MAKALAH KEAMANAN SI
MAKALAH
PENTINGNYA KEAMANAN SISTEM INFORMASI DI INDONESIA
KEAMANAN SISTEM INFORMASI
Dosen Pengampu : Hendro Wijayanto, S.Kom, M.Kom
JURUSAN SISTEM INFORMASI
Disusun Oleh:
Saifuddin
(15.4.10021)
Madiyono
(15.4.10026)
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER
STMIK SINAR NUSANTARA
SURAKARTA
2018
1
DAFTAR ISI
COVER.................................................................................................. i
DAFTAR ISI........................................................................................... ii
BAB I PENDAHULUAN......................................................................... 1
BAB II PEMBAHASAN........................................................................... 6
BAB III PENUTUP................................................................................. 14
DAFTAR PUSTAKA............................................................................... 18
2
BAB I
PENDAHULUAN
A. LATAR BELAKANG
Masalah keamanan merupakan salah satu aspek penting dari
sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali
kurang mendapat perhatian dari para pemilik dan pengelola sistem
informasi. Seringkali masalah keamanan berada di urutan kedua, atau
bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting.
Apabila menggangu performansi dari sistem, seringkali keamanan
dikurangi atau ditiadakan. Makalah ini diharapkan dapat memberikan
gambaran dan informasi tentang keamanan sistem informasi.
Informasi saat ini sudah menjadi sebuah komoditi yang sangat
penting. Bahkan ada yang mengatakan bahwa kita sudah berada di
sebuah “information-based society”. Kemampuan untuk mengakses dan
menyediakan informasi secara cepat dan akurat menjadi sangat esensial
bagi
sebuah
organisasi,
baik
(perusahaan),
perguruan
tinggi,
yang
berupa
lembaga
organisasi
pemerintahan,
komersial
maupun
individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di
bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer
sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang
sifatnya sensitif. Penggunaan komputer untuk menyimpan informasi yang
sifatnya classified baru dilakukan di sekitar tahun 1950-an. Sangat
pentingnya nilai sebuah informasi menyebabkan seringkali informasi
diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya
informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat
menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak
informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui
oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya
informasi tentang produk yang sedang dalam development, algoritmaalgoritma dan teknik-teknik yang digunakan untuk menghasilkan produk
1
tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus
terjamin dalam batas yang dapat diterima.
Jaringan komputer, seperti LAN dan Internet, memungkinkan
untuk menyediakan informasi secara cepat. Ini salah satu alasan
perusahaan atau organisasi mulai berbondong-bondong membuat LAN
untuk sistem informasinya dan menghubungkan LAN tersebut ke Internet.
Terhubungnya LAN atau komputer ke Internet membuka potensi adanya
lubang keamanan (security hole) yang tadinya bisa ditutupi dengan
mekanisme keamanan secara fisik. Ini sesuai dengan pendapat bahwa
kemudahan (kenyamanan) mengakses informasi berbanding terbalik
dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi
tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses
informasi.
Menurut G. J. Simons, keamanan informasi adalah bagaimana
kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi
adanya penipuan di sebuah sistem yang berbasis informasi, dimana
informasinya sendiri tidak memiliki arti fisik. Karena itu, dalam kesempatan
kali ini, penulis ingin membahas lebih lanjut tentang keamanan sisem
informasi.
B. DATA AKURAT TENTANG KEAMANAN SISTEM INFORMASI DI
INDONESIA
Ancaman yang berasal dari manusia memiliki karakteristik tersendiri, serta
memiliki alasan tersendiri dalam melakukan gangguan terhadap sistem
informasi yang ada. Adapun alasan yang timbul dari ancaman manusia ini
dapat di definisikan dalam tabel berikut :
Sumber
Alasan
Ancaman
Hacker,
Cracker
Aksi yang timbul
Tantangan
2
Hacking
Social Engineering
Gangguan sistem
Akses terhadap sistem
Ego
Memberontak
Perusakan informasi
Tindak Kriminal
Penyingkapan
Perbuatan curang
ilegal
Penyuapan
Keuntungan moneter
Spoofing
Merubah data
Intrusi atas sistem
Bom/teror
Perang informasi
Penyerangan sistem
Penembusan
informasi
Kriminal
Surat kaleng
Perusakan
Peledakan
Balas dendam
secara
Teroris
atas
sistem
Persaingan usaha
Mata-mata ekonomi
Mata-mata
Tampering sistem
Pencurian informasi
Social engineering
Penembusan
sistem
3
atas
Orang dalam
Organisasi
Keingintahuan
Ego
Mata-mata
Balas dendam
Kelalaian kerja
Surat kaleng
Sabotase atas sistem
Bug sistem
Pencurian/penipuan
Perubahan data
Virus, trojan, dll
Penyalahgunaan
komputer
Upaya-upaya Penanganan Ancaman Keamanan Sistem Informasi
4
Dalam konteks keamanan sistem informasi, upaya-upaya yang bersifat
pencegahan terhadap potensi ancaman yang mungkin timbul menjadi
penekanan yang sangat penting, selain upaya pendeteksian kejahatan
terhadap sistem informasi dan upaya pemulihan sistem informasi.
Pencegahan menjadi penting karena pencegahan dapat menghindarkan
pengelola atau pemilik sistem informasi dari timbulnya kejahatan, kerugian
yang lebih besar dan upaya atau biaya yang besar dalam upaya
melakukan deteksi, atau pun upaya menempuh proses hukum dan
recovery terhadap sistem informasi yang rusak.
Dalam satu hasil global survey diketahui bentuk pencegahan yang umum
dilakukan atau dijalankan oleh organisasi, Firewall dan software anti virus
merupakan trend keamanan sistem informasi saat ini, masih mendominasi
dan dipercaya oleh banyak organisasi dan para ahli keamanan sebagai
pencegahan kejahatan terhadap sistem informasi yang efektif dan efisien.
Lebih dari 95% responden mengimplementasi firewall dan software anti
virus dalm strategi keamanan sistem organisasi mereka.
Scalabilitas Ancaman Keamanan Sistem Informasi
Adapun level skalabilitas dari ancaman menurut Roger S. Pressman [3],
dapat di definisikan dalam 4 kategori yang didefinisi dalam tabel berikut :
Tingkat
Definisi
Ancaman
Pada level ini tingkat ancaman dapat dikategorikan sangat
merusak, dimana sumber ancaman memiliki motif besar
Catastrophics saat melakukan kegiatannya. dampak yang ditimbulkan
dari tingkat ini dapat membuat sistem tidak berfungsi
Critical
sama sekali.
Level ini dapat dikategorikan cukup membuat merusak
sistem IT, akan tetapi penggunaan kontrol yang diterapkan
pada sistem telah dapat menahan kondisi kerusakan
sehingga tidak menyebabkan kerusakan yang besar pada
5
sistem.
