Pengurusan insiden keselamatan ict mampu

90
Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 1 IBRAHIM ISMAIL, BAHAGIAN KESELAMATAN ICT , MAMPU 1 OGOS 2007 PENGURUSAN INSIDEN KESELAMATAN PENGURUSAN INSIDEN KESELAMATAN ICT SEKTOR AWAM ICT SEKTOR AWAM

description

berkaitan keselamatan penggunaan internet oleh MAMPU

Transcript of Pengurusan insiden keselamatan ict mampu

Page 1: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 1

IBRAHIM ISMAIL, BAHAGIAN KESELAMATAN ICT , MAMPU

1 OGOS 2007

PENGURUSAN INSIDEN PENGURUSAN INSIDEN KESELAMATAN ICT SEKTOR AWAMKESELAMATAN ICT SEKTOR AWAM

Page 2: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 2

Kandungan

o PENGENALAN

o GCERT

o INSIDEN

o CERT & AGENSI KESELAMATAN

o CERT AGENSI

o STATISTIK & PENGAMATAN

o AMALAN BAIK

Page 3: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 3

TAKRIF KESELAMATAN ICT

• Keadaan di mana segala urusan menyedia dan membekalkan perkhidmatan berjalan secara berterusan tanpa gangguan yang menjejaskan keselamatan

Page 4: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 4

KEPERLUAN ASAS DALAM KESELAMATAN MAKLUMAT

INTEGRITI(Integrity)

KEBOLEHSEDIAAN(Availability)

KERAHSIAAN(Confidentiality)

ObjektifKeselamatan

I A

C

Page 5: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 5

Maklumat tidak didedahkan sewenangnya atau dibiarkan diakses tanpa kebenaran

Ancaman: shoulder surfing social engineering stealing password files

KEPERLUAN ASAS DALAM KESELAMATAN MAKLUMATKERAHSIAANKERAHSIAAN

Page 6: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 6

Maklumat sentiasa lengkap, tepat, dan kemaskini

Ancaman: hackers inserts backdoors,virus,bombs human mistakes

KEPERLUAN ASAS DALAM KESELAMATAN MAKLUMATINTEGRITIINTEGRITI

Page 7: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 7

Maklumat sentiasa boleh diakses pada bila-bila masa oleh pengguna yang sah sahaja

Ancaman: failure of device/software failure of utilities infra – electricity Denial-of-Service attacks

KEPERLUAN ASAS DALAM KESELAMATAN MAKLUMATKEBOLEHSEDIAANKEBOLEHSEDIAAN

Page 8: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 8

MAKLUMAT

PRASARANA

PROSES-PROSES

SISTEM PENYAMPAIAN

KER

AH

SIAA

NINTE

GR

ITI

KEBOLEHSEDIAAN

KESELAMATAN MAKLUMATDI DALAM SISTEM PENYAMPAIAN KERAJAAN

Page 9: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 9

MENYEDIAKAN PERKHIDMATAN SECARA ELEKTRONIK DENGAN BERKESAN, SELAMAT DAN BERKUALITI

MEMANFAAT ICT DAN MULTIMEDIA UNTUK MENINGKATKAN PRODUKTIVITI SEKTOR AWAM

MEMUDAHCARA PERKONGSIAN SUMBER DI KALANGAN AGENSI KERAJAAN

MEWUJUDKAN SISTEM PENYAMPAIAN PERKHIDMATAN BERORIENTASIKAN PELANGGAN

Sumber : ISP Sektor Awam, Ogos 2003

VISI ICT SEKTOR AWAM

Page 10: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 10

MENYEDIAKAN PERKHIDMATAN SECARA ELEKTRONIK DENGAN BERKESAN, SELAMAT DAN BERKUALITI

MEMANFAAT ICT DAN MULTIMEDIA UNTUK MENINGKATKAN PRODUKTIVITI SEKTOR AWAM

MEMUDAHCARA PERKONGSIAN SUMBER DI KALANGAN AGENSI KERAJAAN

MEWUJUDKAN SISTEM PENYAMPAIAN PERKHIDMATAN BERORIENTASIKAN PELANGGAN Sumber : ISP Sektor Awam, Ogos 2003

VISI ICT SEKTOR AWAM

Page 11: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 11

Mengukuhkan Keselamatan Sistem Penyampaian Kerajaan Dengan Melaksanakan Amalan

Terbaik Dalam Pengurusan Keselamatan ICT Melalui Pembangunan

Modal Insan Dan Infrastruktur Keselamatan ICT

MISI KESELAMATAN ICT SEKTOR AWAM

Page 12: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 12

MELINDUNGI ASET ICT KERAJAAN BERDASARKAN PRINSIP-PRINSIP KERAHSIAAN, INTEGRITI DAN KESEDIAAN MENGIKUT STANDARD PENGURUSAN KESELAMATAN ICT

