PENGENDALIAN UNTUK KEAMANAN INFORMASI DAN PENGENDALIAN KERAHASIAAN DAN PRIVASI
Dibuat oleh: Mairis Rosari NIM : 123151051
PROGRAM PENDIDIKAN MAGISTER AKUNTANSI UNIVERSITAS TRISAKTI JAKARTA 2016 PENGENDALIAN UNTUK KEAMANAN INFORMASI
Berdasarkan Cobit 5 yang terkait langsung dengan keandalan sebuah sistem informasi dan kepatuhan terhadap standar peraturan,
Trust Services
Framework yang dikembangkan oleh secara bersamaan oleh AICPA dan CICA dapat menyediakan panduan penilaian keandalan sistem informasi. Trust Services Framework untuk mengatur pengendalian Teknologi Informasi (TI) ke dalam 5 Prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem antara lain : 1. Keamanan (Security) : akses (baik fisik maupun logis) terhadap sistem dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah. 2. Kerahasian (confidentiality) : informasi keorganisasian yang sensitive yang terlindungi dari pengungkapan yang tanpa izin. 3. Privasi (privacy) : informasi pribadi tentang pelanggan, pegawai, pemasok atau
rekan kerja hanya dikumpulkan, digunakan, diungkapkan dan
dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan tanpa izin. 4. Integritas Pemrosesan (Processing integrity) : data di proses secara akurat, lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai. 5. Ketersediaan (availability) : sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan kontraktual.
Dua Konsep Keamanan Informasi Fundamental 1. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi Keamanan infromasi yang efektif mensyaratkan penggunaan alat-alat berteknologi seperti farewall, antivirus dan enkripsi namun keterlibatan serta
dukungan
manajemen
senior
juga
menjadi
dasar
untuk
keberhasilan. Para professional keamanan infromasi harus memilki keahilan dalam mengidentifikasi ancaman potensial dan mengestimasikan kemungkinan serta dampaknya, dimana manajemen senior harus mampu memilih mana dari 4 respon resiko (menurunkan, menerima, membagi
atau menghindari) yang sesuai untuk diadopsi sehingga sumber daya yang diinvestasikan pada keamanan informasi menunjukan kebutuhan risiko organisasi. 2. Defense-In-Depth dan model keamanan informasi berbasis waktu Defense-In-Depth adalah penggunaan berbagai lapisan pengendalian untuk menghindari satu poin kegagalan. Contohnya penggunaan firewall yang didukung pula dengan penggunaan metode autentikasi untuk membatasi akses terhadap sistem informasi. Penggunaan pengendalian yang tumpang tindih, saling melengkapi dan berulang dapat meningkatkan keseluruhan efektivitas karena jika satu pengendalian gagal atau terlewat maka yang lainnya dapat berfungsi seperti yang direncanakan. Konsep ini juga mrupakan kombinasi dari pengendalian preventif, detektif dan korektif. Model
keamanan
berbasis
waktu
adalah
menggunakan
kombinasi
perlindungan preventif, detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan
tengah
terjadi
dan
mengambil
langkah-langkah
untuk
menggagalkannya sebelum informasi hilang atau dirusak. Model ini ditunjukan dengan formula dengan menggunakan 3 variable sebagai berikut : P
=
Waktu
yang
diperlukan
seorang
penyerang
untuk
menerobos
pengendalian preventif organisasi D = Waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam proses C = Waktu yang diperlukan untuk merespons serangan dan mengambil tindakan korektif jika P > D + C , Maka prosedur keamanan organisassi efektif dan jika sebaliknya maka pengendalian tidaklah efektif.
Memahami serangan yang ditargetkan Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem informasi suatu Perusahaan: 1. Melakukan mempelajari
Pengintaian tata
(conduct
ruang
fsik
reconnaissance), target
mereka
Para
untuk
perampok memahami
pengendalian yang dimiliki oleh tempat tersebut. Tujuan pengintaian awal adalah untuk mempeljari sebanyak mungkin tentang target serta mengidentifikasikan kerentanan potensial. 2. Mengupayakan rekayasa sosial (attempt social engineering). Penyerang biasanya mencoba meggunakan informasi yang didapatkan
selama
pengintaian awal untuk mengelabui seorang pegawai yang tidak merasa curiga untuk emberi akses kepada mereka. Rekayasa sosial dapat terjadi melalui banyak cara, hanya di batasi oleh kreatifitas dan imajinasi penyerang. Biasanya melalui telepon, email, dan menyebarkan USB Drives diarea parker suatu organisasi yang menjadi target. 3. Memindai dan Memetakan target (scan and map the target). Serangan dengan melakukan pengintaian terperinci untuk mengidentifikasi titik-titik potensial entri jarak jauh. Penyerang menggunakan berbagai alat otomatis untuk mengidentifikasi computer yang dapat dikendaliakan dari jarak jauh serta berbagai jenis perangkat lunak yang mereka jalankan.
