Masyarakat Dunia Maya
Tidak banyak orang yang menyangka sebelumnya bahwa internet
yang tadinya hanya merupakan jejaring komunikasi antara lembaga riset perguruan
tinggi di Amerika Serikat akan menjadi dunia tersendiri tempat berkumpulnya
masyarakat dunia untuk melakukan transaksi, interaksi, dan koordinasi secara
global seperti sekarang ini. Bahkan keberadaannya telah mampu menciptakan suatu
revolusi tersendiri di sektor pemerintahan, industri swasta, komunitas
akademik, dan aspek-aspek kehidupan lainnya. Masyarakat internet ini semakin
lama semakin meningkat jumlahnya. Bahkan statistik terakhir tahun 2008
memperlihatkan bahwa satu dari lima penduduk dunia telah menjadi pengguna
internet dewasa ini. Bukanlah suatu hal yang mustahil bahwa dalam waku yang
tidal lama lagi, seluruh penduduk dunia akan menjadi internet user yang aktif.
Masalah Internet dan Lembaga Pengaman
Memperhatikan bahwa internet adalah suatu wahana “dari,
oleh, dan untuk” masyarakat dunia maya, maka salah satu isu utama yang
mengemuka adalah permasalahan keamanan atau security – baik dalam hal keamanan
informasi (konten), infrastruktur, dan interaksi; karena dalam konteks
arsitektur internet yang demokratis ini akan meningkatkan faktor resiko
terjadinya incident keamanan yang tidak diinginkan – baik yang dilakukan secara
sengaja maupun tidak1. Apalagi sangat banyak hasil riset yang memperlihatkan
bahwa dari hari ke hari, jumlah serangan dan potensi ancaman di dunia maya
secara kualitas maupun kuantitas meningkat secara signifikan. Karena internet
merupakan suatu “rimba tak bertuan”, maka masing-masing pihak yang terhubung di
dalamnya harus memperhatikan dan menjamin keamanannya masing-masing. Selain
melengkapi sistem teknologi informasinya dengan perangkat lunak dan perangkat
keras pengamanan (seperti firewalls dan anti virus misalnya), beberapa
institusi besar seperti ABN AMRO, MIT, General Electric, dan lain-lain
membentuk sebuah tim khusus yang siap dan sigap untuk menghadapi berbagai
incident yang mungkin terjadi dan dapat merugikan organisasi. Tim ini biasa disebut
sebagai CERT atau Computer Emergency Response Team2. Tim CERT dari ABN AMRO
misalnya, akan bertanggung jawab penuh untuk memonitor dan mengelola berbagai
isu-isu terkait dengan keamanan internet untuk menjaga aset informasi dan
komunikasi dari seluruh unit-unit bisnis ABN AMRO yang ada di dunia ini.
Dalam dunia keamanan internet dikenal prinsip “your security
is my security” atau yang dalam praktek manajemen sering dianalogikan dengan
contoh sebuah rantai, dimana “the strenght of a chain depends on its weakest
link” (kekuatan sebuah rantai terletak pada sambungannya yang terlemah).
Artinya adalah bahwa sebaik-baiknya sebuah organisasi mengelola keamanan sistem
teknologi informasinya, kondisi sistem keamanan pihak-pihak lain yang terhubung
di internet akan secara signifikan mempengaruhinya. Hal inilah yang kemudian
menimbulkan pertanyaan utama: terlepas dari adanya sejumlah CERT yang telah
beroperasi, bagaimana mereka dapat bersama-sama menjaga keamanan internet yang
sedemikian besar dan luas jangkauannya? Dalam kaitan inilah maka sebuah
perguruan tinggi terkemuka di Amerika Serikat yaitu Carnegie Mellon University,
melalui lembaga risetnya Software Engineering Institute, memperkenalkan konsep
CERT/CC yaitu singkatan dari Computer Emergency Response Team (Coordination
Center) – yaitu sebuah pusat koordinasi sejumlah CERT yang tertarik untuk
bergabung dalam forum atau komunitas ini3. Dengan adanya pusat koordinasi ini,
maka para praktisi CERT dapat bertemu secara virtual maupun fisik untuk
membahas berbagai isu terkait dengan keamanan dan pengamanan internet. Untuk
membedekannya dengan CERT, maka dikembangkanlah sebuah istilah khusus untuk
merepresentasikan CERT/CC yaitu CSIRT. Di Jepang contohnya, banyak sekali
tumbuh lembaga-lembaga CERT independen yang dikelola oleh pihak swasta. Untuk
itulah maka dibentuk sebuah CSIRT dengan nama JPCERT/CC sebagai sebuah forum
berkumpulnya dan bekerjasamanya pengelolaan keamanan internet melalui sebuah
atap koordinasi secara nasional.
