IT SECURITY AWARENESS KESADARAN TERHADAP KEAMANAN TEKNOLOGI INFORMASI “Security adalah proses. Tidak ada proses security yang 100% aman. Justru kewaspadaan yang dapat membuat proses security berhasil.”

PT PERUSAHAAN GAS NEGARA (Persero) Tbk DIVISI SISTEM DAN TEKNOLOGI INFORMASI

© 2007

1

DIVISI SISTEM DAN TEKNOLOGI INFORMASI

2

IT SECURITY AWARENESS

KESADARAN TERHADAP KEAMANAN TEKNOLOGI INFORMASI

Buku kecil ini diperuntukkan bagi para pengguna komputer dan sistem teknologi informasi di lingkungan internal PGN. Lebih lanjut, silahkan

menghubungi help desk di ekstensi 2323.

3 | DAFTAR ISI

DAFTAR ISI 3 BUKU INI HARUS DIBACA! 4 BAB I : KELALAIAN TERHADAP KEAMANAN TEKNOLOGI

INFORMASI 5 BAB II : PENCEGAHAN TERHADAP PENYEBAB

GANGGUAN 10 BAB III : PENJELASAN DAN INFORMASI PENYEBAB

GANGGUAN 23

BAB IV : LAMPIRAN-LAMPIRAN 31

4 | BUKU INI HARUS DIBACA!

Mungkin kita seringkali mengalami kejadian dimana komputer menjadi sangat lambat, no response, blue screen dan akhirnya hang. Atau pada saat kita membuka e-mail, inbox dipenuhi oleh e-mail nggak dikenal, alias nggak jelas. Atau juga pernah frustasi gara-gara file penting yang disimpan tiba-tiba rusak bahkan hilang tanpa jejak.

Seringkali kita menyalahkan orang lain atau sistem teknologi yang digunakan pada saat kita mengalami kejadian-kejadian di atas. IT, virus, dan sistem adalah pihak-pihak yang paling sering disalahkan. Tapi tahukah Anda, bahwa kita sebagai user adalah merupakan mata rantai terlemah dalam memanfaatkan teknologi informasi? Dalam arti, user berhadapan langsung dengan keadaan.

Ada banyak contoh mengenai berbagai hal yang mungkin tidak sengaja dilakukan dan berakibat timbulnya gangguan, sampai bobolnya sistem keamanan yang ada; Seorang karyawan merasa penasaran mendapatkan kiriman e-mail dengan attachment berjudul barangbagus.exe dan tanpa tahu apa sebenarnya dibukalah segera attachment tersebut. Terbukalah jalan masuk bagi virus atau spam beraksi!

Buku kecil ini akan menjadi panduan bagi seluruh karyawan PGN untuk mengenal ancaman-ancaman dan gangguan keamanan teknologi informasi serta bagaimana cara mencegah dan menghadapinya. Setelah membaca buku ini user diharapkan menjadi lebih tinggi tingkat kepedulian dan kewaspadaannya serta berhati-hati dalam mengerjakan tugas sehari-hari, khususnya yang berkaitan dengan teknologi informasi.

5 BAB I

KELALAIAN TERHADAP KEAMANAN TEKNOLOGI INFORMASI

MENJELASKAN RESIKO-RESIKO YANG MUNGKIN TERJADI AKIBAT KELALAIAN ATAU KETIDAKPEDULIAN TERHADAP KEAMANAN

SISTEM TEKNOLOGI INFORMASI.

6 1. JARINGAN KOMPUTER LAMBAT Sistem jaringan yang lambat dan e-mail down merupakan hal yang paling sering terjadi. Kestabilan dan kecepatan jaringan dipengaruhi oleh banyak faktor, diantaranya :

• Kapasitas jaringan. • Tinggi rendahnya tingkat lalu lintas data (traffic). • Serangan virus, worm atau spam. • Kemampuan perangkat jaringan. • Vendor, sebagai penyedia infrastruktur.

2. KOMPUTER LAMBAT ATAU HANG Suatu ketika pernah kita mengalami hal dimana komputer menjadi sangat lambat pada saat membuka aplikasi, misalnya Office Word, atau bahkan tidak ada respon sama sekali (hang) secara tiba-tiba. Bluescreen seringkali muncul pada saat memproses sesuatu. Perlu diketahui, bluescreen bukanlah

virus melainkan sebuah program di Windows yang berfungsi untuk memberikan tanda jika mendeteksi adanya gangguan pada kestabilan sistem Windows kita. Kestabilan sistem dan kecepatan komputer dipengaruhi oleh beberapa hal :

• Kapasitas memory, hardisk dan kecepatan prosesor. • Banyaknya aplikasi yang dibuka secara bersamaan

(multitasking). • Serangan virus dan worm. • Kerusakan hardware. Seringkali kita membuka beberapa aplikasi secara sekaligus. Sebenarnya setiap aplikasi yang dijalankan akan menggunakan kapasitas memory komputer. Artinya bahwa semakin banyak membuka aplikasi secara bersamaan, maka semakin lambatlah respon komputer karena memory penuh. Di sisi lain, virus yang

7 bersemayam di komputer akan menduplikasikan dirinya terus-menerus, memakan kapasitas memory, dan menginfeksi bahkan merusak file-file di komputer kita.