4. Penelitian (Research). Melakukan penelitian untuk menemukan kerentanan yang terdeteksi pada program-program tersebut serta mempelajari bagaimana memanfaatkan kerentanan tersebut. 5. Mengeksekusi Serangan (excute the attack). Penyerang memanfaatkan kerentanan untuk mendapatkan akses tanpa izin terhadap sistem informasi target. 6. Menutupi jejak (cover tracks). Setelah memasuki sistem informasi pengguna, sebagain besar penyerang berupaya untuk menutupi jejak mereka dan menciptakan “pintu belakang” yang dapat mereka gunakan untuk mendapatkan akses jika serangan awal mereka diketahui dan pengendalian diimplementasikan untuk mengeblok metode entri tersebut.
Pengendalian Preventif 1. Orang-orang : penciptaan sebuah budaya “sadar keamanan” Sesuai dengan COBIT 5 : Mengidentifikasi budaya dan etika organisasi sebagai salah satu dari fasilitator kritis untuk keamanan informasi yang efektif. Pengendalian ini untuk menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan keorganisasian, manajemen puncak tidak hanya harus mengkomunikasikan kebijakan keamanan
organisasi,
tetapi
juga
harus
memandu
dengan
mencontohkannya. 2. Orang –orang : Pelatihan Para pegawai harus memahami cara untuk mengikuti kebijakan keamanan organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran –ukuran keamanan bagi kebertahanan jangka panjang organisasi serta dilatih untuk mengikuti praktik-praktik komputasi yang aman. 3. Proses : Pengendalian Akses Pengguna Organisasi perlu menerapkan satu set pengendalian yang dirancang untuk melindungi aset informasi mereka dari penggunaan dan akses tanpa izin yang dilakukan oleh pegawai. Untuk mencapai tujuan tersebut maka praktik manajemen COBIT 5 menekankan perlunya pengendalian untuk mengelola identitas penggunaan dan akses logis, sehingga memungkinkan identifikasi secara khusus siapa saja yang mengakses sistem informasi organisasi serta melacak tindakan yang merek lakukan. Penerapan COBIT 5 ini menggunakan 2 pengendalian yaitu pengendalian autentikasi dan pengendalian otorisasi. 4. Pengendalian Autentikasi Autentikasi adalah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Tujuannya untuk memastikan bahwa hanya pengguna sah yang dapat mengakses sistem. Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang :
a. Sesuatu yang mereka ketahui, seperti kata sandi atau PIN b. Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID c. Beberapa karakteristik atau prilaku (pengidentifikasi biometri seperti sidik jari atau pola tulisan. 5. Pengendalian Otorisasi Otorisasi adalah proses dari memperketat akses dari pengguna sah terhadap bagain spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. Tujuannya adalah untuk menyusun
hak
serta
keistimewaan
setiap
pegawai
dengan
cara
menetapkan dan mengelola pemisahan tugas yang tepat 6. Solusi TI : Pengendalian Antimalware Malware (seperti virus, worm, perangkat lunak keystroke logging) adalah sebuah
ancaman
menghancurkan
besar.
informasi
Malware atau
dapat
menghasilkan
membahayakan sebuah
cara
atau untuk
memperoleh akses tanpa izin. Berikut cara yang direkomendasikan sebagai salah satu dari kunci keamanan untuk perlindungan dari malware : a. Edukasi kesadaran perangkat lunak jahat b. Pemasangan alat perlindungan anti malware pada seluruh perangkat c. Manajemen terpusat atas sejumlah patch dan memperbaruhi perangkat lunak anti malware d. Tinjauan teratur atas ancaman malware baru e. Menyaring lalu lintas masuk untuk mengeblok sumber malware potensial f. Melatih pegawai untuk tidak memasang perangkat lunak yang dibagikan atau tidak disetujui. 7. Solusi TI : Pengendalian Akses Jaringan Sebuah pengendalian dimana beberapa
organisasi
masih
mempertahankan pengelolaan jaringan hak milik mereka sendiri dengan menyediakan dial up lanhsung melalui modem, dan tidak menggunakan jaringan internet. 8. Pertahanan Perimeter : router, firewall, dan sistem pencegahan gangguan Border router adalah sebuah perangkat yang menghubungakan sistem informais organisasi ke internet. Dibalik border router terdapat firewall utama yang menjadi perangkat keras yang bertujuan khusus. Firewall adalah perangkat lunak yang berkerja pada sebuah omputer yang bertujuan umum yang mengendalikan baik komunikasi masuk ataupun keluar antara
sistem dibalik firewall dan jaringan lainnya.
Demilitarized zone (DMZ) adalah
sebuah jaringan terpisah yang berada diluar sistem informasi internal organisasi serta mengizinkan akses yang dikendalikan dari internet. Secara bersamaan
border
router
dan
firewall
bertindak
sebagai
penyaring
untuk
mengendalikan informasi apa yang diizinkan untuk masuk dan keluar dari sistem informasi organisasi. 9. Bagaimana arus informasi pada jaringan : tinjauan menyeluruh TCP/IP dan Ethernet Ketika kita mengirimkan sebuah file kepada orang lain atau ke sebuah printer, seluruh file jarang ditransmisikan secara utuh. Pada kebanyakan kasus file di pecah ke dalam seri – seri potongan kecil yang dikirim secara individu
dan
disusun
ulang
selama
pengiriman.