Pendirian ID-SIRTII
Kasus atau incident yang menimpa sistem informasi dan
teknologi pendukung pemilu 2004 di Indonesia membuka mata masyarakat akan
besarnya ancaman keamanan yang dapat menimpa berbagai sistem berskala nasional
apapun yang ada di tanah air. Bisa dibayangkan apa jadinya jika eksploitasi
tersebut terjadi pada obyek vital yang ada di Indonesia, seperti pada sistem
pembayaran nasional, sistem distribusi listrik, sistem persenjataan militer,
sistem pelabuhan udara, dan lain sebagainya4. Oleh karena itulah maka segenap
komunitas di tanah air yang perduli akan keamanan komputer dan internet – yang
terdiri dari APJII (Asosiasi Penyelenggara Jasa Internet Indonesia), Mastel
(Masyarakat Telematika), AWARI (Asosiasi Warung Internet Indonesia), Kepolisian
Republik Indonesia, dan Direktorat Jenderal Post dan Telekomunikasi Departemen
Komunikasi dan Informatika Republik Indonesia – berjuang keras untuk membentuk
lembaga CSIRT untuk tingkat nasional Indonesia. Akhirnya pada tahun 2007,
melalui Peraturan Menteri Komunikasi dan Informatika Republik Indonesia Nomor
26/PER/M.KOMINFO/5/2007 tentang Pengamanan Pemanfaatan Jarinan Telekomunikasi
berbasis Protokol Internet, lahirlah sebuah institusi yang bernama ID-SIRTII,
singkatan dari “Indonesia Security Incident Response Team on Internet
Infrastructure”. Menurut Permen 26 tersebut, tugas utama ID-SIRTII adalah
sebagai berikut:
1. Mensosialisasikan kepada seluruh pihak yang terkait untuk
melakukan kegaitan pengamanan pemanfaatan jaringan telekomunikasi berbasis
protokol internet;
2. Melakukan pemaantauan, pendeteksian dini, dan peringatan
dini terhadap ancaman dan gangguan pada jaringan telekomunikasi berbasis
protokol internet di Indonesia;
3. Membangun dan atau menyediakan, mengoperasikan,
memelihara, dan mengembangkan sistem database pemantauan dan pengamanan
pemanfaatan jaringan telekomunikasi berbasis protokol internet
sekurang-kurangnya untuk:
a. Mendukung kegiatan sebagaimana dimaksud dalam butir 2 di
atas;
b. Menyimpan rekaman transaksi (log file); dan
c. Mendukung proses penegakan hukum.
4. Melaksanakan fungsi layanan informasi atas ancaman dan
gangguan keamanan pemanfaatan jaringan telekomunikasi berbasis protokol
internet;
5. Menyediakan laboratorium simulasi dan pelatihan kegaitan
pengamanan pemanfaatan jaringan telekomunikasi berbasis protokol internet;
6. Melakukan pelayanan konsultasi dan bantuan teknis; dan
7. Menjadi contact point dengan lembaga terkait tentang
pengamanan pemanfaatan jaringan telekomunikasi berbasis protokol internet baik
dalam negeri maupun luar negeri.
Memperhatikan ketujuh tugas dan fungsi utama yang cukup luas
tersebut, maka jelas terlihat bahwa dalam melaksanakan pekerjaannya, ID-SIRTII
harus bekerjasama dengan banyak pihak terkait yang berkepentingan (baca:
stakeholders). Artinya adalah, bahwa untuk negara kepulauan semacam Indonesia,
dimana karakteristiknya sangat beragam (baca: heterogeneous), diharapkan akan
terbentuk di kemudian hari sejumlah CERT pada komunitas-komunitas tertentu.
