Modul 13 Manejemen Sekuriti Informasi

  TUJUAN INSTRUKSIONAL KHUSUS (TIK) :

  Setelah mempelajari modul ke-13, mahasiswa diharapkan mampu : Menjelaskan pentingnya konsep keamanan informasi;

   Menjelaskan akibat tidak adanya system pengamanan informasi;

   Menjelaskan berbagai mancam jenis kejahatan yang terkait dengan system

   informasi; Menjelaskan tindak kejahatan yang terkaitan dengan kejahatan maya;

   Menjelaskan pengertian cybercrime;

   Menjelaskan dasar-dasar keamanan system informasi berbasis internet;

   1. MANAJEMEN SEKURITI INFORMASI

1.1. Pendahuluan

  Berdasarkan survey Information Week (USA) : Dari 1271 manajer sistem atau network, hanya 22 % yang menganggap keamanan sistem informasi sebagai komponen penting. Dengan demikian kesadaran akan masalah kemanan masih rendah !

  Bagaimana untuk membujuk manajemen guna melakukan investasi dibidang keamanan sistem informasi ? Hal tersebut m embutuhkan justifikasi yang memadai sehingga manajemen memandang perlunya investment infrastruktur keamanan. Selama ini, manajemen memandang hal tersebut sebagi cost, bukan sebagai investasi perusahaan.

  Berdasarkan beberapa pengaduan yang ada selama ini, diperoleh keadaan statistik mengenai munculnya kejadian yang terkait dengan keamanan sistem informasi. Angka pasti sulit ditampilkan karena kendala bisnis. Negative publicity. Kejahatan komputer yang terdeteksi kurang dari 15 %, dan hanya 10 % dari angka tersebut yang dilaporkan. (FBI National Computer Crime Squad, 1996) Dari 1000 perusahaan 48 % telah mengalami computer fraud dalam kurun waktu 5 tahun terakhir; (American Bar Association, 1996). Kejahatan komputer naik

  200 % dari tahun 1995 – 1996; (NCC Information security Breaches survey, di Inggris, 1996). Kasus persidangan yang berhubungan dengan kejahatan komputer nik 950 % dari tahun 1996 – 1997 dan yang conficted dipengadilan naik 88 %; (FBI, 1997). Seorang hacker dari Massachusetts berhasil mematikan sistem telekomunikasi sebuah bandara lokal (Worchester, Mass.) sehingga memutuskan komunikasi di control tower dan menghalau pesawat yang hendak mendara; (10 Maret 1997).

  Berdasarkan statistik tersebut dan keadaan serta kendala yang terjadi selama ini maka sangat sulit mencapai 100% aman. Ada timbal balik antara keamanan vs. kenyamanan (security vs. convenience). Computer security (Garfinkel & spafford) : “a computer is secure if you can depend on it and its software be have as you

  expect”

1.2. Kejahatan Komputer

  Pada awalnya istilah kejahatan maya (cyber crime) = kejahatan komputer (computer crime). Namun dengan berkembangnya teknologi informasi dan telekomunikasi, cyber crime lebih luas makna.

  The U.S. Department of Justice memberikan pengertian computer crime sebagai ”…any illegal act requiring knowledge of computer technology for its

  

perpetration, investigation, or prosecution”. Pengertian lainnya diberikan oleh

  Organization of European Community Development, yaitu “any illegal, unethical or

  

unauthorized behavior relating to the automatic processing and/or the transmission

of data”.

  Kejahatan di bidang komputer secara umum dapat diartikan sebagai penggunaan komputer secara ilegal. Dari beberapa pengertian tersebut, computer crime dirumuskan sebagai perbuatan melawan hukum yang dilakukan dengan memakai komputer sebagai sarana/alat atau komputer sebagai objek, baik untuk memperoleh keuntungan ataupun tidak, dengan merugikan pihak lain.

