Sutina Mahmod1
S
ebelum kita berbicara lebih lanjut, saya ingin bawakan situasi ini kepada para pembaca sekalian. Peristiwa berlaku di sebuah pejabat. Perbualan adalah di antara seorang kerani (Cik Kerani) dan bosnya (Encik Bos).“Assalamualaikum, bos. Hari ini ada banyak baucar yang perlukan kelulusan bos. Esok dah closing akaun. Macam mana ye bos?” tanya Cik Kerani kepada bosnya.
“Hmmm… Macam ni sajalah. Awak ambil kad saya ni. Nah! Ni nombor pinnya. Jangan bagi kad ni kepada orang lain. Awak tolong luluskan bagi pihak saya. Saya sibuk hari ni. Ada banyak meeting nak attend ni.” jawab Encik Bos setelah berikir panjang.
Kejadian seperti ini mungkin pernah saudara alami sendiri atau mungkin berlaku di pejabat tempat saudara bekerja. Oleh itu, artikel ini akan mengupas serba sedikit isu-isu kawalan dan keselamatan kad pintar khususnya dalam urusan pentadbiran kewangan kerajaan secara elektronik.
PENGENALAN
Apakah kad pintar?
Kad pintar dideinisikan sebagai kad plastik seakan-akan kad kredit yang boleh menyimpan dan memproses data komputer untuk pelbagai kegunaan.
Istilah ‘KAD’ diperjelaskan sebagai ’Kad Akuan Diri’, manakala istilah ‘PINTAR’ pula dapat diterjemahkan sebagai ’Personal Identiication Number, Trustworthy, Authenticity, Reliablity.’
Kad pintar banyak digunakan pada masa kini dalam urusan seharian. Contoh yang paling popular ialah Kad Pintar Pelbagaiguna Kerajaan atau MyKad, MyKid, MyPR, MyeP dan Kad Pintar Kerajaan Elektronik (Kad eG).
Kad pintar ini dipersiapkan dengan ciri-ciri keselamatan yang tinggi bagi para penggunanya dalam menjalankan urusan yang berkaitan dengannya. Kad pintar juga direka cipta untuk laluan atau akses kepada sesuatu sistem atau aplikasi.
Apakah Kad Pintar Kerajaan Elektronik?
Kad Pintar Kerajaan Elektronik merupakan kad pintar yang digunakan dalam aplikasi-aplikasi kerajaan elektronik iaitu ePerolehan (eP) dan Sistem Perancangan Kawalan Belanjawan Elektronik (eSPKB).
eP merupakan salah satu sistem yang dibangunkan di bawah Kerajaan Elektronik (eG). eG merupakan salah satu aplikasi perdana Koridor Raya Multimedia (MSC). Sistem ini dibangunkan bagi melaksanakan transaksi perolehan kerajaan secara elektronik.
Sistem eSPKB pula dibangunkan untuk memenuhi keperluan kawalan kewangan kerajaan serta keperluan maklumat kewangan projek-projek di bawah aplikasi eG iaitu:
• Perolehan Elektronik (eP)
• Sistem Pengurusan Maklumat Sumber Manusia (HRMIS) • Perkhidmatan Elektronik (eKhidmat)
• Sistem Pemantauan Projek II (SPP II)
Sistem ini yang membantu dalam proses kawalan belanjawan, memantau perbelanjaan Pusat Tanggungjawab (PTJ) dan mempercepatkan proses penyediaan dokumen dipertingkatkan kawalannya dengan penggunaan kad pintar.
Kedua-dua sistem ini hanya boleh diakses menggunakan kad pintar sebagai pengenalan (ID) dan kawalan kepada setiap transaksi di dalam sistem tersebut.
Ciri-Ciri Kad eG
Setiap kad pintar dilengkapi ciri-ciri keselamatan yang tinggi dengan penggunaan sijil digital bagi tujuan mengenal pasti dan mengesahkan identiti pengguna. Kad ini menggunakan teknologi Infrastruktur Kunci Awam
Public Key Infrastructure (PKI) untuk membolehkan akses kepada aplikasi-aplikasi kerajaan elektronik. Teknologi PKI membolehkan penggunaan enkripsi / dekripsi, pengesahan dan tandatangan digital.
Apakah PKI?
