RESUME PERTEMUAN 5 - CYBERSECURITY
Posted by CYBERSECURITY & MANAJEMEN RESIKO
ANCAMAN SIBER
DDoS (Distributed Denial of Service) Attack: serangan pada suatu jaringan atau website dengan cara membombardirnya dengan trafik yang padat (cth: dengan permintaan terhadap suatu layanan yang terus-menerus), agar jaringan atau website menjadi terbebani hingga akhirnya crash dan vulnerable terhadap ancaman lain.
Hacktivist (Hacker-Activist): seseorang yang melakukan hacking untuk tujuan tertentu. Dengan alasan apapun, hacking adalah tindakan kriminal.
Malware (Malicious Software): suatu program yang dirancang untuk merusak dan menyusup ke sistem komputer. Umumnya malware masuk melalui email, download sesuatu di internet, atau aplikasi-aplikasi yang telah terinfeksi.
Botnet (Bot/Robot Network): sekumpuan program yang saling terhubung dan berkomunikasi satu sama lain melalui internet, guna melancarkan suatu aksi tertentu, misal: mengirim spam, melakukan DDoS, dll.
Firewall: perangkat software/hardware yang mengendalikan akses ke jaringan privat dari jaringan publik, dengan menganalisa paket data yang keluar dan masuk.
Social Engineering: Human hacking – mengelabuhi seseorang demi mendapatkan akses tertentu pada suatu akun atau jaringan computer.
Data Breach: Kebocoran data akibat dicuri oleh pihak yang tidak berwenang.
Fault Tolerance: kemampuan suatu system informasi untuk kembali beroperasi setelah terjadinya kegagalan atau masalah. Umumnya bangkit untuk beberapa saat saja (sementara) dan dengan level yang diturunkan.
Autentikasi: suatu metode (umumnya menggunakan username dan password) dimana system informasi memvalidasi dan memverifikasi bahwa user yang login adalah benar dia yang memiliki akses tersebut.
Biometrics: suatu metode untuk mengidentifikasi seseorang berdasarkan karakteristik biologi mereka, seperti sidik jari dan retina mata.
Access Control: fitur keamanan pada sistem yang dapat membatasi siapa saja yang memiliki akses terhadap suatu sistem informasi, jaringan, juga data.
Exploit: tool/teknik/kode program yang dibuat dengan tujuan untuk menyerang celah keamanan suatu sistem, baik itu untuk kejahatan atau untuk menguji keamanan sistem itu sendiri.
Manajemen Resiko: proses identifikasi, penilaian, dan upaya mengurangi resiko ke level yang bisa diterima.
Exposure: estimasi biaya, kerugian, dan kerusakan yang diakibatkan oleh serangan illegal ke dalam sistem melalui celah keamanan yang ada.
Audit: prosedur dalam pengumpulan, perekaman, dan evaluasi bukti-bukti dari setiap kejadian secara kronologis pada suatu sistem untuk menentukan ketepatan dan akurasinya.
Encryption: mengubah data menjadi kode yang tidak beraturan, digunakan untuk melindungi data tersebut dari orang-orang yang tidak berkepentingan, agar tidak mudah dibaca, dipahami, dan disalahgunakan.
Decryption: mengembalikan bentuk kode yang tidak beraturan menjadi data atau teks asli atau yang bisa dibaca.
Plaintext or Clear Text: text asli yang dapat dibaca (sebelum enkripsi).
Ciphertext: text tidak beraturan yang sudah dienkripsi.
Tujuan Keamanan Siber :
- Memastikan data dan dokumen tersedia dan dapat diakses 24/7 dengan access restriction yang ketat.
- Menjaga kontrol internal untuk mencegah terjadinya perubahan pada data, oleh orang yang tidak berhak.
- Membangun atau memiliki system penangkal serangan yang mumpuni guna mencegah gangguan dan ancaman.
- Patuh pada hukum dan aturan yang ada.
- Memastikan recovery system dengan sangat cepat, saat terjadi bencana atau masalah tertentu.
- Dll.