  Secara ringkas computer crime didefinisikan sebagai perbuatan melawan hukum yang dilakukan dengan menggunakan teknologi komputer yang canggih (Wisnubroto, 1999).

1.3. Beberapa Kejahatan Komputer

  a. Unauthorized Access to Computer Sistem and Service Kejahatan yang dilakukan dengan memasuki/ menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya.

  b. Illegal Contents

  Merupakan kejahatan dengan memasukkan data atau informasi ke internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum.

  c. Data Forgery

  Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scriptless document melalui internet.

  d. Cyber Espionage

  Merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network sistem) pihak sasaran.

  e. Cyber Sabotage and Extortion

  Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan internet.

  f. Offense Against Intellectual Property

  Kejahatan ini ditujukan terhadap hak atas kekayaan intelektual yang dimiliki pihak lain di internet. Sebagai contoh adalah peniruan tampilan pada web

  page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di internet yang ternyata merupakan rahasia dagang orang lain dan sebagainya.

  g. Infringements of Privacy

  Kejahatan ini ditujukan terhadap informasi seseorang yang merupakan hal yang sangat pribadi dan rahasia. Kejahatan ini biasanya ditujukan terhadap keterangan seseorang pada formulir data pribadi yang tersimpan secara

  computerized, yang apabila diketahui oleh orang lain akan dapat merugikan

  korban secara materil maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya.

  Berbagai macam bentuk kejahatan komputer makin hari makin meningkat. Hal tersebut dipengaruhi oleh beberapa sebab utama yaitu : Aplikasi bisnis yang berbasis komputer atau internet meningkat

   a. Electronic commerce (e-commerce)

  b. Electronic data interchange (EDI) Desentralisasi server; lebih banyak server yang harus ditangani dan butuh

   lebih banyak SDM yang handal, padahal sulit mencari SDM Transisi dari single vendor ke multi vendor; banyak jenis perangkat dari

   berbagai vendor yang harus dipelajari Pemakai makin melek teknologi;

   a. ada kesempatan untuk mencoba, tinggal download software (script

  kiddies)

  b. Sistem administrator harus selangkah di depan Kesulitan penegak hukum untuk mengejar kemajuan dunia telekomunikasi

   dan komputer;

  a. Cyberlaw

  b. Awareness

  Meningkatnya kompleksitas sistem;

   a. Program semakin besar (megabytes)

  b. Potensi lubang keamanan semakin besar

1.4. Klasifikasi Keamanan Sistem Informasi

  Menurut David Icove : Keamanan yang bersifat fisik (physical security);

   Keamanan yang berhubungan dengan orang (personel security);

   Keamanan dari data dan media serta teknik komunikasi;

   Keamanan dalam operasi.

   Berdasarkan Fungsinya :

  a. Network security; Fokus pada saluran pembawa informasi;

  b. Application security; Fokus pada aplikasinya sendiri;

  c. Computer security; Fokus kepada keamanan dari komputer (end sistem) Pelayanan dari Keamanan Sistem

  a. Privacy / confidentiality;

  Proteksi data [pribadi] yang senstif: Nama, ttl, agama, hobby, penyakit yang pernah diderita, status perkawinan. Data pelanggan; Sangat sensitif dalam e-commerce, dan healthcare. Serangan : sniffer.

  b. Integrity;

  Informasi tidak berubah tanpa izin (tampered, altered, modified) Serangan : spoof, virus, trojan horse.

  c. Authentication;

  Menyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan. Dfasilitasi dengan penggunaan digital signature, biometrics;

  Serangan : password palsu.

  d. Availability; Informasi harus dapat tersedia ketika dibutuhkan.

  Serangan : Denial of service (DoS) attack, dalam bentuk antara lain Server dibuat hang, down, atau crash.

  e. Non-repudiation;

  Tidak dapat menyangkal (telah melakukan transaksi) :

• Menggunakan digital signature
• Perlu pengaturan masalaha hukum f. Access control.

