perspektif sektor awam dan industri semasa - anm.gov.my · organisasi memiliki aset yang boleh...
TRANSCRIPT
PENGUKUHAN KESELAMATAN
SISTEM PERAKAUNAN & KEWANGAN
Perspektif Sektor Awam dan
Industri Semasa
Bahagian Khidmat Perunding
Jabatan Akauntan Negara Malaysia
Mengapa
Keselamatan
Sistem?
Setiap sistem maklumat yang diakses secara atas talian (LAN
/ WAN) adalah terdedah kepada:
SERANGAN SIBER
Sistem Kewangan dan Perakaunan diakses melalui
rangkaian komputer, sama ada secara Local Area Network
(LAN) atau Wide Area Network (WAN)
2
Setiap organisasi
adalah terdedah
kepada serangan
siber.
Organisasi memiliki aset yang boleh dimanipulasi untuk
tujuan berikut:
3
Mengapa
Keselamatan
Sistem?
Setiap organisasi
adalah terdedah
kepada serangan
siber. KEUNTUNGAN KEWANGAN
o Penggodam mendapatkan
maklumat maklumat sensitif
dalam organisasi untuk tujuan
keuntungan kewangan.
BUKAN KEWANGAN
o Hacktivism
o Espionage
o Intellectual Challenge
ENTITI – Organisasi,
Pembekal, Pelanggan & Staf
4
Mengapa
Keselamatan
Sistem?
Setiap organisasi
adalah terdedah
kepada serangan
siber.CONTOH DATA - No. Akaun
Bank, Kad Kredit, Kad Debit,
Data Gaji dan lain-lain
MAKLUMAT KEWANGAN
ENTITI – Pembekal,
Pelanggan & Staf
CONTOH DATA – Nama,
Alamat, No. Telefon, Emel dan
lain-lain data individu.
MAKLUMAT INDIVIDU
Serangan siber dilancarkan untuk mendapatkan data-data
berikut:
ENTITI – Semua sistem
aplikasi dalam organisasi.
5
Mengapa
Keselamatan
Sistem?
Setiap organisasi
adalah terdedah
kepada serangan
siber.CONTOH DATA – Login
credentials dan data-data
dalam sistem.
MAKLUMAT SISTEM
APLIKASI
ENTITI – Infrastruktur dan
Perkhidmatan ICT
CONTOH DATA – Senarai
perkakasan, perisian, integrasi
sistem, perkhidmatan online.
MAKLUMAT
PERKHIDMATAN ICT
Serangan siber dilancarkan untuk mendapatkan data-data
berikut:
ENTITI – Lain-lain maklumat yang
bernilai kepada penggodam.
6
Mengapa
Keselamatan
Sistem?
Setiap organisasi
adalah terdedah
kepada serangan
siber.CONTOH DATA – Harta intelek
dan lain-lain data.
LAIN LAIN MAKLUMAT
Serangan siber dilancarkan untuk mendapatkan data-data
berikut:
“
7
Sesi kejut minda…
Case Study
Sekumpulan penggodam profesionalmengintip dan mencuri maklumat melaluisistem online kewangan organisasi. Maklumat-maklumat tersebutdiperdagangkan kepada syarikat-syarikatyang mensasarkan pemasaran kepadaindividu. Melalui maklumat yang diperoleh, syarikat-syarikat pemasaranmempromosikan produk mereka kepadaindividu menggunakan emel dan panggilantelefon.
Tentukan:a) Tujuan serangan siber oleh kumpulan
penggodam profesional.b) Berikan jenis maklumat yang digodam
beserta contoh data.
8
Mengapa
Keselamatan
Sistem?
Setiap organisasi
adalah terdedah
kepada serangan
siber.
Serangan siber boleh berpunca dari dalam (insiders) atau
luar (outsiders):
INSIDERS OUTSIDER
S
TH
RE
AT
Individu yang
mempunyai
akses secara
fizikal atau
remote access
kepada asset
ICT organisasi.
Ancaman
individu sama
ada secara
sengaja atau
tidak.
Kumpulan
penjenayah
terancang.
Penggodam
profesional,
sama ada
berniat baik
atau jahat.
Penggodam
amatur.
Malware
Perisian yang disebarkan untuk
menggagalkan operasi
komputer.
Contoh: Virus, worm, trojan
horse dan lain-lain.