MEMASTIKAN KESINAMBUNGAN PERKHIDMATAN SISTEM PENYAMPAIAN

MEWUJUDKAN TANGGUNGJAWAB DAN AKAUNTABILITI KESELAMATAN ICT

MEWUJUDKAN KESEDARAN, PENGETAHUAN DAN KEMAHIRAN KESELAMATAN ICT

OBJEKTIF KESELAMATAN ICT SEKTOR AWAM

Page 13: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 13

ORGANISASI

Bahagian Keselamatan ICT, MAMPU

VISI OBJEKTIF

Pusat Rujukan Maklumat Keselamatan ICT Sektor Awam

Untuk Melindungi Aset ICT Kerajaan

Merancang, Melaksana, Menyelaras dan Memantau Pengurusan Keselamatan ICT Sektor Awam

MISI

Page 14: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 14

KUMPULAN SASARAN

Semua yang mengakses sistem ICT Kerajaan

Page 15: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 15

KEPENTINGAN DASAR KESELAMATAN ICT

• Melindungi aset ICT

• Mengurangkan kesan insiden keselamatan ICT

• Keperluan perundangan

• Mengimbangi antara kos dengan keberkesanan keselamatan ICT

• Menjamin keutuhan keselamatan ICT

Page 16: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 16

Dokumen Semasa …

Rangka Dasar Keselamatan Teknologi Maklumatdan Komunikasi Kerajaan(PA 3/2000)

GCERT – Mekanisme Menangani InsidenKeselamatan ICT Sektor Awam (PA 1/2001)

MyMIS – Malaysian Public Sector Managementof ICT Security Handbook (2002)

Garis panduan Mengenai Tatacara PenggunaanInternet and Mel Elektronik Di Agensi-agensiKerajaan(PKPA 1/2003)

MyRAM & HiLRA – Malaysian Public SectorICT Security Risk Assessment Methodology (SPA 6/2005)

Pengurusan Pengendalian Insiden Keselamatan ICT Sektor Awam(SPA 4/2006)

Page 17: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 17

Digital Signature Act 1997 (Akta 562)

Computer Crimes Act 1997 (Akta 563)

Telemedicine Act 1997 (Akta 564)

Copyright (Amendment) Act 1997

Commmunications & Multimedia Act 1998

(Akta 588)

Malaysian Communications & Multimedia

Commission Act 1998 (Akta 589)

UNDANG-UNDANG SIBERUNDANG-UNDANG SIBER

Page 18: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 18

PERLANGGARAN DASAR KESELAMATAN ICT

Sebarang penggunaan aset ICT selain daripada maksud dan tujuan yang telah ditetapkan di dalam Dasar Keselamatan ICT seperti pencerobohan dan

kecurian maklumat, adalah merupakan satu perlanggaran Dasar dan akan dikenakan tindakan

undang-undang dan tata tertib.

Page 19: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 19

PERTIMBANGAN UNDANG-UNDANG SIBERAKTA JENAYAH KOMPUTER 1997

Section Imprisonment Fine Others

3 Not > 5 years Not > RM50,000 or both

4 Not > 10 years Not > RM50,000 or both

5 Not > 7 years; Not > RM100,000; or bothif cause injury, If cause injuryNot > 10 years Not > RM150,000

6 Not > 5 years Not > RM25,000 or both

7 Not > 5 years Same amount as or bothMaximum term offences abetted

11 Not > 3 years Not > RM25,000 or both

Page 20: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 20

INISIATIF KESELAMATAN ICT DALAM SEKTOR AWAM

MELINDUNGI ASET ICT KERAJAAN

1. Dasar/ Garis Panduan/ Peraturan

2. Security Posture Assessment

3. Pengimbasan Rangkaian

4. Penilaian Risiko

5. Inspektorat

1. Pembangunan Modal Insan Dan Pembudayaan

2. Pemantauan Rangkaian

BERTERUSAN

1. GCERT

2. Rangkaian ICTSO

3. Perkongsian Maklumat

4. Koordinasi Antara Jabatan

PRISMA

Infr

astr

uktu

rP

ela

ksan

aa

nPROAKTIF

PROAKTIF REAKTIFBERTERUSAN

Page 21: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 21

INISIATIF TERKINI ...

