Anda di halaman 1dari 15

COMPUTER CRIME

Untuk Memenuhi Tugas Mata Kuliah Akuntansi Forensik

Disusun oleh :

Maria Widhi T. 12030116420047


Margareta Elisa Kurniawati 12030116420048
Milatina Laksmita Dewi 12030116420066

MAKSI XXXVI A
PASCA SARJANA UNIVERSITAS DIPONEGORO
SEMARANG
2017

COMPUTER CRIME
1
PENDAHULUAN
Teknologi memainkan berbagai peran dalam lingkungan kecurangan. Sistem dan
data dapat digunakan untuk mencegah, mendeteksi, dan menyelidiki kecurangan. Ketika
teknologi digunakan untuk melakukan kecurangan, mekanisme yang biasanya
digunakan adalah komputer. Komputer tidak memunculkan kejahatan baru, melainkan
hanya berubah bentuk kejahatan yang sudah ada.
Biasanya, kejahatan yang berkaitan dengan komputer adalah kejahatan dalam
pekerjaan. Maksudnya, dilakukan oleh orang dalam, atau mantan orang dalam, dengan
syarat keterampilan, pengetahuan, dan akses. Akses tidak sah umumnya dapat diperoleh
dengan lebih mudah oleh orang dalam (karyawan) organisasi daripada pihak luar.
Penelitian tentang subjek ini menemukan sekitar 70 persen menjadi 80 persen dari
tindakan berbahaya yang berhubungan dengan komputer dilakukan oleh orang dalam,
meskipun komentator media massa, yang sering muncul untuk menggambarkan
sebaliknya.

SEJARAH DAN EVOLUSI COMPUTER CRIME


Komputer elektronik pertama dikenal untuk penggunaan komersial Amerika
Serikat pada tahun 1954, ketika General Electric (GE) menjadi bisnis AS pertama untuk
menggunakan komputer. Sebelum itu, beberapa komputer yang ada digunakan untuk
tujuan pemerintah (untuk tabulasi sensus nasional, untuk aplikasi militer, dan untuk
penelitian ilmiah). Sejarah kejahatan komputer dimulai pada pertengahan 1950-an.

Stanford Research International


Tahun 1958, Stanford Research International (SRI) mulai melacak insiden
penyalahgunaan komputer yang dilaporkan secara terbuka, beberapa di antaranya adalah
kriminal dan lain-lain yang melibatkan pelanggaran hukum perdata, seperti hak cipta
dan paten. SRI dikelompokkan insiden ini ke dalam empat kategori:
1. Vandalisme (terhadap komputer)
2. Pencurian informasi atau properti
3. Kecurangan atau pencurian keuangan
4. Penggunaan yang tidak sah atau penjualan (komputer) layanan
Insiden dilaporkan meningkat sejak tahun 1968 hingga tahun 1977, namun
menurun drastis pada tahun 1978. SRI menghentikan tabulasi penyalahgunaan tersebut
setelah tahun 1978 karena beberapa alasan. Pertama, insiden yang dilaporkan secara
terbuka tidak ada hubungannya dengan jumlah insiden. Sebagian besar insiden

2
penyalahgunaan komputer mungkin tidak dilaporkan secara terbuka sehingga insiden
yang dilaporkan tidak cukup mewakili semua kejadian penyalahgunaan yang
sebenarnya. Dengan semakin banyaknya komputer yang digunakan, orang bisa
memperkirakan peningkatan dalam jumlah insiden penyalahgunaan. Angka
penyalahgunaan tidak akan menjelaskan fenomena itu sendiri atau faktor-faktor
penyebabnya. SRI memilih untuk melihat setiap kasus secara individual.

