Kecil-kecil cabe rawit. Itulah julukan pas untuk media penyimpanan data yang sangat populer saat ini, USB Flash Drive. Bentuknya yang kecil dan ringan, sehingga mudah dibawa ke mana-mana. Meski kecil, tapi kapasitas penyimpanannya relatif besar. Anda bisa memilih kapasitas mulai dari 32MB hingga 4GB. Cukup memadai untuk menyimpan dokumen Word maupun file presentasi yang sering Anda bawa atau pindahkan ke tempat lain.

Saat ini, media penyimpanan portabel tak cuma hadir dalam bentuk USB drive. Hampir semua gadget elektronik terbaru yang ada di pasar, saat ini, memiliki kapabilitas menyimpan dan memindahkan data. Sebut saja smartphone , pemutar MP3, PDA atau handheld PC, hingga pemutar musik portabel paling sensasional saat ini, iPod. Berbicara kapasitas penyimpanan, berbagai gadget memiliki kapasitas yang jauh lebih besar ketimbang rata-rata USB Flash Drive . iPod misalnya, salah satu modelnya memiliki kapasitas sebesar 60GB. Bisa Anda bayangkan, berapa banyak data yang bisa dibawa di genggaman Anda.

Tak dapat disangkal, USB Flash Drive maupun piranti elektronik lainnya, yang memiliki kapabilitas sejenis, merupakan perangkat yang sangat berharga bagi para road warrior . Kemudahan menyimpan data dan dokumen, serta membawanya ke mana saja, termasuk membawa file-file pekerjaan kantor untuk dikerjakan di rumah, membuat perangkat ini sulit diabaikan begitu saja.

Terlepas dari manfaatnya yang besar, dan mungkin banyak orang yang sangat terbantu, USB Flash Drive maupun piranti data storage portabel atau removable drive, pada umumnya, memiliki sifat bak pisau bermata dua. Ukuran yang kecil dan kapasitas penyimpanan yang besar membuat piranti ini berpotensi menjadi piranti yang berbahaya di tangan orang-orang yang tidak bertanggung jawab. Anda tidak perlu menjadi seorang ahli atau administrator jaringan untuk memasang piranti ini di komputer Anda. Begitu piranti ini terhubung ke jaringan (melalui komputer Anda), jaringan Anda pun menghadapi dua ancaman utama: penyusupan virus atau malicious software dan pencurian/kehilangan data. Kecuali Anda mematikan seluruh port USB yang ada di semua komputer, maka akan sulit mempertahankan diri dari ancaman seperti itu.

Ancaman itu bukan tidak disadari para pengelola TI. Namun, dari sejumlah riset terungkap mereka ‘menutup mata' terhadap masalah itu. Contoh menarik adalah hasil riset yang dilakukan terhadap kalangan profesional TI di Inggris. Dalam riset bertajuk “Removable Media in the Workplace”, yang dilakukan perusahaan spesialis security untuk aplikasi mobile , Pointsec, terungkap bahwa USB Flash Drive kini secara rutin digunakan oleh sebagian besar karyawan di mayoritas perusahaan-perusahaan Inggris. Di sisi lain, sangat sedikit perusahaan yang mengambil tindakan untuk mengatasi masalah itu. Ironisnya, lebih dari dua pertiga profesional TI di Inggris, yang menggunakan USB Flash Drive, mengaku bahwa mereka tidak melindungi data mereka dengan semacam enkripsi, sekalipun menyadari potensi bahaya yang bakal dihadapi.

Dari survei itu pula terungkap bahwa sejumlah besar perusahaan di Inggris belum mengambil tindakan yang diperlukan untuk mengatasi masalah tersebut. Padahal, menurut Pointsec, dengan semakin murahnya perangkat data storage portable , kapasitas yang terus meningkat, dan semakin banyak penggunanya, sudah sepatutnya perusahaan menyadari bahwa kini orang dapat dengan mudah memanfaatkannya, kehilangan atau bahkan membawa kabur informasi penting yang tersimpan di dalamnya. Dan, semua dalam genggaman tangan mereka.

Ancaman removable drive

Sebenarnya, seberapa besar sih potensi ancaman yang ditimbulkan USB Flash Drive, maupun data storage portable lainnya? Kalau kita kembali ke tahun 80-an, mungkin Anda masih ingat ketika floppy disk berperan sebagai vektor (wahana pembawa virus) untuk menyebarkan virus komputer. Karena, ketika itu media ini memang umum digunakan sebagai sarana tukar-menukar data.