  Mekanisme untuk mengatur siapa boleh melakukan apa :

• Biasanya menggunakan password
• Adanya kelas / klasifikasi Jenis-jenis serangan terhadap keamanan sistem informasi (Menurut W. Stalling), yaitu :

   Interruption;  Interception;  Modification;  Fabrication.

1.5. Dasar-dasar Keamanan Sistem Informasi

  Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar aman. Crypto berarti secret (rahasia) dan graphy berarti tulisan (writing). Sebuah algoritma kriptografik disebut cipher, merupakan persamaan matematik yang digunakan untuk proses enkripti dan dekripsi.

  Enkripsi (encryption) adalah : Proses untuk mengamankan sebuah pesan (plaintext) menjadi pesan yang tersembunyi (chipertext); disebut pula enchiper. Proses untuk mengubah chipertext menjadi plaintext disebut Dekripsi (decryption) atau dechiper. Cryptanalysist adalah seni dan ilmu untuk memecahkan ciphertext tanpa bantuan kunci. Cryptology : gabungan dari chryptography dan cryptanalysis

  Enkripsi

  Untuk menyandikan data atau informasi sehingga tidak dapat dibaca oleh orang yang tidak berhak. Data disandikan (encrypted) dengan sebuah kunci (key) dan untuk membuka (decrypt) nya diguna-kan sebuah kunci yang sama (private key cryptography) atau dengan kunci yang berbeda (public key cryptography).

  Fungsi Enkripsi : E(M) = C Fungsi Dekripsi : D(C) = M dengan M = plaintext dan C = ciphertext

  Algoritma Enkripsi dan Dekripsi

  Adalah fungsi-fungsi yang digunakan untuk melakukan fungsi enkripsi dan dekripsi (basis matematika). Kekuatan algoritma yang sangat tergantung pada pengetahuan orang terhadap algoritma yang digunakan disebut restricted algorithm.

  Kekuatan penyandian tergantung pada kunci yang digunakan & panjangnya. Beberapa algoritma enkripsi memiliki kelemahan pada kunci yang digunakan. Kunci yang lebih panjang biasanya lebih aman dibandingkan dengan kunci yang lebih pendek (dalam ukuran bit)

  Plaintext adalah pesan atau informasi yang akan dikirimkan dalam format yang mudah dibaca (bentuk aslinya). Ciphertext adalah informasi yang sudah dienkripsi.

  Caesar cipher, digunakan oleh Julius Caesar. Prinsipnya : setiap huruf digantikan dengan huruf yang berada tiga posisi berikutnya dalam urutan alfabet.

  Plain : a b c d e f g h i j k l m n o … Cipher :d e f g h i j k l m n o p q r …..

  ROT 13 digunakan di sistem UNIX. Prinsipnya adalah setiap huruf digantikan dengan huruf yang letaknya 13 posisi darinya.

  Secara matematis dinyatakan dengan : C = ROT13(M) Untuk mengembalikan ke bentuk semula : M = ROT13(C) atau M = ROT13(ROT13(M))

  Caesar cipher dan ROT13 disebut juga dengan Monoalphabetic ciphers,

  karena setiap huruf digantikan dengan sebuah huruf. Sehingga huruf yang sama akan memiliki pengganti yang sama. à agak mudah dipecahkan.

  Salah satu penyerangan yang dapat dilakukan adalah dengan menganalisa statistik dari frekuensi huruf yang muncul à frequency analysis. Untuk meningkatkan keamanan, enkripsi dapat dilakukan dengan mengelompokkan beberapa huruf menjadi sebuah kesatuan (unit) yang kemudian dienkripsi. Teknik tersebut dinamakan Multiple-letter encryption.