Innformasi
yang
dikerjakan dalah informasi yang dimuat pada header Transmission Control Protocol (TCP), Internet Protocol (IP) dan Ethernet. Header TCP berisi bidang-bidang yang merinci posisi berurutan dari paket yang berkaitan dengan ksesluruhan file dan port number pada perangkat-perangkat pengiriman dan penerimaan dari asal file hingga ke mana file disusun kembali. Header IP berisi bidang-bidang yang merinci alamat jaringan dari perangkat pengiriman dan penerimaan. 10. Mengendalikan Akses dengan Paket Penyaringan Organisasi memiliki satu border router atau lebih yang menghubungkan jaringan internal mereka ke penyedia layanan internet. Borde router dan firewall utama organisasi menggunakan seperangkat aturan IF-THEN yang disebut Access control list (ACL). ACL digunakan untuk menentukan tindakan yang dilakukan pada paket yang tiba. Penyaringan paket adalah sebuah proses yang menggunakan berbagai bagian pada header IP dan TCP Paket untuk memutuskan tindakan yang dilakukan. 11.
Menggunakan Defense-in-Depth untuk Membatasi Akses Jaringan
salah satu dimensi lain dari konsep ini adalah penggunaan multi firewall internal
untuk
membuat
segmentasi
department
berbeda
didalm
organisasi. Firewall internal membantu untuk mempersempit jenis data dan porsi sistem informasi sebuah organisasi yang dapat diakses seorang
pegawai tertentu. Hal ini tidak hanya meningkatkan keammanan namun juga memperkuat pengendalian internal dengan menyediakan sebuah sarana untuk melaksanakan pemisahan tugas. 12.
Mengamankan Koneksi Dial-Up
Penting untuk memverifikasi identitas pengguna yang berupaya untuk mendapatkan akses dial-in yaitu dengan cara
Remote Authentication
Dial-In User Service (RADIUS). RADIUS adalah sebuah metode standar untuk
memverifikasi
identitas
pengguna
yang
berupaya
terhubung melalui akses dial-in, sehingga hanya pengguna
untuk
yang telah
terverifikasi sajalah yang dapat mengakses jaringan internal perusahaan.
13.
Mengamankan Akses Nirkabel
Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel secara memadai adalah (1) Menyalakan fitur keamanan yang tersedia, (2) Membuktikan keabsahan seluruh perangkat yang digunakan untuk menetapkan akses nirkabel ke jaringan sebelum menentukan sebuah alamat IP untuk mereka, (3) Mengatur seluruh perangkat nirkabel terotorisasi agar hanya beroperasi pada modus infrastruktur yang memaksa perangkat untuk hanya terhubung ke titik akses nirkabel, (4) Menggunakan nama yang noninformatif sebagai alamat titik akses yang disebut dengan service set identifier (SSID), (5) Mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya pada interior gedung, dan menggunakan antena pengarahan untuk membuat penerimaan lokal tanpa izin menjadi lebih sulit, (6) Mengenkripsi seluruh lalu lintas nirkabel. 14.
Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat Lunak
Tiga area endpoint (Endpoint adalah istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang meliputi jaringan organisasi.) yang berhak mendapatkan perhatian lebih menurut COBIT 5 DSS05.03: a. Konfigurasi endpoint >> endpoint dapat dibuat lebih aman dengan memodifikasi konfigurasinya
b. Manajemen akun pengguna >> akun pengguna harus dikelola secara hati-hati, terutama akun-akun yang memiliki hak tak terbatas (administratif) pada komputer. Oleh karena itu, para pegawai yang memerlukan kewenanagan administratif untuk sebuah komputer khusus harus diberikan dua akun; 1 dengan hak administratif dan akun lainnya hanya memiliki keistimewaan terbatas c. Desain perangkat lunak >> limpahan buffer, injeksi SQL, dan cross-site scripting adalah contoh umum dari serangan-serangan terhadap perangkat lunak, sehingga perlu menspesifikasikan kebutuhan untuk mendesai keamanan secara cermat ke dalam selutuh aplikasi baru.
15.
Solusi TI : Enkripsi
Enkripsi
memberikan
sebuah
lapisan
pertahanan
terakhir
untuk
mencegah akses tanpa izin terhadap informasi sensitif. 16.
Keamanan Fisik : Pengendalian Akses
Praktik manajemen COBIT 5 DSS05.5 menjelaskan praktik-praktik terbaik mengenai pengendalian akses fisik, seperti pengendalian akses fisik dimulai dari pintu masuk ke dalam gedung itu sendiri. Idealnya sebaiknya hanya terdapat satu pintu masuk reguler yang tetap terbuka selama jam kerja normal dan tambahan untuk pintu keluar darurat, tetapi pintu darurat
tersebut
sebaiknya
tidak
memperkenan
siapapun
menggunakannya untuk masuk dari luar dan pintu tersenut sebaiknya terhubung dengan sistem alarm sehingga secara otomatis terpicu kapan pun pintu darurat terbuka. Selain itu, juga harus ada resepsionis maupun staff keamanan yang harus bertugas di pintuk masuk utama untuk memverifikasi identitas para pegawai. Akses fisik pada ruangan-ruangan yang
menyimpan
komputer
juga
harus
dibatasi.