ISO/IEC 27001:2005

Ke arah pengurusan keselamatan ICT berdasarkan

standard

Page 22: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 22

Keselamatan ICT Di DalamRMKe-9

RMKe-9 menyasarkan keseluruhan inisiatif keselamatan ICT akan ditumpukan kepada

usaha untuk memastikan pengurusan semua aset ICT di agensi sektor awam mematuhi keperluan dan standard keselamatan ICT

Buku Laporan RMKe-9: 26.43

Page 23: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 23

Page 24: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 24

Keperluan Melaporkan Insiden Keselamatan ICT

o Pekeliling Am Bil. 3 Tahun 2000 Rangka Dasar Keselamatan ICT menetapkan bahawa sebarang insiden keselamatan ICT yang melibatkan agensi-agensi sektor awam yang mana jelas melanggar dasar keselamatan ICT Kerajaan perlu dilapor kepada MAMPU

o Melalui Pekeliling Am Bil. 1 Tahun 2001 Mekanisme Pelaporan Insiden Keselamatan ICT Sektor Awam, sebarang insiden keselamatan ICT perlu dilaporkan kepada GCERT, MAMPU

Page 25: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 25

GCERT

Page 26: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 26

Penubuhan GCERT

o Government Computer Emergency Response Team

Di tubuhkan Januari 2001 berdasarkan Rangka Dasar Keselamatan ICT Kerajaan (PA 3/2000)

Perlu penguatkuasaan, kawalan dan langkah perlindungan aset ICT Kerajaan bagi menjamin kesinambungan urusan kerajaan dengan meminimumkan kesan insiden keselamatan (PA 3/2000)

Page 27: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 27

Objektif Penubuhan

Government Computer Emergency Response Team (GCERT)

“Untuk menjamin kesinambungan

urusan kerajaan dengan meminimumkan

kesan insiden keselamatan ICT”

Page 28: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 28

Keahlian GCERT

o Beroperasi di bawah naungan KSN dengan kuasa yang diwakilkan kepada MAMPU, JPM

o Ahli GCERT terdiri dari pegawai Bahagian Keselamatan ICT, MAMPU, JPM

Page 29: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 29

Peranan GCERTo Menyelaras pengurusan pengendalian insiden di peringkat

agensi atau antara agensi serta menasihat agensi mengambil tindakan pemulihan dan pengukuhan

o Mengambil tindakan proaktif atau pencegahan seperti menjalankan imbasan keselamatan ke atas infrastruktur ICT agensi dan menyebar maklumat mengenai ancaman baru dari masa ke semasa

o Menyediakan khidmat nasihat kepada CERT Agensi berkaitan dengan pengurusan dan pengendalian insiden keselamatan ICT

o Menyelaras program pertukaran dan pengkongsian maklumat antara CERT Agensi, Malaysian Computer Emergency Response Team (MyCERT), pembekal, Internet Service Provider (ISP) dan agensi-agensi penguatkuasa

Page 30: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 30

Pengendalian Insideno GCERT bertindak dalam 2 cara:

Secara Jarak Jauh (REMOTE)

Turun Ke Lokasi (ONSITE)

o Borang-borang dan Laporan

Borang IRH 1.0 : Pengumpulan Maklumat

Laporan Analisis Fail Log

Laporan Imbasan Hos

Borang IRH 1.1 : Maklumbalas Tindakan

Pengukuhan Agensi

Page 31: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 31

Piagam Pelanggan GCERT

Menghubungi agensi untuk siasatan dan nasihat awal dalam tempoh satu jam selepas menerima aduan

Mengeluarkan kepada agensi laporan analisis fail log beserta cadangan pengukuhan, dalam tempoh 30 hari dari tarikh penerimaan log supaya tindakan pengukuhan dilaksanakan oleh agensi

Mengeluarkan kepada agensi status rangkaian ICT agensi melalui laporan imbasan hos 3 hari selepas imbasan dilaksanakan

Objektif Kualiti ISO 9001:2000 MAMPU bagi proses Pengurusan Pengendalian Insiden Keselamatan ICT

Page 32: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 32

Pelaporan Insiden

GGGG Government

Computer

Emergency

Response

Team

CCCC

EEEE

RRRR

TTTT

Laporkan KepadaLaporkan Kepada

Bahagian Keselamatan ICT, MAMPU, Aras 5, Blok B1, Kompleks Jabatan Perdana Menteri, Pusat Pentadbiran Kerajaan Persekutuan, 62502 Putrajaya, MALAYSIA

Tel : 03 - 8888 2250H/p : 012 – 331 2205Faks : 03 - 8888 [email protected]

Alamat :Alamat :

"Semua insiden keselamatan ICT "Semua insiden keselamatan ICT

yang dilaporkan kepada GCERT adalah yang dilaporkan kepada GCERT adalah SULITSULIT" "

