1. Illegal Access / Akses Tanpa Ijin ke Sistem Komputer
Dengan sengaja dan tanpa hak melakukan akses secara tidak sah terhadap seluruh atau sebagian sistem komputer, dengan maksud untuk mendapatkan data komputer atau maksud-maksud tidak baik lainnya, atau berkaitan dengan sistem komputer yang dihubungkan dengan sistem komputer lain. Hacking merupakan salah satu dari jenis kejahatan ini yang sangat sering terjadi.
2. Illegal Contents / Konten Tidak Sah
Kejahatan dengan memasukkan data atau informasi ke internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum.
3. Data Forgery / Pemalsuan Data
Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scriptless document melalui internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi salah ketik yang pada akhirnya akan menguntungkan pelaku.
4. Spionase Cyber / Mata-mata
Merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran. Kejahatan ini biasanya ditujukan terhadap saingan bisnis yang dokumen ataupun data-data pentingnya tersimpan dalam suatu sistem yang computerized.
5. Data Theft / Mencuri Data
Kegiatan memperoleh data komputer secara tidak sah, baik untuk digunakan sendiri ataupun untuk diberikan kepada orang lain. Identity theft merupakan salah satu dari jenis kejahatan ini yang sering diikuti dengan kejahatan penipuan (fraud). Kejahatan ini juga sering diikuti dengan kejahatan data leakage.
6. Misuse of devices / Menyalahgunakan Peralatan Komputer
Dengan sengaja dan tanpa hak, memproduksi, menjual, berusaha memperoleh untuk digunakan, diimpor, diedarkan atau cara lain untuk kepentingan itu, peralatan, termasuk program komputer, password komputer, kode akses, atau data semacam itu, sehingga seluruh atau sebagian sistem komputer dapat diakses dengan tujuan digunakan untuk melakukan akses tidak sah, intersepsi tidak sah, mengganggu data atau sistem komputer, atau melakukan perbuatan-perbuatan melawan hukum lain.
Contoh penyalahgunaan peralatan computer
1.Pemalsuan kartu kredit
2.perjudian melalui komputer
3.pelanggan terhadap hak cipta, dll.
Faktor- faktor Penyebab Kejahatan Komputer
Beberapa faktor yang menyebabkan kejahatan komputer makin marak dilakukan antara lain adalah:
• Akses internet yang tidak terbatas.
• Kelalaian pengguna komputer. Hal ini merupakan salah satu penyebab utama kejahatan komputer.
• Mudah dilakukan dengan resiko keamanan yang kecil dan tidak diperlukan peralatan yang super modern. Walaupun kejahatan komputer mudah untuk dilakukan tetapi akan sangat sulit untuk melacaknya, sehingga ini mendorong para pelaku kejahatan untuk terus melakukan hal ini.
• Para pelaku merupakan orang yang pada umumnya cerdas, mempunyai rasa ingin tahu yang besar, dan fanatik akan teknologi komputer. Pengetahuan pelaku kejahatan komputer tentang cara kerja sebuah komputer jauh diatas operator komputer.
• Sistem keamanan jaringan yang lemah.
• Kurangnya perhatian masyarakat. Masyarakat dan penegak hukum saat ini masih memberi perhatian yang sangat besar terhadap kejahatan konvesional. Pada kenyataannya para pelaku kejahatan komputer masih terus melakukan aksi kejahatannya.
• Belum adanya undang-undang atau hukum yang mengatur tentang kejahatan komputer.
Hacker Dan Cracker
Pengertian Hacker
Hacker adalah sekelompok orang yang menggunakan keahliannya dalam hal komputer untuk melihat, menemukan dan memperbaiki kelemahan sistem keamanan dalam sebuah sistem komputer ataupun dalam sebuah software. Ada juga yang bilang hacker adalah orang yang secara diam-diam mempelajari sistem yang biasanya sukar dimengerti untuk kemudian mengelolanya dan men-share hasil ujicoba yang dilakukannya. Hacker tidak merusak sistem.
Beberapa tingkatan hacker antara lain :
• Elite
Mengerti sistem luar dalam, sanggup mengkonfigurasi & menyambungkan jaringan secara global, melakukan pemrogramman setiap harinya, effisien & trampil, menggunakan pengetahuannya dengan tepat, tidak menghancurkan data-data, dan selalu mengikuti peraturan yang ada. Tingkat Elite ini sering disebut sebagai ‘suhu’.
• Semi Elite
Mempunyai kemampuan & pengetahuan luas tentang komputer, mengerti tentang sistem operasi (termasuk lubangnya), kemampuan programnya cukup untuk mengubah program eksploit.