Gambar: Relasi antara ID-SIRTII dan CERT di Masa Mendatang
Dilihat dari karakteristik dan anggotanya, ada 4 (empat)
jenis CERT yang dikenal, yaitu: Sector CERT – institusi yang dibentuk untuk
mengelola keamanan komputer/internet untuk lingkungan komunitas tertentu
seperti militer, rumah sakit, universitas, dan lain sebagainya; Internal CERT –
institusi yang dibentuk sebuah perusahaan yang memiliki ruang lingkup geografis
tersebar di seluruh nusantara sehingga dibutuhkan koordinasi dalam hal
mengelola keamanan komputer, seperti milik Pertamina, LippoBank, PLN, Telkom,
dan lain sebagainya; Vendor CERT – institusi pengelola keamanan yang dimiliki
oleh vendor teknologi untuk melindungi kepentingan pemakai teknologi terkait,
seperti Yahoo, Cisco, Microsoft, Oracle, dan lain sebagainya; dan Commercial
CERT – institusi yang biasanya dibentuk oleh sejumlah praktisi dan ahli
keamanan komputer/internet yang banyak menawarkan beragam produk/jasa kepada
pihak lain terkait dengan tawaran membantu proses pengamanan teknologi
informasi secara komersial.
Ruang Lingkup Pengamanan Internet
Tidak ada sebuah CERT atau CSIRT yang memiliki ruang lingkup
tanggung jawab yang sama, demikian pula dengan ID-SIRTII. Ada CERT yang hanya
melakukan pendidikan semata dan sama sekali tidak melakukan monitoring
internet, sementara ada pula CERT yang memfokuskan diri pada analisa malware,
sementara yang lain lebih senang memberikan jasa pelatihan dan konsultasi.
Gambar: Klasifikasi Ruang Lingkup Pengamanan Internet
Secara prinsip, ada tiga jenis tanggung jawab sebuah CERT
atau CSIRT. Domain pertama terkait dengan usaha yang bersifat reaktif, yaitu
terkait dengan langkah-langkah yang harus dilakukan seandainya sebuah incident
terjadi, sepeti: bagaimana cara memberikan alert atau peringatan kepada para
pemangku kepentingan, teknis mengambil dan menyimpan alat bukti digital,
prosedur diseminasi informasi kepada mereka yang terkait, mekanisme deteksi penyelusupan atau intrusion pada incident terkait, dan lain
sebagainya. Domain kedua berhubungan erat dengan strategi pencegahan atau
preventif, dimana didalamnya terkandung beraneka ragam hal seperti: memberikan
wawasan dan pendidikan kepada khalayak luas mengenai isu-isu seputar keamanan
internet, melakukan audit terhadap teknologi informasi yang dipergunakan
organisasi, menjalankan prosedur tes penetrasi kepada sistem yang dimiliki
untuk mengidentifikasikan potensi kerawanan yang ada, mempelajari trend
teknologi informasi dan internet ke depan – terutama terkait dengan isu
keamanan perangkat lunak dan peralatan-peralatan baru, dan lain sebagainya. Dan
domain terkahir atau ketiga, adalah suatu usaha untuk meningkatkan level atau
mutu kualitas organisasi yang saat ini telah dimiliki, agar semakin baik dalam
aspek pengamanan informasi yang dimaksud. Usaha yang biasa dilakukan menyangkut
hal-hal semacam: menyewa konsultan untuk mengukur dan meningkatkan level
kematangan (baca: maturity level) aspek keamanan informasi, menjalankan
aktivitas manajemen resiko, melakukan evaluasi terhadap semua perangkat dan
aplikasi yang dimiliki, melatih atau memberikan training kepada sebanyak
mungkin manajemen dan karyawan/staff organisasi, dan lain sebagainya.