3. INFORMASI DATA TIDAK AKURAT Sebagai perusahaan besar lintas sektoral sekaligus perusahaan publik terkemuka, PGN wajib memiliki sistem yang akurat dan terpercaya. Kita sebagai karyawan berkewajiban untuk membantu memelihara mengelola informasi yang akurat agar tidak terjadi kesalahan yang dapat merugikan pihak PGN. Keakuratan data didukung oleh beberapa faktor, yaitu : • Kebenaran user dalam menginput informasi ke dalam

aplikasi pengolah data. • Kualitas aplikasi pengolah data. • Serangan internal/eksternal (hacker dan cracker). • Virus. • Stabilitas jaringan dan komputer.

Konsentrasi kita sangat dibutuhkan dalam menginput data dan menggunakan aplikasi pengolah data, seperti Office Excel. Kesalahan dalam menginput akan mempengaruhi akurasi data proses dan laporan. Virus atau serangan hacker juga dapat memanipulasi data. Kemampuan kita untuk mengelola dan memberikan data

secara cepat dan akurat akan menjadi salah satu aspek penilaian kinerja kita.

4. FITNAH Penggunaan teknologi informasi yang sembarangan dapat menyebabkan fitnah yang akan sangat merugikan kita. Bukan hanya nama baik dan tapi reputasi kita juga yang rusak, tetapi juga sanksi berupa pemecatan oleh perusahaan atau ancaman hukuman pidana. Seseorang yang mencuri, mengubah dan merusak data dari sistem komputer dengan mengetahui dan menggunakan identitas (user id) lain akan menjadi fitnah yang berbahaya.

8 Seringkali kita sebagai user lupa betapa penting dan rahasia user id dan password kita. Bahkan tukar menukar user id menjadi kebiasaan kita. Bayangkan jika teman kita mengetahui password kita dan kebetulan berbuat jahat dengan

mengatasnamakan kita dengan memberi informasi palsu. Karena itu pastikan bahwa password dalam keadaan aman, jika memungkinkan selalu diubah secara teratur.

5. KEBOCORAN INFORMASI Bocornya informasi-informasi penting dan rahasia perusahaan ke pihak luar dapat menyebabkan hal-hal sebagai berikut : • Hilangnya kesempatan bisnis karena rencana dan strategi

jangka panjang maupun pendek sudah diketahui kompetitor.

• Jatuhnya reputasi dan citra perusahaan. • Efek buruk kinerja perusahaan diikuti penurunan harga

saham PGAS. • Tuntutan hukum. • Pemalsuan dan penipuan oleh pihak-pihak yang tidak

bertanggung jawab. Sistem dan teknologi informasi merupakan tulang punggung dari efisiensi dan performansi kerja perusahaan serta kualitas layanan. Semua data-data penting dan rahasia diolah dengan menggunakan teknologi informasi yang sudah barang tentu harus aman dari berbagai kebocoran informasi tersebut.

6. SANKSI HUKUM Pelanggaran hak cipta merupakan hal

sederhana yang dapat menyeret ke sidang meja hijau. Penggunaan dan penyebaran

tanpa izin (ilegal) terhadap software-software yang tidak resmi (bajakan)

merupakan tindak pidana yang diatur Undang-undang Republik Indonesia tahun 2002 tentang Hak Cipta. Selain itu, penyalahgunaan fasilitas yang diberikan perusahaan dan

9 pembocoran informasi rahasia perusahaan kepada pihak lain merupakan pelanggaran etika karyawan. PGN sudah memiliki lisensi resmi atas penggunaan software-software yang mendukung kinerja karyawan dan perusahaan. Semua kebutuhan akan software pendukung pekerjaan seperti Microsoft Windows, Microsoft Office, anti virus, dan sebagainya sudah disediakan perusahaan. Oleh karena itu tidak ada alasan untuk menggunakan software lain diluar standar yang ditetapkan PGN.

10 BAB II

PENCEGAHAN TERHADAP PENYEBAB GANGGUAN

APA YANG HARUS DILAKUKAN? APA YANG HARUS DIHINDARI?

APA YANG HARUS DIWASPADAI?

11 1. UNAUTHORIZED ACCESS

Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme otentikasi dan kontrol akses. Implementasi dari mekanisme ini antara lain dengan menggunakan password dan personal

identifikasi. Unauthorized access atau akses oleh orang yang tidak berwenang merupakan perbuatan ilegal dan dapat menyebabkan hal-hal sebagai berikut : • Pencurian informasi. • Manipulasi data, yang berakibat pada ketidakakuratan data

laporan secara keseluruhan. • Fitnah terhadap orang lain karena identitas yang digunakan

adalah identitas orang tersebut. • Pencurian perangkat elektronik/hardware. • Spinonase, misalnya dengan memasang alat penyadap atau

kamera. • Penyisipan program jahat di komputer user.

YANG HARUS DILAKUKAN : Pastikan password terjaga kerahasiaannya. Ganti password secara teratur.