Pada level ini kontrol keamanan mampu mendeteksi
sumber ancaman yang menyerang sistem IT, walau
Marginal
tingkat kerusakan pada sistem masih terjadi akan tetapi
masih dapat di perbaiki dan dikembalikan kepada kondisi
semula
Pada level ini sumber ancaman tidak dapat
Negligible
mempengaruhi sistem, dimana kontrol atas sistem sangat
mampu mengantisipasi adanya kemungkinan ancaman
yang dapat mengganggu sistem
6
BAB II
PEMBAHASAN
A. PENGERTIAN KEAMANAN
Keamanan sistem adalah sebuah sistem yang digunakan untuk
mengamankan sebuah komputer dari gangguan
dan segala ancaman
yang membahayakan yang pada hal ini keamanannya melingkupi
keamanan data atau informasinya ataupun pelaku sistem (user). Baik
terhindar dari ancaman dari luar, virus. Spyware, tangan-tangan jahil
pengguna lainnya dll. Sistem komputer memiliki data-data dan informasi
yang berharga, melindungi data-data ini dari pihak-pihak yang tidak
berhak merupakan hal penting bagi sistem operasi. Inilah yang disebut
keamanan (security). Sebuah sistem operasi memiliki beberapa aspek
tentang keamanan yang berhubungan dengan hilangnya data-data.
Sistem komputer dan data-data didalamnya terancam dari aspek
ancaman (threats), aspek penyusup (intruders), dan aspek musibah.
B. MANFAAT KEAMANAN SISEM INFORMASI
Pada perusahaan yang memiliki sumberdaya yang besar berupa
bahan baku, sumberdaya manusia, maupun barang jadi sudah saatnya
menggunakan sistem komputerisasi yang terintegrasi agar lebih effisien
dan effektif dalam memproses data yang dibutuhkan. Sistem Informasi
dalam suatu perusahaan bertujuan untuk mencapai tiga manfaat utama:
kerahasiaan, ketersediaaan, dan integrasi.
1) Kerahasiaan.
Untuk
melindungi
data
dan
informasi
dari
penggunaan yang tidak semestinya oleh orang-orang yang tidak
memiliki otoritas. Sistem informasi eksekutif, sumber daya
manusia, dan sistem pengolahan transaksi, adalah sistem-sistem
yang terutama harus mendapat perhatian dalam keamanan
informasi.
7
2) Ketersediaan. Supaya data dan informasi perusahaan tersedia
bagi pihak-pihak yang memiliki otoritas untuk menggunakannya.
3) Integritas. Seluruh sistem informasi harus memberikan atau
menyediakan gambaran yang akurat mengenai sistem fisik yang
mereka wakili
C. JENIS UKURAN-UKURAN KEAMANAN SISTEM INFORMASI
Untuk melindungi sumberdaya organisasi, suatu perusahaan
harus menerapkan beragam jenis ukuran keamanan. Ukuran keamanan
yang memadai memungkinkan perusahaan:
1) Melindungi fasilitas komputernya dan fasilitas fisik lainnya.
2) Menjaga integritas dan kerahasiaan file data.
3) Menghindari kerusakan serius atau kerugian-kerugian karena
bencana
Ukuran keamanan fokus pada:
1) Keamanan fisik dan
2) Keamanan data/informasi.
Kemanan fisik dikelompokkan atas:
1) Kemanan untuk sumberdaya fisik selain fasilitas komputer
2) Keamanan untuk fasilitas perangkat keras komputer.
Ukuran keamanan spesifik
Untuk setiap keamanan fisik dan keamanan data/informasi, maka
ukuran-ukuran keamanan harus ditetapkan untuk:
1) Melindungi dari akses yang tidak diotorisasi/diijinkan
2) Perlindungan terhadap bencana
3) Perlindungan terhadap kerusakan atau kemacetan
4) Perlindungan dari akses yang tidak terdeteksi
5) Perlindungan terhadap kehilangan atau perubahan-prubahan
yang tidak seharusnya
6) Pemulihan atau rekonstruksi data yang hilang
D. KEAMANAN UNTUK SUMBER DAYA FISIK NON KOMPUTER
1) Sumberdaya fisik nonkomputer misalnya kas, sediaan, surat-surat
berharga sekuritas, aktiva tetap perusahaan, atau arsip-arsip
dalam lemari arsip.
8
2) Perlindungan dari akses yang tidak diijinkan, misalnya;
a) Akses ke aktiva fisik non komputer harus dibatasi atau dijaga
dari pihak-pihak yang tidak diijinkan/diotorisasi.
b) Kas harus disimpan dalam kotak terkunci (brankas) dan hanya
boleh diakses oleh orang-orang yang diijinkan.
c) Menetapkan penjaga untuk sediaan yang disimpan digudang
atau aktiva yang ada digedung administrasi atau pabrik.
d) Membuat pagar untuk wilayah-wilayah tempat penyimpanan
aktiva.
e) Membuat alarm, monitor TV atau lemari arsip yang terkunci.
3) Perlindungan dari Bencana
Melengkapi gudang dengan peralatan-peralatan pencegah api
dan menyimpan kas pada tempat yang tahan api
4) Perlindungan dari kerusakan dan kemacetan
Melakukan pemeliharaan rutin atas aktiva-aktiva operasi, seperti
mesin, mobli dan lain-lain
E. KEMANAN UNTUK PERANGKAT KERAS KOMPUTER
1) Perlindungan dari akses orang yang tidak diijinkan, misalnya:
a) Pusat fasilitas komputer harus diisolasi, lokasi tidak bisa
dipublikasi dan tidak tampak dari jalan umum.
b) Akses fisik ke fasilitas komputer dibatasi pada orang yang
diotorisasi, misalnya operator komputer, pustakawan, penyelia
pemrosesan data atau manajemen sistem informasi.
c) Penjaga keamanan dan resepsionis ditempatkan pada titik-titik
strategis.
d) Memakai alat scanning elektronik
e) Pintu terkunci ke ruangan komputer dan titik pemasukan data
yang hanya bisa dibuka dengan kartu berkode magnetik.
f) Alarm, apabila ada pihak yang tidak diotorisasi masuk.
2) Perlindungan dari bencana
a) Fasilitas komputer diatur kelembaban dan suhu ruangannya.
b) Untuk menghindari kerusajkan karena air, maka lantai, dinding
dan atap harus tahan air.
c) Membuat detektor asap atau detektor api
d) Untuk mainframe, maka sebaiknya disediakan generator
ataupun UPS
9
3) Perlindungan dari kerusakan dan kemacetan
Membuat rencana backup file
F. KEMANAN UNTUK DATA DAN INFORMASI
1) Perlindungan dari akses orang yang tidak diotorisasi terhadap
data, misalnya sebagai berikut;
a) Isolasi, data dan informasi yang rahasia dan penting bagi
operasi perusahaan diisolasi secara fisik untuk melindungi dari
akses yang tidak diotorisasi.
b) Otentifikasi dan otorisasi
membuat
daftar
pengguna.
pengendalian
akses
Misalnya
(ACL),
dengan
membuat
password, Automatic lockout, Callback procedure, keyboard
lock.
c) Peralatan komputer dan terminal dibatasi penggunaannya.
MIsalnya: suatu terminal dibatasi hanya bisa memasukkan
transaksi tertentu sesuai dengan fungsinya. Bagian gudang
hanya bisa memasukkan dan memutakhirkan data sediaan
setelah memasukkan password atau username. Peralatan
komputer dan terminal juga akan terkunci otomatis bila jam
kerja telah selesai.
d) Enskripsi. Untuk mencegah pengganggu (intruder) memasuki
jaringan komunikasi data dan menyadap data, maka data
rahasia yang ditransmisikan melalui jaringan dilindungi
dengan enkripsi (data dikodekan dan apabila telah sampai
kode tersebut dibuka ditempat tujuan). Terdapat dua jenis
enskripsi: private key encryption & Public Key Encryption.
e) Destruksi. Untuk mencegah pihak yang tidak diijinkan
mengakses data, data rahasia harus segera dihancurkan
ketika masa penggunaannya selesai. Untuk hasil cetakan,
segera dihancurkan melalui alat penghancur kertas.
