Syarat Ujian Penembusan dan SOC di Bawah Dasar RMiT Bank Negara
RMiT meletakkan jangkaan khusus terhadap ujian penembusan, pemantauan keselamatan dan keupayaan respons insiden bagi institusi kewangan. Artikel ini menerangkan kekerapan ujian yang dijangka, keperluan SOC 24/7, retention log, peranan pembekal berakreditasi CREST/lesen NACSA serta hubungan dengan MaCERT untuk pelaporan insiden. Maklumat ini berasaskan amalan industri dan panduan awam — institusi disyorkan untuk mengesahkan butiran dengan penyelia BNM mereka.
Kekerapan ujian penembusan yang dijangka
Berdasarkan panduan rasmi dan amalan industri Malaysia, institusi kewangan dijangka menjalankan ujian penembusan sekurang-kurangnya tahunan ke atas sistem yang menghadap internet dan sistem kritikal. Ujian tambahan biasanya diperlukan selepas perubahan besar — contohnya pelancaran aplikasi mobile banking baharu, migrasi ke awan, atau penambahan integrasi pihak ketiga.
Ujian penembusan bukan sekadar pengimbasan automatik; ia melibatkan eksploitasi manual oleh penguji bertauliah yang mensimulasikan teknik penyerang sebenar. Skop ujian, kaedah dan kelayakan penguji perlu didokumentasikan dan diluluskan oleh fungsi keselamatan dalaman.
- Ujian tahunan untuk aplikasi web banking dan mobile
- Ujian API dan kerentanan logik perniagaan
- Ujian rangkaian dalaman dan luaran
- Ujian khusus untuk integrasi vendor baharu
- Red team intelligence-led bagi institusi berkapasiti tinggi
Keperluan SOC 24/7 dan pemantauan
RMiT menjangkakan institusi mempunyai keupayaan pemantauan keselamatan yang aktif. Bagi kebanyakan bank dan institusi besar, ini bermaksud SOC 24/7 dengan analis berfungsi (in-house, outsourced, atau hybrid). SOC perlu menerima telemetri dari titik kritikal: endpoint (EDR), rangkaian, log aplikasi, IAM dan sistem awan.
Use case detection perlu dipetakan kepada ancaman yang relevan dengan sektor kewangan: penipuan transaksi, pengambilalihan akaun, pemindahan data, dan tanda-tanda awal serangan ransomware. Metrik MTTD (Mean Time to Detect) dan MTTR (Mean Time to Respond) perlu dijejaki dan dilaporkan kepada JK Risiko.
Retention log dan keperluan forensik
Log keselamatan adalah aset penting bagi penyiasatan insiden dan audit pematuhan. Walaupun tempoh khusus mungkin berbeza, amalan industri di sektor kewangan Malaysia ialah retention log sekurang-kurangnya 12 bulan atas talian dan tempoh lebih panjang di arkib (cold storage).
Log mestilah dilindungi daripada pengubahsuaian (tamper-evident), disimpan secara berpusat dan boleh dicari dengan cepat semasa insiden. Banyak institusi menggunakan SIEM atau platform observability moden untuk tujuan ini.
Peranan pembekal berakreditasi CREST dan berlesen NACSA
Pemilihan pembekal ujian dan SOC adalah keputusan due diligence yang penting. CREST (Council of Registered Ethical Security Testers) ialah akreditasi antarabangsa yang menyediakan jaminan kualiti penguji.
Selain itu, di bawah rangka kerja NACSA (Akta Keselamatan Siber 2024), pembekal perkhidmatan keselamatan siber tertentu di Malaysia mungkin perlu memperoleh lesen. Institusi kewangan disyorkan memilih pembekal yang mempunyai akreditasi/lesen yang relevan dan rekod prestasi dalam sektor kewangan.
Nota penting: Maklumat dalam artikel ini bersifat panduan umum. Organisasi disyorkan untuk merujuk teks rasmi akta, garis panduan terkini regulator (BNM, NACSA, Pesuruhjaya Perlindungan Data Peribadi) dan mendapatkan nasihat peguam atau juruaudit bertauliah sebelum membuat keputusan pematuhan.
- CREST CRT/CCT untuk penguji individu
- CREST OVS bagi syarikat
- Lesen NACSA bila terpakai
- Rujukan klien dalam sektor kewangan
- Insurans liabiliti profesional yang mencukupi
Pelaporan insiden kepada BNM dan MaCERT
Insiden material perlu dilaporkan kepada BNM mengikut garis panduan pelaporan insiden yang berkuat kuasa. Selain itu, MaCERT (Malaysia Computer Emergency Response Team) menyediakan platform perkongsian risikan ancaman yang berguna untuk sektor kewangan.
Institusi disyorkan mempunyai runbook respons insiden yang menjelaskan ambang pelaporan, saluran komunikasi dan template laporan awal. Latihan tabletop berkala membantu memastikan pasukan bersedia.
Bagaimana memilih kombinasi pentest + SOC yang sesuai
Kombinasi yang berkesan menggabungkan ujian penembusan offensive (untuk mencari kelemahan) dengan pemantauan SOC defensive (untuk mengesan eksploitasi). Hasil pentest perlu disuap ke dalam use case SOC; sebaliknya, telemetri SOC perlu membantu menentukan skop pentest seterusnya.
nCrypt Malaysia menyediakan kedua-dua perkhidmatan ini dengan integrasi rapat — sila rujuk /services/penetration-testing dan /services/soc.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Bolehkah SOC dikongsi dengan syarikat induk di luar negara?
Boleh, tetapi tertakluk kepada keperluan outsourcing dan kawalan rentas sempadan data RMiT. Banyak kumpulan perbankan serantau menggunakan model hub-and-spoke dengan komponen tempatan untuk pematuhan data.
Adakah pentest tahunan mencukupi?
Pentest tahunan ialah baseline. Aplikasi yang berubah cepat (DevOps berterusan) perlu ditambah dengan pengujian PTaaS atau ujian khusus selepas setiap pelancaran besar.
Bolehkah kami menggunakan tooling pentest automatik sahaja?
Tidak. Tooling automatik adalah pelengkap, bukan pengganti ujian manual. RMiT menjangkakan ujian yang merangkumi eksploitasi manual dan analisis logik perniagaan.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.