Phishing
Taktik penipuan dengan cara
menghantar emel
menggunakan organisasi
ternama untuk mendapatkan
maklumat peribadi mangsa.
Contoh: Emel palsu dari bank
meminta untuk kemaskini data
peribadi.
SQL Injection
Suntikan SQL Statement yang
berniat jahat untuk mengawal
atau merosakkan database
sistem.
9
Cross Site Scripting (XSS)
Suntikan kod berniat jahat ke
laman web ternama, tetapi
bertujuan untuk menyerang
pelawat laman web tersebut.
Denial-of-Services
Serangan ke atas sistem online
dengan menghantar data yang
sangat banyak sehingga trafik
rangkaian sesak dan sistem
tidak dapat diakses.
Session Hijacking
Cookie hijacking yang
mengeksploitasi computer
session / session key untuk
mendapatkan akses kepada
sistem maklumat.
Mengapa
Keselamatan
Sistem?
Setiap organisasi
adalah terdedah
kepada serangan
siber.
Jenis serangan siber adalah seperti berikut:
Man-in-the-Middle
Penggodam meletakkan
mereka sebagai proxy
komunikasi antara dua pihak,
untuk tujuan mencuri data.
Credential Reuse
Teknik penggodam mencuri
maklumat ID Pengguna dan
kata laluan untuk mengakses
akaun-akaun atas talian.
Brute Force
Cubaan log masuk ke akaun
pengguna dengan meneka kata
laluan secara rawak melalui
automasi perisian.
10
Mengapa
Keselamatan
Sistem?
Setiap organisasi
adalah terdedah
kepada serangan
siber.
Jenis serangan siber adalah seperti berikut:
Sikap Kita!
11
Kajian Pew Research Center (2017)
“Kita masih melakukan kesilapan lama, kesilapan
yang sama, kesilapan asas dalam keselamatan
siber”
Rujukan:
https://www.onlineowls.com/5-reasons-
cybersecurity/
“#Contoh 1 : “Serangan siber tidak akan berlaku kepada
saya / organisasi saya”
12
OPTIMISM BIAS
o Saiz perniagaan kami kecil.
o Kami tidak mempunyai apa-
apa nilai kepada penggodam
o Syarikat kami tidak
memegang tunai yang banyak
o Kami tidak menjalankan
perniagaan atas talian.
o Saiz perniagaan kami tidak
setanding dengan pesaing.
o Kami bukan sasaran. Malah
tiada dalam skop sasaran.
“#Contoh 2 : Kata laluan yang mudah
13
KATA LALUAN LEMAH
o Memberi laluan kepada
penjenayah siber untuk
mendapatkan kata laluan yang
mudah.
o Penggodam menggunakan
kaedah brute-force untuk
mendapatkan kata laluan.
o Penguatkuasaan sektor awam
dan industri semasa untuk
cipta kata laluan yang
kompleks secara paksa.
“#Contoh 3 : Mengambil mudah ke atas naik taraf
perisian
14
SOFTWARE UPDATE
o Favourite button [Remind Me
Later].
o Penjenayah siber mengambil
kesempatan ke atas
kelemahan sistem dalam versi
terdahulu.
“#Contoh 4 : Tidak peka kepada emel palsu
15
FAKE EMAIL
o Tidak memeriksa kesahihan
pengirim atau kandungan
emel.
o Membalas emel dengan
memberi maklumat sensitif.
o Membuka attachment tanpa
memeriksa kandungan emel
dan kesahihan pengirim.
o Klik pada pautan yang
disediakan dalam emel dan
mengikut arahan seterusnya.
“#Contoh 5 : Media sosial – The next playing field
16
KETERUJAAN STATUS
o Lebih banyak update status,
lebih luas ruang kepada
penggodam untuk melakukan
jenayah.
“
17
Sesi kejut minda…
Case Study
Ali berpendapat dia tidak mempunyai apa-apa harta dan kekayaan. Beliau telahmenetapkan kata laluan semua akaunperbankan atas talian kepada “Ali1234”, “Wax9908” dan “rotiCanai2018”.
Tentukan:Dua (2) sikap yang menunjukkan kelemahandalam kawalan keselamatan siber yang memberi motivasi kepada penggodamuntuk menggodam maklumat Ali.
