1. Sebutkan dan jelaskan jenis-jenis ancaman
atau gangguan yang ada pada teknologi sistem informasi?
Jawab:
Keamanan merupakan
faktor penting yang perlu diperhatikan dalam pengoperasian
sistem informasi. Keamanan dimaksudkan untuk mencegah ancaman dan gangguan
terhadap sistem serta untuk mendeteksi dan memperbaiki akibat segala kerusakan
sistem.
A. ANCAMAN TERHADAP SISTEM INFORMASI
Secara garis
besar, ancaman terhadap sistem informasi terbagi dua :
1. Ancaman Aktif
-
Kejahatan terhadap komputer
-
Kecurangan
2. Ancaman Pasif
-
Kegagalan sistem
-
Kesalahan manusia
-
Bencana alam
Tabel 1. Ancaman terhadap sistem informasi
Macam Ancaman |
Contoh |
Bencana alam dan politik
|
·
Gempa bumi, banjir, kebakaran, perang
|
Kesalahan manusia
|
·
Kesalahan pemasukkan data
·
Kesalahan penghapusan data
·
Kesalahan operator (salah memberi label pada pita
magnetik)
|
Kegagalan perangkat lunak dan perangkat keras
|
·
Gangguan listrik
·
Kegagalan peralatan
·
Kegagalan fungsi perangkat lunak
|
Kecurangan dan kejahatan komputer
|
·
Penyelewengan aktivitas
·
Penyalahgunaan kartu kredit
·
Sabotase
·
Pengaksesan oleh orang yang tidak berhak
|
Program yang jahat / usil
|
·
Virus, cacing (worm),
bom waktu, dll.
|
Gangguan-gangguan terhadap sistem informasi dapat dilakukan
secara :
1 1. Tidak sengaja
Gangguan
terhadap sistem informasi yang dilakukan secara tidak sengaja dapat terjadi
karena :
a)
Kesalahan teknis (technical errors)
-
Kesalahan perangkat keras (hardware problems)
-
Kesalahan di dalam penulisan sintak
perangkat lunak (syntax errors)
-
Kesalahan logika (logical errors)
b)
Gangguan lingkungan (environmental hazards)
-
Kegagalan arus listrik karena petir
c)
Kesalahan manusia (human errors)
2. Sengaja
Kegiatan
yang disengaja untuk menganggu sistem informasi termasuk dalam kategori :
a)
Computer
abuse : adalah kegiatan sengaja yang merusak atau menggangu sistem
informasi.
b)
Computer
crime (Computer fraud) :
adalah kegiatan computer abuse yang
melanggar hukum, misalnya membobol sistem komputer.
c)
Computer
related crime : adalah kegiatan menggunakan teknologi komputer untuk
melakukan kejahatan, misalnya dengan menggunakan internet untuk membeli barang
dengan menggunakan kartu kredit.
Cara Melakukan
Gangguan-gangguan Sistem Informasi
Ada tiga cara untuk melakukan gangguan terhadap sistem
informasi :
1 - Data Tampering
2 - Penyelewengan program
3 - Penetrasi ke sistem informasi
>
Data Tampering
atau Data
Diddling
Data Tampering adalah merubah data sebelum, atau selama
proses dan sesudah proses dari sistem informasi.
Data diubah sebelum diproses yaitu pada waktu data ditangkap
di dokumen dasar atau pada saat diverifikasi sebelum dimasukkan ke sistem
informasi.
Data diubah pada saat proses sistem informasi biasanya
dilakukan pada saat dimasukkan ke dalam sistem informasi.
Data diubah setelah proses sistem informasi yaitu dengan
mengganti nilai keluarannya. Data diubah dapat diganti, dihapus atau ditambah.
Kegiatan data tampering
ini biasanya banyak dilakukan oleh orang dalam perusahaan itu sendiri.
>
Penyelewengan
Program (Programming Fraud)
Dengan cara ini, program komputer dimodifikasi untuk maksud
kejahatan tertentu.
Teknik-teknik yang termasuk dalam kategori ini adalah :
·
Virus
Virus
berupa penggalan kode yang dapat menggandakan dirinya sendiri, dengan cara
menyalin kode dan menempelkan ke berkas program yang dapat dieksekusi.
Selanjutnya, salinan virus ini akan menjadi aktif jika program yang terinfeksi
dijalankan.
