Header

Jaringan Internet dan Keamanan Informasi

Arum 22.51



Terdapat berbagai definisi Internet, salah satunya adalah suatu jaringan komputer global yang terbentuk dari jaringan-jaringan komputer lokal dan regional dan memungkinkan komunikasi data antar komputer-komputer yang terhubung ke jaringan tersebut.

Layanan yang ada dalam jaringan Internet yaitu Electronic Mail (e-mail), News- USENET, File Transfer Protocol (FTP), Remote Login – Telnet, World Wide Web (www), Teleconference, dan sebagainya.

Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Oleh karena itu, keamanan informasi menjadi sangat penting, untuk melindungi data agar tidak disalahgunakan atau diakses oleh pihak yang tidak berhak. Jadi, computer security adalah tentang bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.

Contoh kasus pembobolan keamanan yaitu pada tanggal 16-17 April 2004, di mana seorang konsultan IT bernama Dani menyerang sistem pertahanan website KPU. Begitu ’sukses’ menembus website KPU, hacker muda itu meng-update tabel nama partai dan mengacak jumlah perolehan suaranya (dikalikan 10). Nama-nama peserta pemilu langsung diganti. Yang jelas, nama-nama baru parpol yang diduga karya iseng Dani itu menyebabkan negeri ini geger. Juga pada tahun 2009, saat situs resmi Kabupaten Nganjuk berhasil dikerjai hacker. Situs tersebut disusupi dengan konten video porno. 

Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, akan terus meningkat dikarenakan beberapa hal, antara lain: 
  • Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat. 
  • Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan lebih banyak operator dan administrator yang handal. Padahal mencari operator dan administrator yang handal adalah sangat sulit. 
  • Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani.
  • Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
  • Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat.
  • Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan.
  • Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti Internet. Potensi sistem informasi yang dapat dijebol menjadi lebih besar.
Menurut Survey Information Week (USA), dari 1271 system/network manager, hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting. Itu artinya, kesadaran akan masalah keamanan masih rendah. Masalah ini akhirnya pun berdampak kepada 6 hal yang utama dalam sistem informasi, yaitu efektifitas, efisiensi, kerahasiaan, integritas, keberadaan (availability), kepatuhan (compliance), dan keandalan (reliability).

Adapun kriteria yag perlu di perhatikan dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu diperhatikan yaitu :
  • Akses kontrol sistem yang digunakan
  •  Telekomunikasi dan jaringan yang dipakai
  • Manajemen praktis yang di pakai 
  • Pengembangan sistem aplikasi yang digunakan 
  • Cryptographs yang diterapkan 
  • Arsitektur dari sistem informasi yang diterapkan 
  • Pengoperasian yang ada 
  • Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
  • Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
  • Tata letak fisik dari sistem yang ada
Jadi, sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedur, dan pelaporan.

Siklus Hidup Keamanan Sistem Informasi 
Sistem keamanan komputer dikembangkan dengan menerapkan metoda-metoda yang telah mapan yang terdiri dari : analisis sistem; desain; implementasi; dan operasi, evaluasi, serta kendali.



Fase Siklus HidupTujuan
Analisis sistemAnalisis kerentanan sistem dalam arti mengacu yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.
Desain sistemDesain ukuran keamanan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi
Implementasi sistemMenerapkan ukuran keamanan seperti yang telah didesain.
Operasi, evaluasi, dan pengendalian sistemMengoperasikan sistem dan menaksir efektivitas dan efisiensi. Membuat perubahan sebagaimana diperlukan sesuai dengan kondisi yang ada

ANCAMAN (threats) terhadap keamanan sistem informasi adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu:

  1. Ancaman Alam
    Yang termasuk dalam kategori ancaman alam terdiri atas :
     - Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai, pencairan salju
    - Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
    - Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
  2. Ancaman Manusia
    Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :
     - Malicious code
     - Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures
     - Social engineering
     - Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor
     - Kriminal
     - Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
     - Teroris
     - Peledakan, Surat kaleng, perang informasi, perusakan
  3. Ancaman Lingkungan
    Yang dapat dikategorikan sebagai ancaman lingkungan seperti :
    - Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lama
    - Polusi
    - Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll
    - Kebocoran seperti A/C, atap bocor saat hujan
KELEMAHAN (Vulnerability) Adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin terjadi seperti: setting firewall yang membuka telnet sehingga dapat diakses dari luar, atau setting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.

Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :
  •  Pendekatan Preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman dan kelemahan
  • Pendekatan Detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menjadi keadaan abnormal 
  • Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan normal
Ada dua pendekatan dasar yang dipakai untuk meneliti kerentanan dan ancaman-ancaman sistem informasi, yaitu:
  1.  Pendekatan kwantitatif untuk penaksiran risiko
    Di dalam pendekatan kwantitatif untuk penaksiran risiko, setiap kemungkinan kerugian dihitung sesuai hasil biaya kerugian perorangan dikalikan dengan kemungkinan munculnya. Terdapat beberapa kesulitan di dalam menerapkan pendekatan kwantitatif untuk menaksir kerugian, antara lain kesulitan dalam mengidentifikasi biaya relevan per kerugian dan kemungkinan-kemungkinan yang terkait. Selain itu, ada juga kesulitan dalam menaksir kemungkinan dari suatu kegagalan yang memerlukan peramalan masa depan.
  2. Pendekatan kwalitatif
    Di dalam pendekatan kwalitatif, yang perlu dirinci adalah daftar kerentanan dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kontribusi setiap item tersebut terhadap total eksposur kerugian perusahaan.
Terlepas dari metoda yang digunakan, setiap analisa harus mencakup kemungkinan kerugian untuk masalah berikut ini:
  • gangguan bisnis
  • kehilangan perangkat lunak 
  • kehilangan data
  • kehilangan perangkat keras
  • kehilangan fasilitas-fasilitas
  • kehilangan layanan dan pegawai.

KERENTANAN dan ANCAMAN

Dua kategori ancaman sistem antara lain:
  1. Ancaman-ancaman aktif. Contoh ancaman aktif adalah penipuan komputer dan sabotase komputer.
  2. Ancaman-ancaman pasif. Contoh ancaman pasif adalah sistim bermasalah, seperti karena bencana alam. Sistem bermasalah juga karena kegagalan-kegagalan peralatan dan komponen.
Suatu serangan yang sukses di satu sistem informasi memerlukan akses ke perangkat keras, file data sensitif, atau program kritis. Tiga kategori individu yang bisa menimbulkan serangan ke sistem informasi antara lain karyawan sistim informasi (karyawan pemeliharaan komputer, programmer, operator komputer dan jaringan, karyawan administrasi sistim informasi, karyawan pengendalian data), pemakai, dan pengganggu (orang yang mengakses peralatan, data elektronik, atau memfile tanpa otorisasi yang tepat).

Individu Yang Menimbulkan Ancaman Keamanan Informasi:
  • Unnoticed intruders
    Seorang pelanggan bisa saja berjalan masuk ke dalam area yang tidak dijaga dan melihat data yang sensitif di dalam komputer personal yang sedang tidak ada orangnya.
  • Wiretappers
    Jaringan rentan terhadap kemungkinan wiretapper (penyadapan). Penyadapan ini bisa dilakukan, bahkan dengan peralatan yang tidak mahal (seperti sebuah tape recorder dan sepotong kabel) yang memungkinkan terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi penyadapan.
  • Piggybackers
    Salah satu jenis penyadapan yang paling canggih adalah piggybacking. Dengan metode ini, penyadap menyadap informasi legal dan menggantinya dengan informasi yang salah.
  • Impersonating intruders
    Impersonating intruders adalah individu-individu tertentu yang bertujuan melakukan kecurangan terhadap perusahaan. Tipe penyusup lain adalah mata-mata industri yang profesional, yang biasanya memasuki melalui pintu samping dengan menggunakan identitas karyawan atau servis.
  • Eavesdroppers
    Standar yang banyak digunakan di unit display video menghasilkan interferensi elektromagnetik pada satu frekuensi, yang dapat ditangkap dengan seperangkat televisi sederhana.
Ancaman Aktif Sistem Keamanan Informasi:
  • Manipulasi Input
    Dalam banyak kasus kejahatan komputer, manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
  • Mengubah Program
    Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat digunakan utnuk mendeteksi adanya perubahan dalam program.
  • Trapdoor
    Trapdoor merupakan sebagian program komputer yang memungkinkan seseorang mengakses program dengan mengabaikan jalur keamanan program tersebut.
  • Mengubah File Secara Langsung
    Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong (bypass) proses normal untuk menginputkan data ke dalam program komputer. 
  • Pencurian Data
    Pencurian data penting merupakan salah satu masalah yang cukup dalam dunia bisnis hari ini. Dalam industri dengan tingkat persaingan merupakan salah satu informasi yang cukup diburu.
  • Sabotase
    Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat lunak dapat menyebabkan kebangkrutan suatu perusahaan. Karyawan tidak puas, khususnya yang telah dipecat, biasanya merupakan pelaku sabotase utama. Kuda troya merupakan sebuah program yang destruktif yang berkamuflase seolah-olah ia merupakan program yang legal. Worm merupakan satu jensi virus yang menyebarkan dirinya melalui jaringan komputer. Kata virus ada kalanya mencakup juga semua program yang mengandung niat jahat, termasuk bom logika, kuda troya dan worm. Bentuk sabotase yang lain adalah serangan denial-of-service.
  • Penyalahgunaan atau Pencurian Sumber Daya Informasi
    Salah satu jenis penyalahgunaan informasi terjadinya pada saat seseorang menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.
(Materi ini ditulis oleh Bapak Dudi Rojudin, disampaikan dalam Diklat Teknis Jaringan Komunikasi BMKG Tahun 2020)
Tags:

Posting Komentar

0 Komentar