PENGUKUHANKESELAMATAN SISTEM PERAKAUNAN DAN KEWANGAN SEKTOR AWAM
18
Pengukuhan
Keselamatan
Sistem
KEMUSNAHAN ATAU
KETIDAKUPAYAANNYA
BERFUNGSI MEMBERI
IMPAK BURUK KEPADA:
o Kekuatan ekonomi
Negara.
o Imej nasional.
o Pertahanan dan
keselamatan Negara.
o Sistem Penyampaian
Kerajaan.
o Keselamatan dan
kesihatan awam.
Semua aset (fizikal & maya), sistem atau proses yang
penting kepada negara:
19
Critical National
Information
Infrastructure
SEKTOR CNII
o Pertahanan dan keselamatan
Negara.
o Perbankan dan kewangan.
o Maklumat dan komunikasi.
o Tenaga.
o Air
o Pengangkutan.
o Perkhidmatan kesihatan.
o Sektor Kerajaan.
o Perkhidmatan kecemasan.
o Makanan dan pertanian.
Pengukuhan
Keselamatan
Sistem
TUJUAN
o Memberi panduan asas
serta merangkumi kesemua
komponen keselamatan
yang perlu diambil kira oleh
kementerian dan agensi
sektor awam untuk
melindungi maklumat dalam
ruang siber.
20
Rangka Kerja
Keselamatan Siber
Sektor Awam –
RAKKSSA (2016)
SKOP RUANG SIBER
o Sistem teknologi maklumat
dan komunikasi.
o Maklumat yang disimpan
dalam sistem.
o Manusia yang berinteraksi
dengan sistem secara fizikal
atau maya.
o Persekitaran fizikal sistem
disimpan/ditempatkan.
OBJEKTIF
o Memastikan keselamatan penyampaian perkhidmatan Sektor Awam
sekaligus meningkatkan tahap keyakinan kepada pihak
berkepentingan (agensi Kerajaan, industri dan orang awam).
Pengukuhan
Keselamatan
Sistem
21
8 KOMPONEN RAKKSSA
Rangka Kerja
Keselamatan Siber
Sektor Awam –
RAKKSSA (2016)
KENAL PASTIPersekitaran fungsi Jabatan, polisi dan struktur tadbir urus
serta aset yang perlu dilindungi, risiko berkaitan dan
pengurusan risiko.
LINDUNGMenentukan prinsip keselamatan, kompetensi manusia dan
teknologi yang diperlukan bagi memitigasi risiko yang telah
dikenal pasti.
KESANAncaman serangan berniat jahat dengan menekankan
kepada anomali dalam penggunaan dan corak trafik
rangkaian.
Pengukuhan
Keselamatan
Sistem
22
8 KOMPONEN RAKKSSA
Rangka Kerja
Keselamatan Siber
Sektor Awam –
RAKKSSA (2016)
TINDAK BALASKepada serangan berniat jahat semasa dan selepas kejadian.
PULIHMelaksanakan tindakan pemulihan terhadap kerosakan yang
disebabkan oleh serangan berniat jahat dan kegagalan
sistem untuk memastikan ketersediaan data.
PEROLEHMemastikan keperluan dan langkah keselamatan
dilaksanakan pada setiap peringkat kitar hayat sistem.
Pengukuhan
Keselamatan
Sistem
23
8 KOMPONEN RAKKSSA
Rangka Kerja
Keselamatan Siber
Sektor Awam –
RAKKSSA (2016)
AUDIT KESELAMATANMenggariskan skop audit dan pihak berkuasa audit.
KUAT KUASAMenggariskan skop penguatkuasaan dan pihak berkuasa
penguatkuasaan.
Pengukuhan
Keselamatan
Sistem
OBJEKTIF
o Garis panduan bertujuan
memenuhi keperluan
minimum bagi menyokong
Akta Aktiviti Kerajaan
Elektronik 2007 dalam
memudah cara transaksi
elektronik.
24
Arahan Teknologi
Maklumat (2007)
SKOP ARAHAN IT
o Sistem aplikasi.
o Keperluan-keperluan
keselamatan teknologi
maklumat dan komunikasi.
o Pengurusan rekod
elektronik.
8 Kriteria TeknikalStandard Accounting system for Government Agencies
25
Pentadbiran Profil Keselamatan Pengguna.
RAKKSSA
Perkara 2.1.3 Pengasingan Tugas
‘Jabatan hendaklah melaksanakan
pengasingan tugas bagi tugas yang
kritikal’.
