740 likes | 1.13k Views
Keamanan Informasi dan Aspek Legal Teknologi Informasi. MMTC, 26 Maret 2012. BACKGROUND. ICT changed the world: people interaction, workplace, lifestyle, business, government, art & culture. More dependencies to the technology & more risk. Now, this is the world of online society
E N D
Keamanan Informasi dan Aspek Legal Teknologi Informasi MMTC, 26 Maret 2012
BACKGROUND • ICT changed the world: people interaction, workplace, lifestyle, business, government, art & culture. More dependencies to the technology & more risk. Now, this is the world of online society • Competition to gain ICT supremacy will be easily burn political issues causing uncontrolled widespread cyber warfare involving many group of interest that could be very difficult to identify who they really are & to detect their presence. So how to prevent, protect & manage national ICT resources are the most necessary & prior things to do & how to build effective preemptive measure • ICT will become the most fragile & critical infrastructure. Since it was internetworked so every node are related. There is no way to stop the threat or attack by simply turning off the system
Apakah informasi itu? • Dari perspektif Keamanan Informasi • Informasi diartikan sebagai sebuah ‘aset’; merupakan sesuatu yang memiliki nilai dan karenanya harus dilindungi • Nilaisecara intrinsik melibatkan subyektivitas yang membutuhkan penilaian dan pengambilan keputusan
Informasimenjadi“Bernilai” Dilihatdari : • Isidariinformasitersebutbernilaistrategis • Keadaan / Situasi • Person yang memilikidanmengkomunikasikan informasi (Semakintinggijabatanseseorang, semakinbesar nilaiinformasi yang disampaikan).
ANCAMAN TERHADAP INFORMASI RAHASIA • ANCAMAN LOJIK contoh: kriptanalisa, cracking, virus komputer, dll • ANCAMAN FISIK contoh: pencurian data/informasi, pencurian alat, penyadapan, mengganggu sinyal (jamming), pengrusakan dan bencana alam. • ANCAMAN ADMINISTRASI Contoh: penggandaan data yang berlebihan, tidak adanya pengklasifikasi berita/rahasia, pelanggaraan akses terhadap informasi/data
Filosofi Keamanan Informasi Di dunia cyber Semuanya tercatat • Bagi penjahat : pasti tertangkap • Bagi kita : Berhati-hati dalam memberikan informasi
Tujuan Keamanan Informasi CONFIDENTIALITY (Kerahasiaan) • Pesan saya hanya bisa terbaca oleh penerima yang berhak INTEGRITY (Integritas) • Informasi yang terkirim dan diterima tidak berubah AVAILABITY (Ketersediaan) • Saya bisa menggunakan kapan saja
Penjaminan Informasi • Penggunaan operasi2 informasi untuk melindungi informasi, sistem dan jaringan informasi, dengan cara memastikan: ketersediaan, integritas, keaslian, kerahasiaan dan non-repudiasi, dengan mempertimbangkan resiko akibat ancaman dari lokal atau tempat yang jauh melalui jaringan komunikasi dan Internet. • Tanpa adanya penjaminan informasi, suatu organisasi tidak mempunyai kepastian tentang informasi yang diperlukan untuk pengambilan keputusan penting, adalah andal, aman, dan tersedia saat dibutuhkan
Keamanan Informasi • Konsep, teknik dan hal-hal yang terkait dengan kerahasian, ketersediaan, integritas, keaslian dari informasi • Teknik: enkripsi, digital signature, intrusion detection, firewall, kontrol aksesdll • Manajemen: strategi, desain, evaluasi, audit • Standar dan sertifikasi
Big picture Y. Qian et al., 2008
Standar Kegiatan Keamanan Informasi • ISO [International Standards Organization]ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada keamanan administratif • CISA [Certified Information Systems Auditor]CISA fokus pada kegiatan audit dan pengendalian sistem informasi • CISSP [Certified Information Systems Security Professional]CISSP fokus utamanya pada keamanan teknis
Alamat e-mail Nama Nomor lisensi mobil Hubungan keluarga Nomor kartu kredit Nomor telepon Karakteristik fisik Alamat Konsep Privasi (1) • Apakah “Informasi Pribadi”?Secara sempit, Informasi pribadi adalah informasi yang berkaitan dengan individu yang dapat diidentifikasi atau orang yang teridentifikasi. Informasi Pribadi, definisi sempit
Detail transaksi Informasi Kredit Latar belakang akademik Detail panggilan telepon Evaluasi Karir Catatan kriminal Pendapat Konsep Privasi (2) • Apakah “Informasi Pribadi”?Dalam pengertian lebih luas, mencakup informasi pribadi seperti informasi kredit, detail transaksi, detail panggilan telepon, latar belakang akademik, karir, evaluasi/opini, dan catatan kriminal. Informasi Pribadi, Definisi Luas
Konsep Privasi (3) • Informasi Pribadi dan Privasi • Akses, pengumpulan, analisis, dan penggunaan informasi pribadi yang tidak pantas berdampak pada perilaku pihak lain terhadap pribadi yang bersangkutan dan pada akhirnya berdampak negatif terhadap kehidupan sosial, harta benda, dan keselamatan-nya. • Oleh karena itu, informasi pribadi harus dilindungi dari akses, pengumpulan, penyimpanan, analisis dan penggunaan yang salah. Dalam hal ini, informasi pribadi adalah subyek perlindungan.
