Saat ini, boleh dibilang, kebanyakan perusahaan menyadari berbagai masalah yang mereka hadapi, seperti serangan virus, e-mail spam dan lainnya, yang membuat mereka semakin menyadari perlunya melakukan sesuatu yang terkait dengan security . Mereka menyadarinya, tapi kebanyakan perusahaan tak tahu bagaimana melakukannya. Tak jarang mereka begitu saja membeli firewall, intrusion detection system dan segala sesuatunya dan mereka terfokus di perbatasan (yang menghalangi orang lain masuk ke sistem), tetapi sebenarnya mereka belum menyentuh masalah mereka sesungguhnya – apa yang akan mereka lindungi.

Seringkali mereka telah menghabiskan banyak uang untuk mengamankan koneksi Internet dan situs web mereka, tetapi perusahaan mereka sangat terbuka. Misalnya saja, suatu bank yang telah menerapkan berbagai perangkat security , seperti firewall dan mesin mereka dijaga dengan ketat, orang-orang akan mengakses juga dilengkapi dengan password dan lain sebagainya. Mereka merasa itu semua sudah cukup untuk melindungi keamanan data dan informasi mereka.

Anthony Zboralski, Praktisi Information Security & Konsultan PT Bellua Asia Pacific

Tapi, itu semua adalah perlindungan yang bersifat dari luar, padahal dari beberapa kasus mengenai security ini, ancaman itu bisa datang justru dari dalam perusahaan, tak semuanya dari luar. Baik itu diakibatkan oleh orang dalam (karyawan) maupun orang lain yang tak jarang mengakses dari dalam lingkungan suatu perusahaan.

Misalkan Anda seorang karyawan dari suatu perusahaan, dan Anda tentu memiliki akses terhadap jaringan perusahaan, dimana pada saat yang sama ada hacker yang berasal dari luar masuk ke jaringan Anda itu. Dia bisa masuk ke berbagai bagian, misalnya saja bagian keuangan, akuntansi atau HRD untuk melihat data payroll dan mengambil data atau melakukan perubahan lainnya, seperti transaksi. Tetapi, hal itu bisa juga dilakukan oleh orang dalam perusahaan yang memang sangat tahu mengenai sistem dan mesin yang diterapkan oleh perusahaan. Masalahnya tak selamanya datang karena dilakukan oleh orang luar.

Di Indonesia, dalam beberapa kasus bisa saja orang masuk ke perusahaan, apalagi kalau dia orang asing, maka penjagaannya tak begitu ketat. Maka ketika orang ini, misalnya minta izin untuk masuk ke ruang konperensi atau ruang pertemuan yang memang memiliki akses ke jaringan, hal itu biasanya kurang begitu diperhatikan. Apalagi kalau yang datang orang bule, mereka akan dengan mudah membiarkannya masuk tanpa perlu tahu lagi apa yang mereka lakukan. Orang Indonesia juga bisa, tetapi mereka harus berpakaian rapih, pakai jas dan dasi. Apa yang terjadi, ketika si orang tersebut berada di ruang itu, ia dapat dengan mudah masuk ke dalam jaringan perusahaan, karena aksesnya memang ada di sana .

Masalah lainnya adalah ketika perusahaan Anda menggunakan akses nirkabel, maka tak jarang akses ke jaringan itu tak begitu diperhatikan. Akses nirkabel mereka, meski ada berbagai fitur yang memungkinkan mereka membuat setting yang sesuai dengan kebutuhan mereka, namun biasanya hal itu masih terset dalam posisi default , jadi setting- nya masih belum dirubah. Tak jarang, meski Anda berada di basement suatu gedung misalnya, kalau Anda membawa laptop, kemungkinan besar Anda dapat mengakses ke jaringan perusahaan yang ada di gedung itu – sangat terbuka sekali.

Anda juga dapat mencoba misalnya Anda jalan-jalan di jalanan Jakarta , dengan menggunakan laptop sebenarnya Anda bisa mendeteksi adanya komunikasi data yang khususnya menggunakan akses nirkabel. Karena, kalau Anda membeli laptop yang telah dilengkapi akses nirkabel, maka by default dia akan mendeteksi local network .

