PENGUKUHAN KESELAMATAN

SISTEM PERAKAUNAN & KEWANGAN

Perspektif Sektor Awam dan

Industri Semasa

Bahagian Khidmat Perunding

Jabatan Akauntan Negara Malaysia

Mengapa

Keselamatan

Sistem?

Setiap sistem maklumat yang diakses secara atas talian (LAN

/ WAN) adalah terdedah kepada:

SERANGAN SIBER

Sistem Kewangan dan Perakaunan diakses melalui

rangkaian komputer, sama ada secara Local Area Network

(LAN) atau Wide Area Network (WAN)

2

Setiap organisasi

adalah terdedah

kepada serangan

siber.

Organisasi memiliki aset yang boleh dimanipulasi untuk

tujuan berikut:

3

Mengapa

Keselamatan

Sistem?

Setiap organisasi

adalah terdedah

kepada serangan

siber. KEUNTUNGAN KEWANGAN

o Penggodam mendapatkan

maklumat maklumat sensitif

dalam organisasi untuk tujuan

keuntungan kewangan.

BUKAN KEWANGAN

o Hacktivism

o Espionage

o Intellectual Challenge

ENTITI – Organisasi,

Pembekal, Pelanggan & Staf

4

Mengapa

Keselamatan

Sistem?

Setiap organisasi

adalah terdedah

kepada serangan

siber.CONTOH DATA - No. Akaun

Bank, Kad Kredit, Kad Debit,

Data Gaji dan lain-lain

MAKLUMAT KEWANGAN

ENTITI – Pembekal,

Pelanggan & Staf

CONTOH DATA – Nama,

Alamat, No. Telefon, Emel dan

lain-lain data individu.

MAKLUMAT INDIVIDU

Serangan siber dilancarkan untuk mendapatkan data-data

berikut:

ENTITI – Semua sistem

aplikasi dalam organisasi.

5

Mengapa

Keselamatan

Sistem?

Setiap organisasi

adalah terdedah

kepada serangan

siber.CONTOH DATA – Login

credentials dan data-data

dalam sistem.

MAKLUMAT SISTEM

APLIKASI

ENTITI – Infrastruktur dan

Perkhidmatan ICT

CONTOH DATA – Senarai

perkakasan, perisian, integrasi

sistem, perkhidmatan online.

MAKLUMAT

PERKHIDMATAN ICT

Serangan siber dilancarkan untuk mendapatkan data-data

berikut:

ENTITI – Lain-lain maklumat yang

bernilai kepada penggodam.

6

Mengapa

Keselamatan

Sistem?

Setiap organisasi

adalah terdedah

kepada serangan

siber.CONTOH DATA – Harta intelek

dan lain-lain data.

LAIN LAIN MAKLUMAT

Serangan siber dilancarkan untuk mendapatkan data-data

berikut:

“

7

Sesi kejut minda…

Case Study

Sekumpulan penggodam profesionalmengintip dan mencuri maklumat melaluisistem online kewangan organisasi. Maklumat-maklumat tersebutdiperdagangkan kepada syarikat-syarikatyang mensasarkan pemasaran kepadaindividu. Melalui maklumat yang diperoleh, syarikat-syarikat pemasaranmempromosikan produk mereka kepadaindividu menggunakan emel dan panggilantelefon.

Tentukan:a) Tujuan serangan siber oleh kumpulan

penggodam profesional.b) Berikan jenis maklumat yang digodam

beserta contoh data.

8

Mengapa

Keselamatan

Sistem?

Setiap organisasi

adalah terdedah

kepada serangan

siber.

Serangan siber boleh berpunca dari dalam (insiders) atau

luar (outsiders):

INSIDERS OUTSIDER

S

TH

RE

AT

Individu yang

mempunyai

akses secara

fizikal atau

remote access

kepada asset

ICT organisasi.

Ancaman

individu sama

ada secara

sengaja atau

tidak.

Kumpulan

penjenayah

terancang.

Penggodam

profesional,

sama ada

berniat baik

atau jahat.

Penggodam

amatur.

Malware

Perisian yang disebarkan untuk

menggagalkan operasi

komputer.

Contoh: Virus, worm, trojan

horse dan lain-lain.

Phishing

Taktik penipuan dengan cara

menghantar emel

menggunakan organisasi

ternama untuk mendapatkan

maklumat peribadi mangsa.

