Semua status laman web yang disebutkan dalam artikel ini merujuk pada masa penulisan.
Sekurang-kurangnya 175 daripada hampir 700 laman web kerajaan yang diteliti Malaysiakini dianggap "tidak selamat", dengan pakar memberi peringatan ia boleh menyebabkan kebocoran data peribadi dan risiko keselamatan siber lain.
Audit oleh Malaysiakini dilakukan antara akhir Mei dan awal Julai di sekitar 700 laman web kerajaan yang menggunakan nama domain "gov.my".
Laman web ini merangkumi tetapi tidak terhad kepada, kementerian, agensi dan jabatan yang berlainan di peringkat persekutuan dan negeri, majlis tempatan, pejabat tanah dan hospital.
Laman web dikenali sebagai "tidak selamat" apabila URL tertera "http" dan bukan "https".
Amaran "tidak selamat" akan ditunjukkan di sebelah kiri bar URL pada pelayar web komputer desktop. Tanda amaran ⚠️ akan dipaparkan sekiranya menggunakan telefon pintar.
Terdapat 164 laman web kerajaan dengan Hypertext Transfer Protocol (HTTP) yang didapati "tidak selamat" oleh pelayar web utama seperti Chrome dan Firefox. Sebanyak 11 laman web HTTPS lain dianggap "selamat" tetapi ditandai (flagged) kerana mengandungi serangan pancingan data (pishing), perisian spam atau aktiviti "mudarat" (malicious) yang lain.
Laman web HTTP merangkumi Istana Negara, Kementerian Pertahanan, dan laman penjejak Covid-19 Malaysia.
Akses ke laman web Kawasan Keselamatan Khas Pantai Timur Sabah (Esscom) akan memberi amaran kebocoran data peribadi. Jurucakap Esscom memberitahu Malaysiakini bahawa laman web itu sedang dalam penyelenggaraan dan akan beroperasi pada bulan Oktober.
Ketika dihubungi, beberapa agensi kerajaan dan pihak berkuasa tempatan mengatakan bahawa mereka sedang memperketat ciri keselamatan laman web mereka, termasuk meningkatkan dari HTTP ke Hypertext Transfer Protocol Secure (HTTPS).
Sebanyak 255 laman web HTTP pada mulanya dikesan dalam senarai. Sebanyak 91 daripadanya termasuk RTM, Bahagian Istiadat dan Urusetia Persidangan Antarabangsa serta Unit Kerjasama Awam-Swasta di bawah Jabatan Perdana Menteri, selain Majlis Bandaraya Shah Alam, telah dinaik taraf menjadi HTTPS sejurus selepas Malaysiakini menghubungi pihak berkuasa masing-masing untuk mendapatkan komen.
Maklum balas mereka disertakan dalam jadual di bawah.
Beberapa laman web dalam jadual mudarat kerana ia akan cuba memasukkan perisian hasad (malware) dalam peranti pengguna, sementara yang lain mengandungi perisian spam atau serangan pancingan data.
| Negeri | Nama | HTTPS? | ||
|---|---|---|---|---|
| Persekutuan | Agensi Anti-Doping (Adamas) | |||
| Persekutuan | Bahagian Hal Ehwal Undang-Undang Jabatan Perdana Menteri | |||
| Persekutuan | Bahagian Kabinet, Perlembagaan Dan Perhubungan Antara Kerajaan (BKPP) | |||
| Persekutuan | Bahagian Pengurusan Hartanah (BPH) Jabatan Perdana Menteri | |||
| Persekutuan | Biro Pengaduan Awam (BPA) Jabatan Perdana Menteri | |||
| Persekutuan | Laman penjejak Covid-19 Malaysia | |||
| Persekutuan | Enjin SMS 15888 | |||
| Persekutuan | Hospital Rehabilitasi Cheras | |||
| Persekutuan | Hospital Sultan Ismail | |||
| Persekutuan | Institut Kehakiman dan Perundangan (ILKAP) |
Sehingga 15 Jul 2021
Tak selamat jika tiada ‘s’
Semua maklumat yang dihantar dari pelayar web pengguna di laman web HTTP adalah dalam format teks.