  Penggunaan Kunci

  Hal-hal yang perhatian dalam penggunaan kunci, diantaranya :  Cara untuk meningkatkan keamanaan algoritma enkripsi/dekripsi.  Rentang dari kemungkinan angka dari kunci K disebut keyspace.  Persamaan matematis :

  E (M) = C

  k

  D k (C) = M Sehingga, keamanan sistem tidak bergantung pada algoritma yang digunakan, melainkan pada kunci K yang digunakan.

  Usaha untuk mencari kunci sangat bergantung pada keyspace dari kunci K yang digunakan. Bila keyspace relatif kecil maka cara mencoba semua kombinasi kunci dapat dilakukan. Sebaliknya, menjadi tidak realistis. Pada sistem Public-key cryptography, enkripsi dan dekripsi menggunakan kunci yang berbeda. Hal tersebut menyebabkan Key management sangat baik. Pada sistem

  

Symmetric cryptography, enkripsi dan dekripsi meggunakan satu kunci yang sama.

  Sehingga Enkripsi data dan Kecepatan serta keamanan sangat baik.

  Integrity Checking

  Mekanisme pengujian integritas antara lain mencakup:  Parity checking  Checksum  Hash function

  Pengujian integritas data adalah dengan memberikan perubahan data/karakter akan memberikan hasil yang berbeda.

• Hash Function

  Fungsi yang bersifat satu arah, jika dimasukkan data maka akan menghasilkan sebuah “checksum” dari data tersebut. Yang umum digunakan : MD5 dan SHA

  Evaluasi Sistem Keamanan

  Alasannya :  Ditemukannya security hole yang baru (ditimbulkan pada saat kecerobohan implementasi)  Adanya kesalahan konfigurasi  Adanya penambahan perangkat baru Berdasarkan alasan yang pertama sumber security hole, diantaranya dapat berupa :

  a. Salah Disain (design flaw) Jarang terjadi, sangat sulit diperbaiki, kelemahan sistem masih tetap ada (walaupun diimplemen-tasikan dengan baik).

  Misal : Algoritma ROT13 & Caesar cipher, bila diketahui algoritmanya maka dengan mudah memecahkan enkripsinya.

  b. Salah Implementasi Sering terjadi, dilakukan secara tergesa-gesa, tidak ada proses cek dan testing (batas array, memfilter karakter yang aneh-aneh).

  c. Salah konfigurasi berkas yang tidak dapat diubah menjadi writeable (berkas password), program yang diset menjadi setuid root sehingga pemakai memiliki akses seperti super user (root) yang dapat melakukan apa saja.

  d. Salah penggunaan kesalahan penggunaan program oleh super user bisa berakibat fatal (rm-rf : menghapus berkas/direktori-sub direktori; del *.*)

  Penguji Keamanan Sistem

  Administrator dari sistem informasi membutuhkan automated tools yang membantu menguji atau mengevaluasi keamanan sistemnya. Misalkan : a.

  Crack,

  Untuk menduga atau memecahkan password dengan menggunakan sebuah/beberapa kamus secara brute force cracking (mengenkripsi sebuah kata dari kamus, bandingkan hasil enkripsi dengan password yang ingin dipecahkan, terus menerus sampai terpecahkan). Juga memiliki program heuristic.

  b. Land & latierra,

  Program yang dapat membuat sistem windows 95/NT menjadi macet (hang,

  

lock up), dengan mengirimkan sebuah paket yang sudah di-spoofed sehingga seolah-

olah berasal dari mesin yang sama.

  c. Ping-o-death

  Sebuah program (ping) yang dapat meng-crash-kan windows 95/NT dan beberapa versi UNIX

  d. Winuke,

  Program untuk memacetkan sistem berbasisi windows

  Mendeteksi Probing

  Probing dilakukan untuk mengetahui servis dan data apa saja yang tersedia pada suatu sistem untuk melakukan serangan. Probing biasanya meninggalkan jejak di berkas log pada sistem. Dengan mengamati entry di dalam berkas log, dapat diketahui adanya probing dengan terpasangnya program yang memonitor.

