SHAH ALAM - Di sebalik beberapa insiden kebocoran data peribadi di negara ini, ia membongkar modus operandi sindiket apabila menjualnya secara haram di laman web tertutup (dark web) demi mengaut untung besar secara mudah.

Pakar keselamatan siber, Dr Suresh Ramasamy berkata, memang wujud kes data peribadi yang dibocorkan dijual secara terbuka di dark web berikutan tiada pengawasan dapat dilakukan secara berkesan untuk mencegahnya.

"Melihat kepada insiden kebocoran data yang banyak berlaku, tidak dinafikan terdapat data peribadi yang dibocorkan dijual secara terbuka di laman dark web.

"Nilai keuntu-ngan pula tidak menentu tetapi mampu mencecah hingga puluhan ribu ringgit menerusi bitcoin,” katanya kepada Sinar Premium.Suresh yang sebelum ini menjadi individu paling awal tampil mendedahkan insiden kebocoran data peribadi melibatkan Program Imunisasi Industri Covid-19 Kerjasama Awam-Swasta (Pikas) Kementerian Perdagangan Antarabangsa dan Industri (MITI) turut menjelaskan, data yang dibocorkan itu dijual di dark web melalui forum oleh seorang individu atau lebih.

"Data peribadi, informasi kenalan dan apa sahaja bentuk informasi sokongan yang boleh digunakan untuk melakukan penipuan boleh dijual untuk keuntungan.

"Terdapat juga pihak yang menjual perisian jenayah siber seperti perisian hasad (malware) dan perisian tebusan (ransomware) sebagai perkhidmatan di laman dark web.

"Ia boleh dijual terus kepada pembeli oleh kumpulan bertanggungjawab atau proksi yang mendapat bahagian daripada penjualan tersebut,” katanya.

Jelas beliau lagi, dalam sesetengah keadaan terdapat organisasi penyelidikan membeli data mereka sendiri untuk menguji sejauh mana kebocoran berlaku.

Tambahnya, selain aktiviti penjualan data peribadi, dark web juga menyaksikan aktiviti seperti pemintasan sekatan kandungan yang dikenakan oleh beberapa kerajaan, malah seseorang itu boleh mendapatkan ubat preskripsi, membuat perjanjian senjata dan dadah juga berlaku di beberapa forum underground.

TIADA REKOD

Malangnya, beliau berkata, tiada sebarang rekod atau senarai siapa pembeli dan ia hanya diketahui oleh pihak penjual.

Namun, menurut Suresh, dark web tidak semestinya hanya melibatkan aktiviti atau urus niaga ‘jahat’.

"Anda mungkin tidak menyangka tetapi ada juga forum di dark web yang membincangkan tentang pengekodan lanjutan dan lain-lain lagi, cuma umum sudah sinonim dengan perkara buruk di dark web,” ujarnya.Jelas Suresh yang berpengalaman selama 28 tahun dalam dunia keselamatan siber, adalah mustahil melakukan pemantauan terhadap aktiviti penjualan data peribadi di dark web melainkan mempunyai pasukan khas untuk tujuan tersebut.

"Hal ini disebabkan dark web adalah bersifat ketanpanamaan (anonymity). Dalam erti kata lain, hanya aktiviti diketahui tetapi bukan siapa yang melakukannya,” katanya lagi.

Bagaimanapun, jelas beliau, di beberapa negara luar seperti Amerika Syarikat (AS) dan Kesatuan Eropah (EU) menyaksikan aktiviti penjualan data peribadi serta lain-lain aktiviti mencurigakan di dark web dihentikan oleh agensi penguatkuasaan undang-undang.

Untuk rekod, dark web bersifat ‘halimunan’ dan sukar untuk ditembusi, melainkan mempunyai akses domain internet (onion address) yang digunakan laman web tanpa nama di dark web.

AGENSI KERAJAAN 'KEBAL'?

Akta Perlindungan Data Peribadi 2010 bertujuan memberi perlindungan kepada maklumat peribadi seseorang individu yang diproses untuk tujuan transaksi komersial.

Menurut akta tersebut sebarang data yang membolehkan seseorang individu yang masih hidup dikenalpasti adalah dilindungi di bawah Akta Perlindungan Data Peribadi.

Contoh termasuk nama dan alamat,nombor kad pengenalan, nombor pasport, maklumat kesihatan,alamat e-mel,gambar, imej dalam rakaman litar tertutup (CCTV) dan maklumat dalam fail peribadi.

Suresh berkata, walaupun Akta Perlindungan Data Peribadi mempertanggungjawabkan organisasi untuk kes kebocoran data namun masih banyak penambahbaikan yang perlu dilakukan oleh Jabatan Perlindungan Data Peribadi agar tampil lebih vokal apabila berlaku kebocoran data.

"Salah satu tiang utama Akta Perlindungan Data Peribadi adalah keselamatan siber di mana organisasi harus mengambil tanggungjawab sekiranya berlaku kebocoran data namun masih terdapat jurang dalam rangka kerja Malaysia di mana organisasi tidak dimandatkan untuk melaporkan kebocoran data.

"Ini mewujudkan kerahsiaan dan pengguna mungkin tidak tahu pun maklumat mereka sudah digodam atau hilang,” katanya lagi.