Apa penyebab utama terjadinya pelanggaran data?

Q: Apa penyebab utama terjadinya pelanggaran data?

Apa penyebab utama terjadinya pelanggaran data berpunca daripada elemen manusia yang menyumbang 74% kes melalui kesilapan penghantaran data sensitif kepada penerima salah. Kegagalan sistem perlindungan maklumat membawa denda maksimum 1 juta MYR di bawah Akta Perlindungan Data Peribadi 2010 bagi menangani isu kecuaian perniagaan. Pindaan berkuat kuasa pada 2024 serta 2025 menguatkuasakan tindakan undang-undang tegas terhadap kecuaian pengurusan pangkalan data syarikat bagi melindungi privasi pelanggan Malaysia.

1 bulan yang lalu 85 tontonan

Apa penyebab utama terjadinya pelanggaran data berpunca daripada elemen manusia yang menyumbang 74% kes melalui kesilapan penghantaran data sensitif kepada penerima salah. Kegagalan sistem perlindungan maklumat membawa denda maksimum 1 juta MYR di bawah Akta Perlindungan Data Peribadi 2010 bagi menangani isu kecuaian perniagaan. Pindaan berkuat kuasa pada 2024 serta 2025 menguatkuasakan tindakan undang-undang tegas terhadap kecuaian pengurusan pangkalan data syarikat bagi melindungi privasi pelanggan Malaysia.

Maklum Balas 0 suka

Anda mungkin ingin bertanya?Lebih banyak

apa penyebab utama terjadinya pelanggaran data: 74% manusia

Memahami apa penyebab utama terjadinya pelanggaran data penting bagi melindungi privasi pengguna dan reputasi organisasi. Kecuaian kecil mengakibatkan kebocoran maklumat sensitif yang merugikan banyak pihak. Kesedaran terhadap risiko siber membantu individu serta syarikat mengelakkan kerugian kewangan besar. Pelajari faktor penyumbang risiko untuk memperkukuh sistem pertahanan keselamatan anda sekarang.

Memahami Faktor di Sebalik Kebocoran Maklumat Digital

Punca utama pelanggaran data sering kali melibatkan gabungan antara kelemahan teknikal sistem dan faktor psikologi manusia yang mudah dimanipulasi. Secara ringkasnya, isu ini boleh berpunca daripada kredensial yang lemah, serangan phishing, kesilapan konfigurasi peranti, atau kecuaian pekerja sendiri. Ada banyak faktor yang menyumbang kepada masalah ini, namun corak yang paling ketara adalah bagaimana penyerang mengeksploitasi titik paling lemah dalam mana-mana organisasi: iaitu orang yang mengendalikan data tersebut.

Kebocoran maklumat bukan sekadar isu teknikal yang boleh diselesaikan dengan membeli perisian antivirus paling mahal. Ia adalah masalah ekosistem. Walaupun syarikat melabur jutaan ringgit dalam tembok api (firewall), satu kesilapan kecil oleh seorang pekerja sudah cukup untuk meruntuhkan segalanya. Sering kali, kita lebih fokus pada hacker yang memakai hoodie dalam gelap, padahal punca sebenarnya mungkin adalah kata laluan yang tidak pernah ditukar selama tiga tahun.

Kredensial yang Dicuri dan Serangan Phishing

Kredensial atau maklumat log masuk yang dicuri menjadi punca dalam 22% serangan siber di seluruh dunia pada tahun 2025 (berdasarkan laporan terkini). Penyerang tidak perlu menggodam masuk jika mereka mempunyai kunci pintu utama. Maklumat ini biasanya diperolehi melalui pasaran gelap atau serangan brute force ke atas akaun yang menggunakan kata laluan mudah diteka seperti tarikh lahir atau nama haiwan peliharaan. ^[1]

Saya pernah melihat sendiri bagaimana seorang pengurus senior kehilangan akses ke seluruh pangkalan data syarikat hanya kerana dia menggunakan kata laluan yang sama untuk akaun LinkedIn dan akaun pentadbir pejabat. Apabila LinkedIn mengalami kebocoran maklumat kecil, akaun pejabatnya turut terdedah. Ini adalah pengajaran pahit tentang kepentingan pengasingan akaun digital. Kita sering menganggap diri kita terlalu kecil untuk disasarkan, tetapi peretas tidak memilih mangsa - mereka memilih kelemahan.

Ancaman Phishing yang Semakin Licik

Phishing kekal sebagai kaedah paling berkesan untuk memulakan pelanggaran data, dengan kadar penglibatan dalam kira-kira 36% insiden keselamatan siber global. ^[2] Teknik ini telah berevolusi daripada emel Putera Nigeria yang lama kepada mesej yang sangat peribadi dan meyakinkan, sering kali menyamar sebagai jabatan kewangan syarikat atau platform perbankan rasmi. Penggunaan kecerdasan buatan (AI) kini membolehkan penyerang menghasilkan emel yang bebas daripada kesalahan tatabahasa, menjadikannya hampir mustahil untuk dibezakan oleh mata kasar.