2) Perlindungan dari akses data dan informasi yang tidak bisa
dideteksi misalnya sebagai berikut;
a) Membuat access log (log akses), merupakan komponen
keamanan sistem pengoperasian, mencatat seluruh upaya
untuk berinteraksi dengan basis data/database. Log ini
10
menampilkan waktu, tanggal dan kode orang yang melakukan
akses ke basis data. Log ini menghasilkan jejak audit yang
harus diperiksa oleh auditor internal atau administratur
keamanan
untuk
menetapkan
ancaman-ancaman
yang
mungkin terhadap keamanan sistem informasi.
b) Console log Cocok bagi komputer mainframe
yang
menggunakan pemrosesan tumpuk. Console log mencatat
semua tindakan yang dilakukan sistem operasi dan operator
komputer.Console
log
mencatat seluruh
tindakan
yang
dilakukan sistem operasi dan operator komputer, seperti
permintaan dan tanggapan yang dibuat selama pelaksanaan
pemrosesan dan aktivitas lainnya.
c) Perangkat lunak pengendalian akses, Beberapa perangkat
lunak berinteraksi dengan sistem operasi komputer untuk
membatasi dan memantau akses terhadap file dan data.
d) Log perubahan program dan sistem. Log perubahan program
dan sistem dapat memantau perubahan terhadap program, file
dan
pengendalian.
Manajer
pengembangan
sistem
memasukkan kedalam log ini seluruh perubahan dan
tambahan yang diijinkan terhadap program. Perubahan dan
tambahan yang diijinkan terhadap program harus diperiksa
internal auditor untuk memeriksa kesesuaian dengan prosedur
perubahan yang disarankan.
G. PERLINDUNGAN DARI KERUGIAN ATAU PERUBAHAN YANG
TIDAK DIHARAPKAN TERHADAP DATA ATAU PROGRAM
1) Log (catatan) perpustakaan, memperlihatkan pergerakan dari file
data,
program,
dan
dokumentasi
yang
digunakan
dalam
pemrosesan atau aktivitas lainnya.
2) Log transaksi, mencatat transaksi individual ketika transaksi itu
dimasukkan ke dalam sistem on-line untuk pemrosesan. Log ini
memberikan jejak audit dalam sistem pemrosesan online.
Termasuk dalam log ini adalah tempat pemasukan transaksi,
waktu dan data yang dimasukkan, nomor identifikasi orang yang
11
memasukkan data, kode transaksi, dan jumlah. Perangkat lunak
sistem juga meminta nomor transaksi. Secara teratur daftar log
3)
4)
5)
6)
transaksi ini harus dicetak
Tombol perlindunganà pada 3 ½ floppy disk
Label file
Memori hanya-baca (Read -Only Memory)
Penguncian (lockout), merupakan perlindungan khusus yang
diperlukan untuk melindungi basis data/database, karena beragam
pengguna dan program biasanya mengakses data secara
bergantian dan terus menerus. Penguncian mencegah dua
program mengakses data secara bersamaan. Akibatnya, satu
program harus ditunda sampai program lain selesai mengakses.
Jika kedua program diijinkan untuk memutakhirkan record yang
sama, maka satu data dapat dicatat berlebihan dan hilang.
H. PEMULIHAN DAN REKONSTRUKSI DATA YANG HILANG
1) Program pencatatan vital, yaitu program yang dibuat untuk
mengidentifikasi
dan
melindungi
catatan
komputer
dan
nonkomputer yang penting untuk operasi perusahaan, seperti
catatan pemegang saham, catatan karyawan, catatan pelanggan,
catatan pajak dan bursa, atau catatan sediaan.
2) Prosedur backup dan rekonstruksi. Backup merupakan tindasan
(copy) duplikasi dari dokumen, file, kumpulan data, program dan
dokumentasi lainnya yang sangat penting bagi perusahaan.
Prosedur rekonstruksi terdiri dari penggunaan backup untuk
mencipta ulang data atau program yang hilang.
I.
STUDI KASUS KEAMANAN SISTEM INFORMASI DI INDONESIA
Jakarta, CNN Indonesia -- Kemarin (30/3/2017) Penyidik Siber Bareskrim
Polri telah mengantongi pelaku sindikat peretas situs jual beli daring.
Ketiga anggota kelompok sindikat berinisial MKU (19), Al (19) dan NTM
(27) merupakan lulusan SMA yang sehari-hari gemar bermain game.
"Dua tersangka MKU dan AL lulusan SMA. Kalau NTM mahasiswa yang
tidak meneruskan kuliahnya. Sehari-harinya gamer," kata Kepala Biro
12
Penerangan Masyarakat (Karopenmas) Polri Brigjen Pol Rikwanto di
Mabes Polri, Jakarta.
Selain ketiga tersangka di atas, pihak kepolisian masih mengejar satu
terjangka lainnya, SH.
Keempat tersangkat, termasuk SH diketahui awalnya berkenalan melalui
jejaring sosial Facebook. Memiliki kegemaraan terhadap permainan yang
sama membuat keempatnya dekat dan mulai menjalankan aksi peretasan
situs jual beli daring.
Dari hasil pemeriksaan sementara, pihak kepolisian menduga sudah ada
400 situs yang berpotensi bisa menghasilkan uang telah berhasil mereka
retas.
Untuk menjalankan aksinya, masing-masing menjalankan tugas berbeda,
mulai dari membobol server hingga mencari pembeli potensial.
Tersangka MKU berperan menawarkan penjualan tiket pesawat melalui
Facebook menggunakan akun Hairul Joe. MKU juga memiliki peran
penting karena mengantongi username dan password untuk masuk ke
server Citilink yang didapatnya melalui meretas situs Tiket.com bersama
SH yang sampai saat ini masih buron.
"Tersangka melakukan login terhadap server Citilink dengan
menggunakan username dan password milik travel agen Tiket.com
dengan tujuan mendapatkan kode booking tiket pesawat Citilink untuk
dijual ke pembeli," katanya.
Sementara tersangka AL memasukkan data pesanan tiket pesawat Citilink
dari pembeli yang selanjutnya data tersebut dimasukkan ke aplikasi
penjualan maskapai Citilink dengan menggunakan username dan
password milik Tiket.com. Setelah kode booking pesawat didapat,
selanjutnya kode booking tersebut dikirim ke pihak pembeli.
Tersangka lainnya NTM bertugas mencari calon pembeli melalui akun
Facebook bernama Nokeyz Dhosite Kashir. Setelah mendapatkan calon
pembeli, data calon pembeli diberikan kepada tersangka AL untuk
diproses dengan prosedur yang sama.
Dalam mengungkap kasus ini, penyidik menyita barang bukti, tujuh unit
ponsel, tiga kartu ATM, dua surat izin mengemudi (SIM), dua KTP, dua unit
laptop, satu buku tabungan Bank BCA dengan saldo Rp212 juta, satu unit
router wifi, satu kartu mahasiswa (KTM) dan satu unit sepeda motor.
