Cybersecurity

Mohd Shah Rahman

Certified Secure Computer User v2
EC-Council Certified Security Specialist v9
30 Ogos | 2022 Certified Ethical Hacker v10
mohdshah@intanbk.intan.my
03-20847804
Objektif

1 2 3
Memahami konsep asas Menjelaskan tentang Mengenal pasti dan
dan kepentingan ancaman keselamatan mencadangkan kaedah
keselamatan siber untuk siber, kelemahan pencegahan untuk
melindungi diri daripada keselamatan siber dan melindungi data dan
ancaman serangan siber serangan siber untuk maklumat daripada
mengatasi serangan jenayah siber.
keselamatan siber
TOPIK
Asas dan kepentingan
Keselamatan Maklumat

CIA Triad

Pengenalan & Kepentingan

Keselamatan Siber

Ancaman (Threats), Kerentanan

(Vulnerability) dan Serangan
(Attacks) Siber

Jenayah Siber

Kaedah-kaedah Pencegahan
untuk Mengatasi Serangan Siber
 What is ‘Security’?
Apa itu keselamatan?

Keselamatan adalah proses mengekalkan tahap risiko

yang dapat diterima.
 What is
Information
Security?
Apa itu Keselamatan Maklumat?

Amalan melindungi maklumat

dengan mengurangkan risiko
maklumat.
Sumber: Wikipedia
 RISIKO?
Kesan yang tidak jelas/menentu
(uncertainty) kepada pencapaian
objektif.

ISO 31000:2018
Risiko | Krisis |
Masalah
 Vulnerability | Threats Kerentanan | Ancaman

Kerentanan | Kelemahan atau jurang

dalam sistem perlindungan yang boleh
dieksploitasi untuk mendapatkan akses
tanpa kebenaran kepada aset.

Ancaman | Sebarang keadaan atau

kejadian, yang berpotensi menyebabkan
kemudaratan kepada maklumat / data atau
aset.
 Imbalance is weakness
i.e. VULNERABILITY

Possibility of
falling down is
the RISK

Crocodiles are
The THREATS
Mengapa Keselamatan
Maklumat penting?
Why is Information Security important?
Mengapa Keselamatan Maklumat penting?
Why is Information Security important?
 CIA Triad
Integriti – data dan maklumat
hendaklah tepat, lengkap dan
kemaskini dan hanya boleh
diubah dengan cara yang
dibenarkan.

Integriti

Kerahsiaan - maklumat tidak

boleh didedahkan sewenang-
wenangnya atau dibiarkan Ketersediaan – data dan
maklumat hendaklah boleh
diakses tanpa kebenaran.
diakses pada bila-bila masa

Kerahsiaan Ketersediaan
What is
Cyber
Security?
Apa itu Keselamatan Siber?

Keselamatan Siber adalah keupayaan untuk

melindungi atau mempertahankan
penggunaan ruang siber dari serangan siber.

Sumber: National Institute of Standards and Technology (NIST)

Apakah
‘Ruang
Siber’?

Ruang siber adalah "persekitaran

di mana komunikasi melalui
rangkaian komputer berlaku.“
What is Cyber
Apakah ‘Serangan Siber’?
Attacks?

Serangan untuk tujuan mengganggu,

melumpuhkan, memusnahkan, atau
menganiaya suatu persekitaran / infrastruktur
pengkomputeran; atau memusnahkan
integriti data atau mencuri maklumat
terkawal.
What is Cyber
Security?
 60%
PENDUDUK
DUNIA
TERHUBUN
G DENGAN
INTERNET
Verizon
 Setiap minit,
kita melihat
sekitar setengah
juta percubaan
serangan yang
berlaku di ruang
siber.
Derek Manky, Fortinet
Global Security Strategist
Penggodam
menyerang
setiap 39
saat, purata
2,244 kali
sehari.
University of Maryland
Purata 30,000
laman web
baru digodam
setiap hari.
Sumber: Forbes
Penggodam
mencuri 75
rekod setiap
saat.
Sumber: Breach Level Index
73% penggodam
topi hitam
mengatakan
keselamatan
firewall tradisional
dan antivirus tidak
relevan atau
usang.
Sumber: Thycotic.com
Pada tahun 2018, penyelidik
menjumpai kira-kira 70
jenis kelemahan dalam
aplikasi web.
Sumber: PT Security
Siapa yang menjadi
mangsa serangan
siber?
▪ Syarikat
▪ Agensi Kerajaan
▪ Perbankan & Kewangan
▪ Syarikat Tenaga
▪ Institusi Pendidikan
▪ Media
▪ Anda!
Cyber criminals don’t attack your computer.
They attack you.
Apa yang kita tidak mahu
kehilangan?

