Skandal Awan AS & Pengajaran Untuk AI Kerajaan

AI dalam Kerajaan & Sektor Awam••By 3L3C

Kes dakwaan awan di AS tunjuk kenapa tadbir urus AI, keselamatan awan dan identiti digital yang kukuh jadi penentu kepercayaan rakyat dalam projek kerajaan.

AI dalam kerajaankeselamatan awantadbir urus AIidentiti digitalsektor awam Malaysiakeselamatan siberperolehan kerajaan
Share:

Pada tahun 2025, Jabatan Kehakiman Amerika Syarikat mendakwa seorang bekas pengurus produk Accenture Federal Services kerana didakwa menyembunyikan kelemahan keselamatan sistem awan yang digunakan agensi kerajaan. Lebih 100 kawalan keselamatan dikatakan belum dilaksanakan, tetapi platform itu tetap dipasarkan sebagai sudah mematuhi standard tinggi FedRAMP dan rangka kerja keselamatan DoD.

Ini bukan sekadar kisah salah laku individu. Ini cerminan masalah lebih besar: bagaimana projek awan dan AI kerajaan boleh tergelincir bila tadbir urus, audit, dan integriti data dipandang ringan. Untuk Malaysia, yang sedang menggerakkan Pelan Induk Ekonomi Digital dan memperluas penggunaan AI dalam sektor awam, kes ini ialah amaran awal yang sangat berguna.

Dalam siri “AI dalam Kerajaan & Sektor Awam” ini, saya nak kupas apa sebenarnya berlaku dalam kes di AS itu, kenapa ia relevan kepada Malaysia, dan bagaimana tadbir urus AI, keselamatan awan dan identiti digital yang kukuh boleh mengelakkan skandal sebegini di projek kerajaan kita sendiri.

Apa Sebenarnya Berlaku: Ringkasan Kes Accenture di AS

Inti kes ini mudah: seorang pengurus kanan didakwa memanipulasi penilaian keselamatan dan mengelirukan kerajaan mengenai tahap keselamatan satu platform awan.

Berdasarkan dokumen dakwaan di AS:

  • Aktiviti berlaku antara Mac 2020 hingga November 2021.
  • Platform awan dipasarkan sebagai mematuhi FedRAMP High (standard keselamatan awan persekutuan AS) dan rangka kerja DoD Risk Management Framework.
  • Penilai luar memberi amaran bahawa lebih 100 kawalan keselamatan belum dilaksanakan.
  • Walaupun sudah diberi amaran, pengurus itu didakwa terus menolak dokumentasi dan membuat representasi palsu kepada penilai dan pegawai kerajaan.

Pendek kata: sistem belum bersedia, kawalan belum lengkap, tetapi kertas kerja “digamkan” seolah-olah semuanya cukup syarat.

Kenapa ini serius?

  • Awan kerajaan menempatkan data sensitif — pertahanan, rekod rakyat, operasi penting.
  • FedRAMP dan rangka kerja DoD wujud khusus untuk mengurangkan risiko kebocoran dan serangan siber.
  • Bila dokumentasi dimanipulasi, kerajaan membuat keputusan berdasarkan gambaran palsu. Itu bukan sekadar isu pematuhan, itu isu keselamatan negara.

Dari FedRAMP ke Malaysia: Di Mana Persamaannya?

Malaysia mungkin tak guna FedRAMP, tapi cabarannya sama: bagaimana nak pastikan sistem awan dan AI yang digunakan kementerian, PBT, dan agensi benar‑benar selamat — bukan sekadar "selamat di atas kertas".

Kita sudah ada beberapa rujukan penting:

  • Rangka Tindakan Ekonomi Digital Malaysia (MyDIGITAL) – tekankan infrastruktur awan, data raya dan AI untuk sektor awam.
  • Dasar Keselamatan Siber Negara (DKSN) – tekankan pengurusan risiko dan standard keselamatan bagi sistem kritikal.
  • Usaha ke arah identiti digital kebangsaan untuk memudahkan perkhidmatan awam digital.

Persamaan utama dengan kes di AS:

  1. Permintaan tinggi untuk awan kerajaan – bila permintaan tinggi, tekanan untuk mempercepatkan kelulusan juga meningkat.
  2. Standard teknikal yang kompleks – kawalan keselamatan bukan satu dua item, boleh jadi ratusan kawalan yang perlu dibuktikan.
  3. Jurang antara pengurusan dan pasukan teknikal – pengurusan mungkin fokus pada tarikh go‑live, pasukan teknikal pula bergelut menutup gap keselamatan.

Di sinilah tadbir urus AI dan keselamatan awan yang matang jadi pembeza. Tanpa struktur yang betul, kita akan ulang kesilapan sama: sistem dilancarkan sebelum cukup selamat, audit jadi ritual, dan laporan keselamatan ditulis untuk menyedapkan hati, bukan mencerminkan realiti.

