Keselamatan siber kerajaan bukan lagi soal elak serangan, tapi bagaimana urus risiko dan kekal beroperasi dalam era AI, smart city dan identiti digital.
Keselamatan Siber Kerajaan Malaysia Dalam Era AI: Masa Untuk Rombak Strategi
Pada suku pertama 2025, purata agensi kerajaan di peringkat global berdepan 2,678 serangan siber setiap minggu. Itu bukan simulasi, itu realiti. Dalam masa yang sama, kerajaan seluruh dunia, termasuk Malaysia melalui Malaysia Digital Economy Blueprint (MyDIGITAL), sedang mempercepat pelaburan dalam AI, identiti digital, smart city dan automasi sektor awam.
Ada satu masalah besar: ramai masih fikir keselamatan siber bermaksud “pasang firewall, beli antivirus, siap”. Untuk dunia manual dulu mungkin cukup. Untuk era AI, data raya dan perkhidmatan digital 24/7 — pendekatan itu bukan sahaja lapuk, malah berbahaya.
Artikel ini mengadaptasi idea utama Lou Eichenbaum (Federal CTO ColorTokens, bekas CISO Department of the Interior AS) dan menterjemahkannya ke konteks kerajaan Malaysia, smart city, dan agenda MyDIGITAL. Fokusnya mudah: keselamatan siber bukan tentang buang risiko, tetapi urus risiko dengan bijak.
1. Masalah Sebenar: Bukan Lagi Soal “Boleh Dibolosi Atau Tidak”
Realitinya, setiap sistem kerajaan akan dibolosi pada satu ketika. Sama ada melalui phishing, konfigurasi salah, vendor pihak ketiga, atau kelemahan manusia.
“Anda boleh bina kubu paling kuat di dunia, tetap akan ada Trojan horse yang lolos.”
Dalam konteks kerajaan Malaysia:
- Sistem MyDigital ID, pangkalan data JPN, sistem cukai, perkhidmatan kesihatan awam, portal Kerajaan Digital, semua kini saling berhubung.
- Smart city di Kuala Lumpur, Putrajaya, Cyberjaya, Johor Bahru dan lain-lain mula menggabungkan IoT, CCTV pintar, analitik video, AI trafik, dan sensor di lapangan.
Jika satu sistem termakan umpan phishing atau tercemar malware, tanpa kawalan dalaman yang baik, penyerang boleh bergerak lateral ke sistem lain — sama seperti kes kebocoran data OPM di Amerika Syarikat, yang bermula dengan satu laptop tetapi berakhir dengan berjuta rekod kakitangan terdedah.
Kesimpulan yang pahit tapi jujur: soalan bukan lagi “boleh kena hack ke tidak?” tetapi “bila kena, sejauh mana kita boleh tahan dan terus beroperasi?”
2. Dari “Moat dan Dinding” ke Ketahanan dan Kesiapsiagaan Kebocoran
Ramai masih fikir model keselamatan siber kerajaan ialah:
- pasang firewall di perimeter,
- segan nak buka akses,
- tambah lagi appliance bila ada insiden.
Model ini ibarat istana ada parit dan pintu jeriji, tapi dalam istana semua ruang terbuka. Bila musuh lepas masuk, dia boleh jalan-jalan ke bilik kebal, bilik mesyuarat, arkib dokumen tanpa banyak halangan.
Untuk era AI dan MyDIGITAL, kerajaan perlu tukar fokus kepada tiga perkara utama:
2.1 Pengurusan Risiko, Bukan Impian “Zero Risk”
Dalam sektor awam, kita sentiasa buat keputusan risiko:
- serah projek kepada vendor A atau B,
- guna cloud tempatan atau hibrid,
- buka API kepada agensi lain atau kekal silo.
Keselamatan siber perlu dilihat sama — sebagai pengurusan risiko, bukan percubaan mustahil untuk menghapuskan risiko.
Contohnya:
- Aplikasi smart city yang memproses data CCTV AI perlu dikategorikan sebagai sistem kritikal; sebarang akses admin mesti dipantau dan direkod, bukan hanya guna akaun generik.
- Data identiti digital rakyat (MyDigital ID, JPN, PDRM, LHDN) perlu ada tahap perlindungan lebih tinggi daripada portal maklumat awam.
2.2 Ketahanan (Resilience)
Sistem yang baik bukan sistem yang tak pernah jatuh, tapi sistem yang jatuh sekejap, pulih cepat dan kesan minima.
Untuk persekitaran kerajaan:
- Rancang senario insiden: ransomware kunci fail hospital kerajaan, serangan DDoS ke portal cukai, akaun pentadbir e-mel kompromi.
- Ada pelan sambung operasi (business continuity) dan pelan pemulihan bencana (DR) yang diuji, bukan hanya dokumen dalam folder.
- Ujian tabletop dan simulasi “red team / blue team” secara berkala, bukan hanya setahun sekali.
2.3 Kesiapsiagaan Kebocoran (Breach Readiness)
Eichenbaum tekankan konsep breach readiness — bukan hanya breach prevention.