Contoh: Emel palsu dari bank

meminta untuk kemaskini data

peribadi.

SQL Injection

Suntikan SQL Statement yang

berniat jahat untuk mengawal

atau merosakkan database

sistem.

9

Cross Site Scripting (XSS)

Suntikan kod berniat jahat ke

laman web ternama, tetapi

bertujuan untuk menyerang

pelawat laman web tersebut.

Denial-of-Services

Serangan ke atas sistem online

dengan menghantar data yang

sangat banyak sehingga trafik

rangkaian sesak dan sistem

tidak dapat diakses.

Session Hijacking

Cookie hijacking yang

mengeksploitasi computer

session / session key untuk

mendapatkan akses kepada

sistem maklumat.

Mengapa

Keselamatan

Sistem?

Setiap organisasi

adalah terdedah

kepada serangan

siber.

Jenis serangan siber adalah seperti berikut:

Man-in-the-Middle

Penggodam meletakkan

mereka sebagai proxy

komunikasi antara dua pihak,

untuk tujuan mencuri data.

Credential Reuse

Teknik penggodam mencuri

maklumat ID Pengguna dan

kata laluan untuk mengakses

akaun-akaun atas talian.

Brute Force

Cubaan log masuk ke akaun

pengguna dengan meneka kata

laluan secara rawak melalui

automasi perisian.

10

Mengapa

Keselamatan

Sistem?

Setiap organisasi

adalah terdedah

kepada serangan

siber.

Jenis serangan siber adalah seperti berikut:

Sikap Kita!

11

Kajian Pew Research Center (2017)

“Kita masih melakukan kesilapan lama, kesilapan

yang sama, kesilapan asas dalam keselamatan

siber”

Rujukan:

https://www.onlineowls.com/5-reasons-

cybersecurity/

“#Contoh 1 : “Serangan siber tidak akan berlaku kepada

saya / organisasi saya”

12

OPTIMISM BIAS

o Saiz perniagaan kami kecil.

o Kami tidak mempunyai apa-

apa nilai kepada penggodam

o Syarikat kami tidak

memegang tunai yang banyak

o Kami tidak menjalankan

perniagaan atas talian.

o Saiz perniagaan kami tidak

setanding dengan pesaing.

o Kami bukan sasaran. Malah

tiada dalam skop sasaran.

“#Contoh 2 : Kata laluan yang mudah

13

KATA LALUAN LEMAH

o Memberi laluan kepada

penjenayah siber untuk

mendapatkan kata laluan yang

mudah.

o Penggodam menggunakan

kaedah brute-force untuk

mendapatkan kata laluan.

o Penguatkuasaan sektor awam

dan industri semasa untuk

cipta kata laluan yang

kompleks secara paksa.

“#Contoh 3 : Mengambil mudah ke atas naik taraf

perisian

14

SOFTWARE UPDATE

o Favourite button [Remind Me

Later].

o Penjenayah siber mengambil

kesempatan ke atas

kelemahan sistem dalam versi

terdahulu.

“#Contoh 4 : Tidak peka kepada emel palsu

15

FAKE EMAIL

o Tidak memeriksa kesahihan

pengirim atau kandungan

emel.

o Membalas emel dengan

memberi maklumat sensitif.

o Membuka attachment tanpa

memeriksa kandungan emel

dan kesahihan pengirim.

o Klik pada pautan yang

disediakan dalam emel dan

mengikut arahan seterusnya.

“#Contoh 5 : Media sosial – The next playing field

16

KETERUJAAN STATUS

o Lebih banyak update status,

lebih luas ruang kepada

penggodam untuk melakukan

jenayah.

“

17

Sesi kejut minda…

Case Study

Ali berpendapat dia tidak mempunyai apa-apa harta dan kekayaan. Beliau telahmenetapkan kata laluan semua akaunperbankan atas talian kepada “Ali1234”, “Wax9908” dan “rotiCanai2018”.

Tentukan:Dua (2) sikap yang menunjukkan kelemahandalam kawalan keselamatan siber yang memberi motivasi kepada penggodamuntuk menggodam maklumat Ali.

