Jual Data Kerajaan, Salah Siapa?
Assalamualaikum dan Salam Sejahtera semua rakan pembaca blog Mat,
Sebelum ini, Mat ada kupaskan mengenai 5 minit godam data kerajaan, Hari ini, Mat akan bercerita mengenai isu yang lebih kurang sama dengan isu tersebut, tetapi ia lebih kepada "violation of data privacy". Data merupakan satu sumber yang amat bernilai, jika ianya jatuh kepada tangan yang salah maka buruk lah padahnya nanti. Dalam situasi kali ini, Mat terbaca post dalam satu page facebook tentang penjualan data peribadi yang melibatkan pelajar lepasan SPM yang gagal untuk memasuki institusi pengajian tinggi awam. Jika dilihat, perkara ini mungkin terlalu remeh untuk diambil tindakan kerana ia melibatkan data pelajar, yang tidak mempunyai apa apa kepentingan. Tetapi jika data seperti ini dijual kepada pihak yang memerlukan, maka terjadilah lambakan surat tawaran daripada institusi pengajian tinggi swasta didalam peti surat rumah mereka dan juga privasi mereka mungkin terganggu dengan tawaran demi tawaran untuk melanjutkan pelajaran melalui panggilan telefon.
Jika ada yang menjual data ini, daripada mana pula mereka perolehi data tersebut? Adakah data tersebut diperoleh dari orang dalam atau data yang di digodam seperti post Mat sebelum ini yang penggodam hanya mengambil masa selama 5 minit untuk menggodam data kerajaan. Mat pernah terlibat dengan satu projek penetration testing yang melibatkan sebuah hospital, tidak perlu Mat nyatakan ianya hospital swasta ataupun hospital kerajaan. Masa itu Mat amat terkilan dengan hasil yang Mat perolehi. segala data pesakit disimpan dalam bentuk plaintext termasuklah nombor kad kredit dan segala maklumat peribadi pesakit. Mat terfikir, adakah semua ini salah developer sistem tersebut yang membiarkan data lebih dari 1gb disimpan dalam bentuk plaintext? ataupun salah organisasi yang mengupah mereka kerana tidak menyatakan security baseline yang perlu developer patuhi.
Di Malaysia terutamanya, tidak mempunyai kesedaran yang tinggi kerana data yang disimpan tidak dianggap bernilai, jika mereka mengambil serius perkara ini, masalah ini mungkin dapat dikurangkan. jika sesuatu sistem tidak begitu secure tetapi jika database nya di encrypt, pengodam akan mengalami masalah untuk melihat isi kandungan data tersebut walaupun mereka mempunyai akses kepada sistem. Akan tetapi, untuk encrypt segala data didalam database, haruslah mempunyai pengetahuan yang tinggi kerana Database encryption can add a valuable layer of security to critical data stores, but only if the encryption is done well (sumber dari darkreading.com). Boleh rujuk untuk lebih lanjut mengenai database encryption.
0 comments :