Wang Maklumat Peribadi Reputasi

 Cyber
Security Attack
Siapa yang membuat
serangan siber?
• Penggodam (Hackers)
• Penjenayah Siber (Cyber Criminals)
• Perisik Siber (Cyber Spies)
• Nation-States
• Orang dalam yang berniat jahat
(Malicious Insiders)
Jenis Penggodam (Hacker)

gray hat black hat white hat

 Robert Tappan
Kevin Poulsen Kevin Mitnick Gary McKinnon Morris

Hacker famous
ANCAMAN SIBER

“
 Advanced
Persistent Threat

Social Engineering

Ransomware

Jenis-jenis Ancaman Phishing Attacks

Siber

Malware
 Perisian yang direka khusus untuk
mendapatkan akses kepada peranti
atau merosakkannya tanpa
diketahui pemiliknya
Malware
Penggodam membuat 300,000
perisian malware baru setiap
hari.
Sumber: McAfee
Malware yang mengunci atau
menencryptkan data sehingga
tebusan dibayar.

Ransomware
Amalan mendapatkan maklumat
sensitif melalui penyamaran e-mel,
panggilan telefon atau mesej teks.

Phishing Attacks
Manipulasi psikologi individu
untuk mendapatkan
maklumat sulit/ berharga;
selalunya bertindih dengan
phishing.
Social Engineering
Serangan yang menyebabkan
pengguna tidak mendapat akses ke
sistem atau rangkaian dan kekal di
sana untuk tempoh masa yang
lama tanpa dikesan.

Advanced Persistent Threat

JENAYAH SIBER

“
“Jenayah siber adalah
ancaman terbesar
bagi setiap syarikat di
dunia.“
IBM’s chairman, president and CEO
 Apakah itu
‘Jenayah
Siber’?
Perbuatan kriminal yang dilakukan
melalui komputer dalam internet
untuk mendapat keuntungan dengan
menderitakan serta merugikan mangsa
yang terperangkap.
 Jenis-jenis Jenayah Siber

Fraud Hacking Identity Theft Scamming

Computer Ransomware DDoS Attack Botnets

Viruses
Fraud
Jenayah siber yang bertujuan menipu
seseorang untuk mendapatkan data
atau maklumat penting. Penipuan
boleh dilakukan dengan mengubah,
memusnahkan, mencuri atau
menyekat apa-apa maklumat untuk
mendapatkan keuntungan yang tidak
sah atau tidak adil.
Hacking
Hacking melibatkan pemerolehan separa
atau lengkap fungsi tertentu dalam sistem,
rangkaian atau laman web. Ia juga
bertujuan mengakses data dan maklumat
penting, melanggar privasi.
Identity Theft
Satu bentuk penipuan tertentu di mana
penjenayah siber mencuri data peribadi,
termasuk kata laluan, data mengenai
akaun bank, kad kredit, kad debit, dan
maklumat sensitif yang lain. Melalui
kecurian identiti, penjenayah boleh
mencuri wang.
Scamming
Percubaan untuk menipu seseorang atau
kumpulan selepas mula mendapat
kepercayaan mereka.
Scamming mengeksploitasi mangsa
menggunakan kepercayaan mereka,
kenaifan, belas kasihan, kesombongan,
keyakinan, tidak bertanggungjawab dan
tamak.
Virus
Program komputer yang berupaya
menyalin dirinya sendiri dan
menjangkiti komputer tanpa
kebenaran ataupun pengetahuan
pengguna sehingga mampu
menyebabkan kerosakan atau
perubahan kepada data atau
laksanaan aplikasi program lain.
Ransomware
Sejenis malware yang bertujuan untuk
menghalangi akses kepada sistem
komputer atau data sehingga tebusan
dibayar.
Serangan ransomware lazimnya
dilakukan melalui trojan yang
disamarkan sebagai fail yang sahih.
DDoS Attack
Serangan terhadap sistem
komputer atau rangkaian komputer yang
menyebabkan ia hilang keupayaan untuk
memberikan perkhidmatan kepada pengguna
yang sebenar.
Botnets
Botnet dikawal oleh remote attackers untuk
menyerang komputer dengan menghantar
spam atau malware. Mereka biasanya
menyerang infrastruktur teknologi maklumat
agensi.
KES JENAYAH
SIBER SEMASA
PKP
Peningkatan jenayah siber meningkat
sehingga 82.5% semasa PKP
berbanding tahun 2019.

