 |
| Ifik Arifin, pengamat TI dan Presiden
Direktur Inixindo |
Masih ingat Kevin Mitnick? Kisahnya yang dijadikan film “Take
Down” dan menjadi “hero” bagi kalangan hacker,
kali ini justru menjadi korban serangan hacker. Website perusahaannya,
Computer Security, di deface oleh hacker dan meninggalkan
pesan “Welcome back to freedom, Mr. Kevin”. Beruntung,
tidak ada informasi serius yang dicuri dari aksi tersebut.
Pembobolan website dengan cara men-deface atau melalui virus
memang bukan hal baru. Hal ini kini menjadi kisah klasik yang
menarik. Betapa tidak! Program anti virus selalu berinovasi
dengan berbagai produknya, sementara virus baru muncul dengan
beragam nama. Dari tahun ke tahun, pengguna komputer disuguhi
kondisi diserang atau malah bertahan jika tidak takut terinfeksi.
Kondisi inilah yang tampaknya mengilhami Roger Thompson, pengasuh
situs web WormWatch, yang juga pakar sistem keamanan, untuk
memberikan warning bagi mereka yang bekerja di bidang teknologi
informasi untuk siap-siap menghadapi penulis-penulis virus,
worm dan program kuda Trojan secara lebih serius di tahun
2003.
Thompson, yang juga direktur teknik dalam penelitian kode-kode
jahat di TruSecure, memperkirakan tahun 2003 akan menjadi
tahun yang sulit dalam hal keamanan sistem dibanding tahun
2002. Gangguan keamanan itu tidak lagi melewati virus-virus
yang menyebar lewat e-mail, tapi lebih cenderung berasal dari
program-program yang mampu menyusup ke jaringan. “Kita
akan menghadapi ancaman lebih serius di tahun 2003,”
ramalnya seperti dikutip internetweek.com.
“Masa kejayaan worm yang dikirim lewat e-mail telah
lewat,” ujar Thompson. Banyak perusahaan kini menyaring
setiap e-mail yang masuk, dan, yang lebih penting, mereka
juga menolak attachment-attachment yang dapat diaktifkan (executable),
yang sering kali dipakai worm untuk mengaktifkan diri. “Hal
itu membantu mengurangi potensi penyebaran worm e-mail lebih
lanjut,” tambahnya.
Di awal 2003 ini, hasil pengamatan kalangan peneliti seperti
dikutip Reuters, menemukan virus worm Slammer hanya membutuhkan
waktu 10 menit untuk membuat chaos pengguna internet. Dalam
menit pertama penyebarannya, jumlah virus Slammer berlipat
dua kali setiap 8,5 detik. Kecepatannya jauh di atas worm
Code Red - yang menyebar 18 bulan lalu - yang berlipat dua
setiap 37 menit.
Amerika Serikat dan Korea Selatan tercatat paling parah dihantam
serangan virus Slammer. Dua negara sekutu militer itu masing-masing
menyumbang 43 persen dan 12 persen dari total komputer yang
terinfeksi Slammer di seluruh dunia. Karenanya, Thompson menyarankan
agar perusahaan lebih memperhatikan keamanan jaringan internalnya
daripada mengkhawatirkan ancaman yang datang lewat e-mail.
“Mereka sebaiknya memperhatikan jaringan dan memperkuatnya
sehingga kalau ada penyusup, ia tidak bisa menyebar,”
sarannya.
Berdasarkan survey FBI bekerja sama dengan CSI (Computer Security
Institute) bahwa rata-rata hampir semua perusahaan pernah
mengalami kejahatan teknologi yang disebabkan oleh penyusupan
(intrusion), program trojan, virus dan sebagainya. Sebanyak
75% itu setelah dilacak ternyata berasal dari internal penggunanya.
Dengan kondisi ini, lantas apa yang bisa dilakukan untuk mencegah
kejadian ini? Apakah dengan memasang berbagai teknologi security
lantas jaringan kita sudah aman dari pembobolan?
Membangun Awarenes
Menurut Ifik Arifin, pengamat information security system,
untuk menghindari ancaman baik dalam bentuk virus maupun hacker
sebaiknya perusahaan memperbesar awarenes mulai dari top management
hingga yang paling bawah. Memang biaya yang dikeluarkan cukup
tinggi, karena harus up to date dan selalu sigap menghadapi
ancaman. “Inixindo memberikan konsultasi atau traning-traning
ke arah awarenes. Karena awarenes itu salah satu kunci menghindari
virus”, katanya.
Lebih lanjut Ifik mengatakan tantangan kita sekarang ini adalah
“balapan” antara pembuat virus dengan anti virus,
sementara kita yang menjadi korban. Artinya, setiap ada program
anti virus keluar, terus ada virus baru lagi. Kita tidak mungkin
melakukan hal seperti itu setiap hari, walaupun tetap saja
kita mesti back up data. Jadi kita memang harus asumsikan
bahwa sistem ini suatu saat akan terkena virus. Karenanya,
kita preventif dulu, kita siapkan firewall, segala macam
kita siapkan. Tapi, semua itu tidak ada gunanya jika tidak
ada awarenes. “Yang mesti di didik itu orangnya dulu.
Bagaimana dia mengenal bahaya-bahayanya, cara-cara menghindarinya,
Insya Allah jadi lebih sedikit ancamannya”, tutur Ifik
Arifin yang juga President Director Inixindo Jakarta.
