Kalau bicara soal pengamanan perangkat teknologi informasi (TI) dengan staf TI, pastilah tidak jauh-jauh dari pengamanan server maupun perangkat jaringan. Jarang staff TI membicarakan secara serius pengamanan pada PC (dalam tulisan ini, yang disebut dengan PC adalah termasuk desktop dan laptop). Keadaan seperti ini sering tercermin dari komentar-komentar para staf/manajer TI seperti komentar seorang manajer TI berikut ini, ketika menanggapi temuan audit. “Kami merasa tidak perlu mempergunakan firewall di cabang X karena tidak ada server yang ditempatkan di sana ” (sebagai informasi, cabang X terhubung ke kantor pusat dan sekaligus terhubung ke Internet secara langsung via ISP setempat).

Pemikiran yang lebih mementingkan keamanan server di atas keamanan PC merupakan hal yang wajar, karena memang server umumnya adalah pusat data perusahaan. Tetapi, hal ini tidak berarti pengamanan pada PC tidak penting. Beberapa hal berikut mungkin dapat dijadikan ‘renungan' mengapa keamanan PC, termasuk kesadaran si pemakai akan pentingnya keamanan, tidak dapat dianggap sepele lagi sekarang ini.

Target serangan lebih banyak tertuju pada PC

Agaknya para hacker mulai ‘menyadari' sulitnya menembus pertahanan server akibat adanya proteksi yang cukup kuat dan berlapis, sehingga mereka sekarang banyak mengalihkan sasaran pada PC. Tidak seperti serangan terhadap server yang umumnya langsung tertuju pada obyeknya (server), serangan yang dilakukan terhadap PC umumnya sifatnya pasif. Cara menyerang yang bersifat pasif ini dilakukan dengan mengirim e-mail yang berisikan virus, program trojan, maupun instruksi-instruksi yang dapat merugikan si penerima atau menyediakan situs yang menarik perhatian dan memberikan program-program gratisan yang sebenarnya berisi virus, atau program trojan.

E-mail yang saya terima baru-baru ini seperti tampak pada gambar di atas, seolah-olah dari CitiBank dan menginstruksikan saya untuk mengkonfirmasi account di CitiBank. Waktu menerima e-mail ini, saya sudah curiga karena pertama, saya tidak mempunyai account di CitiBank. Kedua, setelah saya amati lebih lanjut source code -nya, ternyata e-mail ini akan mengarahkan sipenerima ke situs :

http://217.216.211.181:87/cit/index.htm (seperti yang tercetak tebal - dalam Unicode) jika meng-klik isi email tadi, bukan ke situs CitiBank sebenarnya.

Seandainya saya memang mempunyai account di CitiBank mungkin saja saya terkecoh, dan memberikan informasi rahasia saya ke pihak yang tidak bertanggung jawab. Cara seperti ini, yang menunggu si korban memakan umpannya (dengan cara menjalankan program yang dikirim atau mengikuti instruksi yang diminta) sering dinamakan phishing sebagai plesetan dari fishing . (Phishing pernah diulas pada eBizzAsia edisi terdahulu)

Mobile PC: perimeter/gerbang jaringan perusahaan

Sekarang ini semakin banyak karyawan yang mempergunakan laptop untuk dipergunakan di kantor dan diluar kantor. Selain itu, semakin banyak alternatif dan kemudahan akses ke Internet yang ditawarkan seperti dari Telkomnet Instant, Telkomflexi, StarOne, hotspot, cable modem, dan ADSL. Dengan seringnya laptop dipakai tidak hanya untuk mengakses jaringan lokal perusahaan tetapi juga untuk mengakses Internet, menjadikan laptop sasaran antara (intermediate target) yang empuk dan menjadi tumpangan bagi hacker untuk menyerang jaringan perusahaan. Keadaan seperti ini, mengharuskan divisi TI mendefinisikan ulang perimeter jaringan, dan memasukkan laptop sebagai bagian dari perimeter jaringan perusahaan yang perlu dijaga lebih ketat (lihat juga ulasan keamanan dengan judul “Penyusup di Kedai Kopi” pada edisi sebelumnya)

Pengguna PC adalah administrator PC

Umumnya pengguna PC mempunyai hak akses penuh atas PC-nya alias mempunyai hak administrator. Kondisi ini memungkinkan pengguna PC bebas melakukan kegiatan apapun atas PC-nya, termasuk melakukan instalasi sendiri program/aplikasi yang dikehendakinya. Masalahnya adalah tidak mudah menentukan apakah program/aplikasi yang diinstal aman bagi PC dan jaringan. Seorang administrator keamanan sekalipun kadang terkecoh dengan program keamanan yang di- download dari Internet. Sebagai contoh, beberapa program anti-spyware yang dapat di- download secara gratis dari Interent, ternyata berisi spyware juga.