Walau bagaimanapun, maklumat yang dihantar dalam HTTP terdedah kepada pemintasan.
"Sebagai panduan asas, secara umumnya tidak selamat untuk menghantar maklumat melalui laman web yang telah dilabelkan 'tidak selamat'.
"Ini terutamanya jika maklumat itu sensitif, seperti nama pengguna, kata laluan, data peribadi, dan data kad kredit," kata penulis blog teknologi Keith Rozario kepada Malaysiakini dalam satu wawancara.
Beberapa laman web kerajaan didapati meminta maklumat sensitif seperti nama pengguna, kata laluan, fasa keselamatan, nombor MyKad, alamat dan maklumat untuk dihubungi melalui HTTP. [lihat kotak di bawah]
Bagi HTTPS pula, ia menyediakan penyulitan (encryption) hujung-ke-hujung (end-to-end) antara pelayar web (browser) dan pelayan (server).
Maklumat yang dihantar hanya dapat dinyahsulit (decrypted) dari salah satu hujung.
Walaupun penggodam masih dapat memintas data yang dihantar melalui internet awam, mereka akan mendapat teks yang tidak dapat dibaca.
Sebagai contoh, pada pelayar web Chrome, simbol "kunci" akan dipaparkan di sebelah kiri bar URL untuk laman web HTTPS.
Ketua aktivis Persatuan Pengguna Siber Malaysia, Mohd Fazli Azran menjelaskan bahawa HTTPS menyediakan tiga lapisan keselamatan - penyulitan data, integriti data dan pengesahan.
Apa yang dihantar dari laman web’http’ dan ‘https’ ?
Cuba sendiri
Maklum balas dan borang daftar masuk 'tidak selamat'
Terdapat lebih 100 laman web HTTP kerajaan yang meminta perincian peribadi atau daftar masuk ketika pengguna ingin mengemukakan maklum balas atau mengajukan aduan.
Ini termasuk laman web majlis tempatan, seperti Majlis Perbandaran Manjung dan Majlis Perbandaran Kemaman.
Begitu juga dengan laman web beberapa agensi persekutuan, sepertiLJabatan Bantuan Guaman, Suruhanjaya Integriti Agensi Penguatkuasaan (EAIC) dan Bahagian Hal Ehwal Undang-Undang (BHEUU) Jabatan Perdana Menteri, juga tidak mempunyai halaman maklum balas atau aduan yang selamat.
Perkhidmatan lain termasuk portal pembayaran cukai seperti e-Khidmat Johor, Majlis Perbandaran Bentong dan Pejabat Tanah dan Galian Melaka dan Terengganu.
Halaman daftar masuk untuk sistem dalaman di beberapa laman web, seperti sistem pertanyaan gaji dan slip gaji oleh Majlis Bandaraya Melaka dan Majlis Perbandaran Dungun untuk kakitangan mereka juga tidak selamat.
Perbadanan Tabung Pendidikan Tinggi Nasional (PTPTN) mempunyai laman web HTTP dan HTTPS, menghasilkan dua laman web Skim Simpanan Pendidikan Nasional (SSPN) yang hampir sama untuk penyimpannya. PTPTN telah memperbetulkan masalah tersebut dengan mengalihkan pengguna di laman web HTTP ke laman HTTPSnya setelah dihubungi oleh Malaysiakini untuk mendapatkan respons.
Kadang-kadang, laman web kerajaan mungkin menggunakan HTTPS di halaman utama tapi tidak pada halaman lain laman web itu. Sebagai contoh, Penggerak Belia Tempatan Sepang mempunyai HTTPS pada halaman utama tetapi menggunakan HTTP yang “tidak selamat” pada halaman borang yang memerlukan pengguna memasukkan pelbagai maklumat peribadi.
"Laman web HTTP kerajaan seperti ini mungkin tidak sah, kemungkinan dikendali oleh penggodam. Mungkin berbahaya atau seseorang boleh mencuri dan memanipulasi data anda,” jelas perunding kanan keselamatan siber Razwan Mokhtar.
sub head: Halaman HTTP statik juga boleh memudaratkan
Bagi kebanyakan laman web HTTP lain yang dikumpulkan oleh Malaysiakini, halaman aduan atau maklum balas mereka adalah selamat. Sebagai contoh, Majlis Bandaraya Petaling Jaya (MBPJ) mempunyai sistem pengaduan dan pembayaran yang selamat walaupun halaman utamanya ditandai sebagai "tidak selamat".