PENGUKUHANKESELAMATAN SISTEM PERAKAUNAN DAN KEWANGAN SEKTOR AWAM

18

Pengukuhan

Keselamatan

Sistem

KEMUSNAHAN ATAU

KETIDAKUPAYAANNYA

BERFUNGSI MEMBERI

IMPAK BURUK KEPADA:

o Kekuatan ekonomi

Negara.

o Imej nasional.

o Pertahanan dan

keselamatan Negara.

o Sistem Penyampaian

Kerajaan.

o Keselamatan dan

kesihatan awam.

Semua aset (fizikal & maya), sistem atau proses yang

penting kepada negara:

19

Critical National

Information

Infrastructure

SEKTOR CNII

o Pertahanan dan keselamatan

Negara.

o Perbankan dan kewangan.

o Maklumat dan komunikasi.

o Tenaga.

o Air

o Pengangkutan.

o Perkhidmatan kesihatan.

o Sektor Kerajaan.

o Perkhidmatan kecemasan.

o Makanan dan pertanian.

Pengukuhan

Keselamatan

Sistem

TUJUAN

o Memberi panduan asas

serta merangkumi kesemua

komponen keselamatan

yang perlu diambil kira oleh

kementerian dan agensi

sektor awam untuk

melindungi maklumat dalam

ruang siber.

20

Rangka Kerja

Keselamatan Siber

Sektor Awam –

RAKKSSA (2016)

SKOP RUANG SIBER

o Sistem teknologi maklumat

dan komunikasi.

o Maklumat yang disimpan

dalam sistem.

o Manusia yang berinteraksi

dengan sistem secara fizikal

atau maya.

o Persekitaran fizikal sistem

disimpan/ditempatkan.

OBJEKTIF

o Memastikan keselamatan penyampaian perkhidmatan Sektor Awam

sekaligus meningkatkan tahap keyakinan kepada pihak

berkepentingan (agensi Kerajaan, industri dan orang awam).

Pengukuhan

Keselamatan

Sistem

21

8 KOMPONEN RAKKSSA

Rangka Kerja

Keselamatan Siber

Sektor Awam –

RAKKSSA (2016)

KENAL PASTIPersekitaran fungsi Jabatan, polisi dan struktur tadbir urus

serta aset yang perlu dilindungi, risiko berkaitan dan

pengurusan risiko.

LINDUNGMenentukan prinsip keselamatan, kompetensi manusia dan

teknologi yang diperlukan bagi memitigasi risiko yang telah

dikenal pasti.

KESANAncaman serangan berniat jahat dengan menekankan

kepada anomali dalam penggunaan dan corak trafik

rangkaian.

Pengukuhan

Keselamatan

Sistem

22

8 KOMPONEN RAKKSSA

Rangka Kerja

Keselamatan Siber

Sektor Awam –

RAKKSSA (2016)

TINDAK BALASKepada serangan berniat jahat semasa dan selepas kejadian.

PULIHMelaksanakan tindakan pemulihan terhadap kerosakan yang

disebabkan oleh serangan berniat jahat dan kegagalan

sistem untuk memastikan ketersediaan data.

PEROLEHMemastikan keperluan dan langkah keselamatan

dilaksanakan pada setiap peringkat kitar hayat sistem.

Pengukuhan

Keselamatan

Sistem

23

8 KOMPONEN RAKKSSA

Rangka Kerja

Keselamatan Siber

Sektor Awam –

RAKKSSA (2016)

AUDIT KESELAMATANMenggariskan skop audit dan pihak berkuasa audit.

KUAT KUASAMenggariskan skop penguatkuasaan dan pihak berkuasa

penguatkuasaan.

Pengukuhan

Keselamatan

Sistem

OBJEKTIF

o Garis panduan bertujuan

memenuhi keperluan

minimum bagi menyokong

Akta Aktiviti Kerajaan

Elektronik 2007 dalam

memudah cara transaksi

elektronik.

24

Arahan Teknologi

Maklumat (2007)

SKOP ARAHAN IT

o Sistem aplikasi.

o Keperluan-keperluan

keselamatan teknologi

maklumat dan komunikasi.

o Pengurusan rekod

elektronik.

8 Kriteria TeknikalStandard Accounting system for Government Agencies

25

Pentadbiran Profil Keselamatan Pengguna.

RAKKSSA

Perkara 2.1.3 Pengasingan Tugas

‘Jabatan hendaklah melaksanakan

pengasingan tugas bagi tugas yang

kritikal’.