Kesalahan Manusia: Titik Lemah Paling Kritikal

Elemen manusia menyumbang kepada kira-kira 74% daripada semua insiden yang menjelaskan apa penyebab utama terjadinya pelanggaran data yang direkodkan baru-baru ini.^[3] Ini termasuk kesilapan seperti menghantar data sensitif kepada penerima yang salah, memuat turun lampiran berbahaya, atau membiarkan komputer tanpa pengawasan di tempat awam.

Satu lagi bentuk kesalahan manusia yang kritikal adalah salah konfigurasi pelayan awan (cloud server). Bayangkan membina peti besi gergasi tetapi terlupa untuk mengunci pintunya - itulah analogi terbaik untuk pelayan yang dibiarkan terbuka tanpa kata laluan. Isu ini biasanya berlaku apabila pasukan teknikal mengejar masa untuk melancarkan aplikasi baharu tanpa melakukan audit keselamatan yang menyeluruh terlebih dahulu. Pelik tapi benar, pangkalan data gergasi sering terdedah hanya kerana satu checkbox keselamatan tidak ditanda.

Nampaknya ramai yang menyangka peretas itu genius, tetapi sebenarnya mereka hanya sabar menunggu kita melakukan kesilapan bodoh. Kesilapan kecil, impak besar. Jarang kita dapati sebuah syarikat yang benar-benar kebal daripada serangan ini jika mereka tidak melatih kakitangan tentang kesedaran siber secara berkala.

Perisian Lapuk dan Kerentanan Sistem

Mengabaikan kemas kini perisian adalah seperti membiarkan tingkap rumah rosak semasa musim rompakan tinggi. Perisian yang tidak dikemas kini (unpatched software) memberikan peluang kepada penyerang untuk mengeksploitasi kerentanan yang sudah diketahui umum. Apabila pembangun mengeluarkan patch, mereka sebenarnya memberitahu dunia bahawa ada lubang pada versi lama. Jika anda tidak mengemas kininya dalam masa 24 hingga 48 jam, anda sedang mengundang bahaya.

Purata kos untuk memulihkan satu kes pelanggaran data global ialah kira-kira 4.44 juta USD pada tahun 2025. Kos ini merangkumi denda undang-undang, kos penyiasatan forensik, dan kehilangan kepercayaan pelanggan. Perbandingan kos antara melabur dalam penyelenggaraan sistem dan membayar pampasan selepas kejadian adalah sangat jauh berbeza. Melabur sedikit sekarang untuk mengemas kini sistem adalah tindakan yang jauh lebih bijak daripada menanggung kerugian jutaan ringgit kemudian hari. ^[4]

Ancaman Dalaman: Musuh dalam Selimut

Ancaman dalaman (insider threats) - dan ini adalah bahagian yang paling sukar untuk diterima oleh pemilik perniagaan - sering kali lebih merosakkan daripada serangan luar. Ini melibatkan pekerja atau bekas pekerja yang mempunyai akses sah ke dalam sistem. Motivasi mereka mungkin berbeza, daripada niat jahat untuk membalas dendam sehinggalah kepada keinginan untuk mengaut keuntungan dengan menjual data pelanggan kepada pesaing.

Sistem yang canggih tetap boleh tumbang jika individu yang memegang kunci utama berpaling tadah. Pemantauan aktiviti akaun yang mempunyai akses tinggi adalah kritikal. Tanpa pemantauan yang ketat (dan ini mengambil masa berbulan-bulan untuk dikesan dalam kebanyakan kes), seorang pekerja boleh menyalin ribuan rekod pelanggan ke dalam pemacu USB tanpa disedari oleh sesiapa. Kawalan akses yang ketat mengikut prinsip keperluan sahaja adalah pertahanan terbaik di sini.

Kesan Akta Perlindungan Data Peribadi (PDPA) di Malaysia

Di Malaysia, pelanggaran data bukan lagi sekadar masalah dalaman syarikat, tetapi ia melibatkan implikasi undang-undang yang serius di bawah Akta Perlindungan Data Peribadi 2010 (PDPA). Pindaan terbaharu yang dikuatkuasakan pada tahun 2024 dan 2025 telah meningkatkan denda maksimum kepada 1 juta MYR bagi syarikat yang gagal melindungi data peribadi pengguna mereka. ^[5] Ini bermakna kecuaian dalam menjaga pangkalan data pelanggan boleh menyebabkan kebankrapan bagi perniagaan kecil.

