Keselamatan Siber Kolaboratif untuk EdTech & AI Kampus

Paling ramai orang anggap keselamatan siber di kampus ialah kerja pasukan IT semata-mata. Itu silap besar—dan biasanya hanya disedari selepas berlaku insiden: akaun pensyarah diambil alih, data pelajar bocor, atau platform pembelajaran tergendala masa minggu peperiksaan.

Dalam siri “AI dalam Pendidikan dan EdTech”, saya makin yakin satu perkara: AI dan EdTech hanya boleh berkembang jika wujud kepercayaan. Kepercayaan pula datang daripada keselamatan—bukan keselamatan yang “membebankan”, tetapi keselamatan yang dibina bersama pengguna. Itulah inti pati keselamatan siber kolaboratif: strategi keselamatan yang dikongsi merentas fakulti, pentadbiran, penyelidik, pensyarah, pelajar, vendor EdTech, dan juga pihak pengurusan.

EDUCAUSE meletakkan “Collaborative Cybersecurity” sebagai isu #1 untuk 2026 dalam Top 10 mereka. Bagi institusi yang sedang mempercepat penggunaan AI (contohnya analitik pembelajaran, chatbot sokongan pelajar, penilaian automatik), mesejnya jelas: anda tak boleh “menguatkuasakan” keselamatan; anda kena “mereka bentuk” keselamatan bersama komuniti.

Kenapa keselamatan siber kolaboratif jadi kritikal bila AI masuk kelas

Jawapan ringkas: AI memperluas permukaan risiko—lebih banyak data, lebih banyak integrasi, lebih banyak akaun, lebih banyak pihak ketiga.

AI dalam pendidikan biasanya bergantung pada gabungan perkara berikut:

• Data pelajar (kehadiran, tugasan, log LMS, interaksi)
• Identiti digital (SSO, akaun awan, peranan)
• Aplikasi pihak ketiga (proctoring, video, kuiz, plugin)
• Peranti bercampur (BYOD: laptop peribadi, telefon, tablet)
• Akses luar kampus (rumah, kafe, latihan industri)

Bila ekosistem pembelajaran jadi berselerak (on-campus + off-campus), strategi keselamatan juga kena berselerak—dengan cara yang terurus. Di sinilah kolaborasi berperanan: bukan sekadar “hantar e-mel amaran phishing”, tetapi menyepadukan keselamatan ke dalam cara orang belajar dan bekerja.

Satu ayat yang saya selalu guna untuk yakinkan pemegang taruh: “Keselamatan siber bukan penghalang inovasi AI; ia syarat untuk inovasi itu kekal hidup.”

Dua teras keselamatan siber kolaboratif (yang kampus selalu terlepas pandang)

Jawapannya ada dua: integrasi dalam kerja harian dan kehadiran pasukan keselamatan yang dekat dengan komuniti.

1) Integrasi: jadikan keselamatan sebahagian daripada aliran kerja

Kebanyakan program keselamatan kampus masih bergantung pada pendekatan “lapisan atas”:

• latihan setahun sekali,
• kempen poster,
• simulasi phishing berkala.

Ia bukan tak berguna, tetapi kesannya cepat pudar jika pengalaman harian pengguna masih menyakitkan. Bila keselamatan terasa melambatkan kerja—orang akan cari jalan pintas.

Apa yang lebih berkesan ialah keselamatan yang ‘fit’ dengan rutin:

• MFA tolak-sah (push) yang mesra pengguna dan konsisten untuk semua sistem penting
• Prinsip “least privilege”: akses minimum yang perlu, bukan “bagi semua sebab senang”
• Permintaan akses yang jelas sebabnya, cepat diluluskan, dan ada tempoh tamat automatik
• “Default selamat” untuk perkongsian fail awan (contohnya pautan berhad masa, akses ikut kumpulan)

Di kampus, integrasi ini mesti dibuat bersama pengguna. Contoh praktikal:

• Jika pensyarah perlu muat naik markah dari luar kampus, jangan sekat terus. Bina aliran kerja: VPN mudah, atau akses SSO + MFA, plus peraturan peranti minimum.
• Jika penyelidik perlu kongsi dataset sensitif dengan kolaborator luar, jangan suruh “jangan kongsi”. Sediakan ruang data selamat (secure storage) dengan peranan, audit log, dan templat perjanjian akses.

