 |
| Agus Pracoyo, pakar security
TI |
Kalau
dilihat dari sejarahnya, kasus ini tidak berbeda dengan kasus
virus “I Love You” ataupun Code Red dan Nimda
yang membuat beberapa karyawan harus “ngangur” beberapa
saat karena jaringannya tidak dapat dipakai. Waktu dua minggu
kalau dikonversikan ke dalam rupiah yang hilang karena karyawan
tidak dapat bekerja tentu jumlahnya akan sangat signifikan.
Apakah ini indikasi bahwa perusahaan-perusahaan di Indonesia
tidak melihat pentingnya aspek keamanan sistem informasinya?
Jawaban dari pelaksana sistem informasi di perusahaan-perusahaan
ini justru sebaliknya. 100% dari mereka menjawab dengan yakin
bahwa pengamanan sistem informasi adalah hal yang penting.
Tetapi, kenyataan sebenarnya mengatakan adanya ketidaksesuaian
antara apa yang mereka sadari dan inginkan dengan pelaksanaannya.
Sayangnya, untuk melihat seberapa jauh pelaksanaan pengamanan
sistem informasi semacam ini di Indonesia, sampai saat ini,
menurut sepengetahuan penulis belum ada survey yang dilakukan.
Dalam tulisan ini, angka yang disajikan hanya semata-mata berdasarkan
pengamatan penulis pada 56 perusahaan di Indonesia, baik secara
langsung maupun tidak langsung dalam kurun waktu 2002-2003.
Hampir semua perusahaan yang diamati ini adalah perusahaan
menengah keatas dari sisi jumlah karyawan (di atas 500 orang)
dan mempunyai koneksi ke Internet.
Selain itu, pengamatan yang dilakukan hanya pada logical security
saja, tidak pada physical security. Angka yang disajikan dalam
tulisan ini tidak mencerminkan dan tidak ditujukan untuk menggambarkan
keadaan sistem pengamanan pada perusahaan-perusahaan di Indonesia
secara keseluruhan. Tetapi, sekurang-kurangnya sajian ini dapat
memberikan sedikit gambaran tentang tudingan lemahnya pengamanan
sistem informasi di Indonesia.
Pengukuran pengamanan sistem informasi pada tulisan ini didasarkan
pada tiga aspek, pertama, aspek yang berhubungan dengan information
security governance, seperti ada tidaknya kebijakan, prosedur,
dan standar pengamanan, ada tidaknya staf yang melakukan tugas
rutin pengamanan, kontrol terhadap pelaksanaan pengamanan sistem
informasi dalam bentuk audit.
Aspek kedua, yang dilihat adalah penggunaan teknologi pengamanan
sistem informasi seperti kontrol akses, firewall, anti virus,
sistem deteksi intrusi. Sedangkan aspek ketiga berhubungan
dengan prosedur penanganan insiden keamanan.
Pembatasan cakupan pada tulisan ini semata-mata dikarenakan
keterbatasan informasi.
Information Security Governance
Dari 56 perusahaan yang diamati, hanya 4 perusahaan atau
7% saja (semuanya berasal dari industri keuangan dan telekomunikasi)
yang mempunyai kebijakan dan prosedur keamanan secara tertulis,
sedangkan sebagian besar tidak punya ataupun jika punya
tidak lengkap dan tidak disertai prosedur yang mendukung.
Hanya sekitar 11 % perusahaan yang mempunyai Chief of Security
Officer (CSO) dan staf khusus bidang pengamanan. Sedang
pada perusahaan lain tugas pengamanan umumnya dirangkap
oleh staf yang mengurus jaringan.
Dalam program sosialisasi dan penyadaran (awareness) pengamanan
sistem informasi, lebih dari 80% perusahaan tidak melakukannya.
Beberapa perusahaan mengatakan telah menjalankan program
sosialisasi dengan cara menyebarkan informasi pengamanan
melalui e-mail, tetapi tanpa diuji apakah karyawan mengerti
atau tidak. Penulis tidak memandang hal ini sebagai program
sosialisasi dan penyadaran.
