 Dampak kejadian bom di Bali dan di hotel Marriot membuat penjagaan menjadi lebih ketat hampir di semua gedung perkantoran. Kadang, keadaan ini membuat saya kesal karena harus mengantri selama 10 menit hanya untuk menunggu giliran pemeriksaan tas. Tapi, yang lebih menyakitkan hati adalah ketika melihat beberapa orang ekspatriat dapat lenggang kangkung tanpa pemeriksaan.
Kejadian diskriminatif seperti ini sebenarnya pernah juga saya alami sekitar 19 tahun yang lalu di perpustakaan milik perwakilan negara asing. Tas-tas milik inlander, seperti saya, harus diperiksa dan dititipkan, sedangkan tas milik ekspatriat dapat dibawa tanpa dilirik sedikitpun oleh petugas keamanan. Dalam hati, saya hanya bisa mengurut dada, betapa selama hampir 60 tahun merdeka, kita tetap dianggap sebagai orang kelas dua oleh bangsa sendiri; atau … apakah ini merupakan cara kita menunjukkan ‘keramah-tamahan’ bangsa Indonesia terhadap orang asing ?
Fenomena ini juga dirasakan oleh beberapa pemerhati/konsultan masalah keamanan sistem informasi lainnya, dan tak jarang “dimanfaatkan” oleh beberapa konsultan ekspatriat dalam melakukan pekerjaannya. Kawan saya, seorang konsultan asal Perancis yang telah lama tinggal di Indonesia menceritakan pengalamannya dalam melakukan audit keamanan sistem informasi. Berdasarkan pengalamannya, hampir selalu dengan mudah ia masuk ke suatu ruangan ataupun menggunakan ruang rapat dan komputer karyawan tanpa rintangan yang berarti.
Untuk masuk ke suatu ruangan yang menggunakan kartu akses, kawan saya biasanya mengikuti dari belakang karyawan lain yang punya kartu akses. Dia jarang ditanya. Atau, kalaupun ada pertanyaan “mau ketemu siapa?”, dengan menjawab “I have a meeting” petugas keamanan akan dengan ramah menjawab “Silahkan” tanpa bertanya lebih lanjut. Begitu pula, dengan modal gaya bicara yang sopan dan bersahabat, biasanya kalimat singkat seperti “ Can I use this meeting room for 5 minutes for finishing the report before submitting to …” cukup untuk membuat kawan saya diizinkan mempergunakan ruang rapat, yang umumnya menyediakan outlet data.
Cerita selanjutnya bisa ditebak. Kawan saya itu dengan leluasa dapat memantau paket yang lalu lalang maupun memindai (scanning) komputer-komputer lain pada jaringan perusahaan melalui outlet data yang tersedia di ruang rapat dalam waktu yang cukup lama tanpa ada yang mengecek apakah ia sudah 5 menit berada di ruang tersebut. Kawan saya juga tidak pernah merasa kesulitan menginstal program “Trojan”. Dengan berpura-pura meminta bantuan karyawan untuk memeriksa USB flash memorinya, program Trojan yang telah disiapkannya akan secara otomatis ter-install pada komputer karyawan tersebut pada saat flash memory ditancapkan ke USB port.
Waktu saya tanya bagaimana ia dapat begitu meyakinkan orang lain, dengan santainya ia menjawab “Karena saya pakai jas ... dan karena saya orang bulai” (bule atau bulai adalah kata yang biasa digunakan orang Indonesia untuk menyebut orang Eropa/Amerika/Australia yang berkulit putih).
Human Firewall
Penampilan (pakaian, gaya bicara ) dapat sangat mengecohkan, dan ini sering digunakan sebagai ‘senjata’ dalam melakukan social engineering. Secara singkat, social engineering dapat dijelaskan sebagai suatu ilmu dan juga seni bagaimana membuat orang lain melakukan apa yang kita inginkan. Biasanya untuk tujuan-tujuan mendapatkan suatu informasi yang seharusnya tidak boleh diketahui.
Selain itu, sifat manusia yang kodratnya berusaha menolong sesama, merupakan faktor lain yang biasa dimanfaatkan pelaku social engineering. Contoh-contoh lain bagaimana menggunakan kedua hal ini dapat Anda baca dalam buku “The Art of Deception: Controlling the Human Element of Security”, karangan Kevin D. Mitnick, William L. Simon dan Steve Wozniak.
Selain kedua hal tadi, ada hal lain yang dapat mempercepat terjadinya social engineering; yaitu orang cenderung menghindari masalah. Tidak banyak orang Indonesia yang dapat berbahasa Inggris, sehingga jika seorang karyawan atau petugas keamanan melihat ketidaklaziman yang dilakukan ekspatriat, seperti tidak menggunakan kartu identitas atau masuk ke suatu ruangan tanpa didampingi karyawan lainnya, mereka lebih baik diam alias tidak bertanya. Karena, mereka tidak tahu bagaimana menyampaikannya dalam bahasa Inggris.