13
Atas aksi peretasan ini, PT Global Network yang mengelola Tiket.com
dilaporkan mengalami kerugian hingga Rp 1,9 miliar.
14
BAB III
PENUTUP
Pada umumnya pengamanan dapat dikategorikan menjadi dua
jenis
pencegahan
(preventif)
dan
pengobatan
(recovery).
Usaha
pencegahan dilakukan agar sistem informasi tidak memiliki lubang
keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang
keamanan sudah dieksploitasi. Mengamankan sistem informasi dapat
dilakukan dengan cara sebagai berikut :
1) Access Control (Mengatur akses)
Salah satu cara yang umum digunakan untuk mengamankan
informasi adalah dengan mengatur akses ke informasi melalui
mekanisme authentication dan access control. Implementasi dan
mekanisme antara lain menggunakan password.
2) Menutup service yang tidak digunakan
Sering kali sistem (perangkat keras maupun perangkat lunak)
diberikan dengan beberapa service dijalankan sebagai default, seperti
pada sistem UNIX service yang sering dipasang dari vendornya
seperti finger, telnet, ftp, smtp, pop, echo dll. Service tersebut tidak
semuanya dibutuhkan untuk mengamankan sistem. Servis yang tidak
diperlukan pada server (komputer) sebaiknya dimatikan.
3) Memasang proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat
ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang
lebih spesifik lagi dengan firewall. Filter dapat digunakan untuk
memfilter e-mail, informasi, akses atau bahkan dalam level packet.
4) Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara internet
dengan jaringan internal. Informasi yang keluar atau masuk harus
melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga
15
(prevent) agar akses ke daam maupun keluar dari orang yang tidak
berwenang (unauthorized access) tidak dapat dilakukan.
5) Pemantau adanya serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahui
adanya tamu tak diundang (intruder) atau adanya serangan (attack).
Nama lain dari sistem ini adalah Intruder Detection System (IDS).
Sistem ini dapat memberitahu administrator melalui e-mail maupun
melalui mekanisme lain seperti melalui pager.
6) Pemantau integritas sistem
Pemantau integritas sistem dijalankan secara berkala untuk menguji
integritas sistem. Salah satu contoh program yang umum digunakan di
sistem UNIX adalah program Tripwire. Program paket Tripwire dapat
digunakan untuk memantau adanya perubahan pada berkas atau file
atau directori.
7) Audit : Mengamati berkas log
Sebagian besar kegiatan penggunaan sistem dapat dicatat dalam
berkas yang biasanya disebut logfile atau log. Berkas log ini sangat
berguna untuk mengamati penyimpangan yang terjadi. Kegagalan
untuk masuk ke sistem (login) akan tersimpan dalam berkas log.
Untuk itu para administrator diwajibkan untuk rajin memelihara dan
menganalisa berkas log yang dimilikinya.
8) Backup secara rutin
Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan
merusak sistem dengan menghapus berkas-berkas yang dapat
ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai
super user (administrator), maka ada kemungkinan dia dapat
menghapus seluruh berkas.
9) Penggunaan Enkripsi untuk meningkatkan keamanan
Salah satu mekanisme untuk meningkatkan keamanan adalah dengan
menggunakan teknologi enkripsi. Data-data yang dikirimkan diubah
sedemikian rupa sehingga tidak mudah disadap. Banyak service
16
diinternet yang masin menggunakan plain text untuk authentication
seperti penggunaan pasangan user id dan password.
Informasi ini dapat dilihat dengan mudah oleh program penyadap atau
pengendus (sniffer).
10) Keamanan Server WWW
Keamanan server WWW biasanya merupakan masalah dari seorang
administrator. Dengan memasang server WWW pada sistem, maka
akan terbatas dalam membuka akses kepada orang luar. Apabila
server terhubung ke internet dan memang server WWW disiapkan
untuk publik, maka harus lebih berhati-hati karena membuka pintu
akses keseluruh dunia.
11) Membatasi akses melalui Kontrol Akses
Sebagai penyedia informasi (dalam bentuk berkas-berkas) sering
diinginkan pembatasan akses karena agar orang-orang tertentu saja
yang dapat mengakses berkas (informasi) tertentu. Pada prinsipnya
adalah masalah kontrol akses.
12) Proteksi halaman dengan menggunakan password
Salah satu mekanisme mengatur akses adalah dengan menggunakan
pasangan user id (user identification) dan password. Untuk server web
yang berbasis Apache, akses ke sebuah halaman atau sekumpulan
berkas yang terletak disebuah directory disistem UNIX dapat diatur
dengan menggunakan berkas htaccess.
13) Mengetahui jenis server
Informasi tentang web server yang digunakan dapat dimanfaatkan
oleh perusak untuk melancarkan serangan sesuai dengan tipe server
dan operating system yang digunakan.
14) Keamanan program CGI
Common Gateway Interface (CGI) digunakan untuk menghubungkan
sistem WWW dengan software lain di server web. Adanya CGI
memungkinkan hubungan interaktif antara user dan server web.
15) Keamanan client WWW
Keamanan pada sisi client biasanya berhubungan dengan masalah
privacy dan penyisipan virus atau Trojan horse.
17
18
DAFTAR PUSTAKA
Ibisa. 2011. Keamanan Sistem Informasi. Yogyakarta: CV Andi Offset
Rahardjo, Budi. 1999. Keamanan Sistem Informasi Berbasis
Internet. Bandung: PT. Insan Komuikasi.
http://www.geocities.ws/hme_istn/Efiles/handbook.pdf
http://repository.upnyk.ac.id/143/1/47_Keamanan_Sistem_Informasi.pdf
http://repository.politekniktelkom.ac.id/Courseware/Semester%202/Sistem
%20Informasi%20Manajemen/slide/Keamanan%20Sistem
%20Informasi.pdf
http://mildsend.wordpress.com/2013/04/24/ancaman_gangguan_terhadap
_teknologi_sistem_informasi_dan_penanggulangannya/
http://fairuzelsaid.wordpress.com/2010/08/25/cyberlaw-ancamankeamanan-sistem-informas/
http://www.google.com/url?