Untuk agensi Malaysia, ini bermaksud:
- Terima kemungkinan bahawa penyerang akhirnya akan menembusi satu sistem.
- Fokus kepada bagaimana nak hentikan mereka daripada bergerak ke sistem lain dan bagaimana nak kurangkan kerosakan.
Di sinilah konsep seperti mikrosegmentasi, pengesahan identiti berterusan dan penguatkuasaan progresif jadi penting.
3. Zero Trust: Falsafah, Bukan Produk Magic
Ramai fikir Zero Trust ialah:
- satu produk,
- satu polisi tunggal,
- atau satu projek sekali siap.
Yang sebenarnya: Zero Trust ialah falsafah, cara fikir yang sepatutnya meresap dalam semua aspek keselamatan siber kerajaan.
Prinsip ringkas Zero Trust:
- “Never trust, always verify.” Tiada entiti diberi kepercayaan mutlak hanya kerana berada dalam rangkaian dalaman.
- Akses diberi berdasarkan identiti, konteks, dan tahap risiko, bukan lokasi rangkaian semata-mata.
Dalam konteks MyDIGITAL dan AI sektor awam, Zero Trust patut muncul dalam:
3.1 Identiti Digital dan Akses Rakyat
Bila kerajaan bina identiti digital nasional dan eKYC untuk perkhidmatan dalam talian:
- Akses akaun tidak boleh bergantung pada kata laluan sahaja.
- Perlu ada penguatkuasaan adaptif: jika login dari lokasi pelik, peranti baru, atau corak guna luar biasa, sistem mesti minta pengesahan tambahan atau sekat sementara.
3.2 Mikrosegmentasi Sistem Kerajaan
Berbanding satu rangkaian besar untuk semua sistem, mikrosegmentasi memecahkannya kepada zon-zon kecil berdasarkan fungsi dan tahap sensitiviti.
Contoh praktikal:
- Server yang memegang data pesakit hospital kerajaan diletak dalam segmen khas, tidak dapat dicapai terus dari rangkaian pengguna biasa.
- Sistem AI analitik video CCTV bandar diletak dalam zon tersendiri; walaupun satu kamera IoT dikompromi, penyerang tak boleh terus lompat ke server aplikasi lain.
3.3 Penguatkuasaan Progresif dan Pemerhatian Berterusan
Zero Trust bukan hanya “block atau allow”. Ia juga bermaksud:
- Hadkan akses kepada minimum yang perlu (least privilege).
- Pantau aktiviti; jika tingkah laku berubah, ketatkan polisi secara automatik.
- Contoh: pegawai hanya boleh akses sistem gaji pada waktu pejabat dan dari peranti yang diluluskan — percubaan akses luar corak itu akan dicabar atau disekat.
4. AI, Data Kerajaan dan Risiko Baharu Yang Ramai Terlepas Pandang
Di Amerika Syarikat, DoD dianalisis telah menganugerahkan lebih USD5 bilion kontrak AI sejak Januari 2025, dengan kitaran perolehan purata 47 hari. Cepat, agresif dan berisiko jika keselamatan tak seiring.
Malaysia sedang menuju laluan sama:
- AI untuk analitik trafik pintar,
- sistem ramalan banjir,
- penguatkuasaan pintar untuk polis dan pihak berkuasa tempatan,
- automasi permohonan dan kelulusan dalam talian.
Saya sendiri melihat banyak agensi teruja memperkenalkan modul AI, tetapi security dibincang hujung-hujung mesyuarat, kalau sempat.
Berikut beberapa risiko khusus AI dalam kerajaan:
4.1 AI Bergantung 100% Kepada Data
Kalau data dilatih atau disuap dengan maklumat yang telah dimanipulasi, model AI kerajaan boleh:
- buat keputusan bias atau salah,
- mengeluarkan alert palsu atau terlepas ancaman sebenar,
- salah menilai rakyat atau perniagaan.
Jadi, keselamatan siber mesti meliputi rantaian data hujung ke hujung:
- dari sensor (CCTV, IoT, dron),
- ke storan,
- ke pipeline analitik,
- ke model AI.
4.2 Serangan Khusus ke Atas Model AI (Model & Data Poisoning)
Untuk projek smart city atau keselamatan sempadan, model AI yang salah tafsir boleh membawa kepada:
- pengawasan tak tepat,
- tindak balas kecemasan lewat,
- salah tangkap atau tersilap sasaran penguatkuasaan.
Kerajaan perlu mula fikir:
- bagaimana nak audit dan log keputusan AI,
- bagaimana nak kesan dan betulkan data / model poisoning,
- siapa bertanggungjawab jika AI tersilap dan menyebabkan kerugian.
4.3 Perolehan AI Yang Terlalu Pantas, Tanpa “Security by Design”
Bila tender AI dilaksana secara agresif tanpa team keselamatan terlibat awal:
- keperluan keselamatan cuma jadi lampiran umum dalam dokumen,
- integrasi dengan sistem sedia ada diabaikan,
- risiko vendor pihak ketiga tidak ditaksir secukupnya.
Titik penting di sini: jika AI menyentuh data kerajaan, pegawai keselamatan maklumat (CISO/ISO) wajib berada di meja perancangan dari hari pertama, bukan selepas demo pertama.
