Aksi Nyata Disiplin Positif Keyakinan Kelas untuk SMK
Paper - Hamsah (2019120020) & Nurholis (2019121025).pdf
1. 1
RISIKO KEAMANAN INFORMASI
BERBASIS KOMPUTER
Hamsah1
, Nurholis 2
STMIK Borneo Internasional
Jurusan Sistem Informasi
1
44177m@gmail.com,2
nurholis505@gmail.com
Abstrak
Penelitian ini memiliki tujuan untuk memperkaya teori-teori dalam keamanan sistem informasi. Adapun yang
menjadi latar belakang dalam penelitian ini karena perkembangan teknologi komputer yang kian pesat
sebagai pusat penyimpanan Informasi mulai awal tahun 1970-an hingga sekarang bahkan saat ini aplikasi
bisnis yang menggunakan (berbasis) Teknologi Informasi dan jaringan komputer semakin meningkat.
Peningkatan kemampuan pengguna komputer sehingga Penyerang yang hanya bisa memulai banyak
pengguna yang mencoba-coba bermain atau membongkar sistem yang digunakannya (atau sistem milik orang
lain). Jika dahulu akses ke komputer sangat sukar, maka sekarang komputer sudah merupakan barang yang
mudah diperoleh dan terpasang di sekolah maupun rumah. Kejahatan yang sangat berbahaya misalkan
pencurian (Hacking) secara fisik terhadap data atau aset TI hingga yang hanya mengesalkan (annoying).
Kejahatan penggunaan TI tersebut sebagian besar terjadi karena lemahnya keamanan TI. Dengan amannya
keseluruhan lingkungan tempat Informasi tersebut berada, maka kerahasiaan, integritas, dan ketersediaan
Informasi akan dapat secara efektif berperan dalam meningkatkan keunggulan, keuntungan, nilai komersial,
dan citra organisasi yang memiliki aset penting.
Kata Kunci – Aset, Informasi, Hacking, Keamanan, Komputer
1. PENDAHULUAN
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Lebih jauh lagi banyak pihak
yang beranggapan bahwa era sekarang merupakan zaman Informasi atau dikenal dengan information based
society. Kemampuan untuk mengakses dan menyediakan Informasi secara cepat dan akurat menjadi sangat
esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi,
lembaga pemerintahan, maupun individual. Hal ini dimungkinkan karena perkembangan teknologi komputer
yang kian pesat sebagai pusat penyimpanan Informasi mulai awal tahun 1970-an hingga sekarang.
Kejahatan dalam penggunaaan teknologi informasi (TI) sangat erat kaitannya dengan kejahatan
dalam penggunaan komputer dan internet karena keduanya memegang peranan penting di dunia TI. Kejahatan
dalam penggunaan TI kemudian lebih sering dikenal dimasyarakat luas sebagai kejahatan komputer. [1]
Kejahatan dibidang komputer yang secara umum dapat diartikan sebagai penggunaan komputer
secara ilegal [1]. Kejahatan komputer pada dasarnya dilakukan untuk mendapatkan informasi-informasi
penting dalam fasilitas informasi, maka pengamanan dilakukan bukan hanya terhadap informasi itu sendiri
tapi juga pada fasilitas informasi yang terkait.
Masalah-masalah yang paling banyak dijumpai terkait keamanan sistem informasi pada saat ini
sangat dipengaruhi oleh keterbukaan informasi, ilmu pengetahuan serta kecepatan kemajuan teknologi.
Identifikasi masalah dalam jurnal kami ini dapat diuraikan yaitu 1). meningkatnya kejahatan komputer, 2).
Statistik kejahatan TI yang semakin mengkhawatirkan, serta 3). kelemahan-kelemahan keamanan TI.
