Sebenarnya, dikotomi antara keamanan fisik ( physical security ) dan keamanan sistem informasi (information security atau logical security ) adalah sesuatu yang tidak tepat benar. Orang umumnya mendefinisikan keamanan fisik sebagai suatu mekanisme untuk melindungi properti seperti bangunan, dan fasilitas. Sedang, keamanan sistem informasi adalah mekanisme untuk melindungi data.

Merujuk definisi di atas, apakah kunci pintu ruangan komputer, yang jelas dapat dikategorikan sebagai pengamanan fisik, dapat juga dikategorikan sebagai pengamanan sistem informasi?

Umumnya, orang akan setuju bahwa kunci pintu juga merupakan bagian pengamanan sistem informasi, karena kunci pintu akan mencegah orang yang tidak berkepentingan mengakses komputer dan data yang ada di dalamnya. Tetapi apakah berlaku sebaliknya? Pengamanan sistem informasi menjadi bagian dari pengamanan fisik ?

Dikotomi antara keamanan fisik dan keamanan sistem informasi pada perusahaan juga terlihat pada pemisahan bagian/divisi yang menanganinya. Keterlibatan staf TI dalam pengamanan fisik pada sebagian besar perusahaan, boleh dikata tidak ada. Keamanan fisik, biasanya, menjadi tugas bagian umum. Sebaliknya, dalam pengamanan informasi seperti pengadaan firewall atau anti virus sudah jelas merupakan tugas divisi TI dan bagian umum enggan menyentuhnya.

Pentingnya Koordinasi

Tulisan ini tidak ditujukan untuk memperdebatkan dikotomi istilah, tetapi lebih menyoroti pentingnya koordinasi antara bagian yang menangani keamanan fisik dan keamanan sistem informasi, yang relevan sekarang ini.

Saat ini, masing terlihat rendahnya koordinasi antara bagian yang menangani keamanan fisik dan keamanan sistem informasi. Salah satu contohnya, seperti terjadi pada suatu perusahaan penyedia jasa telekomunikasi. Perusahaan tersebut mempunyai ruang server dengan dua pintu. Pintu pertama terhubung ke ruang kerja staf TI, sedang pintu lainnya terhubung ke koridor dan digunakan untuk keluar masuk barang. Kedua pintu ini akan mengunci secara otomatis jika tertutup. Akses ke ruang server hanya dapat dilakukan dari pintu pertama dengan menggunakan kartu akses, sedang pintu kedua hanya dapat dibuka dari dalam.

Kenyataan yang terjadi adalah, pintu kedua ini sering terbuka (dengan cara diganjal) tanpa pengawasan, terutama jika ada vendor yang bekerja. Alasannya, ‘memudahkan' vendor/kontraktor keluar masuk tanpa harus meminta staf TI untuk membukakan pintu. Kalaupun ada satpam yang lewat, hal ini dianggap sesuatu hal yang lazim.

Contoh lainnya, terjadi pada suatu perusahaan yang menerapkan pengamanan fisik yang cukup ‘OK'. Akses pintu utama dilakukan dengan menggunakan sidik jari ( fingerprint) ditambah kamera pengawas yang terhubung ke komputer sebagai pengatur kamera dan perekam digital. Komputer ini juga dihubungkan melalui jaringan data ke komputer koordinator satpam untuk tugas monitoring . Sayangny,a baik komputer yang berisi database sidik jari maupun komputer untuk tugas pengatur kamera dan perekam gambar diletakkan di pojok ruangan pantry, yang dipisahkan dengan bagian pantry lainnya hanya oleh penyekat tanpa pintu. Yang lebih memprihatinkan lagi, tidak adanya password sebagai kontrol akses ke komputer pengatur kamera.

Contoh pertama di atas menunjukkan rendahnya kesadaran staf TI dan juga Pak Satpam akan pentingnya keamanan fisik terhadap keamanan sistem informasi (walaupun kalau disurvei, dapat dipastikan 100% staf TI akan setuju bahwa keamanan fisik penting).

Sedangkan contoh kedua menunjukkan sebaliknya, rendahnya kesadaran (atau ketidaktahuan ?) akan dampak ganguan atas sistem informasi terhadap keamanan fisik.

