Institut Tadbiran Awam Negara (INTAN)National Institute of Public Administration

Zoraidah Ahmad & Siti Hanom MarjuniProgram Pembangunan Kepakaran ICT

KESELAMATAN & ETIKA KESELAMATAN & ETIKA ICTICT

1

Program Pembangunan Kepakaran ICT 2

AGENDAPengurusan Keselamatan ICTPengurusan Keselamatan ICT

Takrifan

Objektif

Kepentingan Dasar Keselamatan ICT

Ancaman dan Cabaran

Jenis-jenis Ancaman

Metodologi ancaman

Impak kepada kehidupan

Etika Penggunaan ICT

3

TAKRIFANKeselamatan ditakrifkan sebagai keadaan yang bebas daripada ancaman dan risiko yang tidak boleh diterima. Penjagaan keselamatan adalah suatu proses yang berterusan. Ia melibatkan aktiviti berkala yang mesti dilakukan dari semasa ke semasa untuk menjamin keselamatan kerana ancaman dan kelemahan sentiasa berubah.Keselamatan ICT adalah bermaksud keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan yang berasaskan kepada sistem ICT berjalan secara berterusan tanpa gangguan yang boleh menjejaskan keselamatan

Sumber: Dasar Keselamatan ICT MAMPU

4

Bertanggungjawab..

Sumber: Dasar Keselamatan ICT MAMPU

5

Objektif ..Objektif ..

Sumber: Dasar Keselamatan ICT MAMPU

6

Ciri-Ciri-ciriciri IntegritiIntegriti

Sumber: Dasar Keselamatan ICT MAMPU

7

Kepentingan ..

Sumber: Dasar Keselamatan ICT MAMPU

8

Dasar Keselamatan ICT Ver 5.2 (2009)

9

GARIS PANDUAN ….

10

Arahan-arahan ..

Arahan KP MAMPU 11 September 2009 : Garis Panduan Pembangunan Kandungan Sektor AwamArahan KP MAMPU 11 September 2009 : Panduan Penyediaan dan Penyiaran Berita Online di Laman Web Agensi-agensi KerajaanArahan KP MAMPU 17 Julai 2009 : Garis Panduan Pelaksanaan Blog Bagi Agensi Sektor AwamArahan Langkah-langkah Pemantapan Pelaksanaan Sistem Mel Elektronik Di Agensi-agensi Kerajaan KP MAMPU 23 November 2007 :Arahan KSN 20 Oktober 2006 : Langkah-langkah Memperkukuh Keselamatan Rangkaian Setempat Tanpa Wayar Di Agensi-agensi Kerajaan

Surat Pekeliling Am Bil. 6 Tahun 2005 : Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam

Surat Pekeliling Am Bil. 4 Tahun 2006 : Pengurusan Pengendalian Insiden Keselamatan Teknologi Maklumat (ICT) Sektor Awam

Pekeliling Kemajuan Pentadbiran Awam Bil. 1 Tahun 2003 : Garis Panduan Mengenai Tatacara Penggunaan Internet & Mel Elektronik Di Agensi-agensi Kerajaan

Surat Pekeliling Am Bil. 1 Tahun 2001 : Mekanisme Pelaporan Insiden Keselamatan Teknologi Maklumat dan KomunikasiPekeliling Am Bil. 3 Tahun 2000 : Rangka Dasar Keselamatan Teknologi Maklumat dan Komunikasi Kerajaan

Arahan KP MAMPU 22Febuari 2010 : Pematuhan Sistem Pengurusan Keselamatan Maklumat (ISMS)Arahan KP MAMPU 22Januari 2010: Garis Panduan BCM Practice

Surat Pekeliling Am Bil. 3 Tahun 2009 : Garis Panduan Penilaian Tahap Keselamatan Rangkaian dan Sistem ICT Sektor Awam

http://www.mampu.gov.my 11

AKTA DAN UNDANG-UNDANG SIBER DI MALAYSIA Digital Signature Act 1997 (Akta 562)

Computer Crimes Act 1997 (Akta 563) Telemedicine Act 1997 (Akta 564) Copyright (Amendment) Act 1997 Commmunications & Multimedia Act 1998 (Akta 588) Malaysian Communications & Multimedia Commission Act 1998 (Akta 589) Optical Discs Regulations 2000 Electronic Commerce Act 2006 Data Peribadi 2009 – diluluskan 6April2010- Akta Mesin Cetak- Akta Keselamatan Dalam Negeri (ISA)- Akta Rahsia Resmi (OSA)