PKI ialah satu set perkakasan, perisian, sekumpulan pengguna, polisi dan prosedur yang diperlukan untuk membentuk, mengurus, mengedar, mengguna, menyimpan dan membatalkan sijil digital. Dalam istilah Teknologi Maklumat, PKI ditakrifkan sebagai sistem yang menggunakan kunci awam. Kunci awam pula ditakrifkan sebagai kunci dalam algoritma kriptograi asimetri yang disulitkan. Kunci awam ini diedarkan tanpa memerlukan kaedah keselamatan. Kunci awam digunakan dengan kunci persendirian untuk menyulitkan mesej dan tandatangan digital dengan berkesan. Penggunaan gabungan kunci awam dan persendirian dikenali sebagai kriptograi asimetri. Ia dilakukan oleh pihak berkuasa pensijilan Certiicatation Authority (CA). Pihak yang akan memastikan peranan PKI terlaksana ialah
Registration Authority (RA).
PKI menyediakan satu kerangka kerja yang membolehkan organisasi melindungi semua transaksi komunikasi dan perniagaan yang dilakukan dalam jaringannya. Ia memberikan perlindungan kepada kebersendirian pengguna, kerahsiaan, integriti, ketulenan dan pengelakan penaian.
Entiti yang terlibat dalam pengeluaran kad eG dan penggunaan tandatangan digital ialah Digicert Sdn. Bhd. yang merupakan CA yang diberi lesen oleh Kerajaan Malaysia di bawah Akta Tandatangan Digital 1997 dan GITN Sdn. Bhd. sebagai RA. Perisian yang digunapakai ialah iVEST 4EG 1.0.
Penggunaan sijil digital ini dapat meningkatkan tahap komunikasi internet melalui ciri-ciri keselamatan yang disediakan.
ISU-ISU KAWALAN DAN KESELAMATAN DALAM PENGGUNAAN KAD eG
Kad eG telah dilengkapi ciri-ciri keselamatan yang canggih dan dijamin. Walau bagaimanapun, selain daripada ciri kad pintar itu sendiri, elemen-elemen lain perlu dititikberatkan bagi menjamin keselamatan data dan transaksi secara komprehensif di dalam sesebuah sistem yang menggunakan kad pintar sebagai alat peranti untuk mengakses sistem tersebut.
Di antara elemen yang turut diberi perhatian dan dilihat berkemungkinan berupaya memberi ruang berlakunya kepincangan dalam kawalan dan keselamatan data dan transaksi elektronik ialah pengguna, had capaian sistem / aplikasi, penggunaan ID dan kata laluan serta pengurusan kad pintar.
i. Pengguna
Setiap pengguna eP dan eSPKB perlu mempunyai kad pintar yang didaftarkan hanya atas nama dan nombor kad pengenalan masing-masing sebelum boleh memasuki sistem. Kad pintar yang sama boleh juga digunakan untuk lain-lain aplikasi Kerajaan Elektronik.
Bagi memberikan panduan yang lebih jelas berhubung prosedur permohonan kad pintar dan mengelakkan kekeliruan di kalangan pengguna sistem Kerajaan Elektronik, satu garis panduan permohonan kad pintar telah dikeluarkan oleh Pejabat Projek Aplikasi Kerajaan Elektronik (EG-AG), Jabatan Akauntan Negara Malaysia.
Dalam garis panduan ini, perkara utama yang perlu dilakukan dalam mengeluarkan kad pintar kepada pengguna yang layak ialah tindakan oleh Pejabat Perakaunan untuk mengenal pasti dan melantik ketua Pusat Tanggungjawab (PTJ) atau pegawai yang diberi kuasa sebagai Authorised Personnel (AP) bagi Kad Pintar eSPKB. Pusat tanggjungjawab adalah sebuah unit organisasi di mana pengurusannya telah diberi kuasa dan tanggungjawab untuk mengurus dan mengawal sumber kewangan dan lain-lain sumber. Pusat kos pula adalah sebuah unit organisasi juga, tetapi kuasa kewangan tidak diturunkan kepadanya.
Kemudian daripada itu, ketua PTJ atau AP perlu mengenal pasti pengguna bagi setiap sistem aplikasi Kerajaan Elektronik. Senarai pengguna ini hendaklah dilantik secara bertulis. Tujuan pelantikan secara bertulis ini dibuat adalah untuk memastikan hanya pengguna yang diluluskan oleh ketua jabatan sahaja yang dibenarkan memiliki kad pintar eG ini.
Permohonan pula perlu melalui Borang Permohonan Kad Pintar, ditandatangan oleh ketua jabatan dan disertakan dengan salinan kad pengenalan pengguna.
Sebaik menerima kad pintar, pengguna perlu menandatangani akuan terima dan dikembalikan kepada pihak pengeluar iaitu GITN Sdn. Bhd. untuk tujuan kawalan dan rekod. Kad pintar yang diterima perlu diuji. Ujian perlu dibuat terhadap kad pintar itu sendiri, kesahihan sijil digital dan pengujian tandatangan digital.