See, Feel, Think, and Write

Kalau saya malah berpikir kenapa ngga dijaga di sumbernya ya?

Maksud saya, kebocoran rahasia negara lebih sering terjadi dari sumber informasi dimana informasi tersebut berasal. Mungkin dari karyawan yang ember, tukang fotocopy, dll. Saya kok yakin sebagian besar informasi yang seharusnya “classified” tapi muncul di media massa itu terjadi di lemahnya control atas informasi di sumber informasi tersebut berada.  Atau coba saja main ke kios2 fotocopy di sepanjang jalan Bendungan Hilir. Kalau Anda beruntung, diantara dokumen2 yang diperbanyak di situ ada dokumen yang sebenarnya berkategori “classified”

Kenapa tidak dibuat Information Security policy termasuk di dalamnya berisi information security classification di lembaga masing-masing dan kemudian meyakinkan penerapannya benar2 dipatuhi. Saya kok yakin cara tersebut lebih efektif daripada membuat UU yang implementasinya malah akan “diterjemahkan secara bebas” oleh pelaksana2nya.

Lebih murah dan efektif!

=======================================

dari detikcom

Jakarta – Tuntasnya pembahasan RUU Rahasia Negara di tingkat panitia kerja (panja) Komisi I DPR membuat masyarakat sipil was-was akan golnya RUU kontroversial tersebut pada rapat paripurna DPR.

Untuk mengantisipasi hal itu, 70 tokoh menolak rezim kerahasian akan menggalang kekuatan untuk mendesak dewan menunda pengesahan RUU yang mengancam demokrasi tersebut.

“Kita akan menandatangani petisi. Kalau tidak Selasa atau Rabu akan kita deklarasikan,” kata Ketua Yayasan Sains Estetika dan Teknologi, Agus Sudibyo saat dihubungi detikcom, Minggu (13/8/2009).

Selain mendeklarasikan penolakan RUU Rahasia, 70 tokoh ini rencananya juga akan bertemu dengan presiden dan ketua DPR. Agus meminta anggota dewan yang akan meloloskan RUU Rahasia Negara agar berpikir ulang mengenai apa yang akan dilakukannya.

“Saya mengimbau kepada teman-teman DPR, tolong dibaca lagi pasal per pasal. Ini akan kontraproduktif bagi kebebasan informasi, kebebasan pers, dan pemberantasan korupsi,” pinta Agus.

Seperti diketahui, RUU Rahasia Negara yang merupakan inisiatif pemerintah dikebut pembahasannya oleh pemerintah dan DPR dengan target pengesahan sampai akhir periode ini, akhir September 2009. Padahal, RUU Peradilan Militer yang sangat krusial ‘digantung’ pembahasannya sejak masuknya draf pada Juli 2005. (lrn/lrn)

Penasaran untuk tahu bagaimana akhirnya …. Ujian buat UU ITE dan pelajaran mahal buat pengguna internet. Siapa yang akan menang?

Btw. bukannya seharusnya yang “kena” adalah yang forward ya?

======================

Rabu, 19 Agustus 2009 | 12:40 WIB

JAKARTA, KOMPAS.com — Dokter Rumah Sakit Omni Internasional Tangerang yang memejahijaukan Prita Mulyasari, dr Hengky, mengaku mengalami penurunan jumlah pasien sejak surat elektronik (e-mail) Prita menyebar ke khalayak. Oleh karena itu, dia melalui kuasa hukum RS Omni Internasional Tangerang melaporkan Prita ke kepolisian.

“Ya (e-mail itu mendiskreditkan saya). Pasien saya turun drastis karena takut,” ujarnya di ruang sidang utama Pengadilan Negeri Tangerang, Rabu (19/8).

Hengky juga merasa geram setelah membaca e-mail Prita. Dia mengetahui e-mail itu dari teman-temannya. Prita, dalam e-mail itu menyebutkan, agar teman-temannya berhati-hati dengan dr Hengky.

Pada e-mail itu Prita menuliskan, “Saya informasikan, dr Hengky juga berpraktik di RSCM. Saya tidak menyebutkan RSCM jelek. Tapi lebih hati-hati terhadap dokter ini.”

“Saya merasa itu tidak benar. Tidak sesuai fakta. Saya kesal Yang Mulia,” tukas Hengky.

Catatan berikut adalah untuk menunjukkan betapa usaha untuk meningkatkan keamanan akan menimbulkan ketidaknyamanan, dan terkait langsung dengan kegiatan sosialisasi untuk meningkatkan kesadaran (“awareness”) bagi pihak-pihak yang terkait.

