigurasi awan).
  • Anggarkan potensi penjimatan jika dibeli di peringkat pusat (contoh: jika skala naik 5x, berapa anggaran diskaun munasabah?).

2. Tekankan Model Perolehan Berpusat dalam Rancangan AI

Bila membentangkan kertas projek AI:

  • sertakan seksyen "Kebergantungan Infrastruktur & Keselamatan";
  • cadangkan penggunaan kontrak pusat sedia ada (jika ada), atau nyatakan keperluan kontrak pusat baharu;
  • jelaskan bagaimana pendekatan pusat akan menyokong MyDIGITAL dan keselamatan nasional.

3. Bina Kasus Perniagaan (Business Case) Bersama

Kementerian/agensi boleh:

  • bekerjasama dengan MOF, MAMPU, MOSTI, KKD dan CyberSecurity Malaysia untuk mengira potensi penjimatan nasional;
  • sertakan komponen risiko dalam business case, bukan hanya kos lesen (contoh: anggaran kerugian jika berlaku kebocoran data AI kritikal);
  • gunakan contoh nyata seperti perjanjian GSA–Tenable (tanpa perlu meniru 100%).

4. Rancang Ke Arah Zero Trust untuk AI

Pastikan projek AI utama:

  • tidak bergantung kepada perimeter rangkaian tradisional;
  • menggunakan identiti digital yang kukuh (contoh: integrasi dengan sistem identiti kerajaan);
  • diaudit secara berkala dari sudut konfigurasi awan dan pendedahan data.

Alat keselamatan awan enterprise yang dibeli melalui kontrak pusat boleh menjadi asas pelaksanaan Zero Trust ini.

Penutup: Jika Amerika Boleh Dapat 65%, Apa Strategi Kita?

Perjanjian OneGov–Tenable menunjukkan satu perkara jelas: strategi perolehan pintar boleh mempercepat dan memperkukuh transformasi digital kerajaan, bukan melambatkannya.

Bagi Malaysia yang sedang memacu AI dalam kerajaan dan sektor awam di bawah MyDIGITAL, persoalannya bukan sama ada kita perlu keselamatan awan berskala nasional – tetapi bila dan bagaimana kita melaksanakannya.

Jika Amerika boleh merundingkan 65% diskaun sambil mengekalkan piawaian keselamatan FedRAMP untuk platform awan yang menyokong pelbagai aplikasi AI, Malaysia juga boleh membina model tersendiri yang disesuaikan dengan konteks kita.

Langkah seterusnya bergantung kepada keberanian pembuat keputusan untuk:

  • menggabungkan permintaan,
  • menstandardkan keselamatan,
  • dan melihat perolehan bukan sekadar proses membeli, tetapi sebagai instrumen strategik untuk keselamatan nasional dan masa depan AI kerajaan.

Soalan yang patut setiap pemimpin sektor awam tanya minggu ini: "Jika agensi saya beli keselamatan awan secara bersendirian tahun depan, berapa banyak nilai yang sebenarnya kita tinggalkan di atas meja?"