Contoh
virus jahat adalah CIH atau virus Chernobyl, yang melakukan penularan melalui
e-mail.
·
Cacing
(Worm)
Cacing
adalah suatu program yang dapat menggandakan dirinya sendiri dengan cepat dan
menulari komputer-komputer dalam jaringan.
Contoh worm yang terkenal adalah yang
diciptakan oleh Robert Morris pada tahun 1988. Program yang dibuatnya dapat
menyusup ke jaringan yang menghubungkan Massachusets Institute of Technology,
perusahaan RAND, Ames Research Center-nya NASA, dan sejumlah universitas di
Amerika. Worm ini telah menyebar ke
6000 komputer sebelum akhirnya terdeteksi.
·
Kuda Trojan (Trojan Horse)
Kuda
Trojan adalah program komputer yang dirancang agar dapat digunakan untuk
menyusup ke dalam sistem.
Sebagai
contoh, Trojan Horse dapat
menciptakan pemakai dengan wewenang supervisor atau superuser. Pemakai inilah
yang nantinya dipakai untuk menyusup ke sistem. Contoh Trojan Horse yang terkenal
adalah program pada Macintosh yang bernama Sexy Ladies HyperCard yang pada
tahun 1988 membawa korban dengan janji menyajikan gambar-gambar erotis.
Sekalipun janjinya dipenuhi, program ini juga menghapus data pada
komputer-komputer yang memuatnya.
·
Round down Technique
Teknik
ini merupakan bagian program yang akan membulatkan nilai pecahan ke dalam nilai
bulat dan mengumpulkan nilai-nilai pecahan yang dibulatkan tersebut.
Bila
diterapkan di bank misalnya, pemrogram dapat membulatkan ke bawah semua biaya
bunga yang dibayarkan ke nasabah, dan memasukkan pecahan yang dibulatkan
tersebut ke rekeningnya.
·
Salami Slicing
Merupakan
bagian program yang memotong sebagian kecil dari nilai transaksi yang besar dan
menggumpulkan potongan-potongan ini dalam suatu periode tertentu.
Misalnya
suatu akuntan di suatu perusahaan di California menaikkan sedikit secara
sistematik biaya-biaya produksi. Bagian-bagian yang dinaikkan ini kemudian
dikumpulkan selama periode tertentu dan diambil oleh akuntan tersebut.
·
Trapdoor
Adalah
kemungkinan tindakan yang tak terantisipasi yang tertinggal dalam program
karena ketidaksengajaan. Disebabkan sebuah program tidak terjamin bebas dari
kesalahan, kesalahan yang terjadi dapat membuat pemakai yang tak berwenang
dapat mengakses sistem dan melakukan hal-hal yang sebenarnya tidak boleh dan
tidak dapat dilakukan.
·
Super zapping
Adalah
penggunaan tidak sah dari program utiliti Superzap yang dikembangkan oleh IBM
untuk melewati beberapa pengendalian-pengendalian sistem yang kemudian
melakukan kegiatan tidak legal.
·
Bom
Logika atau Bom Waktu (Logic bomb atau
Time bomb)
Bom logika
atau bom waktu adalah suatu program yang beraksi karena dipicu oleh sesuatu
kejadian atau setelah selang waktu berlalu.
Program ini
biasanya ditulis oleh orang dalam yang akan mengancam perusahaan atau membalas
dendam kepada perusahaan karena sakit hati.
Contoh
kasus bom waktu terjadi di USPA, perusahaan asuransi di Forth Worth. Donal
Burkson, seorang programmer pada perusahaan tersebut dipecat karena sesuatu
hal. Dua hari kemudian, sebuah bom waktu mengaktifkan dirinya sendiri dan
menghapus kira-kira 160.000 rekaman-rekaman penting pada komputer perusahaan
tersebut.
>
Penetrasi
ke Sistem Informasi
Yang termasuk
dalam cara ini adalah :
-
Piggybacking
Piggybacking
adalah menyadap jalur telekomunikasi dan ikut masuk ke dalam sistem komputer
bersama-sama dengan pemakai sistem komputer yang resmi.
-
Masquerading atau Impersonation
Masquerading atau Impersonation yaitu penetrasi ke sistem komputer dengan memakai identitas dan password dari orang lain yang sah. Identitas dan password ini biasanya diperoleh dari orang dalam.