Ketika jaringan dan Internet semakin populer menjadi sarana tukar-menukar informasi, virus pun menyebar lewat e-mail, atau melalui file sharing melalui web. Para administrator jaringan, umumnya, mampu menangkal ancaman itu dengan memasang piranti lunak anti-virus di server-server email-nya, serta menghadang akses ke situs-situs tertentu dengan piranti firewall -nya. Sayangnya, penggunaan removable drive dapat ‘mementahkan' segala upaya pengamanan itu. Para pengguna bisa membawa file yang terinfeksi dari rumahnya, atau membawa pulang file-file pekerjaan ke PC yang sudah terinfeksi, meng update nya, dan keesokan harinya file tersebut disimpan kembali ke file server di kantor.

Skenario lainnya adalah, para pengguna dapat memanfaatkan perangkat ini untuk membawa file seperti program shareware , MP3, klip video atau file lainnya, yang sebenarnya tidak patut dibawa atau dimasukkan ke komputer perusahaan. Bukan tidak mungkin, program-program shareware itu sudah disusupi program-program tersembunyi seperti adware , atau bahkan spyware dan keylogger , yang memungkinkan hacker mencuri password atau informasi-informasi sensitif lainnya.

Potensi ancaman penyalahgunaan perangkat USB Flash Drive maupun removable media lainnya adalah pencurian data-data proprietary milik perusahaan. Ancaman seperti itu bukanlah ancaman yang ringan. Di Amerika Serikat, dalam konteks kerugian perusahaan akibat insiden pembobolan information security , pencurian proprietary data milik korporat menempati urutan ketiga, di bawah kerugian akibat virus dan unauthorized access . Menurut survei yang dilakukan Computer Security Institute (CSI) dan biro penyelidik federal AS, FBI, terhadap sekitar 600-an responden perusahaan yang dilakukan awal 2005. Nilai kerugian akibat pencurian data itu mencapai 30,9 juta dolar AS.

Para pencuri data itu bisa dari kalangan hacker , mata-mata korporat atau bahkan karyawan perusahaan itu sendiri. Motifnya bisa karena persaingan bisnis maupun faktor ekonomi. Mungkin Anda bisa belajar dari kasus karyawan AOL yang menjual data 93 juta alamat e-mail dan data-data pribadi pelanggan AOL ke para spammer dengan harga 52.000 dolar AS, dan kemudian menjual data-data lainnya seharga 100.000 dolar AS.

Kasus itu, setidaknya, memberi gambaran betapa menggiurkannya nilai ekonomis data-data korporat, yang mungkin hampir setiap hari diakses oleh sebagian besar karyawan perusahaan. Dengan modal sebuah USB drive , sebuah PC yang tidak terkunci password dan memiliki port USB, berbagai kesempatan terbuka lebar.

Dengan kecepatan transfer rata-rata 1MB per detik, data perusahaan sebesar 120MB dapat dipindahkan hanya dalam dua menit saja. Dari segi berapa banyak informasi yang bisa dipindahkan, Anda bisa bayangkan sendiri, ketika Anda memanfaatkan perangkat pemutar MP3 berkapasitas 20GB. Taruhlah, sebuah file word rata-rata berukuran 100kb, artinya dalam pemutar itu Anda bisa menyimpan sekitar 250.000 dokumen. Jadi, bayangkan saja kalau kapasitasnya mencapai 60GB atau 100GB!

Di sisi lain, portabilitas USB Flash Drive juga berpotensi menimbulkan masalah tersendiri. Seperti perangkat-perangkat lain yang bersifat portable , misalnya notebook atau PDA, removable drive juga rentan terhadap kerusakan fisik, hilang atau tercuri. Dengan form factor yang semakin kecil, misalkan USB Flash Drive seukuran gantungan kunci, tentu risikonya semakin besar. Apalagi, kalau Anda perhatikan cukup banyak pengguna yang mengalungkan USB drive -nya di leher, layaknya aksesoris. Kecuali file-file yang tersimpan dalam USB drive dienkripsi, atau Anda menggunakan perangkat removable drive yang dilengkapi perangkat keamanan, misalnya keamanan biometrik, bisa Anda bayangkan jika USB drive tersebut hilang dan jatuh ke tangan orang yang tak berhak.