Jika ditinjau dari definisinya, kejahatan komputer adalah kejahatan yang dilakukan oleh seseorang
dengan menggunakan telologi atau perangkat komputer serta alat pendukungnya. Hal tersebut dijelaskan oleh
dalam buku “Electronic Data Processing (EDP) Control and Auditing yang mendefinisikan mengenai
Computer Related Crime (kejahatan yang berhubungan dengan komputer) [1].
2. j-sim : Jurnal Sistem Informasi
e-ISSN :
2
Tujuan penelitian jurnal ini antara lain untuk menguraikan kejahatan dalam penggunaan TI,
menjelaskan bagaimana kejahatan TI dari waktu ke waktu semakin meningkat serta menguraikan kelemahan
keamanan teknologi informasi berbasis komputer
Penelitian ini diharapkan memberikan manfaat secara teoritis maupun praktis Manfaat teoritis yaitu
diharapkan mampu memperkaya teori-teori berkaitan dengan keamanan sistem informasi berbasis komputer
sementara dari sisi mannfaat praktis secara pribadi diharapkan mampu memberikan pelajaran dalam
penyusunan sebuah jurnal penelitian yang berdasar pada metode kualitatif dari sumber literatur resmi dan
memperkaya hasil-hasil penelitian berkaitan dengan keamanan sistem informasi.
2. METODE PENELITIAN
Metode penelitian yang penulis gunakan adalah motode kualitatif, yaitu dengan melakukan
pengkajian literatur yaitu dari buku yang telah dipilih dengan topik “Manajemen Resiko Keamanan
Informasi” serta sumber-sumber valid lainnya. Penelitian ini juga merujuk pada penelitian-penelitian
sebelumnya [2], [3] dan [4].
Tahapan pengumpulan data mulai dari mengkaji literasi yang telah dipilih, menganalisasi kemudian
menuangkannya kedalam tulisan ini. Dalam tahapan analisis data, penulis memberikan batasan-batasan agar
pembahasan tidak terlalu meluas.
3. HASIL DAN PEMBAHASAN
3.1 Tren Meningkatnya Kejahatan Komputer
Tren meningkatnya jumlah kejahatan komputer (computer crime) terutama yang berhubungan
dengan Sistem Informasi terus meningkat dari waktu ke waktu. Hal tersebut dipicu oleh beberapa kondisi dan
hal-hal berikut :
a. Aplikasi bisnis yang menggunakan (berbasis) Teknologi Informasi dan jaringan komputer semakin
meningkat. Sebagai contoh saat ini mulai muncul berbagai aplikasi bisnis seperti online banking,
electronic commerce (e-commerce), Electronic Data Interchange (EDI), dan masih banyak yang lain.
Bahkan aplikasi e-commerce akan menjadi salah satu aplikasi pemacu di Indonesia (melalui “Telematika
Indonesia” (Tim Koordinasi Telematika Indonesia, 1998 : dan “Nusantara 21”). Aplikasi tersebut juga
mulai terlihat dipergunakan di berbagai penjuru dunia.
b. Desentralisasi server menyebabkan lebih banyak sistem yang harus ditangani. Dengan demikian,
kebutuhan operator dan administrator yang handal kian meningkat untuk disebar di berbagai lokasi.
Kebutuhan tersebut cenderung tidak mudah dipenuhi sehingga biasanya server-server di daerah (bukan
pusat) tidak dikelola dengan baik dan lebih rentan terhadap serangan. Seorang cracker akan menyerang
server yang terletak di daerah terlebih dahulu sebelum mencoba menyerang server pusat. Setelah itu
cracker akan menyusup melalui jalur belakang (biasanya dari daerah/cabang ke pusat ada routing dan
tidak dibatasi dengan firewall) sehingga mampu mengakses server pusat.
