[Indonesian] Tantangan Sekuritas Keamanan dan Risiko Sekuritas

1. Critical Infrastructure

Suter dan Brunner (2008) menyatakan Critical Infrastruktur atau Infrastruktur Kritis sering diidentifikasi sebagai infrastruktur dimana funsinya tidak benar, atau dalam jangka waktu terbatas, secara negatif dapat mempengaruhi ekonomi dari pihak individu maupun suatu grup. Pengaruh tersebut berupa kerugian ekonomi atau bahkan menampakkan orang atau sesuatu terhadap resiko keamanan dan keselamatan. (dikutip dalam Montanari, et al. 2014).

1.1 Ancaman Terhadap Infrastruktur Kritis

Ancaman yang cukup dikenal seperti malware atau serangan dos, yang telah berdampak terhadap keamanan dari perangkat yang terkoneksi internet, menjadi ancaman terhadap infrastruktur kritis pula. Perbedaannya, CI dapat pada lingkungan fisik. Contohnya seperti kerusakaan peralatan, kemungkinan untuk kehilangan produksi, pencurian informasi dan bahkan kehilangan nyawa manusia.

1.2 Pihak Yang Berdampak Dari Infrastruktur Kritis

Pihak — pihak yang diperhatikan terhadap signifikannya dampak dari ancaman terhadap infrastruktur kritis diantaranya:

1.2.1 Bangsa Negara

Dengan melihat bangsa negara secara keseluruhan, serangan terhadap Infrastruktur Kritis, atau terhadap perangkat yang memiliki nilai tinggi dapat memotivasi secara politis atau aspek ekonomi. Dalam hal ini, bangsa negara berperan penting, kemungkinan serangan yang muncul mendapat dukungan dari pemerintah lain.

1.2.2 Kelompok non pemerintahan yang terorganisir

Biasanya dilabeli sebagai ‘cyber-terrorists ini berpotensi menyerang melalui serangan-serangan terror terhadap infrastruktur kritis.

1.2.3 Hacktivists

Istilah ini mengacu pada seorang penyerang, dimana dalam banyak kasus dengan kemampuan teknis yang terbatas, bergantung pada alat-alat atau service siap guna, botnets pihak ketiga digunakan unutk merusak sistem contohnya denial of service, atau deface dengan didasari oleh protes. Protes tersebut dimotivasi secara politis.

1.2.4 Penyerang berorientasi Bisnis

Dikategorikan sebagai penyerang terhadap website kompetitornya pada urusan bisnins. Mereka dimotivasi oleh bisnis dengan melakukan gangguan aktivitas terhadap kompetitor yang mengelola infrastruktur kritis guna menyebabkan kerusakan dan mendapat keuntungan bisnis.

2. Data Leakage, Malicious Insiders and Remote Workers

Gordon (2007) menyatakan Data Leakage atau Kebocoran Data adalah transmisi data atau informasi yang tidak terautorisasi dari dalam suatu organisasi ke tujuan atau penerima luar. Metode yang digunakan dapat secara elektronis, atau secara fisik. Data Leakage sendiri memiliki kesamaan harfiah dengan Information Leakage.

2.1 Jenis Data Leakage

Adapun Jenis kebocoran data diantaranya informasi rahasia, properti intelektual, data pelanggan atau catatan kesehatan. 52% dari pelanggaran berasal dari internal dibandingan 48% lainnya yang diduga berasal dari peretas eksternal.

Menurut (CERT, 2009) , malicious insider yakni pegawai baik saat ini atau sudah menjadi mantan pegawai, kontraktor atau rekan bisnis yang memliki legitimasi dan akses yang terautorisasi kepada sistem informasi suatu organisasi dan secara hati-hati menyalahgunakan atau memanfaatkan hak istimewa tersebut untuk mengurangi kerahasiaan, integritas atau ketersediaan aset informasi organisasional (dikutip dalam Omar, 2015).

Motif dari pelaku umumnya berupa ketidakpuasan, pemberhentian dari pekerjaan, konflik antar pegawai atau manajer, atau dari pihak luar dimana mempunyai niat untuk melakukan spionase atau sabotase. Selain itu, pihak luar melakukannya dengan kaitan keuntungan bisnis.

Adapun remote workers atau pekerja jarak jauh dideskripsikan sebagai pekerja yang bekerja tidak berada pada suatu tempat utama atau kantor utama. Pekerja jarak jauh dapat berada pada rumah atau antar kantor jarak jauh.