sa=t&rct=j&q=&esrc=s&source=web&cd=36&cad=rja&ved=0CE
wQFjAFOB4&url=http%3A%2F%2Fjurnal.atmaluhur.ac.id
%2Fwp-content%2Fuploads%2F2012%2F02%2F6-DOMAINUTAMA-DALAM-KEAMANAN-SYSTEMINFORMASI.pdf&ei=yueUUYiuEMH4rQfP3IGADw&usg=AFQjCN
FnTw18Gh8nQGKqWbSL3fTUB8nCA&bvm=bv.46471029,d.bmk
http://www.slideshare.net/andiazka/chapter-7-keamanan-sistem-informasi
http://referensirisk.blogspot.com/2013/02/studi-kasus-informationsecurity.html
http://rahman.staf.narotama.ac.id/2013/02/27/sistem-keamanan-komputer/
http://verololy.blogspot.com/2012/11/pengertian-sistem-keamananjaringan.html
http://afinaa.wordpress.com/2010/02/26/sistem-keamanan-komputer/
19
PENTINGNYA KEAMANAN SISTEM INFORMASI DI INDONESIA
KEAMANAN SISTEM INFORMASI
Dosen Pengampu : Hendro Wijayanto, S.Kom, M.Kom
JURUSAN SISTEM INFORMASI
Disusun Oleh:
Saifuddin
(15.4.10021)
Madiyono
(15.4.10026)
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER
STMIK SINAR NUSANTARA
SURAKARTA
2018
1
DAFTAR ISI
COVER.................................................................................................. i
DAFTAR ISI........................................................................................... ii
BAB I PENDAHULUAN......................................................................... 1
BAB II PEMBAHASAN........................................................................... 6
BAB III PENUTUP................................................................................. 14
DAFTAR PUSTAKA............................................................................... 18
2
BAB I
PENDAHULUAN
A. LATAR BELAKANG
Masalah keamanan merupakan salah satu aspek penting dari
sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali
kurang mendapat perhatian dari para pemilik dan pengelola sistem
informasi. Seringkali masalah keamanan berada di urutan kedua, atau
bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting.
Apabila menggangu performansi dari sistem, seringkali keamanan
dikurangi atau ditiadakan. Makalah ini diharapkan dapat memberikan
gambaran dan informasi tentang keamanan sistem informasi.
Informasi saat ini sudah menjadi sebuah komoditi yang sangat
penting. Bahkan ada yang mengatakan bahwa kita sudah berada di
sebuah “information-based society”. Kemampuan untuk mengakses dan
menyediakan informasi secara cepat dan akurat menjadi sangat esensial
bagi
sebuah
organisasi,
baik
(perusahaan),
perguruan
tinggi,
yang
berupa
lembaga
organisasi
pemerintahan,
komersial
maupun
individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di
bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer
sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang
sifatnya sensitif. Penggunaan komputer untuk menyimpan informasi yang
sifatnya classified baru dilakukan di sekitar tahun 1950-an. Sangat
pentingnya nilai sebuah informasi menyebabkan seringkali informasi
diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya
informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat
menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak
informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui
oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya
informasi tentang produk yang sedang dalam development, algoritmaalgoritma dan teknik-teknik yang digunakan untuk menghasilkan produk
1
tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus
terjamin dalam batas yang dapat diterima.
Jaringan komputer, seperti LAN dan Internet, memungkinkan
untuk menyediakan informasi secara cepat. Ini salah satu alasan
perusahaan atau organisasi mulai berbondong-bondong membuat LAN
untuk sistem informasinya dan menghubungkan LAN tersebut ke Internet.
Terhubungnya LAN atau komputer ke Internet membuka potensi adanya
lubang keamanan (security hole) yang tadinya bisa ditutupi dengan
mekanisme keamanan secara fisik. Ini sesuai dengan pendapat bahwa
kemudahan (kenyamanan) mengakses informasi berbanding terbalik
dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi
tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses
informasi.
Menurut G. J. Simons, keamanan informasi adalah bagaimana
kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi
adanya penipuan di sebuah sistem yang berbasis informasi, dimana
informasinya sendiri tidak memiliki arti fisik. Karena itu, dalam kesempatan
kali ini, penulis ingin membahas lebih lanjut tentang keamanan sisem
informasi.
B. DATA AKURAT TENTANG KEAMANAN SISTEM INFORMASI DI
INDONESIA
Ancaman yang berasal dari manusia memiliki karakteristik tersendiri, serta
memiliki alasan tersendiri dalam melakukan gangguan terhadap sistem
informasi yang ada. Adapun alasan yang timbul dari ancaman manusia ini
dapat di definisikan dalam tabel berikut :
Sumber
Alasan
Ancaman
Hacker,
Cracker
Aksi yang timbul
Tantangan
2
Hacking
Social Engineering
Gangguan sistem
Akses terhadap sistem
Ego
Memberontak
Perusakan informasi
Tindak Kriminal
Penyingkapan
Perbuatan curang
ilegal
Penyuapan
Keuntungan moneter
Spoofing
Merubah data
Intrusi atas sistem
Bom/teror
Perang informasi
Penyerangan sistem
Penembusan
informasi
Kriminal
Surat kaleng
Perusakan
Peledakan
Balas dendam
secara
Teroris
atas
sistem
Persaingan usaha
Mata-mata ekonomi
Mata-mata
Tampering sistem
Pencurian informasi
Social engineering
Penembusan
sistem
3
atas
Orang dalam
Organisasi
Keingintahuan
Ego
Mata-mata
Balas dendam
Kelalaian kerja
Surat kaleng
Sabotase atas sistem
Bug sistem
Pencurian/penipuan
Perubahan data
Virus, trojan, dll
Penyalahgunaan
komputer
Upaya-upaya Penanganan Ancaman Keamanan Sistem Informasi
4
Dalam konteks keamanan sistem informasi, upaya-upaya yang bersifat
pencegahan terhadap potensi ancaman yang mungkin timbul menjadi
penekanan yang sangat penting, selain upaya pendeteksian kejahatan
terhadap sistem informasi dan upaya pemulihan sistem informasi.
Pencegahan menjadi penting karena pencegahan dapat menghindarkan
pengelola atau pemilik sistem informasi dari timbulnya kejahatan, kerugian
yang lebih besar dan upaya atau biaya yang besar dalam upaya
melakukan deteksi, atau pun upaya menempuh proses hukum dan
recovery terhadap sistem informasi yang rusak.
Dalam satu hasil global survey diketahui bentuk pencegahan yang umum
dilakukan atau dijalankan oleh organisasi, Firewall dan software anti virus
merupakan trend keamanan sistem informasi saat ini, masih mendominasi
dan dipercaya oleh banyak organisasi dan para ahli keamanan sebagai
pencegahan kejahatan terhadap sistem informasi yang efektif dan efisien.
Lebih dari 95% responden mengimplementasi firewall dan software anti
virus dalm strategi keamanan sistem organisasi mereka.
Scalabilitas Ancaman Keamanan Sistem Informasi
Adapun level skalabilitas dari ancaman menurut Roger S. Pressman [3],
dapat di definisikan dalam 4 kategori yang didefinisi dalam tabel berikut :
Tingkat
Definisi
Ancaman
Pada level ini tingkat ancaman dapat dikategorikan sangat
merusak, dimana sumber ancaman memiliki motif besar
Catastrophics saat melakukan kegiatannya. dampak yang ditimbulkan
dari tingkat ini dapat membuat sistem tidak berfungsi
Critical
sama sekali.
Level ini dapat dikategorikan cukup membuat merusak
sistem IT, akan tetapi penggunaan kontrol yang diterapkan
pada sistem telah dapat menahan kondisi kerusakan
sehingga tidak menyebabkan kerusakan yang besar pada
5
sistem.
