Di mana saja dan kapan saja, begitu banyak ancaman bisa merusak sistem informasi. Karenanya, menerapkan security menjadi keharusan. Selain melindungi informasi penting, dengan security, service terbaik bisa diberikan kepada customer.
Kalau Anda disodori pertanyaan “Berapa jumlah virus baru yang dihasilkan oleh para hacker Indonesia setiap bulannya?”, apa yang akan Anda jawab? Bila Anda menjawabnya di bawah 10 virus, jawaban tersebut tampaknya meleset jauh. Ingin tahu jawaban rielnya? Bisa jadi Anda akan kaget. “Setiap hari ada tiga virus baru buatan dalam negeri,” ujar Onno W. Purbo disertai senyuman kecut. Nah, bila setiap hari ada tiga virus, praktis setiap bulan, kurang lebih 90 virus baru bertebaran dan aksinya siap mengancam dan membobol jaringan, sistem operasi, maupun database kita.
Nah, ada lagi kasus lain. Masih ingat peristiwa menghebohkan saat situs Komisi Pemilihan Umum (KPU) diserang cracker 2004 lalu? Sontak anggota KPU kalang kabut begitu tampilan nama partai di website berubah menjadi nama-nama nyeleneh seperti Partai Kolor Ijo, Partai Mbah Jambon, Partai Jambu, dan Partai Dukun Beranak. Kasus ini sempat menuai kritik. KPU dianggap lalai lantaran tidak memiliki keamanan berlapis karena keamanan jaringan mereka bisa di-hack oleh seorang pemuda belia dari Yogyakarta. Ya, pemuda tersebut, Dani, saat itu masih terdaftar sebagai mahasiswa semester 10 di fakultas Fisipol Universitas Mumammadiyah Yogya.
Masih Wacana
Kasus di atas adalah secuil contoh bahwa security acapkali dilupakan. Padahal security yang merupakan sistem keamanan yang diterapkan pada suatu sistem informasi (SI) adalah senjata untuk melindungi aset TI dari berbagai ancaman. Ironisnya lagi, hal ini baru menjadi perhatian manakala terjadi “accident”. Apa pasal? Security masih dipandang sebelah mata. Untuk perusahaan yang bergerak di dunia bisnis, bisa jadi security sudah menjadi prioritas. Apalagi di dunia perbankan, security sudah menjadi salah-satu prioritas utama. Namun tidak demikian halnya dengan kondisi di pemerintahan.
BUDI RAHARJO
Pakar telematika dari ITB
Pakar telematika dari ITB, Budi Raharjo, mengungkapkan bahwa di lingkup pemerintahan, security masih dalam konteks wacana. “Security di peme-rintahan belum diimplementasikan, bahkan belum dipahami secara utuh,” kritik Budi. Untuk memperkuat pendapatnya, Budi mengusung sebuah contoh. Implementasi e-government dalam bentuk SIMTAP, menurut Budi mengabaikan kerahasiaan data customer tepatnya data penduduk seperti tempat dan tanggal lahir, nama suami/istri/ anak atau data privat lainnya yang sebenarnya memiliki nilai yang sangat tinggi dan harus dijaga. “Sayangnya penerapan e-government tidak menganggap ini (data kependudukan) sebagai hal yang penting,” tukas peraih Ph.D dari University of Manitoba, Winnipeg, Manitoba, Kanada ini. Padahal, lanjut Budi, identity theft misalnya dalam bentuk phising dapat menyerang security khusus data pribadi. Masih ada contoh lain, kata Budi. e-Government belum menerapkan sistem backup yang memadai. Bagaimana jika tempat data center mengalami kebakaran, banjir, dan bencana lainnya? Ingat kasus tsunami di Aceh! Otomatis, data akan hilang.
SURAHYO
Direktur Inixindo Yogyakarta
Senada dengan Budi, Surahyo, direktur Inixindo Yogyakarta, menilai kala-ngan pemerintahan belum begitu menganggap serius security. Penyebab-nya, mereka masih memberi prioritas pada pemba-ngunan sistem informasi yang solid dan bisa menjawab segala kebutuhan yang ada. Bila ditelusuri lebih jauh, kondisi ini terjadi karena adanya anggapan bahwa belum ada informasi atau sumber daya yang harus dilindungi dengan baik. “Karena aktivitas sehari-hari masih banyak bergantung pada proses manual,” tegas pria lulusan master of engineering science dari University of Melbourne, Victoria, Australia, ini. Ditambahkan Budi, belum dianggap pentingnya security bermuara pada rendahnya awarness. Selain itu, ujar Budi, masalah security membutuhkan dana yang tidak sedikit. “Karena butuh dana besar maka ini (security) belum bisa dilakukan.”