• Developed Kiddie
Kebanyakkan masih muda & masih sekolah, mereka membaca tentang metoda hacking & caranya di berbagai kesempatan, mencoba berbagai sistem sampai akhirnya berhasil & memproklamirkan kemenangan ke lainnya, umumnya masih menggunakan Grafik User Interface (GUI) & baru belajar basic dari UNIX tanpa mampu menemukan lubang kelemahan baru di sistem operasi.
• Script Kiddie
Kelompok ini hanya mempunyai pengetahuan teknis networking yang sangat minimal, tidak lepas dari GUI, hacking dilakukan menggunakan trojan untuk menakuti & menyusahkan hidup sebagian pengguna Internet.
• Lamer
Kelompok ini hanya mempunyai pengalaman & pengetahuan tapi ingin menjadi hacker sehingga lamer sering disebut sebagai ‘wanna-be’ hacker, penggunaan komputer mereka terutama untuk main game, IRC, tukar menukar software prirate, mencuri kartu kredit, melakukan hacking dengan menggunakan software trojan, nuke & DoS, suka menyombongkan diri melalui IRC channel, dan sebagainya.
Hacker juga mempunyai kode etik antara lain sebagai beikut :
o Mamapu mengakses komputer tanpabatas dan totalitas.
o Tidak percaya pada otoritas artinya memperluas desentralisasi
o Pekerjaan semata-mata demi kebenaran informasi yang harus disebar luaskan
Cracker
Pengertian Cracker
Cracker adalah sebutan untuk orang yang mencari kelemahan system dan memasukinya untuk kepentingan pribadi dan mencari keuntungan dari system yang di masuki seperti: pencurian data, penghapusan, dan banyak yang lainnya.
Ciri-ciri seorang cracker adalah :
o Bisa membuat program C, C++ atau pearl
o Mengetahui tentang TCP/IP
o Menggunakan internet lebih dari 50 jam perbulan
o Mengetahaui sitem operasi UNIX atau VMS
o Mengoleksi sofware atau hardware lama
o Lebih sering menjalankan aksinya pada malam hari kare tidak mudah diketahui orang lain
Penyebab cracker melakukan penyerangan antara lain :
o Kecewa atau balas dendam
o Petualangan
o Mencari keuntungan
Perbedaan Hacker dan Craker
a) Hacker
o Mempunyai kemampuan menganalisa kelemahan suatu sistem atau situs. Sebagai contoh : jika seorang hacker mencoba menguji situs Yahoo! dipastikan isi situs tersebut tak akan berantakan dan mengganggu yang lain. Biasanya hacker melaporkan kejadian ini untuk diperbaiki menjadi sempurna.
o Hacker mempunyai etika serta kreatif dalam merancang suatu program yang berguna bagi siapa saja.
o Seorang Hacker tidak pelit membagi ilmunya kepada orang-orang yang serius atas nama ilmu pengetahuan dan kebaikan.
b) Cracker
o Mampu membuat suatu program bagi kepentingan dirinya sendiri dan bersifat destruktif atau merusak dan menjadikannya suatu keuntungan. Sebagia contoh : Virus, Pencurian Kartu Kredit, Kode Warez, Pembobolan Rekening Bank, Pencurian Password E-mail/Web Server.
o Bisa berdiri sendiri atau berkelompok dalam bertindak.
o Mempunyai situs atau cenel dalam IRC yang tersembunyi, hanya orang-orang tertentu yang bisa mengaksesnya.
o Mempunyai IP yang tidak bisa dilacak.
Spyware Dan Spam
1. Spyware
Spyware adalah Spyware adalah aplikasi yang membocorkan data informasi kebiasaan atau perilaku pengguna dalam menggunakan komputer ke pihak luar tanpa kita sadari. Jenis spyware sangat banyak, ada yang hanya bertugas merotasi tampilan iklan pada software, ada yang menyadap informasi konfigurasi komputer kita, ada yang menyadap kebiasaan online kita, dan sebagainya. Spyware sebenarnya tidak berbahaya, karena hanya difungsikan untuk memata matai computer seseorang setelah berkunjung. Sayangnya semakin hari semakin berkembang, bahkan spyware sudah dijadikan alat untuk mencari data pribadi pada sebuah computer. Dan diam diam mengunakan koneksi internet anda tanpa diketahui dan computer sudah menjadi mata mata tanpa diketahui pemiliknya.
Ada beberapa tips yang dapat anda lakukan untuk mengatasi spyware :
o Lakukan windows update secara rutin
o Install anti-spyware seperti ad ware dan selalu update anti-spyware.
o Apabila saat browsing keluar pop-up windows atau iklan jangan diklik tapi langsung tutup saja windows tersebut.
o Hindari mengakses situs-situs yang tidak jelas atau situs-situs crack.
