1
4. Fabrication
Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh
dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke
dalam jaringan computer.
Upaya keamanan sistem informasi tidak hanya dengan mencegah sistem dari
kemungkinan adanya serangan-serangan seperti tersebut di atas, tetapi juga pada
kemungkinan adanya resiko yang muncul atas sistem tersebut. Sehingga, keamanan
sistem informasi terdiri dari dua masalah utama, yaitu ancaman atas sistem dan
kelemahan atas sistem. Masalah tersebut dapat berdampak pada 6 hal utama dalam
sistem informasi, yaitu: efisiensi, kerahasiaan, integritas, keberadaan, kepatuhan dan
keandalan.
A. Ancaman Sistem
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar
sistem yang dapat mengganggu keseimbangan siatem informasi. Ancaman yang
mungkin timbul dari kegiatan pengolahan informasi berasal dari tiga hal utama, yaitu:
ancaman alam, manusia dan lingkungan.
1) Ancaman alam
Ancaman dari alam dikategorikan menjadi:
a. Ancaman air, seperti: banjir, tsunami, kelembaban tinggi, badai, pencairan salju
b. Ancaman tanah, seperti: longsor, gempa bumi, gunung meletus
c. Ancaman alam lain, seperti: kebakaran hutan, petir, tornado, angin ribut, dll.
d. Ancaman manusia
2
b. Social engineering
Social engineering adalah pemerolehan informasi atau maklumat
rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social
engineering umumnya dilakukan melalui telepon atau Internet. Social
engineering merupakan salah satu metode yang digunakan oleh hacker untuk
memperoleh informasi tentang targetnya, dengan cara meminta informasi itu
langsung kepada korban atau pihak lain yang mempunyai informasi itu. Social
engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan
computer yaitu manusia, dimana setiap sistem memerlukan adanya interaksi
manusia.
c. Hacking dan Cracking
Hacking dan cracking adalah bentuk aktifitas terhadap jaringan
komputer maupun jaringan internet. Hacking adalah usaha untuk memasuki
sebuah jaringan dengan maksud mengeksplorasi ataupun mencari kelemahan
sistem jaringan secara ilegal. Pelaku hacking disebut hacker. Hacker dapat
melakukan aktivitas penyusupan ke sebuah sistem komputer atau jaringan
dengan tujuan merusak sistem tersebut, menerobos program komputer milik
orang, mengubah program, memecahkan masalah software maupun hardware,
mengakses server kemudian mengacak-acak website yang ada di server itu, dan
lain sebagianya. Sedangkan cracking adalah usaha memasuki sebuah jaringan
secara illegal dengan maksud mencuri, mengubah, atau menghancurkan file
atau data yang disimpan di komputer-komputer yang ada di jaringan tersebut.
Pelaku cracking disebut cracker. Cracker merupakan hacker yang melakukan
aktivitas hacking untuk tujuan kejahatan. Cracker mengintip simpanan para
nasabah di berbagai bank atau pusat data sensitif lainnya untuk keuntungan diri
sendiri. Meski sama-sama menerobos keamanan komputer orang lain, hacker
lebih fokus pada prosesnya. Sedangkan cracker lebih fokus untuk menikmati
hasilnya.
d. Penyuapan, pengkopian tanpa ijin, perusakan
e. Peledakan, surat kaleng, perang informasi
f. Ancaman lingkungan
3
3) Ancaman lingkungan dapat dikategorikan sebagai berikut:
a. Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan
dalam jangka waktu yang cukup lama
b. Polusi
c. Efek bahan kimia, seperti: obat pembunuh serangga, semprotan anti api, dll
d. Kebocoran (misal kebocoran AC, atap bocor karena hujan)
Setiap ancaman tersebut memiliki probabilitas serangan yang beragam,
baik dapat terprediksi maupun tidak dapat terprediksi, seperti gempa bumi yang
dapat mengakibatkan sistem informasi mengalami mall-function. Besar kecilnya
suatu ancaman dari sumber ancaman yang teridentifikasi atau belum
teridentifikasi dengan jelas tersebut, dapat diminimalisir dengan baik apabila
kita dapat melakukan analisis situasi dengan tepat.
B. Kelemahan Sistem
Kelemahan adalah cacat atau kelemahan dari suatu sistem yang mungkin
timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan
maupun kelemahan atas sistem kontrol yang ada, sehingga memicu tindakan
pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut.
Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak
yang dimiliki. Contoh yang mungkin terjadi: setting VPN yang tidak diikuti
oleh penerapan NAT. VPN merupakan singkatan dari Virtual Private Network,
yaitu sebuah koneksi private melalui jaringan publik (dalam hal ini internet).
NAT (Network Address Translation) adalah sebuah router yang menggantikan
fasilitas sumber atau alamat IP tujuan dari paket IP karena melewati jalur router.