Perkara 2.1.4 Kawalan Capaian
Berdasarkan Peranan
‘Capaian sistem hendaklah dihadkan
kepada kepada pengguna yang
dibenarkan mengikut peranan dalam
fungsi tugas mereka dan kebenaran
untuk melaksanakan operasi tertentu’.
26
ARAHAN TEKNOLOGI MAKLUMAT
Perkara 20.1.7 Kawalan Akses
‘Akses kepada maklumat, proses dan
kemudahan pemprosesan ICT
hendaklah dikawal berdasarkan peranan
dan keperluan keselamatan’.
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 1 – Pentadbiran
Profil Keselamatan
Pengguna
Standard Operating
Procedure
Dokumen / SOP yang jelas
menerangkan tatacara
pentadbiran pengguna bagi:
o Permohonan ID baharu
o Perubahan peranan
o Perubahan had capaian
o Penamatan ID
Pengasingan Tugasan
Pengasingan tugas pentadbir
sistem dengan pengguna
sistem – Pentadbir sistem tidak
boleh mempunyai peranan
sebagai Penyedia, Penyemak
atau Pelulus dalam transaksi
kewangan
Surat Lantikan
Surat lantikan Pentadbir Sistem
daripada ketua agensi.
Surat/memo lantikan Pengguna
sistem daripada ketua agensi
atau pegawai yang diturunkan
kuasa.
27
Kata Laluan
Penetapan kata laluan yang
kompleks.
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 1 – Pentadbiran
Profil Keselamatan
Pengguna
Pentadbiran Profil Keselamatan Pengguna.
Public Key Infrastructure
(PKI)
Faktor kedua (two-factor)
dalam kawalan keselamatan
dalam melaksanakan transaksi
atas talian.
Laporan Jejak Audit (Audit Trail Report).
ARAHAN TEKNOLOGI MAKLUMAT
Perkara 20.1.6(k) Jejak Audit, Alerts &
Laporan
‘Log audit hendaklah mengandungi
maklumat terperinci yang mencukupi
(contoh: identiti pengguna, transaksi
spesifik atau program yang
dilaksanakan, maklumat dan sumber
yang digunakan atau diubah,
tarikh/masa akses, maklumat terperinci
mengenai perubahan, status
permintaan’.
28
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 2 – Laporan
Jejak Audit (Audit Trail
Report)
Laporan Jejak Audit
Laporan jejak audit
mengandungi:
o ID Pengguna
o Modul yang diakses
o Aktiviti / Jenis transaksi
yang dilakukan
Rekod Pengguna Tidak Aktif
Rekod Pengguna yang telah
tamat perkhidmatan
dinyahaktif, diarkib dan tidak
dimusnahkan mengikut tempoh
dalam DKICT agensi.
Janaan Laporan Jejak Audit
Pentadbir sistem berkeupayaan
menjana laporan jejak audit
pada bila-bila masa diperlukan.
29
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 2 – Jejak Audit
Jejak Audit.
Sistem Log Server.
RAKKSSA
Perkara 1.3.3 Platform Aplikasi &
Perisian
‘Semua platform aplikasi dan perisian
hendaklah dikenal pasti, direkodkan dan
dikaji semula secara berkala’.
30
ARAHAN TEKNOLOGI MAKLUMAT
Perkara 13.2. Jejak Audit
‘Beberapa jenis log mesti diperoleh dan
disimpan, seperti log sistem, log
rangkaian, log pelayan dan log
transaksi’.
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 3 – Sistem Log
Server
Log Server
Fungsi log di server diaktifkan
setiap masa.
Pemantauan Capaian Server
Memantau dan memastikan
tiada capaian (IP Address)
yang mencurigakan.
Janaan Laporan Log Server
Pentadbir Sistem
berkeupayaan mengeluarkan
laporan log server pada bila-
bila masa diperlukan.
31
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 3 – Sistem Log
Server
Log Server.
Kaedah Penyulitan Data dan Penghantaran Selamat di
Setiap Peringkat.
RAKKSSA
Perkara 1.3.2 Aliran Data
‘Aliran data dan komunikasi dalam Jabatan hendaklah dikenal pasti, direkokan dan dikaji
semula secara berkala. Saluran komunikasi termasuk:
Saluran komunikasi dan aliran data antara sistem dalam Jabatan
Saluran komunikasi dan aliran data ke sistem luar
Saluran komunikasi dan aliran data ke ruang storan pengkomputeran awan dianggap
sebagai saluran komunikasi luaran’.