Data Breach
- Reputasi yang hancur
- Kehilangan kepercayaan pelanggan
- Tuntutan dari pihak-pihak yang dirugikan
- Hukuman dari pemerintah maupun pengadilan
Keamanan Komunikasi
Komunikasi via suara sering kali dilakukan dalam diplomasi-diplomasi tingkat tinggi antar negara atau organisasi, memiliki informasi-informasi yang bersifat konfidensial. Komunikasi via suara rentan untuk diretas. Dibutuhkan media yang aman untuk memastikan keamanan komunikasi yang semestinya bersifat rahasia.
Manajemen Resiko Siber
Setiap perusahaan memiliki data penting yang diinginkan oleh pelaku criminal. Data penting tersebut disebut dengan ASET, bisa berupa: data pelanggan, paten, data rahasia, koneksi/jaringan, website, dll.Semakin tinggi nilai aset bagi perusahaan dan pelaku kriminal, maka semakin tinggi pula kebutuhan akan keamanan IT.
Strategi yang paling tepat adalah memberikan standard pengamanan lebih ketat pada aset-aset yang paling penting, daripada mengamankan semua aset dengan standar yang sama.
Konsep Dasar Keamanan IT
- Ancaman (Threat) : Seseorang atau sesuatu yang dapat menyebabkan adanya kehilangan, kerusakan, hingga kekacauan pada data ataupun sistem.
- Resiko (Risk) : Peluang adanya ancaman (Threat) yang mengeksploitasi celah keamanan dan menyebabkan kerugian berupa kehilangan, kerusakan, hingga kekacauan data. Risk = f(Threat, Vulnerability, Cost of the impact)
- Exploit : Suatu program (code) yang memungkinkan penyerang menyusup ke dalam system secara otomatis melalui celah keamanan. Dengan cara menyerang atau sekedar memanfaatkan celah keamanan.
- Celah Keamanan (Vulnerability) : Lubang atau titik lemah pada suatu system yang bisa dimanfaatkan oleh penyerang untuk menyusup ke dalam system yang ditarget. Merupakan pintu masuknya malware, hacker, hacktivist, pelaku kriminal lain ke dalam system. Perusahaan/organisasi yang fokus pada IT Security justru paling rentan terhadap ancaman.
- Asset : Data atau sesuatu yang perlu untuk dilindungi. Data pelanggan, rahasia dagang, formula rahasia, dan produk-produk kekayaan intelektual lainnya.
3 Tujuan Keamanan Sistem Informasi
- Confidentiality: tidak boleh ada data yang dapat diekspos dengan cara yang tidak dibenarkan.
- Integrity: data, dokumen, pesan dan file-file lain tidak dapat dimodifikasi dengan cara yang tidak dibenarkan.
- Availability: data harus dapat diakses kapanpun saat dibutuhkan oleh pihak-pihak yang berwenang.
Aturan Do-Not-Carry
Perangkat komunikasi (smartphone dan laptop) pribadi ditinggal di rumah, dan mereka membawa smartphone dan laptop lain (bisa sewa atau menggunakan yang telah disediakan dan dinyatakan bebas malware).Selama berada di luar negeri, mereka dilarang terhubung ke jaringan lokal tempat mereka bekerja di amerika (via VPN), untuh menghindari hacker menyusup.
Bahkan salah seorang ahli dari Brooking Institute sampai melepas batrei ponselnya untuk mencegah kamera dan microfon tiba-tiba dihidupkan oleh hacker.
Fraud / Penipuan
Istilah fraud merujuk pada penyalahgunaan sesuatu secara sengaja demi kepentingan pribad, fraud bisa diatasi dengan adanya AUDIT INTERNAL dan KONTROL INTERNAL yang kuat
Fraudster (pelaku fraud) tidak menggunakan pisau atau pistol dalam aksinya, melainkan menggunakan tipu muslihat (deception), kepercayaan (confidence) dan trik/jebakan (trickery). Fraudster melakukan kegiatan kriminal itu dengan memanfaatkan jabatan/kekuasaan, atau dengan memanfaatkan kepercayaan, ketidak-pedulian, hingga kemalasan orang lain.