Defense atau prevention (pencegahan) merupakan tahap yang
harus dibangun terlebih dahulu dalam suatu organisasi, di
mana tahap ini harus eksis di perusahaan. Dalam tahap ini
banyak yang harus dilakukan karena merupakan yang terpenting
di antara semua tahap yang lain. Tahap awal ini mencakup perencanaan,
risk assessment, cost-benefit analysis, threat identification
dan implementasi. Dalam tahap ini ditentukan apa yang menjadi
ancaman bagi perusahaan dan identifikasi risiko yang bisa
terjadi, juga berapa total biaya yang harus dikeluarkan untuk
implementasi tahap ini.
Yang paling penting adalah inisiatif tersebut perlu dukungan
manajemen perusahaan dari tingkat paling atas sampai bawah
dan adanya security policy efektif yang bisa dijadikan pedoman
pelaksanaan. Karena policy ini juga berisi sanksi atau hukuman
yang bisa dikenakan kepada para karyawan apabila tidak mengikuti
aturan yang sudah ditetapkan oleh perusahaan.
Bagi Ifik Arifin, langkah yang perlu ditempuh perusahaan adalah
membuat security policy itu dalam bentuk kebijakan perusahaan.
Security policy ini, misalnya, jika menerima pegawai baru,
maka pegawai itu harus di didik tentang awarenes anti virus.
Jika ingin membuka e-mail, harus discan dulu. Cara seperti
itu masuk ke dalam security policy perusahaan.
Selain itu, jika ada pegawai yang keluar, akses ke database
harus terhenti. Jika tidak, berarti tidak ada policy dan jika
pun ada tidak dijalankan. Lantas, siapa yang bertanggung jawab?
Karenanya, harus ada orang yang bertanggung jawab untuk masalah
ini dan itu akan terlaksana jika ada security system-nya.
“Umumnya, perusahaan di Indonesia security policy-nya
tidak ada. Kalau pun ada implemenstasinya belum”, ujar
Ifik seraya menambahkan bahwa perusahaan keuangan dan perbakan
yang rentan terhadap ancaman ini.
Security Policy
Masih banyak perusahaan di Indonesia yang kurang menyadari
security system-nya, kecuali perusahaan multinasional. Itupun
lantaran headquarter merekalah yang mengharuskan menerapkan
policy di perusahaan mereka di Indonesia.
Kasus yang sempat menjadi perbincangan menarik adalah ketika
BCA meluncurkan salah satu produk barunya, yaitu Internet
Banking yang bisa diakses melalui www.klikbca.com. Menurut
Andre Sutisna, Chief Manager Information Technology Division,
BCA, ketika meluncurkan Internet Banking, BCA sudah melakukan
beberapa review dan meminta konsultan agar melakukan present
test untuk mengetahui sejauhmana tingkat kemanannya. Hingga
saat ini memang masih terbilang aman, walaupun tidak seratus
persen. Soalnya, masih terbuka lubang baru karena para hacker
selalu berlomba-lomba untuk mencari celah kosong. Karenanya,
untuk mencegah celah kosong ini BCA juga menerapkan security
policy yang berlaku untuk seluruh karyawan mulai top manager,
staf, biro, bahkan melakukan sosialisasi security system ini
hingga ke cabang-cabang di daerah.
 |
| Andre Sutisna, Chief Manager Information
Technology Division, BCA |
Dari beberapa basic policy-nya itu ada yang mengenai pengklasifikasian
informasi. Semua karyawan harus mengetahui semua mulai dari
informasi yang bersifat umum, rahasia, memo dan lainnya. Selain
itu, ada user policy yang berkaitan dengan komputer. “Dari
dasar itu untuk semua yang berkaitan dengan teknologi informasi,
mesti mengacu ke security policy tersebut,” tambahnya.
Mengenai security policy di BCA, Andre mencontohkan jika ada
karyawan baru, misalnya, dia harus memiliki ID. Dalam form
ID itu terdapat policy tentang apa saja yang mesti dilakukan,
dan konsekuensinya. “Kalau di satu unit ada yang keluar,
seorang security administrator di unit itu harus melapor,
karena dia yang bertanggung jawab untuk memelihara user ID
dan sekaligus mematikannya,” jelasnya.
Namun, kendati sudah ada policy yang berkaitan dengan aplikasi
penggunaan komputer di BCA, Andre mengkhawatirkan justru yang
terserang itu adalah Internet Banking. Pasalnya, akses dapat
dilakukan melalui peralatan yang bukan milik bank dan bisa
dilakukan dimana saja. Karenanya, di BCA ada yang namanya
hardening, di mana beberapa server yang tidak diperlukan diafkir.
Di samping itu, BCA juga menggunakan jasa IT Security Company.
Kini, perhatian terhadap sistem keamanan informasi sudah mulai
meningkat dipicu oleh munculnya sejumlah kasus yang mengakibatkan
kerugian baik dalam bentuk materi maupun non-materi. Dengan
semakin banyaknya kasus-kasus kejahatan internet, perusahaan-perusahaan
juga harus lebih aware terhadap sistem keamanan informasinya.
Sistem keamanan yang harus diperhatikan oleh kalangan korporasi
ini mencakup aspek fisik, personel, teknik, data, jaringan,
kebijakan, prosedur, serta kultur kerja perusahaan. Dalam
hal ini layanan security yang perlu disediakan adalah proteksi
data yang sensisif, informasi yang tidak berubah tanpa izin,
jaminan keaslian data, kejelasan sumber, pengakses dan server,
ketersediaan data, non repudiation, serta access control.•rf |
