Saturday, December 18, 2004

Perlunya Jaminan Keamanan Pada Infrastruktur Informasi.

Permasalahan keamanan jaringan global Internet menjadi perhatian banyak negara pada akhir - akhir ini menyusul serangkaian serangan terhadap berbagai situs Internet yang menimbulkan kerugian bagi pemiliknya. Berbagai moda baru dalam menyerang dan merusak situs Internet bermunculan seiring makin mengglobalnya Internet. Jika di masa awal berkembangnya personal komputer kita mengenal penyebaran virus komputer melalui pertukaran disket dan jenisnyapun masih relatif mudah diatasi, pada saat ini penyebaran virus sudah sangat cepat, karena dikirim via Internet ke berbagai penjuru dunia, dan jenisnyapun makin beragam dan makin sulit didteksi atau dikendalikan. Selain virus yang merusak aplikasi atau sistem operasi komputer, belakangan muncul pula jenis penyakit baru dengan meniru modus kuda troyan atau cacing (worm). Pada modus pertama, sekumpulan rutin – rutin program ditumpangkan secara tersembunyi pada aplikasi komputer tertentu yang dikirim dari komputer lain. Setelah berada di komputer tujuan, rutin program tadi mulai menyebar dan melumpuhkan kinerja komputer. Sedangkan pada worm rutin program yang berhasil menyelusup masuk ke sistem komputer tujuan mengokupasi memori dan prosesor komputer sehingga kinerja komuter menjadi lambat dan bahkan seringkali merusakkan komputer.

Perkembangan terakhir modus serangan terhadap sistem komputer melalui Internet adalah Denial of Service (DoS) atau Distributed Denial of Service (DDoS). Serangan ini telah melumpuhkan jaringaninternet dibanyak negara dan menyebabkan kerugian jutaan dolar. Dampak yang dihasilkan dari serangan ini sangat serius karena tidak saja pada satu arau sedikit korban namun dapat melibatkan banyak korban, sebagai akibat dari terhentinya layanan. Selain DoS dan DDoS, ancaman lain terhadap infrastruktur informasi antara lain adanya upaya memasuki situs secara melawan hukum (intrusion) dengan masuk merusak (hacking).

Menyadari semakin kompleksnya permasalahan keamanan dan rentannya jaringan infrastruktur informasi dari serangan para pihak yang berniat jahat, belum lama ini dalam rangkaian acara sidang ke-27 Kelompok Kerja Telekomunikasi dan Informasi Asia Pacific Economy Cooperation (APECTEL-WG) di Kuala Lumpur, telah diselenggarakan loka karya dan seminar tentang Computer Emergency and Response Team (CERT). Dari acara tersebut disarankan kepada anggota APEC agar perlu mengenali dan seterusnya mengelola resiko yang dapat muncul dalam penyediaan dan pemanfaatan infrastrutur informasi. Berbeda dengan masa lalu di mana masing masing sistem memilih aplikasinya secara terpisah dan tidak perlu terintegrasi, dengan adanya konvergensi berbagai sistem tersebut menjadi tergabung dalam suatu jaringan yang bergantung satu dengan lainnya. Sesuatu yang semula berdiri sebagai suatu entitas yang independen, sekarang terhubung menggunakan infrastrukur telekomunikasi yang sama, Internet. Kondisi semacam ini disamping memberi manfaat terjadinya peningkatan efisiensi, di sisi lain menimbulkan peluang adanya ancaman yang harus ditanggung oleh semua anggota jaringan, apabila salah satu anggota jaringan terkena serangan atau masalah. Dengan demikian ketergantungan kita terhadap informasi berarti membutuhkan pendekatan holistik dengan cara memahami kerentanan yang terdapat dalam strategi infrastruktur informasi.

Beberapa jenis ancaman yang dapat menganggu layanan informasi antara lain namun tidak terbatas pada:
1. kerusakan fisik jaringan akibat kelalaian manusia seperti penggalian kabel, rendahnya kualitas pemasangan jaringan telekomunikasi;
2. serangan virus dan worms; dan
3. aktivitas perusakan situs Internet akibat ulah hackers;

Meski para ahli telah menawarkan berbagai teknologi pencegahan dan perbaikan terhadap serangan dan kerusakan, seperti teknologi Firewall, namun demikian sejatinya tidak ada teknologi yang benar – benar ampuh untuk mengatasi berbagai serangan, karena pihak penyerang-pun semakin canggih dalam menciptakan teknologi serangannya. Dalam kasus Firewall misalnya, tetap saja sistem informasi tidak seratus persen imun terhadap serangan karena masih ada celah untuk menjadi kanal bagi keluar – masuknya informasi. Dengan demikian Firewall tidak dapat memberikan perlindungan total. Dalam konteks ekstrem, perlindungan total dapat diberikan apabila komputer tidak terhubung ke dunia luar atau jaringan publik seperti Internet. Persis seperti personal komputer stand alone yang tidak terhubung ke mana – mana.