2. Spam
Spam adalah Segala pesan, email atau bahkan komentar yang sama atau sejenis, yang biasanya sering dijadikan berisi pesan promosi; dan disebarkan ke banyak [secara massal], baik secara manual atau menggunakan aplikasi dan tidak diharapkan kehadirannya oleh si penerima atau dibenci karena isinya yang cenderung tidak menarik atau dianggap tidak penting.
Tujuan orang-orang yang tidak kita kenal mengirim spam antara lain :
o Media publiksi dan promosi
o Media penyebaran virus & worm
Dampak dari spam adalah
o Virus trojan menyusup dalam e-mail spam bisa menjadi masalah pada komputer
o Biaya koneksi membengkak akibat spam
o Harddisk jadi cepat penuh karena spam (sampah) yang terpakai
Cara mangatasi spam adalah
o Install anti spam
o Gunakan firewall bawaan OS dan personal firewall
o Gunakan fasilitas mail filtering yang ada di Outlook Express
o Abaikan segala macam e-mail spam dan langsung hapus jika ada subjek yang tidak dikenal.
Jenis-jenis Kejahatan
Kejahatanpun mendapat tempat yang spesial di sini. Mulai dari penipuan sederhana sampai yang sangat merugikan, ancaman terhadap seseorang atau kelompok, penjualan barang-barang ilegal, sampai tindakan terorisme yang menewaskan ribuan orang juga bisa dilakukan menggunakan komputer dan Internet.
Melihat semakin meningkatnya kejahatan di internet dan dunia komputer, mulai banyak negara yang merespon hal ini. Dengan membuat pusat-pusat pengawasan dan penyidikan kriminalitas di dunia cyber ini diharapkan kejahatan cyber tidak akan terus berkembang merajalela tak terkendali.
Tindakan, perilaku, perbuatan yang termasuk dalam kategori kejahatan komputer atau Cybercrime adalah sebagai berikut:
a. Penipuan finansial melalui perangkat komputer dan media komunikasi digital.
b. Sabotase terhadap perangkat-perangkat digital, data-data milik orang lain, dan jaringan komunikasi data.
c. Pencurian informasi pribadi seseorang maupun organisasi tertentu.
d. Penetrasi terhadap sistem komputer dan jaringan sehingga menyebabkan privasi terganggu atau gangguan pada fungsi komputer yang Anda gunakan (denial of service).
e. Para pengguna internal sebuah organisasi melakukan akses-akses ke server tertentu atau ke internet yang tidak diijinkan oleh peraturan organisasi.
f. Menyebarkan virus, worm, backdoor, trojan pada perangkat komputer sebuah organisasi yang mengakibatkan terbukanya akses-akses bagi orang-orang yang tidak berhak.
Faktor-Faktor Penyebab Cybercrime
Beberapa faktor yang menyebabkan kejahatan komputer kian marak dilakukan antara lain adalah:
a. Akses internet yang tidak terbatas.
b. Kelalaian pengguna komputer. Hal ini merupakan salah satu penyebab utama kejahatan komputer.
c. Mudah dilakukan dengan resiko keamanan yang kecil dan tidak diperlukan peralatan yang super modern. Walaupun kejahatan komputer mudah untuk dilakukan tetapi akan sangat sulit untuk melacaknya, sehingga ini mendorong para pelaku kejahatan untuk terus melakukan hal ini.
d. Para pelaku merupakan orang yang pada umumnya cerdas, mempunyai rasa ingin tahu yang besar, dan fanatik akan teknologi komputer. Pengetahuan pelaku kejahatan komputer tentang cara kerja sebuah komputer jauh diatas operator komputer.
e. Sistem keamanan jaringan yang lemah.
f. Kurangnya perhatian masyarakat. Masyarakat dan penegak hukum saat ini masih memberi perhatian yang sangat besar terhadap kejahatan konvesional. Pada kenyataannya para pelaku kejahatan komputer masih terus melakukan aksi kejahatannya
g. Belum adanya undang-undang atau hukum yang mengatur tentang kejahatan komputer.
SISTEM PENGAMANAN DATA
JENIS-JENIS KEAMANAN DATA
Keamanan data ada beberapa macam, diantaranya :
1.Enkripsi
2.Firewall
3.Secure Socket Layerv
4.Kriptografi
5.Pretty Good Privacy
Enkripsi
adalah
sebuah proses yang melakukan perubahan sebuah kode dari yang bisa
dimengerti menjadi sebuah kode yang tidak bisa dimengerti (tidak
terbaca). Enkripsi juga dapat diartikan sebagai kode atau chipper.
Firewall
adalah suatu keamanan yang bersifat
seperti sebuah filter yang bertujuan untuk menjaga (prevent) agar akses
(ke dalam atau ke luar) dari orang yang tidak berwenang tidak dapat
dilakukan.