Di sisi lain, masih banyak perusahaan yang memandang sistem keamanan semata-mata sebagai usaha menyediakan perangkat teknologi seperti kamera, kartu akses pintu, antivirus, firewall, intrusion detection system, tetapi tidak melihat orang sebagai basis pertahanan (human firewall). Atau, mereka melihat human firewall hanya sebagai tugas satuan pengaman semata.
Sekurang-kurangnya ada dua hal yang perlu dilakukan dalam membentuk human firewall, yaitu adanya kebijakan (policy) dan prosedur perusahaan, serta adanya program awareness dan pelatihan. Kebijakan dan prosedur bertujuan untuk memberikan panduan bagi seluruh karyawan apa yang boleh dan harus dilakukan dan yang tidak boleh dilakukan, serta bagaimana melaksanakannya. Sedang awareness adalah suatu usaha untuk selalu mengingatkan dan menjelaskan hal-hal yang tertuang dalam kebijakan dan prosedur yang telah dibuat. Jangan berharap 100 % karyawan akan membaca, apalagi memahami isi kebijakan dan prosedur perusahaan tersebut.
Mudah Mengatakannya, Sulit Melakukannya
Perusahaan, umumnya sadar akan pentingnya kebijakan/prosedur dan program awareness/pelatihan. Tetapi, jika sudah sampai pertanyaan “Apakah sudah dilaksanakan ?”, dengan nada pesimis biasanya mereka mengatakan “belum”. Kadang, kebijakan dan prosedur hanya menjadi tumpukan dokumen berdebu tanpa pernah dibuka; atau sekali dibuka untuk selanjutnya dilupakan. Apa yang perlu dilakukan agar kedua hal itu - kebijakan/prosedur dan program awareness/pelatihan - dapat berjalan ?
Pertama, walapupun agak sedikit klise, peril ada komitmen dari pimpinan tingkat paling atas. Komitmen tersebut akan memberikan legitimasi bagi pelaksana untuk berlaku secara konsisten.
Suatu kali, penulis berkunjung ke suatu perusahaan pertambangan di NTB. Di sana, prosedur pemeriksaan mobil begitu teliti; seluruh penumpangnya diminta turun dengan maksud petugas keamanan dapat secara cermat memeriksa isi mobil, tidak peduli siapa (jabatan) penumpangnya. Tapi, perlakuan tanpa pandang bulu ini tidak serta merta dilakukan pada awal pelaksanaannya, tetapi dimulai ketika CEO mereka dengan sengaja menguji apakah mobil yang ditumpangi turut diperiksa atau tidak.
Pada saat itu, menurut cerita, petugas keamanan hanya memberi hormat dan mempersilahkan mobil melaju tanpa diperiksa. Kurang dari sejam berikutnya, seluruh petugas keamanan dikumpulkan dan diingatkan kembali agar berlaku tegas tanpa pandang bulu. Dan, kejadian itu dijadikan peringatan pertama bagi seluruh petugas keamanan.
Kedua, target jangan terlalu muluk-muluk. Membentuk human firewall yang tangguh tidak dapat disamakan dengan implementasi perangkat/teknologi keamanan. Kita dapat menargetkan pemasangan kamera pada 100 lokasi dalam waktu satu bulan selama dana memadai. Tetapi, apakah dalam satu bulan itu kita dapat menargetkan seluruh karyawan selalu mengenakan kartu tanda pengenal? Menanyakan dan menegur orang yang tidak mengenakan tanda pengenal? Memastikan bahwa tidak ada orang lain di belakang kita yang masuk tanpa menggunakan kartu akses? Tidak membuang dokumen rahasia ke tempat pembuangan sampah sebelum dirobek (shred)? dan lain sebagainya.
Lebih baik kita mempunyai suatu target yang realistis. Misalnya, dalam dua bulan program awareness dapat menjadikan seluruh karyawan (termasuk kontraktor) dan tamu untuk selalu mengenakan tanda pengenal. Menjadikan tindakan menanyakan atau menegur karyawan/non-karyawan yang tidak menggunakan tanda pengenal, sebagai suatu kebiasaan. Dengan melakukan pemantuan dan audit, kita dapat mengukur seberapa efektifnya program awareness itu dan menetapkan hal-hal yang perlu diperbaiki agar target tercapai. Untuk bulan-bulan berikutnya, Anda dapat membuat target baru menurut prioritas yang telah ditetapkan.
Dengan adanya komitmen yang kuat dari pimpinan tertinggi dan target yang realistis dalam membentuk human firewall, diharapkan tidak akan muncul lagi komentar “Ah…. teori”.
Agus Pracoyo • channel manager /
security consultant pada
PT. Indokom Primanusa dengan alamat
e-mail: pracoyo@ipnsecurity.com
Foto-foto: dok. ebizzasia
|
