Deface, Deface ? Kegagapan Organisasi Di Era Sekuriti Sistem Informasi


Copas dari :
http://imw85.blogdetik.com/2008/04/16/deface-deface-kegagapan-organisasi-di-era-sekuriti-sistem-informasi/

Ketika terjadi kasus sekuriti seperti maraknya deface pada situs-situs pemerintah saat ini, sering orang berfokus pada sisi teknis, dan kalaupun sistem non teknis yang dibicarakan lebih pada sisi “operator”nya misal dana tidak cukup untuk pengelola, waktu yang terlalu terburu-buru menyiapkan sistem, SDM yang tidak memadai. Tetapi jarang sekali yang mulai membahas tentang organisasnya, organisasi bagaimana yang seharusnya dimiliki ketika ICT makin “serius”, terutama dalam dunia per Internetan.

Internet kini telah berubah, dari yang tadinya memiliki barrier tinggi untuk memasukinya, sehingga hanya mereka yang kenal sama kenal berhubungan. Kini menjadi dunia yang siapa saja bisa berhubungan dengan siapa saja. Kondisi ini menyebabkan keinginan “mengembalikan” Internet seperti dahulu kala, tanpa aturan dan kelembagaan menjadilan tidak mungkin.

Oleh karena itu membicarakan sekuriti secara luas tanpa melibatkan organisasi yang menanganinya kuranglah tepat. Sekuriti memiliki pengaruh sisi non teknologi, yaitu manusia dan organisasi. Saya akan menulis apa yang saya ketahui di negara tempat saya tinggal ini, bukan karena Jerman minded, tapi lebih karena keinginan bercerita dari hal yang lebih saya ketahui, sebab kondisi di negara lain saya kurang tahu.

Di Jerman, dari sisi pemerintah ada badan bernama Bundesamt für Sicherheit in der Informationstechnik (BSI) [http://www.bsi.de]. Badan pemerintah ini berperan untuk menyediakan tercapainya pemanfaatan TI di badan pemerintah Jerman secara handal dan aman. Di samping melakukan riset, juga melakukan sertifikasi serta sosialiasi panduan-panduan serta standard untuk mencapai hal tersebut. Mungkin mirip dengan National Security Agency-nya USA. Keberadaan BSI makin dirasakan penting saat ini (bukan saja dari keamanan negara, tapi juga keamanan masyarakat). Karena semaki bergantungnya masyarakat terhadap TI maka isu sekuriti makin menjadi penting. Sabotase dan penyalah-gunaan TI dapat lebih membahayakan.

Untuk itu BSI sebagai badan pemerintah menggalang kerjasama dengan industri dan berbagai badan pemerintahan. Misal dengan menginformasikan ke vendor, atau sebaliknya mengumpulkan informasi dari vendor. Di samping itu, BSI juga aktif melakukan sertifikasi terhadap produk-produk TI yang digunakan badan pemerintah dan masyarakat. BSI ini memiliki 4 divisi, yaitu divisi administrasi, divisi aplikasi sekuriti dan infrastruktur kritis dan internet, lalu divisi kriptografi dan landasan ilmiah, lalu divisi pencegahan penyadapan, sertifikasi dan juga akreditasi.

Dengan semakin banyaknya penggunaan TI di badan pemerintah. Maka wajar bila terjadi gangguan keamanan lebih besar di instalasi TI badan pemerintah tersebut. Maka sejak 1 September 2001 telah dibentuk CERT-Bund (CERT untuk badan pemerintah), [http://www.bsi.bund.de/certbund/index.htm]. Organisasi ini menggantikan peranan BSI-CERT agar sesuai dengan kebutuhan dan fungsi TI di badan pemeirntah saat ini. Keberadaan CERT untuk badan pemerintah ini makin dirasakan perlu karena dengna makin bergantungnya badan pemerintah dengan pemanfaatan TI dalam operasi sehari-harinya. Adanya gangguan seperti serangan DDOS, atau virus dapat menganggu beroperasinya badan pemerintahan.

Fungsi dari CERT Bund ini mengorganisir tindakan preventif dan reaktif terhadap kemungkinan ganggunan kemanan dan keandanan dari sistem komputerisasi di badan pemeirntah. Sehingga CERT secara aktif menginformasikan kepada badan-badan pemerintah tetnang masalah sekuriti. Termasuk menyediakan layanan informasi dan peringatan dini terhadap bahaya sekuriti (advisory dan warning) dan langkah yang harus dilakukan. Termasuk menyediakan tim yang siap sedia 24 jam untuk melakukan hal tersebut serta melakukan analisis bila terjadi problem sekuriti. Tentu saja untuk melakukan hal itu kerja sama dengan industri untuk mendapatkan informasi peringatan terkini dilakukan juga.