Secure Socket Layerv
adalah suatu bentuk
penyandian data sehingga informasi rahasia seperti nomor kartu kredit
atau kontrol autentikasinya tidak dapat dibaca atau di akses oleh pihak
lain selain pemiliknya daan server (pemilik servis).
Kriptografi
adalah seni menyandikan data.
Menyandikan tidak harus berarti menyembunyikan meskipun kebanyakan
algoritma yang dikembangkan di dunia kriptografi berhu bungan dengan
menyembunyikan data.
Pretty Good Privacy
dalah salah satu algoritma
keamanan komunikasi data melalui internet untuk komunikasi harian
semacam electronic mail. PGP merupakan gabungan antara sistem pembiatan
digest, enkripsi simetris dan asimetris.
KEAMANAN DATA DAN EMAIL
Jaringan
komputer dan internet saat ini sudah merupakan kebutuhan yang sangat
vital dan diyakini bahwa dengan jaringan komputer banyak sumberdaya
yang bisa dihemat, seperti dana, tenaga, dan lain-lain . Selain itu,
dengan jaringan komputer dan internet lalulintas data berjalan sangat
cepat, tepat dan akurat tanpa ada batas ruang dan waktu.
Penggunaan
e-mail, sharing dan transfer data baik kabel, serat optik maupun VSAT
dengan teknologi VPN (Virtual Private Network) sudah merupakan lazim
dilakukan oleh hampir semua perusahaan saat ini, dengan demikian sangat
diperlukan sistem keamanan jaringan yang benar-benar handal dan bisa
menghalau berbagai gangguan keamanan data e-mail dalam server Anda. Saat
ini banyak tidak sedikit program antivirus baik baru maupun antivirus
lama yang terus diupdate kemampuannya. Berbagai perusahaan antivirus
seperti Mc Affee, AVG, dan lain-lain terus berupaya menciptakan inovasi
baru agar program antivirus mereka mampu menangkal dan membasmi spam,
warm dan virus. Selain perusahaan khususnya pembuatan program
antivirus, kepedulian Microsoft sebagai perusahaan raksasa sistem
operasi, aplikasi dan bahasa pemrograman, ternyata juga sangat konsen
terhadap sistem keamanan data dan e-mail dari gangguan warm, spam dan
virus ini.
Salah
satu kepedulian Microsoft terhadap warm, spam dan virus ini dibuktikan
dengan kehadirannya Microsoft Forefront. Microsoft ForeFront ini hadir
berupa :
1.Microsoft Forefront Client Security
2.Microsoft Forefront
Security for Exchange Server
3.Microsoft Forefront Security for
SharePoint.
Microsoft Forefront Client Security memberikan perlindungan
terhadap malware pada komputer dan sistem operasi yang mudah
dioperasikan pengguna. Microsoft Forefront Security for Exchange Server
bertugas melindungi e-mail server perusahaan dari berbagai jenis virus, spam dan sejenisnya. Sedangkan Microsoft Forefront Security for SharePoint, menawarkan penggabungan beberapa fitur scanning virus untuk melindungi data perusahaan secara komprehensif, khususnya pada data-data penting dan rahasia.
Microsoft Forefront dan Microsoft System Center merupakan dua produk terkini dan merupakan solusi security yang komprehensif. Produk security yang komprehensif dari hulu ke hilir yang tidak hanya dilengkapi dengan dua atau tiga fungsi scanning, melainkan delapan fitur scanning yang secara simultan dan terus-menerus melindungi infrastruktur TI, dengan tetap menjaga keseimbangan antara reliability dan performance.
Microsoft Forefront bekerja menangani security, Microsoft System Center menawarkan fungsi membantu seorang administrator dalam melakukan monitoring dan pengelolaan server
secara proaktif. Aplikasi ini menyederhanakan proses yang sebelumnya
harus dilakukan seorang administrator menggunakan beberapa aplikasi,
dengan hanya satu aplikasi.
CONTOH DARI SISTEM KEAMANAN
A. Kunci Asimetris
Kunci
asimetris adalah pasangan kunci kriptografi yang salah satunya
digunakan untuk proses enkripsi dan yang satu lagi untuk dekripsi.
Semua orang yang mendapatkan kunci publik dapat menggunakannya untuk
mengenkripsikan suatu pesan, sedangkan hanya satu orang saja yang
memiliki rahasia tertentu dalam hal ini kunci privat untuk melakukan
pembongkaran terhadap sandi yang dikirim untuknya. Contoh algoritma
terkenal yang menggunakan kunci asimetris adalah RSA.
