Kelemahan pada MDDI, Acra sebab pendedahan NRIC penuh di portal Bizfile

Panel: MDDI perlu lebih jelas dalam komunikasi dasarnya; Acra punya kelemahan dalaman kongsi maklumat yang disampai kepada pegawai

NRICACRA

Mar 3, 2025 | 6:00 PM

NUR FATHIN AWALLUDIN

Acra melancarkan portal Bizfile baru pada 9 Disember 2024 dengan fungsi ‘People Search’ yang menunjukkan NRIC penuh individu. Ini menimbulkan kekhuatiran awam sehingga fungsi tersebut dibatalkan pada malam 13 Disember 2024. - Foto ZAOBAO

Terdapat beberapa kelemahan, yang sepatutnya dielakkan, oleh kedua-dua Kementerian Penerangan dan Pembangunan Digital (MDDI) dan Penguasa Pengawalan Perakaunan dan Korporat (Acra), menyebabkan pendedahan awam nombor Kad Pengenalan Pendaftaran Nasional (NRIC) di portal Bizfile baru-baru ini.

Demikian menurut Laporan Semakan ke atas Pendedahan Awam Nombor NRIC Penuh pada ‘People Search’ Bizfile yang dikongsi pada 3 Mac.

Acra melancarkan portal Bizfile baru pada 9 Disember 2024 dengan fungsi ‘People Search’ yang menunjukkan NRIC penuh individu.

Ini menimbulkan kekhuatiran awam sehingga fungsi tersebut dibatalkan pada malam 13 Disember 2024.

Pemerintah kemudian membentuk panel yang diketuai Ketua Perkhidmatan Awam, Encik Leo Yip, untuk mengkaji punca kejadian tersebut

Meskipun tiada bukti tentang kesalahan yang disengajakan atau ketidakgiatan yang disengajakan dalam kejadian ini, panel itu mendapati beberapa kelemahan oleh MDDI dan Acra yang sepatutnya dapat dielak.

Antaranya, MDDI seharusnya lebih jelas dalam komunikasi dasarnya, sementara Acra mempunyai kelemahan dalaman dalam berkongsi dan bertindak ke atas maklumat yang disampaikan kepada pegawainya.

MDDI juga seharusnya memberi lebih perhatian kepada rancangan pelaksanaan bagi kes penggunaan baru nombor NRIC separa yang lebih kompleks, seperti dalam pendaftaran awam.

Sementara itu, Acra pula telah melanggar peraturan dalaman pemerintah mengenai pengurusan data apabila ia gagal untuk terlebih dahulu menilai keseimbangan yang betul antara berkongsi nombor NRIC penuh dengan memastikan nombor tersebut tidak terlalu mudah diakses apabila membuat keputusan untuk mendedahkan nombor NRIC penuh dalam ‘People Search’.

Beberapa ciri keselamatan tertentu bagi fungsi itu juga tidak dilaksanakan dengan secukupnya.

Dalam respons berasingan kepada laporan semakan itu, kedua-dua MDDI dan Acra berkata mereka menerima penemuan dan cadangan yang telah diketengahkan dan meminta maaf sekali lagi atas kesilapan yang telah menimbulkan kebimbangan orang ramai itu.

MDDI berkata ia telah mengambil langkah segera untuk mengelakkan kejadian serupa.

Pertama, kementerian tersebut sedang membangunkan panduan lanjut bagi agensi pemerintah untuk menerangkan cara dasar mengenai nombor NRIC harus digunakan.

Setakat ini, ia telah mengenal pasti hampir 800 kes penggunaan nombor NRIC separa sedia ada dalam sistem yang boleh digunakan awam, tambah MDDI.

“Kami akan meningkatkan koordinasi dengan agensi pelaksana untuk menyokong mereka dalam penilaian mereka tentang kerumitan dan reka bentuk yang sesuai bagi setiap kes penggunaan, dan mengukuhkan respons kepada pertanyaan awam,” kata MDDI.

Kedua, MDDI berkata ia akan mengukuhkan lagi proses dalaman serta latihan kakitangannya untuk memberi penerangan jelas tentang konteks dasar yang lebih luas dan pertimbangan semasa mengeluarkan arahan dasar kepada Perkhidmatan Awam.

Ketiga, ia akan mengadakan taklimat untuk mengukuhkan pemahaman tentang dasar dan piawaian pengurusan data sedia ada pemerintah mengenai pengumpulan, penggunaan dan pendedahan data peribadi, termasuk nombor NRIC.

Sementara itu, Acra berkata ia akan memperbaiki komunikasi dalaman serta dengan agensi lain untuk memastikan maklumat kritikal dikongsi secukupnya dalam pertubuhan tersebut.

Ini agar pembuat keputusan yang berkaitan boleh membuat keputusan termaklum.

Acra juga menyatakan ia akan menjalankan semakan sistem yang lebih kerap untuk menilai keselamatan data dan risiko perlindungan, serta melaksanakan langkah keselamatan yang sesuai berdasarkan kelemahan yang dikenal pasti.

Selain itu, Acra akan mengukuhkan pengawasannya terhadap vendor untuk memastikan sistem dilaksanakan dengan berkesan dan selaras dengan keperluan.

Penguasa tersebut akan memperhalusi rangka kerja pengurusan vendornya untuk menyediakan perlindungan tambahan, seperti meningkatkan skop dan ketetapan penilaian prestasi dan meningkatkan ujian pengguna sebelum pelancaran sistem baru.

Kedua-dua MDDI dan Acra turut mengatakan mereka akan mengambil tindakan sewajarnya terhadap pegawai dan pemimpin yang terbabit dalam kejadian Bizfile itu.

Ini termasuk menyemak penilaian prestasi, yang akan membawa kesan kewangan, serta kaunseling dan latihan tambahan bagi individu-individu itu.