Ruangan-ruangan
tersebut harus dikunci secara aman dan seluruh pintu masuk/keluar
diawasi dnegan sistem CCTV. Ruangan-ruangan yang menyimpan server, terutama yang memuat data sensitif harus ditambahi kunci reguler dengan teknologi yang lebih kuat (seperti pembaca kartu, keypad numerik, atau berbagai perangkat biometri, seperti pemindai retina, pembaca sidik jari, atau pengenal suara). Akses terhadap wiring yang digunakan dalam LAN organisasi juga perlu dibatasi untuk mencegah wiretapping. Itu berarti bahwa pengabelan dan wiring seharusnya tidak dipasang di area yang dapat diakses pengunjung biasa dan jika lemari wiring digunakan bersama dengan penyewa lain di dalam
gedung
kantor,
organisasi
tersebut
harus
meletakkan
perlengkapan telekomunikasinya di dalam kurungan besi terkunci untuk mecegah akses fisik tanpa izin yang terotorisasi. 17.
Pengendalian Perubahan dan Manajemen Perubahan
Pengendalian perubahan dan manajemen perubahan (change control and change management) mengarah pada proses formal yang digunakan untuk memastikan bahwa modifikasi pada perangkat keras, perangkat lunak, atau pada proses tidak mengurangi keandalan sistem.
Pengendalian Detektif Pengendalian preventif tidak pernah 100% efektif dalam mengeblok seluruh serangan. Oleh karena itu, salah satu praktik manajemen COBIT 5 DSS05.07 menjelaskan aktivitas-aktivitas yang juda dibutuhkan organisasi untuk memungkinkan deteksi gangguan dan masalah secara tepat waktu. Jenis-jenis pengendalian detektif: 1. Analisis log Analisa log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Tujuan dari analisis log adalah untuk mengetahui alasan dari kegagalan untuk masuk kedalam sistem dan untuk mencatat
siapa yang mengakses sistem dan tindakan-tindakan tertentu apa saja yang dilakukan setiap penggunan. 2. Sistem deteksi gangguan Sistem deteksi gangguan (intrusion detection system-IDS) adalah sebuah sistem yang menghasilka sejumlah log dari seluruh log dari seluruh lalu lintas
jaringan
yang
diizinkan
untuk
melewati
firewall
kemudiang
menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan. IDS dapat dipasang pada sebuah perangkat tertentu untuk mengawasi upaya tanpa izin untuk mengubah konfigurasi perangkat tersebut. 3. Pengujian penetrasi Dua dari bagian proses pengendalian COBIT 5 menyatakan kebutuhan untuk secara periodik menguji efektivitas proses bisnis dan pengendalian internal. Pengujian penetrasi memberikan sebuah cara yang lebih cermat untuk menguji efektivitas keamanan informasi sebuah organisasi. Uji penetrasi adalah sebuah upaya terotorisasi oleh baik tim audit internal maupun kantor konsultasi keamanan eksternal untuk menerobos ke dalam sistem informasi organisasi. 4. Pengawasan berkelanjutan Pengawasan berkelanjutan merupakan pengendalian detektif penting yang dapat menidentifikasi masalah potensial secra tepat waktu.
Pengendalian Korektif Tiga pengendalian korektif: 1. Pembentukan sebuah tim perespons insiden komputer (computer incident response team -CIRT) Sebuah komponen utama agar mampu merespons insiden keamanan dengan tepat dan efektif. CIRT harus mengarahkan proses respons insiden organisasi melalui 4 tahapan: (1) Pemberitahuan (recognition) adanya sebuah masalah, (2) Penahanan (containment) masalah, (3) Pemulihan (recovery), (4) Tindak lanjut (follow up)
2. Pendesainan individu khusus, biasanya disebut dengan Chief Information Security Officer (CISO) dengan tanggung jawab luas atas keamanan informasi Posisi CISO harus independen dari fungsi-fungsi sistem informasi lainnya. CISO harus memahami lingkungan teknologi perusahaan dan bekerja dengan
Chief
Information
Officer
(CIO)
untuk
mendesain,
mengimplementasi, serta membangun kebijakan dan prosedur keamanan yang baik. CISO harus menjadi penilai dan pengevaluasi yang adil di lingkungan TI. CISO harus memiliki tanggung jawab untuk emmastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara periodik. 3.
Manajemen patch Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan patch dan memperbaharui seluruh perangkat lunak yang digunakan oleh organisasi. Sejumlah patch merepresentasikan modifikasi perangkat lunak yang sungguh rumit. Akibatnya
patch
terkadang menciptakan masalah baru karena dampak lain yang tidak diantisipasi. Oleh karena itu organisasi perlu menguji dengan cermat efek dari patch sebelum menyebarkannya
Implikasi Keamanan Virtualisasi Dan Cloud Virtualisasi memanfaatkan kekuatan dan kecepatan komputer modern untuk menjalankan berbagai sistem secara bersamaan pada satu komputer fisik. Komputasi cloud memanfaatkan high bandwidth dari jaringan telekomunikasi global modern agar memungkinkan para pegawai menggunakan sebuah browser untuk mengakses perangkat lunak dari jarak jauh (perangkat lunak sebagai sebuah layanan), perangkat penyimpanan data (penyimpanan sebagai sebuah layanan), perangkat keras (infrastruktur sebagai sebuah layanan), layanan).
dan
seluruh
lingkungan
aplikasi
(platform
sebagai
sebuah
PENGENDALIAN KERAHASIAAN DAN PRIVASI Informasi yang dimilik perusahaan tentunya memiliki informasi yang sensitif dan penuh dengan kekayaan intelektual. Dalam menjaga kerahasiaan kekayaan intelektual yang berisikan informasi-informasi yang sensitif maka ada empat tidakan dasar yang harus dilakukan untuk menjaga rahasia informasi tersebut, yaitu: 1. 2. 3. 4.
Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi Mengenkripsi informasi Mengendalikan akses atas informasi, dan Melatih para pegawai untuk menangani informasi secara tepat.
Menjaga Kerahasiaan Langkah-langkah
dalam
yang
perlu
diperhatikan
dalam
melindungi
kerahasiaan kekayaan intelektual dan informasi bisnis yang sensitif adalah: 1. Mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya. 2. Mengklasifikasikan informasi untuk organisasi berdasarkan nilainya. Melindungi Kerahasiaan dengan Enkripsi Enkripsi adalah alat yang sangat penting dan efektif untuk melindungi kerahasiaan dan ini adalah salah satu cara untuk melindungi informasi dalam lalu lintasnya internet dan juga dapat membantu memberikan perlindungan apabila informasi yang telah dienkripsi dari orang lain yang ingin berusaha mencuri informasi tersebut. Dikarenakan informasi yang telah dienkripsi tersebut hanya dapat diakses oleh user yang mengenkripsi file tersebut, maka informasi tersebut hanya dapat oleh user itu sendiri dan hanya bisa dilihat oleh orang lain, namun apabila user meninggalkan informasi yang dalam keadaan terbuka, maka siapapun yang duduk dihadapan laptop tersebut akan dapat melihat
informasi yang sensitif tersebut, sehingga dalam hal ini masih diperlukan pengendalian akses fisik diperlukan. Mengendalikan Akses Terhadap Informasi Sensitif Untuk melindungi informasi yang sensitif dalam waktu yang relevan dan terus menerus dibutuhkan maka pengendalain pengendalian autentikasi dan otorisasi perlu dilengkapi dengan pengendalian akses digital ata fisik tambahan seperti: 1. Information Right Management Perangkat lunak yang menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file atau dokumen tertentu, tetapi juga memerinci tindakan-tindakan (baca, salin, cetak, undu, dsb) 2. Data Loss Prevention Perangkat lunak yang bekerja seperti program antivirus secara terbalik, mengeblok pesan-pesan keluar yang mengandung kata-kata atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi. 3. Watermark Digital Kode yang terlekat dalam dokumen yang memungkinkan sebuah organisasi
untuk
mengidentifikasi
informasi
rahasia
yang
telah
diungkapkan. Pelatihan Selain
melindungi
kerahasiaan
dengan
enkripsi
dan
memberikan
pengendalian akses terhadap informasi yang sensitif, pelatihan kepada para karyawan perusahaan juga diperlukan, dimana hal ini bertujuan untuk membuat para karyawan perusahaan mengerti informasi apa saja yang perlu dirahasiakan dari pihak eksternal maupun yang tidak dan diberikab kepada pihak ekstrnal.
Privasi
Umumnya Prinsip Privasi erat kaitannnya dengan prinsip kerahasiaan, hanya perbedaan utamanya, yaitu lebih berfokus pada perlindungan informasi pribadi mengenai pelanggan, pegawai pemasok, atau rekan bisnis daripada pada data keorganisasian. Pengendalian Privasi Enkrispsi adalah sebuah pengendalian yang fundamental untuk melindungi privasi informasi pribadi yang dikumpulkan oleh organisasi. Demi melindungi privasi, organisasi harus menjalankan program data masking yaitu program yang menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu (seperti mengganti sebuah nomor keamanan social yang asli dengan rangkaian nomor yang berbeda yang memiliki karakteristik sama, seperti 123-45-678) sebelum mengirimkan data tersebut kepada pengembang program dan sistem pengujian. Data Masking
juga disebut dengan
tokenization. Permasalahan Privasi Dalam Privasi terdapat dua permasalahan utama terkait privasi, yaitu: 1. Spam Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten serangan. Spam merupakan permasalahan yang terkait privasi karena penerima sering kali jadi
target tujuan atas
akses tak terotorisasi terhadap daftar dan database e-mail yang berisi informasi pribadi. 2. Pencurian Identitas Pencurian identitas yaitu penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku. Dan rata-rata pencurian Identitas lebih cenderung untuk mendapatkan keuntungan ekonomi. Regulasi Privasi dan Prinsip Yang Diterima Secara Umum Dalam Regulasi Privasi ini terdapat kerangka yang disebut denga prinsipprinsip
yang
diterima
secara
umum,
diman
kerangka
tersebut
mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik yang diakui secara internasional untuk melindungi privasi informasi pribadi pelanggan yang diantaranya: 1. Manajemen Organisasi perlu membuat satu set prosedur dan kebijakan untuk melindungi privasi informasi pribadi yang mereka kumpulkan dari para pelanggan, begitu pula dengan informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro kredit.