B. Fungsi Hash Satu Arah
Fungsi hash satu arah (one-way hash function) digunakan untuk membuat sidik jari (fingerprint) dari suatu dokumen atau pesan X. Pesan X (yang besarnya dapat bervariasi) yang akan di-hash disebut pre-image, sedangkan outputnya yang memiliki ukuran tetap, disebut hash-value (nilai hash). Fungsi hash dapat
diketahui oleh siapapun, tak terkecuali, sehingga siapapun dapat
memeriksa keutuhan dokumen atau pesan X tersebut. Tak ada algoritma
rahasia dan umumnya tak ada pula kunci rahasia. Contoh algoritma fungsi
hash satu arah adalah MD-5 dan SHA. Message Authentication Code (MAC) adalah salah satu variasi dari fungsi hash satu arah, hanya saja selain pre-image, sebuah kunci rahasia juga menjadi input bagi fungsi MAC.
C. Tanda Tangan Digital
Penandatanganan digital terhadap suatu dokumen adalah sidik jari dari dokumen tersebut beserta timestamp-nya dienkripsi dengan menggunakan kunci privat pihak yang menandatangani. Tanda tangan digital memanfaatkan fungsi hash satu
arah untuk menjamin bahwa tanda tangan itu hanya berlaku untuk dokumen
yang bersangkutan saja. Keabsahan tanda tangan digital itu dapat
diperiksa oleh pihak yang menerima pesan.
D. Masalah Pertukaran Kunci Publik
Misalkan
ada dua pihak : Anto dan Badu, Anto hendak mengirimkan Badu suatu
dokumen rahasia melalui jaringan komputer kepada Badu. Maka sebelumnya
Badu harus mengirimkan kunci publiknya kepada Anto agar Anto dapat
melakukan enkripsi yang pesannya hanya dapat dibuka oleh Badu. Demikian
juga pula sebaliknya, Anto harus mengirimkan kepada Badu kunci
publiknya agar Badu dapat memeriksa keaslian tanda tangan Anto pada
pesan yang dikirim. Dengan cara ini Anto dapat memastikan pesan itu
sampai ke tujuannya, sedangkan Badu dapat merasa yakin bahwa pengirim
pesan itu adalah Anto. Anto dan Badu bisa mendapatkan masing-masing
kunci publik lawan bicaranya dari suatu pihak yang dipercaya, misalnya
P. Setiap anggota jaringan diasumsikan telah memiliki saluran
komunikasi pribadi yang aman dengan P.
E. Sertifikat Digital
Sertifikat
digital adalah kunci publik dan informasi penting mengenai jati diri
pemilik kunci publik, seperti misalnya nama, alamat, pekerjaan,
jabatan, perusahaan dan bahkan hash dari suatu informasi
rahasia yang ditandatangani oleh suatu pihak terpercaya. Sertifikat
digital tersebut ditandatangani oleh sebuah pihak yang dipercaya yaitu Certificate Authority (CA).
F. SECURE SOCKET LAYER (SSL)
SSL dapat menjaga kerahasiaan (confidentiality) dari informasi yang dikirim karena menggunakan teknologi enkripsi yang maju dan dapat di-update jika
ada teknologi baru yang lebih bagus. Dengan penggunaan sertifikat
digital, SSL menyediakan otentikasi yang transparan antara client dengan server. SSL menggunakan algoritma RSA untuk membuat tanda tangan digital (digital signature) dan amplop digital (digital envelope).
Selain itu, untuk melakukan enkripsi dan dekripsi data setelah koneksi
dilakukan, SSL menggunakan RC4 sebagai algoritma standar untuk enkripsi
kunci simetri.
Saat aplikasi menggunakan SSL, sebenarnya terjadi dua sesi, yakni sesi handshake dan sesi pertukaran informasi.
MASALAH KEAMANAN DALAM SISTEM INFORMASI
Jika kita berbicara tentang keamanan sistem informasi, selalu kata
kunci yang dirujuk adalah pencegahan dari kemungkinan adanya virus,
hacker, cracker dan lain-lain. Padahal berbicara masalah keamanan
sistem informasi maka kita akan berbicara kepada kemungkinan adanya
resiko yang muncul atas sistem tersebut (lihat tulisan strategi
pendekatan manajemen resiko dalam pengembangan sistem informasi).
Sehingga pembicaraan tentang keamanan sistem tersebut maka kita akan
berbicara 2 masalah utama yaitu :
1. Threats (Ancaman) atas sistem dan
2. Vulnerability (Kelemahan) atas sistem
1. Threats (Ancaman) atas sistem dan
2. Vulnerability (Kelemahan) atas sistem
Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi yaitu :
• Efektifitas
• Efisiensi
• Kerahaasiaan
• Integritas
• Keberadaan (availability)
• Kepatuhan (compliance)
• Keandalan (reliability)
Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan dengan baik. Adapun kriteria yag perlu di perhatikan dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :
1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang di pakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada
Dari domain tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan berdasarkan ancaman dan kelemahan sistem yang dimiliki.
