Subscribe Us

Followers, sila tinggalkan link blog saudara saudari ya. Terima kasih sudi mengikuti blog biasa ini

Lindungi data daripada penggodam

Lindungi data daripada penggodam

Assalamualaikum dan selamat sejahtera. Artikel berkaitan di bawah, saya salin dari artikel di megabait sisipan Utusan Malaysia.

Lindungi data daripada penggodam

Soalan:

Baru-baru ini sebuah laman web syarikat gergasi dalam dunia permainan video telah diceroboh.

Data-data sulit pengguna seperti kad kredit, kad pengenalan dan sebagainya telah digodam dan disebarkan oleh pihak yang tidak bertanggung jawab.

Bagaimanakah cara yang ideal untuk kita melindungi data-data sulit pengguna sebagai sebuah syarikat?
-Ameen, Mengkarak

JAWAPAN:

DALAM hal ini pihak berkenaan juga telah mengakui masalah tersebut dan meminta maaf secara terbuka kepada pelanggan-pelanggan mereka. Ini adalah sikap yang perlu dicontohi dalam profesionalisme dunia teknologi maklumat.

Walaupun berstatus tinggi ke tahap profesor atau memiliki ijazah sarjana doktor falsafah sekali pun, perlu ada beberapa kesilapan atau kelemahan yang tidak dijangka dan disedari. Sekiranya berlaku, akuilah kesilapan itu dengan rendah diri dan azam yang kuat untuk menyelesaikannya.

Bagi perlindungan data atau keselamatan teknologi maklumat, ia perlu dilaksanakan secara proaktif iaitu perlu ada perancangan dalam melaksanakan kaedah-kaedah pencegahan keselamatan teknologi maklumat ini.
Satu masalah dalam perkara ini adalah ia memerlukan modal yang tinggi dan tenaga kerja yang mahir.

Hasilnya jua agak sukar untuk dijangkakan atau ditunjukkan kepada pihak pengurusan melainkan sehinggalah berlakunya pencerobohan data atau maklumat tersebut.

Di sini, pihak teknologi maklumat perlu bijaksana dalam membentang perancangan tersebut berserta dengan angka-angka pulangan pelaburan kepada syarikat.



Ini kerana kos untuk mengembalikan data atau maklumat yang telah hilang atau rosak adalah sangat tinggi berbanding dengan kos pelaburan untuk pencegahan pencerobohan keselamatan teknologi maklumat. Ia perlu dianalisis dan dibuat perbandingan dengan lebih teliti.

Secara umumnya, saya nyatakan di sini perlu ada tiga perkara paling asas dalam perlaksanaan pencegahan pencerobohan keselamatan teknologi maklumat ini iaitu 3P yang merangkumi faktor-faktor perimeter keselamatan, pendidikan dan polisi.

Faktor perimeter keselamatan merupakan alat-alat dan teknik-teknik keselamatan yang perlu ada dalam sistem keselamatan teknologi maklumat seperti penggunaan Firewall, Intrusion Detection System, Intrusion Prevention System, perisian antivirus, teknik DMZ (Demilitirized Zone) dan sebagainya.

Di sebalik itu, tenaga kerja yang pakar dan terlatih diperlukan untuk mengurus dan mengendalikan dengan baik perimeter-perimeter keselamatan teknologi maklumat ini.

Satu sistem keselamatan teknologi maklumat yang menyeluruh perlu dilaksanakan ke atas kesemua infrastruktur dan kemudahan teknologi maklumat yang ada dalam sesebuah syarikat atau organisasi.

Kemudian, faktor pendidikan iaitu kesemua para pekerja dan pelanggan yang terlibat dengan penggunaan komputer dan sistem maklumat bagi sesebuah syarikat, perlu dididik dengan betul untuk menggunakannya dengan bijaksana dan selamat. Ini penting kerana dengan sistem perimeter keselamatan yang canggih belum tentu ia terjamin dapat melindungi keselamatan sesebuah maklumat atau data.

Sebagai contoh, apabila berlaku pencerobohan sesuatu akaun bank pengguna di internet, pihak bank menyatakan mereka mempunyai sistem keselamatan yang kukuh dan menyalahkan pihak pengguna yang tidak mengendalikan dengan betul penggunaan akaun bank mereka.

Walhal, pengguna akaun bank tersebut tidak dididik dengan betul dan bijaksana oleh pihak bank terbabit. Mereka hanya mempromosi dengan gigih berkenaan dengan perbankan internet kepada pengguna tetapi tidak bagaimana menggunakan perbankan internet secara bijaksana dan selamat.

Pengguna dan pelanggan yang tidak dapat menggunakan infrastruktur teknologi maklumat dengan betul dan selamat akan menjadi sasaran kepada pihak penceroboh dengan pelbagai teknik penipuan seperti kejuruteraan sosial, phising, fraud dan sebagainya.

Jabatan Teknologi Maklumat perlu membuat banyak kempen kesedaran dengan menyediakan poster-poster panduan keselamatan siber dan sebagainya seperti apa yang dilakukan oleh pihak CyberSecurity Malaysia ketika ini untuk kempen penggunaan Internet yang selamat di kalangan rakyat di Malaysia.

Pihak syarikat atau organisasi juga boleh berkerjasama dengan pihak CyberSecurity Malaysia.

Seterusnya adalah faktor polisi iaitu apa yang boleh dibuat dan apa yang tidak boleh dibuat oleh seseorang dalam mengendalikan sesuatu infrastruktur dan perkhidmatan teknologi maklumat bagi sesebuah syarikat atau organisasi.