Buat password berkualitas dengan panjang minimum 4 karakter, tidak berdasarkan data pribadi atau orang lain yang mempunyai kaitan dengan kita, seperti nama, telepon, atau tanggal lahir.

Karakter password usahakan numerik dan alphabet. Pastikan password tidak terlihat ketika kita sedang menginput. Aktifkan fasilitas screensaver tiap 10 menit dengan password. Lakukan Log Off terlebih dulu sebelum meninggalkan komputer. Gunakan password untuk dokumen rahasia. Kenakan selalu id card ketika berada di lingkungan kantor. Pastikan ruang server selalu dalam keadaan terkunci. Gunakan mesin fax hanya untuk pengiriman berita yang sifatnya

segera dan sulit dilayani dengan media lain. Untuk pengiriman dokumen rahasia melalui fax, pastikan pihak

penerima telah siap menunggu.

12 YANG HARUS DIHINDARI :

Menyimpan password pada proses logon otomastis. Menuliskan password di tempat yang mudah dilihat

orang lain, seperti di monitor, meja, map, dll. Saling meminjamkan user id dan password. Saling meminjamkan id card. Meletakkan id card secara sembarangan. Meminjamkan dan memberikan nomor pin telepon.

YANG HARUS WASPADAI : Password yang baik adalah dari suatu kalimat yang

hanya dimengerti oleh kita sendiri. Misal : In1K0d3P4s5w0rd.

Permintaan dan penggunaan user id mengacu pada prosedur yang berlaku mengikuti aturan domain active directory.

2. VIRUS, WORM, TROJAN HORSE, SPYWARE Atau sekarang lebih dikenal dengan spyware,

merupakan program jahat yang dapat menyebabkan hal-hal sebagai berikut : • Virus dapat menyerang data-data di komputer kita, merusak, mereplikasi diri, memenuhi dan menghabiskan resource

sistem sehingga membuat komputer lambat. • Worm dapat menyebar di sistem jaringan dengan sangat cepat

melalui fasilitas e-mail dan sharing folder hingga menyebabkan jaringan down. Selain itu worm juga dapat menyebar dengan cepat dan menyebabkan komputer hang.

• Spyware lebih cenderung mengambil informasi sistem komputer dan jaringan untuk kemudian mengirimkan datanya ke attacker.

YANG HARUS DILAKUKAN : Pastikan antivirus terinstall dan selalu up to date di

komputer. Dalam hal ini PGN telah menggunakan Symantec Antivirus Corporate di tiap user.

Pastikan juga terdapat aplikasi antispam.

13 Pastikan Windows memiliki patch dan service pack versi terakhir

sesuai rekomendasi Divisi Sistem dan Teknologi Informasi. Tutup semua sharing folder. Lakukan backup data secara berkala. Pastikan backup dilakukan pada media penyimpanan terpisah,

misal hardisk eksternal, usb flashdisk atau cd/dvd.

YANG HARUS DIHINDARI : Membuat sharing file/folder. Bertukar data (copy-paste) sembarangan dari sumber

yang tidak relevan. Melakukan koneksi internet tanpa pengaman tambahan

(antivirus, antispam, patch, service pack, firewall).

YANG HARUS DIWASPADAI : Hati-hati terhadap penerimaan data masuk baik

melalui LAN (Local Area Network), floppydisk, CD, DVD, usb flash disk.

Hati-hati terhadap attachment file dari e-mail kiriman, terutama dari e-mail yang tidak diundang (spam) dan e-mail tidak dikenal.

3. SERANGAN INTERNAL DAN EKSTERNAL Serangan internal dan eksternal merupakan serangan secara langsung ke sistem komputer kita yang dilakukan oleh attacker yang berasal dari dalam atau luar perusahaan; diantaranya :

• Pencurian data-data yang berisi informasi penting dan rahasia. • Perubahan data-data rahasia (dimodifikasi secara ilegal). • Merusak sistem komputer dan jaringan, sehingga mengganggu

kinerja.

YANG HARUS DILAKUKAN : Awasi dan manfaatkan selalu fasilitas screensaver

yang disertai password. Selalu menjaga kerahasiaan user id, password dan

identitas lain.

14 Menjaga kerahasiaan dokumen penting, dan hancurkan jika

sudah tidak diperlukan.

YANG HARUS DIHINDARI : Memberitahukan IP Address, IP Address server dan

informasi penting jaringan kepada pihak luar. Melakukan pembicaraan mengenai informasi-

informasi penting apapun melalui telepon atau ditempat umum seperti café.

Membuang dokumen-dokumen penting yang belum dihancurkan.

YANG HARUS DIWASPADAI : Melakukan serangan terhadap sistem komputer

perusahaan merupakan tindakan kriminal yang diancam dengan sanksi.

Attacker/penyusup dapat dengan mudah mendapatkan informasi apabila mereka sudah berhasil masuk ke dalam sistem.

Hati-hati terhadap penipuan yang bertujuan mendapatkan informasi penting perusahaan (social engineering).