Pada level ini kontrol keamanan mampu mendeteksi
sumber ancaman yang menyerang sistem IT, walau
Marginal
tingkat kerusakan pada sistem masih terjadi akan tetapi
masih dapat di perbaiki dan dikembalikan kepada kondisi
semula
Pada level ini sumber ancaman tidak dapat
Negligible
mempengaruhi sistem, dimana kontrol atas sistem sangat
mampu mengantisipasi adanya kemungkinan ancaman
yang dapat mengganggu sistem
6
BAB II
PEMBAHASAN
A. PENGERTIAN KEAMANAN
Keamanan sistem adalah sebuah sistem yang digunakan untuk
mengamankan sebuah komputer dari gangguan
dan segala ancaman
yang membahayakan yang pada hal ini keamanannya melingkupi
keamanan data atau informasinya ataupun pelaku sistem (user). Baik
terhindar dari ancaman dari luar, virus. Spyware, tangan-tangan jahil
pengguna lainnya dll. Sistem komputer memiliki data-data dan informasi
yang berharga, melindungi data-data ini dari pihak-pihak yang tidak
berhak merupakan hal penting bagi sistem operasi. Inilah yang disebut
keamanan (security). Sebuah sistem operasi memiliki beberapa aspek
tentang keamanan yang berhubungan dengan hilangnya data-data.
Sistem komputer dan data-data didalamnya terancam dari aspek
ancaman (threats), aspek penyusup (intruders), dan aspek musibah.
B. MANFAAT KEAMANAN SISEM INFORMASI
Pada perusahaan yang memiliki sumberdaya yang besar berupa
bahan baku, sumberdaya manusia, maupun barang jadi sudah saatnya
menggunakan sistem komputerisasi yang terintegrasi agar lebih effisien
dan effektif dalam memproses data yang dibutuhkan. Sistem Informasi
dalam suatu perusahaan bertujuan untuk mencapai tiga manfaat utama:
kerahasiaan, ketersediaaan, dan integrasi.
1) Kerahasiaan.
Untuk
melindungi
data
dan
informasi
dari
penggunaan yang tidak semestinya oleh orang-orang yang tidak
memiliki otoritas. Sistem informasi eksekutif, sumber daya
manusia, dan sistem pengolahan transaksi, adalah sistem-sistem
yang terutama harus mendapat perhatian dalam keamanan
informasi.
7
2) Ketersediaan. Supaya data dan informasi perusahaan tersedia
bagi pihak-pihak yang memiliki otoritas untuk menggunakannya.
3) Integritas. Seluruh sistem informasi harus memberikan atau
menyediakan gambaran yang akurat mengenai sistem fisik yang
mereka wakili
C. JENIS UKURAN-UKURAN KEAMANAN SISTEM INFORMASI
Untuk melindungi sumberdaya organisasi, suatu perusahaan
harus menerapkan beragam jenis ukuran keamanan. Ukuran keamanan
yang memadai memungkinkan perusahaan:
1) Melindungi fasilitas komputernya dan fasilitas fisik lainnya.
2) Menjaga integritas dan kerahasiaan file data.
3) Menghindari kerusakan serius atau kerugian-kerugian karena
bencana
Ukuran keamanan fokus pada:
1) Keamanan fisik dan
2) Keamanan data/informasi.
Kemanan fisik dikelompokkan atas:
1) Kemanan untuk sumberdaya fisik selain fasilitas komputer
2) Keamanan untuk fasilitas perangkat keras komputer.
Ukuran keamanan spesifik
Untuk setiap keamanan fisik dan keamanan data/informasi, maka
ukuran-ukuran keamanan harus ditetapkan untuk:
1) Melindungi dari akses yang tidak diotorisasi/diijinkan
2) Perlindungan terhadap bencana
3) Perlindungan terhadap kerusakan atau kemacetan
4) Perlindungan dari akses yang tidak terdeteksi
5) Perlindungan terhadap kehilangan atau perubahan-prubahan
yang tidak seharusnya
6) Pemulihan atau rekonstruksi data yang hilang
D. KEAMANAN UNTUK SUMBER DAYA FISIK NON KOMPUTER
1) Sumberdaya fisik nonkomputer misalnya kas, sediaan, surat-surat
berharga sekuritas, aktiva tetap perusahaan, atau arsip-arsip
dalam lemari arsip.
8
2) Perlindungan dari akses yang tidak diijinkan, misalnya;
a) Akses ke aktiva fisik non komputer harus dibatasi atau dijaga
dari pihak-pihak yang tidak diijinkan/diotorisasi.
b) Kas harus disimpan dalam kotak terkunci (brankas) dan hanya
boleh diakses oleh orang-orang yang diijinkan.
c) Menetapkan penjaga untuk sediaan yang disimpan digudang
atau aktiva yang ada digedung administrasi atau pabrik.
d) Membuat pagar untuk wilayah-wilayah tempat penyimpanan
aktiva.
e) Membuat alarm, monitor TV atau lemari arsip yang terkunci.
3) Perlindungan dari Bencana
Melengkapi gudang dengan peralatan-peralatan pencegah api
dan menyimpan kas pada tempat yang tahan api
4) Perlindungan dari kerusakan dan kemacetan
Melakukan pemeliharaan rutin atas aktiva-aktiva operasi, seperti
mesin, mobli dan lain-lain
E. KEMANAN UNTUK PERANGKAT KERAS KOMPUTER
1) Perlindungan dari akses orang yang tidak diijinkan, misalnya:
a) Pusat fasilitas komputer harus diisolasi, lokasi tidak bisa
dipublikasi dan tidak tampak dari jalan umum.
b) Akses fisik ke fasilitas komputer dibatasi pada orang yang
diotorisasi, misalnya operator komputer, pustakawan, penyelia
pemrosesan data atau manajemen sistem informasi.
c) Penjaga keamanan dan resepsionis ditempatkan pada titik-titik
strategis.
d) Memakai alat scanning elektronik
e) Pintu terkunci ke ruangan komputer dan titik pemasukan data
yang hanya bisa dibuka dengan kartu berkode magnetik.
f) Alarm, apabila ada pihak yang tidak diotorisasi masuk.
2) Perlindungan dari bencana
a) Fasilitas komputer diatur kelembaban dan suhu ruangannya.
b) Untuk menghindari kerusajkan karena air, maka lantai, dinding
dan atap harus tahan air.
c) Membuat detektor asap atau detektor api
d) Untuk mainframe, maka sebaiknya disediakan generator
ataupun UPS
9
3) Perlindungan dari kerusakan dan kemacetan
Membuat rencana backup file
F. KEMANAN UNTUK DATA DAN INFORMASI
1) Perlindungan dari akses orang yang tidak diotorisasi terhadap
data, misalnya sebagai berikut;
a) Isolasi, data dan informasi yang rahasia dan penting bagi
operasi perusahaan diisolasi secara fisik untuk melindungi dari
akses yang tidak diotorisasi.
b) Otentifikasi dan otorisasi
membuat
daftar
pengguna.
pengendalian
akses
Misalnya
(ACL),
dengan
membuat
password, Automatic lockout, Callback procedure, keyboard
lock.
c) Peralatan komputer dan terminal dibatasi penggunaannya.
MIsalnya: suatu terminal dibatasi hanya bisa memasukkan
transaksi tertentu sesuai dengan fungsinya. Bagian gudang
hanya bisa memasukkan dan memutakhirkan data sediaan
setelah memasukkan password atau username. Peralatan
komputer dan terminal juga akan terkunci otomatis bila jam
kerja telah selesai.
d) Enskripsi. Untuk mencegah pengganggu (intruder) memasuki
jaringan komunikasi data dan menyadap data, maka data
rahasia yang ditransmisikan melalui jaringan dilindungi
dengan enkripsi (data dikodekan dan apabila telah sampai
kode tersebut dibuka ditempat tujuan). Terdapat dua jenis
enskripsi: private key encryption & Public Key Encryption.
e) Destruksi. Untuk mencegah pihak yang tidak diijinkan
mengakses data, data rahasia harus segera dihancurkan
ketika masa penggunaannya selesai. Untuk hasil cetakan,
segera dihancurkan melalui alat penghancur kertas.