Tidak saja untuk badan pemerintahan, dibentuk juga CERT untuk masyarakat luas yang disebut Bürger-CERT [http://www.buerger-cert.de/]. Hal itu disadari karena makin digunakannya TI di masyarakat terutama yang berkaitan dengan data-data penting. Misal pendaftaran kewarga negaraan secara online, transaksi perbankan online. Sehingga dibutuhkan suatu CERT yang khusus menangani penggunaan TI di masyarakat luas. Organisasi ini aktif menginformsikan ke masyakarat luas mengenai permasalahannya. Ini merupakkan proyek dari BSI dan MCert Deutsche Gesellschaft für IT-Sicherheit [http://www.mcert.de/] yang merupakan suatu pusat kompetensi sekuriti yang netral (terdiri dari beragam vendor). Salah satu kegiatan adalah memberikan peringatan dan tindakan yang perlu dilakukan misal masalah virus, penipuan via email dan lain sebagianya. Untuk melengkapi layanan ke masyarakat maka BSI juga menyediakan suatu layanan disebut BSI fuer Burger [http://www.bsi-fuerburger.de]. Yang merupakan portal berisi informasi keamanan untuk masyarakat luas.

Sebagai kegiatan sosialisasi, dalam tiap event komputer selalu diadakan CEFIS Centrum Fuer InformatonSicherheit [http://www.cefis.de] atau dalam bahasa Indonesianya pusat informasi sekuriti, misal di CeBIT merupakan stand utama di hall 7 yang menyajikan soal sekuriti dengan peserta sekitar 20 perusahan/badan. Pusat informasi ini ditujukan untuk perusahaan yang memiliki kebutuhan sekuriti khusus. Misal yang berkaitan dengan kehandalan, keamanan dan kontinuitas operasi dari TI. Termasuk juga keamanan fisik misal terhadap api dan sabotase. Juga perihal seperti kriptografi, pemeriksaan sekuriti, sertifikasi dan beragam badan untuk konsultasi dan perencanaan. Juga disajikan The Secure Computer Center yang dioperasikan oleh VON ZUR MÜHLEN’SCHE GmbH. Suatu instalasi sistem yang telah memenuhi kriteria dan disertifikasi oleh BSI. Pengkabelan yang digunakan juga telah memenuhi pra-syarat kemanan. Faktor cadangan dan keberadaan sistem pengganti juga disajikan pada pusat ini. Di samping itu, selama masa pameran disajikan beragam kuliah umum dan demonstrasi mengenai sekuriti, termasuk acara Hacking Live.

Di samping badan tersebut, untuk menjalin kerja sama antara badan pemerintah, industri dan akademis maka ada juga lembaga yang bernama CAST-FORUM [http://www.cast-forum.de] yang rutin melakukan seminar, pelatihan dan sebagianya. Keanggotaan CAST Forum ini terbuka bagi organisasi, perusahaan maupun perorangan. Saat ini Universitas Gunadarma juga telah bergabung menjadi anggota forum ini [http://www.cast-forum.de/mitglieder/cast].

Bagaimana kesiapan badan sejenis di Indonesia ? Siapkah kita dengan organisasi-organisasi seperti di atas ? Bila kita sibuk berbicara dengan UU Transaksi Elektronis dan penerapan UU Pabean yang terkait dengan transaksi secara elektronis, maka sudah sewajarnya kita juga mulai memikirkan langkah-langkah organisasi dan layanan seperti di atas. Jangan sampai semuanya baru dilakukukan setelah terlambat. Memang di Indonesia sudah ada ID SIRTI tapi ruang lingkupnya berbeda, karena lebih berfokus pada pengawasan Internet terutama kaitannya untuk penegakkan hukum. Juga memang sejak lama ada ID-CERT [http://www.cert.or.id] tapi kegiatannya masih casual dan belum teroganisir untuk memenuhi kepentingan seperti badan pemerintah dan masyarakat luas lainnya, dan barrier orang untuk terlibat pada organisasi ini masih tinggi. Sebagai contoh ketika minggu-minggu ini banyak kasus deface, surat himbauan dan advisory dari ID-CERT tampak belum terdengar. Seingat saya ketika kasus deface Malaysia vs Indonesia lah terakhir ID CERT sempat merilis surat himbauan agar tidak terjadi kasus deface. Mungkin personal-nya sedang sibuk, toh ini kegiatan volounteer.

Saat ini response team untuk masalah sekuriti, di badan pemerintah Indonesia masih bersifat “getuk tular” alias dari mulut ke telinga (kalau mulut ke mulut, lain lagi ceritanya). Misal ada yang melihat situs bolong, akan coba kontak ke adminnya, ada situs kena deface ada yang kontak ke media🙂.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s