Bila Keselamatan Awan Gagal, Kepercayaan Rakyat Runtuh

AI dalam Kerajaan & Sektor AwamBy 3L3C

Kes keselamatan awan di AS tunjuk satu perkara: bila tuntutan keselamatan palsu tembus projek kerajaan, kepercayaan rakyat terhadap AI dan bandar pintar boleh runtuh.

AI sektor awamkeselamatan awankerajaan digitalbandar pintartadbir urus AIpematuhan siberperolehan kerajaan
Share:

Bila Keselamatan Awan Gagal, Kepercayaan Rakyat Runtuh

Pada 2020–2021, seorang pengurus produk di Amerika Syarikat didakwa kerana didakwa menyembunyikan lebih 100 kawalan keselamatan awan yang belum dilaksana daripada kerajaan persekutuan. Platform awan itu dipasarkan sebagai “selamat untuk agensi kerajaan”, tetapi didakwa sebenarnya belum mematuhi piawaian FedRAMP dan rangka kerja Risiko DoD.

Kes ini mungkin berlaku ribuan kilometer dari Putrajaya, tapi mesejnya sangat dekat dengan Malaysia: apabila tuntutan keselamatan palsu menembusi projek IT kerajaan, kepercayaan rakyat terhadap transformasi digital – termasuk AI, identiti digital dan bandar pintar – boleh runtuh dalam sekelip mata.

Dalam siri AI in Government & Public Sector ini, fokusnya ialah bagaimana kerajaan menggunakan AI dan awan untuk menyampaikan perkhidmatan lebih cekap, seperti yang digariskan dalam Pelan Induk Ekonomi Digital Malaysia (MyDIGITAL). Artikel kali ini menggunakan kes di AS sebagai kisah amaran: apa yang berlaku bila integriti keselamatan dikompromi, dan apa yang boleh dipelajari oleh sektor awam Malaysia.

Apa Sebenarnya Berlaku Dalam Kes Accenture–FedRAMP Ini?

Isunya ringkas: seorang pengurus kanan didakwa memalsukan dan mengelirukan penilaian keselamatan bagi satu platform awan untuk kegunaan kerajaan persekutuan.

Menurut dokumen pertuduhan:

  • Tempoh: Mac 2020 – November 2021
  • Individu: Bekas pengurus produk di Accenture Federal Services
  • Tuduhan utama:
    • Menghalang juruaudit bebas
    • Menyembunyikan jurang keselamatan sebenar
    • Mengarahkan pasukan supaya “menghias” sistem ketika ujian dan demo
    • Mengemukakan maklumat palsu kepada Tentera Darat AS untuk mendapatkan tajaan kelulusan DoD

Dalam satu penilaian Jun 2020, firma luar memberi amaran bahawa lebih 100 kawalan keselamatan belum dilaksanakan, jadi sistem “tak bersedia untuk diangkat” ke tahap pematuhan lebih tinggi. Walaupun begitu, hanya sebulan kemudian, dokumentasi masih diluluskan untuk dihantar kepada kerajaan.

Di AS, dua rangka kerja kritikal terlibat:

  • FedRAMP – rangka kerja penilaian dan pemantauan keselamatan perkhidmatan awan yang digunakan agensi persekutuan.
  • DoD Risk Management Framework (RMF) – seakan FedRAMP tetapi khusus untuk sistem maklumat ketenteraan.

Bila vendor melebih-lebihkan atau memalsukan status pematuhan, kesannya bukan sekadar isu perundangan. Ia membuka pintu kepada:

  • Sistem kerajaan beroperasi di atas platform yang rapuh
  • Data sensitif disimpan dalam awan yang tidak cukup dilindungi
  • Rantaian bekalan digital kerajaan menjadi lebih mudah diserang

Di AS, pendakwaan sebegini kini menjadi bidang penguatkuasaan utama untuk kontrak siber kerajaan. Itu petanda jelas untuk Malaysia: penguatkuasaan terhadap penipuan berkaitan siber dalam perolehan kerajaan akan menjadi semakin penting.

Mengapa Ia Penting Untuk Projek AI & Awan Kerajaan Malaysia

Projek AI kerajaan hanya sekuat keselamatan awan yang menampungnya.