Case 1

Ceritanya gedung tempat saya berkantor sedang menerapkan “access card” sebagai tambahan keamanan. Kepada setiap karyawan yang bekerja di gedung itu diberikan kartu ID yang mesti ditempelkan ke sensor yang ada di “gate” (seperti yang ada stasiun MRT -kalau Anda tahu maksud saya) untuk bisa masuk dan keluar area perkantoran. Yang saya maksud area perkantoran di sini adalah akses ke lift menuju lantai perkantoran. Diluar karyawan yang bekerja di sana mesti mengambil “visitor card” di meja receptionis dengan meninggalkan identitas pengenal.  Sebelumnya, perimeter keamanan yang ada hanya pemeriksaan kendaraan dan pemeriksaan fisik dengan sensor di pintu masuk gedung.

Penerapan perimeter berlapis seperti ini tentu dimaksudkan untuk lebih memberi rasa aman kepada para “tenant” dan  tentunya sudah memperhitungkan aspek manajemen risiko, yakni keseimbangan antara perimeter “control” yang dipilih serta dampak risiko yang mungkin terjadi.

Dalam menerapkan “access card” ini manajemen gedung sebenarnya telah melakukan sosialisasi jauh-jauh hari sebelum implementasi. Pun, satu bulan dipakai sebagai periode transisi, dimana masih diperbolehkan penggunaan kartu orang lain, bantuan oleh petugas, serta review terhadap teknologi yang dipergunakan.

Nah, problem yang sebenarnya baru muncul ketika periode transisi berakhir. Ketika untuk bisa keluar, mesti masuk dulu. Ketika non-penghuni mesti mempergunakan kartu “visitor” agar bisa masuk. Ketika bantuan petugas dikurangi. Ketika teknologi yang dipergunakan mulai menghadapi “peak performance” yang sebenarnya dan mulai “ngadat”

Di jam-jam sibuk seperti jam makan siang dan pulang, terjadi antrian berlebihan di “gate” sehingga muncul complain dari penghuni gedung yang sekarang mesti antri untuk keluar masuk. Apalagi bila ia sudah telat untuk hadir di meeting … sial aja buat petugas yang ada di situ

Pengamatan saya, beberapa faktor berikut berperan dalam “kekacauan” tersebut:

1. Manusia (yang tidak disiplin). “Access card” tertinggal atau sengaja tidak dipakai karena berbagai alasan, tamu yang tidak mempergunakan “visitor card” karena datang bersama penghuni dan mempergunakan kartu milik penghuni sehingga penghuninya malah ngga bisa masuk.
2. Jumlah kartu “visitor”.  Kebetulan di tower tempat saya terdapat sebuah perusahaan asuransi besar yang Anda tahu sendiri sering mendapat kunjungan dari agen-agennya yang jumlahnya mungkin ribuan. Sehingga ketika kartu “visitor” habis, maka diperlukan “exception procedure” yakni bantuan dari petugas untuk membukakan “gate”.  Problem akan muncul bila ketika tamu tersebut akan keluar dan petugas tidak ada.
3. Teknologi. “Tidak boleh keluar sebelum masuk”. Sistem akan melakukan validasi atas kartu. Semakin lama semakin banyak data sehingga waktu proses semakin lama. Response time semakin lambat. Belum lagi bila ada kartu rusak atau “gate” rusak.

Dari ketiga faktor tersebut yang paling dominan dan perlu mendapatkan perhatian lebih menurut saya adalah faktor Manusia. Faktor ini adalah faktor yang paling sulit. Manusia merupakan makhluk unik dan kompleks sehingga memerlukan pendekatan yang khusus. Apabila sosialisasi melalui surat edaran memang kurang efektif,  mungkin perlu dipikirkan metode sosialisasi khusus untuk meningkatkan awareness terhadap risiko. Tujuan kenapa mesti ada pemeriksaan kendaraan, fisik dan “access card” mungkin perlu dijelaskan.

Bagaimanapun “Exception procedure” adalah bukan prosedur yang diharapkan untuk dilakukan rutin. Apabila terlalu sering terjadi “exception procedure” maka tujuan penerapan perimeter “control” itu sendiri tidak akan tercapai.  Such a waste.

