Etika dalam Teknologi Informasi, Edisi Kedua

bagian 3

Tujuan

• Apa saja trade-off dan permasalahan etika yang terkait dengan pengamanan data dan sistem

informasi?

• Mengapa terjadi peningkatan dramatis dalam jumlah insiden keamanan terkait komputer dalam beberapa tahun terakhir?

• Apa jenis serangan keamanan komputer yang paling

Tujuan (lanjutan)

• Apa sajakah karakteristik penjahat komputer pada umumnya, termasuk tujuan mereka, sumber daya

yang tersedia, kesediaan untuk menerima risiko, dan frekuensi serangan?

• Apa saja elemen kunci dari proses multilapis untuk mengelola kerentanan keamanan, berdasarkan

konsep jaminan yang masuk akal?

Insiden Keamanan TI: Masalah yang Memburuk

• Keamanan teknologi informasi adalah hal yang paling penting

– Lindungi data rahasia

• Lindungi data pribadi pelanggan dan karyawan – Melindungi dari tindakan pencurian atau gangguan

yang berbahaya

– Harus seimbang dengan kebutuhan dan permasalahan bisnis lainnya

• Jumlah insiden keamanan terkait TI meningkat di

Insiden Keamanan TI: Masalah yang Memburuk (lanjutan)

• Pusat Koordinasi Tim Tanggap Darurat Komputer (CERT/CC)

– Didirikan pada tahun 1988 di Software Engineering Institute (SEI)

– Dibebankan dengan

• Mengkoordinasikan komunikasi antar para ahli selama keadaan darurat keamanan komputer

• Membantu mencegah insiden di masa depan

Meningkatnya Kompleksitas Meningkatkan Kerentanan

• Lingkungan komputasi sangatlah kompleks

– Kompleksitasnya terus meningkat

– Jumlah kemungkinan titik masuk ke jaringan terus bertambah

Harapan Pengguna Komputer yang Lebih Tinggi

• Meja bantuan komputer

– Di bawah tekanan kuat untuk memberikan

tanggapan cepat terhadap pertanyaan pengguna – Terkadang lupa

• Verifikasi identitas pengguna

• Periksa apakah pengguna berwenang untuk melakukan tindakan yang diminta

• Pengguna komputer berbagi ID login dan kata

Memperluas dan Mengubah Sistem Menimbulkan Risiko Baru

• Era jaringan

– Komputer pribadi terhubung ke jaringan dengan jutaan komputer lainnya

– Semuanya mampu berbagi informasi

• Teknologi Informasi

– Ada dimana-mana

– Alat yang diperlukan bagi organisasi untuk mencapai tujuan

– Semakin sulit mengikuti laju perubahan teknologi

Peningkatan Ketergantungan pada Perangkat Lunak Komersial dengan

Kerentanan yang Diketahui

• Mengeksploitasi

– Serangan terhadap sistem informasi

– Memanfaatkan kerentanan sistem tertentu

– Karena desain atau implementasi sistem yang buruk

• Tambalan

– “Perbaiki” untuk menghilangkan masalah

– Pengguna bertanggung jawab untuk mendapatkan dan menginstal patch

Peningkatan Ketergantungan pada Perangkat Lunak Komersial dengan Kerentanan yang Diketahui (lanjutan)

• Serangan zero-day

– Terjadi sebelum kerentanan ditemukan atau diperbaiki

• Perusahaan-perusahaan AS mengandalkan

perangkat lunak komersial yang diketahui memiliki kerentanan

Jumlah Kerentanan yang Dilaporkan

ke CERT/CC

Jenis Serangan

• Serangan paling sering terjadi pada komputer jaringan dari sumber luar

• Jenis serangan

– Virus – Cacing

– kuda Troya

– Kegagalan layanan

Virus

• Potongan kode pemrograman

• Biasanya menyamar sebagai sesuatu yang lain

• Menyebabkan kejadian yang tidak terduga dan biasanya tidak diinginkan

• Sering dilampirkan ke file

• Memberikan “muatan”

Virus (lanjutan)

• Tidak menyebar sendiri dari komputer ke komputer

– Harus diteruskan ke pengguna lain melalui

• Lampiran dokumen email yang terinfeksi

• Program pada disket

• File bersama

• Virus makro

– Virus yang paling umum dan mudah dibuat – Dibuat dalam bahasa makro aplikasi

– Menginfeksi dokumen dan templat

Cacing

• Program yang berbahaya

– Berada di memori aktif komputer

• Gandakan diri mereka sendiri

– Dapat menyebar tanpa campur tangan manusia

• Dampak negatif dari serangan virus atau worm

– Data dan program hilang – Produktivitas hilang

– Upaya untuk pekerja IT

Dampak Biaya Cacing

Kuda Troya

• Program yang dipasang secara diam-diam oleh peretas

• Pengguna tertipu untuk menginstalnya

• Bom logika

– Dieksekusi dalam kondisi tertentu

Serangan Penolakan Layanan (DoS).