ANCAMAN (Threats)
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :
1. Ancaman Alam
2. Ancaman Manusia
3. Ancaman Lingkungan
Ancaman Alam
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :
1. Ancaman Alam
2. Ancaman Manusia
3. Ancaman Lingkungan
Ancaman Alam
Yang termasuk dalam kategori ancaman alam terdiri atas :
• Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai, pencairan salju
• Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
• Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
Ancaman Manusia
Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :
• Malicious code
• Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures
• Social engineering
• Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor
• Kriminal
• Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
• Teroris
• Peledakan, Surat kaleng, perang informasi, perusakan
Ancaman Lingkungan
Yang dapat dikategorikan sebagai ancaman lingkungan seperti :
• Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lama
• Polusi
• Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll
• Kebocoran seperti A/C, atap bocor saat hujan
Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks ancaman sehingga kemungkinan yang timbul dari ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman tersebut memiliki probabilitas serangan yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan seperti terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami mall function.
KELEMAHAN (Vurnerability)
Adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.
Adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.
Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :
1. Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman dan kelemahan
2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menjadi keadaan abnormal
3. Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan normal.
Tindakan tersebutlah menjadikan bahwa keamanan
sistem informasi tidak dilihat hanya dari kaca mata timbulnya serangan
dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat
dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.
Tantangan dan masalah dalam jaringan
Masalah keamanan pada komputer menjadi isu penting pada era teknologi
informasi ini. Banyak kejahatan cyber yang terjadi, yang beritanya bisa
kita baca pada portal berita di internet dan di media massa. Komputer,
laptop dan media penyimpan (drives) portabel yang sering
dibawa-bawa menjadi rentan terhadap kemungkinan hilang atau dicuri.
Bila terjadi, data-data yang tersimpan didalamnya tentu saja turut
terbawa oleh pencuri atau jatuh ke tangan pihak lain. Datanya itu
sendiri mungkin sudah di back-up, namun nilai dari
informasinya tentu menjadi pertimbangan tersendiri, terlebih lagi bila
data tersebut bersifat pribadi, penting atau sensitif, yang mungkin
saja dapat memberikan dampak buruk bagi pemiliknya.
Masalah keamanan
dan kerahasiaan data merupakan hal yang sangat penting dalam suatu
organisasi maupun pribadi. Apalagi kalau data tersebut berada dalam
suatu jaringan komputer yang terhubung/terkoneksi dengan jaringan
publik misalnya internet. Tentu saja data yang sangat penting tersebut
dilihat atau dibajak oleh orang yang tidak berwenang. Sebab kalau hal
ini sampai terjadi kemungkinan data kita akan rusak bahkan bisa hilang
yang akan menimbulkan kerugian material yang besar.
Selain itu, pembayaran elektronik
sekarang sudah menjadi seperti gaya hidup dan kebutuhan bagi sebagian
masyarakat, terutama masyarakat perkotaan yang menginginkan pola
bertransaksi yang praktis dan cepat. Dengan berkembangnya teknologi di
bidang jaringan internet, suatu proses pembelian dan pembayaran melalui
internet sudah bukan hal yang asing lagi. Masalah terpenting dalam
jaringan komputer adalah masalah keamanan data yang dikirimkan. Data
dan informasi yang kita kirimkan melalui jaringan, baik itu Local Area
Network ataupun Internet, tidak jarang disadap oleh orang lain ataupun cracker
untuk kepentingan tertentu, hal ini menyebabkan adanya usaha untuk
melakukan pengubahan bentuk atau pengkodean terhadap informasi sebelum
informasi tersebut dikirim melalui jaringan. Pelaku kejahatan
memanfaatkan celah keamanan yang ada untuk dimasuki dan melakukan
manipulasi data. Pihak penjahat itu bisa saja berniat untuk sekedar
mencari tahu saja, atau juga bisa mencuri berbagai macam hal seperti
uang, data rahasia, dll.
Adapun beberapa faktor yang mengakibatkan meningkatnya masalah keamanan, terutama dalam kejahatan komputer (cyber), diantaranya:
- Aplikasi bisnis berbasis TI dan jaringan komputer meningkat: online banking, e‐commerce, Electronic Data Interchange (EDI).
- Desentralisasi server.
- Transisi dari single vendor ke multi vendor.
- Meningkatnya kemampuan pemakai (user).
- Kesulitan penegak hukum dan belum adanya ketentuan yang pasti.
- Semakin kompleksnya sistem yang digunakan, semakin besarnya source code program yang digunakan.
- Berhubungan dengan internet.