Adapun contoh kejadian yang berkaitan dengan Data Leakage, Malicious Insiders dan Remote Workers adalah sebagai berikut. Pada April 2003, Banner Therapy (sebuah perusahaan swasta milik pribadi di North Carolina, AS) Christina Binney dituduh melakukan kesalahan dan akibatnya dipulangkan dari pekerjaannya dan Disuruh tidak kembali ke kantor. Menurut Banner, Christina Binney juga merupakan co-foundernya. Spanduk Menyatakan bahwa ada dua alasan di balik pelepasan Binney dari pekerjaan: Pertama, perusahaan membantahnya Penegasan hak cipta atas katalog perusahaan dan situs web. Kedua, perusahaan mengklaim itu Dia secara tak sengaja melepaskan hard drive dari komputer kerja untuk membawanya pulang dan menggunakan isinya Pertemuan klien Akibatnya, perusahaan mengklaim bahwa tindakan tidak sah dan disengaja ini (menghapus Hard disk drive dari komputer kerja) telah melumpuhkan operasinya dan menempatkan data berharga pada bahaya. Pembenaran Binney atas tindakan yang disengaja ini adalah bahwa seorang pelanggan Banner telah meminta sebuah pertemuan Jumat untuk Senin pagi berikutnya, dan bagi Binney untuk mempersiapkan pertemuan itu, dia memutuskan untuk mengambil seluruh hard disk drive dan menggunakannya di komputer rumah yang kompatibel alih-alih mengalami kerumitan mentransfer semua file dan data yang dibutuhkan ke disk yang akan memakan waktu lama. Saat itu, Banner Therapy tidak memiliki kebijakan perusahaan tentang membawa peralatan kerja ke rumah atau membangun protokol komputer apapun. Hal ini, pada gilirannya, menyebabkan kerugian tambahan bagi perusahaan karena Binney dicegah untuk masuk tempat kerja dan akibatnya ia tidak dapat mengembalikan hard disk drive ke perusahaan saat ia mengklaim dia berencana untuk melakukannya (Probst, Hunker, Gollmann, & Bishop, 2010)

3. Cyber Security Workforce

Cyber Security Workforce atau Tenaga Kerja Keamanan Siber Mengacu pada teknologi dan teknik yang digunakan untuk melindungi informasi dan sistem dari pencurian, dikompromikan atau diserang. Termasuk data elektronik yang tidak sah, serangan terhadap jaringan dan komputer yang tidak terautorisasi, serta virus dan malicious code.

Menurut Tomchek dan S., 2016, tantangan tenaga kerja siber sebagai berikut: penyerataan disiplin ilmu keamanan siber dengan jadwal kerja yang umum, variasi antar departemen dan sub-nya dalam hal kebutuhan misi, resiko sistem dan kebutuhan ketenagakerjaan siber, serta kemampuan memahami kompleksitas framework saat ini diama terdiri dari tujuh peran utama dan tiga ratus enam puluh sembilan disiplin ilmu yang dimiliki.

2. Security Risks

2.1 Trojans

Secara harfiah, trojan memngacu pada menempatkan kuda trojan pada sejarah Yunani kuno, mengizinkan pasukan untuk menyelinap masuk melalui benteng yang sangat ketat. Pasukan tersebut sembunyi di dalamm kuda kayu yang diberikan sebagai hadiah. Skoudis (2003) menyatakan Trojan adalah program yang terlihat muncul sepert memiliki manfaat, namun sebenarnya menyembunyikan fungsionalitas yang jahat.

Sederhanya, penyerang mungkin hanya mengubah nama kode berbahaya pada sistem sehingga muncul untuk termasuk dalam mesin itu. Dengan memberikan nama program backdoor yang sama dengan beberapa program lain yang umum pada sistem, penyerang dapat beroperasi tanpa terdeteksi.

Contoh teknik trojan yang paling umum adalah dengan menambahkan extension tambahan pada suatu file. Suatu file yang berextension.txt akan menjadi executable jika ditambahkan .exe (menjadi nama.txt.exe). Pada saat pengguna membuka file tersebut, program-program jahat bekerja.

2.2 Fast Flux Botnets

Atluri dan Tran (2017) menyaatakan botnet adalah koleksi dari komputer terhubung ke internet yang telah disiapkan untuk menjalankan operasi tidak diinginkan. Pemilik komputer seringkali tidak tahu dengan keadaannya dikarenakan kurangnya penjagaan terhadap komputer seperti tidak ada antivirus atau firewall.

Komputer yang terkena botnet terjadi karena pengguna membuka program yang bersifat trojan/malware, secara otomatis membuat jalan belakang untuk melakukan komunikasi atau perintah dan menyembunyikan prosessnya dari pengguna.

Contoh Botnet yaitu ZeuS, ialah trojan yang mencuri kredensial ditemukan tahun 2007 (Andiriesse and Bos, 2014 dikutip dari Atluri dan Tran, 2017). Pada saat proses komunkasinya ZeuS menjaga active dan passive thread. Active Thread bertindak seperti server, mendengarkan permintaan masuk. Informasi pengirim atas permintaan yang ditangani dengan sukses disimpan di daftar penerima bot. Di satu sisi, jika bot penerima sudah memiliki lebih dari 50 teman dalam daftarnya, data bot pengirim akan disimpan dalam antrian untuk pembaruan daftar rekan berikutnya. Namun, Sender bot akan otomatis ditambahkan jika daftar rekannya adalah 50 atau kurang. Di sisi lain Jika identifier pengirim sudah masuk dalam daftar, semua informasi (seperti IP dan Port) diperbarui, untuk menjaga hubungan baru dengan rekannya.

