Ketegaran sistem - Mykad kalis serangan siber, penggodaman
By MOHD RIDZWAN MD IMAN
17th January 2002

KETIKA kebanyakan negara maju sedang mengkaji untuk menggunakan pasport atau kad pengenalan pintar dengan fungsi biometriks untuk meningkatkan keselamatan di lapangan terbang selepas peristiwa 11 September lalu, rakyat Malaysia tersenyum kerana kita sudah lama menggunakannya.

Malaysia telah menjadi negara pertama di dunia yang menggunakan kad pengenalan nasional dan pasport yang menggabungkan teknologi cip dan biometriks terkini yang meningkatkan keselamatan dan kesahihan pembawanya. MyKad dilancarkan pada 1 Ogos lepas, manakala, pasport pintar Malaysia diperkenal sejak 1998.

Biometriks merupakan kaedah pengesahan pembawa kad mengikut imej dalam bahagian dalam diri manusia yang unik seperti cap jari, mata, rupa bentuk wajah dan juga suara.

Kad pengenalan Malaysia yang dikenali sebagai kad Pintar Pelbagaiguna Kerajaan (KPPK) atau MyKad serta Pasport pintar Malaysia menggunakan rumusan peng-komputeran I.R.I.S (Sistem pengesahan dan pemaparan imej) ciptaan syarikat tempatan, IRIS Corporation Berhad.

Pengarah urusan IRIS Corporation, Tan Say Jim berkata, I.R.I.S merupakan rumusan yang menggunakan teknologi terkini dengan ciri-ciri keselamatan tegar yang diperlukan dalam menghadapi ancaman pemalsuan, penipuan, serangan siber dan penggodaman yang semakin meningkat dalam jenayah dokumen.

"Kita sudah lama mendahului negara-negara maju tersebut apabila memperkata-kan mengenai dokumen pengenalan diri berciri keselamatan tinggi,'' kata Tan dalam temu bual bersama Utusan, baru-baru ini.

Keghairahan Barat dalam menggunakan kad pengenalan berkeselamatan tinggi kini semakin ketara sehingga ada akhbar di Amerika Syarikat yang berpendapat yang peristiwa 11 September mungkin dapat dielakkan jika penumpang-penumpang kapal terbang yang dirampas itu menggunakan kad pintar biometriks.

Tan berkata, pendapat itu tidak semes-tinya benar kerana pembawa atau pemilik kad pengenalan diri atau pasport yang sah juga masih boleh menjadi perampas yang sukar dikenali jika mereka tidak mempunyai sebarang rekod buruk sebelum ini.

"Bagaimanapun, apa yang pasti kita me-ngetahui maklumat penumpang kapal terbang itu kerana kad pengenalan atau pasport pintar mempunyai gambar dan cap jari pembawanya,'' katanya.

MyKad kini menyimpan pelbagai maklumat peribadi pengguna seperti maklumat asas dalam kad pengenalan biasa, lesen memandu, maklumat passport, wang tunai elektronik (e-tunai), maklumat kesihatan, prasarana kekunci awam (PKI) untuk sijil digital dan Touch 'n Go.

Ia juga dirancang untuk diperluaskan kepada aplikasi-aplikasi lain seperti kad mesin autoteller (ATM), kad kredit, kad keahlian dan lain-lain di masa depan

MyKad yang mempunyai cip dengan storan 32 kilobait menyimpan pelbagai aplikasi termasuk data biometriks iaitu gambar berwarna dan cap jari di dalam cipnya. Berbeza dengan kad pengenalan biasa, imej cap jari tidak diletakkan pada luar kad dan hanya boleh dibaca dengan pembaca kad khas kerana ia berada di dalam cip.

Menurut pakar keselamatan, kaedah memasukkan nombor pengguna atau kata laluan untuk membuat urusan masih kurang selamat kerana pakar atau komputer berkuasa mampu menjangkakan nombor tersebut dengan formula tertentu.

Jikapun, sesuatu sistem mampu mengim-bas jari atau mana-mana bahagian pengguna, teknologi yang digunakan adalah berasaskan formula matematik dan ia akan menukar imej yang diperolehinya kepada satu nombor yang panjang untuk disimpan bagi perbandingan.