Tidak Mudah

Menghilangkan ancaman-ancaman yang ditimbulkan removable media memang cukup sulit. Melarang penggunaan USB drive atau membawanya ke lingkungan kantor, mungkin sulit diterapkan. Pasalnya, perangkat seperti itu penggunaannya semakin luas, dan harganya pun semakin murah. Bentuknya yang semakin kecil membuatnya semakin mudah disembunyikan. Apalagi, kini, berbagai model USB Flash Drive dikemas dalam berbagai model yang stylish , sulit dibedakan dengan aksesoris pribadi. Kecuali jika Anda menerapkan kebijakan menggeledah karyawan setiap keluar/masuk lingkungan perusahaan, yang tentunya juga sulit diterapkan.

Langkah paling feasible adalah sejak awal mengedukasi pengguna mengenai berbagai risiko yang bisa ditimbulkan akibat penggunaan perangkat itu. Selain itu, seperti saran seorang praktisi mobile security , Magnus Ahlberg, yang juga managing director Pointsec, perusahaan juga perlu mengingatkan para karyawannya bahwa perangkat-perangkat, yang bukan milik perusahaan, tidak diizinkan terhubung ke jaringan korporat.

Dari sisi teknis, cara paling mudah untuk menangkal penyalahgunaan penggunaan perangkat removable media adalah mematikan fungsi port USB di seluruh komputer milik Anda. Tapi, seperti dikatakan Brant Hubbard, general manager Centennial Software , perusahaan sekuriti yang berbasis di Inggris, Anda perlu menyeimbangkan fungsi dan keamanannya.

“Mengunci seluruh port USB merupakan tindakan yang kontra produktif. Karena, tidak hanya menyebabkan terblokirnya akses storage portable , tetapi juga perangkat-perangkat lainnya seperti mouse, keyboard, printer dan lain-lain,” ujar Hubbard, sebagaimana dikutip United Press International.

Alternatif lain adalah mengontrol akses terhadap port USB itu sendiri. Untuk PC-PC yang menggunakan sistem operasi Windows 2000/XP, perangkat USB ini memang tidak bisa dikelola melalui Group Policy. Tapi, Anda masih bisa mematikan fungsi port USB atau menggunakan piranti lunak third party untuk mengatur penggunaan port USB di seluruh PC sekaligus.

Solusi itu rata-rata tidak hanya mengontrol akses terhadap port USB saja, tetapi juga akses floppy-disk drive maupun CD/DVD-ROM drive . Bahkan, Sanctuary Device Control menawarkan kontrol port yang lebih komprehensif, mulai dari USB, LPT, FireWire, PCMCIA hingga port untuk akses nirkabel seperti Bluetooth, IrDA dan WiFi.

Ketika Anda memutuskan untuk mematikan seluruh atau sebagian port USB, mungkin Anda harus sedikit berkorban untuk memastikan perangkat-perangkat periferal ( mouse , keyboard , atau scanner ) menggunakan port-port legacy (serial, PS/2). Untuk printer mungkin tidak akan menjadi masalah, karena jaringan korporat rata-rata menempatkan printer terhubung dengan print server khusus.

Kalau Anda ingin sedikit kompromi, sebenarnya Anda tidak perlu menutup akses port USB di seluruh desktop Anda. Mungkin cukup mengunci port USB pada desktop yang memiliki akses ke data-data yang sensitif, atau pada desktop di lokasi-lokasi publik. Misalnya, PC-PC di kantor cabang sebuah bank atau yang ditempatkan di ruang rapat, lobi maupun tempat-tempat umum lainnya.

Pencegahan paling minimal adalah dengan menerapkan PC lock down , yang memastikan PC mengaktifkan moda “password required” dalam jangka waktu tertentu setelah PC idle karena ditinggal penggunanya. Memang, tidak ada ketentuan setelah berapa lama moda ini akan aktif, namun lebih cepat lebih baik.

Jika Anda mengelola perusahaan publik, mungkin suatu saat perusahaan Anda akan terkena berbagai regulasi industri (seperti Sarbanes Oxley atau Basel II) yang secara implisit menekankan pentingnya keamanan informasi korporat. Karenanya, sudah saatnya Anda mempertimbangkan risiko hilangnya informasi korporat melalui perangkat removable drive ini. Tentu Anda tidak ingin reputasi perusahaan Anda rusak hanya gara-gara ulah sebuah perangkat mungil ini, bukan? •••