Page 33: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 33

INSIDEN

Page 34: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 34

Insiden

o Insiden keselamatan ICT bermaksud musibah (adverse event) yang berlaku ke atas aset ICT atau ancaman kemungkinan berlaku kejadian tersebut. Ia mungkin suatu perbuatan yang melanggar dasar keselamatan ICT samada yang ditetapkan secara tersurat atau tersirat

Page 35: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 35

Jenis Insiden

o Pelanggaran Dasar (Violation of Policy)

Penggunaan aset ICT bagi tujuan kebocoran maklumat dan/atau mencapai maklumat yang melanggar Dasar Keselamatan ICT.

o Penghalangan Penyampaian Perkhidmatan (Denial of Service)

Ancaman ke atas keselamatan sistem komputer di mana perkhidmatan pemprosesan maklumat sengaja dinafikan terhadap pengguna sistem. Ia melibatkan sebarang tindakan yang menghalang sistem daripada berfungsi secara normal. Termasuk denial of service (DoS), distributed denial of service (DdoS) dan sabotage.

Page 36: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 36

Jenis Insideno Pencerobohan (Intrusion)

Mengguna dan mengubahsuai ciri-ciri perkakasan, perisian atau mana-mana komponen sesebuah sistem tanpa pengetahuan, arahan atau persetujuan mana-mana pihak. Ia termasuk capaian tanpa kebenaran, pencerobohan laman web, melakukan kerosakan kepada sistem (system tampering), pindaan data (modification of data), dan pindaan kepada konfigurasi sistem.

o Pemalsuan (Forgery)

Pemalsuan dan penyamaran identiti yang banyak dilakukan dalam penghantaran mesej melalui emel termasuk penyalahgunaan dan pencurian identiti, pencurian maklumat (information theft / espionage), penipuan(hoaxes).

Page 37: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 37

Jenis Insideno Spam

Spam adalah emel yang dihantar ke akaun emel orang lain yang tidak dikenali penghantar dalam satu masa dan secara berulang-kali (kandungan emel yang sama).

o Malicious Code

Perkakasan atau perisian yang dimasukkan ke dalam sistem tanpa kebenaran bagi tujuan pencerobohan. Ia melibatkan serangan virus, trojan horse, worm, spyware dan sebagainya.

o Harrassment / Threats

Gangguan dan ancaman melalui pelbagai cara iaitu emel dan surat yang bermotif personal dan atas sebab tertentu.

Page 38: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 38

Jenis Insideno Attempts / Hack Threats/ Information Gathering

Percubaan (samada gagal atau berjaya) untuk mencapai sistem atau data tanpa kebenaran. Termasuk phishing dan scanning.

o Kehilangan Fizikal (Physical Loss)

Kehilangan capaian dan kegunaan disebabkan kerosakan, kecurian dan kebakaran ke atas aset ICT.

Page 39: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 39

WEB DEFACEMENT

Klasifikasi – Intrusion

attacker

Internet users

o Penceroboh mengambil peluang ke atas kelemahan pada pembangunan perisian lalu mengubahsuai web page agensio 153 kes pencerobohan laman web.

web server

Page 40: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 40

Contoh Insiden Pencerobohan Laman WebSektor Awam

Insiden Keselamatan ICT

Page 41: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 41

Contoh Lain Insiden Pencerobohan Laman Web Sektor Awam

Insiden Keselamatan ICT

Page 42: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 42

Klasifikasi – Malicious Code

WORM

o Pengguna memuat turun dokumen yang mengandungi wormo Worm tersebar melalui rangkaian

Internet users

http://www...Download this

document

E-mail server

Page 43: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 43

attacker

Klasifikasi – Denial Of Service

??

o Penceroboh mencari server yang vulnerable untuk dijadikan agen o Penceroboh mengarahkan server agen untuk menyerang server agensio Operasi PC terganggu dan boleh melumpuhkan server agensi

Internet

Web server

Page 44: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 44

http://www...Click to make

more money!!!

Klasifikasi – Attempts/Hack Threats/Information Gathering

PHISHING Bob’s

information

attackerBob

o Pengguna diminta memberi maklumat peribadi pada laman web yang disangka saho Maklumat sulit/ peribadi pengguna di hantar kepada penceroboh.

Page 45: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 45

Klasifikasi – Intrusion

SYSTEM TAMPERING/MODIFICATION OF DATA

Seterusnya mengemaskini maklumat dan akaun

agensi

SERVER

“Bila pula data ni berubah?”