Ancaman
Sebenarnya, banyak hal yang dipertaruhkan bila masalah yang satu ini diabaikan. Bagaimana tidak? Coba bayangkan bila rumah Anda tidak ada pengamanan sedikit pun. Setiap saat, rumah Anda leluasa dibobol maling. Pun dengan urusan security di bidang TI. Ancamannya tidak bisa disele-pekan. Boleh dibilang, ancaman security berbeda-beda untuk jenis industri atau usaha tertentu. Ambil contoh, ancaman terhadap sistem informasi di kampus tentu saja berbeda dengan ancaman terhadap bank. Begitu juga ancaman terhadap sistem informasi Hankam, berbeda dengan ancaman terhadap pemerintahan. Perlu dipahami bahwa pendataan ancaman, menurut Budi, merupakan langkah penting. Cara tersebut, merupakan bagian awal dari perencanaan security.
SETYO BUDI AGUNG
Senior Manager product & application PT Telkom RistI
Sementara itu, Setyo Budi Agung, senior manager product & application PT Telkom RisTI, menu-turkan berbagai kasus cybercrime merupakan ancaman serius. Sebut saja pencurian atau penggunaan account oleh orang yang tidak berhak. Misalnya mencuri username dan password seseorang untuk akses ke jaringan atau melakukan transaksi bisnis illegal seperti kasus pem-bobolan credit card atau ATM. Ancaman lain berupa serangan Denial of Service (DoS) dan Distributed DoS (DDos) attack. Di sini serangan bertujuan untuk melumpuhkan target agar “hang” atau terjadi “crash”. Dampaknya, layanan suatu komputer atau server terhenti. Bila aksi tersebut terjadi tentu saja tidak bisa dihindari adanya kerugian ekonomis. Ada pula ancaman lain seperti DDoS attack berwujud peningkatan efek serangan DoS. Ini bisa dilakukan pada beberapa puluhan, ratusan, bahkan ribuan komputer secara serentak. Masih menurut Setyo, masih ada ancaman lain terkait dengan security, yaitu pembajakan situs web atau dikenal dengan defacing. Aksinya akan mengubah isi halaman web tertentu. “Biasanya dilakukan setelah pembajak atau cracker melakukan probing dan scanning lubang keamanan. Selanjutnya mengeksploitasinya untuk menembus lubang keamanan,” paparnya seraya menambahkan satu ancaman lain berupa serangan virus baik ke PC (personal computer) atau server tertentu.
Lain dengan Setyo, Surahyo melihat ancaman terhadap security dari sisi berbeda. Mengingat begitu banyaknya ancaman terhadap keamanan, ia membagi ancaman menjadi dua. Pertama, ancaman dari luar organisasi misalnya hacker, kompetitor, dan lain lain. Kedua, ancaman dari dalam. Artinya berasal dari staf sendiri. Ancaman itu bisa karena ketidaktahuan atau ketidaksengajaan (unstructured) maupun direncanakan (structured). Bentuk ancaman bisa berupa sekadar reconaissance (mencari tahu sesuatu informasi), access (mengambil suatu informasi), dan yang paling ditakuti adalah denial of service (membuat sistem informasi tidak berfungsi).
Adapun penyebab ancaman keamanan, menurut pria yang tinggal di Yogyakarta ini, mencakup tiga hal. Pertama kelemahan di bidang TI-nya sendiri (technology weaknesses) lantaran menggunakan teknologi yang sudah ketinggalan zaman. Kedua, kelemahan pada sisi konfigurasi. Di sini, meski sudah menggunakan teknologi terbaru tapi tidak serta merta dikonfigurasi secara benar (configu-ration weaknesses). Terakhir, walaupun sudah melakukan kedua hal pertama, tapi bisa saja masih lemah dalam penerapan policy-nya atau policy weaknesses.
Manfaat
Berbagai ancaman tadi menegaskan bahwa jangan sesekali menganggap sepele masalah security. Artinya security memang hal yang harus diperhatikan sebelum terjadi accident yang tidak terduga dan bisa merusak segalanya. Pendeknya, security sudah menjadi keharusan dalam suatu Sistem Informasi. Menurut Surahyo, security tidak saja melindungi informasi penting, “Tapi juga sebagai salah-satu cara agar organisasi yang menerapkan security bisa memberikan service terbaik kepada customernya,” terang Surahyo. Ia kemudian menambahkan, kredibilitas suatu layanan adalah hal yang tidak bisa diabaikan oleh suatu organisasi. Untuk itu, penerapan security bakal menjamin suatu layanan sistem informasi yang fast, reliable, dan secure. “Tanpa ada security, jaminan layanan tersebut tidak akan didapatkan oleh employee, customer, maupun partner,” katanya.