Sementara itu, sebahagian besar jabatan dan agensi kerajaan, hospital dan beberapa majlis tempatan lainnya, akan mengarahkan pengguna yang ingin menyampaikan maklum balas atau mengemukakan aduan ke Sistem Pengurusan Aduan Awam terpusat (SISPAA) yang selamat.
Lembaga Kenaf dan Tembakau Negara (LKTN) adalah kes khas di mana halaman HTTPS dan HTTP boleh didapati di laman webnya.
Ketika dihubungi, jurucakap beberapa agensi kerajaan mengatakan bahawa HTTPS tidak diperlukan kerana ia tidak melibatkan transaksi.
Ini tidak bermaksud bahawa pelawat web selamat ketika berada di laman web HTTP statik yang tidak meminta maklumat peribadi atau melibatkan transaksi wang.
Seorang penggodam dapat menggodam laman web dan secara tersembunyi memasukkan perisian hasad ke komputer pelawat laman web. Contoh perisian hasad yang terkenal termasuk penambang (miners) cryptocurrency atau pengguna dialihkan ke laman web yang serupa tetapi berniat mudarat untuk serangan pancingan data.
Video di bawah ini memberikan contoh yang menjelaskan bagaimana laman web HTTP statik dapat diserang atau dirampas dengan pelbagai cara.
Fazli mengatakan kebanyakan laman web HTTP statik kerajaan kurang berbahaya kerana kurang menarik bagi penggodam.
Ini kerana penggodam jahat tahu bahawa kebanyakan pengguna tidak akan menghabiskan masa yang lama di laman web ini, jelasnya.
Namun, dia menyatakan bahawa ada kemungkinan penggodam menyerang laman web tertentu yang popular.
Penelitian di semua laman web HTTP yang dikumpulkan oleh Malaysiakini dengan VirusTotal, alat analisis dalam talian untuk mengesan perisian hasad, menandakan laman web Majlis Daerah Mersing untuk serangan pancingan data dan laman web Majlis Bandaraya Shah Alam untuk perisian spam.
Sementara itu, hasil semakan di kebanyakan laman web dalam senarai Malaysiakini menunjukkan bahawa ia bebas dari serangan perisian hasad dan pancingan data yang berniat jahat.
Adakah pertukaran dari HTTP ke HTTPS tugas mudah?
Beralih dari HTTP ke HTTPS tidak dapat dilakukan dengan hanya menaip "S" pada URL.
Meskipun demikian, menurut Fazli, prosesnya "tidak sukar".
Apa yang diperlukan oleh laman web adalah membeli Secure Sockets Layer (SSL) yang sah dari penyedia sijil SSL dan
Fazli juga mengesyorkan kepada orang ramai untuk menggunakan pelanjutan (extension) pelayar ‘HTTPS Everywhere’ yang meningkatkan keselamatan pelayar web dengan menyulitkan (encrypting) komunikasi pengguna dengan banyak laman web utama.
Namun, Razwan mengatakan bahawa penukaran itu bukanlah tugas yang mudah, terutama kerana melibatkan ratusan laman web kerajaan.
Dia mengatakan bahawa sistem dalam talian yang besar biasanya memerlukan lima tahun untuk dibangunkan dan beberapa sistem mungkin bukan milik agensi kerajaan.
Dengan demikian, dia berharap masyarakat dapat memahami cabaran dalam menagani masalah itu pada skala besar.
"Ini bukan satu laman web, tetapi ada proses untuk diterapkan. Sistem ini milik vendor, bukan milik jabatan kerajaan.
"Jika sistem milik vendor, badan kerajaan harus menyampaikan permintaan untuk tukar (dari HTTP ke HTTPS). Sekiranya pelayan (server) milik kerajaan, mereka dapat menyelesaikannya dengan segera,” kata Razwan, yang memiliki pengalaman dalam meningkatkan sistem keselamatan siber untuk kerajaan dalam kerjayanya selama 22 tahun.