2

3 1 Penceroboh memasuki komputer

Page 46: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 46

CERT & AGENSI KESELAMATAN

Page 47: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 47

CERT Di Malaysiao Skop MyCERT

Pengguna Internet Malaysia

o Skop GCERT Agensi Pusat, Negeri, Pihak Berkuasa Tempatan

dan Badan Berkanun Kerajaan Malaysia

o Skop Sabah CERT Pengguna Internet Negeri Sabah

Page 48: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 48

CERTo Organisasi CERT:

Asia Pacific Computer Emergency Response Team: APCERT

Australia CERT: AUSCERT Brunei CERT: BruCERT Hong Kong CERT: HKCERT/CC Indian CERT: CERT-In Indonesian CSIRT: ID-CERT Japan CERT-CC: JPCERT/CC Korea CERT: CERT-KR Malaysia CERT: MyCERT Singapore CERT: SingCERT Taiwan CERT: TWCERT Thai CERT: ThaiCERT

Page 49: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 49

Agensi Keselamatan

o Pejabat Ketua Pegawai Keselamatan, JPM Keselamatan Aset Fizikal

o Majlis Keselamatan Negara Keselamatan Negara Keseluruhan

o Polis DiRaja Malaysia (PDRM)

Kesalahan Kriminal

o Agensi Penguatkuasa Undang-Undang

Page 50: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 50

CERT AGENSI

Page 51: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 51

Surat Pekeliling Am Bil. 4 / 2006

Tujuan Memperkemaskan pengurusan pengendalian insiden keselamatan ICT

Sektor Awam

Isi Kandungan

Menubuhkan CERT Agensi

Menyediakan garis panduan dan panduan operasi standard pengurusan pengendalian insiden keselamatan ICT

Membantu agensi mengurus pengendalian insiden keselamatan ICT di agensi masing-masing dan agensi di bawah kawalannya

Page 52: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 52

Surat Pekeliling Am Bil. 4 / 2006o Garis Panduan Pengurusan Pengendalian Insiden

Keselamatan ICT Sektor Awam :

Perihal mengenai Insiden dan Jenis Insiden Keselamatan ICT; Tahap Keutamaan Tindakan ke atas Insiden Penubuhan CERT Agensi Tanggungjawab Ketua Jabatan Tanggungjawab CERT Agensi Tanggungjawab GCERT MAMPU; dan Proses Pelaporan Insiden Keselamatan ICT Sektor Awam

o Prosedur Operasi Standard Pengurusan Pengendalian Insiden Keselamatan ICT Sektor Awam

Proses Terperinci Dalam Pengendalian Insiden Keselamatan ICT Template Borang IRH 1.0 : Laporan Pengendalian Insiden Template Borang IRH 1.1 : Maklumbalas Tindakan Susulan Dari

Pengendalian Insiden Keselamatan ICT Panduan Komunikasi Pengendalian Insiden Secara Jarak Jauh;

dan Template Laporan Analisa Log

Page 53: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 53

GCERT, MAMPU

CERT A CERT B

CERT B1 CERT B2Agensi Agensi

Agensi

Agensi

Agensi

Model 1 Model 2

Penubuhan Pasukan CERT Agensi

Model 3

Bertindak sebagai first level support dalam mengendali insiden keselamatan ICT, mengawasi dan memberi khidmat nasihat di agensi

masing-masing

AgensiAgensi

Agensi AgensiAgensi

Page 54: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 54

Tanggungjawab CERT Agensi

o Menerima dan mengesan aduan keselamatan ICT dan menilai Menerima dan mengesan aduan keselamatan ICT dan menilai tahap dan jenis insidentahap dan jenis insiden

o Merekod dan menjalankan siasatan awal insiden yang diterimaMerekod dan menjalankan siasatan awal insiden yang diterima

o Menangani tindak balas (response) insiden keselamatan ICT dan mengambil tindakan baikpulih minima

o Menghubungi dan melapor insiden yang berlaku kepada GCERT MAMPU samada sebagai input atau untuk tindakan seterusnya

o Menasihat agensi-agensi di bawah kawalannya mengambil tindakan pemulihan dan pengukuhan

o Menyebarkan makluman berkaitan dengan agensi di bawah kawalannya

o Menjalankan penilaian untuk mempastikan tahap keselamatan ICT dan mengambil tindakan pemulihan atau pengukuhan bagi meningkatkan tahap keselamatan infrastruktur ICT supaya insiden baru dapat dielakkan

Page 55: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 55

Keahlian CERT Agensi

o Pengarah CERT (Ketua Pegawai Maklumat – CIO)Pengarah CERT (Ketua Pegawai Maklumat – CIO)

o Pengurus CERT (Pegawai Keselamatan ICT – ICTSO)Pengurus CERT (Pegawai Keselamatan ICT – ICTSO)

o Ahli-ahli CERT AgensiAhli-ahli CERT Agensi

Page 56: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 56

Peranan dan TanggungjawabAhli CERT Agensi

Pihak

Bertanggungjawab Peranan dan Tanggungjawab

Ketua Pegawai Maklumat (CIO)