Satu prinsip yang membantu: “Kalau pengguna tak faham ‘kenapa’, mereka akan cipta ‘cara’ sendiri.” Dan ‘cara’ sendiri itu biasanya tak selamat.

2) Kehadiran: pasukan keselamatan mesti dikenali sebelum krisis

Keselamatan siber kolaboratif perlukan pasukan keselamatan yang terlihat—bukan hanya muncul selepas insiden.

Di banyak institusi, pasukan keselamatan dilihat sebagai “polis”: tegas, jauh, dan suka menolak permintaan. Bila itu budaya yang wujud, staf dan pelajar akan:

• senyap bila tersilap klik,
• lambat lapor,
• cuba tutup kes,
• atau terus guna aplikasi “shadow IT”.

Pendekatan lebih matang ialah membina hubungan:

• wakil keselamatan hadir dalam mesyuarat fakulti/penyelidikan secara berkala
• klinik ringkas “tanya apa-apa” (15–30 minit) di perpustakaan atau ruang digital
• saluran sokongan yang mesra (contohnya “Boleh saya semak e-mel ini?” tanpa rasa malu)

Bila orang kenal muka dan nada pasukan keselamatan, mereka akan bertanya lebih awal. Itu menjimatkan masa, wang, dan reputasi.

Kajian kes yang patut ditiru: perbualan telus tentang risiko (Durham University)

Jawapannya: masukkan risiko siber ke dalam bahasa pengurusan risiko organisasi—bukan bahasa teknikal IT semata-mata.

Dalam contoh Durham University, mereka mencipta mekanisme perbualan yang telus antara IT dan penyelidik untuk seimbangkan:

• kawalan & keselamatan,
• dengan kebebasan & fleksibiliti penyelidikan.

Yang menarik, jabatan penyelidikan mula meletakkan risiko siber dalam daftar risiko jabatan, kemudian “naik” ke daftar risiko institusi. Ini nampak formal, tapi impaknya besar:

• risiko jadi tanggungjawab bersama, bukan “masalah IT”
• keputusan keselamatan boleh dibuat dengan konteks (nilai data, impak, kebarangkalian)
• IT pula dapat faham keperluan sebenar penyelidik, lalu menambah baik pendekatan keselamatan

Untuk kampus yang sedang gunakan AI—contohnya model ramalan keciciran pelajar—model ini sangat relevan. Data pelajar bukan sekadar data operasi; ia aset institusi yang memerlukan tadbir urus dan pemilikan yang jelas.

“Keselamatan siber paling kuat bila jabatan sendiri boleh terangkan risikonya—bukan bila IT terpaksa menjerit dari tepi.”

Bagaimana nak mulakan dalam 60 hari (tanpa projek mega)

Jawapannya: mulakan dengan perubahan kecil yang mengurangkan geseran, kemudian bina struktur kerjasama.

1) Buat peta aliran kerja EdTech & AI yang “kritikal”

Pilih 3 aliran kerja yang paling banyak melibatkan data dan paling kerap digunakan. Contohnya:

• log masuk LMS + integrasi alat kuiz pihak ketiga
• pemprosesan markah + eksport ke sistem akademik
• penggunaan AI untuk semakan tugasan atau chatbot fakulti

Untuk setiap aliran kerja, tanya:

• Siapa pengguna utamanya?
• Data apa yang terlibat (biasa, sensitif, sangat sensitif)?
• Di mana data disimpan (awan, on-prem, peranti)?
• Apa “jalan pintas” yang orang selalu buat?

Hasil peta ini jadi asas perbincangan—bukan audit untuk menyalahkan.

2) Tukar latihan tahunan kepada mikro-pembelajaran

Latihan panjang setahun sekali biasanya gagal kerana dua sebab: orang lupa, dan kandungan tak kena konteks.