Malaysia sedang mempercepatkan:

  • Inisiatif bandar pintar (CCTV pintar, analitik trafik, pengurusan bencana masa nyata)
  • Identiti digital & ID nasional
  • Automasi perkhidmatan awam (chatbot, pemprosesan permohonan automatik)
  • Analitik keselamatan & risikan untuk polis dan pertahanan

Hampir semua projek ini bergantung pada tiga perkara:

  1. Infrastruktur awan yang kukuh
  2. Model tadbir urus AI yang jelas
  3. Kontrak vendor yang telus dan audit yang tegas

Bila vendor mendakwa sistem mereka “patuh standard keselamatan”, kerajaan sering kali bergantung kepada:

  • Laporan audit pihak ketiga
  • Sijil pematuhan
  • Demo teknikal yang diatur vendor

Kes di AS menunjukkan satu realiti kurang selesa: semua dokumen ini boleh dimanipulasi jika tiada budaya integriti dan tiada pengawasan yang cukup kuat. Bagi projek AI kerajaan Malaysia, risiko ini berganda kerana:

  • Data yang diproses amat sensitif (rekod kesihatan, data kewangan, pergerakan rakyat)
  • Model AI sendiri boleh dimanipulasi jika kawalan keselamatan longgar
  • Sebarang insiden besar akan segera menjadi isu politik dan menjejaskan kepercayaan rakyat terhadap transformasi digital kerajaan

Tiga Pengajaran Utama Untuk Sektor Awam Malaysia

1. Jangan Anggap “Sijil Pematuhan” Sebagai Jaminan Mutlak

FedRAMP, ISO 27001, SOC 2 – semua ini perlu, tetapi tak pernah mencukupi.

Badan kerajaan Malaysia patut:

  • Anggap sijil sebagai titik permulaan, bukan penamat.
  • Sentiasa tanya:
    • Skop audit meliputi sistem mana?
    • Bila penilaian terakhir dibuat?
    • Apa penemuan utama dan bagaimana ia diperbaiki?
  • Meminta akses kepada laporan penemuan utama (bukan hanya surat pengesahan pematuhan).

Dalam konteks AI:

  • Sijil keselamatan tak semestinya bermaksud set data dilindungi atau model AI diaudit daripada bias dan manipulasi.
  • Perlu ada penilaian khusus terhadap pipeline data AI, bukan hanya infrastruktur awan.

2. Audit Bebas Mesti Benar-Benar Bebas

Dalam kes AS itu, pendakwa mendakwa si tertuduh cuba mempengaruhi dan menghalang penilai bebas.

Untuk elakkan senario serupa di Malaysia:

  • Pastikan auditor:
    • Dilantik dan dibayar oleh kerajaan, bukan sepenuhnya oleh vendor.
    • Laporkan terus kepada CIO kerajaan / MAMPU / agensi pusat, bukan kepada unit projek yang sama.
  • Amalkan audit kejutan (spot check), bukan hanya audit berkala yang dijadual awal.
  • Pisahkan dengan jelas peranan:
    • Pasukan projek (yang mahu go-live cepat)
    • Pasukan audit (yang fokus kepada risiko dan pematuhan)

Untuk projek AI berskala besar seperti bandar pintar, kerajaan juga boleh mewujudkan panel teknikal bebas terdiri daripada akademia, pakar keselamatan dan wakil industri untuk menyemak reka bentuk keselamatan sebelum pelaksanaan.

3. Jadikan “Transparensi Keselamatan” Sebagai KPI Kontrak

Kebanyakan kontrak kerajaan menekankan SLA seperti masa uptime dan respon tiket. Kurang yang meletakkan KPI ketelusan.

Contoh klausa yang patut dipertimbang:

  • Kewajipan vendor untuk mendedahkan semua kelemahan kritikal dan tinggi yang diketahui dalam tempoh tertentu.
  • Penalti kewangan atau pembatalan kontrak jika penyembunyian kelemahan atau pemalsuan status kawalan dibuktikan.
  • Keperluan untuk membenarkan akses log & konfigurasi terpilih kepada auditor kerajaan.
  • Kewajipan menyimpan jejak audit (audit trail) bagi semua perubahan konfigurasi keselamatan, boleh diakses bila perlu.

Untuk AI khususnya:

  • Wajibkan dokumentasi model (model card) yang menerangkan data latihan, had model dan risiko yang diketahui.
  • Tetapkan syarat audit berkala terhadap bias algoritma, kebocoran data, dan kebolehjelasan (explainability).

Bagaimana AI Boleh Membantu Mengesan Laporan Keselamatan Palsu

Kes yang berlaku di AS ialah contoh klasik penipuan perolehan siber: vendor cuba elak kos “betulkan sistem” dengan cara menutup kelemahan.

AI sebenarnya boleh menjadi alat yang kuat untuk kerajaan mengesan penyelewengan awal.

1. Analitik Corak Audit

Model AI boleh dilatih untuk mengesan pola mencurigakan dalam:

  • Laporan audit bertahun-tahun
  • Ticket keselamatan dan insiden
  • Perubahan konfigurasi sistem

Contoh:

  • Sistem mengesan bahawa vendor sering kali menutup lebih 90% isu kritikal dalam masa sangat singkat sebelum audit tahunan – pola yang tak selari dengan keupayaan manusia biasa.
  • Atau laporan audit hampir tiada varians antara tahun, sesuatu yang jarang berlaku dalam sistem yang hidup.