Menguruskan tindakan ke atas insiden yang berlaku sehingga selesai

Mengaktifkan BRP jika perlu

Menentukan samada insiden perlu dilapor kepada agensi Penguatkuasa Undang-undang / Keselamatan

Pegawai Keselamatan ICT (ICTSO)

Menentukan tahap keutamaan insiden

Melaporkan insiden

Mengambil langkah baikpulih awal

Agensi Penguatkuasa Undang-undang/

Keselamatan

Mengambil tindakan ke atas insiden yang menyalahi undang-undang dan peraturan berkaitan

Page 57: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 57

Tujuan Pelaporan

o Mendapatkan MAKLUMAT bagi GCERT Mendapatkan MAKLUMAT bagi GCERT menyediakan bantuan teknikal dalam pengendalian menyediakan bantuan teknikal dalam pengendalian insiden keselamatan ICT;insiden keselamatan ICT;

o Meningkatkan KEMAHIRAN dalam pengendalian Meningkatkan KEMAHIRAN dalam pengendalian insiden;insiden;

o Membantu pengumpulan dan PENJANAAN statistik Membantu pengumpulan dan PENJANAAN statistik keselamatan ICT dalam sektor awam;keselamatan ICT dalam sektor awam;

o Meningkatkan KESEDARAN dan pengetahuan Meningkatkan KESEDARAN dan pengetahuan mengenai keselamatan ICT; danmengenai keselamatan ICT; dan

o Memupuk KERJASAMA dan HUBUNGAN BAIK Memupuk KERJASAMA dan HUBUNGAN BAIK antara agensiantara agensi

Page 58: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 58

Perkara Yang Dilapor

Siasatan Awal:Siasatan Awal:

o Pengenalan diri pelaporPengenalan diri pelapor

o Butiran insiden yang telah berlakuButiran insiden yang telah berlaku

o Bila insiden disedari berlakuBila insiden disedari berlaku

o Di mana insiden berlakuDi mana insiden berlaku

o Alamat IP bagi server/komputer yang dicerobohAlamat IP bagi server/komputer yang diceroboh

o OS dan aplikasi yang digunakan pada OS dan aplikasi yang digunakan pada server/komputerserver/komputer

o Maklumat untuk menghubungi pelaporMaklumat untuk menghubungi pelapor

Page 59: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 59

PANDUAN OPERASI CERT AGENSI

Page 60: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 60

Panduan Operasi Pengendalian Insiden CERT Agensi

A - Pentadbiran IRH

B - Pengurusan Pengendalian Insiden

C - Penyebaran Maklumat Insiden Dan Ancaman Keselamatan ICT

D - Penyelarasan Pengurusan Insiden Keselamatan ICT

Page 61: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 61

A. Pentadbiran IRH

o Terima dan rekod insiden dari agensi di bawah kawalan

o Tadbir dan selenggara fail-fail/pangkalan data insiden

o Kemaskini maklumat insiden selepas siasatan

Page 62: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 62

B. Pengurusan Pengendalian Insiden

o Terima permohonan bantuan dari agensi di bawah kawalan dan pelbagai sumber

o Jalankan kajian atau siasatan awal ke atas insiden

o Tentukan jenis insiden dan tahap severity insiden

o Agihkan tugas dan kaedah Pengendalian Insiden

Page 63: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 63

B. Pengurusan Pengendalian Insiden

o Jalankan siasatan lanjut secara jarak jauh (remote)

o Sediakan laporan analisa fail-fail log

o Semak dan beri maklumbalas terhadap laporan analisa log

o Kemukakan laporan analisa fail-fail log kepada agensi terlibat

o Pelaksanaan Imbasan Hos

o Penutupan kes insiden

o Kemaskini maklumat dan status insiden

Pengendalian Insiden Secara Jarak Jauh (Remote)

Page 64: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 64

B. Pengurusan Pengendalian Insiden

o Jalankan siasatan lanjut di lokasi (on site)

o Mesyuarat pengurusan IRH di agensi

o Siasatan terperinci IRH

o Penyediaan laporan awal pentadbiran CERT agensi

o Penyediaan laporan insiden

o Cetakan laporan akhir insiden pencerobohan keselamatan ICT

o Kemukakan laporan akhir insiden pencerobohan keselamatan ICT yang disahkan kepada agensi

o Penutupan kes

Pengendalian Insiden Di Lokasi (On Site)