4. KETELEDORAN/HUMAN ERROR Kesalahan-kesalahan manusia yang tidak disengaja seringkali terjadi, misalnya memasukkan data yang salah, menghapus file secara tidak sengaja, atau mengubah data kemudian lupa. Keteledoran manusia ini dapat mengakibatkan kerugian antara lain: • Inkonsistensi data, yang berpengaruh pada laporan perusahaan. • Kerugian waktu jika harus membuat dari awal lagi. • Kerusakan perangkat keras dan perangkat pendukungnya. • Bencana, misalnya korsleting listrik.

YANG HARUS DILAKUKAN : Berkonsentrasi penuh dan fokus pada pekerjaan

terutama saat mengolah data atau transaksi. Selalu periksa ulang saat menginput data penting.

15 YANG HARUS DIHINDARI :

Meletakkan makanan dan minuman disekitar perangkat elektronik, untuk menghindari ketumpahan.

Menggunakan komputer dalam kondisi tangan basah. Mengantuk saat bekerja karena konsentrasi sangat dibutuhkan

pada saat menginput atau memproses data. Mengobrol saat melakukan input data.

5. PENYALAHGUNAAN FASILITAS E-MAIL Penyalahgunaan fasilitas e-mail dapat menyebabkan hal-hal sebagai berikut : • Tingginya tingkat lalu lintas data pengiriman e-mail akan

memakan fasilitas jaringan dan menyebabkan jaringan lambat atau down.

• Besarnya ukuran e-mail yang dikirim juga akan menghabiskan kapasitas jaringan dan storage.

• Banyaknya e-mail yang dikirim. • Sering muncul e-mail tidak diundang (spam). • Virus, worm dan trojan horse disebarkan melalui fasilitas e-mail. • Banyaknya e-mail yang tidak dikenal yang menawarkan

informasi yang menarik padahal sebenarnya telah disisipi program jahat (malicious code).

YANG HARUS DILAKUKAN : Lakukan pengiriman e-mail dengan isi seefektif

mungkin untuk memperkecil ukurannya. Hanya mengirim e-mail yang berhubungan dengan

urusan pekerjaan. Meminimalisasi pengiriman file melalui e-mail (attachment). Gunakan group secara efektif. Semakin banyak user group

semakin besar kebutuhan kapasitas jaringan dan storage. Menuliskan nama jelas, unit kerja, dan lokasi kantor bukan

nama samaran.

16

YANG HARUS DIHINDARI : Melakukan pengiriman secara broadcast. Mengirimkan informasi perusahaan yang bersifat

rahasia kepada pihak yang tidak bertanggung jawab. Membuka apalagi menjawab e-mail spam. Membuka attachment e-mail yang tidak dikenal.

6. SOFTWARE BAJAKAN, SHAREWARE DAN FREEWARE

Software bajakan, shareware dan freeware merupakan software menarik bagi para pengguna teknologi informasi, karena murah dan mudah mendapatkannya. Tapi sebenarnya adalah bahwa sama sekali tidak ada jaminan dari pihak manapun bahwa software-

software ini tidak disisipi program jahat yang berbahaya, seperti virus, worm, atau trojan

horse. Selain itu dengan menggunakan software bajakan dapat diimplikasikan sebagai berikut : • Penggunaan sofware bajakan merupakan pelanggaran hukum dengan

ancaman sanksi pidana (UU Republik Indonesia Nomor 19 Tahun 2002 tentang Hak Cipta).

• Tidak memiliki jaminan purna jual. • Tidak memilki jaminan keamanan. • Tidak memiliki jaminan kualitas. • Dapat menyebabkan kerusakan hardware maupun software.

YANG HARUS DILAKUKAN : Pastikan bahwa sotware terinstall adalah software

standar perusahaan.

17 Koordinasi dengan Divisi Sistem dan Teknologi

Informasi sebelum membeli, mengembangkan atau melakukan installasi.

YANG HARUS DIHINDARI : Menggunakan software bajakan, shareware, dan

freeware. Melakukan installasi software diluar software standar

PGN.

YANG HARUS DIWASPADAI : Pembajakan atas hak cipta adalah tindakan kriminal. Virus, worm dan trojan horse akan selalu berusaha

menyerang dengan seringkali menyamar dan bersembunyi di belakang software bajakan, shareware dan freeware.

Gratis atau murah merupakan hal menarik dalam hal penggunaan software teknologi informasi, tetapi tidak ada yang bisa menjamin bahwa software tersebut tidak akan bisa menimbulkan permasalahan baru di kemudian hari.

Software yang diinstall sendiri tanpa pemberitahuan kepada Divisi Sistem dan Teknologi Informasi termasuk software ilegal perusahaan.

7. KERUSAKAN HARDWARE DAN PERANGKAT PENDUKUNGNYA

Termasuk di dalamnya : • Kerusakan hardisk yang berakibat pada kerusakan atau

kehilangan file-file data. • Kestabilan sistem terganggu dan berakibat inkonsistensi data. • Komputer menjadi lambat dan hang. • Komputer sama sekali tidak bisa digunakan.

YANG HARUS DILAKUKAN : Pastikan bahwa casing CPU selalu dalam keadaan

tertutup. Selalu melakukan backup data-data penting secara berkala.