c. Adanya transisi dari single vendor ke multi-vendor menyebabkan lebih banyak sistem atau perangkat yang
harus dimengerti dan masalah interoperability antar vendor lebih sulit ditangani. Sebagai contoh, jenis-
jenis router dari berbagai vendor : Cisco, Juniper Networks, Norte Linux-based router, BSD-based
(Benkely " Sofware Distribution) router dan lainnya. Contoh yang lain adalah berbagai sistem operasi
(Operating System) dari berbagai server : Solaris (dengan berbagai versinya), Windows (NT, 2000, 2003),
Linux (dengan berbagai distribusi), BSD (dengan berbagai variasinya mulai dari FreeBSD, OpenBSD,
NetBSD). Dengan demikian, pemanfaatan jasa vendor tersebut sebaiknya tidak menggunakan variasi yang
terlalu banyak (Hidayat, 2007).
d. Peningkatan kemampuan pengguna komputer sehingga Penyerang yang hanya bisa memulai banyak
pengguna yang mencoba-coba bermain atau membongkar sistem yang digunakannya (atau sistem milik
orang lain). Jika dahulu akses ke komputer sangat sukar, maka sekarang komputer sudah merupakan
barang yang mudah diperoleh dan terpasang di sekolah maupun rumah
3. Nurholis 1, Hamsah 2, Risiko Keamanan Informasi Berbasis Komputer
3
e. Kemudahan dalam memperoleh perangkat lunak (software) untuk menyerang komputer dan jaringan
komputer. Banyak situs di internet yang menyediakan sofware dengan sifat free sehingga dapat diunduh
(download dan langsung dipakai dengan dukungan Graphical User Interface (GUI) yang mudah
dipahami. Beberapa program, contohnya SATAN, bahkan hanya membutuhkan sebuah halaman
penjelajah (Web browser) untuk menjalankan program penyerang (attack). Penyerang yang hanya bisa
menjalankan program tanpa mengerti apa maksudnya disebut dengan istilah script kiddie.
f. Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang
sangat cepat. Hukum yang berbasis ruang dan waktu akan mengalami kesulitan untuk mengatasi masalah
yang justru terjadi pada sebuah sistem yang tidak memiliki tuang dan waktu. Barang bukti digital juga
masih sulit diakui oleh pengadilan Indonesia sehingga menyulitkan dalam pengadilan. Akibatnya pelaku
cybercrime hanya dihukum secara ringan sehingga ada kecenderungan pengulangan kejadian yang sama.
g. Semakin kompleksnya sistem yang digunakan, sebagai contoh semakin besarnya program (source code)
yang dipakai sehingga semakin besar probabilitas terjadinya lubang keamanan (yang disebabkan
kesalahan pemrograman, bugs). Seperti yang diungkapkan oleh [Schneier, 2001] dalam buku “Secrets &
Lies: Digital Security in a Networked World”, kompleksitas adalah musuh terbesar dari Keamanan
Informasi (“Complexity is the worst eneny of Security”).
h. Semakin banyak perusahaan yang menghubungkan Sistem Informasi-nya dengan jaringan komputer yang
global seperti Internet. Hal ini membuka akses (sebagai target dan juga sebagai penyerang) dari seluruh
dunia. Potensi Sistem Informasi yang dapat diakses dari manapun menjadi lebih besar. Alasan-alasan
tersebut semakin membuat populernya bidang security saat uni.
i. Berdasar Survei IT Governance Institute pada tahun 2008, ancaman terhadap TI yang telah diterapkan di
dunia bisnis dari tahun-ketahun semakin meningkat dengan tingkat ancaman yang dapat dikelompokkan
sebagai berikut.
1) Attack from outside : 43 %
2) Error and Mistakes : 23 %
3) Deliberate from inside : 15 %
4) Physical damaged : 12 %
Berdasar hasil survei tersebut, jelas bahwa ancaman terhadap TI yang terbesar adalah serangan dari luar
yaitu yang bernilai 43%.
Tren meningkatnya kejahatan komputer secara kuantitatif dapat dilihat dari data statistik kejahatan TI
yang akan dipaparkan dalam pembahasan selanjutnya.