Banyak pihak yang tidak atau belum melihat hubungan pengaruh keamanan sistem informasi terhadap keamanan fisik. Mereka mempertanyakan, apa mungkin seorang hacker melalui Internet membuka pintu ruangan yang terkunci tanpa membongkar pintu? Hal ini pula yang ditangkap oleh Dan Verton, mantan staf intelejen angkatan laut Amerika dalam bukunya yang berjudul “Black Ice – The invisible Threat of Cyber-Terrorism”. Dan Verton mengatakan “Many Internet security analyst and observers have refused to acknowledge the physical aspects of cyber-terrorism ..”

Beberapa orang tidak menyadari bahwa pengamanan fisik dewasa ini banyak dipengaruhi oleh teknologi sistem informasi. Sekarang ini sudah umum peralatan kamera dan perekamnya dihubungkan ke jaringan data. Di beberapa tempat orang dapat menggunakan fasilitas bluetooth pada handphone untuk membeli minuman dari vending machine , atau membuka/menutup pintu rumah serta mematikan/menghidupkan mesin mobil lewat fasilitas GPRS ( Global Packet Radio service ).

Di suatu perusahaan multinasioal jasa perminyakan, keterkaitan antara pengaman fisik dan teknologi sistem informasi begitu tinggi. Perusahaan tersebut sudah menerapkan sistem yang disebut “one (ID) for all” alias satu kartu akses (berupa Smart Card ) dapat digunakan untuk autentikasi akses fisik, akses jaringan, bahkan untuk auto debet gaji atas pembayaran makanan di kantin perusahaan. Dengan sistem tersebut pula, memungkinkan seorang karyawan di suatu lokasi untuk meminta akses fisik pada fasilitas di lokasi lainnya secara on-line .

Contoh di atas cukup kuat untuk menjadi jawaban atas keraguan mengenai pengaruh keamanan sistem informasi terhadap keamanan fisik.

SCADA

Hubungan yang kuat antara keamanan fisik dan keamanan sistem informasi juga dilihat US Department of Energy, terutama terhadap sistem Supervisory control and data acquisition (SCADA). Bahkan, mereka mengkategorikan keamanan sistem SCADA sebagai isu nasional (Amerika).

SCADA merupakan sistem elektronik yang digunakan untuk memonitor dan mengontrol suatu perangkat pemrosesan. Pada sektor energi, SCADA digunakan untuk mengontrol transmisi dan distribusi arus listrik, mengatur buka/tutup keran minyak dan gas pada pipa-pipa dan reservoir , mengatur debit air dari waduk untuk keperluan pembangkit tenaga listrik. SCADA juga digunakan oleh sektor lainnya untuk keperluan, misalnya mengontrol dan memonitor pemrosesan bahan-bahan kimia, proses sanitasi air, dan sebagainya.

Menurut laporan US Department of Energy bulan July 2003, banyak sistem SCADA yang dirancang tanpa atau sedikit sekali memperhatikan faktor keamanan. Sebagai contoh, data yang dikirim melalui sistem SCADA dilakukan melewati jaringan kabel publik ataupun jaringan nirkabel tanpa enkripsi. Protokol yang digunakan untuk menerima perintahpun dapat diakses tanpa autentikasi.

Selain itu, beberapa sistem SCADA menggunakan sistem operasi yang tidak aman. Kerentanan-kerentanan di atas jelas-jelas memberi peluang besar bagi orang untuk melakukan eksploitasi terhadap sistem SCADA. Di samping itu, karena sistem SCADA sifatnya real-time, maka ketersediaan sistem tersebut menjadi sangat penting. Bayangkan jika perintah membuka saluran gas untuk mengurangi tekanan pada reservoir tidak sampai ke sistem SCADA, karena jalur data menjadi penuh akibat denial of service attack .

Harmonisasi

Harmonisasi keamanan fisik dan keamanan sistem informasi dalam bentuk satu koordinator maupun kerjasama yang lebih erat akan sangat menunjang pengamanan secara keseluruhan. Ada banyak efisiensi dan keuntungan yang didapatkan dengan adanya harmonisasi mekanisme pengamanan.

John Pontrelli menyebutkan antara lain:

• Lebih memotivasi anggota tim keamanan karena adanya pelatihan silang (spesialisasi tetap pada masing-masing bagian).
• Perencanaan keamanan perusahaan menjadi lebih komprehensif.
• Program sosialisasi keamanan untuk seluruh karyawan menjadi lebih komprehensif.

Agus Pracoyo • channel manager / security consultant pada PT. Indokom Primanusa dengan alamat e-mail: pracoyo@ipnsecurity.com

Foto: dok. ebizzasia