Skandal Equity Funding


Salah satu peristiwa bersejarah paling awal mengenai kecurangan terkait
komputer adalah Skandal Pendanaan Ekuitas yang terjadi pada tahun 1973. Manajer di
Perusahaan Equity Funding of America menggunakan serangkaian kecurangan dimulai
pada tahun 1964 untuk menyajikan keuntungan fiktif, sehingga meningkatkan harga
saham perusahaan. Kecurangan utamanya yaitu penggunaan polis asuransi palsu. Kasus
ini lama tidak terdeteksi. Banyak orang dalam perusahaan mengetahui adanya
kecurangan, namun menutupinya. Kecurangan itu terungkap ketika mantan karyawan
yang tidak puas, membuka rahasia tersebut. Audit berikutnya oleh Touche Ross
menemukan sekitar $ 2 miliar asuransi palsu, dua per tiga dari polis yang diklaim
dimiliki Equity Funding. Para auditor tidak meninjau proses komputer melainkan
memperlakukan komputer sebagai kotak hitam (yaitu, audit seputar teknologi informasi
[TI]).
Media mempopulerkan kecurangan tersebut sebagai kecurangan komputer,
padahal hal tersebut benar-benar kecurangan manajemen yang menggunakan skema
lama kecurangan atas laporan keuangan. Manajemen Ekuitas Pendanaan mungkin tidak
bisa melakukan kecurangan tanpa menggunakan komputer. Dalam hal ini, komputer
merupakan alat yang digunakan untuk melakukan kecurangan laporan keuangan.
Persepsi publik terhadap peran komputer dalam kecurangan menyebabkan munculnya
prosedur audit baru (yaitu, pengolahan data elektronik [PDE]/prosedur audit TI) di
mana komputer berperan sebagai komponen dari sistem akuntansi. Kepercayaan yang
berlaku saat ini adalah bahwa audit tradisional (yang diaudit sekitar komputer) sudah
cukup untuk mendeteksi adanya kecurangan besar. Yang lainnya, terutama auditor TI
(PDE), mendukung perlunya audit dengan komputer.

Recent Statistics on Computer Crime


Statistik dalam kejahatan komputer sulit untuk dikumpulkan dan dinilai, antara
lain karena banyak kejahatan yang tidak dilaporkan. Biaya kejahatan yang dilaporkan

3
secara bawaan sulit untuk dihitung karena sifat tidak berwujud dari kerugian seperti
waktu, loyalitas pelanggan, dan informasi rahasia. Meskipun demikian, kejahatan jelas
sangat merugikan. Tren bervariasi dalam jenis kejahatan komputer seperti perkiraan
biaya, namun beberapa diantaranya memiliki kecenderungan yang jelas. Pencurian
identitas terus meningkat, e-mail terus berkembang baik sebagai metode kejahatan
(pencurian identitas, phishing, virus, dll) maupun sebagai bukti kejahatan (penemuan e-
mail dalam litigasi). Dua mekanisme utama yang dengannya kecurangan terjadi adalah
e-mail (74 persen) dan halaman web (29 persen), menunjukkan fakta bahwa hal ini
merupakan kejahatan komputer. Bahkan, statistik dari tahun 2008 IFCC menunjukkan
pertumbuhan pesat dalam kejahatan komputer.
Estimasi Kerugian U. S. Computer Crime

Estimasi Metodologi Sumber


Kerugian
67,2 Milyar Survei terkait kerugian tahunan organisasi AS akibat 2005 FBI Computer
kejahatan komputer pada tahun 2005 Crime Survey
49,3 Milyar Survei dari 5000 orang mengasumsikan kerugian Javelin Strategy &
pencurian data konsumen sekitar 8,4 juta pada tahun Research 2007
2006
56,6 Milyar Survei dari 5000 orang mengasumsikan kerugian Javelin Strategy &
pencurian data konsumen sekitar 8,9 juta pada tahun Research 2006
2005.
8,4 Milyar Survei dari 2000 pengguna akses internet di rumah Consumer Reports
tangga Amerika kerugian konsumen akibat virus, State of the Net 2006
spyware, dan phishing pada tahun 2004-2005
2,13 Milyar Survei dari 5000 pengguna akses internet akibat Gartner Research
phishing antara April 2003 – Mei 2005

TEORI DAN KATEGORISASI COMPUTER CRIME


Kejahatan komputer dapat dianggap baik sebagai kejahatan terhadap komputer
atau menggunakan komputer untuk melakukan kecurangan atau kejahatan konvensional
(misalnya, pencairan kecurangan, kecurangan laporan keuangan, dll). Artinya, prinsip
kecurangan, seperti segitiga kecurangan dan pohon kecurangan, juga berlaku untuk
kejahatan komputer. Salah satu teori yang berkaitan dengan komputer kejahatan, yang

4
mirip dengan segitiga kecurangan tetapi khusus untuk kejahatan komputer, adalah
konsep yang dikenal sebagai MOMM.

