GSA di AS mendapat diskaun 65% untuk alat keselamatan awan Tenable. Apa pengajaran untuk Malaysia dalam melindungi projek AI sektor awam dengan kos terkawal?
Diskaun 65% GSA: Apa Pengajaran Untuk AI Kerajaan Malaysia
Pada 2025, General Services Administration (GSA) di Amerika Syarikat menandatangani perjanjian OneGov dengan Tenable yang memberi diskaun 65% untuk alat keselamatan awan kepada semua agensi persekutuan mereka. Bukan sekadar berjimat – langkah ini sebenarnya mengukuhkan infrastruktur keselamatan untuk projek AI dan transformasi digital kerajaan.
Ini sangat rapat dengan realiti Malaysia. Di bawah Malaysia Digital Economy Blueprint (MyDIGITAL) dan pelan AI negara, hampir semua inisiatif besar kerajaan – smart city, identiti digital, analitik pengawasan, automasi perkhidmatan awam, keselamatan negara – bergantung kepada awan dan data. Bila awan jadi asas, keselamatan awan bukan lagi pilihan, ia prasyarat.
Artikel ini kupas apa yang GSA buat, kenapa ia relevan kepada sektor awam Malaysia, dan bagaimana CIO, CTO, pegawai perolehan dan pasukan keselamatan siber boleh mengambil pendekatan yang lebih strategik untuk melindungi sistem AI kerajaan di awan dengan kos yang terkawal.
Apa Sebenarnya Yang GSA Capai Dengan Perjanjian OneGov–Tenable?
Jawapannya: GSA menggunakan kuasa pembelian pusat untuk mengurangkan kos keselamatan awan secara besar-besaran sambil menaik taraf tahap perlindungan.
Beberapa poin utama daripada perjanjian GSA–Tenable:
- Perjanjian ini adalah OneGov ke-17 yang ditandatangani GSA dengan pengeluar perisian untuk harga peringkat perusahaan seluruh kerajaan.
- Agensi persekutuan mendapat diskaun 65% daripada harga senarai bagi produk
Tenable Cloud Security Enterpriseyang telah diluluskan FedRAMP. - Diskaun boleh diakses melalui kontrak GSA yang dipegang oleh Carahsoft (value-added reseller), jadi agensi tidak perlu runding satu per satu.
- Tempoh pembelian utama sehingga 31/03/2027, dengan dua tahun opsyen di mana diskaun turun sedikit kepada 62%.
GSA tidak sekadar beli lesen murah. Mereka sedang:
- Menyeragamkan standard keselamatan awan di seluruh agensi.
- Mempercepatkan perolehan – agensi boleh terus beli tanpa tender panjang yang berulang-ulang.
- Mengurangkan jurang keselamatan antara agensi besar dan kecil, kerana semua dapat akses harga dan alat yang sama.
Inilah cara kerajaan pusat menggunakan kuasa skala untuk mengurangkan kos dan risiko pada masa yang sama.
Kenapa Keselamatan Awan Jadi Teras Projek AI Kerajaan
Untuk sektor awam, AI bukan lagi projek makmal. Kita sudah bercakap tentang:
- Sistem CCTV pintar dengan pengecaman corak dan tingkah laku
- Chatbot kerajaan yang jawab soalan rakyat 24/7
- Sistem pengesanan penipuan dalam bantuan kewangan dan subsidi
- Analitik trafik masa nyata untuk bandar raya pintar
Semua ini berkongsi tiga ciri yang sama:
- Berjalan di atas infrastruktur awan atau hibrid
- Menggunakan set data besar yang sensitif (data rakyat, transaksi, pergerakan)
- Beroperasi secara berterusan dan saling berhubung dengan sistem lain
Tanpa keselamatan awan yang kukuh, risiko kepada kerajaan sangat besar:
- Kompromi model AI – model boleh dimanipulasi untuk beri keputusan salah (contoh: pengesanan penipuan yang sengaja "membutakan" kes tertentu)
- Kebocoran data latihan – data sensitif rakyat yang digunakan untuk melatih model bocor ke pihak ketiga
- Serangan rantaian bekalan (supply chain) – penyerang masuk melalui komponen pihak ketiga dalam pipeline AI
Di sinilah alat seperti Tenable Cloud Security Enterprise memainkan peranan:
- Mengesan salah konfigurasi (misconfiguration) dalam akaun awan
- Memantau pendedahan aset (exposure management) – mesin, container, storan, API
- Memetakan hubungan antara perkhidmatan untuk lihat laluan serangan ke data dan model AI
Dalam bahasa mudah: kalau awan tak selamat, AI tak pernah selamat.