Aspek Keamanan Informasi Ancaman (THREATS) • Segala sesuatu yang bisa mengganggu operasional, fungsi, integritas dan ketersediaan sebuah sistem informasi Kelemahan (VULNERABILITIES) • Kelemahan dari desain, konfigurasi dan implementasi sebuah sistem informasi yang membawanya rentan terhadap ancaman • Setiap 10 ribu code programming minimal ada satu cacat / hole. • 102 Milyar code dihasilkan dalam sehari 10,2 juta hole lahir dalam sehari
Aspek Keamanan Informasi Serangan (ATTACKS) Tehnik khusus yang digunakan untuk mengekploitasi kelemahan yang ada dalam sebuah sistem informasi • Serangan Pasif: Mengumpulkan informasi dgn cara monitoring dan recording traffic di jaringan atau dengan social engineering • Serangan Aktif : aksi langsung pada sistem komputer
Jenis-jenis serangan • Hacking • Denial of service • Kode berbahaya (malicious code) • Social engineering
Contoh-contoh kasus • 2010 – Wikileaks • 2010 – Virus Stuxnetmenyerang PLTN di Iran • Ags 2008 – SeranganInternetterhadapSitus webGeorgia • Apr2007 – SeranganCyberterhadap Estonia • Sep 2005 – KontroversiKartun Muhammad (Jyllands-Posten) • Mei 2005 – Malaysia-Indonesia • Apr 2001 – Sino-AS Nilai kerugian?
Peningkatan Keamanan (1) • Pengamanan Administratif • Strategi, kebijakan, dan pedoman keamanan informasi • Strategi keamanan informasi • Kebijakan keamanan informasi • Pedoman keamanan informasi • Standar keamanan informasi • IT Compliance
Peningkatan Keamanan (2) • Pengamanan Administratif– lanjutan • Proses dan operasi keamanan informasi • Program pendidikan dan pelatihan keamanan informasi • Penguatan promosi melalui berbagai kegiatan • Pengamanan dukungan
Pengamanan dengan Teknologi • Model Defense-in-Depth (DID)
Pengamanan dengan Teknologi • Teknologi Pencegah • KriptografiProses pengkodean informasi dari bentuk aslinya (disebut plaintext) menjadi sandi, bentuk yang tidak dapat dipahami • One-Time Passwords (OTP)OTP hanya dapat digunakan sekali. Password statis lebih mudah disalahgunakan oleh password loss, password sniffing, dan brute-force cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.
Pengamanan dengan Teknologi • Teknologi pencegah (lanjutan) • FirewallFirewalls mengatur beberapa aliran lalu lintas antara jaringan komputer dari trust level yang berbeda. • Alat penganalisis kerentananAda 3 jenis alat penganalisis kerentanan: • Alat penganalisis kerentanan jaringan • Alat penganalisis kerentanan server • Alat penganalisis kerentanan web
Pengamanan dengan Teknologi • Teknologi deteksi • Anti-VirusProgram komputer untuk mengidentifikasi, menetralisir atau mengeliminasi kode berbahaya • IDS (Intrusion Detection System)IDS mengumpulkan dan menganalisis informasi dari berbagai area dalam sebuah komputer atau jaringan untuk mengidentifikasi kemungkinan penerobosan keamanan • IPS (Intrusion Prevention System)IPS mengidentifikasi potensi ancaman dan bereaksi sebelum mereka digunakan untuk menyerang
Pengamanan dengan Teknologi • Teknologi terintegrasi • ESM (Enterprise Security Management)Sistem ESM mengatur, mengontrol dan mengoperasikan solusi keamanan informasi seperti IDS dan IPS mengikuti kebijakan yang ditetapkan • ERM (Enterprise Risk Management)Sistem ERM adalah membantu memprediksi seluruh risiko yang terkait dengan organisasi, termasuk area di luar keamanan informasi, dan mengatur langkah mengatasinya secara otomatis
Metodologi Keamanan Informasi • Model Proses ISO/IEC 27001 (BS7799)ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang digunakan untuk mengatur struktur seluruh proses ISMS. Model PDCA yang diterapkan ke Proses ISMS Sumber: ISO/IEC JTC 1/SC 27
Metodologi Keamanan Informasi • ISO/IEC 27001 (BS7799) • Analisis kesenjanganProses pengukuran tingkat keamanan informasi saat inidan menetapkan arah masa depan keamanan informasi • Kajian risikoTerdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan kerentanan • Penerapan kontrolDiperlukan keputusan untuk menerapkan kontrol yang sesuai untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko yang dapat diterima dan risiko yang tidak dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.