Teori Computer Crime : MOMM


MOMM adalah singkatan dari motivations, opportunities, means, dan methods
(motivasi, kesempatan, sarana, dan metode). Dua istilah pertama datang dari segitiga
fraud (menghilangkan hanya kaki rasionalisasi). Berarti berkaitan erat dengan peluang
dan pengendalian internal, dengan penambahan teknologi. Metode menerapkan model
sistem ke komputer yang berhubungan dengan kecurangan, tapi dengan kesimpulan
yang jelas untuk pohon kecurangan untuk skema yang dilakukan dengan menggunakan
metode-metode tersebut. Pencurian komputer terkait dapat digambarkan sebagai proses
berulang-ulang (lihat Exhibit 9.3).
Motif ekonomi menunjukkan bahwa tujuan utama pelaku adalah uang. Obyek
kecurangan tidak harus uang, tapi juga sesuatu yang dapat diubah menjadi atau ditukar
dengan uang.
Motif-motif ideologis ditunjukkan ketika pelaku merasa terdorong untuk
membalas dendam terhadap seseorang atau ketika mereka percaya sesuatu yang
menindas atau mengeksploitasi mere. Misalnya, tindakan mencuri informasi rahasia
untuk entitas asing karena alasan politik dan ideologi.
Motif egosentris terkait dengn ego, kekuasaan dan kebanggan.Kaum muda yang
mencari tantangan untuk melakukan kejahatan komputer menunjukkan motif egosentris.
Motif psikotik termasuk rasa terdistorsi oleh realitas, delusi keagungan atau
penganiayaan, dan ketakutan berlebihan dari komputer. Kondisi lingkungan yang telah
memberikan motif untuk kejahatan dan penyalahgunaan terkait komputer mencakup
lingkungan internal perusahaan yang mengoperasikan komputer dan lingkungan
eksternal (dunia atau pasar pada umumnya). Pengaruh internal yang dapat menambah
motif terkait kejahatan dan penyalahgunaan komputer meliputi:
 Lingkungan kerja
 Sistem penghargaan
 Tingkat kepercayaan interpersonal
 Tingkat etika dalam budaya entitas
 Tingkat stres (tekanan untuk kinerja)
 Tingkat efektivitas pengawasan internal
Secara eksternal, motif yang berkaitan dengan kejahatan dan penyalahgunaan
komputer dapat ditimbulkan oleh moral saat ini dan nilai-nilai sosial masyarakat,
kondisi persaingan di industri, dan kondisi ekonomi di negara atau dunia.

5
Kategorisasi Computer Crime
Komputer bisa menjadi target dari pelaku (menghancurkan komputer, penolakan
layanan, dll), alat yang digunakan untuk melakukan kejahatan (pencurian identitas
online, set kedua kecurangan dari catatan akuntansi, dll), atau alat pendukung kejahatan.
Kejahatan komputer juga dapat diklasifikasikan oleh hilangnya data (kerahasiaan,
ketersediaan, atau integritas), jenis kerugian yang ditimbulkan (keuangan, kerusakan
fisik, dll), atau jenis kejahatan (kecurangan, pencurian, dll)
Kejahatan komputer juga dapat dikelompokkan menjadi tiga kategori sederhana
yang paralel dengan tiga tahap pengolahan data: masukan, proses, dan output. Kejahatan
masukan melibatkan entri data palsu ke komputer, atau data yang telah diubah, atau
dipalsukan. Kejahatan pengolahan mencakup mengubah pengolahan komputer untuk
sarana kecurangan atau penyerangan seperti penolakan layanan yang mengubah sistem
pengolahan menimbulkan kerugian bagi korban. Kejahatan output, seperti pencurian
laporan dan file data yang dihasilkan komputer (milis pelanggan, hasil penelitian dan
pengembangan, rencana jangka panjang, daftar karyawan, formula rahasia, dll)
tampaknya akan meningkat di era persaingan yang ketat.
Kategorisasi lain yang penting yaitu kejahatan internal dan eksternal. Kejahatan
internal jauh lebih besar jumlahnya. Bahkan, jenis yang paling umum dari kejahatan
komputer mungkin adalah pencurian aset oleh karyawan. Mereka memiliki peluang
karena berada di dalam organisasi, dengan beberapa tekanan untuk mencuri (masalah
kas pribadi arus) dan etika pribadi yang lemah, maka segitiga kecurangan tercukupi.
Jika ada kelemahan dalam kontrol, godaan bisa menjadi terlalu besar bagi karyawan
untuk tidak mencuri dari organisasi. Lalu ada orang-orang dari luar untuk mencuri data,
sabotase sistem, atau memata-matai. Lainnya merusak sistem dan membuatnya tidak
dapat digunakan. Apapun kerusakannya, tindakan tersebut disengaja supaya
menyebabkan kerugian.

KARAKTERISTIK LINGKUNGAN KOMPUTER


Sistem komputerisasi akuntansi memiliki karakteristik khusus yang membuat
mereka lebih rentan terhadap kejahatan. Untuk memahami potensi dampak dan luasnya
kejahatan yang berkaitan dengan komputer, maka karakteristik tersebut perlu dipahami.