Sumber:
https://www.thestar.com.my/news/focus/2020
/04/12/cybersecurity-cases-rise-by-825)
Aktiviti 1| Incident
Statistics
Okay, klik https://mycert.org.my/
Jenis penipuan (scam) COVID-19
• Online face mask scam, fraudulent
sale of PPE, and fake drugs
• Bogus websites or social media posts
• Investment scams
• Immunisation scam and fake COVID-
19 tests
• Fake system tests
• Fake government aid texts
• Fraudulent withdrawal of Employee
Provident Fund
PERKONGSIAN
NOMBOR TAC
"… seorang wanita nyaris diperdaya apabila
dihubungi sindiket scam My Goal yang meminta
nombor TAC, kononnya tersalah memasukkan
nombor telefon mangsa. Sehari selepas itu, wanita
berkenaan menerima pula pesanan WhatsApp dan
sistem pesanan ringkas (SMS) dari nombor
berlainan memberitahu mangsa ada membuat
pembelian barangan atas talian berjumlah
RM18,000.

Sumber:
https://www.sinarharian.com.my/article/77720/
BERITA/Jenayah/Jangan-kongsi-nombor-TAC-anda!
PAUTAN LAMAN
WEB BANK
PALSU
Pelajar kerugian RM4,750 selepas
mengemaskini maklumat akaun
banknya melalui pautan laman web
bank palsu yang diberikan seorang
lelaki yang menyamar pegawai polis
semalam.

Sumber:
https://www.sinarharian.com.my/article/76
888/EDISI/Pahang/Pelajar-rugi-RM4750-
ditipu-polis
SCAMMER
TAWAR
PINJAMAN
Agensi Kaunseling dan Pengurusan
Kredit (AKPK) meminta orang ramai
sentiasa berhati-hati dengan sindiket
penipuan yang mengambil
kesempatan selepas pengumuman
program moratorium dan bantuan
pakej rangsangan ekonomi. Di media
sosial, terdapat tawaran pinjaman
yang tidak diketahui kesahihannya.

Sumber:
https://www.bharian.com.my/berita/wilaya
h/2020/04/674553/
 SCAMMER
AKAUN 2 KWSP
Wujudnya sindiket yang menghantar
mesej, panggilan telefon serta mencipta
laman sesawang palsu.

"Masyarakat perlu berhati-hati dan tidak

berurusan dengan individu yang
mewakili kelompok atau persatuan.
Jangan beri sebarang data yang boleh
dimanipulasi oleh penipu (scammer).”

Sumber:
https://www.sinarharian.com.my/article/7741
2/BERITA/Nasional/Awas-scammer-curi-duit-
akaun-2-KWSP-Polis
PENIPUAN
MEMBELI
‘FACEMASK’
"…penipuan pembelian barangan secara
online. Jumlah keseluruhan berbelas ribu
ringgit. Ia semacam satu trend ketika rakyat
Malaysia tertumpu kepada media sosial
baik untuk mendapat perkembangan terkini
mahu pun membuat pembelian.”