12

AGENDAPengurusan Keselamatan ICT

Takrifan

Objektif

Kepentingan Dasar Keselamatan ICT

Ancaman dan CabaranAncaman dan Cabaran

Jenis-jenis Ancaman

Metodologi ancaman

Impak kepada kehidupan

Etika Penggunaan ICT

13

Ancaman

EkonomiEkonomi

PolitikPolitik

TeknikalTeknikal KetenteraanKetenteraan

Ancaman Dari Pelbagai Ancaman Dari Pelbagai Perspektif .. ..Perspektif .. ..

14

Perspektif TeknikalPerspektif Teknikal

InternetExternal

exploitation

Externalexploitation

Internalexploitation

Internalexploitation Dial-in

exploitation Dial-in

exploitation

Compromised host

o 5 Kategori ancaman keselamatan: Ancaman dalaman Ancaman luaran Ancaman berstruktur (structured) Ancaman tidak berstruktur (unstructured/script kiddies)Ancaman Pseudo-dalaman (Pseudo-internal)

o Viruses, Worms, Trojan horseo Trapdooro Agent Softwareo Hackerso Communicationo SQL-injection, Cross site scripting(xss)

15

Perspektif EkonomiPerspektif Ekonomio Kebocoran maklumat rahsia berkaitan ekonomi

- MOU, melibatkan antarabangsa

- cth: isu Pulau Batu Putiho Kerugian

- pelaburan palsu di internet

- transaksi banko Penipuan ala siber

- Penetapan Ringgit Malaysia

- Konsep Dinar

16

Peperangan siber- Maklumat dan data

Manpower

Peralatan/aset/senjata Rang Undang-Undang Perdagangan Strategik 2010

Perspektif Ketenteraan

17

Perspektif Politik

perang minda/kefahaman

Media cetak dan internet (Blog, Facebook)

bantuan/sukarelawan

18

Pencerobohan (intrusion) cth: ?? Penipuan (Fraud) cth: ?? Gangguan (harassment) cth: ?? Ancaman pencerobohan (Hacking) cth: ?? Kod Berbahaya (Malicious Code) cth: virus,worm, adware, trojan, spyware Gangguan perkhidmatan (Denial of Services) Email Spamming

Metodologi Ancaman

19

CyberSecurity Incidents 2005-2009

20

Cabaran

21

Kerugian

kewangan, organisasi

Kemusnahan

dunia, masyarakat, sosial, moral

Mudharat

keharmonian manusia, negara

22

Awareness/Kesedaran

- bengkel, seminar, kursus/latihan

Tools/peralatan

- software/hardware (firewall, anti-virus, IDS/IPS)

Mengekang kelemahan

- upgrading, patching

Psikologi

- emosi, trust

Penyelesaian …..

23

AGENDAPengurusan Keselamatan ICT

Takrifan

Objektif

Kepentingan Dasar Keselamatan ICT

Ancaman dan Cabaran

Jenis-jenis Ancaman

Metodologi ancaman

Impak kepada kehidupan

Etika Penggunaan ICTEtika Penggunaan ICT

24

penggunaan komputer dengan betulEtika Penggunaan ICT :Etika Penggunaan ICT :

25

1. Cracker

Cracker ialah golongan yang menceroboh ke dalamsistem komputer dan merosakkan sistem yang adadengan tujuan utama membuat keuntungan

Cracker tidak menulis program untukmembangunkan perisian tetapi menggunakanperisian yang dibangunkan orang lain untuk tujuankemusnahan

Masalah Etika ..

26

2. Penyalahgunaan Internet

Konsep ‘langit terbuka’ yang dilaksanakan oleh negara kita telah mengundang banyak implikasi buruk kepada para pengguna Internet terutamanya di kalangan remaja

Masalah Etika ..

27

3. Virus

Penyebaran virus yang merosakkan sistem, data, perisian serta melumpuhkan rangkaian komputer

Masalah Etika ..

28

4. Hakcipta

Memuat turun sebarang perisian atau dokumen tanpa kebenaran adalah salah dari segi undang-undang hakcipta.

Keizinan daripada pemiliknya adalah perlu

Masalah Etika ..