Konektivitas
Komunikasi komputer dapat didefinisikan sebagai kemampuan untuk
mentransfer pesan antara perangkat independen. Dalam rangka untuk berkomunikasi,

6
perangkat komputer harus dihubungkan dalam beberapa cara. Peningkatan konektivitas
teknologi informasi telah meningkatkan kerentanan terhadap kejahatan komputer,
singkatnya karena konektivitas yang memfasilitasi manfaat yang diinginkan juga
memfasilitasi kejahatan yang tidak diinginkan. Internet memperparah risiko karena
membuka jaringan kepada siapa pun di seluruh dunia dengan pengetahuan dan
kesempatan untuk melakukan kecurangan komputer. Yang dibutuhkan untuk membuat
kejahatan komputer terjadi adalah salah satu ahli komputer menjadi termotivasi untuk
menyerang komputer organisasi. Proposisi nilai dasar dari internet adalah kesempatan
untuk terhubung, hampir setiap saat, dari mana saja, untuk jutaan komputer (dan karena
itu data dan orang) di seluruh dunia. Sisi lemah internet adalah kompleksitas dalam
sistem meningkat, serangan, dan kemampuan untuk melihat siapa melakukan apa,
kapan, dan bagaimana.
Ide menghubungkan komputer terus mengalami bentuk-bentuk baru. Dalam
banyak hal, komputasi terdistribusi memungkinkan pengungkapan risiko lebih daripada
lingkungan komputer mainframe tradisional, sebagai (bagian dari) aplikasi dan database
yang terintegrasi, meskipun disimpan secara terpisah pada beberapa server di lokasi
yang jauh. Dengan cara lain, risiko dapat lebih terkontrol dengan memisahkan akses,
mensyaratkan otentikasi berlapis, dan menempatkan sistem yang paling signifikan jauh
dari titik masuk jaringan atau di lingkungan yang mudah dipantau. Tak pelak, trade-off
dalam manajemen sistem selalu terjadi antara kenyamanan dan keamanan.
Jaringan meningkatkan kerentanan sistem komputer dengan membukanya ke
internet atau sistem eksternal. Informasi dapat dicuri dengan menyalin melalui
workstation atau dengan menekan ke dalam mekanisme komunikasi. Entry tidak sah
melalui saluran telepon umum atau akses internet dapat terjadi. Data dapat didownload
jarak jauh hampir tak terlihat. Dan sekali peristiwa yang tidak diinginkan terjadi,
dampaknya bisa eksponensial.

Konsentrasi Data
Transfer data memungkinkan dalam transaksi moneter dalam berbagai cara,
cepat, setiap saat, dan dalam jarak jauh. Data merupakan objek digital berupa program
rahasia, file data penelitian, suatu program dari perusahaan yang dapat dijual dan
menghasilkan laba, serta data informasi keuangan yang rahasia.
Sistem komputer mengumpulkan dan menggabungkan data dari semua
departemen dalam sebuah organisasi. Data-data ini diproses dan biasanya

7
penyimpananya secara terpusat. Sentralisasi ini bertujuan untuk keamanan, yaitu
wewenang dalam mengakses data keuangan perusahaan. Human error bisa
mengakibatkan kerugian data.

Positions of Trust
Tingkat kepercayaan tinggi dan risiko tinggi pula bagi database administrator,
programmer, dan entri data. Banyak analis komputer dan programmer yang tidak
memiliki pengetahuan tentang pengendalian akuntansi atau prinsip-prinsip umum
pengendalian internal. Sehingga tidak ada kesesuaian antara struktur dan proses
organisasi dengan pengendalian internal yang memadai.
Karakteristik penting lainnya dari lingkungan komputer adalah sebagai berikut :
 Obscure audit trail.
Adanya banyak akses online dan jaringan mengakibatkan hilangnya jejak audit
 Complex technology
Ketidakmampuan memahami substansi dan integrasi teknologi
 Built-in insecurity.
Tidakadanya update pengamanan didalam hardware dan software
 Instant access.
Sistem akses yang terkendali

INFORMATION SECURITY (INFOSEC)


Sistem keamanan dan operasi untuk melindungi teknologi yang canggih saat ini,
hal ini merupakan aspek dominan dalam penipuan dan kejahatan komputer.
The Computer Security Institute (CSI) melakukan survey tahuna, 494
perusahaan AS, instansi pemerintah, lembaga keuangan dan medis, dan universitas
mengenai kejahatan dan keamanan komputer. Sebanyak 46% responden terdeteksi
pelanggaran keamanan komputer. Akibat computer crime, berdasarkan survei responden
menderita kerugian $350 juta, pada tahun lalu kerugian $168 juta. Penipuan finansial
merupakan kejahatan nomor satu yang mengakibatkan kerugian finansial.
Berikut adalah isu-isu kritis dalam keamanan informasi :
 Etika
 Pengendalian akses
 Integritas data
 Pencurian informasi hak milik
 Pemalsuan
 Pembajakan
 Social Engineering
 Penggelapan
 Pemantauan
Risk And Threats