Mengapa sulit mengamankan PC ?

Bagi beberapa praktisi, mungkin pernyataan ini berlebihan. Bagi mereka, PC tidaklah sekompleks server, dan data pada PC tidak sepenting dan serahasia data pada server. Umumnya pengamanan PC hanya identik dengan intalasi program anti-virus.

Mengamankan PC = Mengatur orang

Dari sudut pandang teknologi, alasan bahwa mengamankan server lebih sulit dan lebih kompleks dibanding mengamankan PC dapat diterima sepenuhnya. Tetapi ada satu hal penting yang perlu disadari, yaitu mengamankan PC berarti berhadapan dengan orang yang berbeda karakteristiknya. Dalam mengamankan PC, yang penting adalah bagaimana setiap karyawan mau menerima program pengaman yang terpasang dan menerapkan prinsip kehati-hatian, seperti yang biasanya diisyaratkan pada kebijakan keamanan perusahaan. Menerapkan dan memaksakan ( enforce ) aturan pengamanan pada server jauh lebih mudah dibanding pada PC.

Suatu kali seorang manajer langsung menghapus program anti-virusnya gara-gara pada saat presentasi, program anti-virus tersebut muncul untuk melakukan scanning rutin yang menggangu jalannya presentasi. Lain lagi pengalaman teman saya yang kena semprot (marah) manajer operasi.

Cerita ini bermula ketika teman saya tersebut menerapkan mekanisme yang membuat setiap PC yang login ke server dipaksa men- download database signature anti-virus terbaru (orang sering mengatakan DAT-file). Suatu hari, manajer operasi tersebut perlu dengan segera mengakses e-mail, tetapi akibat mekanisme tadi, menjadikan akses e-mail terhambat. Walaupun proses tadi menurut kawan saya hanya memakan waktu kurang dari 3 menit, tetapi telah membuat si manajer marah besar dan meminta mekanisme baru itu dihentikan.

Urusan keamanan = urusan divisi TI

Seperti yang sering diutarakan, persepsi yang mengangap bahwa urusan keamanan adalah urusannya divisi TI semata, masih banyak dijumpai. Perlunya peran setiap karyawan dalam pengamanan informasi sebenarnya dapat dianalogikan secara sederhana dengan lemari besi dan kuncinya. Divisi TI hanya menyediakan lemari besi dan kuncinya, tetapi yang bertanggung jawab untuk mengunci adalah masing-masing karyawan/divisi yang bersangkutan, bukan divisi TI.

Kunci Keberhasilan

Kunci keberhasilannya, walaupun agak sedikit klise, adalah dukungan pimpinan perusahaan. Setelah dukungan pimpinan perusahaan didapat, langkah penting selanjutnya yaitu program sosialisasi ( awareness ), akan lebih mudah dilaksanakan. Salah satu perusahaan yang melihat pentingnya dukungan pimpinan perusahaan adalah Schlumberger (perusahaan yang bergerak dalam jasa perminyakan).

Tayangan berisi pesan dari pimpinan perusahaan Schlumberger yang menekankan pentingnya menjaga keamanan sistem informasi, selalu menjadi awal dari setiap kegiatan sosialiasi keamanan sistem informasi. Tayangan yang berdurasi kurang dari 10 menit itu, memberi dukungan yang cukup kuat bagi program keamanan sistem informasi dan mengisyaratkan setiap karyawan bahwa keamanan sistem informasi adalah tanggung jawab semua karyawan dan bukan program divisi TI semata.

Tentunya contoh semacam ini tidak selalu mudah didapat. Bahkan seorang manajer TI atau kepala keamanan sistem informasi (CISO) harus ‘berjuang' keras untuk meyakinkan dan mendapatkan dukungan CEO-nya dan tidak jarang gagal. Sehingga ada pakar yang mengatakan, kemampuan ( skill ) utama yang diperlukan seorang CISO bukan pada kemampuan tekniknya, tetapi kemampuan berkomunikasinya.

Agus Pracoyo • channel manager / security consultant pada PT. Indokom Primanusa dengan alamat e-mail: pracoyo@ipnsecurity.com

Foto: dok. ebizzasia