Kriminal (berdasarkan cara dan taktik) dibagi menjadi 2 yaitu dengan kekerasan fisik dan tanpa kekerasan fisik
Fraud tidak bisa dikategorikan sebagai tindak kriminal kepada seseorang, karena tidak ada penyerangan secara langsung pada seseorang. Fraud menghasilkan kerugian yang jauh lebih besar jika dibandingkan dengan pencurian, perampokan, atau bahkan jika keduanya digabungkan sekaligus.
FRAUD TRIANGLE
Jenis Fraud :
1. Penggelapan Aset (Misappropriation of Assets)2. Penipuan Pelaporan Keuangan (Fraudulent Financial Reporting)
3. Penyalahgunaan Wewenang (Occupational Frauds)
4. Kecurangan Organisatoris (Organisational Frauds)
5. Skema Kepercayaan (Confidence Schemes)
6. Penyalahgunaan Komputer (Computer Frauds)
Jenis Computer Fraud :
1. Input Fraud2. Processor Fraud
3. Computer Instruction Fraud
4. Data Fraud
5. Output Fraud
Mencegah Computer Fraud :
1. Personal Screening2. Definisi Pekerjaan
3. Pemisahan Tugas
4. Etika Profesional
5. Lisensi
6. System Design Control
7. Physical Access Security
8. Electronic Access Security
9. Internal Control and Audit
INTERNAL FRAUD
Satu-satunya cara paling efektif sebagai taktik untuk mencegah FRAUD di lingkungan INTERNAL adalah dengan membuat semua karyawan tahu dan faham bahwa FRAUD apapun yang dilakukan oleh mereka akan dapat terdeteksi oleh sistem pengawasan IT dan pelakunya akan dihukum (dipolisikan). Teknologi pencegahan fraud (fraud prevention tech.) untuk internal organisasi memiliki kemiripan dengan teknologi pencegahan fraud untuk pihak eksternal, seperti FIREWALLS, E-MAIL SCANNER, AKSES BIOMETRIK, dll. Ditambah lagi dengan peran dari seorang HR (Human Resource) saat melakukan prosedur screening dan training dalam rekrutmen karyawan. HR sedikit banyak harus bisa mengenali pikiran-pikiran karyawannya.
INTELLIGENT ANALYSIS AND ANOMALY DETECTIONS
Deteksi fraud dapat dilakukan oleh sebuah system cerdas yang melibatkan dua teknologi dalam dunia IT, yaitu DATA WAREHOUSE (DW) dan DATA ANALYTICS (DA). DW menyimpan data yang sangat besar, semua transaksi pelanggan dan karyawan ada di sana. Tidak hanya itu, bahkan catatan trafik data dari semua orang di perusahaan itu pun juga tersimpan di DW secara rinci. Data yang ada di sistem tersebut kelak akan dianalisa bersamaan dengan data-data dari catatan personal pihak HR terhadap masing-masing karyawan. Semua data yang dibutuhkan tersebut selanjutnya akan dianalisa guna menemukan pola-pola yang terlihat anomaly, seperti:
• Lembur yang berlebihan,• Penyimpangan pola perilaku karyawan,
• Upaya meng-copy data dalam jumlah besar,
• Upaya percobaan pengambilalihan sistem,
• Adanya transaksi yang tidak biasa, dll
PENCURIAN IDENTITAS (IDENTITY THEFT)
Pencurian Identitas merupakan salah satu tindakan kriminal paling umum di zaman serba online saat ini. Pelaku kriminal akan terus berupaya mengumpulkan informasi sekecil apapun dari seorang atau banyak target. Dimulai dari informasi kecil, seperti nama dan kota tinggal, hingga akhirnya bisa mendapatkan data-data kartu kreditnya secara utuh. Dunia serba online memberikan kemudahan bagi user dalam melakukan aktifitas. Tapi di sisi lain, dunia serba online ini juga memberikan kemudahan bagi para pelaku tindak kejahatan internet. Data-data sudah tersedia di internet. Atau setidaknya tempat penyimpanan data, masih banyak yang terhubung ke internet, sehingga rentan untuk langsung dibajak. Yang jadi masalah, tidak semua perusahaan, organisasi, atau institusi terbuka mengakui adanya insiden kebocoran data pribadi, atau mereka justru secara terang-terangan menampilkan data-data pelanggan tanpa mereka sadari.