3.2 Statistik Kejahatan TI
Berdasar data statistik di internet yang diambil antara bulan januari 2008 — Desember 2008 IC3
website menerima laporan kejahatan di internet sejumlah 275.284 hal ini menunjukkan peningkatan 33% jika
dibandingkan pada tahun 2007 yang hanya sejumlah 206.884. Data-data berikut merupakan statistik yang
berhubungan dengan data sejarah kejahatan TI yang diambil mulai kurun waktu tahun 1998 - 2005. Data-data
tersebut dapat dijadikan gambaran bahwa sebenarnya kejahatan TI telah lama mengancam dan
membahayakan. Beberapa kejahatan TI yang terdokumentasi akan dipaparkan sebagaimana berikut :
a) John Howard dalam penelitiannya di Computer Emergency Respon Team (CERT) yang berlokasi di
Carnegie Mellon University mengamati insiden di internet yang belangsung selama kurun waktu 1989
sampai dengan 1995. Hasil penelitiannya antara lain bahwa setiap domain akan mengalami insiden
sekali dalam satu tahun dan sebuah komputer (host) akan mengalami insiden sekali dalam 45 tahun.
b) Tahun 1996, United States Federal Computer Incident Response Capabihity (FedCIRC) melaporkan
bahwa lebih dari 2500 insiden di sistem komputer atau jaringan komputer yang disebabkan oleh
gagalnya system keamanan atau adanya usaha untuk masuk secara illegal ke dalam sistem keamanan.
c) Pada tahun yang sama (1996), Federal Bureau of Investigation (FBI) National Computer Crimes Squad
(Washington D.C.) memperkirakan kejahatan komputer yang terdeteksi kurang dari 1590, dan hanya
1090 dari angka itu yang dilaporkan.
d) Penelitian di tahun 1996 oleh American Bar Association menunjukkan bahwa dari 1000 perusahaan,
4890 telah mengalami “computer fraud” dalam kurun lima tahun terakhir [Schneier, 2000].
4. j-sim : Jurnal Sistem Informasi
e-ISSN :
4
e) Di Inggris pada tahun 1996, National Computing Centre/NCC Information Security Breaches Survey
menunjukkan bahwa kejahatan komputer menaik 20090 dari tahun 1995 ke 1996. Sutvei ini juga
menunjukkan bahwa kerugian yang diderita rata-rata USD 30.000 untuk setiap insiden. Ditunjukkan
juga beberapa organisasi yang mengalami kerugian sampai USD 1,5 juta.
f) Sebuah penelitian di tahun 1997 yang dilakukan oleh perusahaan Deloitte Touch Lohmatsu
menunjukkan bahwa dari 300 perusahaan di Australia, 3790 (dua diantara lima) pernah mengalami
masalah keamanan Sistem komputernya.
g) FBI melaporkan bahwa kasus persidangan yang berhubungan dengan kejahatan komputer meroket 950%
dari tahun 1996 ke tahun 1997, dengan penangkapan dari 4 (empat) ke 42 kasus, dan terbukti (convicted)
di pengadilan naik 88% dari 16 ke 30 kasus.
h) Winter 1999, Computer security Institute dan FBI melakukan survei yang kemudian hasilnya diterbitkan
dalam bentuk laporan. Dalam laporan ini terdapat bermacam-macam statistik yang menarik, antara lain
bahwa 62% responden merasa bahwa pada 12 bulan terakhir ini ada penggunaan sistem komputer yang
tidak semestinya (unauthorized use), 51% merasa bahwa hubungan ke internet merupakan sumber
serangan, dan 86% merasa kemungkinan serangan dari dalam (disgruntled employees) dibandingkan
dengan 74% yang merasa serangan dari hackers.
i) Jumlah kelemahan (unerability) Sistem Informasi yang dilaporkan ke Bugtraq meningkat empat kali
(quadruple) semenjak tahun 1998 sampai dengan tahun 2000. Pada mulanya ada sekitar 20 laporan
menjadi 80 laporan setiap bulan (http://www.securityfocus.com/vdb/stats.html).