29

5. Perisian cetak rompak

Mengguna pakai perisian yang tidak berlesen adalah salah di sisi undang-undang

Masalah Etika ..

30

1. Tidak nampak kesan dan masalah moral dari aspek sosial pengkomputeran

2. Pengetahuan dan penggunaan yang kurang mendalam dalam komputer berbanding mereka yang memang dalam bidang pengkomputeran

3. Kurang arif mengenai undang-undang siber

4. Orang awam tidak menerima impak yang hebat apabila berlaku isu-isu berkaitan etika komputer

5. Kurangnya pendedahan dalam pengaruh, kegunaan dan kuasa yang ada pada komputer

Isu Etika Komputer dan Orang Awam

31

•Kebersendirian / Privacy

•Ketepatan / Accuracy

•Hak milik / Property

•Capaian / Accessibility

Isu Etika Teknologi Maklumat

32

•Apakah maklumat mengenai seseorang (maklumat peribadi) yang boleh atau perlu diberitahu atau diketahui oleh orang lain?

•Apakah jenis pengawasan yang boleh dilakukan oleh majikan ke atas kakitangan

•Apakah perkara yang boleh disimpan secara peribadi yang tidak boleh dipaksakan untuk dimaklumkan kepada pihak lain

•Apakah maklumat mengenai individu yang perlu disimpan dalam pangkalan data. Sejauhmanakah selamatnya maklumattersebut?

Isu kebersendirian

33

•Siapa bertanggungjawab mengenai ketulenan, kesetiaan, ketepatan maklumat yang dikumpul

•Bagaimana memastikan maklumat diproses dengan sempurna dan dipersembahkan dengan tepat kepada pengguna?

•Siapa dipertanggungjawabkan bagi ralat dalam maklumat, bagaimana pihak yang terjejas boleh dipampas

Isu ketepatan maklumat

34

•Siapa memiliki maklumat

•Apakah harga yang adil dan berpatutan sebagai pertukaran maklumat

•Bagaimana mengendalikan cetak rompak perisian (menyalin perisian yang dilindungi oleh hak cipta)

•Bilakah seseorang boleh menggunakan pangkalan data yang mempunyai hak milik

•Bolehkah komputer pejabat digunakan untuk tujuan peribadi

•Bagaimana akses kepada saluran maklumat diperuntukkan

Isu hak milik

35

• Siapa yang dibenarkan mengakses maklumat

• Berapa bayaran perlu dikenakan kerana membenarkan capaian maklumat

• Bagaimana capaian kepada komputer disediakan kepada kakitangan yang tidak berupaya

• Siapakah yang diberi peralatan yang diperlukan untuk mencapai maklumat

• Apakah hak yang dimiliki oleh individu atau organisasi untuk mendapat keistimewaan memperoleh maklumat dan di bawah keadaan apa dan jaminan apa?

Isu Capaian

36

Amalan Baik Keselamatan ICThttp://www.mampu.gov.my

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Rahsiakan kata Rahsiakan kata laluan laluan Gunakan Gunakan kata laluan yang kata laluan yang kukuh melalui kukuh melalui gabungan nombor, gabungan nombor, huruf, tanda dan huruf, tanda dan simbol (Contoh : simbol (Contoh : P4s$wOrdP4s$wOrd) )

37

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Salin maklumat Salin maklumat pentingpenting buat salinan buat salinan dengan kerap dan dengan kerap dan simpan tempat simpan tempat selamatselamat

Amalan Baik Keselamatan ICT

38

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Gunakan perisian Gunakan perisian anti-virusanti-virus yang sah yang sahKemaskiniKemaskini perisian perisian anti-virusanti-virus

Amalan Baik Keselamatan ICT

39

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Encrypt Encrypt maklumat maklumat terperingkat terperingkat menggunakan menggunakan encryption apabila encryption apabila menyimpan dan menyimpan dan menghantar maklumat menghantar maklumat terperingkatterperingkat

Amalan Baik Keselamatan ICT

40

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Berwaspada Berwaspada apabila memuat apabila memuat turun program turun program atau fail dari atau fail dari Internet Internet

Amalan Baik Keselamatan ICT

41

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Jangan buka e-mel Jangan buka e-mel dari penghantar yang dari penghantar yang tidak dikenali tidak dikenali bagi bagi mengelakkan mengelakkan virus, virus, email spammingemail spamming dan dan wormworm dan sebagainya dan sebagainya