SISTEM INFORMASI YANG AMAN ? The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards -and even then I have my doubts (Eugene H. Spafford)
Dasar Hukum Pengamanan Informasi Rahasia di Lingkungan Pemerintah
Produk Hukum Terkait Persandian • UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik • UU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik • PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008 Tentang Keterbukaan Informasi Publik • PP Nomor 38 Tahun 2007 Tentang Pembagian Urusan Pemerintahan Antara Pemerintah, Pemerintahan Daerah Provinsi dan Pemerintahan Daerah Kabupaten/Kota • Keppres Nomor 103 Tahun 2001 Tentang Kedudukan, Tugas, Fungsi, Kewenangan, Susunan Organisasi, dan Tata Kerja Lembaga Pemerintah Non Departemen Sebagaimana telah diubah dengan Perpres Nomor 64 Tahun 2005 • Permenpan Nomor 22 Tahun 2008 Tentang Pedoman Umum Tata Naskah Dinas • Keputusan Menteri Dalam Negeri Nomor 34 Tahun 2001 tentang Pengamanan Berita Rahasia Melalui Proses Persandian dan Telekomunikasi • SEB Mendagri dan Ka. Lemsaneg (061/1727/SJ - HK.104/SE.2061/2008)
Telematics:Convergence • Media Cetak/Pers (UU 40/1999) • Media Elektronik (UU 32/2002) • Film (UU. 33/2009) • KIP (14/2008) MEDIA • Publishing • Film industry & Advertising COMPUTING TELECOMMUNICATIONS • Information Processing • Consumer Electronics • Network Infrastructure UU 44/2008 pornografi Film, News Education/Edutaiment Advertising Cable TV Satellite TV Broadcasting Off-line Entertainment & Information INTERNET SERVICES UU-ITE Telephony Networking Switching Hardware & Software UU 36/1999 UU 38/2009 UU 25/2009 • Paket UU ttg HKI • Arsip & Dokumen Perusah (UU 8/1997)
Network Operator LAN content Users/ Cons. • 4th G • voice • text • video • TCP/IP • based 1st G voice • 2nd G • Voice • text • 3rd G • Voice • Text • Video Content Computing Communication Community
UU Nomor 14 Tahun 2008 KIP • SetiapBadanPublikwajibmembukaaksesbagisetiapPemohonInformasiPublikuntukmendapatkanInformasiPublik, kecuali: • InformasiPublik yang apabiladibukadandiberikankepadaPemohonInformasiPublikdapatmenghambatprosespenegakanhukum, • InformasiPublik yang apabiladibukadandiberikankepadaPemohonInformasiPublikdapatmengganggukepentinganperlindunganhakataskekayaanintelektualdanperlindungandaripersainganusahatidaksehat • InformasiPublik yang apabiladibukadandiberikankepadaPemohonInformasiPublikdapatmembahayakanpertahanandankeamanannegara
Pasal 17 butir c UU KIP : Setiap Badan Publik wajib membuka akses bagi setiap Pemohon Informasi Publik untuk mendapatkan Informasi Publik, kecuali : • Informasi Publik yang apabila dibuka dan diberikan kepada Pemohon Informasi Publik dapat membahayakan pertahanan dan keamanan negara, yaitu: • informasi tentang strategi, intelijen, operasi, taktik dan teknik yang berkaitan dengan penyelenggaraan sistem pertahanan dan keamanan negara, meliputi tahap perencanaan, pelaksanaan dan pengakhiran atau evaluasi dalam kaitan dengan ancaman dari dalam dan luar negeri; • dokumen yang memuat tentang strategi, intelijen, operasi, teknik dan taktik yang berkaitan dengan penyelenggaraan sistem pertahanan dan keamanan negara yang meliputi tahap perencanaan, pelaksanaan dan pengakhiran atau evaluasi;
jumlah, komposisi, disposisi, ataudislokasikekuatandankemampuandalampenyelenggaraansistempertahanandankeamanannegarasertarencanapengembangannya; • gambardan data tentangsituasidankeadaanpangkalandan/atauinstalasimiliter; • data perkiraankemampuanmiliterdanpertahanannegara lain terbataspadasegalatindakandan/atauindikasinegaratersebut yang dapatmembahayakankedaulatan Negara KesatuanRepublik Indonesia dan/atau data terkaitkerjasamamiliterdengannegara lain yang disepakatidalamperjanjiantersebutsebagairahasiaatausangatrahasia; • sistempersandiannegara; dan/atau • sistemintelijennegara.