Hal ini paling sering digunakan untuk mengaktifkan beberapa host di jaringan
pribadi untuk mengakses internet dengan menggunakan satu alamat IP publik.
Alamat IP (Internal Protocol) adalah deretan angka biner yang dipakai sebagai
alamat identifikasi untuk tiap komputer host dalam jaringan internet, yang
berfungsi menyampaikan paket data ke alamat yang tepat.
4
Berkaitan dengan keamanan sistem informasi, diperlukan tindakan
berupa pengendalian terhadap sistem informasi. Kontrol-kontrol untuk
pengamanan sistem informasi antara lain:
1. Kontrol administrative
Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh
kerangka kontrol dilaksanakan sepenuhnya dalam organisasi berdasarkan
prosedur-prosedur yang jelas. Kontrol ini mencakup hal-hal berikut:
a. Mempublikasikan kebijakan kontrol yang membuat semua pengendalian sistem
informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam
organisasi.
b. Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan
dilaksanakan dengan tegas. Termasuk hal ini adalah proses pengembangan
sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan
data.
c. Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi
pembinaan, dan pelatihan yang diperlukan.
d. Supervisi terhadap para pegawai. Termasuk pula cara melakukan kontrol kalau
pegawai melakukan penyimpangan terhadap proses yang diharapkan.
e. Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun
yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang
pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi
(operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan.
5
3. Kontrol operasi
Kontrol operasi dimaksudkan agar sistem beroperasi sesuai dengan yang
diharapkan. Yang termasuk dalam kontrol ini adalah:
a. Pembatasan hak akses data
b. Kontrol pengguna sistem
c. Kontrol peralatan
d. Kontrol penyimpanan arsip
e. Pengendalian virus.
6
Sistem fault-tolerant dapat diterapkan pada lima level, yaitu pada
komunikasi jaringan, prosesor, penyimpan eksternal, catu daya, dan transaksi.
Toleransi kegagalan terhadap jaringan dilakukan dengan menduplikasi jalur
komunikasi dan prosesor komunikasi. Redundasi prosesor dilakukan antara lain
dengan teknik watchdog processor, yang akan mengambil alih prosesor yang
bermasalah.
Toleransi terhadap kegagalan pada penyimpan eksternal antara lain
dilakukan melaluidisk memoring atau disk shadowing, yang menggunakan teknik
dengan menulis seluruh data ke dua disk secara pararel. Jika salah satu disk
mengalami kegagalan, program aplikasi tetap bisa berjalan dengan
menggunakan disk yang masih baik. Toleransi kegagalan pada catu daya diatasi
melalui UPS. Toleransi kegagalan pada level transaksi ditangani melalui
mekanisme basis data yang disebut rollback, yang akan mengembalikan pada
keadaan semula yaitu keadaan seperti sebelum transaksi dimulai sekiranya di
pertengahan pemrosesan transaksi terjadi kegagalan.
7
canggih menggunakan sifat-sifat biologis manusia yang bersifat unik, seperti sidik
jari dan retina mata, sebagai kunci untuk mengakses sistem.
Pada sistem yang terhubung ke Internet, akses Intranet dari pemakai luar
(via Internet) dapat dicegah dengan menggunakan firewall. Firewall dapat berupa
program ataupun perangkat keras yang memblokir akses dari luar intranet.
8
9. Kontrol terhadap perlidungan terakhir
Kontrol terhadap perlindungan terakhir dapat berupa:
a. Rencana pemulihan terhadap bencana.
b. Asuransi
Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi
bencana. Itulah sebabnya, biasanya organisasi mengansurasikan gedung atau aset-
aset tertentu dengan tujuan apabila bencana terjadi, klaim asuransi dapat digunakan
untuk meringankan beban organisasi.
b. Kontrol Pemrosesan
Kesalahan salam pemrosesan bisa terjadi sekalipun program dibuat
dengan hati-hati agar bebas dari kesalahan. Kesalahan juga bisa terjadi karena
gangguan pada komponen-komponen pemrosesan. Oleh karena itu,
pemeriksaan terhadap kebenaran hasil pemrosesan kadang-kadang perlu
dilakukan sehingga kalaku terjadi hal-hal yang tidak benar segera bisa
diketahui.
Kontrol proses antara lain dilakukan dengan mencantumkan total
kontrol, berupa nilai total semua transaksi. Ada pula yang mencantumkan
jumlah rekaman dengan maksud untuk dicocokkan dengan jumlah transaksi.
