Terdapat berbagai definisi Internet, salah satunya adalah suatu jaringan komputer global yang terbentuk dari jaringan-jaringan komputer lokal dan regional dan memungkinkan komunikasi data antar komputer-komputer yang terhubung ke jaringan tersebut.
Layanan yang ada dalam jaringan Internet yaitu Electronic Mail (e-mail), News- USENET, File Transfer Protocol (FTP), Remote Login – Telnet, World Wide Web (www), Teleconference, dan sebagainya.
Informasi saat ini sudah menjadi sebuah komoditi
yang sangat penting. Bahkan ada yang mengatakan
bahwa kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan
informasi secara cepat dan akurat menjadi sangat
esensial bagi sebuah organisasi, baik yang berupa
organisasi komersial (perusahaan), perguruan tinggi,
lembaga pemerintahan, maupun individual (pribadi). Oleh karena itu, keamanan informasi menjadi sangat penting, untuk melindungi data agar tidak disalahgunakan atau diakses oleh pihak yang tidak berhak. Jadi, computer security adalah tentang bagaimana kita dapat mencegah penipuan
(cheating) atau, paling tidak, mendeteksi adanya
penipuan di sebuah sistem yang berbasis
informasi, dimana informasinya sendiri tidak
memiliki arti fisik.
Contoh kasus pembobolan keamanan yaitu pada tanggal 16-17 April 2004, di mana seorang konsultan IT bernama Dani menyerang sistem pertahanan website KPU. Begitu
’sukses’ menembus website KPU, hacker muda itu
meng-update tabel nama partai dan mengacak
jumlah perolehan suaranya (dikalikan 10). Nama-nama peserta pemilu langsung diganti. Yang jelas,
nama-nama baru parpol yang diduga karya iseng
Dani itu menyebabkan negeri ini geger. Juga pada tahun 2009, saat situs resmi Kabupaten Nganjuk berhasil
dikerjai hacker. Situs tersebut disusupi dengan
konten video porno.
Jumlah kejahatan komputer (computer crime), terutama
yang berhubungan dengan sistem informasi, akan terus
meningkat dikarenakan beberapa hal, antara lain:
- Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer semakin meningkat.
- Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan lebih banyak operator dan administrator yang handal. Padahal mencari operator dan administrator yang handal adalah sangat sulit.
- Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani.
- Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
- Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat.
- Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan.
- Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti Internet. Potensi sistem informasi yang dapat dijebol menjadi lebih besar.
Menurut Survey Information Week (USA), dari 1271
system/network manager, hanya 22%
yang menganggap keamanan sistem
informasi sebagai komponen penting. Itu artinya, kesadaran akan masalah keamanan masih
rendah.
Masalah ini akhirnya pun berdampak kepada
6 hal yang utama dalam sistem informasi, yaitu efektifitas, efisiensi, kerahasiaan, integritas, keberadaan (availability), kepatuhan (compliance), dan keandalan (reliability).
Adapun kriteria yag perlu di perhatikan dalam masalah keamanan
sistem informasi membutuhkan 10 domain keamanan yang perlu diperhatikan yaitu :
- Akses kontrol sistem yang digunakan
- Telekomunikasi dan jaringan yang dipakai
- Manajemen praktis yang di pakai
- Pengembangan sistem aplikasi yang digunakan
- Cryptographs yang diterapkan
- Arsitektur dari sistem informasi yang diterapkan
- Pengoperasian yang ada
- Business Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
- Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
- Tata letak fisik dari sistem yang ada
Jadi, sistem keamanan informasi merupakan suatu subsistem dalam
suatu organisasi yang bertugas
mengendalikan risiko terkait dengan
sistem informasi berbasis-komputer.
Sistem keamanan informasi memiliki
elemen utama sistem informasi, seperti
perangkat keras, database, prosedur,
dan pelaporan.
Siklus Hidup Keamanan Sistem Informasi
Sistem keamanan komputer dikembangkan dengan
menerapkan metoda-metoda yang telah mapan yang
terdiri dari : analisis sistem; desain; implementasi; dan
operasi, evaluasi, serta kendali.
Fase Siklus Hidup | Tujuan |
---|---|
Analisis sistem | Analisis kerentanan sistem dalam arti mengacu yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut. |
Desain sistem | Desain ukuran keamanan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi |
Implementasi sistem | Menerapkan ukuran keamanan seperti yang telah didesain. |
Operasi, evaluasi, dan pengendalian sistem | Mengoperasikan sistem dan menaksir efektivitas dan efisiensi. Membuat perubahan sebagaimana diperlukan sesuai dengan kondisi yang ada |
ANCAMAN (threats) terhadap keamanan sistem informasi adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu:
- Ancaman Alam
Yang termasuk dalam kategori ancaman alam terdiri atas :
- Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai, pencairan salju
- Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
- Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut - Ancaman Manusia
Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :
- Malicious code
- Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures
- Social engineering
- Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor
- Kriminal
- Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
- Teroris
- Peledakan, Surat kaleng, perang informasi, perusakan - Ancaman Lingkungan
Yang dapat dikategorikan sebagai ancaman lingkungan seperti :
- Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lama
- Polusi
- Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll
- Kebocoran seperti A/C, atap bocor saat hujan
KELEMAHAN (Vulnerability)
Adalah cacat atau kelemahan dari suatu
sistem yang mungkin timbul pada saat
mendesain, menetapkan prosedur,
mengimplementasikan maupun kelemahan
atas sistem kontrol yang ada sehingga
memicu tindakan pelanggaran oleh pelaku
yang mencoba menyusup terhadap sistem
tersebut. Cacat sistem bisa terjadi pada prosedur,
peralatan, maupun perangkat lunak yang
dimiliki, contoh yang mungkin terjadi
seperti: setting firewall yang membuka
telnet sehingga dapat diakses dari luar,
atau setting VPN yang tidak di ikuti oleh
penerapan kerberos atau NAT.