Masquerading atau Impersonation yaitu penetrasi ke sistem komputer dengan memakai identitas dan password dari orang lain yang sah. Identitas dan password ini biasanya diperoleh dari orang dalam.
-
Scavenging
Scavenging
yaitu penetrasi ke sistem komputer dengan memperoleh identitas dan password
dari mencari di dokumen-dokumen perusahaan.
Data
identitas dan password diperoleh dari beberapa cara mulai dari mencari dokumen
di tempat sampah sampai dengan mencarinya di memori-memori komputer.
-
Eavesdropping
Eavesdropping
adalah penyadapan informasi di jalur transmisi privat.
Misalnya
adalah yang dilakukan oleh Mark Koenig sebagai konsultan dari GTE. Dia menyadap
informasi penting lewat telpon dari nsabah-nasabah Bank of America dan
menggunakan informasi tersebut untuk membuat sebanyak 5500 kartu ATM palsu.
Selain cara di
atas, metode yang umum digunakan oleh orang dalam melakukan penetrasi ke sistem
informasi ada 6 macam (Bodnar dan Hopwood,1993), yaitu:
- Pemanipulasian masukkan
Dalam banyak kecurangan terhadap
komputer, pemanipulasian masukkan merupakan metode yang paling banyak
digunakan, mengingat hal ini dapat dilakukan tanpa memerlukan ketrampilan
teknis yang tinggi.
- Penggantian program
Pemanipulasian
melalui program dapat dilakukan oleh para spesialis teknologi informasi.
- Penggantian berkas secara langsung
Pengubahan
berkas secara langsung umum dilakukan oleh orang yang punya akses secara
langsung terhadap basis data.
- Pencurian data
Pencurian
data seringkali dilakukan oleh “orang dalam” untuk dijual.
Salah satu
kasus yang terjadi pada Encyclopedia Britanica Company. Perusahaan ini menuduh
seorang pegawainya menjual daftar nasabah ke sebuah pengiklan direct mail seharga $3 juta.
- Sabotase
Sabotase dapat dilakukan dengan berbagai cara oleh Hacker atau Cracker.
Hacker : para ahli komputer yang
memiliki kekhususan dala menjebol keamanan sistem
komputer dengan tujuan publisitas
Cracker : penjebol sistem
komputer yang bertujuan untuk melakukan pencurian atau merusak sistem.
Berbagai teknik yang digunakan untuk melakukan hacking :
-
Denial of Service
Teknik ini
dilaksanakan dengan cara membuat permintaan yang sangat banyak terhadap suatu
situs, sehingga sistem menjadi macet dan kemudian dengan mencari kelemahan pada
sistem, si pelaku melakukan serangan terhadap sistem.
-
Sniffer
Teknik
ini diimplementasikan dengan membuat program yang dapat melacak paket data
seseorang ketika paket tersebut melintasi internet, menangkap password atau
menangkap isinya.
-
Spoofing
Melakukan
pemalsuan alamat e-mail atau web dengan tujuan untuk menjebak pemakai agar
memasukkan informasi yang penting seperti password atau nomor kartu kredit.
- Penyalahgunaan dan pencurian sumber daya komputasi
Merupakan
bentuk pemanfaatan secara ilegal terhadap sumber daya komputasi oleh pegawai
dalam rangka menjalankan bisnisnya sendiri.
2. Bagaimana cara menanggulangi ancaman atau gangguan
tersebut?
A.
Pengendalian akses.
Pengendalian akses dapat dicapai dengan tiga langkah,
yaitu:
a) Identifikasi pemakai
(user identification).
Mula-mula
pemakai mengidentifikasikan dirinya sendiri dengan menyediakan sesuatu yang
diketahuinya, seperti kata
sandi atau password. Identifikasi tersebut dapat mencakup lokasi pemakai, seperti
titik masuk jaringan dan hak
akses telepon.
b) Pembuktian keaslian
pemakai (user authentication).
Setelah
melewati identifikasi pertama, pemakai dapat membuktikan hak akses dengan
menyediakan sesuatu yang ia
punya, seperti kartu id (smart card, token dan identification chip), tanda
tangan, suara atau pola ucapan.
c) Otorisasi pemakai
(user authorization).