32
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 4 – Kaedah
Penyulitan Data dan
Penghantaran Selamat di
Setiap Peringkat
Kaedah Penyulitan Data dan Penghantaran Selamat di
Setiap Peringkat.
RAKKSSA
Perkara 1.3.5 Sistem Luaran
‘Sistem luaran adalah sistem bukan milik
Jabatan yang dihubungkan dengan sistem
Jabatan’.
Perkara 2.2.4 Kriptografi
‘Kriptografi merupakan alat yang penting
dan asas untuk menguruskan
keselamatan ICT. Objektif utama
keselamatan maklumat yang dipenuhi
oleh alat kriptografi asas adalah (i)
Kerahsiaan melalui penyulitan’.
33
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 4 – Kaedah
Penyulitan Data dan
Penghantaran Selamat di
Setiap Peringkat
ARAHAN TEKNOLOGI MAKLUMAT
Perkara 18.2.1(b) Kerahsiaan
‘Semua maklumat terperingkat
hendaklah dienkrip semasa dalam
storan dan penghantaran dengan
menggunakan algoritma standard
industri ynag mematuhi “Akta
Tandatangan Digital 1997” (Akta 562)’.
Tujuan
Melindungi data sensitif
kewangan daripada terdedah
kepada pihak tidak berkaitan.
Pihak tidak berkaitan:
o Data terdedah kepada pihak
yang tidak berkeperluan
secara sengaja atau tidak
sengaja
o Data terdedah kepada pihak
berkepentingan untuk
tujuan sabotaj.
Elemen Keselamatan
Melindungi elemen-elemen
keselamatan berikut ketika data
dipindahkan kepada penerima
melalui rangkaian komputer
atau Internet:
o Authentication –
Mengesahkan ketepatan
maklumat asal
o Integriti Data – Data yang
dihantar tidak boleh diubah
o Non-repudiation – Pihak
yang menghantar (sender)
tidak boleh menyangkal
maklumat yang dihantar.
.
Encryption & Decryption
Encryption ialah pengekodan
mesej/data/fail daripada teks
terbuka kepada ciphertext.
Decryption ialah proses
menyahsulit ciphertext kepada
format yang boleh dibaca.
Proses decryption hanya boleh
dilakukan oleh penerima
maklumat yang sah –
mempunyai kunci decryption.
34
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 4 – Kaedah
Penyulitan Data dan
Penghantaran Selamat di
Setiap Peringkat
Encryption & Decryption.
35
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 4 – Kaedah
Penyulitan Data dan
Penghantaran Selamat di
Setiap Peringkat
Encryption & Decryption.
File.txt – fail belum
disulitkan
Proses Outbound/Outgoing – File dihantar dari agensi ke sistem luar
Proses-
proses modul
Jana fail
Encrypt fail
Hantar fail
Proses-proses di modul
dilaksanakan sehingga peringkat
kelulusan.
Selepas peringkat kelulusan, fail
akan dijana di staging.
Fail yang dijana, di encrypt di
staging.
Encrypted file dihantar kepada
penerima menggunakan pelbagai
medium.
File.gpg – fail telah
disulitkan
Dila
ksa
naka
nd
ala
mS
iste
m
Ke
wa
nga
n&
Pe
raka
unan
“
36
Sesi kejut minda…
Case Study
Sistem Terimaan(Client-Server)
• Akses dalam kampusrangkaian agensi sahaja
• Menghantar maklumat resit ke sistem utama
Sistem Utama (WebBased)
• Semua proses kewangan danperakaunan kecuali proses perolehan
• Akses dalam kampus rangkaian agensisahaja.
Sistem Perolehan(Web Based)
• Akses luar kampus rangkaianagensi
• Semua proses perolehan(sedia, semak & lulus)
Sistem Pend. & Tuntutan (Web-Based)
• Akses dalam kampus rangkaian agensi• Kemudahan menghantar permohonan pend. &
tuntutan atas talian sahaja.
Tentukan:a) Sistem yang perlu
dilengkapkan dengan SSLb) Akses ke sistem perlu
melalui VPN
“
37
Sesi kejut minda…
Case Study
Sistem Terimaan(Client-Server)
• Akses dalam kampusrangkaian agensi sahaja
• Menghantar maklumat resit ke sistem utama
• TIDAK PERLU VPNSistem Utama (Web
Based)
• Semua proses kewangan danperakaunan kecuali proses perolehan
• Akses dalam kampus rangkaian agensisahaja.