8
Manajemen perlu menetapkan tujuan keamanan yang terkait dengan tujuan
bisnis dan mengidentifikasi aset yang membutuhkan perlindungan dari risiko. Sebuah
kebijakan yang baik bergantung pada penilaian risiko yang tepat dan menyeluruh.
Salah satu tujuan dari kebijakan keamanan adalah untuk menekankan kepada
seluruh pemangku kepentingan (karyawan, khususnya) bahwa informasi dan data adalah
aset yang memiliki nilai, dan tidak hanya file komputer. Sebuah kebijakan keamanan
mengingatkan karyawan bahwa itu adalah hal penting dan informasi yang bernilai
dalam menangani risiko. Hal ini membuat budaya perusahaan menjadi sadar akan
keamanan. SANS (SysAdmin, Audit, Network, Security) menyajikan pengembangan
yang lebih baik kebijakan Infosec yang efektif pada web sitenya.
Hal yang mengherankan, risiko terbesar adalah dari karyawan organisasi sendiri.
Karyawan yang tidak puas, karyawan baru-baru ini diberhentikan, pelaku penggelapan,
mantan kontraktor atau konsultan, dan lain-lain termotivasi untuk membuat serangan
(threats). Bahkan, sebuah penelitian terbaru menemukan bahwa kekhawatiran
keamanan terbesar adalah 90% dari manager eksekutif.
Gartner (ahli komputer dan teknologi penelitian) memperkirakan bahwa lebih
dari 70% dari akses tidak terautorisasi ke sistem informasi yang dilakukan oleh
karyawan, lebih dari 95% mengalami gangguan yang berakibat kerugian finansial
secara signifikan. Semua bisnis harus memeriksa risiko yang terkait dengan karyawan
ketika mengembangkan sistem perlindungan yang efektif terhadap serangan.

PROFILING INTERNET FRAUDSTERS


Profiling adalah teknik umum yang digunakan oleh investigator kriminal untuk
mengidentifikasi tindakan kriminal. Menggunakan bukti apa pun yang tersedia,
investigator mengkompilasi apa yang mereka ketahui ke dalam profil kriminal, yang
merupakan daftar karakteristik kriminal yang mungkin terlihat. Ciri-ciri profiling
internet crime adalah sulit diidentifikasi, tidak bisa dilacak, dan menutupi bukti.
Menurut Commission on Critical Infrastructure Protection, diperkirakan 19 juta
orang di seluruh dunia memiliki keterampilan untuk terlibat dalam hacking.
Sejumlah pertimbangan profil lainnya yang relevan adalah pengetahuan tentang
latar belakang pelaku kriminal, asosiasi, budaya, kekuatan, dan kelemahan membantu
menginvestigasi dengan memprediksi dan mengkonfirmasikan kegiatan
berbahaya/kejahatan.

Criminal Intent

9
Kelompok kriminal dengan tujuan bersama, dalam istilah teknis adalah hacker,
cracker, dan script kiddies.
Hacker (white hats) ini mencoba untuk melakukan pelayanan untuk komunitas
internet. Mereka mencari kerentanan dan kelemahan, kemudian mengkomunikasikan
''celah (hole)'' untuk entitas. Orang-orang ini menikmati tantangan intelektual kegiatan
mereka. Secara tradisional, istilah konotasi positif dari hacker adalah simbol
kehormatan dalam keahlian teknis seseorang.
Kebanyakan orang mengartikan hacker adalah “bad guys”. Bad guys secara
teknis disebut crackers (black hats). Tujuannya adalah mencuri atau mneghancurkan.
Script kiddie adalah untuk penggemar komputer muda/pemula yang men-
download kode berbahaya (misalnya, virus, denial of service [DoS]) yang dihasilkan
oleh cracker, bukan pembuatnya, dan melakukan eksploitasi nakal. Mereka tidak
memandang korban dari perbuatannya tersebut, anggapan mereka adalah sebuah bentuk
seni, hobi yang menyenangkan dan menikmati kesenangan untuk melatih
pemrogramannya tersebut.