18 Jauhkan makanan dan minuman dari perangkat elektronik di

sekitarnya. Pastikan bahwa AC pendingin terutama ruang server berfungsi

dengan baik. Periksa kestabilan tegangan listrik yang terhubung ke komputer

dan segera laporkan ke pihak terkait jika tegangan berfluktuasi (misalnya komputer tiba-tiba sering mati, lampu sering redup atau padam).

Pastikan kabel power perangkat komputer tersusun rapi dan terhubung baik pada stop kontak.

Sebaiknya stop kontak hanya terisi paling banyak 3 perangkat elektronik.

YANG HARUS DIHINDARI : Menutup lubang udara di monitor dan CPU pada saat

komputer aktif. Menggunakan komputer dalam kondisi tangan basah

atau berminyak. Meletakkan CD, DVD, usb flashdisk, dan disket di tempat kotor

atau lembab atau basah. Membiarkan komputer user tetap hidup ketika pulang. Melepas steker listrik komputer saat komputer hidup.

YANG HARUS DIWASPADAI : Sering melakukan save dokumen penting.

8. BENCANA ALAM DAN HURU-HARA Bekerja di dalam lingkungan teknologi informasi tidak hanya memikirkan rencana operasional harian, tetapi juga harus memikirkan rencana- rencana untuk menghadapi bencana, antisipasi, dan pemulihannya. Kelangsungan aktivitas operasional harian adalah hal yang paling utama yang tidak boleh sampai lumpuh total bila suatu saat terjadi bencana. Hal ini disebut Disaster Recovery Plan.

19 Bencana dapat menyebabkan hal-hal sebagai berikut :

• Kehancuran fisik atau pencurian asset fisik. • Kehilangan dan kehancuran data dan file program. • Pencurian informasi. • Tertundanya kegiatan operasional.

YANG HARUS DILAKUKAN : Lakukan back up data secara berkala. Simpan dan back up di tempat terpisah dengan

komputer, seperti di usb flashdisk, cd/dvd, kemudian simpan di tempat yang paling aman.

Pastikan perangkat elektronik berada di tempat aman, seperti tidak mudah jatuh, tidak kebocoran, dll.

Pastikan di sekitar terdapat peralatan penanggulangan bencana, misalnya tabung pemadam kebakaran, detektor api, dsb.

Jika banjir mulai masuk ke lingkungan kantor, shutdown komputer, matikan mcb listrik, kemudian prioritaskan perangkat elektronik yang berada di lantai untuk dipindahkan ke tempat tinggi.

YANG HARUS DIHINDARI : Meletakkan minuman atau cairan lain di dekat

stopkontak/sumber listrik atau perangkat elektronik lain.

YANG HARUS DIWASPADAI : Kecerobohan dapat menyebabkan bencana yang

berakibat fatal, misalnya kebakaran karena korsleting listrik akibat air minum yang tumpah, dsb.

20 9. SOCIAL ENGINEERING

Social Engineering merupakan keahlian attacker dalam mengeksplorasi sisi manusiawi kita sehingga kita percaya kepadanya untuk memberikan informasi-informasi penting yang akan membantu dalam mendapatkan hak akses untuk menembus keamanan sistem informasi. Social engineering dapat menyebabkan hal-hal sebagai berikut : • Pencurian data-data identitas user seperti user id dan password. • Pencurian informasi-informasi penting rahasia perusahaan.

YANG HARUS DILAKUKAN : Yakin bahwa kita memegang kendali penuh atas

integritas dan tanggung jawab terhadap pekerjaan meskipun menghadapi suatu perintah yang lebih berwenang.

Pastikan untuk mendapat identitas detail dari seseorang saat menerima telepon.

Jika merasa telah menjadi korban social engineering, segera laporkan kepada atasan atau petugas security secepatnya.

YANG HARUS DIHINDARI : Terlalu mudah mempercayai orang lain terutama

pihak-pihak yang meminta suatu informasi. Mudah tergoda dengan tawaran-tawaran melalui e-

mail, internet atau sms. Mudah mempercayai program-program yang mungkin muncul

di komputer terutama yang meminta user id dan password. Melakukan pembicaraan penting dan rahasia di tempat umum.

YANG HARUS DIWASPADAI : Social engineering akan selalu mencoba untuk

mendapatkan informasi-informasi tanpa menimbulkan suatu kecurigaan tentang apa yang mereka lakukan. Target awal mereka adalah kepercayaan Anda.

21 Social engineering memanfaatkan sisi manusiawi sebagai

kelemahan kita, misalnya keinginan untuk selalu menolong orang lain, mudah panik bila ada ancaman, dsb.

Suatu studi mengindikasikan bahwa Help Desk dan Resepsionis merupakan target serangan Social Engineering yang palin sering.

Selalu waspada terhadap perubahan staf di kantor termasuk orang-orang baru atau yang mendapat akses ke dalam ruangan kerja dan pastikan bahwa mereka adalah pihak yang berkepentingan.

Waspada dengan isi e-mail yang dikirimkan kepada kita terutama yang berisi permintaan data atau bujukan-bujukan tertentu.

Sebuah kesalahan yang sering dilakukan adalah orang cenderung untuk menggunakan password yang sama untuk berbagai layanan yang dimilikinya, misalnya e-mail, ATM, internet banking, dsb. Akibatnya begitu seorang attacker berhasil mendapatkan password tadi, dia akan memasuki semua layanan yang tersedia untuk orang tadi.