Amalan Baik Keselamatan ICT

42

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Jangan biarkan Jangan biarkan komputer anda komputer anda berada atas berada atas talian jika tidak talian jika tidak digunakan digunakan

Amalan Baik Keselamatan ICT

43

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Log off Log off komputer komputer anda sebelum keluar anda sebelum keluar pejabat pejabat

Amalan Baik Keselamatan ICT

44

Tip Pengkomputeran SelamatTip Pengkomputeran Selamat

45

Kes 1- Email Phishing/SpammingThu, March 25, 2010 6:02:19 AM Maybank Account BlockedFrom: Maybank Group <alert@m2u-alz2.com>

We suspended your account during our security verification. Please reactivate your account below as inactive accounts will be terminated till further notice if not activated now. This process is part of our advanced security to protect customers. We are sorry for any inconvenience caused.http://www.maybank2u.com.my/privacy.htmlInternet Banking Services,Maybank Group

http://www.validnewm2u.com/M2Ulogin.htm

46

Kes 2From: Dr AbbasMohamed Sellam drabbasmohamedse@sify.com

FROM THE DESK OF  Dr ABBAS MOHAMED SELLAMAUDITS & ACCOUNTS DEPTAFRICAN DEVELOPMENT BANKOuagadougou Burkina FasoPrivate Phone Number +22671 10 61 80Attention: Please

I am Dr Abbas mohamed sellam the manager Audit & Accounts dept. in the African Development Bank (ADB). I am writing to request your assistance to transfer the sum of $15, 000.000.00 [Fifteen million, United States dollars) into your accounts.

The above sum belongs to our deceased customer late Mr. John korovo who died along with his entire family in the Benin plane crash 2004 and since then the fund has been in a suspense account.

After my further investigation, I discovered that Mr. John korovo died with his next of kin and according to the laws and constitution guiding this banking institution, it states that after the expiration of (7) seven years, if no body or person comes for the claim as the next of kin, the fund will be transferred to national treasury as unclaimed fund. Because of the static of this transaction I want you to stand as the next of kin so that our bank will accord you the recognition and have the fund transferred to your account.The total sum will be shared as follows: 60% for me, 40% for you and all incidental expenses that may occur during the transfer process will be incurred by both of us. The transfer is risk free on both sides hence you will follow my instructions till the fund get to your account.  More detailed informations with the official application form will be Forwarded to you to explain more comprehensively what is required of you. You are free to call me through my private telephone number.

Your Full Name.............................Your Sex...................................Your Age..................................Your Country...............................Your Occupation..........................Your Personal Mobile Number.....................Passeports / dring licence.......Thanksplease contact :Dr Abbas mohamed sellam  (+22671 10 61 80  )

47

Anda bekerja di syarikat membekalkan bunga, dan mempunyai capaian ke atas data jualan dan pelanggan syarikat. Anda mendapati teman lelaki kepada kawan anda menggunakan perkhidmatan syarikat anda untuk menghantar bunga kepada 3 orang wanita setiap minggu termasuk teman anda.  Kawan anda beranggapan bahawa hanya dia seorang yang bertakhta di hati teman lelakinya. Jadi anda rasa anda patut memaklumkan kepada kawan anda mengenai tingkahlaku teman lelakinya. Dilema anda adalah anda terikat dengan tanggungjawab bagi melindungi kerahsiaan maklumat pelanggan syarikat. Bagaimanapun, anda juga merasa bertanggungjawab untuk memberitahu perkara sebenar kepada kawan anda. Apakah tindakan yang patut anda buat ? Bagaimana sekiranya :- Perempuan itu adalah adik andaLelaki itu adalah abang anda

Kes 3

48

RUJUKAN

www.mampu.gov.my www.cybersecurity.my www.cybersafe.com www.mycert.org.my www. mkn.gov.my Nota Kuliah ISMS Thesis MSc/Phd Siti Hanom Marjuni

49

50

Istilah-istilah :

