Putrajaya tidak akan gantung PADU, Kabinet tidak putuskan, kata Menteri
2024.01.03
Kuala Lumpur
Satu pangkalan data baharu yang diperkenalkan Malaysia untuk menguruskan pemberian subsidi petrol dan makanan secara bersasar kepada rakyat telah berdepan beberapa masalah pada hari pertama dilancarkan, sekaligus mendorong pelbagai pihak menggesa Putrajaya menggantung penggunaannya buat sementara disebabkan kegusaran mengenai keselamatan data dan privasi pengguna.
Sistem Pangkalan Data Utama (PADU) yang dilancarkan pada Selasa itu yang diwar-warkan oleh kerajaan sebagai sebuah pusat penyimpanan data rakyat dan profil isi rumah yang paling komprehensif dan dapat membantu menghentikan "ketirisan serta kebocoran" dana kerajaan yang telah memberikan kesan terhadap pengagihan subsidi secara adil.
Menteri Komunikasi Fahmi Fadzil, yang juga merupakan jurucakap rasmi Kerajaan Perpaduaan pimpinan Perdana Menteri Anwar Ibrahim telah mempertahankan PADU semasa satu sidang media pada Rabu dengan menyatakan bahawa mereka tidak merancang untuk menggantung pelaksanaan pangkalan itu buat masa ini.
"Jemaah Menteri tidak memutuskan untuk menangguhkan PADU. Pada waktu ini kita dapati sistem berjalan lancar dengan isu yang dibangkitkan berjaya diselesaikan dalam jangka masa singkat.
"Pemantauan tentang aspek keselamatan terus dilakukan, jadi tidak timbul isu untuk menangguhkan," kata beliau dalam sidang media tersebut.
Fahmi berkata demikian sebagai respon terhadap gesaan oleh Ong Kian Ming, seorang ahli politik dari parti kerajaan dan juga merupakan bekas Timbalan Menteri Perdagangan Antarabangsa dan Industri, yang mahukan Putrajaya menangguhkan proses pendaftaran pengguna PADU sehingga isu-isu keselamatan pada pangkalan data tersebut diselesaikan.
"Saya berpandangan bahawa ia adalah sesuatu yang bagus sekiranya (kerajaan) mempertimbangkan untuk menutup pendaftaran (PADU) buat masa ini sehingga isu-isu diselesaikan dan protokol keselamatan yang lebih teguh disediakan," kata Ong melalui platform media sosial, X.
Pada Selasa, Ong mendakwa bahawa mana-mana individu boleh mendaftar akaun PADU menggunakan nombor kad pengenalan MyKad dan poskod orang lain, mengatasi proses pengesahan identiti pengguna secara digital yang dikenali sebagai 'Electronic Know Your Customer' atau e-KYC. Proses tersebut memerlukan pengguna menghantar gambar suafoto mereka bersama MyKad.
Selain itu, seorang pembangun perisian dan pengguna X @drmsr_dev pada Selasa mendakwa kata laluan untuk akaun PADU boleh ditukar dengan hanya menggunakan nombor MyKad pengguna.
Dalam satu muatnaik di laman X selepas itu, beliau menyatakan bahawa pasukan PADU telah memperbaiki kelemahan berkenaan.
Pangkalan sosioekonomi
Sistem PADU - yang dibangunkan oleh tenaga pakar dalam Kementerian Ekonomi yang dipimpin Menteri Rafizi Ramli - merupakan sebuah pangkalan data sosioekonomi kebangsaan yang dibangunkan bagi membantu kerajaan membuat keputusan berdasarkan data.
Menurut Rafizi, sistem itu mengintegrasikan MyDigital ID dan bermula pada tahun ini, ia akan membantu pengagihan subsidi kerajaan secara bersasar, oleh itu, pengguna digesa memberikan maklumat lengkap seperti status pendidikan, kesihatan, kadar pendapatan isi rumah, dan maklumat sama ada mereka pernah menerima sebarang bantuan sosial.
Dalam satu kenyataan pada Rabu, Rafizi berkata lebih 200,000 pengguna telah mendaftar dengan sistem PADU setakat jam 10 pagi hari tersebut dengan Kerajaan juga telah memperbaiki beberapa kekurangan yang dikenalpasti pada PADU, kata beliau.
"Kelemahan dalam pengendalian 'authentication' ini tidak ditemui semasa Security Posture Assessment (SPA), dan pasukan telah mengambil tindakan segera serta penyelesaian telah dilaksanakan dalam tempoh satu jam dan telah selesai pada 2 Januari 2024 jam 9.15 malam," tambah beliau lagi.