  OS Fingerprinting

  Adalah untuk menganalisa OS dari suatu sistem yang akan dituju oleh cracker sebagai target serangan. Cara yang paling konvensional yaitu melakukan telnet ke server yang dituju dan akan memberikan informasi nama OS serta versinya.

  Program Penyerang

  Salah satu cara untuk mengetahui kelemahan suatu sistem informasi kita adalah dengan menyerang diri sendiri melalui paket-paket program penyerang. Sehingga dapat diketahui apakah SI kita rentan dan eksploitasi oleh orang lain. Jangan menggunakan program tersebu untuk menyerang sistem orang lain.

  Sistem Pemantau Jaringan

  

Network monitoring digunakan untuk mengetahui adanya lubang keamanan, antara

  lain : mampu mendeteksi orang yang tidak berhak mengakses server dalam sistem internal, dan lokasi akses dari tempat lain serta usaha-usaha untuk melumpuhkan sistem dengan mengirimkan paket yang jumlahnya berlebihan (denial of service

  

attack - DoS). NM biasanya menggunakan protokol SNMP (simple network

monitoring protocol).

  Contoh program NM antara lain :  Etherboy (windows), Etherman (unix)  HP Openview (windows)  Packetboy (windows), Packetman (unix)  SNMP Collector (windows)  Webboy (windows)  Iptraf  Netwatch  Ntop (memantau proses di sistem unix)  Trafshow (menunjukkan traffic antar host dalam bentuk text-mode.

2. IKHTISAR

  Masalah keamanan sistem informasi tingkat kesadaran masih sangat rendah, bahkan sampai dengan level manajer. Hal tersebut tampak pada kurangnya perhatian perusahaan dalam melengkapi sistem informasi dengan pengamanan yang memadai. Hal tersebut muncul karena adanya paradigma yang menyatakan hal tersebut sebagai sebuah cost, bukan sebagai investasi bagi perusahaan.

  Kejahatan komputer atau yang lebih luas yaitu kejahatan maya (cyber crime) makin hari makin meningkat. Hal tersebut disebabkan oleh beberapa sebab utama yakni Aplikasi bisnis yang berbasis komputer atau internet meningkat, desentralisasi server; lebih banyak server yang harus ditangani dan butuh lebih banyak SDM yang handal, padahal sulit mencari SDM, transisi dari single vendor ke multi vendor; banyak jenis perangkat dari berbagai vendor yang harus dipelajari, pemakai makin melek teknologi, sistem administrator harus selangkah di depan, kesulitan penegak hukum untuk mengejar kemajuan dunia telekomunikasi dan komputer; meningkatnya kompleksitas sistem.

  Beberapa bentuk kejahatan komputer yaitu Unauthorized Access to

  

Computer Sistem and Service, Illegal Contents, Data Forgery, Cyber Espionage,

Cyber Sabotage and Extortion, Offense Against Intellectual Property, dan

Infringements of Privacy

  Dasar-dasar keamanan sistem informasi mencakup kriptographi, eknripsi, dan dekripsi, yang berkembang menjadi ilmu kriptologi. Manajer manufaktur telah menerapkan computer dalam dua cara dasar, yakni sebagai sistem fisik dan sistem informasi. CAD, CAM, dan robotic digunakan dalam sistem produksi fisik untuk melaksanakan tugas secara lebih baik dan mengurangi biaya.

  Aplikasi computer sebagai suatu sistem konseptual dalam area manufaktur dimulai dengan persediaan. Sistem pertama menyatukan pendekatan titik pemesanan kembali, tetapi rancangan tersebut digantikan oleh konsep MRP yang lebih proaktif. MRP yang berarti material requirements planning diperluas untuk bias berintegrasi dengan sistem lain dalam lingkungan perusahaan sehingga dikenal dengan istilah

  manufacturing resources planning (MRP II).