Page 65: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 65

C. Penyebaran Maklumat Insiden Dan Ancaman

Keselamatan ICTo Terima maklumat dari internet atau agensi lain

o Kajian terperinci terhadap ancaman dan impak insiden

o Sediakan nota makluman mengenai ancaman

o Penyebaran nota makluman

Page 66: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 66

D. Penyelarasan Pengurusan Insiden Keselamatan ICT

o Penyelarasan pengurusan insiden keselamatan ICT

Page 67: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 67

STATISTIK&

PENGAMATAN

Page 68: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 68

Tahun Bilangan Insiden

2001 80

2002 30

2003 56

2004 253

2005 108

2006 169

2007 (sehingga Julai) 91

Jumlah 787

Statistik Pengendalian Insiden2001 – 2007 (sehingga Jun 2007)

STATISTIK PENGENDALIAN INSIDEN

Page 69: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 69

Bil. Klasifikasi InsidenBilangan Insiden

2005 2006 2007 (Jul)1 Pencerobohan (Intrusion) 104 153 542 Malicious Code 4 9 223 Harrassment/ Threat - 1 -4 Attempts/ Hack Threat/ Information Gathering - 3 3

5 Kehilangan Fizikal (Physical Loss) - - -

6 Spam - - 17 Pemalsuan (Forgery) - 1 28 Denial of Service - 2 89 Violation of Policy - - -

Jumlah 108 169 91

Bilangan aduan insiden ICT meningkat sebanyak 56.5% pada tahun 2006 berbanding dengan tahun 2005

Insiden Keselamatan ICT

TAHAP KESELAMATAN SEMASA

Page 70: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 70

Statistik Pengendalian Insiden

o 787 Insiden Keselamatan ICT di Sektor Awam telah direkod oleh GCERT dari tahun 2000 – 2007

o 90.5% daripada Insiden Keselamatan ICT di Sektor Awam yang berlaku dalam tahun 2006 adalah jenis insiden instrusion

o 91 Insiden Keselamatan ICT di Sektor Awam telah direkod oleh GCERT dari Januari – Julai 2007 dan peningkatan sebanyak 4% berbanding tahun 2006.

Page 71: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 71

• Katalaluan tidak di tukar secara berkala atau menggunakan katalaluan yang lemah

• ID Pengguna, Katalaluan bagi pengguna , Pentadbir Sistem dan Pentadbir Pangkalan Data dimasukkan (hardcoded) di dalam kod pengaturcaraan

Penggunaan Katalaluan

INFRASTRUCTURE SCANNING

Page 72: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 72

• Aplikasi web yang membenarkan muat naik (upload) fail tidak dikawal menyebabkan penceroboh upload fail yang mengandungi backdoor.

• Aplikasi web yang membenarkan directory listing menyebabkan penceroboh dapat mengakses fail sistem katalaluan.

• Tiada kawalan input (input validation) ke atas borang input pada aplikasi web mendedahkan pencerobohan melalui teknik SQL Injection.

• Tiada kawalan ke atas input URL pada aplikasi web mendedahkan pencerobohan melalui teknik URL injection.

Aplikasi Web

INFRASTRUCTURE SCANNING

Page 73: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 73

• Tidak melaksanakan patch management ke atas sistem pengoperasian, perisian pangkalan data seperti Microsoft SQL, perisian web seperti PHP yang telah diketahui wujud vulnerabilities.

• Membuka port yang tidak digunakan di pelayan web seperti port 25 SMTP untuk e-mel, port 21 untuk FTP dan lain-lain

Server Configuration

INFRASTRUCTURE SCANNING

Page 74: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 74

1970 1980 1990 Hari Ini

Ke

laju

an

, Ke

mu

sn

aha

n (

$)

Kunci/Mangga

FirewallVPN

IDS

Antivirus

Content Filtering

Anti Spam

Anti Spyware

Connection-Based

Content-Based

Fizikal

Spyware

Spam

KandunganTerlarang

Virus

Worms

Intrusion

Trojans

KecurianPerkakasan

RISIKO KESELAMATAN ICTRISIKO KESELAMATAN ICT

Evolusi Ancaman

SUMBER :FORTINET 2007

Page 75: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 75

Trend Ancaman

• Penganjur ancaman adalah kerajaan asing

• Menanam trojan yang sukar dikesan

• Menghantar data melalui HTTP

• Menggunakan analisis data yang canggih untuk menyerang organisasi lain

Page 76: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 76

PenganjurAncaman Motif Sumber

Kerajaan Asing Maklumat Terlalu Tinggi

Penjenayah Wang Tinggi

Penggodam Pengiktirafan dan Cabaran

Rendah dan Sederhana

Bekas pekerja Dendam Rendah

Sumber Ancaman

Page 77: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 77

REALITI

• Teknologi maklumat memainkan peranan penting dalam pembangunan negara

• Konsep penggunaan Internet berasaskan interaksi memberi manfaat besar kepada orang awam dan perkhidmatan awam