Pengajaran Untuk Malaysia: Dari OneGov ke Model “OneGov.my”
Malaysia sudah ada hala tuju jelas melalui MyDIGITAL, pelan AI negara dan inisiatif pusat data/awan nasional. Tetapi dari sudut perolehan keselamatan awan, masih banyak ruang untuk pendekatan yang lebih teratur dan berskala.
1. Pendekatan Perolehan Berpusat
GSA menunjukkan model praktikal:
- Satu entiti pusat (GSA) runding harga peringkat perusahaan
- Semua agensi kerajaan tumpang pakai perjanjian tersebut
- Diskaun besar diperoleh kerana volum nasional
Untuk Malaysia, konsep sama boleh diterjemah sebagai model "OneGov.my" di mana:
- MAMPU/KKD/agensi pusat yang relevan memimpin panel keselamatan awan peringkat negara
- Vendor utama keselamatan awan dan pendedahan (exposure management) dinilai dan dipra-luluskan
- Harga, tahap perkhidmatan dan keperluan pematuhan diseragamkan untuk semua kementerian dan agensi
Hasilnya:
- CIO agensi tak perlu mula dari kosong setiap kali mahu beli alat keselamatan awan
- Agensi kecil tidak terpinggir kerana tak ada kuasa beli besar
- Perbelanjaan keselamatan lebih telus dan terkawal
2. Selaraskan Dengan Keperluan Pematuhan Tempatan
GSA memilih produk Tenable yang diluluskan FedRAMP, selaras dengan keperluan keselamatan awan persekutuan di AS. Di Malaysia, kita ada konteks sendiri:
- Garis panduan keselamatan sektor awam (contoh: MAMPU, MCMC, Bank Negara untuk sektor berkaitan)
- Keperluan data bermastautin dalam negara untuk data sensitif tertentu
- Standard seperti ISO 27001, ISO 27701, dan lain-lain
Maknanya, bila merangka model "OneGov.my", tiga soalan utama perlu dijawab:
- Adakah alat keselamatan awan menyokong pematuhan tempatan dan audit?
- Adakah ia serasi dengan pelbagai penyedia awan (multi-cloud: AWS, Azure, GCP, awan tempatan)?
- Bolehkah ia integrasi dengan sistem pemantauan sedia ada di agensi keselamatan siber nasional?
Kalau jawapan “ya”, barulah panel perolehan nasional memberi nilai sebenar.
3. Pastikan Nilai Untuk Projek AI, Bukan Sekadar IT Infrastruktur
Ramai organisasi beli tool keselamatan awan tetapi tidak menghubungkannya dengan risiko sebenar projek AI. Itu kesilapan.
Apa yang lebih berkesan ialah:
- Peta projek AI utama kerajaan (contoh: smart city, analitik cukai, pengurusan subsidi)
- Kenal pasti di mana model AI, data latihan, dan pipeline MLOps ditempatkan di awan
- Konfigurasikan alat keselamatan awan untuk fokus kepada aset ini terlebih dahulu
Contoh praktikal:
- Letak tag khusus pada semua sumber awan yang digunakan untuk projek AI
- Gunakan platform seperti Tenable (atau setara) untuk laporkan pendedahan khusus aset AI: bucket storan untuk data latihan, cluster Kubernetes untuk inference, API gateway untuk servis AI
- Gabungkan laporan ini dalam dashboard risiko AI peringkat kementerian atau nasional
Bila ini berlaku, barulah pelaburan keselamatan awan terasa relevan kepada pemilik projek AI dan bukannya hanya isu "infrastruktur belakang tabir".