Kenapa Tadbir Urus AI & Awan Dalam Kerajaan Tak Boleh Dipandang Ringan

Tadbir urus AI dan awan kerajaan bukan sekadar polisi di atas rak. Ia perlu menjawab tiga soalan asas:

  1. Siapa bertanggungjawab bila ada kegagalan atau penipuan?
  2. Bagaimana bukti pematuhan dikumpul dan disahkan?
  3. Bagaimana data audit disimpan supaya tak mudah dimanipulasi?

Dalam kes Accenture di AS, dakwaan utama ialah:

  • Penilaian bebas cuba dihalang.
  • Jurang keselamatan disorok dalam demonstrasi dan ujian.
  • Dokumen rasmi mengandungi maklumat yang pengurus tersebut tahu tidak tepat.

Kalau kita terjemah ke konteks Malaysia:

  • Bayangkan platform AI analitik video CCTV untuk bandar pintar yang belum cukup kawalan keselamatan tetapi tetap diberi sijil "secure".
  • Atau sistem identiti digital yang belum cukup kawalan perlindungan data, tetapi tetap digunakan untuk urusan bantuan tunai, subsidi, dan kesihatan.

Dalam senario begini, setiap kelemahan teknikal boleh bertukar menjadi:

  • Kebocoran data peribadi jutaan rakyat.
  • Penyalahgunaan identiti digital.
  • Manipulasi data dalam sistem AI yang digunakan untuk keputusan kerajaan (contoh: kelulusan bantuan atau pemprofilan risiko).

Ini sebab saya berpendapat: tadbir urus AI tanpa disiplin keselamatan awan dan audit yang kuat hanya memberi "comfort illusion" — rasa selamat, tapi sebenarnya rapuh.

Peranan AI dan Identiti Digital Dalam Mengawal Selia Projek Kerajaan

Ironinya, teknologi yang boleh disalahgunakan juga boleh digunakan untuk memantau dan mencegah salah laku — jika direka dengan betul.

1. AI sebagai "pemeriksa senyap" dalam audit keselamatan

Kerajaan dan agensi boleh gunakan AI untuk:

  • Menganalisis log konfigurasi sistem secara automatik dan mengesan kawalan keselamatan yang belum dilaksanakan.
  • Membandingkan apa yang tertulis dalam dokumen pematuhan dengan keadaan sebenar sistem (misalnya, AI menyemak sama ada encryption at rest benar‑benar diaktifkan untuk semua storan).
  • Mengesan corak pelik dalam proses audit – contohnya, bila terlalu banyak kawalan ditandakan "complete" dalam masa singkat tanpa perubahan konfigurasi yang jelas.

Ini secara terus menangani risiko seperti dalam kes AS, di mana jurang lebih 100 kawalan keselamatan boleh disorok di sebalik dokumentasi.

2. Identiti digital & jejak akauntabiliti

Rangka kerja identiti digital nasional yang dipercayai bukan hanya berguna untuk rakyat, tapi juga untuk pegawai kerajaan dan kontraktor:

  • Setiap tindakan kritikal (ubah konfigurasi, luluskan laporan audit, tandatangan kelulusan projek) direkod dengan identiti digital yang sah.
  • Rantaian akauntabiliti jelas: kita tahu siapa buat apa, bila, dan melalui sistem mana.
  • Penggunaan tandatangan digital dan rekod berasaskan prinsip "write‑once" membantu mengelak manipulasi rekod selepas kejadian.

Ini serasi dengan hala tuju Pelan Induk Ekonomi Digital Malaysia yang menekankan digital identity, data governance dan AI governance sebagai asas transformasi sektor awam.

3. AI untuk pemantauan kontrak dan perolehan kerajaan

Fraud dalam kontrak siber dan awan selalunya bermula dari kertas tender dan laporan kemajuan yang tak tepat. AI boleh membantu:

  • Mengimbas dokumen tender, laporan teknikal dan invois untuk mengesan percanggahan teknikal (contoh: vendor tuntut mematuhi standard X tetapi konfigurasi yang dihantar tak selari).
  • Menggunakan pemodelan risiko untuk mengenal pasti projek yang patut diberi keutamaan audit.
  • Menghubungkan data prestasi sistem (log uptime, insiden keselamatan) dengan klausa perjanjian perkhidmatan (SLA) untuk mengesan pelanggaran awal.

Cara ini jauh lebih praktikal berbanding bergantung 100% kepada audit manual yang mudah penat, terlepas pandang, dan kadangkala terdedah kepada tekanan dalaman.

Bagaimana Agensi Malaysia Boleh Elak "Sijil Atas Kertas" Dalam Projek Awan & AI

Kalau kita jujur, ramai organisasi – termasuk agensi kerajaan – pernah melalui fasa "asalkan sijil ada". Untuk projek awan dan AI yang bersentuh dengan data rakyat, pendekatan itu dah tak boleh diterima.

Beberapa langkah praktikal yang boleh diambil:

1. Pisahkan peranan pembangunan, audit dan kelulusan

Jangan biarkan:

  • Pasukan yang membina sistem menjadi pihak utama yang menyediakan semua bukti audit tanpa semakan bebas.
  • Tekanan tarikh pelancaran membuatkan pegawai menutup mata kepada kelemahan kritikal.

