%20-%20https://sketchapp.com%20--%3e%3ctitle%3eArtboard%3c/title%3e%3cdesc%3eCreated%20with%20Sketch.%3c/desc%3e%3cdefs%3e%3clinearGradient%20x1='50%25'%20y1='0%25'%20x2='50%25'%20y2='99.2583404%25'%20id='linearGradient-1'%3e%3cstop%20stop-color='%232AABEE'%20offset='0%25'%3e%3c/stop%3e%3cstop%20stop-color='%23229ED9'%20offset='100%25'%3e%3c/stop%3e%3c/linearGradient%3e%3c/defs%3e%3cg%20id='Artboard'%20stroke='none'%20stroke-width='1'%20fill='none'%20fill-rule='evenodd'%3e%3ccircle%20id='Oval'%20fill='url(%23linearGradient-1)'%20cx='500'%20cy='500'%20r='500'%3e%3c/circle%3e%3cpath%20d='M226.328419,494.722069%20C372.088573,431.216685%20469.284839,389.350049%20517.917216,369.122161%20C656.772535,311.36743%20685.625481,301.334815%20704.431427,301.003532%20C708.567621,300.93067%20717.815839,301.955743%20723.806446,306.816707%20C728.864797,310.92121%20730.256552,316.46581%20730.922551,320.357329%20C731.588551,324.248848%20732.417879,333.113828%20731.758626,340.040666%20C724.234007,419.102486%20691.675104,610.964674%20675.110982,699.515267%20C668.10208,736.984342%20654.301336,749.547532%20640.940618,750.777006%20C611.904684,753.448938%20589.856115,731.588035%20561.733393,713.153237%20C517.726886,684.306416%20492.866009,666.349181%20450.150074,638.200013%20C400.78442,605.66878%20432.786119,587.789048%20460.919462,558.568563%20C468.282091,550.921423%20596.21508,434.556479%20598.691227,424.000355%20C599.00091,422.680135%20599.288312,417.758981%20596.36474,415.160431%20C593.441168,412.561881%20589.126229,413.450484%20586.012448,414.157198%20C581.598758,415.158943%20511.297793,461.625274%20375.109553,553.556189%20C355.154858,567.258623%20337.080515,573.934908%20320.886524,573.585046%20C303.033948,573.199351%20268.692754,563.490928%20243.163606,555.192408%20C211.851067,545.013936%20186.964484,539.632504%20189.131547,522.346309%20C190.260287,513.342589%20202.659244,504.134509%20226.328419,494.722069%20Z'%20id='Path-3'%20fill='%23FFFFFF'%3e%3c/path%3e%3c/g%3e%3c/svg%3e)
Dapatkan artikel iniuntuk diterbitkan semula
‘Pertembungan kelemahan’ dalam insiden Bizfile mesti dijadikan iktibar
6 kelemahan dikenal pasti penyebab insiden pendedahan awam nombor NRIC
Sebuah panel yang dipengerusikan Ketua, Perkhidmatan Awam, Encik Leo Yip, mendapati bahawa pertembungan beberapa kelemahan telah menjadi sebab berlakunya insiden Bizfile di mana nombor Kad Pengenalan Pendaftaran Kebangsaan (NRIC) penuh individu boleh diperoleh dengan mudah di portal tersebut.
Portal Bizfile baru yang dilancarkan pada 9 Disember 2024 oleh Penguasa Pengawalan Perakaunan dan Korporat (Acra) mempunyai fungsi carian ‘People Search’ yang membolehkan orang ramai melihat nombor NRIC penuh individu yang dicari.
Ini menimbulkan keprihatinan awam sehingga fungsi tersebut dibatalkan pada 13 Disember 2024.
Panel itu yang mengeluarkan Laporan Semakan ke atas Pendedahan Awam Nombor Kad Pengenalan Penuh pada ‘People Search’ Bizfile pada 3 Mac, menyerlahkan enam kelemahan di pihak Kementerian Penerangan dan Pembangunan Digital (MDDI) dan Acra, dan bagaimana interaksi kedua-dua agensi itu dalam hal penggunaan nombor NRIC menyebabkan berlakunya insiden Bizfile.
1. MDDI seharusnya lebih jelas dalam komunikasi dasar
Laporan tersebut berkata MDDI tidak cukup jelas dalam komunikasi dasarnya yang dikeluarkan pada Julai 2024 dalam surat pekeliling kepada pelbagai agensi pemerintah mengenai rancangan untuk menamatkan penggunaan nombor NRIC bagi tujuan pengesahan dan menghentikan sebarang penggunaan NRIC separa baru menjelang 1 Nov 2024.
Terdapat dua salah faham antara MDDI dengan Acra berkaitan surat pekeliling tersebut.