• PERLU SSL
Sistem Perolehan(Web Based)
• Akses luar kampus rangkaianagensi
• Semua proses perolehan(sedia, semak & lulus)
• PERLU SSL
Sistem Pend. & Tuntutan (Web-Based)
• Akses dalam kampus rangkaian agensi• Kemudahan menghantar permohonan pend. &
tuntutan atas talian sahaja.• TIDAK PERLU SSL
Tentukan:a) Sistem yang perlu
dilengkapkan dengan SSLb) Akses ke sistem perlu
melalui VPN
“
38
Sesi kejut minda…
Akses kepada Sistem yang Berasaskan Web dan Client.
RAKKSSA
Perkara 2.2.1 Peringkat Pemprosesan Data
39
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 5 – Akses
kepada Sistem yang
Berasaskan Web dan
Client
‘Jabatan hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-
dalam-simpanan bagi menghalang capaian data yang tidak dibenarkan dan memelihara
integriti data’ (2.2.1.1 Data-dalam-simpanan).
‘Jabatan hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-
dalam-pergerakan bagi menghalang capaian data yang tidak dibenarkan dan
memelihara integriti data’ (2.2.1.2 Data-dalam-pergerakan).
‘Jabatan hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-
dalam-penggunaan bagi menghalang capaian data yang tidak dibenarkan dan
memelihara integriti data’ (2.2.1.1 Data-dalam-penggunaan’.
Akses kepada Sistem yang Berasaskan Web dan Client.
RAKKSSA
Perkara 2.2.2 Elemen Dalam
Persekitaran Pengkomputeran
‘Jabatan hendaklah menggunakan
teknologi dan kawalan keselamatan yang
dapat melindungi data di semua peringkat
saluran pemprosesan dan bagi semua
elemen dalam persekitaran
pengkomputeran’.
40
ARAHAN TEKNOLOGI MAKLUMAT
Perkara 18.2.1(e) Kerahsiaan
‘Agensi hendaklah memastikan penghantaran
yang selamat di setiap peringkat dan
melindungi trafik dari dicuri dengar, connection
hijacking dan serangan rangkaian lain dengan
menggunakan protocol Secure Socket Layer
(SSL), Secure Shell (SSH) dan HSM versi
semasa’.
Perkara 18.2.2(d) Integriti
‘Sistem aplikasi dan infrastruktur keselamatan
yang dilaksanakan hendaklah dilindungi dari
serangan dalam dan luaran rangkaian’.
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 5 – Akses
kepada Sistem yang
Berasaskan Web dan
Client
Web Based
Jika pelaksanaan sistem
secara web based:
o Capaian dilengkapkan
dengan Secure Socket
Layer (SSL).
o Pendekatan Demilitarized
Zone (DMZ) (atau setara)
sekiranya akses sistem
dibenarkan melalui
rangkaian terbuka (WAN)
Client-Server
Jika pelaksanaan sistem
secara client-server:
o Capaian menggunakan
Virtual Private Network
(VPN).
Senibina Rangkaian
Pengurusan laluan capaian
dalam rangkaian (Network
Segmentation)
Mempunyai network diagram
yang jelas menunjukkan
senibina sistem dalam
rangkaian.
41
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 5 – Akses
kepada Sistem yang
Berasaskan Web dan
Client
Akses kepada Sistem yang Berasaskan Web dan Client.
Secure Socket Layer (SSL)
Piawaian keselamatan teknologi untuk melindungi data dalam talian – melindungi penghantaran data
antara browser dengan web server.
Mengelakkan ketirisan data dalam rangkaian terbuka mahupun dalaman
42
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 5 – Akses
kepada Sistem yang
Berasaskan Web dan
Client
Akses kepada Sistem yang Berasaskan Web dan Client.
Virtual Private Network (VPN)
Sambungan yang selamat kepada komputer pengguna yang berada di luar kampus rangkaian agensi.
Mengelakkan ketirisan data dalam rangkaian terbuka mahupun dalaman
43
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 5 – Akses
kepada Sistem yang
Berasaskan Web dan
Client
Akses kepada Sistem yang Berasaskan Web dan Client.