2.3 Phising / Social Engineering

Social Engineering atau rekayasa sosial adalah eksploitasi psikologis yang digunakan penipu (scammers) untuk memanipulasi dengan terampil kelemahan manusia dan melakukan serangan emosional terhadap orang yang tidak bersalah. Prosesnya menipu orang dengan memberikan informasi rahasia (Atkins dan Huang, 2013)

Social Engineering dapat dibagi menjadi dua kategori, penipuan berbasis komputer berupa phising dan berbasis interaksi manusia. Sebelum melakukan serangan seorang social engineering melakukan penelitian terhadap latar belakang korban.

Paling umum social engineering dijumpai adalah e-mail trojan atau pesan phising. Mereka menyerang dengan cara memberikan pesan secara terstruktur untuk merayu korban membuka berkas attachment atau membuka suatu tautan.

2.4 Zero Day Exploits

Bilge dan Dumitras (2012) menyatakan Serangan Zero-Day adalah serangan siber yang melakukan eksploitasi suatu kelemahan dimana tidak diungkapkan secara terbuka. Zero-Day muncul pada perangkat-perangkat lunak yang populer seperti pada Microsoft atau Adobe. Zero-Day ‘tidak dapat’ diperbaiki keadaan sampai pembuat software tersebut meluncurkan rilis versi terbaru untuk memperbaiki tingkat rentan software tersebut.

Dampak dari serangan Zero-Day ini adalah kehilangan data personal. Berdasarkan Symantec.com, lima perangkat lunak tertinggi yang terkena Zero-Day ini sebagai berikut

Gambar 1 Lima Perangkat Lunak Yang terkena dampak Zero-Day

2.5 Vishing Attacks

RSA (2009) menyatakan Serangan Vishing atau Phone Phising, yakni prakek kriminal dari penggunaan sistem telepon untuk mendapatkan akses personal atau informasi finansial dari korban yang bertujuan untuk melakukan penipuan. Vishing melakukan ekspolitasi terhadap kepercayaan korban pada layanan telepon, dimana tidak waspada bahwa penipu dapat menggunakan metode seperti ID spoofing atau melakukan otomasi sistem yang kompleks lain untuk melakukan jenis penipuan ini.

Bentuk penipuan secara vishing diantaranya sebagai berikut:

1. Daftar pelanggan beserta nomor teleponnya dicuri dari suatu institusi keuangan atau kantor bisnis.

2. Ketika korban mengangkat telepon, suara rekaman yang otomatis memperingatkan bahwa terjaddi aktivitas mencurigakan terdeteksi pada suatu kartu kredit atau rekening bank. Secara meyakinkan menginstruksi korban untuk melakukan pemanggilan terhadap bank dengan nomor telepon palsu.

3. Ketika korban menelpon nomor tersebut, suatu instruksi otomatis berupa suara meminta untuk memberikan nomor kartu kredit atau rekening bank. Namun telepon tersebut bisa mendapatkan nomor yang ditekan oleh korban.

4. Penipu berhasil mendapatkan informasi penting.

Daftar Pustaka

Atkins, Brandon dan Huang, Wilson, 2013. A Study of Social Engineering in Online Frauds. Jurnal. SciRes, US.

Atluri, Anoop Chowdari dan Tran, Vinh, 2017. Chapter 2, Botnets Threat Analysis and Detection, New York Institute of Technology, U.S.

Bilge, Leyla dan Dumitras, Tudor, 2012, Before We Knew It. An Empirical Study Of Zero-Day Attacks In The Real World U.S.

Department Of Homeland Security. Cybersecurity Workforce Development Toolkit, How to Build a Strong Cybersecurity Workforce. Department Of Homeland Security, US.

Gordon, Peter. 2007. Data Leakage — Threats And Mitigation. Sans Institute, U.S.

M. Brunner dan E. M. Suter. 2008. International CIIP Handbook 2008/2009. Center for Security Studies, ETH Zurich.

Montanari, Luca dan Querzoni, Leonardo (eds), 2014. Critical Infrastructure Protection: Threats, Attacks and CounterMeasures. Sapienza University of Rome, Rome.

Omar, Marwan dan Dawson, Maurice, 2015. Countermeasures in Digital Crime and Cyber Terrorism, University Of Missouri — St. Louis, Information Science Reference, PA US.

RSA Security, 2009. Phising, Cishing and Smishing: Old Threats Present New Risks, RSA.

Skoudis, 2003. PH06, Prentice Hall, England.

Symantec, 2016. Internet Security Threat Report. Symantec, US.

Visner, Samuel dan Tomchek, Debra, 2016. Cybersecurity Workforce Analysis. ICF.