Perkara 2.1.4 Kawalan Capaian

Berdasarkan Peranan

‘Capaian sistem hendaklah dihadkan

kepada kepada pengguna yang

dibenarkan mengikut peranan dalam

fungsi tugas mereka dan kebenaran

untuk melaksanakan operasi tertentu’.

26

ARAHAN TEKNOLOGI MAKLUMAT

Perkara 20.1.7 Kawalan Akses

‘Akses kepada maklumat, proses dan

kemudahan pemprosesan ICT

hendaklah dikawal berdasarkan peranan

dan keperluan keselamatan’.

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 1 – Pentadbiran

Profil Keselamatan

Pengguna

Standard Operating

Procedure

Dokumen / SOP yang jelas

menerangkan tatacara

pentadbiran pengguna bagi:

o Permohonan ID baharu

o Perubahan peranan

o Perubahan had capaian

o Penamatan ID

Pengasingan Tugasan

Pengasingan tugas pentadbir

sistem dengan pengguna

sistem – Pentadbir sistem tidak

boleh mempunyai peranan

sebagai Penyedia, Penyemak

atau Pelulus dalam transaksi

kewangan

Surat Lantikan

Surat lantikan Pentadbir Sistem

daripada ketua agensi.

Surat/memo lantikan Pengguna

sistem daripada ketua agensi

atau pegawai yang diturunkan

kuasa.

27

Kata Laluan

Penetapan kata laluan yang

kompleks.

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 1 – Pentadbiran

Profil Keselamatan

Pengguna

Pentadbiran Profil Keselamatan Pengguna.

Public Key Infrastructure

(PKI)

Faktor kedua (two-factor)

dalam kawalan keselamatan

dalam melaksanakan transaksi

atas talian.

Laporan Jejak Audit (Audit Trail Report).

ARAHAN TEKNOLOGI MAKLUMAT

Perkara 20.1.6(k) Jejak Audit, Alerts &

Laporan

‘Log audit hendaklah mengandungi

maklumat terperinci yang mencukupi

(contoh: identiti pengguna, transaksi

spesifik atau program yang

dilaksanakan, maklumat dan sumber

yang digunakan atau diubah,

tarikh/masa akses, maklumat terperinci

mengenai perubahan, status

permintaan’.

28

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 2 – Laporan

Jejak Audit (Audit Trail

Report)

Laporan Jejak Audit

Laporan jejak audit

mengandungi:

o ID Pengguna

o Modul yang diakses

o Aktiviti / Jenis transaksi

yang dilakukan

Rekod Pengguna Tidak Aktif

Rekod Pengguna yang telah

tamat perkhidmatan

dinyahaktif, diarkib dan tidak

dimusnahkan mengikut tempoh

dalam DKICT agensi.

Janaan Laporan Jejak Audit

Pentadbir sistem berkeupayaan

menjana laporan jejak audit

pada bila-bila masa diperlukan.

29

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 2 – Jejak Audit

Jejak Audit.

Sistem Log Server.

RAKKSSA

Perkara 1.3.3 Platform Aplikasi &

Perisian

‘Semua platform aplikasi dan perisian

hendaklah dikenal pasti, direkodkan dan

dikaji semula secara berkala’.

30

ARAHAN TEKNOLOGI MAKLUMAT

Perkara 13.2. Jejak Audit

‘Beberapa jenis log mesti diperoleh dan

disimpan, seperti log sistem, log

rangkaian, log pelayan dan log

transaksi’.

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 3 – Sistem Log

Server

Log Server

Fungsi log di server diaktifkan

setiap masa.

Pemantauan Capaian Server

Memantau dan memastikan

tiada capaian (IP Address)

yang mencurigakan.

Janaan Laporan Log Server

Pentadbir Sistem

berkeupayaan mengeluarkan

laporan log server pada bila-

bila masa diperlukan.

31

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 3 – Sistem Log

Server

Log Server.

Kaedah Penyulitan Data dan Penghantaran Selamat di

Setiap Peringkat.

RAKKSSA

Perkara 1.3.2 Aliran Data

‘Aliran data dan komunikasi dalam Jabatan hendaklah dikenal pasti, direkokan dan dikaji

semula secara berkala. Saluran komunikasi termasuk:

Saluran komunikasi dan aliran data antara sistem dalam Jabatan

Saluran komunikasi dan aliran data ke sistem luar

Saluran komunikasi dan aliran data ke ruang storan pengkomputeran awan dianggap

sebagai saluran komunikasi luaran’.