2) Perlindungan dari akses data dan informasi yang tidak bisa
dideteksi misalnya sebagai berikut;
a) Membuat access log (log akses), merupakan komponen
keamanan sistem pengoperasian, mencatat seluruh upaya
untuk berinteraksi dengan basis data/database. Log ini
10
menampilkan waktu, tanggal dan kode orang yang melakukan
akses ke basis data. Log ini menghasilkan jejak audit yang
harus diperiksa oleh auditor internal atau administratur
keamanan
untuk
menetapkan
ancaman-ancaman
yang
mungkin terhadap keamanan sistem informasi.
b) Console log Cocok bagi komputer mainframe
yang
menggunakan pemrosesan tumpuk. Console log mencatat
semua tindakan yang dilakukan sistem operasi dan operator
komputer.Console
log
mencatat seluruh
tindakan
yang
dilakukan sistem operasi dan operator komputer, seperti
permintaan dan tanggapan yang dibuat selama pelaksanaan
pemrosesan dan aktivitas lainnya.
c) Perangkat lunak pengendalian akses, Beberapa perangkat
lunak berinteraksi dengan sistem operasi komputer untuk
membatasi dan memantau akses terhadap file dan data.
d) Log perubahan program dan sistem. Log perubahan program
dan sistem dapat memantau perubahan terhadap program, file
dan
pengendalian.
Manajer
pengembangan
sistem
memasukkan kedalam log ini seluruh perubahan dan
tambahan yang diijinkan terhadap program. Perubahan dan
tambahan yang diijinkan terhadap program harus diperiksa
internal auditor untuk memeriksa kesesuaian dengan prosedur
perubahan yang disarankan.
G. PERLINDUNGAN DARI KERUGIAN ATAU PERUBAHAN YANG
TIDAK DIHARAPKAN TERHADAP DATA ATAU PROGRAM
1) Log (catatan) perpustakaan, memperlihatkan pergerakan dari file
data,
program,
dan
dokumentasi
yang
digunakan
dalam
pemrosesan atau aktivitas lainnya.
2) Log transaksi, mencatat transaksi individual ketika transaksi itu
dimasukkan ke dalam sistem on-line untuk pemrosesan. Log ini
memberikan jejak audit dalam sistem pemrosesan online.
Termasuk dalam log ini adalah tempat pemasukan transaksi,
waktu dan data yang dimasukkan, nomor identifikasi orang yang
11
memasukkan data, kode transaksi, dan jumlah. Perangkat lunak
sistem juga meminta nomor transaksi. Secara teratur daftar log
3)
4)
5)
6)
transaksi ini harus dicetak
Tombol perlindunganà pada 3 ½ floppy disk
Label file
Memori hanya-baca (Read -Only Memory)
Penguncian (lockout), merupakan perlindungan khusus yang
diperlukan untuk melindungi basis data/database, karena beragam
pengguna dan program biasanya mengakses data secara
bergantian dan terus menerus. Penguncian mencegah dua
program mengakses data secara bersamaan. Akibatnya, satu
program harus ditunda sampai program lain selesai mengakses.
Jika kedua program diijinkan untuk memutakhirkan record yang
sama, maka satu data dapat dicatat berlebihan dan hilang.
H. PEMULIHAN DAN REKONSTRUKSI DATA YANG HILANG
1) Program pencatatan vital, yaitu program yang dibuat untuk
mengidentifikasi
dan
melindungi
catatan
komputer
dan
nonkomputer yang penting untuk operasi perusahaan, seperti
catatan pemegang saham, catatan karyawan, catatan pelanggan,
catatan pajak dan bursa, atau catatan sediaan.
2) Prosedur backup dan rekonstruksi. Backup merupakan tindasan
(copy) duplikasi dari dokumen, file, kumpulan data, program dan
dokumentasi lainnya yang sangat penting bagi perusahaan.
Prosedur rekonstruksi terdiri dari penggunaan backup untuk
mencipta ulang data atau program yang hilang.
I.
STUDI KASUS KEAMANAN SISTEM INFORMASI DI INDONESIA
Jakarta, CNN Indonesia -- Kemarin (30/3/2017) Penyidik Siber Bareskrim
Polri telah mengantongi pelaku sindikat peretas situs jual beli daring.
Ketiga anggota kelompok sindikat berinisial MKU (19), Al (19) dan NTM
(27) merupakan lulusan SMA yang sehari-hari gemar bermain game.
"Dua tersangka MKU dan AL lulusan SMA. Kalau NTM mahasiswa yang
tidak meneruskan kuliahnya. Sehari-harinya gamer," kata Kepala Biro
12
Penerangan Masyarakat (Karopenmas) Polri Brigjen Pol Rikwanto di
Mabes Polri, Jakarta.
Selain ketiga tersangka di atas, pihak kepolisian masih mengejar satu
terjangka lainnya, SH.
Keempat tersangkat, termasuk SH diketahui awalnya berkenalan melalui
jejaring sosial Facebook. Memiliki kegemaraan terhadap permainan yang
sama membuat keempatnya dekat dan mulai menjalankan aksi peretasan
situs jual beli daring.
Dari hasil pemeriksaan sementara, pihak kepolisian menduga sudah ada
400 situs yang berpotensi bisa menghasilkan uang telah berhasil mereka
retas.
Untuk menjalankan aksinya, masing-masing menjalankan tugas berbeda,
mulai dari membobol server hingga mencari pembeli potensial.
Tersangka MKU berperan menawarkan penjualan tiket pesawat melalui
Facebook menggunakan akun Hairul Joe. MKU juga memiliki peran
penting karena mengantongi username dan password untuk masuk ke
server Citilink yang didapatnya melalui meretas situs Tiket.com bersama
SH yang sampai saat ini masih buron.
"Tersangka melakukan login terhadap server Citilink dengan
menggunakan username dan password milik travel agen Tiket.com
dengan tujuan mendapatkan kode booking tiket pesawat Citilink untuk
dijual ke pembeli," katanya.
Sementara tersangka AL memasukkan data pesanan tiket pesawat Citilink
dari pembeli yang selanjutnya data tersebut dimasukkan ke aplikasi
penjualan maskapai Citilink dengan menggunakan username dan
password milik Tiket.com. Setelah kode booking pesawat didapat,
selanjutnya kode booking tersebut dikirim ke pihak pembeli.
Tersangka lainnya NTM bertugas mencari calon pembeli melalui akun
Facebook bernama Nokeyz Dhosite Kashir. Setelah mendapatkan calon
pembeli, data calon pembeli diberikan kepada tersangka AL untuk
diproses dengan prosedur yang sama.
Dalam mengungkap kasus ini, penyidik menyita barang bukti, tujuh unit
ponsel, tiga kartu ATM, dua surat izin mengemudi (SIM), dua KTP, dua unit
laptop, satu buku tabungan Bank BCA dengan saldo Rp212 juta, satu unit
router wifi, satu kartu mahasiswa (KTM) dan satu unit sepeda motor.