Trik-trik social engineering : Human based, contohnya :

o Berpura-pura menjadi karyawan yang meminta informasi teknis melalui Help Desk.

o Berpura-pura menjadi karyawan penting (misalnya atasan) yang meminta suatu informasi dengan alasan data tersebut sangat dibutuhkan untuk sesuatu hal.

o Berpura-pura sebagai petugas teknisi yang meminta untuk login karena sesuatu hal. Bagaimanapun harus ada penanggungjawab pendamping dari PGN.

o Mengaku-ngaku dan menggunakan nama seseorang atau mengatasnamakan direksi yang mendapat otorisasi untuk mendapatkan sesuatu informasi.

o Secara fisik menyamar sebagai salah seorang karyawan, tamu, atau office boy untuk mendapat akses ke dalam ruangan.

Information technology based, contohnya : o Popup window; suatu form window akan muncul di layar

monitor dan memberitahu user bahwa koneksi jaringannya terputus dan harus menginput kembali user

22 id dan passwordnya. Informasi ini akan secara otomatis

dikirim ke intruder untuk kemungkinan disalahgunakan. o Website; cara umumnya biasanya menawarkan sesuatu

yang gratis atau kesempatan memenangkan suatu undian dan meminta kita untuk memberikan e-mail address dan password.

o Spam, chain letters (surat berantai), dan hoax; mengirimkan e-mail yang berisi perintah untuk meneruskan dan menyebarluaskan ke orang lain. Biasanya e-mail tersebut tidak kita kenal dan isinya belum tentu benar.

o Telekomunikasi; penipuan undian berhadiah lewat sms atau telepon.

23 BAB III

INFORMASI DAN PENJELASAN TENTANG PENYEBAB GANGGUAN

PENJELASAN KONSEP DASAR DAN INFORMASI SINGKAT TENTANG PENYEBAB GANGGUAN SISTEM TEKNOLOGI INFORMASI

24 1. UNAUTHORIZED ACCESS

Intruder (hacker dan cracker) berlomba-lomba untuk menyusup dengan berbagai cara guna mendapatkan user id dan password untuk kemudian masuk dan mengobrak-abrik sistem komputer dan mengambil keuntungan darinya, misalnya mendapatkan data rahasia, membobol internet banking atau justru hanya kesenangan belaka hanya untuk kepuasan karena telah berhasil menembus

benteng pertahanan sistem teknologi informasi. Betapa mengerikan ancaman yang ditimbulkan para intruder ini. Intruder tidak hanya menyusup melalui sistem jaringan komputer saja, tetapi juga menyusup secara fisik misalnya masuk ke ruangan server dan

meng-copy data-data rahasia. Para penyusup ini bisa dari luar maupun orang dalam. Tetapi ironinya, kita secara lugu menginformasikan identitas kita kepada orang lain. Pernahkah terpikir oleh Anda jika suatu saat terjadi insiden pencurian atau manipulasi data, maka Anda dan karyawan lainnya (orang dalam) merupakan orang-orang pertama yang dicurigai. Sudahkah kita peduli? 2. VIRUS, WORM, TROJAN HORSE, SPYWARE • Virus adalah program yang memiliki kemampuan jahat untuk

mereproduksi diri mereka sendiri dan terdiri dari kumpulan kode yang dapat memodifikasi target kode (program) yang sedang berjalan, atau dapat pula memodifikasi struktur internal target kode, sehingga target kode sebelum berjalan dipaksa menjalankan virus. Contoh rontokbro, nimda, mytob.

• Worm, merupakan program yang mengcopy dirinya sendiri. Perbedaan mendasar dari worm dan virus adalah apakah menginfeksi target code atau tidak. Virus menginfeksi target code, tetapi worm tidak. Worm menyebabkan komputer berjalan sangat lambat dan menyebar di jaringan menyerang share folder dengan full akses.

• Trojan horse diproduksi dengan tujuan jahat. Berbeda dengan virus, tojan horse tidak dapat memproduksi sendiri. Pada umumnya mereka dibawa oleh utility program lainnya. Utility

25 program tersebut mengandung dirinya, atau trojan horse itu

sendiri berlagak sebagai utility program. Pada dasarnya virus, worm, dan trojan horse menyebar melalui perpindahan data. Data-data ini dapat menyebar melalui berbagai aktivitas, seperti : • Tukar menukar usb flashdisk, disket, cd/dvd dan media

penyimpanan data lainnya yang terinfeksi. • Sistem jaringan komputer melalui file yang di-share (sharing file)

dan copy paste data sembarangan. • Download file, cookie, dan menjalankan program-program di

internet. • E-mail dan attachment file.

3. SERANGAN INTERNAL DAN EKSTERNAL Salah satu cara untuk melakukan gangguan-gangguan terhadap sistem teknologi informasi yaitu dengan cara serangan langsung atau penetrasi (hacking atau cracking) ke sistem informasi. Yang termasuk ke dalam cara ini adalah : • Penyadapan jalur telekomunikasi dan ikut masuk ke dalam

sistem komputer bersama-sama dengan pemakai sistem informasi yang resmi.