Selain denda kewangan, syarikat kini diwajibkan untuk melaporkan sebarang insiden kebocoran data kepada Pesuruhjaya Perlindungan Data Peribadi dalam tempoh masa yang ditetapkan. Langkah ini diambil untuk memastikan ketelusan dan membolehkan pengguna mengambil langkah berjaga-jaga seperti menukar kata laluan bank atau membatalkan kad kredit dengan segera. Jangan tunggu sehingga surat mahkamah sampai ke pintu pejabat anda sebelum mula mengambil berat tentang enkripsi data.

Ancaman Luaran vs Ancaman Dalaman

Memahami perbezaan antara punca serangan membantu organisasi memperuntukkan sumber keselamatan siber dengan lebih efektif.

Ancaman Luaran (Hacker/Phishing)

Phishing, malware, serangan brute-force, dan eksploitasi perisian
Kumpulan jenayah siber, penggodam bebas, atau ejen asing
Sangat tinggi dan berlaku secara automatik menggunakan bot
Kredit kad, data identiti untuk dijual semula, atau tebusan (ransomware)

Ancaman Dalaman (Pekerja/Bekas Pekerja) ⭐

Penyalahgunaan kuasa akses, kecurian fizikal, atau sabotaj sistem
Individu yang mempunyai akses sah ke dalam rangkaian syarikat
Kurang kerap tetapi impak setiap kejadian biasanya jauh lebih besar
Rahsia perdagangan, data pelanggan, atau kod sumber aplikasi

Walaupun serangan luar lebih kerap berlaku, ancaman dalaman sering kali lebih sukar dikesan kerana pelaku sudah berada di dalam sistem. Strategi keselamatan terbaik mestilah merangkumi perlindungan perimeter (luar) dan kawalan akses yang ketat (dalaman).

Pengajaran daripada Syarikat Teknologi di Kuala Lumpur

Zul, pengasas sebuah syarikat permulaan (startup) di Selangor, mendapati sistem e-dagangnya lembap pada Mac 2026. Dia pada mulanya menyangka ia hanyalah masalah trafik tinggi yang biasa, namun realitinya jauh lebih buruk.

Pemeriksaan lanjut mendedahkan bahawa seorang bekas pembangun web masih mempunyai akses 'backdoor' ke pelayan utama. Zul terlupa membatalkan akses akaun tersebut selepas pembangun itu berhenti kerja sebulan sebelumnya.

Hampir 5.000 rekod pelanggan telah dimuat turun dan dijual di forum gelap. Zul menyedari bahawa prosedur berhenti kerja syarikatnya sangat lemah dan tidak mempunyai senarai semak teknikal yang standard.

Hasilnya, Zul terpaksa membayar denda dan kos pemulihan imej mencecah 150.000 MYR. Kini, dia mengamalkan dasar sifar toleransi terhadap akses kekal dan mewajibkan penukaran kunci API setiap kali ada perubahan kakitangan.

Manual Tindakan

Aktifkan Pengesahan Dwi-Faktor (2FA)

Langkah ini boleh menghalang sehingga 99% serangan automatik yang menggunakan kredensial yang dicuri, menjadikannya lapisan pertahanan paling kritikal.

Latih Kakitangan Secara Berkala

Kesedaran siber bukan acara sekali sekala; latihan berterusan mengurangkan risiko kesilapan manusia yang menyumbang kepada 74% pelanggaran data.

Kemas Kini Sistem Segera

Jangan tangguh kemas kini perisian kerana kelewatan 24 jam sudah cukup untuk peretas mengeksploitasi kerentanan yang baru ditemui.

Hadkan Kuasa Akses

Gunakan prinsip akses minimum (least privilege) supaya sekiranya satu akaun diceroboh, impak kebocoran dapat dikecilkan kepada satu bahagian sahaja.

Perkara Penting Untuk Diingat

Adakah menukar kata laluan setiap bulan benar-benar membantu?

Ya, tetapi kualiti kata laluan lebih penting daripada kekerapan penukaran. Gunakan frasa laluan yang panjang dan unik bagi setiap akaun untuk mengurangkan risiko serangan brute-force.

Sekiranya anda ingin tahu lebih lanjut, sila baca tentang apa penyebab terjadinya kebocoran data? yang sering berlaku masa kini.

Bagaimana saya tahu jika data saya telah dibocorkan?

Anda boleh menggunakan perkhidmatan semakan keselamatan yang memantau alamat emel anda di pangkalan data kebocoran yang diketahui. Selain itu, perhatikan sebarang aktiviti log masuk yang mencurigakan atau emel tetapan semula kata laluan yang tidak diminta.

Bolehkah perisian antivirus menghalang semua jenis pelanggaran data?

Tidak. Antivirus hanya sebahagian daripada pertahanan. Ia tidak dapat menghalang kesalahan manusia seperti pekerja yang secara sukarela memberikan kata laluan dalam serangan phishing yang meyakinkan.