j) Pada tahun 1999 CVE2 (Common Vulherabilities and Exposure) mempublikasikan lebih dari 1000
kelemahan sistem. CVE terdiri dari 20 organisasi security (termasuk di dalamnya perusahaan security
dan institusi pendidikan).
k) Pada bulan Juli 2001 muncul virus SirCam dan worm Code Red (dan kemudian Nimda) yang berdampak
pada habisnya bandwidth. Virus SirCam mengirimkan file-file dari disk korban (beserta virus juga) ke
orang-orang yang pernah mengirim email ke korban. Akibatnya file-Ale rahasia korban dapat terkirim
tanpa diketahui oleh korban. Di sisi lain, orang yang dikirimi email ini dapat terinveksi virus SirCam ini
dan juga merasa “dibom” dengan email yang besar-besar. Sebagai contoh, seorang kawan penulis
mendapat “bom” email dari korban virus SirCam sebanyak ratusan email (total lebih dari 70 MBytes).
Sementara itu worm Code Red menyerang server Microsoft Internet Information Services (IIS) yang
mengaktifkan servis tertentu (indexing). Setelah berhasil masuk, worm ini akan melakukan scanning
terhadap jaringan untuk mendeteksi apakah ada server yang bisa dimasuki oleh worm ini. Jika ada, maka
worm dikirim ke server target tersebut. Di server target yang sudah terinfeksi tersebut terjadi proses
scanning kembali dan berulang. Akibatnya jaringan habis untuk saling scanning dan mengirimkan worm
ini. Dua buah security hole ini dieksploit pada saat yang hampir bersamaan sehingga beban jaringan
menjadi lebih berat.
3.3 Kelemahan Keamanan TI
Kejahatan penggunaan TI dapat dilihat dari berbagai level. Kejahatan yang sangat berbahaya
misalkan pencurian secara fisik terhadap data atau aset TI hingga yang hanya mengesalkan (annoying),
contohnya membuat akses menjadi lambat, sebagian data terhapus dan sebagainya. Kejahatan
penggunaan TI tersebut sebagian besar terjadi karena lemahnya keamanan TI. Menurut David Icove
(Schneier,2000) kelemahan keamanan TI berdasarkan lubang keamanan (security hole) dapat
diklasifikasikan menjadi empat bagian utama yang akan dijelaskan sebagaimana berikut.
a. Keamanan yang bersifat fisik (physical security) Hal tersebut mencakup akses orang ke gedung,
peralatan dan media yang digunakan. Beberapa mantan penjahat komputer (crackers) mengatakan
bahwa mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang mungkin memiliki
Informasi tentang keamanan. Misalnya dokumen yang pernah ditemukan adalah coretan password
atau manual yang dibuang tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan dengan
akses ke kabel atau komputer yang digunakan Berisi mengenai hasil yang diperoleh dari penelitian
yang dilakukan dan pembahasan terhadap hasil data atau penelitian yang dilakukan, juga dapat
dimasukkan ke dalam keamanan yang bersifat fisik ini.
5. Nurholis 1, Hamsah 2, Risiko Keamanan Informasi Berbasis Komputer
5
Pencurian komputer dan notebook juga merupakan kejahatan yang besifat fisik. Menurut
data statistik, 15% perusahaan di Amerika pernah kehilangan notebook. Padahal biasanya notebook
ini tidak di-backup sehingga data-datanya hilang dan juga seringkali digunakan untuk menyimpan
data-data yang seharusnya sifatnya confidential (misalnya pertukaran email antar direktur yang
menggunakan notebook tersebut).
Denial of Service (DOS), yaitu akibat yang ditimbulkan sehingga layanan tidak dapat
diterima oleh pemakai juga dapat dimasukkan keamanan yang bersifat fisik. DoS dapat dilakukan
misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan
(dapat berisi apapun karena yang diutamakan adalah banyaknya jumlah pesan).
