Cyber resilience in the Internet economy / Daya Tahan Siber dalam Ekonomi Internet

In just October itself I was involved in two major cybersecurity related events.First I was in Singapore for the ASEAN Ministerial Conference on Cybersecurity during its Singapore International Cyber Week. Last week, CyberSecurity Malaysia, our very own national cybersecurity specialist agency, held its annual highly anticipated Cyber Security Malaysia Awards, Conference and Exhibition event.

I gave a keynote during the Singapore International Cyber Week on 12th October.

This public-private partnership driven event attracted over a thousand participants.

Importantly, we want to recognise individuals and organisations that have made significant contributions in this industry.

Malaysia’s transformation towards a Digital Economy is happening at such a rapid pace that our Prime Minister Datuk Seri Najib Tun Razak recently announced that 2017 would be “the year of the Internet economy.”

Ironically, our increasing reliance on digital technologies also makes us more vulnerable to cybercriminals who seek to exploit them for malicious purposes.

This literally is virtual theft.

Digital technologies can help criminals steal intellectual property, commit online fraud or destroy critical information infrastructure.

The consequences of a cyber-attack vary from minor inconveniences to major disruptions.

We are inundated almost daily by news about large-scale cyber-attacks on government facilities, global banking systems and businesses, causing losses running into billions.

Just over a week ago for example, Internet performance management company Dyn was the target of a massive cyberattack, where possibly 100,000 connected devices like laptops, phones and printers were hijacked and caused Internet disruption to millions.

Financial services, which are the backbone of trade and e-commerce, continue to remain high on cyber criminals’ hit list.

An attack was launched in 2015 by cyber criminals against Ecuadorian Banco del Austro and caused financial losses of US$12 million; while Vietnam’s Tien Phong Bank thwarted a cyber-attack via fraudulent SWIFT messages, which could have incurred losses up to 1 million euros.

Criminals are also targeting the information-rich healthcare sector where the individual’s personal information, credit information, medical and insurance records are all conveniently accessible at one location.

Last year alone, over 100 million healthcare records were compromised, according to IBM’s “2016 Cyber Security Intelligence Index.” Hackers would eventually find their way either into our systems or into our networks.

Hence the theme “Cyber Resilience” was chosen for the recent cybersecurity conference.

An organisation’s ability to identify and respond to security breaches would become a critical survival trait in the Internet economy, especially for online businesses, which is already ubiquitous at the moment.

Cyber resilience encompasses cyber security and business resilience.

An organisation has to adapt to changing conditions, resist and recover quickly from interference, while doing “business as usual”. Essentially this concept combines information security, business continuity and organisational resilience.

While many cyber security threats are caused by malicious cybercriminal activities or human errors and weaknesses, some are linked to natural disasters such as earthquake, fire or massive flooding. Such events often cripple the physical critical infrastructure such as data centers and telecommunication networks upon which the cyber ecosystem depends.

Hence cyber resilience considers not only the confidentiality and integrity of information, but also its availability especially during natural disasters.

Organisations in Malaysia need to constantly assess its cyber security posture.

Cyber-resilient organisations need to cultivate exceptional resilience leadership, culture, networks and change readiness to create a sustainable advantage over cyber criminals.

CyberSecurity Malaysia urges Malaysian organisations to procure international standard MS ISO/IEC 27001, which details implementation of an information security management system (ISMS).

Recognising that effective cyber security is not merely a technological issue, MS ISO/IEC 27001 involves addressing the culture and people, advocating a cohesive approach towards information security.

ISMS certification ensures that security efforts across an organisation are coordinated and its information systems remain safe in the face of security breach.

Like I have always promoted compliance with standards, achieving ISO 27001 would also reassure customers, suppliers, shareholders and stakeholders that the organisation is following international best-practice guidelines.

Governments and major organisations are taking a leading role in establishing the policy and practice frameworks to develop resilient cyber ecosystems.

CyberSecurity Malaysia has been pressing for more stringent certification in ICT products via Common Criteria certification.

Internationally, CyberSecurity Malaysia has been working closely with Asia Pacific Computer Emergency Response Team (APCERT) and Organisation of Islamic Cooperation – Computer Emergency Response Team (OIC-CERT) to foster greater collaboration and enhance mutual cyber security capabilities.

By increasing our cyber resilience, I hope that Malaysians would be more aware of how to safeguard themselves from online crime, to protect their personal data and thus, less likely to suffer financial losses caused by cyberattack.

To be at the forefront of cyber resilience, our universities must produce more outstanding graduates in the field of ethical hacking and forensic.

I laud the government’s initiative through the Public Service Department in allocating public scholarships for digital technology-related courses.

We need to grow, nurture and retain these skills in Malaysia so that we achieve our goal of generating 10,000 cyber professionals in four years’ time to effectively prevent or deal with cyber crime.