• Penetrasi ke sistem komputer dengan memakai identitas dan password dari orang lain yang sah. Identitas dan password ini biasanya diperoleh dari orang dalam.

• Penyadapan informasi di jalur transmisi privat.

26 Serangan internal adalah serangan yang dilakukan oleh orang

dalam perusahaan sendiri, sedangkan serangan eksternal dilakukan oleh orang diluar perusahaan. Seringkali serangan internal dan eksternal ini dilakukan sekaligus dengan melibatkan orang di dalam dan luar perusahaan. Misalnya informasi tentang IP Address dan dial-up private number diberitahukan kepada pihak luar, kemudian pihak luar melakukan koneksi remote access dan menyerang server untuk mengambil data-data penting atau bahkan merusaknya.

4. HUMAN ERROR/KETELEDORAN Seringkali kita teledor dalam melakukan aktivitas keseharian kita di kantor. Mulai dari lupa menyimpan (save) dokumen, salah menghapus (delete) file, sampai keyboard komputer atau dokumen penting kita tersiram cairan yang diletakkan di meja. Sebenarnya keteledoran adalah merupakan salah satu faktor terbesar penyebab gangguan-gangguan sistem teknologi informasi. Gambar dibawah merupakan hasil survey yang menunjukkan bahwa human error merupakan penyebab terbesar permasalahan pada sistem teknologi informasi.

Human Error. Kecelakaan. Kelalaian

(50%-80%)

Karyawan Tidak Jujur (10%-17%)

Bencana (10%-15%)

Karyawan Tidak Puas (3%-4%)

Air (2%-3%)

Serangan Outsider/Intruder (1%-3%)

27 Teledor atau ketidaksengajaan mungkin merupakan hal yang tidak

bisa dihindari karena diluar keinginan kita. Tapi teledor bukanlah hal yang tidak dapat dicegah. Misalnya kita semua tahu bahwa komputer merupakan barang elektronik yang sangat rentan terhadap air, karena itu jauhkanlah komputer dari air (makanan dan minuman). Seringkali kita mengantuk saat bekerja misalnya saat menginput data, menghapus file, menyimpan dan sebagainya, karena itu cobalah untuk selalu memeriksa kembali pekerjaan yang sudah dibuat dan usahakan untuk tidur cukup berkualitas agar tidak mengantuk.

5. PENYALAHGUNAAN FASILITAS E-MAIL Penyalahgunaan dan eksploitasi fasilitas e-mail terjadi dalam 5 bentuk, yaitu : mail floods, manipulasi perintah, serangan tingkat transportasi, memasukkan program jahat (malicious code) dan social engineering. Penyerangan e-mail bisa membuat sistem

menjadi crash, membuka dan menulis ulang bahkan mengeksekusi file-file aplikasi atau juga membuat akses ke fungsi-fungsi perintah sistem (memanipulasi perintah).

Seringkali aktivitas penyalahgunaan e-mail seperti diatas dilakukan sendiri oleh si pengguna e-mail tanpa dia sendiri menyadarinya. Aktivitas itu antara lain : • Sering mengirim e-mail yang tidak penting dan diluar

kepentingan pekerjaan. • Mengirim file attachment yang berukuran besar. • Mengirim e-mail secara broadcast. • Tidak waspada akan kiriman file yang mungkin berisi program-

program jahat.

6. SOFTWARE BAJAKAN, SHAREWARE DAN FREEWARE

Software bajakan adalah software yang merupakan duplikasi dari software aslinya yang diperjualbelikan secara tidak sah dan bersifat

28 ilegal. Software bajakan ini tidak terdaftar dan tidak memiliki lisensi

dari perusahaan pembuatnya.

Shareware adalah software yang dapat digunakan secara gratis dalam jangka waktu tertentu.

Freeware adalah software yang dapat digunakan secara gratis dalam jangka waktu tidak terbatas.

Kemurahan dan kemudahan mendapatkan software-software bajakan, shareware dan freeware telah menjadi daya tarik besar bagi para pengguna komputer untuk menggunakannya.

Memang tidak semua shareware dan freeware disisipi program berbahaya tetapi siapa yang bisa menjamin bahwa shareware dan freeware tersebut benar-benar merupakan suatu program berguna yang bebas dari maksud-maksud jahat. Hal-hal yang berhubungan dengan gratis akan selalu menjadi daya tarik yang kuat tetapi sekaligus menjadi pertanyaan tentang apa maksud dibalik gratis tersebut.

7. KERUSAKAN HARDWARE DAN PERANGKAT PENDUKUNGNYA

Hardware dan perangkat pendukungnya merupakan tubuh bagi sistem teknologi informasi. Tubuh ini harus dijaga dengan baik. Karena jika rusak, sebagus dan semahal apapun aplikasi yang di dalamnya tidak akan bisa difungsikan.

Pada dasarnya hardware bekerja berdasarkan aliran listrik. Data yang diolah, karakter yang dicetak, sampai dengan screensaver yang muncul di monitor merupakan hasil dari pemrosesan arus listrik. Kisah nyata diatas

membuktikan betapa rentannya hardware terhadap gangguan listrik.