Konstituen ID-SIRTII
Hampir 99% CERT/CSIRT di seluruh dunia dibangun pada mulanya
melalui dana pemerintah5, karena memang merekalah yang pertama kali merasa
pentingnya lembaga tersebut6. Sejalan dengan perkembangannya, maka mulai
tumbuhlah sejumlah CERT/CSIRT yang dikelola oleh swasta secara mandiri7. Oleh
karena itulah maka, setiap lembaga CERT/CSIRT memiliki konstituennya
masing-masing, karena perbedaan misi yang diembannya8. Dalam hal ini, ID-SIRTII
dibangun sepenuhnya melalui dana pemerintah Indonesia, yaitu melalui Direktorat
Jenderal Pos dan Telekomunikasi, Departemen Komunikasi dan Informatika Republik
Indonesia. Oleh karena itulah maka untuk sementara ini, keberadaan ID-SIRTII
tidak dapat dipisahkan dari peranan Dirjen Postel Depkominfo9. Melihat misi
serta tugas utamanya, terutama dipandang dari sudut karakteristik customer atau
pelanggan utamanya, konstituen ID-SIRTII dapat dibagi menjadi 2 (dua) kelompok
utama: konstituen langsung (internal) dan konstituen tidak langsung
(eksternal). Termasuk dalam konstituen internet adalah empat kelompok
komunitas, yaitu: Internet Service Providers, Internet Exchange Points, dan
Network Access Points; 5 Kecuali AusCERT (Australia) misalnya yang didanai secara
“urunan” atau “patungan” oleh seluruh ISP (Internet Service Providers) yang ada
di negara tersebut melalui konsep “shared services”. 6 Terutama dalam kaitannya
untuk menjaga obyek-obyek vital atau critical infrastructure seperti perusahaan
listrik, pertambangan minyak dan gas bumi, perbankan, fasilitas militer,
bandara udara, dan lain sebagainya. 7 Jepang merupakan salah satu contoh negara
dimana pertumbuhan jumlah lembaga CERT/CSIRT-nya tertinggi di dunia. 8 Misi dan
tugas khusus yang dimaksud adalah portofolio dari fungsi-fungsi reaktif,
preventif, dan peningkatan kualitas seperti yang telah dijelaskan sebelumnya. 9
Dikatakan sementara ini adalah karena pada waktunya nanti, kurang lebih 3-5
tahun ke depan, ID-SIRTII diharapkan dapat menjadi lembaga independen yang
mandiri.
Penegak hukum, yang terdiri dari Kepolisian, Kejaksaan, dan
Departemen Kehakiman; CERT/CSIRTS serupa dari negara luar, terutama yang
tergabung dalam APCERT (Asia Pacific CERTs)10; dan Beragam institusi dan/atau
komunitas keamanan informasi dan internet di Indonesia lainnya11.
Pengguna internet yang merupakan sebuah
korporasi/organisasi maupun individu, dimana pada dasarnya mereka adalah
pelanggan dari beragam ISP yang beroperasi di tanah air; Para polisi, jaksa,
dan hakim yang ditugaskan oleh institusinya masing-masing dalam menangani
kasus-kasus kejahatan kriminal teknologi informasi; CERT/CSIRT yang ada di
setiap negara maupun yang telah membentuk kelompok atau asosiasi yang
berbeda-beda seperti APCERT dan FIRST; serta 10 Negara-negara Asia yang sudah tergabung dalam APCERT
antara lain: Malaysia, Jepang, Singapura, Australia, Thailand, Srilanka,
Brunei, Filipina, Korea, China, Hongkong, dan India. Segera menyusul untuk
bergabung adalah Indonesia, Vietnam, Kamboja, Laos, dan Myanmar. 11 Komunitas
yang dimaksud seperti: KKI (Komunitas Keamanan Informasi), Lembaga Sandi Negara,
Badan Intelijen Negara, ID-CERT (Indonesia CERT), dan lain-lain.
Seluruh CERT/CSIRT yang ada di tanah air, termasuk di
dalamnya institusi swasta, pemerintahan, dan perguruan tinggi yang terlibat
secara langsung maupun tidak langsung terhadap isu-isu seputar kemanan
informasi.
Tidak ada komentar:
Posting Komentar