Setelah terlewat beberapa kali acara Security Night, akhirnya Kamis malam, 18 Desember 2008, lalu saya berhasil juga datang ke acara rutin milik Komunitas Keamanan Informasi (KKI) ini. Kemarin, sebagai tuan rumah adalah rekan-rekan ABFI PERBANAS, di kampusnya di seputaran Kuningan, Jakarta Selatan. Topik malam itu adalah Cybersafe dan Krisis Ekonomi.

Sedikit molor dari jam yang tertera pada undangan karena menunggu beberapa rekan yang terjebak gerimis dan macetnya Jakarta di sore itu, tepat jam 19.15 acara dibuka.

Presentasi pertama oleh Irwin dari Asosiasi Warung Internet Indonesia (AWARI) yang membawakan project OpenDNS dari AWARI yang diberi nama NAWALA.

Secara singkat, OpenDNS adalah alternatif Domain Name Server (DNS) yang dapat dipergunakan sebagai pengaman dalam berinternet. NAWALA akan melakukan filtering terhadap situs-situs yang terkategori pornografi, judi, adware/malware dan phising. Keuntungannya, pengguna tidak perlu repot-repot melakukan filtering di sisi end-point (PC), cukup dengan mengarahkan alamat DNS ke OpenDNS ini.

Alamat OpenDNS ini adalah:
203.34.118.10 (primary)
203.34.118.12 (secondary)

Meski tujuan project ini adalah untuk memberikan perlindungan pada pengguna warnet terhadap ancaman-ancaman dunia maya yang semakin gencar, tidak menutup kemungkinan OpenDNS ini dapat dipergunakan di lingkungan pengguna rumahan dan sekolah-sekolah.

Secara lengkap, informasi mengenai project ini dapat dilihat di:

http://awari.or.id

Presentasi kedua oleh Gildas dari KKI mengenai implementasi praktis security budget di saat anggaran security dipangkas karena krisis ekonomi. Beberapa yang bisa dilakukan adalah klasifikasi terhadap aset informasi, pengendalian terhadap akses ke sistem informasi (termasuk management password, rotasi karyawan, dll) dan juga penggunaan (sekaligus demo) tools open source dalam enkripsi.

Malam itu disinggung juga persiapan HKKI tahun 2009. Dan yang istimewa di malam itu hadir Duta KKI yaitu Syaharani!

Secara resmi acara berakhir jam 22.20, meski prakteknya masih banyak yang tinggal untuk ngobrol. Tapi, saya sudah mesti balik karena masih harus nyetir 50 menit lagi ke rumah

Yang namanya surat kaleng sampai kapanpun rasanya bakal tetep ada … cuma bentuknya saja yang berubah. Dulu pake amplop tanpa nama pengirim, sekarang sejalan dengan perkembangan teknologi … berubah menjadi email tanpa identitas pengirim yang jelas (tolong bedakan dengan Spam).

Caranya? Amat mudah … tinggal create alamat email gratisan, cari nama palsu, ketik dan kemudian klik “send”. Apabila Anda punya literasi komputer yang cukup baik (baca: seorang cracker), Anda bahkan bisa mengirimkan email atas nama Barrack Obama. Mungkin itu sebabnya dalam UU ITE, diperlukan “Tanda Tangan” elektronik untuk memastikan si pengirim adalah benar-benar pengirim yang sebenarnya.

Sebenarnya, dengan tehnik tertentu, pelacakan email (untuk mencari tahu dari mana email tersebut dikirim dan apabila kita beruntung -siapa pemiliknya) masih mungkin dilakukan asalkan informasi/jejak tertentu tersedia pada email tersebut. Umumnya, informasi itu ditampilkan secara default. Nah, serunya … dengan alasan privacy policy ada email gratisan yang sengaja tidak mencantumkan informasi ini dalam email yang dikirimkannya. Sehingga diperlukan cara lain seperti misalnya social engineering, laporkan ke polisi atau laporkan ke provider email gratisan tersebut. Cara manapun yang akan diambil, tetap perlu tenaga, waktu, pikiran dan bahkan biaya.

Intinya, selama masih ada ketidakpuasan, ketidakberdayaan, ketakutan, iri, dengki, dll …. rasanya buat sebagian orang cara ini dianggap cocok. Kalau kebetulan Anda menerima surat (email) “kaleng” dan ingin tahu siapa pengirimnya, mungkin yang Anda perlu cek dulu apakah Anda punya tenaga, waktu, pikiran dan juga biaya. Kalau jawabannya “ya”, mungkin banyak konsultan “underground” yang bersedia melakukannya untuk Anda. Tapi kalau jawabannya “tidak” … ya, anggap saja sebagai kritik membangun dan bahan introspeksi

DISCLAIMER:
Ini bukan berarti saya suka mengirim email “kaleng” atau mengajari Anda-Anda untuk mengirimkan email “kaleng” lho ya …. hehe

Sabtu lalu ada kejadian yang bener-bener bikin kesel. Kejadiannya di Supermal Karawaci.