5. Dimensi Manusia: Data Rakyat Bukan Sekadar “Rekod”
Dalam banyak mesyuarat, kita bercakap tentang “rekod”, “dataset”, “field NRIC”, “hash password” — seolah-olah semuanya objek teknikal. Hakikatnya, setiap rekod itu seorang manusia:
- penjawat awam yang alamat rumahnya boleh didedahkan,
- pesakit yang rekod kesihatannya boleh disalahguna,
- peniaga kecil yang maklumat kewangannya boleh diperdagangkan di dark web.
Kalau anda pernah:
- kad bank diguna tanpa izin,
- WhatsApp kena clone,
- akaun media sosial kena ambil alih,
anda tahu betapa stres, memakan masa dan memalukan situasi itu.
Bayangkan kesan yang sama di skala nasional bila berjuta data rakyat terbocor. Kepercayaan terhadap kerajaan boleh jatuh merudum.
Sebab itu saya setuju dengan pandangan Eichenbaum:
“Kita bukan polis siber. Tiada lencana, tiada mugshot. Tapi kita penjaga kepercayaan, arkitek ketahanan dan kesiapsiagaan.”
Dalam konteks Malaysia, setiap pegawai IT kerajaan sebenarnya penjaga amanah digital rakyat Malaysia.
6. Apa Yang Boleh Agensi Kerajaan Malaysia Buat Sekarang
Bukan semua benda perlu bajet ratus juta. Banyak langkah praktikal yang boleh bermula tahun ini di peringkat kementerian, kerajaan negeri, PBT dan GLC.
6.1 Audit Semula Asas Strategi Keselamatan Siber
Tanya empat soalan mudah tetapi kritikal:
- Apakah aset paling kritikal? (data identiti, rekod kesihatan, sistem bayaran, sistem AI, dsb.)
- Jika sistem ini jatuh hari ini, apa kesan kepada operasi dan rakyat?
- Bagaimana penyerang boleh sampai ke sini dari titik serangan paling mudah? (contoh: e-mel staf, VPN, vendor luar)
- Apakah kawalan dalaman yang menghalang pergerakan lateral?
Jawapan jujur kepada empat soalan ini sudah cukup untuk rangka pelan transformasi keselamatan siber yang lebih realistik.
6.2 Rangka dan Mulakan Program Zero Trust Bertahap
Bukan perlu sempurna, tapi perlu mula.
Fasa yang biasanya berkesan:
- Fasa 1 – Kenal pasti dan lindungi mahkota data (crown jewels): pilih 2–3 sistem paling kritikal, mula dengan mikrosegmentasi dan pengurusan hak akses yang ketat.
- Fasa 2 – Kukuhkan identiti dan akses: kuatkan Single Sign-On, Multi-Factor Authentication, pemantauan akaun pentadbir.
- Fasa 3 – Pemerhatian berterusan & automasi tindak balas: SIEM, SOAR, dan analitik tingkah laku pengguna.
6.3 Gabungkan Keselamatan Siber Dalam Semua Projek AI dan Digital
Mulakan dasar dalaman yang jelas:
- Tiada projek AI, cloud atau smart city diluluskan tanpa penilaian risiko keselamatan siber.
- Setiap TOR tender mesti ada seksyen “keperluan Zero Trust dan pengurusan risiko siber” yang konkrit, bukan frasa umum.
- Libatkan CSO/CISO/ISO dari fasa reka bentuk, bukan selepas sistem hampir siap.
6.4 Latih Manusia, Bukan Hanya Beli Teknologi
- Jalankan latihan kesedaran phishing dan social engineering berkala.
- Adakan latihan simulasi insiden melibatkan pengurusan tertinggi, bukan hanya team IT.
- Letak metrik yang jelas: berapa masa dikesan, berapa masa bertindak, berapa sistem terjejas.
Penutup: Masa Untuk Kawal Risiko, Bukan Berharap “Tak Kena”
Keselamatan siber kerajaan Malaysia dalam era AI dan MyDIGITAL tak boleh lagi berpaksikan firewall dan harapan. Dengan sistem kian saling berhubung dan AI menyentuh hampir semua fungsi kerajaan, pendekatan lama bukan sekadar tidak cukup — ia mengundang bencana.
Keselamatan siber moden ialah seni mengurus risiko dengan bijak:
- bina sistem yang boleh lentur tanpa patah,
- mampu bertindak balas tanpa panik,
- melindungi rakyat tanpa melumpuhkan inovasi.
Kalau agensi anda sedang menilai projek AI, smart city atau identiti digital tahun ini, ini soalan paling jujur yang patut ditanya:
“Strategi keselamatan siber kami betul-betul bersedia untuk era AI, atau kami sekadar tambah lapisan di kubu lama yang sudah retak?”
Jika jawapan anda ragu-ragu, itu tanda masa yang tepat untuk mula merombak — daripada mentaliti “halang serangan” kepada mentaliti “urus kebocoran dan kekal beroperasi”. Itulah asas sebenar AI in Government & Public Sector yang selamat dan mampan.