Cara Praktikal Agensi Malaysia Boleh Meniru Strategi GSA
Jawapan pendek: mula dari koordinasi, bukan teknologi.
1. Bentuk Kumpulan Kerja "Cloud & AI Security" Peringkat Kementerian
Di setiap kementerian besar, wujudkan kumpulan kerja yang menyatukan:
- CIO / Ketua Bahagian ICT
- Ketua keselamatan siber / CISO
- Pasukan data & AI
- Wakil perolehan
Mandat kumpulan ini jelas:
- Menyenaraikan semua projek yang bergantung kepada awan dan AI
- Mengklasifikasikan data mengikut sensitiviti
- Menentukan set minimum alat keselamatan awan yang diperlukan (misalnya: CSPM, CWPP, IAM, pemantauan pendedahan/ exposure management)
2. Manfaatkan Perolehan Berpusat/Panel Sedia Ada
Sebelum fikir untuk bina sesuatu yang serba baru, agensi boleh:
- Semak sama ada sudah wujud kontrak pusat atau panel pembekal ICT yang boleh dikembangkan kepada keselamatan awan
- Kerjasama dengan agensi pusat (seperti MAMPU) untuk menyepadukan syarat keselamatan awan dalam kontrak awan generik sedia ada
Jika pendekatan GSA dijadikan rujukan, objektifnya:
- Kurangkan bilangan tender yang kecil dan terpisah
- Bentuk kontrak rangka (framework agreement) dengan vendor keselamatan terpilih
- Pastikan terdapat struktur diskaun berdasarkan volum dan tempoh seperti GSA–Tenable (contoh: diskaun asas X%, meningkat bila penggunaan seluruh kerajaan capai ambang tertentu)
3. Utamakan Tiga Senario Risiko AI
Daripada cuba selesaikan semua masalah sekaligus, tumpukan dulu kepada tiga senario risiko yang paling memberi kesan kepada kepercayaan rakyat:
-
Kebocoran data rakyat daripada projek AI
- Gunakan alat keselamatan awan untuk memantau hak akses, storan awam, dan pendedahan data sensitif.
-
Manipulasi model atau pipeline AI
- Lindungi akaun pembangun, repositori kod, dan pipeline CI/CD yang digunakan untuk membangunkan model.
-
Penyalahgunaan akses dalaman
- Pantau aktiviti pengguna istimewa (privileged users) dan integrasi AI dengan sistem sedia ada.
Dengan fokus ini, setiap ringgit yang dibelanjakan untuk keselamatan awan jelas kesannya kepada integriti projek AI, bukan hanya kepada meterik teknikal.
Dari Diskaun Ke Strategi: Masa Untuk Langkah Bersepadu
Perjanjian GSA–Tenable bukan istimewa kerana angka 65% semata-mata. Yang lebih penting ialah mesej di sebaliknya: kerajaan yang serius tentang AI dan transformasi digital mesti sama serius tentang keselamatan awan – dan ia perlu diurus secara strategik, bukan ad hoc.
Untuk Malaysia, khususnya dalam siri "AI in Government & Public Sector", beberapa hal patut jadi agenda utama menjelang 2026:
- Menyusun semula perolehan keselamatan awan supaya menyokong matlamat MyDIGITAL dan pelan AI nasional.
- Menjadikan keselamatan awan dan pendedahan aset sebagai komponen wajib dalam setiap projek AI kerajaan.
- Menggalakkan pendekatan "OneGov.my" yang memberi kuasa beli lebih besar, standard lebih seragam dan perlindungan lebih konsisten di seluruh sektor awam.
Jika anda CIO, ketua projek AI, atau pegawai perolehan di agensi kerajaan, soalan praktikal untuk hari ini bukan lagi "perlu atau tidak alat keselamatan awan". Soalan sebenar ialah:
Bagaimana anda mahu menyusun pendekatan pusat – dari perolehan hingga pemantauan – supaya setiap projek AI kerajaan berjalan di atas awan yang benar-benar selamat, dengan kos yang masuk akal?
Jawapan kepada soalan itu akan menentukan sejauh mana rakyat boleh mempercayai AI dalam perkhidmatan awam pada tahun-tahun akan datang.