Cuba pendekatan mikro-pembelajaran:

• 5 minit, 1 topik, 1 tindakan
• dihantar mengikut musim akademik (contohnya awal semester, minggu peperiksaan, musim penyelidikan)

Pada Disember seperti sekarang (21/12/2025), ramai staf sedang menutup semester dan mengurus data akhir tahun. Ini masa sesuai untuk modul ringkas seperti:

• cara kongsi fail markah dengan selamat
• semak e-mel “invoice/perolehan” palsu (serangan lazim hujung tahun)
• tetapan privasi untuk rakaman kelas

3) Wujudkan “rakan keselamatan” di fakulti dan pentadbiran

Pilih seorang wakil setiap fakulti/jabatan (bukan semestinya teknikal) sebagai “security buddy”:

• bantu sampaikan isu lapangan
• uji perubahan polisi sebelum dilaksana
• jadi jambatan komunikasi bila berlaku insiden

Ini cara paling cepat untuk jadikan keselamatan kolaboratif, bukan berpusat.

4) Standardkan dua kawalan: MFA + least privilege

Jika anda perlu pilih dua langkah yang paling berbaloi untuk ekosistem AI/EdTech, pilih ini:

1. MFA wajib untuk akaun staf, pentadbir sistem, dan akses data sensitif
2. Least privilege untuk akses data pelajar dan tetapan integrasi pihak ketiga

Kuncinya ialah pelaksanaan bersama pengguna:

• tetapkan pengecualian yang jelas (contohnya makmal tertentu) dan ada tempoh semakan
• bina proses permintaan akses yang cepat (SLA dalaman)

5) Jadikan vendor EdTech sebahagian daripada perbualan risiko

AI dan EdTech jarang berdiri sendiri. Vendor perlu masuk dalam perbincangan awal:

• apa data yang dikumpul?
• berapa lama disimpan?
• siapa sub-pemproses?
• bagaimana audit log dan pemadaman data dibuat?

Jika vendor tak boleh jawab soalan asas ini, itu petanda merah—bukan “nanti kita tengok”.

Soalan lazim yang saya dengar (dan jawapan terus-terang)

“Kalau kita ketatkan keselamatan, pensyarah dan pelajar akan merungut.”

Betul—kalau anda tambah geseran tanpa bantu mereka capai kerja. Tapi bila keselamatan disepadukan dengan aliran kerja, rungutan biasanya turun. Fokus pada UX keselamatan: log masuk mudah, akses jelas, dan sokongan cepat.

“Kami institusi kecil. Perlu juga pendekatan kolaboratif?”

Ya. Institusi kecil biasanya lebih bergantung pada beberapa orang penting dan proses manual. Itu buat risiko lebih tertumpu. Kolaborasi membantu sebarkan tanggungjawab dan kurangkan kebergantungan pada “hero IT”.

“AI boleh bantu keselamatan siber kampus?”

Boleh—untuk pemantauan anomali, triage tiket, dan analisis log. Tapi AI juga bawa risiko baharu (contohnya data latihan, kebocoran prompt, akses plugin). Kolaborasi memastikan penggunaan AI selamat dan diterima, bukan sekadar ‘dipasang’.

Keselamatan siber kolaboratif ialah prasyarat AI pendidikan yang dipercayai

AI dalam pendidikan menjanjikan pembelajaran diperibadikan dan sokongan pelajar yang lebih pantas. Tapi bila data bocor atau akaun diambil alih, kepercayaan hilang serta-merta—dan susah nak bina semula.

Langkah yang paling realistik untuk 2026 bukan membeli lebih banyak alat, tetapi membina kerjasama: selaraskan keselamatan dengan cara orang mengajar, belajar, dan menyelidik. Integrasikan kawalan ke dalam rutin. Jadikan pasukan keselamatan dekat dengan komuniti. Masukkan risiko siber ke dalam bahasa pengurusan institusi.

Jika anda sedang merancang peluasan AI dan EdTech untuk semester baharu, tanya pasukan anda satu soalan yang tajam: siapa rakan kolaborasi keselamatan siber kita—di luar IT—yang benar-benar terlibat hari ini?