Sumber:
https://www.hmetro.com.my/mutakhir/2020/03/
557972/hati-hati-beli-facemask
Prevention is
better than cure
First they spam, then they scam
Aktiviti 2|
Live Cyber Threat
Map
Okay, klik
https://threatmap.checkpoint.com
Mulai tahun 2021,
kerosakan yang
berkaitan dengan
jenayah siber
dijangkakan
mencecah $6
trillion setiap
tahun.
Cybersecurity Ventures
Infrastruktur selalu dianggap
sebagai sasaran yang sah.
Pada Perang Dunia Ke-2,
kami mengebom dan
menghancurkan
infrastruktur elektrik musuh-
musuh kami. Sekarang,
kami mempunyai
kemampuan melalui
serangan siber untuk
mematikan jaringan.
General Michael Hayden,
Mantan Pengarah CIA & NSA
Sebilangan besar negara moden
sekarang menggunakan ruang siber
sebagai domain ketenteraan lain,
selain darat, udara dan laut.
Dmitri Alperovitch,
Cybersecurity industry
executive
For $6 in Bitcoin, I can
rent time on a DDoS
tool and bring down
most websites. Better
yet, if I send just the
right type of packet
to their web servers, I
can crash the site for
free.
A Thief’s Perspective
(interview), Intel Security, 2015
The 100% Secure Computer

KOMPUTER YANG
SELAMAT 100%
 10 Langkah Mudah | Sumber:
https://www.nacsa.gov.my/doc/10La
Kesedaran Keselamatan Siber ngkahMudah-v8.pdf
1 | GUNAKAN
KATALALUAN
Kalau kita mendengar perkataan
‘password’ atau ‘kata laluan’ , apa
yang terlintas dalam fikiran?”
1 | GUNAKAN
KATALALUAN
Berapa banyak akaun dan peranti
yang dilindungi kata laluan yang
anda miliki?
• E-mail (pejabat, Gmail, Yahoo,
Hotmail, etc)
• Bank
• Hiburan (Netflix, Youtube, etc)
• Social Media (Facebook,
Instagram, Twitter, etc)
• Komputer, iPad, mobile phone
• Online shopping 63% PELANGGARAN DATA DISEBABKAN OLEH
• dan lain-lain KATALALUAN YANG LEMAH, DEFAULT ATAU
DICURI.
Sumber: Verizon 2016 Data Breach Investigations Report
your date here större - a multipurpose PowerPoint template 71
1 | GUNAKAN
KATALALUAN
• Gunakan kata laluan yang kreatif
(gabungan huruf, nombor dan
simbol)
Use All of the Allowable Character Types
lowercase
UPPERCASE
digits (0-9)
special characters (!@#$%^&*()?/{}[]
etc.)

Jangan gunakan P@$$w0rd1

sebagai kata laluan
1 | GUNAKAN
KATALALUAN
• Gunakan kata laluan yang kreatif
(gabungan huruf, nombor dan
simbol)

Never Use Dictionary Words

• Pisang
• Durian
• Rambutan
• Kereta
• Apple
• Orange
1 | GUNAKAN
KATALALUAN
• Gunakan kata laluan yang kreatif
(gabungan huruf, nombor dan
simbol)

Never Use Just Numbers

1234567890

That’s simply child’s play!

Give me more of a challenge than that!
1 | GUNAKAN
KATALALUAN
• Gunakan kata laluan yang kreatif
(gabungan huruf, nombor dan
simbol)

Create a Passphrase

“Saya suka main bola. Hari-hari saya

main bola”

5@y@5uk@m@inB0l@h@rih@ris@y@
m@inB0l@

Now, How Do You Feel About Your

Passwords?
1 | GUNAKAN
KATALALUAN
• Gunakan kata laluan yang kreatif
(gabungan huruf, nombor dan
simbol)
• Elakkan daripada mendedahkan kata
laluan kepada orang lain.
1 | GUNAKAN
KATALALUAN
• Gunakan kata laluan yang kreatif
(gabungan huruf, nombor dan
simbol)
• Elakkan daripada mendedahkan kata
laluan kepada orang lain.
• Sentiasa tukar kata laluan secara
berkala dan elakkan daripada
menggunakan kata laluan yang sama
(berulang).

