Panduan CISA Tentang AI Kritikal & Implikasi kepada Malaysia

AI dalam Kerajaan & Sektor Awam••By 3L3C

CISA terbit panduan keselamatan AI dalam sistem kritikal. Apa implikasinya untuk kerajaan Malaysia, bandar pintar dan keselamatan siber nasional?

AI sektor awamkeselamatan siberinfrastruktur kritikaltadbir urus AIbandar pintarMyDIGITAL
Share:

Fokus Baharu: AI Dalam Sistem Kritikal Bukan Lagi Soal Opsyen

Dalam beberapa tahun kebelakangan ini, lebih 70% organisasi infrastruktur kritikal global mula menguji atau melaksana kecerdasan buatan (AI) dalam operasi mereka – daripada ramalan kerosakan pam minyak sehinggalah pengurusan trafik pintar. Bila AI mula menyentuh loji janakuasa, lapangan terbang, hospital dan rangkaian telekom, isu keselamatan bukan lagi teori. Ia terus menyentuh nyawa dan ekonomi.

Inilah konteks di sebalik panduan terbaharu yang dikeluarkan oleh Cybersecurity and Infrastructure Security Agency (CISA) Amerika Syarikat bersama rakan-rakan antarabangsa mereka. Dokumen “Principles for the Secure Integration of Artificial Intelligence in Operational Technology” ini memberi rangka kerja praktikal bagaimana kerajaan dan pengendali infrastruktur kritikal boleh mengintegrasi AI dengan lebih selamat.

Untuk Malaysia, panduan seperti ini sangat selari dengan Pelan Induk Ekonomi Digital Malaysia (MyDIGITAL) yang menekankan penggunaan AI dalam sektor awam, keselamatan siber, bandar pintar dan infrastruktur negara. Soalnya bukan lagi "perlu guna AI atau tidak", tetapi bagaimana nak guna AI tanpa menggadaikan keselamatan negara dan kepercayaan rakyat.

Artikel ini menghuraikan inti panduan CISA, mengaitkannya dengan realiti Malaysia, dan menggariskan langkah praktikal untuk agensi kerajaan yang serius mahu melaksanakan AI secara bertanggungjawab.

Apa Sebenarnya CISA Tekankan Tentang AI Dalam Sistem Kritikal?

Ringkasnya, panduan CISA menegaskan bahawa AI dalam sistem kritikal mesti dilayan seperti teknologi berisiko tinggi – dengan lapisan tadbir urus, penilaian risiko dan kawalan keselamatan yang jauh lebih ketat daripada aplikasi biasa.

CISA dan rakan-rakan antarabangsa (termasuk agensi keselamatan siber Australia, Kanada, Jerman, Belanda, New Zealand dan UK) merumuskan empat prinsip teras:

  1. Faham cara AI berfungsi dan risiko keselamatannya
  2. Nilai sama ada AI benar-benar wajar untuk kes penggunaan tersebut
  3. Wujudkan tadbir urus (governance) dalaman yang kukuh
  4. Tanam aspek keselamatan & keselamatan fizikal dalam setiap fasa kitar hayat AI

Walaupun dokumen ini lahir daripada konteks Amerika Syarikat, logiknya sangat terpakai untuk:

  • projek bandar pintar di Kuala Lumpur, Johor Bahru, Kuching atau Kota Kinabalu
  • pusat data kerajaan dan rangkaian awan sektor awam
  • sistem ICS/SCADA TNB, air, pengangkutan, pelabuhan, lapangan terbang
  • inisiatif keselamatan sempadan dan pemantauan bencana

Inilah sebabnya kerajaan di seluruh dunia, termasuk Malaysia, semakin menumpukan kepada “secure AI implementation” – bukan hanya “AI adoption”.

1. Faham Cara AI Berfungsi, Bukan Hanya Beli Solusi

Prinsip pertama CISA: jangan guna AI yang anda sendiri tak faham. Bukan bermaksud pegawai kerajaan perlu jadi saintis data, tetapi organisasi mesti faham sekurang-kurangnya di peringkat:

  • Jenis AI apa yang digunakan: machine learning, deep learning, model statistik, rules-based, atau gabungan?
  • Sumber data: data sensor OT, CCTV, data rangkaian, data cuaca, data identiti digital, dan sebagainya
  • Corak risiko: manipulasi data latihan, serangan prompt injection, keputusan yang berat sebelah, model drift, dan lain-lain

Contoh dalam konteks Malaysia

Bayangkan satu majlis bandaraya menggunakan AI untuk mengoptimumkan lampu isyarat bandar pintar. Sistem ini menyambung terus kepada pengawal trafik (operational technology – OT). Jika model AI dilatih dengan data yang tidak lengkap atau mudah dimanipulasi, hasilnya boleh jadi:

  • lampu isyarat diganggu sehingga menimbulkan kesesakan teruk
  • gangguan trafik yang boleh menjejaskan pergerakan ambulans atau bomba
  • serangan siber yang menggunakan AI sebagai pintu masuk ke sistem OT

Apa yang organisasi Malaysia patut buat?