Beberapa waktu yang lalu terdapat lubang keamanan dari implementasi Transmission
Control Protoco// Internet Protocol (TCP/IP) yang dikenal dengan istilah Syn Flood Attack, yaitu
sistem (bost) yang dituju dibanjiri oleh permintaan sehingga sistem menjadi terlalu sibuk sehingga
dapat berakibat terhadap macetnya sistem (hang). Serangan fisik lain juga dapat berupa aktivitas
mematikan jalur listrik sehingga sistem menjadi tidak berfungsi. Masalah keamanan fisik ini mulai
menarik perhatikan ketika gedung World Trade Center yang dianggap sangat aman dihantam oleh
pesawat terbang karena dibajak oleh teroris. Akibatnya banyak sistem yang tidak bisa hidup
kembali karena tidak diamankan.
b. Keamanan yang berhubungan dengan orang (personal security)
Hal ini termasuk identifikasi dan profil resiko dari pihak /karyawan yang mempunyai akses.
Seringkali kelemahan keamanan Sistem Informasi bergantung kepada manusia (pemakai dan
pengelola). Terdapat sebuah teknik yang dikenal dengan istilah “social engineering”. Teknik ini
sering digunakan oleh pelaku kejahatan TI untuk berpura-pura sebagai orang yang berhak
mengakses Informasi. Misalnya pelaku tersebut berpura-pura sebagai pemakai yang lupa Password-
nya dan minta agar diganti menjadi kata lain.
c. Keamanan dari data dan media serta teknik komunikasi (communication security)
Yang termasuk dalam bagian ini adalah kelemahan dalam perangkat lunak (software) untuk
pengelolaan data. Seorang pelaku kejahatan dapat memasang vius atau #rojan horse sehingga dapat
mengumpulkan Informasi (seperti password) yang semestinya tidak berhak diakses. Bagian ini
yang akan banyak dibahas dalam buku ini.
d. Keamanan dalam operasional atau manajemen teknologi Informasi (managemen! security)
Hal ini mencakup kebijakan (policy) dan prosedur yang digunakan untuk mengatur dan mengelola
sistem keamanan dan juga prosedur setelah serangan (Post attack recovery). Seringkali perusahaan
tidak memiliki dokumen kebijakan dan prosedur tersebut.
4. KESIMPULAN
Penjagaan Keamanan Informasi berarti pula perlunya usaha dalam memperhatikan faktor keamanan
dari keseluruhan piranti pendukung, jaringan, dan fasilitas lain yang terkait langsung maupun tidak langsung
dengan proses pengolahan Informasi. Dengan tren peningkatan kejahatan dalam penggunaan komputer dan
jaringan dalam pencurian dan perusakan data sistem informasi sebagaimana telah dijelaskan pada bab
sebelumnya, maka sangatlah perlu dibentuk sebuah sistem manajeen keamananm yang handal dan up to date,
mengingat regulasi yang ada kerap tertinggal dari lajunya perkembangan tekonologi.
5. SARAN
Penulis tentunya masih menyadari jika makalah diatas masih terdapat banyak kesalahan dan jauh
dari kesempurnaan. Penulis akan memperbaiki tulisan tersebut dengan berpedoman pada banyak sumber serta
kritik yang membangun dari para pembaca.
6. j-sim : Jurnal Sistem Informasi
e-ISSN :
6
DAFTAR PUSTAKA
[1] DR. Bambang Hartono, “Kejahatan dalam pengguanaan IT”, Sistem Manajemen Informasi Berbasis
Komputer. Jakarta: Rineka Cipta, 2013, 3 & 19.
[2] B. Supradono, “Manajemen Sistem Keamanan Informasi Dengan Menggunakan Metode Octave”,
Vol. 2, No. 1, 2009.
[3] H. Syahrial, “Pengembangan Sistem Manajemen Kelemahan Keamanan Informasi”, 2011
[4] Y. Praptomo, “Keamanan Sistem Informasi”, Yogyakarta