Dia menambah bahawa agensi kerajaan harus mendapatkan perakuan keselamatan yang tepat, terutama yang disahkan oleh kerajaan, untuk laman web mereka.
Mengambil maklum potensi risiko mengunjungi laman web HTTP kerajaan, dia tidak menolak kemungkinan bahawa perkara itu terlepas daripada pertimbangan kerajaan.
"Mungkin ini adalah sesuatu yang terlepas pandang oleh kerajaan, ia tidak menyedari betapa pentingnya perkara ini," tambahnya.
HTTPS tidak menjamin keselamatan
Bagaimanapun, perlu diambil perkiraan bahawa HTTPS di domain laman web tidak menjamin bahawa ia selamat. Antara lain, portal kerajaan negeri Kelantan, Suruhanjaya Perkhidmatan Pendidikan (SPP), dan Majlis Perbandaran Alor Gajah dilabel "mudarat" (malicious) oleh VirusTotal walaupun merupakan laman web HTTPS.
Portal HTTPS kerajaan negeri Perlis, Kedah dan Pahang, sistem Pembayaran Sewa PAKR Pahang, dan Majlis Perbandaran Selayang mengandungi serangan perisian spam atau pancingan data.
Ketika dihubungi, CyberSecurity Malaysia, sebuah agensi di bawah Kementerian Komunikasi dan Multimedia, merujuk Malaysiakini kepada Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia dan Agensi Keselamatan Siber Negara (Nacsa).
Mampu adalah unit yang diletakkan di bawah Jabatan Perdana Menteri yang ditugaskan untuk mendigitalkan dan mengubah sektor awam. Nacsa adalah agensi yang termasuk dalam Majlis Keselamatan Negara (MKN). Nacsa bertanggungjawab dalam hal keselamatan siber negara.
Mampu dan Nacsa tidak menjawab soalan yang dihantar oleh Malaysiakini mengenai keselamatan laman web kerajaan.
Berikutan penerbitan laporan ini, Pengerusi Suruhanjaya Komunikasi dan Multimedia Malaysia (MCMC) Fadhlullah Suhaimi Abdul Malek berkata kerajaan akan melakukan audit keselamatan siber terhadap 175 laman web tersebut.
Sementara itu, Menteri Komunikasi dan Multimedia, Saifuddin Abdullah berkata kerajaan memutuskan untuk mengambil usaha bersama bagi mengetatkan keselamatan siber.
Nasihat kepada orang ramai
Sekadar menaik taraf laman web ke status HTTPS bukanlah penyelesaian muktamad. Langkah-langkah lain dapat digunakan untuk menentukan tingkat keselamatannya seperti yang ditsorot oleh Fazli, yang juga bekas pemimpin Projek Keselamatan Aplikasi Web Terbuka (OWASP) Malaysia.
Antara lain, langkah-langkahnya termasuk menyiapkan firewall, pembersihan input pengguna, dasar kata laluan yang kuat, autentikasi dua faktor (2FA) atau autentikasi multi-faktor (MFA) dan membina aplikasi web berdasarkan standard OWASP Top 10.
Selain meningkatkan laman web kerajaan ke status HTTPS untuk meningkatkan kepercayaan masyarakat, Fazli juga menyarankan kerajaan untuk melakukan penilaian keselamatan secara rutin di laman webnya.
Dia juga mencadangkan sejumlah peruntukan disediakan untuk tujuan ini dan mendapatkan bantuan daripada syarikat perunding keselamatan untuk mengkaji dan memperbaiki laman web mereka.
Dia menyarankan agar pengguna yang mengakses laman web kerajaan mengesahkan kesahihan laman web itu dan memastikan bahawa SSL ada jika meminta daftar masuk atau maklumat peribadi.
Selain menyarankan pengguna untuk melengkapkan peranti mereka dengan perisian antivirus, dia meminta mereka menggunakan alat di bawah ini untuk memastikan keselamatan laman web.
Bagi Razwan, nasihatnya mudah: Jangan kunjungi mana-mana laman web yang menggunakan nama domain tanpa "https".
