ULASAN | Serangan siber terhadap Malaysia Airports Holdings Berhad (MAHB) baru-baru ini bukan sekadar ancaman terhadap sebuah syarikat. Ia adalah serangan terhadap keselamatan Malaysia.
Insiden berkenaan mengingatkan kita bahawa dalam dunia hari ini, peperangan tidak lagi semata-mata melibatkan peluru dan kereta kebal, tetapi juga algoritma dan perisian hasad.
Pada masa yang sama, Kementerian Pertahanan (Mindef) telah menyuarakan keperluan untuk memperkukuh keupayaan peperangan siber, dron dan nuklear, serta perbincangan untuk menubuhkan pasukan siber khusus.
Ini adalah langkah yang tepat, namun penyelesaian ketenteraan sahaja tidak mencukupi. Hakikatnya, Malaysia masih belum mempunyai kerangka undang-undang, dasar dan strategi yang komprehensif bagi menghadapi ancaman peperangan siber.
Salah satu cabaran utama dalam menangani peperangan siber hari ini ialah banyak kerajaan — termasuk Malaysia — masih menggunakan teori peperangan abad ke-19 dan ke-20 untuk menangani ancaman abad ke-21.
Peperangan tradisional berasaskan pencerobohan wilayah, pertempuran fizikal dan pendudukan tentera. Namun, peperangan siber tidak memerlukan sempadan, pangkalan tentera atau kehadiran fizikal.
Sebuah negara musuh atau kumpulan penjenayah siber boleh melumpuhkan seluruh infrastruktur sesebuah negara tanpa seorang pun tentera menjejakkan kaki ke tanah lawan. Namun, kerangka undang-undang dan strategi Malaysia masih bergantung kepada doktrin pertahanan konvensional, dan gagal mengakui bahawa peperangan siber telah mengubah secara asas bentuk konflik global.
Lumpuhkan pelbagai sistem
Akibat pendekatan yang ketinggalan ini jelas kelihatan. Akta Keselamatan Siber 2024 – walaupun satu langkah ke hadapan – masih tertumpu kepada jenayah siber, pematuhan peraturan dan perlindungan data, namun tidak merangkumi aspek yang lebih luas dari segi undang-undang, ketenteraan dan diplomasi berkaitan peperangan siber.
Ketiadaan definisi undang-undang yang jelas terhadap peperangan siber menyukarkan pengelasan dan tindak balas terhadap serangan siber yang disokong negara.
Tiada Komando Perang Siber khusus yang boleh menghapuskan ancaman secara proaktif sebelum ia berlaku.
Tambahan pula Malaysia tiada kerangka undang-undang berkaitan pencegahan atau pembalasan dalam peperangan siber menyebabkan tiada dasar rasmi tentang bagaimana negara harus bertindak sekiranya diserang oleh kuasa asing atau kumpulan pengganas siber.
Pengajaran daripada Estonia amat penting. Pada 2007, Estonia mengalami serangan siber yang diselaraskan, dipercayai dilancarkan oleh penggodam yang disokong Rusia. Ia melumpuhkan sistem perbankan, rangkaian media dan perkhidmatan kerajaan negara itu.
Tallinn tidak melihatnya sebagai isu teknologi semata-mata tetapi mengiktiraf serangan siber sebagai bentuk peperangan dan mengintegrasikan peperangan siber ke dalam strategi pertahanan negara mereka. Kerajaan lalu menubuhkan Pusat Kecemerlangan Pertahanan Siber Koperatif Nato (CCDCOE) di Tallinn yang kemudian menghasilkan Tallinn Manual, kerangka undang-undang terkemuka dunia mengenai norma peperangan siber.
Kini, Tallinn dikenali sebagai hab global bagi penyelidikan dan dasar peperangan siber, serta membentuk norma antarabangsa dalam menangani ancaman digital.
Malaysia mempunyai peluang untuk melakukan perkara yang sama. Cyberjaya boleh diposisikan sebagai Hab Diplomasi Siber Global dengan mengambil ilham daripada transformasi Tallinn.
Dengan mewujudkan Kerangka Undang-Undang Perang Siber, Malaysia bukan saja dapat memperkukuh pertahanan siber negara, malah mampu tampil sebagai peneraju serantau dalam diplomasi siber dalam Asean dan negara-negara selatan global.
Cyberjaya — yang sudah dikenali sebagai hab teknologi Malaysia — berpotensi untuk menempatkan sebuah institut dasar siber antarabangsa yang akan menggalakkan kerjasama antara kerajaan, sektor swasta dan akademia dalam membangunkan piawaian tadbir urus siber global.
Langkah yang perlu diambil
Singapura telah mendahului dalam hal ini. Pada 2018, Singapura meluluskan Akta Keselamatan Siber yang memberikan kuasa undang-undang kepada kerajaan untuk melindungi infrastruktur digital kritikal.
