 Perkembangan teknologi jaringan informasi dan komunikasi yang fenomenal membawa cacat umum, yaitu bahwa jaringan berbagai sistem seperti jaringan internet, jaringan telekomunikasi, sistem pengendalian distribusi listrik, dan lain sejenisnya membentuk sistem yang rumit untuk dikelola. Masih hangat diingatan kita, bagaimana sistem listrik kota semaju New York bisa padam dalam untuk periode waktu yang lama. Begitu juga, musibah serangan virus/worm, permasalahan spamming pada e-mail yang menghabiskan sumber daya internet.
Saat ini, suatu sistem jaringan komunikasi komputer memerlukan banyak bagian sistem yang menghasilkan sejumlah besar data yang harus diamati, dianalisis, dan dikelola. Ketika mengalami kegagalan, orang harus bereaksi dengan cepat, bahkan supercepat. Mereka harus berkomunikasi dengan banyak pihak dan menyeimbangkan tuntutan yang saling bertentangan, yakni antara efisiensi dan keselamatan, laba dan biaya, ilmu pengetahuan dan politik. Tidak ada insentif bagi pihak perusahaan yang mengumumkan adanya fraud dan serangan sistem dan keamanan kepada publik.
Sistem teknologi demikian canggih, dirancang jauh lebih rumit dari yang bisa ditangani. Semua sistem rumit, karena sifatnya, ditakdirkan untuk pernah gagal pada suatu saat tertentu. Salah satu kuncinya adalah kemampuan untuk mengelola kegagalan sedini mungkin di tahap awal, sehingga masalah tidak berkembang. Jika dibiarkan akan jadi malapetaka.
Pendekatan lain yang lebih baik adalah dengan cara merancang sistem yang memberi ruang waktu untuk mengelola kegagalan. Sistem harus memiliki cadangan dan cukup fleksibel, agar bagian-bagian dari sebuah sistem bisa terus beroperasi saat terjadi kerusakan atau mengalami serangan keamanan.
Pertanyaan selanjutnya yang muncul adalah bagaimana kita dapat membuat sistem infrastruktur jaringan komputer bisa dikelola agar mampu menekan jumlah serangan keamanan, dan bagaimana membangun mekanisme sistem respon jika terjadi masalah serangan tersebut.
Menekan Jumlah Insiden Sistem Keamanan
Saat ini, jarang sekali perusahaan yang tidak peduli dengan aspek pengelolaan keamanan sistem di jaringan internet dan intranetnya. Rata-rata perusahaan telah menerapkan kebijakan keamanan (security policy); Instalasi dan operasi “Firewall’ sudah demikian umum; Pengenalan dan penggunaan anti virus dan anti-worm sudah merupakan syarat perlindungan minimal di hampir setiap lingkungan kerja. Sudah begitu luas dan banyak ulasan serta sosialisasi tentang bahaya kejahatan komputer di internet. Namun, tetap saja masih banyak peristiwa serangan keamanan terjadi, dan jumlah insiden juga terus meningkat.
Sejauh ini, model umum yang diterapkan dalam sistem keamanan menganut pendekatan “security boarder” atau batas perlindungan. Asumsinya, ada pemisahan yang tegas antara sistem dalam (intranet) dan sistem luar (internet). Setiap yang buruk dipandang muncul dari sistem luar. Sistem dalam dianggap tempat yang aman 100%, meski tidak ada yang bisa menjamin pihak internal steril dari tindakan permusuhan kepada manajemen perusahaan. Karenanya, lumrah mendefinisikan batas perlindungan dengan memusatkan langkah pencegahannya di titik perbatasan. Cara ini efektif-biaya dan cukup kokoh untuk melindungan sistem dalam (intranet).
Dalam perkembangan selanjutnya, muncul pertanyaan apakah model ini masih cukup valid untuk saat ini. Pertama, banyak aspek insiden keamanan atau sekuriti justru muncul dari internal, seperti epidemi dari infeksi virus atau worm, distribusi dari kode janggal (malicious code) yang muncul di e-mail, penyebaran virus dari komputer pangku (laptop), serta eksekusi aplikasi kode aneh melalui situs web, dan lain lain.
Kedua, beberapa gangguan diakibatkan oleh perilaku karyawan, baik yang sengaja maupun tidak sengaja dari sejumlah pengguna (users) dengan penggunaan yang beragam. Persoalannya dapatkah kita mengetahui apa yang dikerjakan oleh setiap karyawan dan membuat segalanya dalam kendali penuh.
Selanjutnya, Firewall yang diletakkan di titik perbatasan, tidak berfungsi efektif. Firewall belum mengantisipasi adanya layanan baru seperti aplikasi P2P (peer-to-peer), dan aplikasi interaktif seperti VoIP. Kinerja Firewall menurun untuk aplikasi penerusan packet, padahal aplikasi yang perlu respon kecepatan tinggi semakin meningkat. Solusi meningkatkan respon biasanya dilakukan melalui penerapan metoda relay proxy yang tidak sepenuhnya menjawab kebutuhan layanan.