Ceritanya, ketika sedang perlu uang cash sehingga terpaksa cari ATM Center. Karena antrian di bank yang berlogo biru-putih sedang panjang, akhirnya saya putuskan untuk menuju ke sebuah mesin milik bank yang logonya bernuansa hijau, kuning dan orange.

Ngga ada yang aneh, masukkan PIN, masukkan jumlah yang diinginkan, dan … tiba-tiba wusss, kartu ATM saya hilang. Iya … ditelan sama mesin itu! Di layar ada tulisan yang kurang lebih, “Maaf, Kartu Anda kadaluarsa, untuk menjaga keamanan, maka kartu Anda kami tahan. Silakan hubungi Customer Service kami “

Apa-apaan ini? Seketika saya telepon hotline bank tersebut, dan dijawab bahwa kartu saya memang sudah kadaluarsa sejak Juli. Ketika saya tanya kenapa tidak ada alert atau warning, si mbak bilang, bukannya expiry datenya ada tertulis di kartu itu. Halah … ini kan kartu ATM, bukan Credit Card? Baru kali ini saya tahu ada kartu ATM yang punya expiry date. Risk-nya apa ya? Bukannya proteksi utamanya ada di kombinasi antara kartu ATM dan PIN? Atau jangan-jangan kartu ini lebih dari sekedar ATM?

Semakin aneh nih Bank, sepertinya sudah waktunya tutup rekening.

Hari gini kalau mau jadi security officer mesti juga bisa Computer Forensics. At least jika ada insiden keamanan komputer yang memerlukan sedikit sentuhan forensik seperti bongkar hard disk, recover data yang sengaja dihapus, bongkar-bongkar system log dan sebagainya. Soalnya, kalau ada kasus di kantor, misalnya ada laporan “file gw kok tiba-tiba ada di compie orang laen sih, padahal ngga pernah gw kasih ke dia deh,” atau, “email gw rasanya dibongkar orang deh,” pastinya yang dipanggil juga security officernya. 

Apalagi sekarang kan sudah ada UU ITE 2008, apabila salah dalam penanganan evidence elektronik, bakal susah untuk diteruskan ke tahapan selanjutnya. Pengadilan, misalnya.

Btw, ini bicara authorized access ya …

Ternyata banyak juga software khusus untuk keperluan ini. Yang bayar ada, yang gratis (misalnya di www.opensourceforensics.org) juga ada. Saya juga sudah mulai melihat beberapa buku tentang ini di toko buku. Selain itu, sumber-sumber di internet juga banyak.

Bahkan, kalau mau serius … sertifikasinya juga ada. Di Indo, laku ngga ya ???

Berikut adalah konsep penting lain dalam Information Security Management:

Identifikasi
sarana dimana pengguna menunjukkan identitas mereka ke sebuah sistem. Misalnya: untuk access control.

Otentikasi
proses pembuktian identitas pengguna. Proses ini bertujuan untuk memastikan bahwa pengguna adalah benar-benar sesuai dengan identitas yang ditunjukkan.

Akuntabilitas
kemampuan sistem untuk menentukan segala tindakan yang dilakukan pengguna. Contoh: audit trail dan audit log.

Otorisasi
hak dan ijin yang diberikan pada seseorang atau proses, pada sebuah sistem. Otorisasi akan menentukan sampai sejauh mana hak akses diberikan.

Privacy
Tingkat kerahasiaan dan privacy yang diberikan pada pengguna oleh sistem.

Berikut adalah tiga prinsip dasar dari information security yang sering disebut sebagai “The Big Three” yaitu: Confidentiality, Integrity dan Availability ( C I A).

Confidentiality
konsep ini memastikan bahwa informasi tidak dapat dibuka oleh orang yang tidak berhak baik disengaja ataupun tidak.

Integrity
Integrity memastikan bahwa:

• informasi tidak diubah oleh orang yang tidak berhak
• perubahan pada informasi hanya dilakukan secara sah (oleh orang atau proses)
• data konsisten baik internal ataupun eksternal

Availability
menjamin tersedianya informasi pada saat dibutuhkan.

Kebalikan dari C I A adalah D A D (Disclosure, Alteration and Destruction)

… bersambung