T. BASARUDDIN
Dekan Fakultas Ilmu Komputer Universitas Indonesia
Arti pentingnya security dilihat Budi dari sisi TI sebagai aset. Memang dalam bentuk perangkat baik hardware dan software, TI akan mudah dikenali sebagai aset. Sebaliknya, bila dalam bentuk data, Budi berpendapat, masih banyak orang yang belum paham bahwa data juga adalah aset. Sebagai contoh, data pelanggan atau resep masakan merupakan data yang memiliki nilai yang sangat besar. Singkatnya, jika TI sudah dimengerti sebagai aset maka ada hal-hal yang perlu diamankan. “Di sinilah peranan dari IT security,” ujarnya menegaskan.
T. Basaruddin, dekan Fakultas Ilmu Komputer Universitas Indonesia, mengamini pentingnya security. Ia menggambarkan saat ini komputer terhubung satu sama lain dan digunakan pada bidang-bidang yang highly critical infrastructures seperti rumah sakit, perbankan, dan lain lain. Sehingga, lanjut Basarudin, security menjadi sangat penting untuk menjamin tetap berlangsungnya operasi dan layanan sistem dengan tingkat validasi yang tinggi.
Cakupan
Yang menjadi pertanyaan berikut adalah: bagaimana cakupan dari security? Menjawab hal ini, Surahyo menuturkan security meliputi beberapa hal termasuk keamanan di sisi jaringan, sistem operasi, database, dan prosedur/policy. Di sisi jaringan bisa meliputi pengamanan di Perimeter dengan Firewall dan Proxy, kemudian di dalam menggunakan IDS (Intrusion Detection Systems), di jalur komunikasi menggunakan VPN (Virtual Private Network), dan akses dibatasi dengan Authentication System. Sejalan dengan itu, sistem operasi dan database harus selalu di-upgrade patch-nya guna melindungi kelemahan (security holes) yang ada. Konsep ini disebut Hardening the System. Keamanan di bidang Policy dengan diterapkannya prosedur yang jelas dan tegas dalam penggunaan berbagai resources TI di suatu organisasi.
Microsoft Security Roadshow 2006
Salah satu upaya dalam memberi pemahaman terhadap
pentingnya security
Tidak berbeda dengan Surahyo, Budi melihat komponen security dari sisi jaringan (network), aplikasi (software, database), dan sistem (komputer, server, sistem operasi). Masih kata pakar TI yang sering tampil dalam banyak seminar ini, security juga bisa dilihat dari sisi lain. Yakni sisi fisik atau physical security seperti pencurian note-book, pengamanan masuk ke data center; sisi people yang terkait dengan aspek manusia, rekrutmen; sisi teknis mencakup net-working, software, dan lainnya serta terakhir sisi prosedur, dalam hal ini policy and procedures. Setyo juga urun rembug mengenai cakupan dari security. Ia berpendapat, security tidak hanya menyangkut perlindungan informasi atau data, security juga mencakup perlin-dungan seluruh infrastruktur yang digunakan yaitu proses, sistem, servis, teknologi, dan sebagainya termasuk komputer, jaringan voice dan data lainnya. Mencakup di dalamnya adalah perlindungan secara fisik ke pusat pengolahan data atau infrastruktur ICT. Singkat kata, aspekaspek security umum-nya meliputi: privacy, integrity, authentication, dan availability.
Langkah Riel
Pada prinsipnya, masih terkait dengan IT security, banyak hal yang harus dilakukan sebagai langkah rielnya. “Kita tidak bisa menguraikan secara singkat,” tutur Budi. Yang jelasnya, langkah yang diambil harus melibatkan tiga aspek yakni manusia, teknologi, dan proses. Ditegaskan Basaruddin, sebelum mengambil langkah untuk melindungi aset TI, maka harus dipahami bahwa security ini bukan hanya menyangkut teknologi ICT namun juga terkait dengan peraturan perundangan. “Makanya awareness perlu dicanangkan agar semua pihak menyadari akan pentingnya issue ini agar secara bersama-sama concern untuk mencari solusi bagaimana menjaga keamanan sistem”. Sementara itu peraturan perun-dangan harus dikembangkan untuk mengambil corrective ataupun preventive measures atas upaya serangan.
Selanjutnya, dari sisi teknis implementasi security, dikatakan Basarudin dapat mencakup aspek hardware maupun software.