Setelah
melewati pemeriksaan identifikasi dan pembuktian keaslian, maka orang tersebut
dapat diberi hak wewenang
untuk mengakses dan melakukan perubahan dari suatu file atau data.
B.
Memantau adanya serangan pada sistem.
Sistem
pemantau (monitoring system) digunakan untuk mengetahui adanya penyusup yang
masuk kedalam sistem
(intruder) atau adanya serangan (attack) dari hacker. sistem ini biasa disebut
“intruder detection system”
(IDS). Sistem ini dapat memberitahu admin melalui e-mail atau melalui mekanisme lain. Terdapat berbagai cara untuk
memantau adanya penyusup. Ada yang bersifat aktif dan pasif. IDS cara yang pasif misalnya dengan melakukan
pemantauan pada logfile.
C. Penggunaan enkripsi.
Salah
satau mekanisme untuk meningkatkan keamanan sistem yaitu dengan menggunakan
teknologi enkripsi data.
Data-data yang dikirimkan diubah sedemikian rupa sehingga tidak mudah diketahui
oleh orang lain yang
tidak berhak.
3. Apa peranan keamanan jaringan (menggunakan kabel dan
wireless) pada teknologi sistem informasi?
Peranan keamanan jaringan (menggunakan kabel dan wireless) pada teknologi
sistem informasi ada
beberapa metode yang dapat diterapkan.
Metode-metode tersebut adalah sebagai berikut:
·
Pembatasan
akses pada suatu jaringan
Ada
3 beberapa konsep yang ada dalam pembatasan akses jaringan, yakni
sebagai
berikut:
- Internal Password Authentication
- Server-based password authentication
- Firewall dan Routing Control
·
Menggunakan
metode enkripsi tertentu
Dasar
enkripsi cukup sederhana. Pengirim menjalankan fungsi enkripsi pada pesan plaintext, ciphertext yang
dihasilkan kemudian dikirimkan lewat jaringan, dan penerima menjalankan fungsi dekripsi (decryption)
untuk mendapatkan plaintext
semula. Proses enkripsi/dekripsi tergantung pada kunci (key) rahasia yang hanya diketahui oleh pengirim dan
penerima. Ketika kunci dan enkripsi ini digunakan,
sulit bagi penyadap untuk mematahkan ciphertext, sehingga komunikasi data antara pengirim dan
penerima aman.
·
Pemonitoran
terjadwal terhadap jaringan
Proses memonitor dan melakukan administrasi terhadap keamanan jaringan dapat dilakukan dengan melakukan pengauditan sistem Log pada server tertentu oleh administrator jaringan. Tujuannya adalah mengidentifikasi gangguan dan ancaman keamanan yang akan terjadi pada jaringan.
4. Bagaimana cara mengamankan jaringan yang digunakan
pada teknologi sistem informasi?
Secara umum ada enam (6)
langkah besar yang mungkin bisa digunakan untuk mengamankan jaringan &
sistem komputer dari serangan hacker. Adapun langkah tersebut adalah:
1. Membuat Komite Pengarah Keamanan.
2. Mengumpulkan Informasi
3. Memperhitungkan Resiko
4. Membuat Solusi
5. Implementasi & Edukasi / Pendidikan.
6. Terus Menerus Menganalisa, dan Meresponds.
Langkah 1: Membuat Komite Pengarah Keamanan.
Komite pengarah sangat penting untuk dibentuk agar kebijakan keamanan jaringan dapat diterima oleh semua pihak. Agar tidak ada orang terpaksa, merasa tersiksa, merasa akses-nya dibatasi dalam beroperasi di jaringan IntraNet mereka. Dengan memasukan perwakilan dari semua bidang / bagian, maka masukan dari bawah dapat diharapkan untuk dapat masuk & di terima oleh semua orang.
Dengan adanya komite pengarah ini, akan memungkinkan terjadi interaksi antara orang teknik / administrator jaringan, user & manajer. Sehingga dapat dicari kebijakan yang paling optimal yang dapat di implementasikan dengan mudah secara teknis.