Penjelasan Pasal 17 butir c.6 UU KIP • Yang dimaksud dengan “sistem persandian negara” adalah segala sesuatu yang berkaitan dengan pengamanan Informasi rahasia negara yang meliputi data dan Informasi tentang material sandi dan jaring yang digunakan , metode dan teknik aplikasi persandian, aktivitas penggunaannya, serta kegiatan pencarian dan pengupasan Informasi bersandi pihak lain yang meliputi data dan Informasi material sandi yang digunakan, aktivitas, pencarian dan analisis, sumber Informasi bersandi, serta hasil analisis dan personil sandi yang melakukan.
Regulasi • UU RI no. 11 thn 2008 tentang Informasi dan Transaksi Elektronik
UU Nomor 11 Tahun 2008 Informasi dan Transaksi Elektronik • Pasal 1 ayat 5 : “SistemElektronikadalahserangkaianperangkatdanprosedurelektronik yang berfungsimempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/ataumenyebarkanInformasiElektronik”
Defenisi Cyber Crime • Dalam dua dokumen Kongres PBB mengenai The Prevention of Crime and the Treatment of Offenders di Havana, Cuba pada tahun 1990 dan di Wina, Austria pada tahun 2000, ada dua istilah yang dikenal. Pertama adalah istilah ‘cyber crime. Kedua adalah istilah ‘computer related crime’. Dalam back ground paper untuk lokakarya Kongres PBB X/2000 di Wina, Austria istilah ‘cyber crime’ dibagi dalam dua kategori. Pertama, cyber crime dalam arti sempit (in a narrow sense) disebut ‘computer crime’. Kedua, cyber crime dalam arti luas (in a broader sense) disebut ‘computer related crime’. • Cyber crime in a narrow sense (computer crime) : any illegal behaviour directed by means of electronic operations that targets the security of computer system and the data processed by them. • Cyber crime in a broader sense (computer related crime) : any illegal behaviour committed by means on in relation to, a computer system or network, including such crime as illegal possession, offering or distributing information by means of a computer system or network.
Masih menurut dokumen tersebut, cyber crime meliputi kejahatan yang dilakukan: • Dengan menggunakan sarana-sarana dari sistem atau jaringan komputer (by means of a computer system or network) • Di dalam sistem atau jaringan komputer (in a computer system or network) ; dan • Terhadap sistem atau jaringan komputer (against a computer system or network).
Peran komputer dalam cyber crimes 1. sebagai sarana 3. sebagai sasaran 2. sebagai tempat menyimpan
Beberapa kata kunci yang dihasilkan oleh Council Of Europe dalam Convention On Cyber Crime di Budapest, Hongaria pada tahun 2001. • Illegal access: sengaja memasuki atau mengakses sistem komputer tanpa hak. • Illegal interception: sengaja dan tanpa hak mendengar atau menangkap secara diam-diam pengiriman dan pemancaran data komputer yang tidak bersifat publik ke, dari atau di dalam sistem komputer dengan menggunakan alat bantu teknis. • Data interference: sengaja dan tanpa hak melakukan perusakan, penghapusan atau perubahan data komputer. • System interference: sengaja melakukan gangguan atau rintangan serius tanpa hak terhadap berfungsinya sistem komputer. • Misuse of devices: penyalahgunaan perlengkapan komputer termasuk program komputer, password komputer, kode masuk.
Kegiatan Berpotensi Cyber Crimes • Layanan Online Shopping (toko online), yang memberi fasilitas pembayaran melalui kartu kredit • Layanan Online Banking (perbankan online)
Kejahatan Kartu Kredit (Credit Card Fraud) • Sebelum ada kejahatan kartu kredit melalui internet, sudah ada model kejahatan kartu kredit konvensional (tanpa internet) • Jenis kejahatan ini muncul akibat adanya kemudahan sistem pembayaran menggunakan kartu kredit yang diberikan online shop • Pelaku menggunakan nomer kartu kredit korban untuk berbelanja di online shop