PENGENALAN KEAMANAN SISTEM INFORMASI
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat
mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya
penipuan di sebuah sistem yang berbasis informasi, dimana informasinya
sendiri tidak memiliki arti fisik
Lawrie Brown menyarankan
menggunakan “Risk Management Model” untuk menghadapi ancaman (managing
threats). Ada tiga komponen yang memberikan kontribusi kepada Risk,
yaitu Asset, Vulnerabilities, dan Threats
Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures” yang dapat berupa :
a. Usaha untuk mengurangi Threat
b. Usaha untuk mengurangi Vulnerability
c. Usaha untuk mengurangi impak (impact)
d. Mendeteksi kejadian yang tidak bersahabat (hostile event)
e. Kembali (recover) dari kejadian
Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut “countermeasures” yang dapat berupa :
a. Usaha untuk mengurangi Threat
b. Usaha untuk mengurangi Vulnerability
c. Usaha untuk mengurangi impak (impact)
d. Mendeteksi kejadian yang tidak bersahabat (hostile event)
e. Kembali (recover) dari kejadian
Meningkatnya Kejahatan Komputer
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, terus meningkat hal ini disebabkan beberapa hal, yaitu :
a. Semakin banyaknya perusahaan yang menggunakan aplikasi bisnis berbasis teknologi informasi dan jaringan komputer (internet)
b. Desentralisasi (dan distributed) server menyebabkan lebih banyak sistem yang harus ditangani.
c. Transisi dari single vendor ke multi-vendor sehingga lebih banyak sistem atau perangkat yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani.
d. Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya (atau sistem milik orang lain)
e. Mudahnya memperoleh software untuk menyerang komputer dan jaringan komputer.
f. Kesulitan dari penegak hukum untuk mengeja kemajuan dunia komputer dan telekomunikasi yang sangat cepat.
g. Semakin kompleksnya sistem yang digunakan seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan (yang disebabkan kesalahan pemrograman, bugs).
Klasifikasi Kejahatan Komputer
a. Keamanan yang bersifat fisik (physical security)
- Termasuk akses orang ke gedung, peralatan, dan media yang digunakan
- Wiretapping, hal-hal yang ber-hubungan dengan akses ke kabel atau komputeR
- Denial of Service, dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan.
- Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang)
- Mematikan jalur listrik sehingga sistem tidak berfungsi
Dan masalah keamanan fisik ini mulai menarik perhatian ketika gedung World Trade Center yang dianggap sangat aman dihantam oleh pesawat terbang yang dibajak oleh teroris. Akibatnya banyak sistem yang tidak bisa hidup kembali karena tidak diamankan. Belum lagi hilangnya nyawa.
b. Keamanan Yang berhubungan Orang (Personel)
Termasuk identifikasi, dan profil resiko dari orang yang mempunyai akses (pemakai dan pengelola).
Ada sebuah teknik yang dikenal dengan istilah “social engineering” yang sering digunakan oleh kriminal untuk berpura-pura sebagai orang yang berhak mengakses informasi.
Misalnya kriminal ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain
c. Keamanan dari data dan media serta teknik komunikasi (Communications)
Yang termasuk di dalam kelas ini adalah kelemahan software yang digunakan untuk mengelola data. Seorang kriminal dapat memasang virus atau trojan horse sehingga dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses.
d. Keamanan dalam operasi
Termasuk kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).
Aspek / Servis dari Security
Garfinkel mengemukakan bahwa keamanan komputer (computer security) melingkupi empat aspek yaitu
- Privacy / Confindentiality
- Integrity
- Authentication
- Availability
Selain hal di atas, masih ada dua aspek lain yang kaitannya berhubungan dengan electronic commerce, yaitu :
- Access control
- Non-repudiation
Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Contohnya enkripsi data.
Privacy lebih kearah data-data yang sifatnya privat, misalnya e-mail user tidak boleh dibaca oleh administrator.
Confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu.
misalnya proses pendaftaran yang wajib menginput data pribadi : nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dll
Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi.
Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju.
Dengan kata lain, integritas dari informasi sudah tidak terjaga.
Salah satu contoh kasus trojan horse adalah distribusi paket program TCP Wrapper,Contoh serangan lain adalah “man in the middle attack”
Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi benar-benar asli. Atau server yang kita hubungi adalah betul-betul server yang asli. Contohnya login.
Salah satunya berhubungan dengan access control, yaitu
berkaitan dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah, misalnya dengan menggunakan password/pin/sidik jari.
Mudahnya membuat web site palsu yang menyamar sebagai web site sebuah bank yang memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus klikBCA.com.)
Availability
Aspek ini berhubungan dengan ketersediaan informasi ketika dibutuhkan. Contoh hambatan adalah serangan yang sering disebut :
Denial of service attack” (DoS attack), Dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
Mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya
Access Control
Aspek ini berhubungan dengan cara pengaturan akses kepada informasi.
Hal ini biasanya berhubungan dengan :
- Klasifikasi data : Public, Private, Confidential, Top secret
- User : Guest, Admin, Top Manager
Access control seringkali dilakukan dengan menggunakan kombinasi user id / password atau dengan menggunakan mekanisme lain (seperti kartu, biometrics)