TAKE FIVE
Take-Five merupakan kampanye nasional yang dilakukan oleh pemerintah Inggris untuk mencegah terjadinya penipuan yang bisa menyebabkan kerugian yang massive.
Berikut adalah 5 aksi dari Take-Five tersebut:
2. Don’t assume everyone is genuine
3. Don’t be rushed
4. Listen to your instincts
5. Stay in control
Kepatuhan & Kendali Internal
Semua perusahaan wajib tunduk pada hukum, aturan, dan kebijakan yang telah dibuat oleh pemerintah.
Kepatuhan terhadap aturan tersebut, membutuhkan adanya kendali internal (Internal Control) untuk memastikan bahwa semua berjalan dengan tepat, termasuk data-data sensitive telah terlindungi dengan baik.
Semua orang di dalam suatu organisasi perlu menjadikan kendali internal ini sebagai budaya dan kebiasaan positif untuk kebaikan mereka sendiri dan juga organisasi.
Sekitar 85% kejahatan fraud dapat dicegah apabila sistem kendali internal berbasi IT yang layak, berhasil di desain, dibuat, dan diterapkan.
Internal Control
Objectives :
1. Reliability of Financial Reporting, to protect investors2. Operational Efficiency
3. Compliance with Laws, and Policies
4. Safeguarding of Assets
Defense Strategy
- Tujuan dari Manajemen Keamanan Teknologi Informasi adalah melindungi seluruh komponen di dalam suatu system informasi, meliputi: Data, Software/ Aplikasi, Hardware, hingga Network, sehingga bisa tetap utuh sempurna dan aman.
- Sebelum membentuk suatu sistem keamanan atau membuat keputusan terkait keamanan, orang-orang dengan tanggung jawab tersebut harus lebih dulu paham tentang bisnis yang berjalan dan harus dilindungi tersebut.
- Strategi pengamanan suatu system sangat tergantung dari bisnis yang dijalankan.
- Perusahaan harus melakukan analisis dengan benar terhadap apa yang harus dilindungi, dan apa yang tidak perlu dilindungi, karena berpengaruh terhadap biaya.
- Sangat tidak bijak jika perusahaan melakukan UNDERINVEST atau OVERINVEST di sisi keamanan.
Objectives :
1. Prevention and deterrence2. Detection
3. Contain the damage
4. Recovery
5. Correction
6. Awareness and compliance
Major Defense Control :
- General
- Physical
- Access
- Biometrics
- Web Controls
- Data Security
- Encryption
- Cable Testers
- Firewalls
- Virus Protection
- Authentication -> Biometrics
- Communication
- Administrative
- Other
- Processing
- Output
IT Defenses
Mengingat malware dan botnets berkembang dan menggunakan beragam metode dalam melakukan penyerangan, maka dibutuhkan beragam tool pula untuk mendeteksi mereka sekaligus melawannya.
3 tool utama yang umum digunakan:
- Antivirus
- Intrusion Detection System (IDS)
- Intrusion Prevention System (IPS)
Antivirus Software: aplikasi antivirus/antimalware didesain untuk mampu mendeteksi malicious code (virus, worm, spyware, trojan, dll) sekaligus mencegah user agar tidak mengunduh dan menjalankan mereka.
Intrusion Detection System (IDS): berfungsi untuk men-scan trafik data yang tidak biasa (mencurigakan). IDS dapat mendeteksi serangan DoS/DDoS berdasarkan pola yang terbentuk, lalu mengirimkan peringatan pada Network Administrator untuk segera mengambil langkah-langkah defensive untuk melindungi server dan jaringan.
Intrusion Prevention System (IPS): didesain untuk melaksanakan aksi cepat saat trafik abnormal terdeteksi, misal dengan langsung memblok alamat IP tertentu.