2. Pemberitahuan Organisasi harus memberikan pemberitahuan tentang kebijakan dan praktik privasinya pada saat atau sebelum organisasi tersebut mengumpulkan informasi pribadi dari para pelanggan atau segera sesudahnya. 3. Pilihan dan Persetujuan Organisasi harus menjelaskan pilihan-pilihan yang disediakan kepada para
individu
serta
mendapatkan
persetujuannya
sebelum
mengumpulkan dan menggunakan informasi pribadi mereka. 4. Pengumpulan Organisasi hanya boleh mengumpulkan informasi yang diperlukan untuk memenuhi tujuan yang dinyatakan dalam kebijakan privasinya. 5. Penggunaan dan retensi Organisasi harus menggunakan informasi pribadi para pelanggan hanya dengan cara yang dideskripsikan pada kebijakan privasi yang dinyatakan dan menyimpan informasi tersebut hanya selama informasi tersebut diperlukan untuk memenuhi tujuan bisnis yang sah. 6. Akses Organisasi
harus
memberikan
individu
dengan
kemampuan
mengakses, meninjau, memperbaiki dan menghapus informasi pribadi yang tersimpan mengenai mereka.
7. Pengungkapan kepada pihak ketiga Organisasi harus
mengungkapkan informasi pribadi pelanggannya
hanya untuk situasi dan cara yang sesuai dengan kebijakan privasi organisasi serta hanya kepada pihak ketiga yang menyediakan tingkatan perlindungan privasi yang sama, sebagaimana organisasi sebelumnya yang mengumpulkan informasi tersebut. 8. Keamanan Organisasi
harus
mengambil
langkah-langkah
rasional
untuk
melindungi informasi pribadi para pelanggannya dari kehilangan atau pengungkapan yang tidak terotorisasi.
9. Kualitas Organisasi harus menjaga integritas informasi pribadi pelanggannya dan menggunakan prosedur yang memastikan informasi tersebut akurat secara wajar. 10.
Pengawasan dan penegakan
Organisasi
harus
menugaskan
satu
pegawai
atau
lebih
guna
bertanggungjawab untuk memastikan kepatuhan terhadap kebijakan privasi yang dinyatakan.
Enkripsi Enkripsi adalah sebuah pengendalian preventif yang dapat digunakan untuk melindungi baik kerahasiaan maupun privasi. Enkripsi (encryption) adalah proses mentransformasikan teks normal yang disebut plaintext
ke dalam
raban
Deskripsi
yang
tidak
dapat
dibaca
yang
disebut
chipertext.
(decryption) membalik proses ini, mengubah chipertext ke dalam plaintext.
Dari ilustrasi gambar diatas, menunjukkan bahwa baik enkripsi maupun dekripsi melibatkan pengunaan sebuah kunci dan alogaritma. Faktor- Faktor yang Mempengaruhi Kekuatan Enkripsi 1. Panjang Kunci Kunci yang lebih panjang memberikan enkripsi yang lebih kuat dengan mengurangi jumlah blok-blok berurang pada chipertext. Hal tersebut menjadikannya lebih sulit untuk menunjukkan pola-pola chipertext yang merefleksikan pola-pola plaintext asli. 2. Alogaritme Enkripsi Algoritma Enkripsi adalah proses mengacak data sehingga tidak dapat dibaca oleh pihak lain. Jenis Alogaritme yang digunakan untuk mengombinasikan kunci dan plaintext adalah sangat penting. Sebuah Alogaritme yang rumit bukannya tidak mungkin untuk dirusak dengan teknik penebakabn brutal.
3. Kebijakan untuk Mengelola kunci Kriptografi Kriptografi merupakan ilmu dan seni untuk menjaga kerahasiaan berita agar tetap aman. Manajemen kunci kriptografi sering kali merupakan aspek yang paling rentan dari sistem enkripsi, kriptografi harus disimpan secara aman dan dilindungi dengan pengendalian akses yang kuat : (1) Tidak menyimpan kunci kriptografi di dalam sebuah browser atau file
lain yang dapat diakses oleh pengguna lain dari sistem
tersebut (2) menggunakan sebuah frasa sandi yang kuat dan panjang untuk melindungi kunci. Jenis-Jenis Sistem Enkripsi
Pada dua jenis sistem enkripsi, hilang atau dicurinya kunci enkripsi merupakan ancaman besar. Jika kunci hilang, informasi yang dienkripsi tidak dapat dipulihkan. Salah satu solusi untuk ancaman ini adalah menggunakan perangkat lunak enkripsi yang menciptakan sebuah kunci utama built-in yang dapat digunakan untuk mendekripsi apa saja yang dienkripsi oleh perangkat lunak tersebut. Alternatif lainnya dengan key escrow yaitu pembuatan salinan dari seluruh kunci enkripsi yang digunakan oleh para pegawai dan menyimpan salinana tersebut dengan aman. Hashing
Hashing adalah proses mengubah plaintext dengan segala ukuran dan menciptakan sebuah kode singkat yang disebut hash.
Tanda Tangan Digital Tanda tangan digital adalah sebuah hash
yang dienkripsi dengan kunci
privat milik pembuat hash. Menciptakan Sebuah Tanda Tangan Digital :
Nonrepudiation adalah menciptakan persetujuan yang terikat secara hukum yang tidak dapat ditolak secara unilateral oleh kedua pihak.