Kebutuhan Solusi Manajemen Keamanan
Dari ilustrasi di atas, muncul kebutuhan adanya model pendekatan baru yang memenuhi kriteria:
- Model mengasumsikan adanya kerawanan yang dapat muncul di dalam sistem infrastruktur;
- Model memiliki mekanisme untuk mengatur ekspansi dari insiden keamanan, khususnya dalam menangkal menyebaran virus/worm;
- Para pengguna dapat menikmati layanan aplikasi secara nyaman, meski ada sistem pengelolaan keamanan yang ketat;
- Kinerja yang tetap prima dalam lingkungan sistem pengelolaan keamanan.
Perlu diingat, bahwa sistem dari setiap individu harus dikelola lebih baik, karena kerawanan selalu ada dari sistem para penggunanya. Pendekatan yang logis untuk meminimalkan potensi masalah, antara lain dengan membatasi platform infrastruktur, menyediakan aplikasi khusus untuk hal-hal yang bersifat rutin, dan pengelolaan yang lebih intensif pada aplikasi-aplikasi yang bersifat mobile (melalui komputer pangku).
Di samping itu, manajemen otorisasi juga mutlak diterapkan, yaitu seorang pengguna memiliki tingkat otorisasi tertentu untuk aplikasi yang berbeda, dan kebijakan itu diterapkan secara konsisten sesuai dengan kebutuhan lingkungan kerja. Pilihan yang tersedia adalah memaksimalkan perlindungan dari masing-masing sistem, dan atau memaksimalkan manajemen pemakaian aplikasi dengan pemisahan aktivitas yang rawan. Penerapan kebijakan keamanan ketat dimana setiap sistem memiliki perlindungan yang maksimal sangat dimungkinkan, karena jarang orang dibolehkan mengakses ke setiap mesin di lingkungan kerjanya.
Di sisi lain, perangkat-perangkat teknologi jaringan saat ini sudah memiliki mekanisme kemampukelolaan (manageability). Namun, model ini belum sepenuhnya menjawab bentuk manajemen sekuriti baru. Kita masih membutuhkan banyak contoh praktik-praktik terbaik (best practices) dan perlu keahlian yang lebih tinggi, serta masih butuh waktu untuk mendapat umpan balik dari implementasinya.
Kebutuhan Sistem Respon Insiden yang Prima
Pada kondisi normal, implementasi manajemen sekuriti di banyak perusahaan tampaknya tidak banyak menemui persoalan. Namun, pada saat suatu insiden terjadi, hampir selalu dibutuhkan waktu lama untuk pemulihan. Manajemen sekuriti umumnya membuat antisipasi dan persiapan terhadap adanya risiko yang diketahui. Tetapi kita tidak selalu mampu untuk menyiapkan diri terhadap segala risiko karena keterbatasan biaya, teknologi, dan imaginasi.
Sistem sekuriti memang tidak harus sempurna, tetapi risikonya harus bisa dikelola dan diketahui. Untuk itu, dibutuhkan paling tidak dua kapabilitas. Pertama, kemampuan untuk bekerja secara manual melalui persiapan risiko terukur.
Kedua, kapasitas untuk merespon terhadap insiden (emergency response). Bantuan untuk emergency response ini meliputi, antara lain: perkiraan mengenai kerugian dan dampaknya jika terjadi insiden, penghentian perluasan masalah, penggelaran berbagai tindakan pemulihan secara tepat waktu, dokumentasi semua insiden dan langkah pemulihannya, serta peningkatan kualitas langkah-langkah penanganannya.
Oleh karena itu, dibutuhkan model manajemen sekuriti yang lebih mutakhir, yang tidak hanya tangguh untuk persiapan antisipasi insiden, melainkan juga mampu memperbaiki kapabilitas respon pada saat insiden terjadi. Sudut pandang yang lebih holistik mutlak dimiliki, yang didukung oleh kompetensi pada berbagai masalah, delegasi tanggung jawab yang jelas, dan mekanisme berbagi informasi dengan pengelolaan yang berkualitas.
Yang pasti, upaya terbaik harus terus dilakukan. Namun, sulit bagi kita untuk mampu membaca dinamika fenomena ancaman yang mungkin terjadi. Kita masih belum punya jawaban yang mujarab. Proses pembelajaran dari ’best-practices’ dan pengalaman di berbagai fora perlu terus dijalin. Sekuriti bukanlah suatu masalah yang sekali teratasi, masalahnya selesai. Sekuriti adalah suatu proses yang melibatkan pengawasan, modifikasi, dan pemeliharaan secara terus menerus dan
konsisten.• Indra M. Utoyo • Deputy Head, Telkom Multimedia Division,
PT. Telekomunikasi Indonesia, Tbk.
Foto-foto: dok. ebizzasia |