Langkah 2: Mengumpulkan Informasi
Sebelum sebuah kebijakan keamanan jaringan di implementasikan, ada baiknya proses audit yang lengkap dilakukan. Tidak hanya mengaudit peralatan & komponen jaringan saja, tapi juga proses bisnis, prosedur operasi, kesadaran akan keamanan, aset. Tentunya proses audit harus dari tempat yang paling beresiko tinggi yaitu Internet; berlanjut pada home user & sambungan VPN. Selain audit dari sisi external, ada baiknya dilakukan audit dari sisi internet seperti HRD dll.
Langkah 3: Memperhitungkan Resiko
Resiko dalam formula sederhana dapat digambarkan sebagai:
Resiko = Nilai Aset * Vurnerability * Kemungkinan di Eksploit
Nilai aset termasuk nilai uang, biaya karena sistem down, kehilangan kepercayaan mitra / pelanggan. Vurnerability termasuk kehilangan data total / sebagian, system downtime, kerusakan / korupsi data.
Dengan mengambil hasil dari langkah audit yang dilakukan sebelumnya, kita perlu menanyakan:
• Apakah kebijakan keamanan yang ada sekarang sudah cukup untuk memberikan proteksi?
• Apakah audit secara eksternal berhasil memvalidasi ke keandalan kebijakan keamanan yang ada?
• Adakah proses audit mendeteksi kelemahan & belum tertuang dalam kebijakan keamanan?
• Apakah tingkat keamanan, setara dengan tingkat resiko?
• Apa aset / informasi yang memiliki resiko tertinggi?
Dengan menjawab pertanyaan di atas merupakan titik awal untuk mengevaluasi kelengkapan kebijakan informasi yang kita miliki. Dengan mengevaluasi jawaban di atas, kita dapat memfokuskan pada solusi yang sifatnya macro & global terlebih dulu tanpa terjerat pada solusi mikro & individu.
Langkah 4: Membuat Solusi
Pada hari ini sudah cukup banyak solusi yang sifatnya plug’n’play yang dapat terdapat di pasar. Sialnya, tidak ada satu program / solusi yang ampuh untuk semua jenis masalah. Oleh karena kita kita harus pandai memilih dari berbagai solusi yang ada untuk berbagai kebutuhan keamanan. Beberapa di antaranya, kita mengenal:
• Firewall.
• Network Intrusion Detection System (IDS).
• Host based Intrusion Detection System (H-IDS).
• Application-based Intrusion Detection System (App-IDS).
• Anti-Virus Software.
• Virtual Private Network (VPN).
• Two Factor Authentication.
• Biometric.
• Smart cards.
• Server Auditing.
• Application Auditing.
• Dll – masih ada beberapa lagi yang tidak termasuk kategori di atas.
Langkah 5: Implementasi & Edukasi / Pendidikan.
Setelah semua support diperoleh maka proses implementasi dapat di lakukan. Proses instalasi akan sangat tergantung pada tingkat kesulitan yang harus di hadapi. Satu hal yang harus di ingat dalam semua proses implementasi adalah proses pendidikan / edukasi jangan sampai dilupakan. Proses pendidikan ini harus berisi:
• Detail dari sistem / prosedur keamanan yang baru.
• Effek dari prosedur keamanan yang baru terhadap aset / data perusahaan.
• Penjelasan dari prosedur & bagaimana cara memenuhi goal kebijakan keamanan yang baru.
Peserta harus di jelaskan tidak hanya bagaimana / apa prosedur keamanan yang dibuat, tapi juga harus dijelaskan mengapa prosedur keamanan tersebut di lakukan.
Langkah 6: Terus Menerus Menganalisa, dan Meresponds.
Sistem selalu berkembang, oleh karena itu proses analisa dari prosedur yang dikembangkan harus selalu dilakukan. Selalu berada di depan, jangan sampai ketinggalan informasi.
1. Membuat Komite Pengarah Keamanan.
2. Mengumpulkan Informasi
3. Memperhitungkan Resiko
4. Membuat Solusi
5. Implementasi & Edukasi / Pendidikan.
6. Terus Menerus Menganalisa, dan Meresponds.
Langkah 1: Membuat Komite Pengarah Keamanan.
Komite pengarah sangat penting untuk dibentuk agar kebijakan keamanan jaringan dapat diterima oleh semua pihak. Agar tidak ada orang terpaksa, merasa tersiksa, merasa akses-nya dibatasi dalam beroperasi di jaringan IntraNet mereka. Dengan memasukan perwakilan dari semua bidang / bagian, maka masukan dari bawah dapat diharapkan untuk dapat masuk & di terima oleh semua orang.