Negara tersebut turut menubuhkan Agensi Keselamatan Siber (CSA) dan Organisasi Pertahanan Siber (DCO) untuk memastikan tindak balas undang-undang, dasar dan ketenteraan diselaraskan.
Pendekatan republik itu ialah menekankan diplomasi siber dan membina pakatan global untuk berkongsi risikan dan menyelaras pertahanan siber. Malaysia tidak boleh ketinggalan.
Jika Malaysia tidak bertindak segera, kita bukan sahaja akan terdedah kepada ancaman siber, bahkan akan ketinggalan dalam membentuk masa depan tadbir urus siber dunia.
Jika keselamatan siber adalah keselamatan negara, maka kerangka undang-undang Malaysia mesti mencerminkan realiti ini.
Beberapa langkah mendesak perlu diambil oleh Malaysia untuk menangani ancaman ini.
Pertama, Malaysia mesti menggubal Kerangka Undang-Undang Perang Siber yang mentakrifkan secara sah perang siber dan membenarkan pertahanan siber secara proaktif.
Ia perlu mengiktiraf serangan siber sebagai ancaman terhadap keselamatan negara, bukan sekadar jenayah komersial. Ia juga perlu menetapkan protokol undang-undang berkaitan pencegahan, pembalasan dan kerjasama rentas sempadan, sejajar dengan kerangka antarabangsa seperti Tallinn Manual dan Konvensyen Budapest mengenai Jenayah Siber.
Kedua, perlu diwujudkan Komando Perang Siber yang khusus di bawah Mindef dan Majlis Keselamatan Negara. Pertahanan siber tidak boleh diserahkan kepada pelbagai agensi secara berasingan kerana boleh menyebabkan ketidakcekapan dan pertindihan bidang kuasa.
Komando itu mesti diberi kuasa undang-undang untuk melaksanakan operasi pertahanan dan serangan balas secara sah serta mengintegrasikan teknologi kecerdasan buatan bersama risikan siber bagi mengesan serta meneutralkan ancaman sebelum ia membesar.
Ketiga, Malaysia mesti merangka Strategi Diplomasi Siber kerana ancaman siber tidak mengenal sempadan. Malaysia perlu memimpin usaha diplomasi siber Asean dengan mewujudkan pakatan pertahanan siber serantau.
Negara ini harus memperkukuh kerjasama undang-undang dengan Estonia, Singapura dan institusi keselamatan siber global serta melabur dalam perjanjian perkongsian risikan antarabangsa bagi mencegah serangan siber sebelum ia melanda sistem Malaysia.
Keempat, kerajaan Malaysia mesti meningkatkan pelaburan dalam keselamatan siber. Pada masa ini, Malaysia membelanjakan kurang daripada 1 peratus KDNK untuk keselamatan siber.
Tiada yang benar-benar selamat
Ini mesti ditingkatkan kepada sekurang-kurangnya 1.5 peratus selaras dengan amalan terbaik antarabangsa.
Dana ini harus digunakan untuk membangunkan teknologi keselamatan siber berasaskan kecerdasan buatan (AI), melatih generasi baru pakar pertahanan siber dan memperkukuh kerjasama sektor awam-swasta dalam melindungi infrastruktur digital negara.
Visi Perdana Menteri, Anwar Ibrahim, melalui Malaysia Madani ialah membina negara yang tahan uji dan berpandangan jauh.
Namun, dalam era digital, tiada negara yang benar-benar selamat tanpa kerangka undang-undang dan strategi yang kukuh dalam menghadapi perang siber.
Serangan terhadap MAHB hanyalah permulaan. Jika Malaysia tidak bertindak sekarang, serangan seterusnya mungkin melumpuhkan sektor kewangan, rangkaian ketenteraan atau sistem tenaga negara.
Masa untuk bertindak balas secara reaktif telah tamat. Malaysia mesti bertindak secara tegas dan strategik sekarang.
Sebagai calon PhD di Ahmad Ibrahim Kulliyyah of Laws Universiti Islam Antarabangsa yang sedang menjalankan kajian mengenai Kerangka Undang-Undang Perang Siber, saya menggesa Putrajaya memberi keutamaan kepada reformasi undang-undang perang siber dan menubuhkan Komando Perang Siber khusus.
Pengalaman saya sebagai peguam, bekas senator dan Ahli Parlimen Balik Pulau telah menyedarkan saya tentang pentingnya perundangan yang kukuh dalam melindungi kepentingan negara.
Malaysia bukan sahaja perlu bersedia untuk ancaman hari ini, malah perlu tampil sebagai peneraju dalam membentuk norma peperangan siber masa depan sebelum segalanya terlambat.
YUSMADI YUSOFF ialah seorang peguam kanan, bekas senator dan Ahli Parlimen Balik Pulau. Kini calon PhD dalam bidang Kerangka Undang-Undang Perang Siber di AIKOL-IIUM.
Tulisan ini tidak semestinya mencerminkan pendirian Malaysiakini.