Network Diagram
Network diagram perlu
menyatakan dengan jelas
perkara-perkara berikut::
o Semua perkakasan yang
terlibat dalam Sistem
Kewangan dan Perakaunan
o Zon DMZ jika sistem
berasaskan web dan boleh
diakses di luar kampus
rangkaian agensi
o Penempatan semua server
yang terlibat di server farm
o Network segmentation
beserta maklumat logikal
VLAN (user access zone,
secure zone, etc.)
o Maklumat virtual machines
jika menggunakan
virtualization
44
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 5 – Akses
kepada Sistem yang
Berasaskan Web dan
Client
Akses kepada Sistem yang Berasaskan Web dan Client.
“
45
Sesi kejut minda…
m
Penamatan Sesi Secara Automatik (auto logoff).
ARAHAN TEKNOLOGI MAKLUMAT
Perkara 20.1.7(h) Kawalan Akses
‘Keselamatan bagi aplikasi hendaklah
mempunyai ciri-ciri berikut: (i) Logoff
secara automatik apabila tiada aktiviti
dalam tempoh yang ditetapkan’.
46
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 6 – Penamatan
Sesi Secara Automatik
(auto logoff)
Auto Logoff
Sistem berupaya untuk auto
logoff bagi tempoh yang
bersesuaian dan mengikut
polisi keselamatan agensi.
Konfigurasi Auto Logoff
Pentadbir sistem agensi
berupaya menukar tetapan
(setting) auto logoff pada bila-
blla masa.
47
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 6 – Penamatan
Sesi Secara Automatik
Penamatan Sesi Secara Automatik.
Kemudahan Backup & Restore.
RAKKSSA
Perkara 2.3.3 Sandaran
‘Sandaran hendaklah dilaksanakan secara
berkala berdasarkan peraturan semasa
yang berkuat kuasa untuk memastikan
bahawa sistem boleh dipulihkan. Media
sandaran hendaklah disimpan dalam
persekitaran yang selamat dan di lokasi
yang berasingan’.
48
ARAHAN TEKNOLOGI MAKLUMAT
Perkara 20.1.6(j) Backup
‘(i) Backup diperlukan untuk mengekalkan
integriti dan ketersediaan maklumat serta
kemudahan pemprosesan ICT. Prosedur
Operasi Standard (Standard Operating
Procedure [SOP]) hendaklah diwujudkan
untuk dijadikan panduan bagi
melaksanakan kerja backup dan
pemulihan. Ini melibatkan semua fail
penting, data, program aplikasi dan
dokumentasi’.
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 7 – Kemudahan
Backup & Restore
Backup
Proses membuat salinan data
dari salinan asal ke storan
sekunder.
Restore
Proses menyalin semula
salinan data dari storan
sekunder ke pangkalan data /
storan asal.
49
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 7 – Kemudahan
Backup & Restore
ANCAMAN
RISIKO
PENYELESAIAN
Kenapa backup & restore?
Kegagalan / kerosakan perkakasan
Kegagalan / kerosakan perisian
Accidental error Rompakan atau
kecurian
Bencana
Sabotaj
Serangan siber
Kehilangan atau kerosakan data
Kemudahan
backup & restore
Medium Backup
Sistem sekurang-kurangnya
dilengkapkan dengan satu (1)
medium backup. Contoh:
o Mobile secondary storage
o Tape backup
o Network attached storage
(NAS)
o Online backup
Standard Operating
Procedure
Dokumen SOP yang jelas dan
komprehensif dalam
menerangkan tatacara
pentadbiran backup & restore.
Jadual
Merancang dan melaksanakan
jadual kekerapan backup dan
penghantaran salinan media
backup ke lokasi off-site yang
kos-efektif.
50
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 7 – Kemudahan
Backup & RestorePengujian
Pengujian restore sekurang-
kurangnya sekali dalam
setahun.
Ketepatan data dan maklumat
kewangan dalam pengujian
disahkan oleh pegawai
kewangan agensi.
Pelan Pemulihan Bencana (Disaster Recovery Plan [DRP]).
RAKKSSA
Perkara 5.1 Pelan Pengurusan
Kesinambungan Perkhidmatan dan
Pemulihan Bencana ICT
‘Jabatan hendaklah membangunkan Pelan
Pengurusan Kesinambungan Perkhidmatan dan
Pelan Pemulihan Bencana ICT (ICT DRP).