Use Different Passwords on Different

Accounts
Alibaba+1G
Alibaba_FB!
1 | GUNAKAN
KATALALUAN
• Gunakan kata laluan yang kreatif
(gabungan huruf, nombor dan
simbol)
• Elakkan daripada mendedahkan kata
laluan kepada orang lain.
• Sentiasa tukar kata laluan secara
berkala dan elakkan daripada
menggunakan kata laluan yang sama
(berulang).
• Sulitkan (encrypt) penghantaran
dokumen rasmi Kerajaan dengan
kata laluan.
1 | GUNAKAN
KATALALUAN
• Gunakan kata laluan yang kreatif
(gabungan huruf, nombor dan
simbol)
• Elakkan daripada mendedahkan kata
laluan kepada orang lain.
• Sentiasa tukar kata laluan secara
berkala dan elakkan daripada
menggunakan kata laluan yang sama
(berulang).
• Sulitkan (encrypt) penghantaran
dokumen rasmi Kerajaan dengan
kata laluan.
• Elakkan menghantar kata laluan
bersama-sama dengan dokumen
rasmi kerajaan.
1 | GUNAKAN
KATALALUAN

“The fundamental rule

of password cracking is
that the longer the
password, the longer is
takes to crack.”
 1 | GUNAKAN
KATALALUAN

61% syarikat
mempunyai lebih dari
500 akaun dengan
kata laluan yang tiada
tamat tempoh.
Sumber: Varonis
Aktiviti 3 | How https://www.security.org/how-secure-is-my-password/
Secure Is My
Password?
2 | KEMASKINI
PERISIAN
KESELAMATAN
• Lengkapkan komputer dan gajet
dengan perisian keselamatan
(seperti anti virus dan anti spyware)
terkini.
• Elakkan daripada menggunakan
perisian keselamatan yang telah
tamat tempoh.
• Gunakan perisian tulen.
3 | SIMPAN DAN
LINDUNGI MAKLUMAT
• Elakkan daripada memuat naik dokumen rasmi Kerajaan
dalam public cloud.
• Sentiasa imbas peranti storan sebelum menggunakannya.
• Sentiasa sediakan salinan pendua (back up) maklumat
digital secara berkala.
• Elakkan daripada meninggalkan komputer dan gajet tanpa
sebarang pengawasan.
• Putuskan sambungan Internet atau wi-fi sekiranya tidak
menggunakannya lagi.
• Pastikan meja kerja dikemas dan semua maklumat rasmi
(termasuk yang berada di dalam peranti storan) disimpan
di tempat yang selamat dan berkunci.
4 | ELAK
TERPEDAY
A

• Elakkan daripada terus

mempercayai kandungan
laman web, blog dan e-
mel yang diragui atau
daripada orang yang tidak
dikenali.
• Semak dan rujuk kepada
sumber-sumber yang
sahih.
4 | ELAK
TERPEDAY
A
“Wahai orang beriman, jika datang
kepada kamu orang yang fasik
membawa berita, maka periksalah
dengan teliti agar kamu tidak
menimpakan suatu musibah
kepada suatu kaum dengan tidak
mengetahui, maka jadilah kamu
menyesal atas perbuatanmu itu.”