Bisnis
memperoleh tingkat keabsahan transaksi digital dengan sebuah dokumen yang ditandatangani
dengan digital menggunakan hashing
maupun
enkripsi asimetris untuk menciptakan tanda tangan yang terikat secara legal atau hukum. Sertifikat Digital dan Infrastruktur Kunci Publik Sertifikat digital adalah sebuah dokumen elektronik yang mengandung kunci publik milik entitas dan menerangkan identitas pemilik kunci publik tersebut.
Contoh : SIM dan paspor diterbitkan oleh pihak independen yang terpercaya dan menggunakan sistem hologram serta watermark untuk membuktikan keasliannya. Otoritas Sertifikat adalah sebuah organisasi yang menerbitkan kunci publik dan privat serta mencatat kunci publik di dalam sertifikat digital. Contoh : Thawte Inc sebagai salah satu perusahaan otoritas sertifikat komersial, menciptakan SSL (Secure Socket Layer) untuk e-business. Infrastruktur kunci publik adalah sistem untuk menerbitkan sepasang kunci publik dan privat serta sertifikat digital terkait. Sistem ini berkaitan dengan penjaminan otoritas sertifikat yang menerbitkan kunci dan sertifikat. Virtual Private Network (VPN) Cara kerja
VPN ibarat seperti membuat jaringan di dalam jaringan atau
biasa disebut tunneling. Tunneling adalah suatu cara untuk membuat jalur koneksi secara privat dengan menggunakan infrastruktur jaringan lain. Pada dasarnya VPN juga membutuhkan sebuah server sebagai penghubung dan pengatur antar client. 2 Jenis Dasar VPN : 1. SSL – protokol yang menghasilkan simbol kunci familiar kapanpun anda terlibat dalam kegiatan belanja atau perbankan online. 2. IPSec – sebuah versi protokol IP yang memasukkan enkripsi ke dalam proses penciptaan paket IP.
CONTOH KASUS 1. Pencurian dan penggunaan account internet milik orang lain. Pencurian account ini berbeda dengan pencurian secara fisik karena pencurian dilakukan cukup dengan menangkap “user_id” dan “ password ” saja. Tujuan dari pencurianitu hanya untuk mencuri informasi saja. Pihak yang kecurian tidak akan merasakan kehilangan. Namun, efeknya akan terasa jika informasi tersebut digunakan oleh pihak yang tidak bertanggung jawab. Hal
tersebut akan membuat semua beban biaya penggunaan account oleh si pencuri dibebankan kepada si pemilik account yang sebenarnya. Kasus ini banyak terjadi di ISP ( Internet Service Provider). Kasus yang pernah diangkat adalah
penggunaan account
curian yang dilakukan oleh dua
Warnet di Bandung. Kasus lainnya: Dunia perbankan dalam negeri juga digegerkan dengan ulah Steven Haryanto, yang membuat situs asli tetapi palsu layanan perbankan lewat Internet BCA. Lewat situs-situs “Aspal”, jika nasabah salah mengetik situs asli dan masuk ke situs-situs tersebut, identitas pengguna (user ID) dan nomor identifikasi personal (PIN) dapat ditangkap. Tercatat 130 nasabah tercuri data-datanya, namun menurut pengakuan Steven pada situs Master Web Indonesia, tujuannya membuat situs plesetan adalah agar publik memberi perhatian pada kesalahan pengetikan alamat situs, bukan mengeruk keuntungan. Persoalan tidak berhenti di situ. Pasalnya, banyak nasabah BCA yang merasa kehilangan uangnya untuk transaksi yang tidak dilakukan. Ditengarai, para nasabah itu kebobolan karena menggunakan fasilitas Internet banking lewat situs atau alamat lain yang membuka link ke Klik BCA, sehingga memungkinkan user ID dan PIN pengguna diketahui. Namun ada juga modus lainnya, seperti tipuan nasabah telah memenangkan undian dan harus mentransfer sejumlah dana lewat Internet dengan cara yang telah ditentukan penipu ataupun saat kartu ATM masih di dalam mesin tiba-tiba ada orang lain menekan tombol yang ternyata mendaftarkan nasabah ikut fasilitas Internet banking, sehingga user ID dan password diketahui orang tersebut. Modus kejahatan ini adalah penyalahgunaan user_ID dan password oleh seorang yang tidak punya hak. Motif kegiatan dari kasus ini termasuk ke dalam cybercrime
sebagai
kejahatan“abu-abu”. Kasus cybercrime ini merupakan jenis cybercrime uncauthorized access dan hacking-cracking. Sasaran dari kasus ini termasuk ke dalam jenis cybercrime menyerang hak milik (against property). Sasaran dari kasus kejahatan ini adalah cybercrime menyerang person). Beberapa solusi untuk mencegah kasus di atas adalah:
pribadi (against
Penggunaan enkripsi untuk meningkatkan keamanan. Penggunaan enkripsi yaitu dengan mengubah data-data yang dikirimkan sehingga tidak mudah disadap (plaintext
diubah menjadi chipertext). Untuk
meningkatkan keamanan authentication (pengunaan user_id dan password), penggunaan enkripsi dilakukan pada tingkat socket. Hal ini akan membuat orang tidak bias menyadap data atau transaksi yang dikirimkan dari/ke server WWW. Salah satu mekanisme yang popular adalah dengan menggunakan Secure Socket Layer
(SSL) yang
mulanya dikembangkan oleh Nerscape. Selain server WWW dari netscape, server WWW dari Apache juga dapat dipakai karena dapat dikonfigurasikan agar memiliki fasilitas SSL dengan menambahkan
software tambahan, sperti open SSL. Penggunaan Firewall Tujuan utama dari firewall adalah untuk menjaga agar akses dari orang tidak berwenang tidak dapat dilakukan. Program ini merupakan perangkat yang diletakkan antara internet dengan jaringan internal. Informasi yang keluar dan masuk harus melalui atau melewati firewall. Firewall bekerja dengan mengamati paker Intenet
Protocol (IP) yang melewatinya. Perlunya CyberLaw Cyberlaw merupakan istilah hukum yang terkait dengan pemanfaatan TI. Istilah lain adalah hukum TI (Low of IT),
Hukum Dunia Maya (Virtual World Law) dan hukum Mayantara. Melakukan pengamanan sistem melalui jaringan dengan melakukan pengaman FTP, SMTP, Telnet dan pengaman Web Server.