29 8. BENCANA ALAM DAN HURU-HARA

Betapa besar dampak negatif dari suatu bencana. Bencana memang merupakan kejadian yang tidak bisa diramalkan, tetapi kita dapat membuat langkah-langkah antisipasi untuk mengurangi dampak negatifnya.

Berdasarkan sumbernya bencana terdiri dari 2 macam, yaitu : • Bencana alam seperti kebakaran, banjir, gempa bumi, angin

ribut, petir dan tsunami. • Aksi-aksi yang dilakukan manusia seperti peledakkan bom dan

huru-hara.

PGN sebagai salah satu perusahaan publik terbesar yang memiliki kantor cabang di beberapa wilayah Indonesia jelas merupakan perusahaan yang berpotensi terkena bencana. Namun sebagai perusahaan yang loyal kepada pelanggannya, bencana yang mungkin terjadi diupayakan sebisa mungkin tidak sampai mengganggu kegiatan operasional harian.

9. SOCIAL ENGINEERING Metode untuk melakukan social engineering bisa dibagi dalam dua cara yaitu secara fisik dan secara psikologi. a. Social engineering dengan melakukan hubungan telepon. Yang

paling sering terjadi adalah metode ini. Dengan melakukan sedikit trik seorang attacker yang berpengalaman akan mampu membuat karyawan yang bertugas akan mengucapkan username dan password atau informasi lain yang dibutuhkan si attacker. Biasanya yang bertugas di lini depan, operator atau helpdesk.

b. Trashing, yaitu attacker mengumpulkan informasi dengan memeriksa sampah perusahaan target. Misalnya kalender menunjukkan pekerja mana saja yang akan berutugas keluar kota pada saat tertentu, catatan harian dapa dipelajari untuk mengetahui kelemahannya.

c. Koneksi sistem jaringan. Ketika seorang karyawan sedang melakukan pekerjaannya tiba-tiba sebuah popup window keluar dan mengiklankan tawaran menarik. Tanpa curiga karyawan tadi

30 masuk ke iklan tersebut dan mengisi data-data identitas diri.

Dan memang semudah itu attacker mendapatkan informasi. d. Pendekatan psikologis. Dilakukan dengan mengadakan ikatan

emosional dalam tujuan mendapat kepercayaan. Misalnya dengan menjalin suatu hubungan dengan orang dalam, apapun bentuknya lambat laun attacker mendapatkan rahasia perusahaan yang ada di tangan orang dalam tersebut.

31 BAB IV

LAMPIRAN-LAMPIRAN

DAFTAR ISTILAH REFERENSI

32 DAFTAR ISTILAH

Attachment _ fasilitas pada e-mail untuk mengirimkan file atau gambar yang diikutsertakan pada e-mail yang akan dikirim.

Attacker_ orang yang melakukan serangan ke sistem teknologi informasi.

Software bajakan_ software duplikasi yang diperjualbelikan secara ilegal.

Bandwidth_ kapasitas transmisi dari sambungan elektronik seperti jaringan komunikasi. Biasanya digunakan untuk mengukur kecepatan sistem jaringan komputer dan internet.

Broadcast e-mail_ mengirimkan e-mail secara sekaligus keseluruh alamat yang ada di daftar e-mail.

Cookies_ file teks dalam hardisk yang dibuat oleh website yang kita buka. Berisi catatan aktivitas dan informasi lain.

Hacker/cracker_ orang yang memaksa masuk ke suatu sistem komputer secara ilegal. Terkadang hacker dan cracker menggangu dan menimbulkan kerusakan pada sistem.

Dial-up_ jalur komunikasi yang menggunakan modem dan saluran telepon biasa untuk bisa berhubungan dengan provider untuk bisa mengakses internet.

USB flashdisk_ perangkat elektronik penyimpan data, menggunakan port USB.

Freeware_ software yang didistribusikan secara gratis dalam waktu tak terbatas.

Modem_ modelator de modulator. Perangkat elektronik untuk menerjemahkan informasi digital ke analog dan sebaliknya.

Multitasking_ menjalankan dua atau lebih program aplikasi dalam sebuah komputer dalam waktu yang bersamaan.

Screensaver_ suatu program yang akan berjalan pada saat komputer sedang idle (tidak sedang digunakan).

Shareware_ software yang didistribusikan secara gratis dalam jangka waktu tertentu.

33 Spam_ pesan tidak diinginkan yang masuk melalui e-mail, bisa

berarti pesan yang tidak berarti atau iklan yang tidak berguna.

REFERENSI www.microsoft.com/technet

www.ilmukomputer.com

www.ictwatch.com

www.komputeraktif.com

www.chip.co.id

www.wikipedia.org

Kewaspadaan Terhadap Keamanan Teknologi Informasi Bank Niaga, 2005

Prosedur Operasi, Security Policy, PT PGN (Persero) Tbk, 2005

34

PT PERUSAHAAN GAS NEGARA (Persero) Tbk Divisi Sistem dan Teknologi Informasi

Gedung B Lantai 6 Jl. KH Zainul Arifin No 20 Jakarta 11140

Help Desk # 2323