Kegiatan lainnya, seperti audit, masih jarang dilakukan oleh
perusahaan-perusahaan, dan hanya sekitar 12% saja yang pernah
melakukan audit sekuriti, dan semuanya berasal dari sektor
keuangan dan telekomunikasi.
| "Dari 56 perusahaan yang diamati,
hanya 4 perusahaan atau 7% saja (semuanya berasal dari
industri keuangan dan telekomunikasi) yang mempunyai
kebijakan dan prosedur keamanan secara tertulis." |
Penggunaan Teknologi Pengamanan Sistem Informasi
Produk teknologi pengamanan sistem informasi yang umumnya
dipergunakan adalah firewall dan anti virus (di atas 90%).
Sedang persentase teknologi sistem deteksi intrusi hanya
sekitar 17%. Teknologi pengamanan lainnya, seperti token
masih belum banyak digunakan dan diperkirakan di bawah
5%.
Dalam pemeliharaan teknologi pengamanan sistem informasi
dalam bentuk product subscription atau annual technical support
lebih dari 60% perusahaan tidak menganggarkannya. Kebanyakan
dari mereka melakukan pembelian annual product/technical
support hanya untuk tahun pertama saja, yang biasanya memang
sudah termasuk pada saat pembelian produk. Hal ini menyebabkan
banyak dari mereka yang tidak dapat melakukan upgrade sistem
pengamanan pada tahun kedua dan tahun berikutnya karena tidak
adanya dana yang dianggarkan untuk itu. Rata-rata total pengeluaran
untuk pengadaan teknologi pengamanan sistem informasi pada
pengamatan ini diperkirakan kurang dari 4% dari keseluruhan
anggaran teknologi sistem informasi.
Prosedur Penanganan Insiden keamanan Sistem Informasi.
Prosedur penanganan insiden termasuk dalam kegiatan dengan
prioritas rendah dalam pengamanan sistem informasi. Lebih
dari 80% perusahaan tidak memiliki prosedur ini secara
tertulis. Sehingga tidak heran untuk kasus virus yang dikemukakan
di atas, waktu penanganan yang dibutuhkan sangat lama.Rendahnya
persentase perusahaan yang memiliki prosedur penanganan
insiden keamanan diperkirakan karena masih banyak perusahaan
yang mempunyai paradigma bahwa pengamanan semata-mata hanya
pada kegiatan preventif.
Kesimpulan Pengamatan
Efektivitas pelaksanaan pengamanan sistem informasi pada
perusahaan-perusahaan yang diamati masih sangat rendah.
Strategi (kalau boleh dikatakan strategi) pengamanan sistem
informasi masih mengandalkan semata-mata pada teknologi
dan khususnya pada tindakan preventif. Tidak adanya information
security governance yang baik menjadi faktor dominan yang
menyebabkan lemahnya pengamanan sistem informasi.
Selain itu, tidak adanya information security governance
menyebabkan penggunaan teknologi tidak efektif dan menyebabkan
peralatan pengamanan hanya menjadi pajangan. Begitu juga,
tidak adanya information security governance juga menyebabkan
pengelolaan pengamanan lebih bersifat “Ad Hoc” dan
reaktif ; baru bertindak jika ada masalah.
Perlu juga disadari bahwa rendahnya tingkat pengamanan pada
perusahaan di Indonesia tidak hanya berdampak pada perusahaan
yang bersangkutan saja, melainkan dapat meluas menjadi persoalan
negara. Sebagai contoh, beberapa bulan yang lalu Visa dan
Mastercard memasukkan Indonesia sebagai negara nomor 2 dalam
daftar negara asal kejahatan kartu kredit. Akibatnya, tidak
hanya banyak kartu kredit dari Indonesia ditolak dalam bertransaksi,
tetapi juga beberapa alamat IP (internet protocol) dari Indonesia
diblok oleh ISP di luar negri.
Peran Pemerintah
Menurut Organisation for Economic Co-operation and Development
(OECD) dalam buku panduannya yang berjudul “Implementation
Plan for the OECD Guidelines For The Security of Information
Systems And Networks: Towards A Culture of Security”,
pemerintah mempunyai peran yang penting dalam menanamkan
kultur pengamanan sistem informasi yang komrehensif. Yakni,
dengan mengambil inisiatif seperti membuat perundangan-undangan,
penggunaan teknologi sistem informasi dan undang-undang
tindak kejahatan teknologi informasi.