To recapitulate, our digital infrastructure is constantly under attack. To visualise cyberattack, imagine our smartphones, computers, government facilities, systems in banks and hospitals struck by virtual weapons unceasingly.

We need to be on our guard and take steps to minimise these risks so that Malaysia becomes a cyber resilient place to live, work and do business.

We can no longer take for granted that one can defend against any potential cyber-attack.

Cyber resilience is about being able to prepare for, endure, swiftly recover and learn from deliberate attacks in the Internet world.

Effective cyber resilience is vital if we are to maximise the opportunities for all Malaysians to safely reap the rich benefits offered by the Internet economy.


Daya Tahan Siber dalam Ekonomi Internet

Pada bulan Oktober ini sahaja saya menghadiri dua acara utama berkaitan dengan keselamatan siber.

Pertama saya berada di Singapura untuk menghadiri Persidangan Menteri-Menteri ASEAN mengenai Keselamatan Siber semasa Minggu Siber Antarabangsa Singapura. Minggu lalu, agensi pakar keselamatan siber negara kita sendiri, CyberSecurity Malaysia menganjurkan acara tahunannya yang sangat dinanti-nantikan, iaitu Anugerah, Persidangan dan Pameran Keselamatan Siber Malaysia.

Acara yang dipacu oleh perkongsian sektor awam-swasta ini menarik lebih daripada seribu peserta.

Pentingnya, kita mahu mengiktiraf individu dan organisasi yang telah memberikan sumbangan signifikan dalam industri ini.

Transformasi Malaysia ke arah Ekonomi Digital berlaku dengan begitu pesat sehinggakan Perdana Menteri kita, Dato’ Sri Najib Tun Razak baru-baru ini mengumumkan bahawa 2017 akan menjadi “tahun ekonomi Internet”.

Anehnya, kebergantungan kita yang semakin meningkat pada teknologi digital turut menjadikan kita lebih terdedah kepada penjenayah siber yang ingin mengeksploitasinya bagi tujuan jahat.

Inilah sebenarnya pencurian maya.

Teknologi digital dapat membantu penjenayah mencuri harta intelek, melakukan penipuan di Internet atau memusnahkan infrastruktur maklumat kritikal.

Serangan siber mendatangkan pelbagai akibat, daripada kesulitan kecil hinggalah kepada gangguan besar-besaran.

Setiap hari kita dihujani berita tentang serangan siber besar-besaran terhadap kemudahan kerajaan, perniagaan dan sistem perbankan global, menyebabkan kerugian yang mencecah berbilion-bilion dolar.

Sebagai contoh, baru seminggu yang lalu, syarikat pengurusan prestasi Internet, Dyn menjadi sasaran serangan siber besar-besaran, kemungkinan menyebabkan 100,000 peranti bersambung seperti komputer riba, telefon dan pencetak diceroboh dan gangguan kepada berjuta-juta pengguna Internet.

Perkhidmatan kewangan yang menjadi tunjang perdagangan dan e-dagang terus menjadi sasaran utama penjenayah siber.

Sebuah serangan dilancarkan pada 2015 oleh penjenayah siber terhadap bank Ecuador, Banco del Austro dan mengakibatkan kerugian kewangan sebanyak US$12 juta. Tien Phong Bank dari Vietnam pula mematahkan serangan siber menerusi mesej palsu SWIFT, sekali gus mencegah kerugian yang boleh mencecah satu juta euro.

Penjenayah juga menyasarkan sektor penjagaan kesihatan yang kaya dengan maklumat, yang maklumat peribadi, maklumat kredit, rekod perubatan dan rekod insurans seseorang individu semuanya mudah diakses di satu lokasi.

Pada tahun lepas sahaja, lebih daripada 100 juta rekod penjagaan kesihatan terjejas, menurut “2016 Cyber Security Intelligence Index” keluaran IBM. Penggodam lambat-laun akan menemui jalan untuk menembusi sistem atau rangkaian kita.

Lantaran itu “Daya Tahan Siber” dipilih sebagai tema untuk persidangan keselamatan siber baru-baru ini.

Keupayaan sesebuah organisasi untuk mengenal pasti dan bertindak balas terhadap pencerobohan keselamatan akan menjadi ciri kritikal untuk terus bertahan dalam ekonomi Internet, terutamanya bagi perniagaan dalam talian yang sudah pun wujud secara meluas pada masa kini.

Daya tahan siber merangkumi keselamatan siber dan daya tahan perniagaan.

Sesebuah organisasi perlu menyesuaikan diri dengan perubahan keadaan, menentang gangguan dan pulih segera daripada gangguan, sambil menjalankan “operasi seperti biasa.” Pada dasarnya, konsep ini menggabungkan keselamatan maklumat, kesinambungan perniagaan dan daya tahan organisasi.