Objektif pelan adalah untuk memastikan
perkhidmatan atau fungsi kritikal Jabatan tidak
terjejas walau pun berlaku gangguan’.
Perkara 5.2 Penambahbaikan
‘Jabatan hendaklah melaksana penambahbaikan
berterusan menerusi latihan simulasi terhadap
pelan sekurang-kurangnya setahun sekali atau
apabila berlaku perubahan dalam pelan’. 51
ARAHAN TEKNOLOGI MAKLUMAT
Perkara 18.2.1(b) Kekerapan Pengujian
Pelan BCM
‘Pelan BCM hendaklah diuji sekurang-kurangnya
sekali setahun atau apabila terdapat perubahan
dalam persekitaran atau fungsi business untuk
memastikan ia sentiasa kekal berkesan.
Penilaian secara berkala hendaklah
dilaksanakan untuk memastikan pelan tersebut
bersesuaian dan memenuhi tujuan
dibangunkan’.
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 8 – Pelan
Pemulihan Bencana
(Disaster Recovery Plan
[DRP])
Disaster Recovery Plan
(DRP)
DRP dibangunkan untuk tujuan
berikut:
o Panduan untuk prosedur
pelan pengaktifan dan
pemulihan bencana.
o Subset kepada BCM.
Disaster Recovery Center
(DRC)
Lokasi alternatif untuk
organisasi menempatkan
infrastruktur ICT dan operasi
sistem apabila pusat data
utama gagal berfungsi
disebabkan oleh bencana.
Jenis DRC ialah hot sites,
warm sites dan cold sites.
Panduan Penempatan DRC
Punca bekalan kuasa yang
berbeza.
Jarak dekat yang memudahkan
akses Pasukan DR.
Jarak yang jauh dan tidak
terjejas daripada bencana yang
berlaku.
Analisis cost-benefit.
52
Fasa-fasa DRP
DRP menerangkan secara
komprehensif langkah-langkah
menangani bencana melalui
fasa-fasa berikut:
o Fasa normal
o Fasa pemulihan bencana
o Fasa selepas bencana
Fasa-fasa DRP (samb.)
Setiap fasa diperincikan
dengan maklumat berikut:
o Tindakan / aktiviti yang
perlu dilakukan
o Pegawai / pasukan
bertanggungjawab
o Tempoh masa
Pengujian DRP
Pengujian restore sekurang-
kurangnya sekali dalam
setahun.
Ketepatan data dan maklumat
kewangan dalam pengujian
disahkan oleh pegawai
kewangan agensi.
Pengukuhan
Keselamatan Sistem
Perakaunan dan
Kewangan Sektor
Awam
Kriteria Teknikal
SAGA
Kriteria 8 – Pelan
Pemulihan Bencana
(DRP)
“
53
Sesi kejut minda…
Case Study
Sebuah organisasi PBT berpretasi kewangan tinggimenjalankan backup secara harian dengan menyimpansandaran data di external hard disk. Pentadbir sistem akanmenyalin data dari server ke hard disk dan menyimpan di laci pejabatnya. Organisasi ini mempunyai DRC secara cold. Terdapat amalan menguji Pelan Pemulihan Bencanasetahun sekali. Pelan ini dilakukan oleh pasukan pentadbirsistem yang terdiri daripada kumpulan pegawai teknologimaklumat. Pasukan ini akan menyalin data ke server sementara (pool) dan menyemak silang data yang terdapatdi production dengan server sementara. Semak silangdilakukan bagi memastikan jumlah data adalah sama di kedua-dua server.
Soalan:Kenal pasti kelemahan dalam amalanbackup dan pelan pemulihan bencana di organisasi ini dan cadangkanpenambahbaikan bagi mengukuhkankeselamatan sistem kewangan danperakaunan.
KESIMPULANPengukuhan Kawalan Keselamatan Sistem Perakaunan dan Kewangan – Perspektif Sektor
Awam dan Industri Semasa ICT
54
“
55
IIntegrityC
Confidential
AAvailability
Data sulit dan
terpelihara
Integriti data
berkekalan
Data tersedia
setiap masa
Tanyalah saya…..!
56
Muhammad Azhar Fairuzz Hiloh
[email protected] | 03-88869849
Seksyen Teknologi Maklumat
Bahagian Khidmat Perunding
Jabatan Akauntan Negara Malaysia