Menurut David Icove [John D. Howard, “An Analysis Of Security Incidents On The Internet 1989 ‐ 1995,”
PhD thesis, Engineering and Public Policy, Carnegie Mellon University,
1997.] berdasarkan lubang keamanan, keamanan dapat diklasifikasikan
menjadi empat, yaitu:
- Keamanan yang bersifat fisik (physical security): termasuk akses orang ke gedung, peralatan, dan media yang digunakan. Contoh :
- Wiretapping atau hal‐hal yang ber‐hubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini.
- Denial of service, dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan‐pesan (yang dapat berisi apa saja karena yang diuta‐makan adalah banyaknya jumlah pesan)
- Syn Flood Attack, dimana sistem (host) yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem.
- Keamanan yang berhubungan dengan orang. Contoh :
- Identifikasi user (username dan password).
- Profil resiko dari orang yang mempunyai akses (pemakai dan pengelola).
- Keamanan dari data dan media serta teknik komunikasi.
- Keamanan dalam operasi: adanya prosedur yang digunakan untuk mengatur dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).
etika dan keamanan sistem informasi
A. ETIKA DALAM SISTEM INFORMASI
Masalah
etika juga mendapat perhatian dalam pengembangan dan pemakaian system
informasi. Masalah ini diidentifikasi oleh Richard Mason pada tahun
1986 yang mencakup privasi, akurasi, properti, dan akses, yang dikenal
dengan akronim PAPA.
1. Privasi
Privasi
menyangkut hak individu untuk mempertahankan informasipribadi dari
pengaksesan oleh orang lainyang tidak diberi izin unruk melakukannya.
Contoh
isu mengenai privasi sehubungan diterapkannya system informasi adalah
pada kasus seorang manajer pemasaran yang ingin mengamati e-mail yang dimiliki para bawahannya karena diperkirakan mereka lebih banyak berhubungan dengan e-mail pribadi daripada e-mail
para pelanggan. Sekalipun sang manajer dengan kekuasaannya dapat
melakukan hal seperti itu, tetapi ia telah melanggarprivasi bawahannya.
Privasi
dibedakan menjadi privasi fisik dan privasi informasi (Alter, 2002).
Privasi fidik adalah hak seseorang untk mencegah sseseorang yangtidak
dikehendaki terhadap waktu, ruang, dan properti (hak milik), sedangkan
privasi informasi adalah hak individu untuk menentukan kapan,
bagaimana, dan apa saja informasi yang ingin dikomunikasikan dengan
pihak lain.
Penggunaan
teknologi informasi berkecenderungan membuat pelanggaran terhadap
privasi jauh lebih mudah terjadi. Sebagai contoh, para pemakai e-mail sering kali jengkel dengan kiriman-kiriman e-mail yang tak dikehendaki dan berisi informasi yang tidak berguna (junk e-mail).
Di America Derikat, masalah privasi diatur oleh undang-undang privasi. Berkaitan dengan hal ini, maka:
· Rekaman-rekaman
data tdak boleh digunakan untuk keperluan lain yang bukan merupakan
tujuan aslinya tanpa sepengetauhna individu bersangkutan.
· Setiap individu memiliki hak untuk melihat datanya sendiri dan membetulkan rekaman-rekaman yang menyangkut dirinya.
2. Akurasi
Akurasi
terhadap informasi merupakan factor yang harus dpenuhi oleh sebuah
sistem informasi. Ketidak akurasian informasi dapat menimbulkan hal
yang mengganggu, merugikan, dan bahkan membahayakan.
Sebuah
kasusakibat kesalahan penghapusan nomor keamanan social dialami oleh
Edna Rismeller (Alter, 2002, hal.292). Akibatnya, kartu asuransinya
tidak bias digunakan bahkan pemerintah menarik kembali cek pension
sebesar $672 dari rekening banknya. Kisah lain dialami oleh para
penyewa apartemen di Amerika yang karena sesuatu hal pernah bertengkar
dengan pemiliki apartemen. Dampaknya, terdapat tanda tidak baik dalam
basis data dan halini membuat mereka sulit untuk mendapatkan apartemen
lain.
Mengingat data dalam sistem informasi menjadi bahan dalam pengambilan keputusan, keakurasiannya benar-benar harus diperhatikan.
3. Properti
Perlindungan
terhadap hak properti yangsedang figalakkan saat ini yaitu
dikenaldengan sebutan HAKI(hak atas kekayaan intelektual). Di Amerika
Serikat, kekayaan intelektual diatur melalui tiga mekanisme, yaitu hak
cipta (copyright), paten, dan rahasia perdagangan (trade secret).