13
Atas aksi peretasan ini, PT Global Network yang mengelola Tiket.com
dilaporkan mengalami kerugian hingga Rp 1,9 miliar.
14
BAB III
PENUTUP
Pada umumnya pengamanan dapat dikategorikan menjadi dua
jenis
pencegahan
(preventif)
dan
pengobatan
(recovery).
Usaha
pencegahan dilakukan agar sistem informasi tidak memiliki lubang
keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang
keamanan sudah dieksploitasi. Mengamankan sistem informasi dapat
dilakukan dengan cara sebagai berikut :
1) Access Control (Mengatur akses)
Salah satu cara yang umum digunakan untuk mengamankan
informasi adalah dengan mengatur akses ke informasi melalui
mekanisme authentication dan access control. Implementasi dan
mekanisme antara lain menggunakan password.
2) Menutup service yang tidak digunakan
Sering kali sistem (perangkat keras maupun perangkat lunak)
diberikan dengan beberapa service dijalankan sebagai default, seperti
pada sistem UNIX service yang sering dipasang dari vendornya
seperti finger, telnet, ftp, smtp, pop, echo dll. Service tersebut tidak
semuanya dibutuhkan untuk mengamankan sistem. Servis yang tidak
diperlukan pada server (komputer) sebaiknya dimatikan.
3) Memasang proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat
ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang
lebih spesifik lagi dengan firewall. Filter dapat digunakan untuk
memfilter e-mail, informasi, akses atau bahkan dalam level packet.
4) Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara internet
dengan jaringan internal. Informasi yang keluar atau masuk harus
melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga
15
(prevent) agar akses ke daam maupun keluar dari orang yang tidak
berwenang (unauthorized access) tidak dapat dilakukan.
5) Pemantau adanya serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahui
adanya tamu tak diundang (intruder) atau adanya serangan (attack).
Nama lain dari sistem ini adalah Intruder Detection System (IDS).
Sistem ini dapat memberitahu administrator melalui e-mail maupun
melalui mekanisme lain seperti melalui pager.
6) Pemantau integritas sistem
Pemantau integritas sistem dijalankan secara berkala untuk menguji
integritas sistem. Salah satu contoh program yang umum digunakan di
sistem UNIX adalah program Tripwire. Program paket Tripwire dapat
digunakan untuk memantau adanya perubahan pada berkas atau file
atau directori.
7) Audit : Mengamati berkas log
Sebagian besar kegiatan penggunaan sistem dapat dicatat dalam
berkas yang biasanya disebut logfile atau log. Berkas log ini sangat
berguna untuk mengamati penyimpangan yang terjadi. Kegagalan
untuk masuk ke sistem (login) akan tersimpan dalam berkas log.
Untuk itu para administrator diwajibkan untuk rajin memelihara dan
menganalisa berkas log yang dimilikinya.
8) Backup secara rutin
Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan
merusak sistem dengan menghapus berkas-berkas yang dapat
ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai
super user (administrator), maka ada kemungkinan dia dapat
menghapus seluruh berkas.
9) Penggunaan Enkripsi untuk meningkatkan keamanan
Salah satu mekanisme untuk meningkatkan keamanan adalah dengan
menggunakan teknologi enkripsi. Data-data yang dikirimkan diubah
sedemikian rupa sehingga tidak mudah disadap. Banyak service
16
diinternet yang masin menggunakan plain text untuk authentication
seperti penggunaan pasangan user id dan password.
Informasi ini dapat dilihat dengan mudah oleh program penyadap atau
pengendus (sniffer).
10) Keamanan Server WWW
Keamanan server WWW biasanya merupakan masalah dari seorang
administrator. Dengan memasang server WWW pada sistem, maka
akan terbatas dalam membuka akses kepada orang luar. Apabila
server terhubung ke internet dan memang server WWW disiapkan
untuk publik, maka harus lebih berhati-hati karena membuka pintu
akses keseluruh dunia.
11) Membatasi akses melalui Kontrol Akses
Sebagai penyedia informasi (dalam bentuk berkas-berkas) sering
diinginkan pembatasan akses karena agar orang-orang tertentu saja
yang dapat mengakses berkas (informasi) tertentu. Pada prinsipnya
adalah masalah kontrol akses.
12) Proteksi halaman dengan menggunakan password
Salah satu mekanisme mengatur akses adalah dengan menggunakan
pasangan user id (user identification) dan password. Untuk server web
yang berbasis Apache, akses ke sebuah halaman atau sekumpulan
berkas yang terletak disebuah directory disistem UNIX dapat diatur
dengan menggunakan berkas htaccess.
13) Mengetahui jenis server
Informasi tentang web server yang digunakan dapat dimanfaatkan
oleh perusak untuk melancarkan serangan sesuai dengan tipe server
dan operating system yang digunakan.
14) Keamanan program CGI
Common Gateway Interface (CGI) digunakan untuk menghubungkan
sistem WWW dengan software lain di server web. Adanya CGI
memungkinkan hubungan interaktif antara user dan server web.
15) Keamanan client WWW
Keamanan pada sisi client biasanya berhubungan dengan masalah
privacy dan penyisipan virus atau Trojan horse.
17
18
DAFTAR PUSTAKA
Ibisa. 2011. Keamanan Sistem Informasi. Yogyakarta: CV Andi Offset
Rahardjo, Budi. 1999. Keamanan Sistem Informasi Berbasis
Internet. Bandung: PT. Insan Komuikasi.
http://www.geocities.ws/hme_istn/Efiles/handbook.pdf
http://repository.upnyk.ac.id/143/1/47_Keamanan_Sistem_Informasi.pdf
http://repository.politekniktelkom.ac.id/Courseware/Semester%202/Sistem
%20Informasi%20Manajemen/slide/Keamanan%20Sistem
%20Informasi.pdf
http://mildsend.wordpress.com/2013/04/24/ancaman_gangguan_terhadap
_teknologi_sistem_informasi_dan_penanggulangannya/
http://fairuzelsaid.wordpress.com/2010/08/25/cyberlaw-ancamankeamanan-sistem-informas/
http://www.google.com/url?
sa=t&rct=j&q=&esrc=s&source=web&cd=36&cad=rja&ved=0CE
wQFjAFOB4&url=http%3A%2F%2Fjurnal.atmaluhur.ac.id
%2Fwp-content%2Fuploads%2F2012%2F02%2F6-DOMAINUTAMA-DALAM-KEAMANAN-SYSTEMINFORMASI.pdf&ei=yueUUYiuEMH4rQfP3IGADw&usg=AFQjCN
FnTw18Gh8nQGKqWbSL3fTUB8nCA&bvm=bv.46471029,d.bmk
http://www.slideshare.net/andiazka/chapter-7-keamanan-sistem-informasi
http://referensirisk.blogspot.com/2013/02/studi-kasus-informationsecurity.html
http://rahman.staf.narotama.ac.id/2013/02/27/sistem-keamanan-komputer/
http://verololy.blogspot.com/2012/11/pengertian-sistem-keamananjaringan.html
http://afinaa.wordpress.com/2010/02/26/sistem-keamanan-komputer/
19