• Namun penggunaannya mendatangkan risiko-risiko seperti salah guna, virus, pencerobohan dan faktor-faktor lain yang mengganggu perkhidmatan

Page 78: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 78

ISU KESELAMATAN ICT KERAJAAN

• Insiden keselamatan ICT di agensi Kerajaan semakin meningkat

• Kos projek ICT Kerajaan semakin tinggi

• Pergantungan sistem penyampaian dan urusan pentadbiran Kerajaan ke atas ICT meningkat

Page 79: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 79

Implikasi Serangan Siber

o Menjadi berbahaya jika maklumat yang diperolehi disalahgunakan atau dijual oleh anasir-anasir yang tidak bertanggungjawab

o Kerosakan atau kegagalan sistem ekoran serangan boleh mengakibatkan sistem penyampaian terganggu

o Hilang kepercayaan pelanggan kepada perkhidmatan Kerajaan apabila maklumat dipinda

o Kerugian dari segi masa dan kewangan untuk membaikpulih kerosakan

Page 80: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 80

AMALAN BAIK

Page 81: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 81

Amalan Baik Keselamatan ICT

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Rahsiakan kata laluanRahsiakan kata laluanGunakan kata laluan yang Gunakan kata laluan yang kukuh melalui gabungan kukuh melalui gabungan nombor, huruf, tanda dan nombor, huruf, tanda dan

simbol (Contoh : simbol (Contoh : P4s$wOrd) P4s$wOrd)

Page 82: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 82

Amalan Baik Keselamatan ICT

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Salin maklumat pentingSalin maklumat pentingBuat salinan dengan kerap Buat salinan dengan kerap dan simpan tempat selamatdan simpan tempat selamat

Page 83: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 83

Amalan Baik Keselamatan ICT

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Gunakan perisian anti-virus Gunakan perisian anti-virus yang sahyang sah

Kemaskini perisian Kemaskini perisian anti-anti-virusvirus

Page 84: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 84

Amalan Baik Keselamatan ICT

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Encrypt Encrypt maklumat maklumat terperingkat terperingkat

Menggunakan encryption Menggunakan encryption apabila menyimpan dan apabila menyimpan dan menghantar maklumat menghantar maklumat

terperingkatterperingkat

Page 85: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 85

Amalan Baik Keselamatan ICT

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Berwaspada Berwaspada apabila memuat turun apabila memuat turun program atau fail dari program atau fail dari

Internet Internet

Page 86: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 86

Amalan Baik Keselamatan ICT

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Jangan buka e-mel dari Jangan buka e-mel dari penghantar yang tidak penghantar yang tidak

dikenalidikenali Bagi mengelakkan Bagi mengelakkan virus, virus,

email spammingemail spamming dan dan wormworm dan sebagainyadan sebagainya

Page 87: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 87

Amalan Baik Keselamatan ICT

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Jangan biarkan komputer Jangan biarkan komputer anda berada atas talian anda berada atas talian

jika tidak digunakan jika tidak digunakan

Page 88: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 88

Amalan Baik Keselamatan ICT

11

22

33

44

55

66

77

88

TipKeselamatan

ICT

Log off Log off komputerkomputer Log off Log off komputer anda komputer anda sebelum keluar pejabat sebelum keluar pejabat

Page 89: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 89

o Pekeliling Am Bilangan 3 Tahun 2000 Rangka Dasar Keselamatan Maklumat dan Komunikasi Kerajaan bertarikh 1 Oktober 2000;

o Pekeliling Am Bil 1 Tahun 2001 Mekanisma Pelaporan Insiden Keselamatan ICT bertarikh 4 April 2001;

o Pekeliling Kemajuan Pentadbiran Awam Bilangan 1 Tahun 2003 bertarikh 28 November 2003 Tatacara Penggunaan Internet dan E-Mel;

o Malaysian Public Sector Management of Information & Communication Technology Security Handbook (MyMIS); dan

o Surat Pekeling Am Bilangan 6 Tahun 2005 – Garis Panduan Penilaian Risiko Keselamatan Maklumat Sektor Awam bertarikh 7 November 2005

o Surat Pekeliling Am Bilangan 4 Tahun 2006 – Pengurusan Pengendalian Insiden Keselamatan ICT Sektor Awam

Penghayatan Dan Pematuhan Dasar, Garispanduan Dan Prosidur

Page 90: Pengurusan insiden keselamatan ict   mampu

Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia 90

TERIMA KASIH

[email protected] : 03 – 8888 2275Faks : 03 – 8888 3201

BAHAGIAN KESELAMATAN ICT,MAMPU, JABATAN PERDANA MENTERI

PUTRAJAYA