Sungguhpun banyak ancaman keselamatan siber disebabkan aktiviti jahat penjenayah siber atau kesilapan dan kelemahan manusia, namun sesetengahnya ada kaitan dengan bencana alam seperti gempa bumi, kebakaran atau banjir besar. Bencana seperti itu melumpuhkan infrastruktur fizikal kritikal seperti pusat data dan rangkaian telekomunikasi yang menjadi nadi ekosistem siber.

Oleh yang demikian, daya tahan siber mengambil kira bukan sahaja kerahsiaan dan integriti maklumat tetapi juga sama ada maklumat itu boleh diakses terutamanya semasa bencana alam.

Organisasi di Malaysia perlu sentiasa menilai kedudukan keselamatan siber masing-masing.

Organisasi berdaya tahan siber perlu memupuk kepimpinan, budaya, rangkaian dan kesediaan berubah yang luar biasa ke arah meningkatkan daya tahan untuk mewujudkan kelebihan mampan yang mengatasi penjenayah siber.

CyberSecurity Malaysia menggesa organisasi Malaysia supaya memperoleh piawai antarabangsa MS ISO/IEC 27001 yang memperincikan pelaksanaan sistem pengurusan keselamatan maklumat (information security management system atau ISMS).

Menyedari bahawa keselamatan siber yang berkesan bukan sekadar isu teknologi, MS ISO/IEC 27001 melibatkan usaha untuk menangani aspek budaya dan manusia, dengan menyokong pendekatan padu ke arah menjaga keselamatan maklumat.

Pensijilan ISMS memastikan usaha menjaga keselamatan dalam seluruh organisasi diselaraskan dan sistem maklumatnya sentiasa selamat apabila berdepan dengan pencerobohan sistem keselamatan.

Saya sentiasa menggalakkan kita mematuhi piawai, justeru mencapai ISO 27001 akan juga meyakinkan pelanggan, pembekal, pemegang saham dan pihak berkepentingan bahawa sesebuah organisasi itu mematuhi garis panduan amalan terbaik antarabangsa.

Kerajaan dan organisasi utama memainkan peranan sebagai peneraju dalam mewujudkan kerangka dasar dan amalan untuk membangunkan ekosistem siber yang berdaya tahan.

CyberSecurity Malaysia menggesa supaya pensijilan lebih ketat diadakan dalam produk ICT menerusi pensijilan Kriteria Bersama.

Pada peringkat antarabangsa, CyberSecurity Malaysia bekerjasama rapat dengan Pasukan Respons Kecemasan Komputer Asia Pasifik (Asia Pacific Computer Emergency Response Team atau APCERT) dan Pasukan Respons Kecemasan Komputer – Pertubuhan Kerjasama Islam (OIC-CERT) untuk memupuk kerjasama lebih erat dan meningkatkan keupayaan bersama dalam bidang keselamatan siber.

Dengan meningkatkan daya tahan siber kita, saya berharap rakyat Malaysia lebih arif tentang cara untuk melindungi diri mereka daripada jenayah Internet, untuk melindungi data peribadi mereka dan dengan itu, mengurangkan kemungkinan mengalami kerugian kewangan akibat serangan siber.

Untuk berada di barisan hadapan medan daya tahan siber, universiti kita perlu menghasilkan lebih ramai siswazah cemerlang dalam bidang penggodaman beretika dan forensik.

Jabatan Perkhidmatan Awam telah memperuntukkan biasiswa untuk kursus berkaitan dengan teknologi digital.

Kita perlu membangunkan, memupuk dan mengekalkan kemahiran tersebut di Malaysia supaya kita dapat mencapai matlamat kita untuk melahirkan 10,000 tenaga profesional dalam bidang siber dalam tempoh empat tahun bagi mencegah atau menangani jenayah siber dengan berkesan.

Sebagai kesimpulan, infrastruktur digital kita sentiasa diserang. Bagi menggambarkan serangan siber, bayangkan telefon pintar, komputer, kemudahan kerajaan serta sistem di bank dan hospital kita diserang tanpa henti dengan senjata maya.

Kita perlu sentiasa berwaspada dan mengambil langkah untuk meminimumkan risiko itu supaya Malaysia menjadi tempat yang berdaya tahan siber untuk didiami, bekerja dan berniaga.

Kita tidak boleh lagi membuat anggapan bahawa kita dapat mempertahankan diri daripada sebarang ancaman serangan siber.

Daya tahan siber melibatkan kebolehan untuk bersiap sedia menghadapi serangan yang sengaja dilancarkan di dunia Internet, untuk bertahan, pulih segera dan belajar daripada serangan sedemikian.

Daya tahan siber yang berkesan sangatlah penting jika kita mahu memaksimumkan peluang untuk seluruh rakyat Malaysia mengaut faedah yang begitu banyak daripada ekonomi Internet dengan selamat.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s