· Hak cipta, adalah
hak yang dijamin oleh kekuatan hokum yang melarang penduplikasian
kekayaanintelektual tanpa seizing pemegangnya. Hak ini mudah untuk
didapatkan dan diberikab kepada pemegangnya selamamasa hidup
penciptanya plus 70 tahun.
· Paten, merupakan
bentuk perlindungan terhadap kekayaan intelektual yang paling
sulitdidapatkan karena hanyadiberikan pada penemuan-penemuaninovatif
dan sangat berguna. Hukum paten memberikanperlindungan selama 20 tahun.
· Rahasia perdagangan, hokum
rahasia perdagangan melindingi kekayaan intelektual melalui lisensi
atau kontrak. Pada lisensi perangkat lunak, seseorang yang
menandatanganikontrak menyetujui untuktidak menyalin perangkat lunak
tersebut untuk diserahkan kepada oranglain atau dijual.
Masalah
kekayaan intelektual merupakan faktor pentingyang perlu diperhatikan
dalam sistem informasi untuk menghindari tuntutan dari pihak lain di
kemudian hari. Isu pelanggaran kekayaan intelektual yangcukup seru
pernah terjadi ketika terdapat gugatan bahwa sistem windows itu meniru
sistem Mac. Begitu juga timbul perseteruan ketika muncul
perangkat-perangkat lunak lain yang menyerupai spreadsheet Lotus
123. Kasus ini menimbulkan pertanyaan, “Apakah tampilan nuasa dari
suatu perangkat lunak memang butuh perlindungan hak cipta?”.
Berkaitan dengan masalah intelektual, banyak masalah yang belum terpecahkan (Zwass, 1998), antara lain:
· Pada level apa informasi dapat dianggap sebagai properti?
· Apa yang harus membedakan antara satu produk dengan produk lain?
· Akankah pekerjaan yang dihasilkan oleh komputer memiliki manusia penciptanya? Jika tidak, lalu hak properti apa yang dilindunginya?
Isu
yang juga marak sampai saat ini adalah banyaknya penyali perangkat
lunak secara ilegal dengan sebutan pembajakan perangkat lunak (software privacy). Beberapa solusi untuk mengatasi hal ini telah banyak ditawarkan, namun belum memiliki penyelesaian, seperti sebaiknya software
– terutana yang bias dijual massak – dijual dengan harga yang relative
murah. Solusi yang mengkin bias figunakan untukperusahaan-perusahaan
yang memiliki dana yangterbatas untukmemberli perangkat lunak yang
tergolong sebagai open source.
4. Akses
Fokus
dari masalah akses adalah pada penyediaanakses untuk semua kalangan.
Teknologi informasi diharapkan tidak menjadi halangan dalam melakukan
pengaksesan terhadap informasi bagi kelompok orang tertentu, tetapi
justru untuk mendukung pengaksesan untuk semuapihak. Sebagai contoh,
untuk mendukunf pengaksesan informasi Web bagi orang buta, TheProducivity Works (www.prodworks.com) menyediakan Web Broser khusus diberi nama pw WebSpeak. Browser ini memiliki prosesor percakapan dan dapat (Zwass, 1998).
B. Keamanan Dalam Sistem Informasi
Jika
kita berbicara tentang keamanan sistem informasi, selalu kata kunci
yang dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker,
cracker dan lain-lain. Padahal berbicara masalah keamanan sistem
informasi maka kita akan berbicara kepada kemungkinan adanya resiko
yang muncul atas sistem tersebut (lihat tulisan strategi pendekatan
manajemen resiko dalam pengembangan sistem informasi). Sehingga
pembicaraan tentang keamanan sistem tersebut maka kita akan berbicara 2
masalah utama yaitu :
- Threats (Ancaman) atas sistem dan
- Vulnerability (Kelemahan) atas sistem
Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi yaitu :
- Efektifitas
- Efisiensi
- Kerahaasiaan
- Integritas
- Keberadaan (availability)
- Kepatuhan (compliance)
- Keandalan (reliability)
Untuk
menjamin hal tersebut maka keamanan sistem informasi baru dapat
terkriteriakan dengan baik. Adapun kriteria yag perlu di perhatikan
dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan
yang perlu di perhatikan yaitu :
- Akses kontrol sistem yang digunakan
- Telekomunikasi dan jaringan yang dipakai
- Manajemen praktis yang di pakai
- Pengembangan sistem aplikasi yang digunakan
- Cryptographs yang diterapkan
- Arsitektur dari sistem informasi yang diterapkan
- Pengoperasian yang ada
- Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
- Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
- Tata letak fisik dari sistem yang ada
Dari
domain tersebutlah isu keamanan sistem informasi dapat kita
klasifikasikan berdasarkan ancaman dan kelemahan sistem yang dimiliki.
Tidak ada komentar:
Posting Komentar