32

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 4 – Kaedah

Penyulitan Data dan

Penghantaran Selamat di

Setiap Peringkat

Kaedah Penyulitan Data dan Penghantaran Selamat di

Setiap Peringkat.

RAKKSSA

Perkara 1.3.5 Sistem Luaran

‘Sistem luaran adalah sistem bukan milik

Jabatan yang dihubungkan dengan sistem

Jabatan’.

Perkara 2.2.4 Kriptografi

‘Kriptografi merupakan alat yang penting

dan asas untuk menguruskan

keselamatan ICT. Objektif utama

keselamatan maklumat yang dipenuhi

oleh alat kriptografi asas adalah (i)

Kerahsiaan melalui penyulitan’.

33

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 4 – Kaedah

Penyulitan Data dan

Penghantaran Selamat di

Setiap Peringkat

ARAHAN TEKNOLOGI MAKLUMAT

Perkara 18.2.1(b) Kerahsiaan

‘Semua maklumat terperingkat

hendaklah dienkrip semasa dalam

storan dan penghantaran dengan

menggunakan algoritma standard

industri ynag mematuhi “Akta

Tandatangan Digital 1997” (Akta 562)’.

Tujuan

Melindungi data sensitif

kewangan daripada terdedah

kepada pihak tidak berkaitan.

Pihak tidak berkaitan:

o Data terdedah kepada pihak

yang tidak berkeperluan

secara sengaja atau tidak

sengaja

o Data terdedah kepada pihak

berkepentingan untuk

tujuan sabotaj.

Elemen Keselamatan

Melindungi elemen-elemen

keselamatan berikut ketika data

dipindahkan kepada penerima

melalui rangkaian komputer

atau Internet:

o Authentication –

Mengesahkan ketepatan

maklumat asal

o Integriti Data – Data yang

dihantar tidak boleh diubah

o Non-repudiation – Pihak

yang menghantar (sender)

tidak boleh menyangkal

maklumat yang dihantar.

.

Encryption & Decryption

Encryption ialah pengekodan

mesej/data/fail daripada teks

terbuka kepada ciphertext.

Decryption ialah proses

menyahsulit ciphertext kepada

format yang boleh dibaca.

Proses decryption hanya boleh

dilakukan oleh penerima

maklumat yang sah –

mempunyai kunci decryption.

34

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 4 – Kaedah

Penyulitan Data dan

Penghantaran Selamat di

Setiap Peringkat

Encryption & Decryption.

35

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 4 – Kaedah

Penyulitan Data dan

Penghantaran Selamat di

Setiap Peringkat

Encryption & Decryption.

File.txt – fail belum

disulitkan

Proses Outbound/Outgoing – File dihantar dari agensi ke sistem luar

Proses-

proses modul

Jana fail

Encrypt fail

Hantar fail

Proses-proses di modul

dilaksanakan sehingga peringkat

kelulusan.

Selepas peringkat kelulusan, fail

akan dijana di staging.

Fail yang dijana, di encrypt di

staging.

Encrypted file dihantar kepada

penerima menggunakan pelbagai

medium.

File.gpg – fail telah

disulitkan

Dila

ksa

naka

nd

ala

mS

iste

m

Ke

wa

nga

n&

Pe

raka

unan

“

36

Sesi kejut minda…

Case Study

Sistem Terimaan(Client-Server)

• Akses dalam kampusrangkaian agensi sahaja

• Menghantar maklumat resit ke sistem utama

Sistem Utama (WebBased)

• Semua proses kewangan danperakaunan kecuali proses perolehan

• Akses dalam kampus rangkaian agensisahaja.

Sistem Perolehan(Web Based)

• Akses luar kampus rangkaianagensi

• Semua proses perolehan(sedia, semak & lulus)

Sistem Pend. & Tuntutan (Web-Based)

• Akses dalam kampus rangkaian agensi• Kemudahan menghantar permohonan pend. &

tuntutan atas talian sahaja.

Tentukan:a) Sistem yang perlu

dilengkapkan dengan SSLb) Akses ke sistem perlu

melalui VPN

“

37

Sesi kejut minda…

Case Study

Sistem Terimaan(Client-Server)

• Akses dalam kampusrangkaian agensi sahaja

• Menghantar maklumat resit ke sistem utama

• TIDAK PERLU VPNSistem Utama (Web

Based)

• Semua proses kewangan danperakaunan kecuali proses perolehan

• Akses dalam kampus rangkaian agensisahaja.