TYPES OF COMPUTER CRIME


kejahatan komputer dapat mengambil banyak bentuk, termasuk pencurian
kekayaan intelektual atau pelanggaran, pembajakan perangkat lunak, pornografi anak,
judi online, provokasi, dan untuk memata-matai. Sementara yang mencakup semua jenis
kejahatan komputer tidak layak, daftar berikut merupakan jenis kejahatan.

Pencurian Identitas
Pencuri mencuri barang-barang fisik seperti kartu kredit atau data mereka, atau
mereka mencuri login untuk akun keuangan, atau bahkan identitas seseorang. Ada
berbagai cara kriminal untuk mencuri identitas seseorang, termasuk pencurian data
melalui cracking, akses yang berlebihan, atau rekayasa sosial, spyware (software untuk
memata – matai), atau snifing (program perangkat lunak yang mengcapture/screenshoot
pesan internet). Masalah pencurian identitas akan terus berkembang dimasa yang akan
datang.

Blackmail
Pemerasan menggunakan internet telah menjadi bidang kegiatan kriminal yang
tinggi, dengan target seperti kasino online, perusahaan keamanan dan teknologi, dan
siapa tau ada yang lain, karena kebanyakan korban tidak melaporkan pemerasan secara
publik. Mafia, geng jalanan, dan penipu semakin bermigrasi ke operasi berbasis

10
komputer, dan sering menggunakan pemerasan atau ancaman lainnya. Uang tebusan
dari serangan ini telah dilaporkan dalam jutaan dolar. Jika jenis kejahatan ditemui, salah
satu harus mencari bantuan dari seorang spesialis teknologi dan pengacara segera
mungkin.

Denial of Service Attack


Serangan A DoS dimaksudkan untuk menyakiti korban dengan cara yang
berbeda. Seperti kebanyakan serangan, ada banyak varian DoS, termasuk DDoS dan
serangan refleksi DoS. Semua benda berbahaya ini berusaha untuk membawa sistem
komputer, terutama server yang menyediakan e-commerce berhenti seketika. Ketika
perusahaan seperti eBay, Amazon, dan Yahoo! melemah tidak hanya mereka tidak bisa
menyalurkan operasi bisnis pada waktu tersebut tetapi mereka merupakan perusahaan
bergengsi, dan penjahat akan mendapatkan publisitas (dikenal) dari tindakan mereka.

E-Mail Attacks
Penjahat mungkin menggunakan berbagai serangan e-mail jahat, termasuk spamming,
spoofing, virus, dan spyware. Spam adalah email yang tidak kita inginkan atau email
sampah. Teknik spamming dapat digunakan untuk menyumbat server e-mail ke titik
dimana server tersebyt terkunci. Virus yang pertama dikenal adalah Virus Natal
dilepaskan ke komputer buatan IBM. Sebuah pesan kartu Natal dikirim yang berisi kode
pemrograman untuk meniru pesan kepada semua orang di buku alamat penerima,
mengunci sistem IBM untuk beberapa waktu. Spamming sistem yang tepat dengan kode
yang tepat dapat bekerja seperti serangan DoS.
Spoofing berpura-pura menjadi orang lain atau beberapa entitas. Tujuannya
adalah untuk menipu pihak lain dalam mengambil tindakan yang mengakibatkan malu
atau membahayakan. Spoofing telah dikaitkan dengan phishing, tapi sekarang
digunakan untuk menjadi diri sebagai orang lain yang lebih dalam. Spoofing sering
menjadi gerbang kejahatan, semakin terbuka lebar semakin besar peluang fraud.
Virus adalah ancaman yang sangat signifikan untuk bisnis dalam hal kehilangan
sumber daya. Para ahli memperkirakan perusahaan-perusahaan AS menghabiskan
sekitar $ 12,3 miliar untuk membersihkan kerusakan dari virus komputer pada tahun
2001, dan 1 virus itu biasanya menghabiskan biaya $1juta.Sebuah virus dapat
menghapus atau menonaktifkan sistem data, sistem operasi, atau perangkat lunak
aplikasi. Salah satu penjahat cyber hampir menghancurkan sebuah bisnis dengan