Pertama, sama ada ia digunakan bagi fungsi ‘People Search’ dalam portal Bizfile baru; kedua, cara menghentikan penggunaan NRIC separa jika ia telah digunakan sebelum ini.
Surat pekeliling itu menyatakan bahawa agensi perlu berhenti “sebarang penggunaan NRIC separa yang dirancang, misalnya, dalam proses perniagaan atau produk digital baru”.
Maksud MDDI ialah bagi agensi untuk berhenti sebarang rancangan memperkenalkan kes penggunaan baru NRIC separa.
Namun, Acra salah faham dan merasakan bahawa fungsi ‘People Search’ dalam portal Bizfilenya yang baru tertakluk pada keperluan ini.
Acra juga menganggap bahawa “berhenti sebarang penggunaan NRIC separa” sebagai bermaksud bahawa NRIC penuh perlu digunakan.
2. Kurang perkongsian maklumat sesama kakitangan Acra
Dua pegawai dari Acra yang telah menghadiri taklimat MDDI dan menerima bahan mesyuarat pada 16 Julai mengenai dasar baru itu sepatutnya memastikan maklumat tersebut disebarkan dalam Acra, terutamanya kepada mereka yang perlu bertindak mengikut pekeliling itu.
Namun, ini tidak dilakukan.
Panel mengesyorkan Acra menyemak prosesnya untuk memastikan terdapat perkongsian maklumat yang mencukupi dalam organisasi itu dan agar mereka yang memerlukannya dapat membuat keputusan termaklum.
3. MDDI patut beri perhatian lebih kepada kes lebih rumit
MDDI sepatutnya memberi lebih banyak panduan kepada aplikasi baru yang lebih rumit – seperti pendaftaran awam – untuk membantu agensi memahami cara menghentikan penggunaan nombor NRIC separa dan memutuskan sama ada nombor NRIC penuh diperlukan, lapor panel itu.
4. Acra tidak buat penilaian tepat, langgar peraturan pemerintah mengenai pengurusan data
Panel mendapati bahawa Acra salah menilai keperluan bagi pemeriksaan korporat melalui Bizfile sekali gus menjadikan data peribadi terlalu mudah diakses.
Panel itu berkata Acra sepatutnya meneroka reka bentuk alternatif bagi fungsi ‘People Search’ untuk memastikan pengguna hanya boleh mendapatkan data penting yang diperlukan.
5. Ciri keselamatan tertentu fungsi ‘People Search’ tidak dilaksana dengan secukupnya
Beberapa ciri keselamatan siber yang dapat menghalang pengguna daripada mengumpul data daripada portal Bizfile tidak disediakan dengan secukupnya apabila portal Bizfile dilancarkan pada 9 Disember.
Kesalahan itu diketahui selepas Acra meminta Agensi Teknologi Pemerintah (GovTech) menyemak ciri keselamatan fungsi ‘People Search’.
Setelah diketahui, Acra meminta vendor ITnya menyelesaikan isu itu dengan segera dan ia telah diperbetul pada masa fungsi tersebut disambung semula pada 28 Disember.
6. Pengurusan insiden berikutan maklum balas awam kurang memuaskan
Acra sepatutnya mematikan fungsi ‘People Search’ lebih awal dan bersama-sama MDDI, sepatutnya bertindak lebih pantas untuk mendedahkan fakta penting tentang bagaimana kejadian itu berlaku selepas kebimbangan orang ramai timbul pada 12 Disember, kata laporan itu.
Acra dan MDDI mengambil sedikit masa untuk mengetahui salah faham arahan MDDI dan sama ada terdapat alternatif untuk menghentikan fungsi ‘People Search’.
“Jika difikirkan semula pemerintah patut menjelaskan kepada orang ramai pada awalnya bahawa beralih daripada penggunaan nombor NRIC separa tidak bermakna secara automatik menggunakan nombor NRIC penuh dalam setiap kes, atau mendedahkannya secara besar-besaran,” tambah laporan tersebut.
6 kelemahan yang boleh dijadikan iktibar
- MDDI seharusnya lebih jelas dalam komunikasi dasar
- Kurang perkongsian maklumat sesama kakitangan Acra
- MDDI patut beri perhatian lebih kepada kes lebih rumit
- Acra tidak buat penilaian tepat, langgar peraturan pemerintah mengenai pengurusan data
- Ciri keselamatan tertentu fungsi ‘People Search’ tidak dilaksanakan dengan secukupnya
- Pengurusan insiden berikutan maklum balas awam kurang memuaskan
Laporan berkaitan
Uji pengetahuan anda dalam bahasa Melayu
Khidmat pelangganan
6388-3838Meja Berita
Anda ada maklumat mengenai sesuatu berita menarik?
E-mel: bhnews@sph.com.sg