Dengan adanya komite pengarah ini, akan memungkinkan terjadi interaksi antara orang teknik / administrator jaringan, user & manajer. Sehingga dapat dicari kebijakan yang paling optimal yang dapat di implementasikan dengan mudah secara teknis.
Langkah 2: Mengumpulkan Informasi
Sebelum sebuah kebijakan keamanan jaringan di implementasikan, ada baiknya proses audit yang lengkap dilakukan. Tidak hanya mengaudit peralatan & komponen jaringan saja, tapi juga proses bisnis, prosedur operasi, kesadaran akan keamanan, aset. Tentunya proses audit harus dari tempat yang paling beresiko tinggi yaitu Internet; berlanjut pada home user & sambungan VPN. Selain audit dari sisi external, ada baiknya dilakukan audit dari sisi internet seperti HRD dll.
Langkah 3: Memperhitungkan Resiko
Resiko dalam formula sederhana dapat digambarkan sebagai:
Resiko = Nilai Aset * Vurnerability * Kemungkinan di Eksploit
Nilai aset termasuk nilai uang, biaya karena sistem down, kehilangan kepercayaan mitra / pelanggan. Vurnerability termasuk kehilangan data total / sebagian, system downtime, kerusakan / korupsi data.
Dengan mengambil hasil dari langkah audit yang dilakukan sebelumnya, kita perlu menanyakan:
• Apakah kebijakan keamanan yang ada sekarang sudah cukup untuk memberikan proteksi?
• Apakah audit secara eksternal berhasil memvalidasi ke keandalan kebijakan keamanan yang ada?
• Adakah proses audit mendeteksi kelemahan & belum tertuang dalam kebijakan keamanan?
• Apakah tingkat keamanan, setara dengan tingkat resiko?
• Apa aset / informasi yang memiliki resiko tertinggi?
Dengan menjawab pertanyaan di atas merupakan titik awal untuk mengevaluasi kelengkapan kebijakan informasi yang kita miliki. Dengan mengevaluasi jawaban di atas, kita dapat memfokuskan pada solusi yang sifatnya macro & global terlebih dulu tanpa terjerat pada solusi mikro & individu.
Langkah 4: Membuat Solusi
Pada hari ini sudah cukup banyak solusi yang sifatnya plug’n’play yang dapat terdapat di pasar. Sialnya, tidak ada satu program / solusi yang ampuh untuk semua jenis masalah. Oleh karena kita kita harus pandai memilih dari berbagai solusi yang ada untuk berbagai kebutuhan keamanan. Beberapa di antaranya, kita mengenal:
• Firewall.
• Network Intrusion Detection System (IDS).
• Host based Intrusion Detection System (H-IDS).
• Application-based Intrusion Detection System (App-IDS).
• Anti-Virus Software.
• Virtual Private Network (VPN).
• Two Factor Authentication.
• Biometric.
• Smart cards.
• Server Auditing.
• Application Auditing.
• Dll – masih ada beberapa lagi yang tidak termasuk kategori di atas.
Langkah 5: Implementasi & Edukasi / Pendidikan.
Setelah semua support diperoleh maka proses implementasi dapat di lakukan. Proses instalasi akan sangat tergantung pada tingkat kesulitan yang harus di hadapi. Satu hal yang harus di ingat dalam semua proses implementasi adalah proses pendidikan / edukasi jangan sampai dilupakan. Proses pendidikan ini harus berisi:
• Detail dari sistem / prosedur keamanan yang baru.
• Effek dari prosedur keamanan yang baru terhadap aset / data perusahaan.
• Penjelasan dari prosedur & bagaimana cara memenuhi goal kebijakan keamanan yang baru.
Peserta harus di jelaskan tidak hanya bagaimana / apa prosedur keamanan yang dibuat, tapi juga harus dijelaskan mengapa prosedur keamanan tersebut di lakukan.
Langkah 6: Terus Menerus Menganalisa, dan Meresponds.
Sistem selalu berkembang, oleh karena itu proses analisa dari prosedur yang dikembangkan harus selalu dilakukan. Selalu berada di depan, jangan sampai ketinggalan informasi.
Tidak ada komentar:
Posting Komentar