• PERLU SSL

Sistem Perolehan(Web Based)

• Akses luar kampus rangkaianagensi

• Semua proses perolehan(sedia, semak & lulus)

• PERLU SSL

Sistem Pend. & Tuntutan (Web-Based)

• Akses dalam kampus rangkaian agensi• Kemudahan menghantar permohonan pend. &

tuntutan atas talian sahaja.• TIDAK PERLU SSL

Tentukan:a) Sistem yang perlu

dilengkapkan dengan SSLb) Akses ke sistem perlu

melalui VPN

“

38

Sesi kejut minda…

Akses kepada Sistem yang Berasaskan Web dan Client.

RAKKSSA

Perkara 2.2.1 Peringkat Pemprosesan Data

39

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 5 – Akses

kepada Sistem yang

Berasaskan Web dan

Client

‘Jabatan hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-

dalam-simpanan bagi menghalang capaian data yang tidak dibenarkan dan memelihara

integriti data’ (2.2.1.1 Data-dalam-simpanan).

‘Jabatan hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-

dalam-pergerakan bagi menghalang capaian data yang tidak dibenarkan dan

memelihara integriti data’ (2.2.1.2 Data-dalam-pergerakan).

‘Jabatan hendaklah menggunakan teknologi yang bersesuaian untuk melindungi data-

dalam-penggunaan bagi menghalang capaian data yang tidak dibenarkan dan

memelihara integriti data’ (2.2.1.1 Data-dalam-penggunaan’.

Akses kepada Sistem yang Berasaskan Web dan Client.

RAKKSSA

Perkara 2.2.2 Elemen Dalam

Persekitaran Pengkomputeran

‘Jabatan hendaklah menggunakan

teknologi dan kawalan keselamatan yang

dapat melindungi data di semua peringkat

saluran pemprosesan dan bagi semua

elemen dalam persekitaran

pengkomputeran’.

40

ARAHAN TEKNOLOGI MAKLUMAT

Perkara 18.2.1(e) Kerahsiaan

‘Agensi hendaklah memastikan penghantaran

yang selamat di setiap peringkat dan

melindungi trafik dari dicuri dengar, connection

hijacking dan serangan rangkaian lain dengan

menggunakan protocol Secure Socket Layer

(SSL), Secure Shell (SSH) dan HSM versi

semasa’.

Perkara 18.2.2(d) Integriti

‘Sistem aplikasi dan infrastruktur keselamatan

yang dilaksanakan hendaklah dilindungi dari

serangan dalam dan luaran rangkaian’.

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 5 – Akses

kepada Sistem yang

Berasaskan Web dan

Client

Web Based

Jika pelaksanaan sistem

secara web based:

o Capaian dilengkapkan

dengan Secure Socket

Layer (SSL).

o Pendekatan Demilitarized

Zone (DMZ) (atau setara)

sekiranya akses sistem

dibenarkan melalui

rangkaian terbuka (WAN)

Client-Server

Jika pelaksanaan sistem

secara client-server:

o Capaian menggunakan

Virtual Private Network

(VPN).

Senibina Rangkaian

Pengurusan laluan capaian

dalam rangkaian (Network

Segmentation)

Mempunyai network diagram

yang jelas menunjukkan

senibina sistem dalam

rangkaian.

41

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 5 – Akses

kepada Sistem yang

Berasaskan Web dan

Client

Akses kepada Sistem yang Berasaskan Web dan Client.

Secure Socket Layer (SSL)

Piawaian keselamatan teknologi untuk melindungi data dalam talian – melindungi penghantaran data

antara browser dengan web server.

Mengelakkan ketirisan data dalam rangkaian terbuka mahupun dalaman

42

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 5 – Akses

kepada Sistem yang

Berasaskan Web dan

Client

Akses kepada Sistem yang Berasaskan Web dan Client.

Virtual Private Network (VPN)

Sambungan yang selamat kepada komputer pengguna yang berada di luar kampus rangkaian agensi.

Mengelakkan ketirisan data dalam rangkaian terbuka mahupun dalaman

43

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 5 – Akses

kepada Sistem yang

Berasaskan Web dan

Client

Akses kepada Sistem yang Berasaskan Web dan Client.