• Peretas jahat mengambil alih komputer di Internet dan menyebabkannya membanjiri situs target

dengan permintaan data dan tugas kecil lainnya

– Komputer yang diambil alih disebut zombie

• Tidak melibatkan pembobolan pada komputer target

– Mesin target sedang sibuk merespons aliran permintaan otomatis

– Pengguna yang sah tidak dapat masuk

• Spoofing menghasilkan alamat pengirim yang

Serangan Denial-of-Service (DoS) (lanjutan)

• Pemfilteran masuknya - Ketika penyedia layanan Internet (ISP) mencegah agar paket masuk dengan alamat IP palsu tidak diteruskan

• Penyaringan jalan keluar - Memastikan paket palsu tidak meninggalkan jaringan

Pelaku

• Motifnya sama dengan penjahat lainnya

• Tujuan yang berbeda dan akses terhadap sumber daya yang berbeda-beda

• Tingkat risiko yang berbeda untuk mencapai suatu tujuan

Mengklasifikasikan Pelaku Kejahatan

Komputer

Hacker dan Cracker

• Peretas

– Uji batasan sistem karena keingintahuan intelektual

• Biskuit

– Cracking adalah salah satu bentuk peretasan – Jelas kegiatan kriminal

Orang Dalam yang Berbahaya

• Masalah keamanan utama bagi perusahaan

• Diperkirakan 85 persen dari seluruh penipuan dilakukan oleh karyawan

• Biasanya karena kelemahan dalam prosedur pengendalian internal

• Kolusi adalah kerja sama antara karyawan dan pihak luar

• Orang dalam belum tentu merupakan karyawan

– Bisa juga menjadi konsultan dan kontraktor

Mata-mata Industri

• Mendapatkan rahasia dagang dari pesaing secara ilegal

• Rahasia dagang dilindungi oleh Undang-Undang Spionase Ekonomi tahun 1996

• Kecerdasan kompetitif

– Menggunakan teknik hukum

– Mengumpulkan informasi yang tersedia untuk publik

• Spionase industri

– Menggunakan cara ilegal

Penjahat dunia maya

• Meretas komputer perusahaan dan mencuri

• Terlibat dalam segala bentuk penipuan komputer

• Tagihan balik adalah transaksi yang disengketakan

• Hilangnya kepercayaan pelanggan mempunyai dampak yang lebih besar dibandingkan penipuan

• Untuk mengurangi potensi situs penipuan kartu kredit online:

– Gunakan teknologi enkripsi

– Verifikasi alamat yang dikirimkan secara online

Penjahat dunia maya (lanjutan)

• Kartu pintar

– Berisi chip memori

– Diperbarui dengan data terenkripsi setiap kali kartu digunakan

– Digunakan secara luas di Eropa – Tidak banyak digunakan di AS

Teroris dunia maya

• Mengintimidasi atau memaksa pemerintah untuk mencapai tujuan politik atau sosial

• Meluncurkan serangan berbasis komputer

• Berusaha untuk menimbulkan kerugian

– Daripada mengumpulkan informasi

• Banyak ahli percaya bahwa kelompok teroris

hanya menimbulkan ancaman terbatas terhadap sistem informasi

Mengurangi Kerentanan

• Keamanan

– Kombinasi teknologi, kebijakan, dan manusia

– Membutuhkan serangkaian aktivitas yang luas agar efektif

• Menilai ancaman terhadap komputer dan jaringan organisasi

• Identifikasi tindakan yang mengatasi kerentanan paling serius

• Mendidik pengguna

Tugas beresiko

• Tinjauan organisasi terhadap:

– Potensi ancaman terhadap komputer dan jaringan – Kemungkinan terjadinya ancaman

• Identifikasi investasi yang paling dapat melindungi organisasi dari ancaman yang paling mungkin

terjadi dan serius

• Jaminan yang masuk akal

• Meningkatkan keamanan di area dengan:

Penilaian Risiko untuk Perusahaan

Hipotetis

Menetapkan Kebijakan Keamanan

• Kebijakan keamanan mendefinisikan

– Persyaratan keamanan organisasi

– Kontrol dan sanksi diperlukan untuk memenuhi persyaratan

• Menggambarkan tanggung jawab dan perilaku yang diharapkan

• Menguraikan apa yang perlu dilakukan

– Bukan bagaimana melakukannya

Menetapkan Kebijakan Keamanan (lanjutan)