Permasalahan di atas memunculkan pertanyaan, bagaimana melindungi komputer, sistem informasi, jaringan informasi yang sekarang sudah tersambung ke Internet, sementara Internet tergolong jaringan komputer yang rentan terhadap serangan. Mengisolasi komputer dari Internet jelas suatu kemunduran. Mengupayakan pencegahan secara sendiri – sendiri bisa saja dilakukan, namun belum tentu semua pihak memiliki sumber daya manusia dan teknologi yang memadai. Di sisi lain, menjadi tugas pemerintah untuk melindungi kepentingan publik dari kerugian yang disebabkan oleh para penjahat. Namun demikian, Pemerintah sendiri seringkali memiliki sumber daya yang terbatas pula.

Oleh karena itu, permasalahan pencegahan dan respon terhadap timbulnya kerusakan atau gangguan terhadap sistem Informasi, hendaknya menjadi perhatian bersama antara pemerintah dan masyarakat. Model yang lazim dikembangkan di berbagai negara adalah dengan membangun Coordinating Center of Computer Emergency and Response Team (CERT/CC). Di banyak negara, termasuk Indonesia CERT/CC diawali oleh perguruan tinggi.Di Indonesia, Institute Teknologi Bandung (ITB) hingga saat ini masih tercatat sebagai pengelola Indonesia CERT (ID-CERT).

Guna memberikan ruang gerak yang leluasa dan kemampuan layanan teknis yang unggul, pemerintah beberapa negara seperti Australia, Jepang, Malaysia, Korea, Belanda dan Kanada memfasilitasi CERT/CC dengan memberi legitimasi, dukungan finansial dan expertise yang diperlukan agar CERT/CC menjadi organisasi yang tanggap dan mampu bereaksi cepat mengatasi insiden dan gangguan terhadap infrastruktur informasi.

Selain itu perlu pula dilakukan upaya sosialisasi kepada masyarakat pemakai ICT bahwa permasalahan gangguan terhadap sistem informasi adalah masalah bersama, bukan masalah personal atau perusahaan secara individu. Semua pihak diharapkan menyediakan sarana pencegahan, baik yang dibangun sendiri maupun atas hasil layanan dari jasa konsultan. Bagi kelompok kedua, yang mempercayakan sistem keamanan jaringannya kepada konsultan perlu pula menyadari adanya fakta bahwa sebagian besar laporan gangguan setelah ditelusuri ternyata gangguan tersebut berasal dari insider atau mereka yang pernah menjadi “orang dalam”. Data menunjukkan pula bahwa masih sangat sedikit jaringan sistem informasi yang dilengkapi dengan aplikasi untuk mendeteksi munculnya intruder, terutama bila intruder tersebut berasal dari orang dalam.

Dalam konteks nasional, yang termasuk dalam Infrastruktur Informasi Nasional (NII) terdiri dari berbagai macam layanan penting seperti halnya telekomunikasi, perbankan dan lembaga keuangan, transportasi dan distribusi, energi dan utilitas, serta layanan pemerintah yang strategis dan kritikal. Di banyak negara berkembang, layanan semacam ini masih banyak yang dioperasikan oleh pemerintah, sedangkan di negara maju seperti Australia 90% infrastruktur informasi dimiliki dan dijalankan oleh swasta. Di Indonesia, kombinasi antara swasta dan pemerintah dalam proporsi yang semakin seimbang mewarnai kepemilikan dan opersional layanan strategis ini. Adanya kenyataan bahwa semakin banyak swasta menguasai dan melayani industri strategis termasuk infrastruktur informasi membawa implikasi pada adanya tambahan ancaman bagi keamanan nasional, karena swasta telah membentuk bagian dari aset nasional. Untuk mencegah dan mengurangi resiko dari ancaman akibat masuknya swasta dalam pengelolaan infratruktur informasi strategis, diperlukan kemitraan yang erat antara bisnis dan pemerintah. Kemitraan yang dimaksud dalam konteks pencegahan bersama terhadap serangan, bukan dalam tujuan memberi privilege khusus kepada swasta tertentu untuk mengelola sebagian dari infrastruktur informasi strategis sebagaimana sering disalah-gunakan oleh segelintir pejabat.

Penulis:
Mas Wigrantoro Roes Setiyadi

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.