Network Diagram

Network diagram perlu

menyatakan dengan jelas

perkara-perkara berikut::

o Semua perkakasan yang

terlibat dalam Sistem

Kewangan dan Perakaunan

o Zon DMZ jika sistem

berasaskan web dan boleh

diakses di luar kampus

rangkaian agensi

o Penempatan semua server

yang terlibat di server farm

o Network segmentation

beserta maklumat logikal

VLAN (user access zone,

secure zone, etc.)

o Maklumat virtual machines

jika menggunakan

virtualization

44

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 5 – Akses

kepada Sistem yang

Berasaskan Web dan

Client

Akses kepada Sistem yang Berasaskan Web dan Client.

“

45

Sesi kejut minda…

m

Penamatan Sesi Secara Automatik (auto logoff).

ARAHAN TEKNOLOGI MAKLUMAT

Perkara 20.1.7(h) Kawalan Akses

‘Keselamatan bagi aplikasi hendaklah

mempunyai ciri-ciri berikut: (i) Logoff

secara automatik apabila tiada aktiviti

dalam tempoh yang ditetapkan’.

46

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 6 – Penamatan

Sesi Secara Automatik

(auto logoff)

Auto Logoff

Sistem berupaya untuk auto

logoff bagi tempoh yang

bersesuaian dan mengikut

polisi keselamatan agensi.

Konfigurasi Auto Logoff

Pentadbir sistem agensi

berupaya menukar tetapan

(setting) auto logoff pada bila-

blla masa.

47

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 6 – Penamatan

Sesi Secara Automatik

Penamatan Sesi Secara Automatik.

Kemudahan Backup & Restore.

RAKKSSA

Perkara 2.3.3 Sandaran

‘Sandaran hendaklah dilaksanakan secara

berkala berdasarkan peraturan semasa

yang berkuat kuasa untuk memastikan

bahawa sistem boleh dipulihkan. Media

sandaran hendaklah disimpan dalam

persekitaran yang selamat dan di lokasi

yang berasingan’.

48

ARAHAN TEKNOLOGI MAKLUMAT

Perkara 20.1.6(j) Backup

‘(i) Backup diperlukan untuk mengekalkan

integriti dan ketersediaan maklumat serta

kemudahan pemprosesan ICT. Prosedur

Operasi Standard (Standard Operating

Procedure [SOP]) hendaklah diwujudkan

untuk dijadikan panduan bagi

melaksanakan kerja backup dan

pemulihan. Ini melibatkan semua fail

penting, data, program aplikasi dan

dokumentasi’.

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 7 – Kemudahan

Backup & Restore

Backup

Proses membuat salinan data

dari salinan asal ke storan

sekunder.

Restore

Proses menyalin semula

salinan data dari storan

sekunder ke pangkalan data /

storan asal.

49

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 7 – Kemudahan

Backup & Restore

ANCAMAN

RISIKO

PENYELESAIAN

Kenapa backup & restore?

Kegagalan / kerosakan perkakasan

Kegagalan / kerosakan perisian

Accidental error Rompakan atau

kecurian

Bencana

Sabotaj

Serangan siber

Kehilangan atau kerosakan data

Kemudahan

backup & restore

Medium Backup

Sistem sekurang-kurangnya

dilengkapkan dengan satu (1)

medium backup. Contoh:

o Mobile secondary storage

o Tape backup

o Network attached storage

(NAS)

o Online backup

Standard Operating

Procedure

Dokumen SOP yang jelas dan

komprehensif dalam

menerangkan tatacara

pentadbiran backup & restore.

Jadual

Merancang dan melaksanakan

jadual kekerapan backup dan

penghantaran salinan media

backup ke lokasi off-site yang

kos-efektif.

50

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 7 – Kemudahan

Backup & RestorePengujian

Pengujian restore sekurang-

kurangnya sekali dalam

setahun.

Ketepatan data dan maklumat

kewangan dalam pengujian

disahkan oleh pegawai

kewangan agensi.

Pelan Pemulihan Bencana (Disaster Recovery Plan [DRP]).

RAKKSSA

Perkara 5.1 Pelan Pengurusan

Kesinambungan Perkhidmatan dan

Pemulihan Bencana ICT

‘Jabatan hendaklah membangunkan Pelan

Pengurusan Kesinambungan Perkhidmatan dan

Pelan Pemulihan Bencana ICT (ICT DRP).