• Pertukaran antara

– Kemudahan penggunaan – Peningkatan keamanan

• Area yang menjadi perhatian

– Lampiran email

– Perangkat nirkabel

• VPN menggunakan Internet untuk menyampaikan komunikasi tetapi menjaga privasi melalui fitur

keamanan

• Keamanan tambahan mencakup mengenkripsi

Mendidik Karyawan, Kontraktor, dan Pekerja Paruh Waktu

• Mendidik pengguna tentang pentingnya keamanan

– Memotivasi mereka untuk memahami dan mengikuti kebijakan keamanan

• Diskusikan insiden keamanan terkini yang mempengaruhi organisasi

• Membantu melindungi sistem informasi dengan:

– Menjaga kata sandi

– Tidak mengizinkan orang lain menggunakan kata

Pencegahan

• Menerapkan solusi keamanan berlapis

– Mempersulit pembobolan komputer

• tembok api

– Membatasi akses jaringan

• Perangkat lunak antivirus

– Memindai urutan byte tertentu

• Dikenal sebagai tanda tangan virus – Antivirus Norton

– Antivirus Dr. Solomon dari McAfee

Perlindungan Firewall

Perangkat Lunak Firewall Populer

untuk Komputer Pribadi

Pencegahan (lanjutan)

• Perangkat lunak antivirus

– Terus diperbarui dengan informasi deteksi virus terbaru

• Disebut definisi

• Karyawan yang berangkat

– Segera hapus akun komputer, ID login, dan kata sandi

• Tentukan peran karyawan dengan hati-hati

Pencegahan (lanjutan)

• Pantau kerentanan yang diketahui

– Institut SANS (Administrasi Sistem, Jaringan, dan Keamanan).

– CERT/CC

• Cadangkan aplikasi dan data penting secara teratur

• Lakukan audit keamanan

Deteksi

• Sistem deteksi

– Tangkap penyusup yang sedang beraksi

• Sistem pendeteksi intrusi

– Memantau sumber daya dan aktivitas sistem dan jaringan

– Memberi tahu otoritas yang tepat ketika mengidentifikasi

• Kemungkinan intrusi dari luar organisasi

Deteksi (lanjutan)

• Sistem pencegahan intrusi (IPS)

– Cegah serangan dengan memblokir

• Virus

• Paket yang salah format

• Ancaman lainnya

– Terletak tepat di belakang firewall

Deteksi (lanjutan)

• Wadah madu

– Memberikan informasi palsu tentang jaringan kepada calon peretas

– Server umpan

– Terisolasi dengan baik dari jaringan lainnya

– Dapat mencatat aktivitas penyusup secara ekstensif

Tanggapan

• Rencana respons

– Kembangkan dengan baik sebelum terjadinya insiden apa pun

– Disetujui oleh

• Departemen Hukum

• Manajemen senior

• Tujuan utama

– Dapatkan kembali kendali – Batasi kerusakan

Respon (lanjutan)

• Pemberitahuan insiden mendefinisikan

– Siapa yang harus diberitahu

– Siapa yang tidak boleh diberitahu

• Pakar keamanan menyarankan untuk tidak mempublikasikan informasi spesifik tentang gangguan keamanan di forum publik

• Dokumentasikan semua detail insiden keamanan

– Semua peristiwa sistem

Respon (lanjutan)

• Bertindak cepat untuk menahan serangan

• Upaya pemberantasan

– Kumpulkan dan catat semua kemungkinan bukti kriminal dari sistem

– Pastikan cadangan yang diperlukan adalah yang terbaru dan lengkap

– Buat cadangan baru

• Menindaklanjuti

– Tentukan bagaimana keamanan dikompromikan

Respon (lanjutan)

• Tinjauan

– Tentukan dengan tepat apa yang terjadi – Evaluasi bagaimana organisasi merespons

• Tangkap pelakunya

• Pertimbangkan potensi publisitas negatif

• Preseden hukum

– Meminta pertanggungjawaban organisasi atas kelemahan keamanan TI mereka sendiri

Ringkasan

• Keputusan etis mengenai keamanan TI mencakup penentuan sistem informasi dan data mana yang paling memerlukan perlindungan

• Peningkatan 65 kali lipat dalam jumlah insiden keamanan TI yang dilaporkan dari tahun 1997 hingga 2003

• Sebagian besar insiden melibatkan:

– Virus – Cacing

Ringkasan (lanjutan)

• Pelakunya antara lain:

– Peretas – Biskuit

– Mata-mata industri – Penjahat dunia maya – Teroris dunia maya

Ringkasan (lanjutan)

• Elemen kunci dari proses multilapis untuk mengelola kerentanan keamanan meliputi:

– Penilaian

– Pendidikan pengguna – Rencana respons