Dalam Rancangan Undang-Undang Tindak Pidana di Bidang Teknologi Informasi, terdapat pasal-pasal yang mengisyaratkan perusahaan memelihara dan menjaga catatan (log) transaksi elektronik yang diperlukan sebagai bukti elektronik. Pasal-pasal ini akan memaksa perusahaan untuk lebih serius menangani kegiatan pencatatan, yang saat ini sepertinya banyak yang tidak atau kurang peduli.

Pernah suatu kali saya bertanya kepada administrator jaringan, yang juga merangkap sebagai administrator keamanan, mengenai apakah pernah terjadi gangguan keamanan yang berarti. Jawabannya adalah tidak; alasannya karena mereka sudah menerapkan firewall dan anti virus, dan sampai saat itu web site mereka tidak ada yang meng-hack. Selanjutnya saya bertanya lagi apakah pernah ada orang yang tidak berwewenang mencoba-coba mengakses jaringan mereka walaupun tidak berhasil. Jawabannya, sekali lagi tidak. Terakhir saya bertanya apakah mereka mempunyai catatan mengenai siapa-siapa saja yang mengakses peralatan jaringan mereka. Dan, sekali lagi jawabannya tidak.

Mengapa begitu sulit melakukan pencatatan? Umumnya bukan karena produk yang digunakan tidak mempunyai fasilitas pencatatan, tetapi karena alasan lain seperti :

Terlalu mengandalkan pada usaha-usaha pencegahan.
Seringkali setelah melakukan analisis risiko dan menentukan bentuk kontrol pengamanan untuk mengurangi terjadinya risiko tersebut, orang lupa akan risiko residu yang mungkin tidak dapat sama sekali dicegah oleh kontrol yang telah ditentukan. Mengandalkan hanya pada usaha-usaha pencegahan bertendensi sama saja dengan mengabaikan usaha-usaha pendeteksian risiko residu.

Kegiatan pencatatan menggangu performansi.
Pernyataan ini memang tidak dapat disangkal. Tetapi, seharusnya kegiatan pencatatan ini tidak mengangu performansi secara signifikan. Jika itupun terjadi seringkali disebabkan karena pengaturan yang tidak tepat dalam konfigurasi pencatatan, sehingga semua kegiatan baik yang penting maupun tidak penting dicatat, yang tentunya hal itu membebani sistem.

Pencatatan menambah biaya, waktu, dan tenaga.
Sekali lagi pernyataan ini juga tidak dapat disangkal. Tetapi, pernyataan ini seringkali dijadikan alasan karena pada saat melakukan anggaran pembelanjaan, manajemen lupa memasukkan biaya untuk melakukan kegiatan pencatatan. Tidak dicantumkannya kegiatan pencatatan ini dalam job description seseorang dan tidak digunakannya kegiatan pencatatan sebagai faktor dalam appraisal membuat kegiatan ini dianggap sebagai kegiatan yang percuma. Jika RUU TiPiTI sudah disahkan menjadi undang-undang, seharusnya kegiatan ini menjadi kegiatan yang mempunyai bobot yang cukup besar karena seorang administrator menjadi bertanggung jawab secara hukum.

Tidak tahu bagaimana cara melakukan pencatatan dan apa yang harus dicatat.
Ketidaktahuan akan cara kerja suatu produk dan ketidaktahuan akan aspek bisnis kenapa produk ini digunakan dapat menjadi penghalang seseorang melakukan pencatatan.

Jika kendala-kendala ini sudah dapat diatasi, maka akan lebih mudah bagi perusahaan untuk memulai kegiatan pencatatan. Sekarang tinggal bagaimana membuat hasil pencatatan dapat digunakan sebagai bukti-bukti elektronik.

Berikut ini beberapa tips yang dapat dijadikan acuan:

Simulasikan kejadian.
Kegiatan ini berupa forum diskusi yang dimulai dengan melemparkan pertanyaan-pertanyaan seputar pendeteksian tindak kejahatan. Sebagai contoh, hal apa saja yang memungkinkan orang secara tidak sah mengubah nilai account seseorang, catatan informasi apa saja yang dapat digunakan untuk mendeteksi hal tersebut, bagaimana cara mendapatkan catatan informasi tersebut. Umumnya peran divisi/departemen teknologi informasi hanya dalam menjawab pertanyaan terakhir, sedangkan pertanyaan lainnya akan dapat dijawab secara komprehensif oleh si pemilik aplikasi tersebut.

Multi sumber.
Pencatatan dari berbagai sumber akan lebih membantu pelacakan, lebih akurat dan lebih dapat dipercaya ketimbang dari satu sumber saja (lihat kasus melacak surat kaleng).

Waktu dan sinkronisasi waktu.
Setiap rekord catatan harus mempunyai informasi tanggal dan waktu, dan waktu antar mesin harus sinkron. Perbedaan waktu antar mesin dapat menyebabkan hasil pencatatan dari dua atau lebih sumber yang yang sebenarnya saling berkaitan menjadi tidak relevan.

Bedakan mesin yang mengeluarkan catatan dan yang menyimpan catatan.
Jika memungkinkan hasil catatan suatu sistem atau aplikasi disimpan/ditransfer secara otomatis ke mesin yang berbeda. Gunakan kontrol akses untuk melindungi mesin penyimpan hasil catatan ini dari akses yang tidak berwewenang termasuk dari administrator sistem/aplikasi.

Pastikan hasil catatan tidak dimodifikasi.
Pastikan arsip pencatatan mempunyai tanda tangan digital atau check sum sebelum dipindahkan ke media lain seperti tape. Hal ini berguna untuk menguji apakah data di tape tidak dimodifikasi pada saat di-restore.

Informasi asli/mentah bukan ringkasan.
Hanya sekedar ringakasan catatan sulit dapat diterima sebagai bukti dalam pengadilan.

Masukkan kegiatan pencatatan sebagai bagian dari kebijakan perusahaan dan dokumentasikan prosedur pencatatannya.

Selain untuk konsistensi, hal ini dapat menunjukkan kepada pengadilan bahwa perusahaan melakukan pencatatan sebagai kegiatan rutin, bukan kegiatan yang diadakan karena ada suatu kejadian kejahatan.•

Agus Pracoyo •channel manager / security consultant pada PT. Indokom Primanusa dengan alamat e-mail: pracoyo@ipnsecurity.com