Semasa majlis pelancaran PADU pada Selasa, Rafizi berkata pelbagai langkah keselamatan telah dilaksanakan bagi melindungi data sistem berkenaan bagi menangani kegusaran orang awam.
"Pembangunan PADU turut mengambil kira segala aspek berkaitan risiko keselamatan sistem dan kebocoran maklumat terperingkat, bagi memastikan pengendalian data yang selamat, prosedur operasi standard (SOP) yang komprehensif telah diwujudkan.
"Di samping itu, kerjasama strategik turut diadakan antara Agensi Keselamatan Siber Negara (NACSA), Pejabat Ketua Pegawai Keselamatan Kerajaan (CGSO), CyberSecurity Malaysia (CSM) dan Jabatan Perlindungan Data Peribadi (JPDP) Kementerian Komunikasi dan Digital (KKD) untuk meningkatkan keselamatan dan mencegah kebocoran data serta memastikan perlindungan data peribadi.
"Kerajaan juga turut melantik Kumpulan Pakar Bebas yang mempunyai kepakaran dalam pelbagai bidang yang berperanan sebagai semak dan imbang dalam memastikan pembangunan PADU memiliki ciri-ciri keselamatan yang terkini dan terbaik," kata beliau dalam ucapannya di majlis berkenaan.
Pelancaran terlalu awal
Bagaimanapun, pelancaran PADU tidak diterima baik oleh pemerhati politik Bridget Welsh yang mengkritik kekurangan pada sistem berkenaan.
"Sistem PADU Malaysia untuk pengurusan subsidi awam dilancarkan terlalu awal, tanpa perlindungan data, ujian yang mencukupi, perundingan, dan penyeliaan daripada kementerian-kementerian lain termasuk (kementerian) digital dan komunikasi," kata beliau dalam satu muatnaik di platform X. "Ia merendahkan kredibiliti kerajaan. Sekarang adalah masa untuk mengambil satu langkah ke belakang dan sediakan infrastruktur yang baik terlebih dahulu."
Sejak beberapa tahun kebelakangan ini, Malaysia menyaksikan banyak cubaan mencuri data yang menyasarkan agensi-agensi kerajaan, menurut laporan media tempatan.
Pada Disember, agensi keselamatan sosial negara, PERKESO, mengesahkan terdapat serangan siber dilakukan ke atas sistem dan laman webnya selepas satu cubaan menggodam pada September.
CyberSecurity Malaysia dalam laporan pertengahan tahun mendedahkan bahawa 22 peratus daripada kes pencerobohan data pada enam bulan pertama 2023 adalah membabitkan sektor kerajaan, dan merupakan bilangan terbesar ketika tempoh tersebut.
Fong Choong Fook, pengerusi eksekutif syarikat keselamatan siber LGMS, memberitahu BenarNews bahawa ia adalah satu kebiasaan untuk pangkalan data berpusat menarik minat penggodam, dan mencadangkan supaya langkah kawalan yang lebih ketat diletakkan.
"Pangkalan data berpusat juga berisiko menjadi sasaran yang menarik minat penggodam. Serangan siber adalah satu ancaman yang berterusan, dan ia adalah penting untuk meletakkan langkah-langkah keselamatan siber yang komprehensif bagi menangani sebarang cubaan pencerobohan data.
"Selain daripada membina pangkalan data berpusat, saya ingin mencadangkan supaya kerajaan mempertimbangkan untuk membangunkan Antara Muka Pengaturcaraan Aplikasi (API) berpusat yang menghubungkan pelbagai sumber data.
"Laluan API ini akan memberikan kawalan granular ke atas akses kepada data, sekaligus membolehkan kerajaan menentukan polisi akses, menguatkuasakan langkah keselamatan, dan mengurangkan pendedahan kepada data sensitif. Sebagai contoh, ia hanya memberikan akses kepada data yang diperlukan sahaja dan bukan semua data yang ada secara sekaligus," kata beliau.
Seorang lagi pakar keselamatan siber, Murugason R. Thangaratnam, mencadangkan supaya PADU melalui penilaian ancaman secara 'real-time' (masa sebenar) bagi mendedahkan sebarang bentuk kelemahannya.
"Bagi memastikan ujian itu dilakukan secara komprehensif, libatkan penggodam yang beretika atau vendor yang diperakui dalam ujian tersebut.
"Pemantauan pangkalan data secara ‘real-time’ adalah penting. Imbasan secara berterusan ke atas pangkalan data bagi mengesan cubaan menceroboh akan dapat meningkatkan tahap keselamatan dan membolehkan mereka bertindak balas terhadap sebarang kemungkinan serangan," kata beliau kepada BenarNews.
Noah Lee di Kuala Lumpur turut menyumbang kepada laporan ini.