9
c. Kontrol Keluaran
Kontrol keluaran dilakukan secara manual untuk memastikan bahwa
hasil pemrosesan memang sesuai dengan yang diharapkan. Hal ini dilakukan
dengan melaksanakan pengamatan terhadap dokumen-dokumen dan laporan-
laporan yang dihasilkan oleh komputer didasarkan pada kebenaran informasi,
otorisasi, dan kerahasiaan informasi.
e. Kontrol Telekomunikasi
Telekomunikasi merupakan komponen yang paling lemah dalam sistem
informasi. Penyadapan informasi dapat dilakukan melalui sarana ini dengan
cara menyergap gelombang radio dalam sistem tanpa kabel (wireless) atau
dengan cara menyadap jalur fisik dalam jaringan. Untuk mengantisipasi
keadaan seperti ini, kontrol terhadap telekomunikasi dapat dilakukan dengan
cara mengenkripsi informasi sehingga penyadap tidak dapat membaca informasi
yang sesungguhnya.
Untuk meningkatkan upaya keamanan sistem informasi kesehatan,
diperlukan suatu pendekatan keamanan sistem informasi. Hal ini minimal
menggunakan tiga pendekatan, yaitu:
10
1) Pendekatan preventif
Pendekatan ini bersifat mencegah dari kemungkinan terjadinya ancaman
dan kelemahan.
2) Pendekatan detective
Pendekatan ini bersifat mendeteksi dari adanya penyusupan dan proses
yang mengubah sistem dari keadaan normal menjadi keadaan abnormal.
3) Pendekatan corrective
Pendekatan ini bersifat mengoreksi keadaan sistem yang sudah tidak
seimbang untuk dikembalikan dalam keadaan normal. Tindakan tersebutlah
menjadikan keamanan sistem informasi tidak dilihat hanya dari kaca mata
timbulnya serangan dari virus, mallware, wpyware, dan masalah lain, akan
tetapi dilihat dari berbagai segi sesuai dengan domain kemanan itu sendiri.
A. Keamanan Hardware
11
c. Bencana alam/kerusuhan.
Faktor ini adalah yang paling sulit dihindarkan karena diluar kemampuan
kita. Banjir, gempa atau kerusuhan bila mencapai komputer maka kerusakan
parah sangat mungkin terjadi. Pencegahan yang dapat dilakukan adalah antara
lain:
Memasang Stavolt atau UPS (Universal Power Saving)
Dengan adanya stavolt yang berfungsi menstabilkan arus listrik atau UPS
yang berfungsi untuk menyediakan daya listrik selama beberapa waktu sehingga
kita dapat melakukan proses shutdown secara baik, maka kerusakan akibat
listrik dapat diminimalkan. UPS ada yang dilengkapi dengan aplikasi untuk
mengendalikan UPS, baik untuk melihat kapasitas bateray atau memantau
kondisi UPS lewat internet.
Menggunakan sesuai prosedur
Penempatan komputer yang benar, menyalakan dan mematikan, serta
pemakaian sesuai fungsinya akan membuat hardware lebih awet. Selain itu
penggunaan sesuai dengan prosedur khususnya yang berhubungan dengan
kelistrikan akan mengurangi resiko kebakaran, misalnya mematikan komputer
hingga stavolt/UPS.
Ancaman-ancaman keamanan hardware pada computer standalone : ancaman :
Hubung singkat jalur rangkaian MB
Kenaikan Suhu Komputer Komputer
Tegangan Yang Tidak stabil stabil
Kerusakan Akibat Listrik Statis S
Software yang kita miliki dapat mengalami kerusakan yang membuat kita
terpaksa harus memperbaiki atau memasang ulang. Oleh karena itu software yang
kita miliki perlu dijaga apalagi bila kita beli dengan harga mahal atau perlu keahlian
khusus dalam proses pemasangannya (apalagi bila kita tidak tahu proses
12
Melakukannya atau vital dalam pekerjaan kita. Kerusakan software dapat
disebabkan oleh beberapa hal, antara lain :
1. Penggunaan software bajakan
Software yang bajakan karena tidak berasal dari pembuatnya langsung maka
kualitas software tersebut tidak dapat dijamin sehingga resiko kerusakan akan besar
dan kita tidak dapat melakukan komplain.
2. Kesalahan prosedur
Pemasangan/install software yang tidak benar dapat menyebakan
crash/bertabrakan dengan software lain atau tidak lengkap sehingga menyebabkan
software rusak.
3. Virus
Virus selain dapat merusak data, dapat juga merusak software dan
biasanya menyerang sistem operasi dan aplikasi yang berjalan di sistem operasi
Windows.
Hal-hal yang dapat dilakukan untuk meminimalkan kerusakan komputer adalah
antara lain :
a. Menggunakan software yang terpercaya baik itu yang berbayar atau open
source.
b. Memasang Antivirus. Antivirus dapat menangkal dan memperbaiki virus
yang merusak software.
13
Sumber:
14