  • Wujudkan latihan asas AI untuk pegawai IT, OT dan penggubal dasar – sekurang-kurangnya faham perbezaan data latihan vs data operasi, serta vektor serangan biasa ke atas model AI
  • Masukkan elemen "security by design" khusus untuk AI dalam dokumen keperluan projek (RFP, TOR, tender)
  • Minta pembekal menjelaskan bagaimana model mereka dilatih, diuji dan dipantau – bukan sekadar menunjukkan demo cantik

Realitinya, ramai organisasi beli solusi AI seperti beli sistem biasa. Bila berlaku isu keselamatan, barulah sedar mereka tak benar-benar faham apa yang dibeli.

2. Tanyakan Soalan Paling Penting: "Perlukah AI Di Sini?"

CISA menegaskan, bukan semua masalah perlukan AI. Ini nampak mudah, tapi inilah kesilapan yang banyak organisasi buat – guna AI kerana trend, bukan kerana keperluan.

Dalam konteks infrastruktur kritikal dan keselamatan nasional, soalan yang lebih penting ialah:

  • Adakah AI betul-betul menambah nilai berbanding automasi tradisional atau analitik biasa?
  • Apa implikasi jika model AI tersilap – contohnya salah ramal kegagalan peralatan loji jana kuasa?
  • Adakah data OT sensitif (contoh: konfigurasi SCADA, status sebenar grid) akan dipindahkan keluar negara, keluar rangkaian kerajaan atau ke pihak ketiga?

Hubungan dengan MyDIGITAL & AI sektor awam

Pelan MyDIGITAL menekankan penggunaan AI untuk:

  • automasi perkhidmatan awam
  • analitik keselamatan siber nasional
  • bandar pintar dan pengurusan trafik
  • pemantauan infrastruktur dan bencana

Pendekatan sihat yang selari dengan semangat CISA ialah:

  1. Kenal pasti kes guna bernilai tinggi – seperti predictive maintenance untuk aset kritikal, pengesanan anomali trafik rangkaian, atau pemadanan data bantuan sosial untuk kurangkan ketirisan.
  2. Bezakan antara high-risk dan low-risk use case – AI yang cadangkan bahan bacaan untuk portal pembelajaran kerajaan tidak sama risiko dengan AI yang memutuskan konfigurasi grid elektrik.
  3. Mulakan dengan persekitaran terkawal – sandbox atau projek perintis di rangkaian terasing sebelum dihubungkan ke OT sebenar.

Saya cenderung berpendapat: dalam sistem kritikal, AI patut jadi "decision support", bukan "decision maker" penuh. Manusia masih perlu berada "in the loop" untuk membuat keputusan terakhir dalam perkara yang menyentuh keselamatan.

3. Tadbir Urus AI: Dari Dasar Sampai Audit Model

Inilah bahagian yang paling ramai organisasi terlepas tangan. CISA memberi penekanan kuat kepada governance – struktur dalaman yang mengawal cara AI dibangunkan, diuji, digunakan dan diaudit.

Untuk agensi kerajaan Malaysia, tadbir urus AI yang matang sekurang-kurangnya merangkumi:

a) Struktur & peranan yang jelas

  • Jawatankuasa Tadbir Urus AI peringkat kementerian / agensi
  • Wakil daripada bahagian:
    • IT & keselamatan siber
    • OT / operasi (jika ada sistem fizikal)
    • perundangan & pematuhan
    • pengurusan risiko
    • pemilik data & pemilik proses perniagaan

b) Polisi & standard dalaman

  • Polisi penggunaan data sensitif untuk latihan model AI
  • Keperluan pematuhan undang-undang data peribadi dan keselamatan siber negara
  • Standard uji model sebelum dan selepas pelaksanaan (accuracy, bias, robustness, keselamatan)

c) Proses pemantauan berterusan

AI bukan sistem "pasang, jalan, lupa". Model boleh merosot prestasinya (model drift) bila persekitaran berubah. Jadi organisasi perlu:

  • memantau prestasi model secara berkala (contoh: bulanan/suku tahun)
  • merekod log keputusan AI dan menyimpan jejak audit
  • mempunyai proses untuk roll back atau menggantung model jika prestasi atau tingkah laku mencurigakan dikesan

Bagi projek-projek AI di bawah inisiatif AI in Government & Public Sector, agensi yang serius biasanya mula membina "AI governance playbook" mereka sendiri, terinspirasi daripada panduan seperti yang dikeluarkan CISA ini.

4. Keselamatan & Keselamatan Fizikal Dalam Setiap Fasa Projek AI

CISA mengingatkan: keselamatan bukan modul tambahan di hujung projek, tetapi perlu disemat dalam setiap fasa kitar hayat AI:

  1. Reka bentuk
  2. Pembangunan & latihan model
  3. Ujian & pengesahan
  4. Pelaksanaan (deployment)
  5. Operasi & pemantauan
  6. Tindak balas insiden & penambahbaikan

Apa maksudnya secara praktikal?