Begitu juga, kalau Anda menggunakan laptop yang sama dalam suatu gedung, bisa jadi Anda akan masuk ke jaringan lokal suatu perusahaan, dan bila ada perusahaan lain yang juga memiliki titik akses yang terbuka ( open access point ), maka Anda akan bisa masuk ke jaringan perusahaan itu, dan masuk ke arsip-arsip perusahaan itu, atau sebaliknya. Tapi, sayangnya, tak banyak orang yang menyadari hal itu. Mereka merasa telah membeli dan menerapkan tool-tool security, firewall dan lain sebagainya.

Saya pernah melakukan penetration test menyangkut jaringan point to point antara suatu kantor pusat bank dengan kantor-kantor cabang mereka, yang ternyata kita bisa melihat komunikasi data yang terjadi, misalnya saja data nasabah, transaksi perbankan lengkap dengan nomor akonnya ( account number ) dan data lainnya. Ini merupakan masalah-masalah yang belum begitu menjadi perhatian kalangan perusahaan, padahal data perusahaan itu sangat penting bagi bisnis mereka.

Karenanya, menurut pendapat saya, meski Anda telah membeli berbagai produk security dan menerapkannya, tetapi kalau Anda terlalu terfokus pada isu-isu teknologi saja, maka Anda akan kehilangan isu-isu lain yang sesungguhnya sangat penting dalam konteks bisnis Anda. Anda memang harus mengelola aspek teknis, misalnya mail server , titik askses dan lainnya, tapi perhatikan juga aspek-aspek lainnya. Jadi, kalau Anda lebih fokus pada suatu area, maka Anda boleh jadi melupakan masalah typical security- nya.

Dari beberapa kejadian yang saya sebut tadi, itu lebih karena mereka kurang menyadari, dan lebih terfokus pasa aspek-aspek teknologi, sehingga aspek lainnya terabaikan. Padahal, nyatanya, aspek lainnya itu tak bisa dianggap enteng, karena ia memungkinkan orang masuk ke jaringan, bahkan, secara legal.

Mestinya, mereka juga menyadari bahwa mereka harus memperhatikan aspek-aspek yang juga penting, yakni misalnya layer-layer dalam jejaring mereka, termasuk akses internet, aplikasi-aplikasi yang mereka gunakan, sistem operasi dan lain sebagainya.

Perusahaan Anda memang harus menerapkan perangkat-perangkat security seperti firewall dan lainnya itu. Saya tak mengatakan Anda tak memerlukan hal itu. Itu jelas sangat perlu, tetapi jangan terpaku di situ saja. Ambil contoh masalah password , tidak di Indonesia , tidak di Negara lainnya. Password ini, biasanya dibuat dalam variasi angka dan kuruf, dan seringkali mudah ditebak; bisa tanggal lahir, nama pacar atau istri, atau binatang peliharaan kesayangan.

Banyak hal lain yang terkadang sebenarnya sangat sederhana, tetapi justru sangat potensial menembus sistem Anda. Misalnya saja, Anda mencoba menelepon ke suatu bank dari luar dengan mengatakan bahwa Anda seorang dari departemen TI dan ditugasi untuk memperbaiki jaringan perusahaan. Dengan sapaan yang ramah, Anda coba menanyakan password mereka dengan alasan karena Anda akan mengeceknya dari tempat Anda, dan Anda tak bisa mengetahui bahwa pekerjaan Anda telah berhasil baik, sebelum mengecek e-mail dari luar. Dan, seringkali dengan mudah Anda akan memperoleh password itu. Ini merupakan satu contoh dimana masalah security ini sangat banyak dimensinya dan harus menjadi perhatian yang sungguh-sungguh.

Masalah-masalah seperti ini tak hanya terjadi di Indonesia , bahkan di negara-negara yang lain juga terjadi, seperti di Amerika atau di Eropa. Karena komputer ini kan memang masih baru. Kalau kita berbicara mengenai perusahaan, yang melibatkan begitu banyak orang, penggunaan komputer ini masih membutuhkan tingkat literasi yang lebih baik lagi. Insa/Arief/Muf

Foto-foto: Muflihun.