Setiap penggunaan perkhidmatan teknologi maklumat seperti komputer, Internet, sistem maklumat, rangkaian komputer dan sebagainya perlu ada polisi keselamatan tersendiri di samping polisi keselamatan teknologi maklumat yang umum. Ia merupakan faktor kawalan yang penting terhadap pengunaan kemudahan teknologi maklumat bagi sesebuah syarikat atau organisasi.

Sekiranya berlaku sesuatu yang tidak diingini, ada polisi keselamatan yang akan cuba mengimbanginya.
Sebagai contoh, para pekerja tidak dibenarkan melayari laman web lucah, laman web sosial dan sebagainya pada masa bekerja.

Sekiranya berlaku, ada tindakan susulan yang akan dikenakan kepada para pekerja terbabit oleh pihak syarikat seperti penggantungan kerja, denda dan sebagainya.

Kunci utama bagi perlindungan data pengguna bagi sesebuah syarikat adalah perlu diketahui berkenaan dengan di mana dan bagaimana data itu disimpan, siapa yang boleh mencapainya, bagaimana untuk melindungi data tersebut daripada dicuri, disebar dan dikongsi di kalangan penyangak teknologi. Selain itu, maklumat dan bagaimana untuk melindungi pengguna daripada serangan penipuan menerusi e-mel palsu.

Seterusnya akan dibincangkan panduan perlindungan data pengguna secara lebih spesifik dan teknikal.

Hadkan capaian kepada data penguna

Kebanyakan data pengguna pada hari ini boleh dicapai secara terbuka menerusi talian Internet.

Bagaimanapun, polisi keselamatan berkenaan data-data pengguna termasuk capaiannya amat jarang dikuatkuasakan di kalangan sesebuah syarikat.

Dalam sesebuah syarikat, kita selalu membuat analisis kepada pangkalan data pengguna untuk mengetahui siapa yang mencapainya dan jenis data apa yang dicapainya.

Perlu diketahui bahawa tidak semua pengguna yang sah perlu mencapai kesemua jenis data yang tertentu.
Dengan itu, amat perlu dihadkan capaiannya kepada beberapa orang pekerja sahaja.

Perkasakan keselamatan perisian dan rangkaian

Kebiasaannya, data-data kewangan disimpan dengan lebih selamat dan ketat.

Malah, ada yang mengasingkan data-data tersebut bagi mengelakkan ia dicapai daripada luar dan sebagainya. Jadi, maksud yang sama perlu dilakukan terhadap data-data pengguna yang mungkin kaedah-kaedah keselamatannya yang berbeza.

Perlaksanaan perkara ini oleh pihak syarikat boleh merujuk kepada mana-mana panduan yang disediakan oleh pihak-pihak berkuasa keselamatan siber di peringkat negara atau antarabangsa.

Pihak yang boleh dirujuk di Malaysia adalah seperti CyberSecurity Malaysia. Ia juga boleh dirujuk di satu alamat URL iaitu  https://www.pcisecuritystandards. org/security_standards/index.php

Ia disediakan oleh sebuah badan antarabangsa iaitu sebuah lembaga bagi piawaian keselamatan data privasi individu.

Seterusnya, semua maklumat pengguna perlu dienkripkan pada peringkat pangkalan data lagi.

Antara perimeter keselamatan yang boleh diaplikasikan untuk fokus kepada melindungi maklumat atau data pengguna ialah seperti teknik tokenisasi, perisian anti-phising, audit keselamatan dan lain-lain.

Minta bantuan perundangan

Apabila berlaku pencerobohan maklumat pengguna, saman boleh dikenakan oleh pihak pengguna kepada sesebuah syarikat.

Pihak syarikat juga perlu mengeluarkan kos untuk mengembalikan semula data yang hilang atau rosak dan beberapa jenis pembayaran kepada pihak pengguna.

Jadi, ia perlu meminta bantuan perundangan daripada pihak yang pakar untuk mengetahui apakah jenis perlindungan yang boleh disediakan dan apakah bentuk jaminan yang boleh diberikan sekiranya berlaku pencerobohan terhadap data pengguna.

Perbincangan dengan pihak pakar perundangan perlu dibuat untuk melindungi keselamatan bagi pihak pengguna dan organisasi yang mengendalikan sesebuah sistem maklumat.

Dengan itu, perlu juga ditentukan nilai bayaran yuran perundangan dan penalti-penalti kewangan yang lain.
Pihak pakar perundangan juga perlu menyediakan draf-draf dengan bahasa perundangan yang wajar bagi penyediaan laman web, dokumentasi pelanggan dan kontrak bagi pembekal.

Perkasakan keselamatan capaian data oleh pihak pembekal atau rakan kongsi.

Kadang kala, ada maklumat pengguna perlu dicapai oleh pihak pembekal atau rakan kongsi.

Dengan itu, pastikan mod capaiannya dilindungi dan berada dalam perimeter keselamatan yang baik.

Sebagai contoh, menggunakan alamat IP untuk menentu kebolehcapaian bagi seseorang dalam konfigurasi firewall.

Hanya lingkungan alamat IP yang berada dalam firewall sahaja yang boleh mencapai maklumat dan e-mel pengguna.

Selain daripada itu, ia akan dihalang oleh perimeter firewall ini.

Sekiranya ada pihak ketiga yang menyimpan data pengguna bagi pihak organisasi, pastikan diketahui dengan mendalam berkenaan dengan bagaimana ia disimpan dan dilindungi sepenuhnya.

Apakah perimeter-perimeter keselamatan yang digunakan oleh pihak tersebut?

0 Comments:

Disclaimer

(c) Blog ini bukanlah pandangan rasmi pemilik blog atau majikan pemilik blog. Pemilik blog adalah tidak bertanggungjawab bagi apa-apa kehilangan atau kerugian yang disebabkan oleh penggunaan mana-mana maklumat yang diperolehi dari laman blog ini .