Untuk projek seperti pemantauan empangan, terowong, atau lebuh raya dengan AI, langkah-langkah berikut patut jadi kebiasaan:

  • Fasa reka bentuk

    • kenal pasti senario serangan: data dimanipulasi, model dipintas, API dieksploit
    • tentukan kawalan keselamatan: network segmentation, kawalan akses, penyulitan, zero trust untuk integrasi OT

  • Fasa pembangunan

    • gunakan dataset yang dipastikan integriti dan sumbernya
    • jalankan adversarial testing asas – bagaimana model bertindak bila data pelik atau berniat jahat dimasukkan

  • Fasa ujian

    • uji bukan sahaja ketepatan, tetapi ketahanan (robustness) dan tingkah laku tepi (edge cases)
    • buat ujian bersama pasukan keselamatan siber, bukan hanya pasukan data sains

  • Fasa operasi

    • pantau anomali pada kedua-dua peringkat: keputusan AI dan infrastruktur (CPU, trafik rangkaian, akses luar biasa)
    • wujudkan SOP jelas: bila AI bagi keputusan tertentu, siapa semak, siapa sahkan, siapa lulus

  • Insiden & pemulihan

    • latih pasukan insiden respons dengan senario khusus AI, contohnya: "model dipercayai dikompromi" atau "data latihan bocor"
    • rancang cara cepat menukar ke mod manual atau sistem konvensional jika mod AI perlu dimatikan

Pendekatan ini sejajar dengan keperluan keselamatan siber nasional di Malaysia, terutamanya untuk sektor tenaga, air, pengangkutan dan perkhidmatan kecemasan.

Apa Yang Boleh Dipelajari Agensi Kerajaan Malaysia Daripada CISA?

Bagi saya, mesej terbesar daripada panduan CISA ialah: AI untuk sektor awam dan infrastruktur kritikal mesti dipimpin oleh risiko, bukan oleh hype. Beberapa pelajaran utama yang relevan untuk Malaysia:

  1. Anggap AI sebagai sebahagian daripada landskap ancaman siber, bukan hanya alat produktiviti.
  2. Mulakan dengan kes guna yang jelas dan terkawal, bukan projek besar-besaran yang sukar dikawal risikonya.
  3. Bina keupayaan dalaman – kefahaman asas AI, kecekapan keselamatan siber, dan struktur tadbir urus.
  4. Selarikan dengan kerangka nasional seperti MyDIGITAL, dasar keselmatan siber negara, dasar data raya dan rancangan bandar pintar negeri.

Untuk organisasi yang sedang merangka pelan AI di sektor kerajaan dan sektor awam pada 2025–2026, pendekatan yang berkesan biasanya ada tiga fasa:

  1. Penilaian & perancangan

    • semak sistem kritikal sedia ada (OT dan IT)
    • kenal pasti di mana AI boleh bantu – dan di mana ia terlalu berisiko untuk sekarang
    • buat pelan hala tuju 12–24 bulan

  2. Perintis fokus & tadbir urus

    • pilih 1–3 projek perintis di setiap agensi
    • tetapkan struktur tadbir urus AI dan polisi keselamatan
    • ukur keberkesanan: masa respon, pengurangan insiden, penjimatan kos, peningkatan kebolehpercayaan

  3. Pengembangan berskala & pematangan

    • perluas projek berjaya ke agensi lain atau skala lebih besar
    • standardkan proses penilaian risiko AI di seluruh kementerian
    • wujudkan pusat kecemerlangan AI sektor awam untuk berkongsi amalan baik

Penutup: AI Mesti Menguatkan, Bukan Melemahkan Negara

CISA menegaskan bahawa objektif utama mereka ialah memastikan AI "menguatkan, bukan melemahkan" kebolehpercayaan dan keselamatan perkhidmatan kritikal. Nada ini sangat selari dengan aspirasi MyDIGITAL – menggunakan AI untuk memodenkan kerajaan dan ekonomi, sambil menjaga keselamatan siber dan kedaulatan data.

Untuk Malaysia, soalan besar hari ini bukan sekadar "berapa pantas kita boleh mengguna pakai AI", tetapi "seteguh mana asas keselamatan dan tadbir urus AI yang kita bina". Negara yang menang dalam perlumbaan AI bukan hanya yang paling banyak projek, tetapi yang paling bijak mengawal risiko sambil memaksimumkan manfaat.

Jika agensi anda sedang merancang atau melaksanakan projek AI – sama ada untuk bandar pintar, keselamatan siber, automasi perkhidmatan awam atau infrastruktur kritikal – ini masa terbaik untuk menilai semula:

  • Adakah kita faham model AI yang digunakan?
  • Adakah kes guna AI benar-benar wajar untuk risiko yang diambil?
  • Adakah tadbir urus, keselamatan dan pelan insiden kita cukup matang?

Jawapan jujur kepada tiga soalan ini sering membezakan antara projek AI yang menambah nilai negara, dan projek yang membuka pintu kepada masalah baharu.