Insiatif lain yang dapat dilakukan adalah dengan membuat
unit khusus berskala nasional dalam memerangi tindak kejahatan
teknologi informasi dan mendirikan lembaga untuk penanganan
insiden keamanan nasional, seperti Computer Emergency Response
Team (CERT ).
Di Indonesia, insiatif-inisiatif tersebut sebenarnya sudah
dilaksanakan oleh pemerintah maupun lembaga lainnya. Untuk
undang-undang di bidang komunikasi dan teknologi informasi
Universitas Indonesia telah menyusun RUU Pemanfaatan Teknologi
Informasi. Sedang RUU Tindak Pidana di Bidang Teknologi Informasi
juga telah disusun oleh tim dari Universitas Pajajaran Bandung.
Untuk unit khusus penanganan tidak pidana teknologi informasi,
pihak POLRI juga telah membuat unit Pidana Teknologi Informasi.
Begitu pula untuk CERT, di Indonesia pun telah ada ID-CERT
yang dicetuskan oleh Dr. Budi Rahardjo dari ITB.
| "Tidak adanya information security governance yang
baik menjadi faktor dominan yang menyebabkan lemahnya
pengamanan
sistem informasi." |
Tetapi, kendala dana dan sumber daya manusia menjadikan realisasi
dan kinerja ketiga hal ini menjadi terhambat. Sebagaimana
diungkapkan oleh AKBP Drs. Brata Mandala (Kasubdit Pidana
Teknologi Informasi Mabes POLRI) bahwa kemampuan para penyidik
yang dimiliki Polri belumlah optimal, khususnya dalam ilmu
Computing Forensic Examination. Begitu pula laboratorium
forensic computing yang dimiliki Polri tidak memadai.
Tiga serangkai ini, khususnya peraturan/UU dipercaya akan
lebih mendorong perusahaan-perusahaan untuk mengadopsi strategi
pengamanan sistem informasi yang lebih komprehensif. Pengamat
dari Giga Information Group bahkan mengatakan bahwa tren
pengamanan sistem informasi tahun 2003 di Amerika Serikat
dititikberatkan pada upaya-upaya untuk memenuhi standar pengamanan
yang telah ditetapkan oleh industri, seperti GLBA (The Gramm-Leach-Bliley
Act) untuk industri keuangan, HIPAA (Health Insurance Portability
and Accountability Act) untuk bidang kesehatan dan FSMA (Financial
Services and Markets Act) untuk lembaga pemerintah. Kondisi di Negara Lain
Jika dibandingkan hasil pengamatan penulis dengan kondisi
pengamanan sistem informasi di Malaysia berdasarkan survey
yang dilakukan National ICT Security Emergency Response
Centre (NISER) tahun 2000, pengelolaan pengamanan sistem
informasi di Malaysia mempunyai pola yang kurang lebih
sama dengan perusahaan-perusahaan di Indonesia.
Umumnya, sebagaimana diungkapkan oleh R. Azrina R. Othman,
salah seorang tim NISER, perusahaan-perusahaan di Malaysia
masih memrioritaskan penggunaan teknologi ketimbang pelaksanaan
information security governance yang baik, seperti pengembangan
sumber daya manusia, pembuatan kebijaksanaan pengamanan,
dukungan manajemen, dan pengawasan pelaksanaan pengamanan
sistem informasi dalam bentuk audit.
Walaupun begitu, dari angka statistik diperkirakan kondisi
pengamanan sistem informasi di Malaysia masih lebih baik
ketimbang di Indonesia (angka statistik dari hasil pengamatan
penulis masih lebih kecil dibanding angka statistik survey
di Malaysia).
Selain itu dari segi hukum, Malaysia masih satu langkah didepan
Indonesia, karena sudah ada dan sudah diberlakukannya undang-undang
yang mengatur pengunaan teknologi informasi dan tindak kejahatan
teknologi informasi.• |