11
menghapus semua data untuk suatu proyek. Bisnis adalah sebuah perusahaan konsultan
yang menyimpan file proyek pada jaringannya. Pelaku memiliki informasi dari dalam
bahwa bisnis tidak memiliki cadangan, dan dengan mengirimkan virus untuk
menghapus file kunci dan drive pada jaringan, perusahaan kehilangan semua informasi
tentang proyek itu dan memiliki masalah serius merekonstruksi pekerjaan yang
dilakukan pada tanggal yang ditentukan. Bisnis itu akan runtuh.
Spyware terus berkembang biak sebagai media kriminal. Menurut
pcwebopedia.com, spyware, juga disebut adware, adalah perangkat lunak yang diam-
diam mengumpulkan informasi melalui koneksi internet pengguna tanpa
sepengetahuannya, biasanya untuk tujuan iklan. Spyware berkisar dari iklan pop-up
berbahaya yang memiliki kemampuan untuk merekam apa pun yang terjadi pada
komputer dan mengirimkan data ke orang yang bikin spyware tersebut. Sebagai contoh,
WinWhatWhere software dapat merekam semua penekanan tombol pada komputer
pribadi dan mengirimkannya ke beberapa lokasi server di internet. Spyware kadang-
kadang dipaketkan sebagai komponen tersembunyi dari program freeware atau
shareware yang dapat didownload dari internet, dan kadang-kadang ditempatkan pada ''
hack '' komputer. Setelah terinstal, spyware memonitor aktivitas pengguna di Internet
dan mengirimkan informasi secara tidak diketahui untuk orang lain. Spyware juga dapat
mengumpulkan informasi tentang alamat e-mail dan bahkan password dan nomor kartu
kredit.

INFOSEC CONTROLS AND ACTIVITIES


sistem kontrol Access adalah lapisan awal perlindungan untuk sistem dan
informasi. Mereka digunakan untuk mengotentikasi dan memverifikasi, biasanya
dengan menggunakan salah satu dari tiga pendekatan dasar untuk keamanan: (1) sesuatu
yang Anda miliki, (2) sesuatu yang Anda tahu, dan (3) sesuatu yang anda kontrol khusus
berkisar dari akses kartu / pembaca (sesuatu yang harus), untuk password atau PIN
(sesuatu yang Anda tahu), untuk biometrik (sesuatu yang Anda). Semakin banyak risiko
yang ada, semakin besar kebutuhan untuk mempertimbangkan tingkat kontrol yang
lebih tinggi atau kontrol akses multifaset untuk menjaga keamanan yang memadai.
Artinya, dibutuhkan lebih keamanan akses dari sekedar ID dan password untuk
mengamankan data sensitif atau sistem.
Otentikasi yang paling umum, kontrol otorisasi, dan verifikasi adalah sistem
password, firewall, dan kadang-kadang mengakses kartu atau biometrik. Kelemahan

12
dari dua metode keamanan pertama adalah bahwa mereka telah com- dijanjikan, dan
penyusup telah menyebabkan kerusakan besar dan kerugian keuangan yang signifikan.
Pendekatan yang terakhir, biometrik, memiliki potensi untuk memberikan tingkat uji
grea- keamanan karena menyangkut sesuatu yang Anda, dan karena dapat lebih
diandalkan daripada password atau firewall, terutama berdiri sendiri password atau
firewall sistem. Biaya dan presisi (terlalu banyak positif palsu) terus biometrik dari
menjadi kontrol akses sehari-hari.
Perbedaan antara verifikasi (otentikasi) dan identifikasi (otorisasi) perlu
ditekankan. Otorisasi adalah pengakuan integrasi individu dalam satu sistem. Artinya,
token atau ID / password itu valid dan ID itu memiliki akses ke sistem. Otentikasi,
bagaimanapun, adalah proses yang mengkonfirmasi bahwa orang yang membawa token
(misalnya, lencana, kartu, atau sandi, yang merupakan klaim identitas) adalah pemilik
sah token. Idealnya, sistem kontrol akses yang baik memiliki dua hal tersebut.
Sandi adalah garis pertahanan pertama dalam otentikasi akses ke sistem dan
data, dan berfungsi sebagai sistem pencegahan yang cukup efektif. Salah satu strategi
adalah membuat password multifaset, terutama di mana akses remote sering terjadi atau
e-commerce digunakan. Salah satu pendekatan yang lebih canggih adalah untuk
menghasilkan password sementara (PIN) yang berlangsung untuk waktu yang sangat
singkat, kadang kurang dari satu menit. Ketika pengguna jauh login, mereka memeriksa
pager untuk PIN terbaru dan bisa login hanya dengan kedua password mereka dan PIN
sementara.
Meskipun mereka tampak jauh lebih murah daripada sistem biometrik
(sidikjari), tetapi ada sistem sandi itu lebih beresiko. Biaya ini biasanya terjadi dalam
dua cara: password yang lupa dan password yang dicuri. Bekas pengguna membutuhkan
waktu dan sumber daya untuk me-reset password. Yang terakhir adalah pelanggaran
keamanan dan bisa jauh lebih mahal, jika sistem terganggu. Karena otak manusia
bukanlah suatu sistem penyimpanan yang sempurna untuk password yang panjang dan
kompleks, , password yang lebih rumit mungkin akan lebih mudah dilupakan. Dalam
situasi seperti itu, password harus direset dan harus membuat password baru. Menurut
Mandylion Research Labs, ulang sistem keamanan password dari sebuah perusahaan
dengan 100 pekerja akan mengahabiskan biaya $ 3.850 per tahun. Jika perusahaan
memiliki 1.000 personil yang berwenang, proses yang sama akan menghabiskan biaya
hingga $ 38.500 per tahun