Surah al-Hujurat, ayat 6

Tidak Pasti Jangan Kongsi
Sila ke alamat URL: https://sebenarnya.my
5 | BERETIKA
MENGGUNAKAN INTERNET
DAN MEDIA SOSIAL
• Pastikan alamat e-mel dan kata laluan rasmi tidak digunakan dalam akaun
peribadi media sosial.
• Keluar (log out) daripada akaun media sosial apabila tidak digunakan lagi.
• Elakkan daripada berkongsi maklumat peribadi dan maklumat berkaitan
tugas rasmi di Internet dan media sosial.
• Elakkan daripada memuat turun aplikasi yang tidak diketahui tahap
keselamatannya.
• Elakkan daripada menggunakan media sosial untuk tujuan peribadi semasa
waktu pejabat.
• Berhati-hati menggunakan media sosial untuk tujuan peribadi supaya tidak
mendedahkan sebarang maklumat rasmi.
• Elakkan daripada membuat sebarang komen mengenai isu-isu yang
melibatkan agensi/organisasi atau yang berbentuk serangan peribadi.
• Pastikan perkongsian dan penggunaan maklumat yang berkaitan dengan hak
cipta dan harta intelek telah mendapat kebenaran terlebih dahulu daripada
pihak yang berkenaan.
• Elakkan daripada menggunakan wi-fi umum yang tidak diketahui tahap
keselamatannya untuk melaksanakan kerja-kerja rasmi.
• Kenalpasti rakan media sosial anda.
6 | WASPADA
JENAYAH SIBER
• Jangan benarkan individu lain menggunakan identiti
dan kata laluan akaun e-mel dan media sosial anda.
• Elakkan daripada melayari laman web dan blog
yang berunsurkan lucah, fitnah, hasutan, skim cepat
kaya dan ideologi keganasan.
• Elakkan daripada menyebar kandungan yang
berunsur lucah, fitnah, hasutan, skim cepat kaya dan
ideologi keganasan.
• Jangan mudah terpedaya dengan tawaran atau
maklumat daripada individu yang tidak dikenali
yang menghubungi anda melalui e-mel atau media
sosial.
6 | WASPADA
JENAYAH SIBER
Facebook CEO, Mark Zuckerberg, has been observed in
a promotional photo for Instagram with his laptop in
the background sporting tape covering both the
camera and the microphone – the implication being
he doesn’t trust his own machine is secure from
cyberespionage.

If the CEO of one of the world’s technology innovators

can’t necessarily trust his own computer, what does
that mean for the rest of us?
7 | FIKIR
SEBELUM KLIK

• Jangan klik pada e-mel, pautan atau

lampiran yang mencurigakan
(termasuk dari orang yang tidak
dikenali).
Padamkan e-mel tersebut.
 7 | FIKIR
SEBELUM KLIK

Security is as much about software as it is

about awareness. It takes sophisticated coding
to develop ransomware, but only one click to
maybank2u.com.my
activate it. rnaybank2u.com.my

Rodney Gedda, Senior Analyst, Telsytekes

Aktiviti 4|
Klik dengan
bijak!
Okay, klik
https://www.klikdenganbijak.my
8 | LAPORKAN
• Laporkan sebarang insiden kebocoran
maklumat kepada pihak berkaitan.
• Laporkan dengan segera kehilangan
sebarang aset ICT kerajaan (seperti peranti
storan, komputer riba, komputer).
• Laporkan e-mel atau pautan yang
mencurigakan atau dari orang yang tidak
dikenali kepada Bahagian Teknologi
Maklumat.
• Laporkan kepada pihak berkuasa sekiranya
berlaku sebarang insiden jenayah siber
seperti penipuan Internet.
9 | AMBIL
TAHU

• Peka dengan trend ancaman siber

terkini.
• Peka, fahami dan waspada mengenai
kesan-kesan negatif akibat
penyalahgunaan Internet.
10 | PATUHI

• Ketahui dan patuhi polisi, arahan,

peraturan, garis panduan dan
pekeliling berkaitan keselamatan siber
yang dikeluarkan oleh agensi/
organisasi anda dan Kerajaan.
AKTIVITI DALAM KUMPULAN
Bincangkan dalam kumpulan anda serangan siber seperti yang
disenaraikan di bawah. Bentangkan perbincangan anda dalam
bentuk slaid powerpoint. Pembentangan anda perlu
mengandungi:
• Pengenalan kepada serangan
• Bagaimana penjenayah siber melakukan serangan?
• Langkah pencegahan untuk mengelakkan serangan.
• Cadangan penambahbaikan terhadap keselamatan siber
khusus kepada serangan tersebut.
• Kesan serangan kepada mangsa.

Serangan:
•Phishing
•Social Enginering
•Ransomware
•Brute force attack
•Email spoofing
•Cyber fraud
•Scamming
•Identity theft
Selamat
Menjawab Soalan
Exam
TERIMA KASIH