Pakar keselamatan siber memberi amaran bahawa langkah menyerahkan data dokumen pengenalan diri (ID) kepada platform media sosial bagi tujuan semakan elektronik kenali-pelanggan (eKYC) boleh meningkatkan risiko maklumat tersebut disalah guna untuk tujuan pemantauan.

Profesor dari Universiti Sains Malaysia, Selvakumar Manickam, berkata penggunaan eKYC boleh menghapuskan anonimitI dalam talian dan membolehkan pihak berkuasa atau individu tidak bertanggungjawab menjejak komen serta hantaran melalui nombor MyKad seseorang.

“Pengguna mungkin mula berhati-hati atau menapis apa yang mereka tulis kerana takut identiti mereka diketahui. Perkongsian data antara agensi juga boleh menjadi sistem pemantauan yang luas dan sukar dielak atau dicabar,” kata pengarah Pusat Penyelidikan Keselamatan Siber USM itu.

Pada Ahad (23 Nov), Menteri Komunikasi Fahmi Fadzil berkata rakyat Malaysia berusia bawah 16 tahun tidak akan dibenarkan mendaftar akaun media sosial mulai tahun depan sebagai sebahagian usaha kerajaan meningkatkan keselamatan dalam talian untuk kanak-kanak.

The Star yang memetik Fahmi melaporkan platform media sosial dijangka bersedia melaksanakan eKYC menjelang tahun depan.

Kabinet menaikkan had umur minimum penggunaan media sosial daripada 13 kepada 16, yang memerlukan platform mengesahkan umur pengguna melalui dokumen rasmi seperti MyKad, pasport atau MyDigital ID menggunakan eKYC.

eKYC ialah proses pengesahan identiti digital yang biasanya menggunakan teknologi biometrik untuk mengesahkan seseorang individu berdasarkan ciri fizikal unik seperti cap jari, ciri wajah, corak suara atau imbasan iris.

Mengulas potensi penyalahgunaan data untuk tujuan pemantauan, pengasas Digital Ihsan, Aaron Ikram Mokhtar berkata risikonya meningkat di negara yang mempunyai perlindungan undang-undang lemah atau pengawasan terhad.

“Mana-mana simpanan dokumen identiti dan data wajah boleh digunakan semula, sama ada secara sengaja atau dipaksa oleh undang-undang, untuk tujuan pemantauan: memadankan wajah dengan akaun, menjejak pergerakan pengguna, atau mengenal pasti penunjuk perasaan dan pengkritik,” katanya.

Profesor dari Universiti Malaya, Ainuddin Wahid Abdul Wahab pula memberi amaran bahawa langkah ini mungkin bukan sahaja mengurangkan penyalahgunaan, tetapi turut mengekang kebebasan bersuara tanpa peraturan yang jelas untuk mencegah salah guna.

Pensyarah Fakulti Sains Komputer dan Teknologi Maklumat UM itu berkata, mekanisme perlindungan mesti memastikan sistem mengehadkan penggunaan data kepada tujuan asal sahaja, selain mencadangkan rekod akses yang kukuh dan diaudit secara bebas.

Dia menambah penalti mesti dikenakan sekiranya data eKYC digunakan melepasi tujuan keselamatan.

Sementara itu, Aaron turut menyuarakan kebimbangan bahawa mana-mana pangkalan data berpusat yang menggabungkan butiran ID dengan maklumat biometrik akan menjadi sasaran mudah bagi penjenayah.

Tidak seperti kebocoran data biasa, Ainuddin menjelaskan bahawa kebocoran data biometrik boleh membawa kesan kekal.

“Jika platform media sosial mengumpulkan eKYC secara besar-besaran, satu kebocoran sahaja boleh mendedahkan berjuta-juta ID kerajaan dan biometrik wajah.

“Ini meningkatkan impak daripada sekadar gangguan (spam) kepada bahaya seumur hidup seperti pencurian identiti, doxxing, dan pemantauan bersasar,” katanya.

Selvakumar turut menegaskan bahawa kecurian identiti boleh menyebabkan penjenayah menggunakan data tersebut untuk membuat pinjaman atau mendaftar akaun keldai menggunakan nama orang lain.

Walaupun platform media sosial melabur dalam keselamatan dan mempunyai pasukan pakar, Ainuddin berkata sistem mereka direka untuk pengumpulan data berskala besar serta perkongsian antara aplikasi, vendor dan wilayah.

Dia mengumpamakan situasi tersebut seperti lapangan terbang yang sibuk: “Langkah keselamatan mungkin kukuh, namun banyak pintu dan kakitangan meningkatkan risiko kesilapan.

“Pelbagai titik akses dalaman dan integrasi pihak ketiga boleh menjadi titik lemah jika tidak dikawal ketat," katanya.

Kebimbangan mengenai kebocoran data semakin meningkat di Malaysia, dengan beberapa insiden serius melibatkan maklumat ID berlaku dalam beberapa tahun kebelakangan ini.

Pada Disember tahun lalu, syarikat risikan StealthMole melaporkan bahawa 17 juta rekod MyKad didakwa sedang dijual di web gelap.

Sesetengah pengguna media sosial berkata imej yang dikongsi StealthMole — yang kelihatan seperti gambar bahagian depan MyKad — menunjukkan kebocoran itu mungkin melibatkan data eKYC.

Pada Februari tahun sama, satu kumpulan penggodam antarabangsa mendakwa mereka berjaya memperoleh sejumlah besar data daripada Lembaga Penduduk dan Pembangunan Keluarga Negara.

Mengulas kebimbangan bahawa insiden sebegini boleh berulang, Selvakumar berkata syarikat media sosial pada asasnya adalah perniagaan pengiklanan yang dibina untuk penglibatan pengguna, bukan keselamatan.

Dia juga memberi amaran mengenai potensi “scope creep”, iaitu syarikat boleh memperluaskan penggunaan data eKYC ke dalam bidang seperti pengiklanan politik atau pemantauan tanpa mendapat persetujuan sewajarnya.

Sebaliknya, para pakar mencadangkan langkah alternatif untuk melindungi kanak-kanak daripada risiko dalam talian.

Aaron mencadangkan kaedah pengesahan oleh ibu bapa atau penjaga sebagai pilihan terbaik.

“Ibu bapa log masuk menggunakan eKYC, kemudian pautkan akaun anak. Selepas itu ibu bapa meluluskan akses anak.

“Dengan cara ini, data anak tidak dikumpul dan ia berfungsi walaupun anak tiada ID sendiri. Ibu bapa juga terlibat dan sedar platform mana yang anak gunakan,” jelasnya.

Ainuddin turut menyokong pendekatan yang dipanggilnya sebagai “bukti umur sahaja”.

Dia berkata sesetengah pendekatan di Kesatuan Eropah dan United Kingdom menggunakan token pengesahan umur pihak ketiga, yang membolehkan platform mengelakkan penyimpanan imbasan kad identiti.

Selvakumar pula berkata kerajaan sepatutnya menumpukan kepada mekanisme yang kurang invasif sebelum mewajibkan muat naik ID penuh.

“Sehingga wujud jaminan teknikal dan undang-undang yang benar-benar kukuh, penyimpanan ID secara berpusat harus dilakukan dengan penuh berhati-hati,” katanya.