  Sistem informasi manufaktur terdiri dari subsistem input dan subsistem output serta database.subsistem informasi akuntansi mengumpulkan data internal, sering dengan menggunakan terminal pengumpulan data, dan mengumpulkan data lingkungan sebagai hasil transaksi dengan pemasok. Subsisem industrial

  

engineering mengumpulkan data internal yang berhubungan dengan sistem produksi

  fisik. Subsistem intelijen manufaktur mengumpulkan data lingkungan yang menjelaskan serikat pekerja dan pemasok.

  Manajemen menggunakan subsistem produksi untuk membangun fasilitas produksi baru dan mengoperasikan fasilitas yang ada. Subsistem persediaan menggunakan rumus untuk memprogram dua keputusan penting mengenai saat pemesanan dan jumlahnya. Subsistem kualitas menggunakan kombinasi standar kualitas, informasi umpan balik, dan pemeriksa pengendalian kualitas untuk mencapai kualitas tinggi yang diperlukan untuk menghadapi persaingan global. Subsistem biaya juga membantu dalam mencapai keunggulan kompetitif dengan menyediakan informasi yang memungkinkan manajemen menjaga biaya produksi tetap rendah.

  Sistem informasi manufaktur merupakan suatu penerapan teknologi informasi dalam produksi yang mantap, tetapi ini hanya satu dimensi dari penggunaan computer. CIM adalah suatu filosofi manajemen yang diarahkan pada pengintegrasian semua sistem informasi berbasis computer yang terpisah ditambah otomatisasi pabrik. Mencapai CIM akan menjadi tantangan yang sulit bagi para manajer, industrial engineering, dan spesialis informasi.

3. PERTANYAAN / DISKUSI :

  1. Mengapa kesadaran akan keamanan sistem informasi masih sangat rendah pada level manajemen ?

  2. Apa yang dimaksud dengan kejahatan komputer ?

  3. Apa yang dimaksud dengan kejahatan maya (cyber crime) ?

  4. Sebutkan dan jelaskan bentuk-bentuk kejahatan komputer ?

  5. Sebutkan sebab utama meningkatnya kejahatan komputer ?

  6. Apa yang dimaksud dengan enkripsi dan dekripsi ?

  7. Apa yang dimaksud dengan kriptologi ?

  8. Jelaskan perbedaan antara hackers dengan crackers !

  9. Sebutkan sumber security hole dalam keamanan sistem informasi !

  10. Sebutkan dan jelaskan beberapa automated tools yang membantu menguji atau mengevaluasi keamanan sistem informasi !

  11. Mengapa sistem pemesanan titik kembali (ROP) dikatakan sebagai suatu strategi reaktif ?

  12. Sebutkan dan jelaskan yang termasuk dalam subsistem material requirements planning (MRP) !

  13. Kapan EMQ digunakan menggantikan EOQ ?

  14. Sebutan dan jelaskan subsistem input dalam model sistem informasi manufaktur !

  15. Sebutan dan jelaskan subsistem output dalam model sistem informasi manufaktur !

4. DAFTAR ACUAN :

  1. Budi Rahardjo; Keamanan Sistem Informasi berbasis Internet; PT. Insan Infonesia, Bandung & PT. Indocisc, Jakarta, 2002.

  2. Barefoot, J. Kirk & Maxwell, David A; Corporate Security administration and Management; Butterworth Publishers, Boston, 1987.

  3. Green, Gion & Farber, Raymond C; Introduction to Security; Security World Publishing Co. Inc.; Los Angeles, 1978.

  th

  4. McLeod, Raymond, Management Information System, 7 ed., Prentice Hall, New Jersey, 1998.

  5. McNurlin, Barbara C,; Sparague, Ralph H Jr., Information Systems

  th Management in Practice, 4 ed., Prentice Hall, New Jersey, 1998.

• -----o0o-----