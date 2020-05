By

PETALING JAYA: Seorang pakar keselamatan siber tidak yakin dengan jaminan Suruhanjaya Komunikasi dan Multimedia Malaysia (SKMM) dalam penggunaan aplikasi untuk membantu Putrajaya menguruskan perjalanan “balik kampung” rentas negeri kerana bimbang kemungkinan berlakunya pelanggaran privasi data.

SKMM mewujudkan aplikasi Gerak Malaysia untuk bekerjasama dengan polis bagi memudahkan pergerakan orang ramai di bawah Perintah Kawalan Pergerakan Bersyarat (PKPB) dengan melonggarkan sekatan pergerakan akibat Covid-19 seluruh negara.

SKMM menggalakkan rakyat Malaysia memuat turun aplikasi tersebut, mengatakan ia akan membantu dalam usaha mengesan kontak dalam memerangi Covid-19.

Namun seorang pakar IT yang terlibat dalam menguji keselamatan aplikasi untuk jenama e-dagang tempatan utama, berkata belum ada “petunjuk jelas” mengenai ujian keselamatan menyeluruh yang dilakukan pada aplikasi itu sebelum ia dilancarkan.

“Tidak ada perincian mengenai bagaimana ujian itu dilakukan, atau siapa yang mereka tetapkan untuk melakukannya,” kata pakar itu kepada FMT yang enggan mendedahkan nama kerana faktor pekerjaan.

Beliau berkata menjadi kebiasaan bagi pembangun aplikasi menerapkan prosedur yang ketat untuk menguji kesilapan kecil dalam aplikasi mudah alih sebelum ia boleh diakses oleh orang ramai.

Terdapat kebimbangan di media sosial mengenai jumlah data yang dikumpulkan aplikasi itu, yang mendorong SKMM meyakinkan orang ramai bahawa semua butiran peribadi akan dihapuskan dalam tempoh 6 bulan selepas tamatnya Perintah Kawalan Pergerakan (PKP).

Fasa 4 PKP tamat pada 12 Mei.

Namun pakar itu berkata tanpa perincian ujian, aplikasi tersebut dapat menjadi “bom masa” kebocoran data.

“Terdapat kebocoran data sebelum ini, dan saya bimbang mungkin ada yang lain di masa depan disebabkan ini.”

Kebocoran data peribadi pengguna telefon bimbit secara besar-besaran pada 2014, hanya diketahui 4 tahun kemudian, menyebabkan tindakan SPRM terhadap kontraktor.

Pembangun perisian, Khairil Yusof, yang kini menerajui Sinar Project, organisasi yang mempromosikan hak digital dan ketelusan kerajaan berkata jenis akses data yang diperlukan aplikasi itu “terlalu luas”.

Pengguna yang memuat turun aplikasi diminta kebenaran untuk mengakses kamera telefon, lokasi GPS dan storage telefon.

Aplikasi ini juga meminta izin untuk menjalankan perkhidmatan foreground, menarik aplikasi lain, menghalang pengguna telefon tidur, menerima data dari internet dan berpasangan dengan peranti Bluetooth, antara lain.

Khairil berkata, walaupun kebenaran ini normal untuk aplikasi mudah alih, kebimbangan privasi terhadap Gerak Malaysia diperkuat kerana Akta Perlindungan Data Peribadi 2012 tidak terpakai untuk kerajaan.

“Kerajaan memiliki kuasa untuk menguatkuasa dan pengawasan yang tidak dimiliki pembangun aplikasi mudah alih lain,” kata Khairil kepada FMT.

Beliau berkata bukan perkara biasa bagi kerajaan menyimpan maklumat mengenai warganya seperti status kesihatan, alamat dan pendapatan mereka, dengan mengendalikan perkongsian data antara agensi kerajaan.

“Ini normal, agar kerajaan dapat merancang dan menyediakan perkhidmatan awam yang efektif.

“Tetapi di mana anda makan, ke mana anda pergi, siapa yang anda temui, bila anda bangun, apa yang anda beli, di mana anda tinggal, foto yang anda ambil, siapa rakan anda – ini tidak dikumpulkan,” katanya.

Beliau berkata inilah “akses kepada aktiviti peribadi setiap hari” dan risiko “pengawasan penuh” yang mencetuskan kebimbangan mengenai Gerak Malaysia.

Khairil juga berkata menjadi perhatian utama adalah penyimpanan data di server pusat.

“Ini secara signifikan meningkatkan risiko kebocoran data berskala besar. Orang ramai diberi sedikit jika ada perincian teknikal mengenai langkah-langkah apa yang dilakukan untuk mengurangkan risiko.”

Tetapi pakar lain tidak setuju, mengatakan aplikasi itu tidak berbeza dengan aplikasi mudah alih lain yang biasa digunakan.

Tiada beza dengan aplikasi popular

SL Rajesh, yang mengetuai jabatan forensik komputer International Association for Counterterrorism and Security Professionals Centre for Security Studies berkata data lokasi yang diperlukan oleh aplikasi itu tidak menjadi masalah.

“Waze mempunyai lokasi kita, GoogleMaps mempunyai lokasi kita. Banyak aplikasi lain juga mempunyai lokasi kita. Saya tidak melihat sebarang ancaman,” katanya.

Tetapi Rajest bersetuju audit penuh diperlukan untuk mengkaji secara sistematik kebimbangan mengenai keselamatan.

Beliau berkata akses ke mesej dan storage juga biasa dilakukan aplikasi lain yang dibuat untuk iPhone dan telefon Android.

“Orang ramai tidak perlu bimbang tentang apakah kerajaan akan mengesan kita atau tidak. Ini hanya memberi mereka akses untuk mengendalikan aplikasi dengan alasan apa pun mereka menerbitkan aplikasi ini.

“Sekiranya orang merasa ini buruk, atau kerajaan dapat mengesan kita, mereka boleh menyahpasang aplikasinya. Sekiranya anda menyahpasang, kerajaan tidak mempunyai akses.”