2. Penyerangan terhadap jaringan internet KPU Jaringan internet di Pusat Tabulasi Nasional Komisi Pemilihan Umum sempat down (terganggu), beberapa kali. KPU menggandeng kepolisian untuk mengatasi hal tersebut. Cybercrime kepolisian juga sudah membantu. Domain kerjasamanya antara KPU dengan kepolisian”, kata Ketua Tim Teknologi Informasi KPU, Husni Fahmi di Kantor KPU, Jalan Imam Bonjol, Menteng , Jakarta Pusat (15 April 2009). Menurut Husni, tim kepolisian pun sudah mendatangi Pusat Tabulasi
Nasional KPU di Hotel Brobudur di Hotel Brobudur, Jakarta Pusat. Mereka akan mengusut adanya dugaan kriminal dalam kasus kejahatan dunia maya dengan cara meretas. “Kamu sudah melaporkan semuanya ke KPU. Cybercrime sudah datang,” ujarnya. Sebelumnya, Husni menyebut sejak tiga hari dibuka, Pusat Tabulasi berkali-kali diserang oleh peretas.” Sejak hari lalu dimulainya
perhitungan tabulasi, samapai hari ini kalau dihitung-hitung,
sudah lebuh dari 20 serangan”, kata Husni, Minggu(12/4). Seluruh penyerang itu sekarang, kata Husni, sudah diblokir alamat IP-nya oleh PT. Telkom. Tim TI KPU bias mengatasi serangan karena belajar dari pengalamn 2004 lalu. “Memang sempat ada yang ingin mengubah tampilan halaman tabulasi nasional hasil pemungutan suara milik KPU. Tetapi segera kami antisipasi.” Kasus di atas memiliki modus untuk mengacaukan proses pemilihan suara di KPK. Motif kejahatan ini termasuk ke dalam cybercrime sebagai tindakan murni kejahatan. Hal ini dikarenakan para penyerang dengan sengaja untuk melakukan pengacauan pada tampilan halaman tabulasi nasional hasil dari Pemilu. Kejahatan kasus cybercrime ini dapat termasuk jenis data forgery, hacking-cracking, sabotage and extortion, atau cyber terorism. Sasaran dari kasus kejahatan ini adalah cybercrime menyerang pemerintah (against government) atau
bisa juga cybercrime
menyerang hak milik (against property). Beberapa cara untuk menanggulangi dari kasus:
Kriptografi : seni menyandikan data. Data yang dikirimkan disandikan terlebih dahulu sebelum dikirim melalui internet. Di komputer tujuan, data dikembalikan ke bentuk aslinya sehingga dapat dibaca dan dimengerti oleh penerima. Hal ini dilakukan supaya
pihak-pihak
penyerang tidak dapat mengerti isi data yang dikirim. Internet Farewell: untuk mencegah akses dari pihak luar ke sistem internal. Firewall dapat bekerja dengan 2 cara, yaotu menggunakan filter dan proxy. Firewall filter menyaring komunikasi agar terjadi seperlunya saja, hanya aplikasi tertentu saja yang
bisa lewat dan
hanya
komputer
dengan
identitas
tertentu
saja
yang
bisa
berhubungan. Firewall proxy berarti mengizinkan pemakai dalam untuk mengakses internet seluas-luasnya, tetapi dari luar hanya dapat
mengakses satu komputer tertentu saja. Menutup service yang tidak digunakan. Adanya sistem pemantau serangan yang digunakan untuk mengetahui adanya tamu/seseorang yang tak diundang (intruder) atau adanya
serangan (attack). Melakukan back up secara rutin. Adanya pemantau integritas sistem. Misalnya pada sistem UNIX adalah program tripwire. Program ini dapat digunakan untuk memantau
adanya perubahan pada berkas. Perlu adanya cyberlaw : Cybercrime belum sepenuhnya terakomodasi dalam
peraturan
/
Undang-undang
yang
ada,
penting
adanya
perangkat hukum khusus mengingat karakter dari cybercrime ini
berbeda dari kejahatan konvensional. Perlunya Dukungan Lembaga Khusus: Lembaga ini diperlukan untuk memberikan informasi tentang cybercrime, melakukan sosialisasi secara intensif kepada masyarakat, serta melakukan riset-riset khusus dalam penanggulangan cybercrime.