Suatu pendekatan keamanan sistem informasi minimal
menggunakan 3 pendekatan, yaitu :
- Pendekatan Preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman dan kelemahan
- Pendekatan Detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menjadi keadaan abnormal
- Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan normal
Ada dua pendekatan dasar yang dipakai
untuk meneliti kerentanan dan ancaman-ancaman sistem informasi, yaitu:
- Pendekatan kwantitatif untuk penaksiran
risiko
Di dalam pendekatan kwantitatif untuk penaksiran risiko, setiap kemungkinan kerugian dihitung sesuai hasil biaya kerugian perorangan dikalikan dengan kemungkinan munculnya. Terdapat beberapa kesulitan di dalam menerapkan pendekatan kwantitatif untuk menaksir kerugian, antara lain kesulitan dalam mengidentifikasi biaya relevan per kerugian dan kemungkinan-kemungkinan yang terkait. Selain itu, ada juga kesulitan dalam menaksir kemungkinan dari suatu kegagalan yang memerlukan peramalan masa depan. - Pendekatan kwalitatif
Di dalam pendekatan kwalitatif, yang perlu dirinci adalah daftar kerentanan dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kontribusi setiap item tersebut terhadap total eksposur kerugian perusahaan.
Terlepas dari metoda yang digunakan, setiap
analisa harus mencakup kemungkinan
kerugian untuk masalah berikut ini:
- gangguan bisnis
- kehilangan perangkat lunak
- kehilangan data
- kehilangan perangkat keras
- kehilangan fasilitas-fasilitas
- kehilangan layanan dan pegawai.
KERENTANAN dan ANCAMAN
Dua kategori ancaman sistem antara lain:
- Ancaman-ancaman aktif. Contoh ancaman aktif adalah penipuan komputer dan sabotase komputer.
- Ancaman-ancaman pasif. Contoh ancaman pasif adalah sistim bermasalah, seperti karena bencana alam. Sistem bermasalah juga karena kegagalan-kegagalan peralatan dan komponen.
Individu Yang Menimbulkan Ancaman
Keamanan Informasi:
- Unnoticed intruders
Seorang pelanggan bisa saja berjalan masuk ke dalam area yang tidak dijaga dan melihat data yang sensitif di dalam komputer personal yang sedang tidak ada orangnya. - Wiretappers
Jaringan rentan terhadap kemungkinan wiretapper (penyadapan). Penyadapan ini bisa dilakukan, bahkan dengan peralatan yang tidak mahal (seperti sebuah tape recorder dan sepotong kabel) yang memungkinkan terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi penyadapan. - Piggybackers
Salah satu jenis penyadapan yang paling canggih adalah piggybacking. Dengan metode ini, penyadap menyadap informasi legal dan menggantinya dengan informasi yang salah. - Impersonating intruders
Impersonating intruders adalah individu-individu tertentu yang bertujuan melakukan kecurangan terhadap perusahaan. Tipe penyusup lain adalah mata-mata industri yang profesional, yang biasanya memasuki melalui pintu samping dengan menggunakan identitas karyawan atau servis. - Eavesdroppers
Standar yang banyak digunakan di unit display video menghasilkan interferensi elektromagnetik pada satu frekuensi, yang dapat ditangkap dengan seperangkat televisi sederhana.
Ancaman Aktif Sistem Keamanan Informasi:
- Manipulasi Input
Dalam banyak kasus kejahatan komputer, manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer. - Mengubah Program
Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat digunakan utnuk mendeteksi adanya perubahan dalam program. - Trapdoor
Trapdoor merupakan sebagian program komputer yang memungkinkan seseorang mengakses program dengan mengabaikan jalur keamanan program tersebut. - Mengubah File Secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong (bypass) proses normal untuk menginputkan data ke dalam program komputer. - Pencurian Data
Pencurian data penting merupakan salah satu masalah yang cukup dalam dunia bisnis hari ini. Dalam industri dengan tingkat persaingan merupakan salah satu informasi yang cukup diburu. - Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat lunak dapat menyebabkan kebangkrutan suatu perusahaan. Karyawan tidak puas, khususnya yang telah dipecat, biasanya merupakan pelaku sabotase utama. Kuda troya merupakan sebuah program yang destruktif yang berkamuflase seolah-olah ia merupakan program yang legal. Worm merupakan satu jensi virus yang menyebarkan dirinya melalui jaringan komputer. Kata virus ada kalanya mencakup juga semua program yang mengandung niat jahat, termasuk bom logika, kuda troya dan worm. Bentuk sabotase yang lain adalah serangan denial-of-service. - Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadinya pada saat seseorang menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.
(Materi ini ditulis oleh Bapak Dudi Rojudin, disampaikan dalam Diklat Teknis Jaringan Komunikasi BMKG Tahun 2020)
0 Komentar