13
Perangkat biometrik yang paling umum digunakan untuk akses kontrol adalah
pemindai sidik jari, meskipun pemindai wajah dan iris serta sistem pengenalan suara
ditingkatkan untuk digunakan. scanner sidik jari datang dalam berbagai format, dari
perangkat yang berdiri sendiri untuk pembaca dibangun ke keyboard dan mouse.
Mereka tidak mengganggu, murah, dan, pada dasarnya, mereka bekerja. Sebagai contoh,
Administrator Public Benefit di Texas dan New York mengklaim bahwa
pengidentifikasi sidik jari telah hampir menghilangkan fraud dalam program mereka.
Model komputer me\reka sudah tersedia dengan pembaca sidik jari biometrik bawaan
dan mouse biometrik.
Tren lain yang muncul yaitu pada “melapisi” perangkat lunak keamanan akun
atau alat di atas aplikasi. Solusi untuk celah keamanan ini bisa diperlukan karena
berbagai alasan dan melayani berbagai keperluan, Misalnya paket keamanan seperti
ACF2 dapat dilapisi di atas sistem mainframe lawas yang tidak termasuk dalam
menerapkan perangkat lunak keamanan (seperti RACF, atau Blockade) server "utama"
yang membutuhkan surat kepercayaan yang aman secara terpisah (misalnya, Citrix )
Atau skrip kustom (misalnya UNIX) atau miniprogram yang melakukan pemeriksaan
otentikasi.
Prosedur keamanan informasi yang ceroboh adalah masalah besar. Pertama ada
masalah dengan account yang tetap dalam sistem perusahaan. IDC memperkirakan
bahwa 30 persen menjadi 60 persen dari rekening di perusahaan-perusahaan besar tidak
lagi valid. account ini berfungsi yang mungkin menjadi magnet diantara pekerja orang
dalam dengan hacker, cracker atau penjahat pihak luar. Masalah lain adalah password
basi, atau password yang tidak berubah untuk jangka waktu yang lama. Entitas mungkin
tidak memiliki kebijakan password dan prosedur untuk mengubah password, atau
kebijakan tersebut tak dilaksanakan, menjadikan korporasi tersebut rentan.
Ada banyak kegiatan infosec lain yang memiliki manfaat signifikan. Ini
termasuk proses perubahan kontrol, ulasan konfigurasi periodik, penetrasi dan simulasi
serangan, dikelola layanan perangkat lunak yang berhubungan dengan keamanan, data
yang memonitor data dan rekonsiliasi, dan enkripsi data. Proses perubahan kontrol
memastikan perubahan aplikasi, script, database, dan sistem lain yang berwenang dan
diuji sebelum implementasi yang sesuai. Meninjau konfigurasi perangkat lunak
(aplikasi, sistem operasi, database, dll) dan perangkat keras (router, firewall, dll)
terhadap menetapkan kebijakan keamanan perusahaan atau praktik terbaik dapat

14
mengidentifikasi kelemahan kontrol potensial. Penetrasi dan simulasi serangan, sering
dilakukan dengan khusus, di luar ahli, termasuk berusaha untuk menembus sistem
seharusnya dijamin atau berhasil menyerang mereka dengan penolakan layanan, virus,
dan sebagainya. Layanan perangkat lunak dikelola berhubungan dengan keamanan
terpusat mengelola memperbarui perangkat lunak yang berhubungan dengan keamanan
dengan patch atau update lainnya (seperti memperbarui paket sistem operasi layanan,
patch aplikasi, definisi antivirus, atau kebijakan keamanan komputer lokal). Data
pemantauan termasuk program yang memantau dan mengirimkan peringatan otomatis
sekitar perubahan data; rekonsiliasi upaya untuk mencocokkan data dari dua sumber
untuk memastikan pengolahan antara dua terjadi lengkap dan akurat. Alat enkripsi data,
baik dalam penyimpanan atau dalam komunikasi, melindungi data dari pengguna yang
tidak resmi atau memungkinkan untuk penghapusan jarak jauh atau penghapusan
otomatis.

15