Objektif pelan adalah untuk memastikan

perkhidmatan atau fungsi kritikal Jabatan tidak

terjejas walau pun berlaku gangguan’.

Perkara 5.2 Penambahbaikan

‘Jabatan hendaklah melaksana penambahbaikan

berterusan menerusi latihan simulasi terhadap

pelan sekurang-kurangnya setahun sekali atau

apabila berlaku perubahan dalam pelan’. 51

ARAHAN TEKNOLOGI MAKLUMAT

Perkara 18.2.1(b) Kekerapan Pengujian

Pelan BCM

‘Pelan BCM hendaklah diuji sekurang-kurangnya

sekali setahun atau apabila terdapat perubahan

dalam persekitaran atau fungsi business untuk

memastikan ia sentiasa kekal berkesan.

Penilaian secara berkala hendaklah

dilaksanakan untuk memastikan pelan tersebut

bersesuaian dan memenuhi tujuan

dibangunkan’.

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 8 – Pelan

Pemulihan Bencana

(Disaster Recovery Plan

[DRP])

Disaster Recovery Plan

(DRP)

DRP dibangunkan untuk tujuan

berikut:

o Panduan untuk prosedur

pelan pengaktifan dan

pemulihan bencana.

o Subset kepada BCM.

Disaster Recovery Center

(DRC)

Lokasi alternatif untuk

organisasi menempatkan

infrastruktur ICT dan operasi

sistem apabila pusat data

utama gagal berfungsi

disebabkan oleh bencana.

Jenis DRC ialah hot sites,

warm sites dan cold sites.

Panduan Penempatan DRC

Punca bekalan kuasa yang

berbeza.

Jarak dekat yang memudahkan

akses Pasukan DR.

Jarak yang jauh dan tidak

terjejas daripada bencana yang

berlaku.

Analisis cost-benefit.

52

Fasa-fasa DRP

DRP menerangkan secara

komprehensif langkah-langkah

menangani bencana melalui

fasa-fasa berikut:

o Fasa normal

o Fasa pemulihan bencana

o Fasa selepas bencana

Fasa-fasa DRP (samb.)

Setiap fasa diperincikan

dengan maklumat berikut:

o Tindakan / aktiviti yang

perlu dilakukan

o Pegawai / pasukan

bertanggungjawab

o Tempoh masa

Pengujian DRP

Pengujian restore sekurang-

kurangnya sekali dalam

setahun.

Ketepatan data dan maklumat

kewangan dalam pengujian

disahkan oleh pegawai

kewangan agensi.

Pengukuhan

Keselamatan Sistem

Perakaunan dan

Kewangan Sektor

Awam

Kriteria Teknikal

SAGA

Kriteria 8 – Pelan

Pemulihan Bencana

(DRP)

“

53

Sesi kejut minda…

Case Study

Sebuah organisasi PBT berpretasi kewangan tinggimenjalankan backup secara harian dengan menyimpansandaran data di external hard disk. Pentadbir sistem akanmenyalin data dari server ke hard disk dan menyimpan di laci pejabatnya. Organisasi ini mempunyai DRC secara cold. Terdapat amalan menguji Pelan Pemulihan Bencanasetahun sekali. Pelan ini dilakukan oleh pasukan pentadbirsistem yang terdiri daripada kumpulan pegawai teknologimaklumat. Pasukan ini akan menyalin data ke server sementara (pool) dan menyemak silang data yang terdapatdi production dengan server sementara. Semak silangdilakukan bagi memastikan jumlah data adalah sama di kedua-dua server.

Soalan:Kenal pasti kelemahan dalam amalanbackup dan pelan pemulihan bencana di organisasi ini dan cadangkanpenambahbaikan bagi mengukuhkankeselamatan sistem kewangan danperakaunan.

KESIMPULANPengukuhan Kawalan Keselamatan Sistem Perakaunan dan Kewangan – Perspektif Sektor

Awam dan Industri Semasa ICT

54

“

55

IIntegrityC

Confidential

AAvailability

Data sulit dan

terpelihara

Integriti data

berkekalan

Data tersedia

setiap masa

Tanyalah saya…..!

56

Muhammad Azhar Fairuzz Hiloh

azhar@anm.gov.my | 03-88869849

Seksyen Teknologi Maklumat

Bahagian Khidmat Perunding

Jabatan Akauntan Negara Malaysia