2. Cross-check Automatik Antara Dakwaan & Realiti

Dengan integrasi yang betul, kerajaan boleh guna AI untuk:

  • Membandingkan maklumat dalam borang pematuhan dengan konfigurasi sebenar dalam sistem. Contohnya:
    • Vendor dakwa enkripsi at rest diaktifkan untuk semua storan.
    • AI menyemak konfigurasi awan dan mendapati beberapa bucket masih tidak dienkripsi.

Pendekatan ini sangat relevan bila projek kerajaan berada di awan awam atau awan hibrid yang menyediakan API capaian konfigurasi.

3. Pemantauan Berterusan Bukan “Audit Setahun Sekali”

AI dan automasi membolehkan konsep continuous compliance:

  • Sistem sentiasa memantau kawalan utama seperti:
    • Akses istimewa (privileged access)
    • Kemas kini tampalan (patching)
    • Enkripsi
    • Konfigurasi rangkaian
  • Bila ada pelanggaran kawalan, amaran dihantar kepada:
    • Pasukan keselamatan kerajaan
    • Pemilik sistem di agensi
    • Malah boleh dilaporkan ke papan pemuka pusat di peringkat nasional

Dalam konteks Malaysia, pendekatan ini selari dengan hasrat MyDIGITAL untuk mewujudkan tadbir urus keselamatan siber nasional yang lebih bersepadu.

Implikasi Terhadap Kepercayaan Rakyat & Projek Bandar Pintar

Bandar pintar, identiti digital, dan AI dalam sektor awam hanya akan berjaya jika rakyat percaya data mereka diurus dengan selamat dan beretika.

Bila berlaku insiden seperti:

  • Kebocoran data identiti digital
  • Manipulasi CCTV bandar pintar
  • Penyalahgunaan data kesihatan untuk tujuan lain

orang ramai tidak akan hanya menyalahkan vendor. Fokus akan beralih kepada:

  • Kenapa kerajaan mempercayai sistem itu?
  • Adakah audit dan penguatkuasaan mencukupi?
  • Adakah ada unsur kecuaian atau pilih kasih dalam penganugerahan kontrak?

Inilah sebabnya transparensi keselamatan perlu dilihat sebagai sebahagian daripada kontrak sosial antara kerajaan dan rakyat, bukan sekadar isu teknikal.

“Rakyat tak perlu faham apa itu FedRAMP atau RMF. Mereka cuma mahu yakin bahawa bila kerajaan kata ‘sistem ini selamat’, dakwaan itu disokong oleh amalan yang telus dan boleh diaudit.”

Untuk Malaysia yang sedang melabur besar dalam AI sektor awam, reputasi digital kerajaan adalah aset. Satu skandal keselamatan besar boleh melambatkan penerimaan rakyat bertahun-tahun.

Apa Langkah Praktikal Yang Boleh Diambil Agensi Kerajaan Malaysia Sekarang?

Beberapa tindakan segera yang realistik:

  1. Semak semula kontrak sedia ada untuk projek awan & AI kerajaan:
    • Adakah klausa tentang ketelusan keselamatan, notifikasi kelemahan, dan hak audit mencukupi?
  2. Tetapkan standard minimum yang merujuk kepada rangka kerja antarabangsa (contoh: NIST, ISO) dan disesuaikan dengan konteks Malaysia dan garis panduan MAMPU/CyberSecurity Malaysia.
  3. Tubuhkan pasukan audit teknikal antara-agensi untuk projek awan & AI berimpak tinggi (ID digital, bandar pintar, keselamatan negara).
  4. Uji AI & automasi untuk pemantauan pematuhan secara kecil-kecilan pada satu atau dua projek rintis.
  5. Bina budaya keberanian bersuara (speak-up) dalam kalangan penjawat awam dan vendor:
    • Saluran selamat untuk melaporkan tekanan atau arahan untuk “menghias” laporan keselamatan.
    • Perlindungan pemberi maklumat yang jelas.

Menjadikan Integriti Siber Asas Transformasi AI Kerajaan

Kes bekas pekerja Accenture di AS hanyalah satu contoh, tetapi mesejnya jelas: tanpa integriti dalam keselamatan awan, transformasi digital kerajaan – termasuk AI – sentiasa berada di atas pasir bergerak.

Untuk Malaysia, ketika kita mempercepatkan agenda MyDIGITAL, soalan kritikalnya bukan sekadar “sejauh mana AI boleh pergi”, tetapi juga:

  • Sejauh mana kita sanggup bertegas terhadap pemalsuan keselamatan?
  • Adakah tadbir urus AI kerajaan kita cukup kuat untuk mengawal vendor dan sistem, bukan sebaliknya?
  • Bolehkah kita membuktikan kepada rakyat bahawa projek AI sektor awam dibina di atas asas keselamatan yang telus dan boleh diaudit?

Jika jawapan kepada soalan-soalan ini positif, barulah bandar pintar, identiti digital dan AI dalam sektor awam akan diterima sebagai sesuatu yang meningkatkan – bukan mengancam – kehidupan harian rakyat Malaysia.