Menurut pakar biometriks, apabila ini berlaku, nombor-nombor ini tidak mampu ditukarkan kembali menjadi imej bagi cap jari atau mana-mana anggota unik itu.

Menyentuh mengenai tahap keselamatan maklumat pengguna di dalam kad, Tan berkata, IRIS mereka bentuk senibina kad tersebut dari peringkat awal seperti sistem operasi OS) di dalam cip, perisian aplikasinya, terminal pembaca dan pusat pengeluaran kad itu sendiri.

Kad tersebut menggunakan teknologi pemampatan dan enkripsi yang hanya boleh dibaca melalui terminal, senibina multisilikon, teknologi biometriks dan sistem keselamatan mengikut standard teknologi kad pintar terkini.

Ia juga mempunyai sistem kawalan akses iaitu hanya membenarkan akses mengikut persetujuan pengguna untuk aplikasi-aplikasi yang terdapat dalam kad seperti maklumat pengenalan diri, maklumat kesihatan, lesen memandu, kad tunai, kad pengangkutan dan sistem transaksi pengesahan kewangan.

"Bagi menyukarkan lagi pencerobohan atau ketidaksahihan ketika melakukan transaksi tunai di Internet, Mykad turut mempunyai bahagian prasarana kekunci awam (PKI) yang menjalankan pengesahan diri bagi persekitaran digital,'' kata Tan.

Aplikasi Prasarana Kekunci Awam akan memasukkan Sijil Digital pemiliknya ke dalam MyKad yang boleh dilakukan dengan mendaftar kepada Badan Pengesahan dilantik kerajaan seperti MSC Trustgate. Sdn. Bhd. atau Digicert Sdn. Bhd.

Tan berkata, teknologi I.R.I.S membahagi-bahagikan aplikasi di dalam kad yang hanya boleh diakses jika mendapat kebenaran pengguna dan mempunyai kunci akses.

"Ia ibarat seperti rumah-rumah di dalam satu kawasan yang hanya boleh diakses oleh pemilik rumah yang mempunyai kunci rumah itu sahaja,'' katanya.

Teknologi I.R.I.S yang patennya didaftar di Amerika Syarikat juga turut diiktiraf oleh Proton World International, syarikat pengeluar kad pintar berkeselamatan tinggi terkenal dunia.

Mengulas lanjut mengenai teknologi di dalam kad tersebut, Tan berkata, IRIS telah membangunkan dua jenis sistem operasi (OS) khusus untuk cip kad pintar yang dikenali sebagai I-COS dan M-COS.

I-COS merupakan OS yang aplikasi berbentuk pengurusan seperti maklumat diri pembawa, pendaftaran, penguatkuasaan dan sebagainya. Ia boleh mengendalikan pelbagai aplikasi dan menguruskan perbezaan setiap aplikasi. M-COS pula mampu memasukkan ciri-ciri kelas ke dalam aplikasi ke dalam satu platform di dalam satu cip.

Kombinasi I-COS dan M-COS, IRIS mampu menawarkan kad pintar berasaskan mikropemproses bagi mengendalikan sebarang aplikasi dalam satu kad. Kedua-dua OS ini walaupun berkonsep terbuka tetapi mempunyai ciri-ciri yang maklumat di dalam kad dilindungi dan hanya boleh diakses dengan kebenaran dan pihak tertentu.

Ketua Pengarah, Jabatan Pendaftaran Negara, Datuk Azizan Ayob berkata, maklumat-maklumat di dalam kad hanya boleh diakses oleh agensi yang dibenarkan seperti Pusat Perkhidmatan Kerajaan (GSC) yang terletak di jabatan-jabatan kerajaan.

Maklumat-maklumat mengenai pembawa juga disimpan di dalam sistem pangkalan data jabatan masing-masing seperti maklumat lesen memandu di Jabatan Pengangkutan Jalan dan maklumat pasport di Jabatan Imigresen, katanya.

Kesimpulannya, kad pengenalan dan pasport pintar yang diperkenalkan Malaysia itu sememangnya telah mengambil pelbagai faktor keselamatan dalam pembuatannya sama ada dari segi fizikalnya atau sistem di dalamnya dan tiada sebab kita perlu mempertikaikan tahap kebolehpercayaannya semata-mata ia merupakan produk buatan tempatan.