Source:2009 GCERT MAMPU

SpamSpam adalah emel yang dihantar ke akaun emel orang laiin yang tidak dikenali penghantar dalam satu masa dan secara berulang-kali (kandungan emel yang sama). Ini menyebabkan kesesakan rangkaian dan tindak balas menjadi perlahan.Malicious CodePerkakasan atau perisian yang dimasukkan ke dalam sistem tanpa kebenaran bagi tujuan pencerobohan. Ia melibatkan serangan virus, trojan horse, worm, spyware dan sebagainya.Harrasment/ ThreatsGangguan dan ancaman melalui pelbagai cara iaitu emel dan surat yang bermotif personal dan atas sebab tertentu.Attempts/Hacks Threats/Information GatheringPercubaan (samada gagal atau berjaya) untuk mencapai sistem atau data tanpa kebenaran. Termasuk spoofing, phishing, probing, war driving dan scanning.Kehilangan Fizikal (Physical Loss)Kehilangan capaian dan kegunaan disebabkan kerosakan, kecurian dan kebakaran ke atas aset ICT berpunca dari ancaman pencerobohan.

Pelanggaran Dasar (Violation of Policy)Penggunaan aset ICT bagi tujuan kebocoran maklumat dan/atau mencapai maklumat yang melanggar Dasar Keselamatan ICTPenghalangan Penyampaian Perkhidmatan (Denial of Services)Ancaman ke atas keselamatan sistem komputer di mana perkhidmatan pemprosesan maklumat sengaja dinafikan terhadap pengguna sistem. Ia melibatkan sebarang tindakan yang menghalang sistem daripada berfungsi secara normal. Termasuk Denial of Services (DoS), Distributed Denial of Service (DDoS) dan sabotage.Pencerobohan (Intrusion)Mengguna dan mengubahsuai ciri-ciri perkakasan, perisian atau mana-mana komponen sesebuah sistem tanpa pengetahuan, arahan atau persetujuan mana-mana pihak. Ia termasuk capaian tanpa kebenaran, pencerobohan laman web, melakukan kerosakan kepada sistem (system tampering), pindaan data (modification of data) dan pindaan kepada konfigurasi sistem.Pemalsuan (Forgery)Pemalsuan dan penyamaran identiti yang banyak dilakukan dalam penghantaran mesej melalui emel termasuk penyalahgunaan dan pencurian identiti, pencurian maklumat (information theft/ espionage) dan penipuan (hoaxes).

51

Shoulder Surfing: watching you from a nearby location as you punch in your pin codes or listening as you give someone else your personal information over the phoneDumpster Diving: rummaging through your trash to find bills or other documents with your name and personal information on themStealing: stealing mail (including bills, credit card statements, credit card offers, and tax information), or even stealing wallets and purses to gain access to documents with your personal information on them Bribing: bribing employees (such as government, bank, or credit card company employees) who have access to your personal informationPretexting: using false pretenses to obtain your personal information from banks, phone, credit companies, and other companiesSkimming:using a special storage device to scan and remember your credit and debit card numbers when you use your cardsPhishing: pretending to be a financial institution or other company (like a lotto company) and sending you spam or pop-up advertisements to persuade you to reveal your personal informationChanging your address: completing a change of address form to divert your billing statements and other mail to another location where this information is easily accessible

Distributed denial of service attacks on root nameservers are several significant Internet events in which distributed denial-of-service attacks have targeted one or more of the thirteen Domain Name System root nameservers. The root nameservers are a critical infrastructure components of the Internet, mapping domain names to Internet Protocol (IP) addresses and other information. Attacks against the root nameservers can impact operation of the entire Internet, rather than specific websites.Eavesdropping is the act of secretly listening to the private conversation of others without their consent.This is commonly thought to be unethical and there is an old adage that eavesdroppers seldom hear anything good of themselves.[

wiretapA concealed listening or recording device connected to a communications circuit.The act of installing such a device.Traffic flow, is the study of interactions between vehicles, drivers, and infrastructure (including highways, signage, and traffic control devices), with the aim of understanding and developing an optimal road network with efficient movement of traffic and minimal traffic congestion problems.In cryptography, the man-in-the-middle attack (often abbreviated MITM), or bucket-brigade attack, or sometimes Janus attack, is a form of active eavesdropping in which the attacker makes independent connections with the victims and relays messages between them, making them believe that they are talking directly to each other over a private connection when in fact the entire conversation is controlled by the attacker.

Istilah-istilah (samb.):

52

Terima Kasihzorai@intanbk.intan.my

hanom@intanbk.intan.my

53