Struktur lebih selamat:

  • Pasukan pembangun / vendor: fokus pada implementasi kawalan.
  • Unit keselamatan / risk office: mengesahkan bukti teknikal, bukan hanya baca laporan.
  • Pengaudit bebas (dalaman/luaran): menguji secara hands‑on, termasuk ujian penembusan dan pemeriksaan konfigurasi.

2. Standardkan rangka kerja seperti "FedRAMP versi Malaysia"

Kita tak perlu menyalin FedRAMP bulat‑bulat, tapi prinsipnya berguna:

  • Senarai kawalan keselamatan minimum untuk setiap kelas sistem (rendah/sederhana/tinggi impak).
  • Proses penilaian yang konsisten untuk semua vendor awan dan AI yang ingin berkhidmat dengan kerajaan.
  • Repositori pusat status pematuhan, supaya satu agensi tak perlu mula dari kosong bila agensi lain sudah menilai vendor yang sama.

Sesetengah garis panduan sedia ada di Malaysia boleh dijadikan asas, tetapi perlu diketatkan untuk sistem berasaskan awan dan AI, terutama yang mengendalikan data berskala besar seperti bandar pintar dan perkhidmatan sosial.

3. Mandatkan bukti teknikal hidup, bukan hanya PDF

Dalam banyak insiden, masalah bermula kerana segala‑galanya bergantung pada dokumen statik:

  • Laporan konfigurasi boleh dipilih dan disusun.
  • Screenshot boleh diambil di persekitaran ujian, bukan sistem sebenar.

Pendekatan yang lebih tegas:

  • Bukti pematuhan perlu diambil secara langsung (live pull) daripada sistem pengurusan konfigurasi dan log.
  • Penilaian AI dan keselamatan awan dijalankan secara berkala (contoh bulanan), bukan hanya sekali masa fasa kelulusan.
  • Semua data audit disimpan dalam platform yang hanya boleh ditulis (append‑only), sukar untuk dikemaskini atau dipadam tanpa jejak.

4. Balas semula kepada budaya pelaporan jujur

Teknologi hanya separuh cerita. Separuh lagi ialah budaya kerja.

Saya pernah nampak sendiri dalam projek kerajaan: jurutera keselamatan sudah beri amaran, tapi laporan rasmi "diolah" supaya nampak lebih meyakinkan. Hujungnya, isu hanya meletup bila berlaku insiden sebenar.

Agensi perlu:

  • Menghargai laporan yang "berbunyi tak sedap" tapi jujur, berbanding laporan yang cantik di atas kertas.
  • Memberi perlindungan kepada whistleblower teknikal yang melaporkan isu keselamatan.
  • Menghubungkan KPI pengurus projek dengan ketepatan laporan risiko, bukan hanya kejayaan go‑live.

Mengikat Semula Dengan Pelan Induk Ekonomi Digital & Masa Depan AI Kerajaan

Pelan Induk Ekonomi Digital Malaysia menetapkan sasaran besar: lebih banyak perkhidmatan kerajaan digital, penggunaan AI dalam analitik keselamatan, pengurusan bandar pintar, kesihatan, pendidikan dan bantuan sosial. Semua ini bergantung pada dua asas utama:

  1. Infrastruktur awan kerajaan yang dipercayai.
  2. Tadbir urus AI dan identiti digital yang mantap.

Kes dakwaan terhadap bekas kakitangan Accenture di AS menunjukkan satu hakikat yang ramai tak suka dengar:

Teknologi kita mungkin canggih, tapi satu individu yang sanggup memanipulasi proses sudah cukup untuk menggagalkan seluruh sistem.

Jadi, kalau Malaysia nak mengembangkan AI dalam kerajaan tanpa hilang kepercayaan rakyat, beberapa perkara perlu jadi "biasa":

  • Audit keselamatan berasaskan AI yang berjalan di belakang tabir, bukan sekali‑sekala.
  • Identiti digital yang mengaitkan setiap keputusan penting kepada individu yang jelas akauntabilitinya.
  • Proses perolehan dan pematuhan yang telus, boleh diaudit semula, dan sukar dimanipulasi.

Ini bukan tentang memperlahankan inovasi. Ini tentang membina asas yang cukup kukuh supaya inovasi kerajaan – dari bandar pintar hingga perkhidmatan kebajikan berasaskan AI – tidak runtuh hanya kerana seorang pengurus memilih jalan pintas.

Jadi soalan untuk kita pada hujung tahun 2025 ini: bila agensi anda bercakap tentang AI, awan dan transformasi digital, adakah perbualan tentang tadbir urus, audit dan identiti digital sama kuatnya dengan perbualan tentang fitur dan demo yang menarik?

Jika jawapannya belum, mungkin ini masa yang sesuai untuk menyemak semula sebelum kita berdepan skandal versi tempatan.