SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

JARINGAN KOMPUTER UNIVERSITAS INDIANA

Pada Rabu 11 Maret 2015, lebih dari 2000 staf pengajar di Universitas Indiana (Indiana
University / IU) menerima surat elektronik sebagai berikut: “Apakah anda sadar bahwa
Universitas Indiana membahayakan privasi anda? Sudahkah mereka menghubungi
anda terkait hal itu?” Pengirim dari surat elektronik ini adalah Glen Roberts dari Kota
Minyak, Pensylvania yang memperkenalkan dirinya dalam websitenya sebagai seorang
pembawa acara, advokat privasi dan usahawan internet. Dengan mencari di internet,
Robert menemukan sebuah file IU yang berisi nama dari 2760 staf pengajar, beserta
juga Nomor Jaminan Sosial, alamat dan nomor telpon mereka yang kemudian diunduh
dan diposting oleh Robert di Websitenya. File tersebut dibuat oleh University Graduate
School untuk memberikan informasi terkait minat penelitian para anggota staf pengajar
sehingga mereka dapat diberitahu tentang kesempatan pendanaan yang mungkin
mereka minati. Semua informasi yang ada di dalam Web tersebut harusnya dilindungi
oleh sebuah “Safeword card”. Menurut Norma Hollan selaku Direktur Pelayanan
Komputasi Universitas: “Kami punya sesuatu yang dinamakan “firewall, “sebuah
istilah internet yang sebenarnya berfungsi untuk melindungi akses ke data yang tidak
bersifat untuk publik. Safeword card tersebut hanya mengizinkan pengguna yang sudah
terotorisasi dan terotentikasi untuk mengakses data tersebut”. Namun ternyata file
sensitif ini tidaklah terlindungi. Menurut Jeffrey Albert, Dekan Madya, file tersebut
adalah file lama yang secara tidak sadar terlewatkan saat sistem web tersebut sedang
diupgrade agar jadi lebih aman. Pihak universitas segera menghapus file tersebut dan
menonaktifkan layanan halaman lama itu. Situasi tersebut disebut sebagai “sebuah
pembuka mata” oleh Wakil Presiden IU untuk Urusan Publik, Christopher Simpson:
“beruntungnya data yang lebih sensitif tidak terkompromi. Walaupun kami sangat
sensitif untuk mengeluarkan informasi seperti ini, hal ini sangatlah berbeda dari
memiliki akses individual kepada informasi paling sensitif yang dimiliki oleh
universitas. Hal ini adalah pengingat yang baik. Seperti itulah kami memandang
masalah ini.”Namun Roberts menyatakan potensi masalah keamanan lainnya. “anda
harus ingat bahwa walaupun Halaman saya telah membuat anda mengetahui tentang
hal ini dengan cara yang kurang menyenangkan, bahaya sebenarnya berada pada
mereka yang mungkin telah secara diam-diam menyimpan informasi yang ada di dalam
situs ada,” tulisnya dalam sebuah dialog web bersama dengan Mark S. Bruhn, Petugas
Keamanan Informasi IU. Roberts mengklaim bahwa Pasal Privasi tahun 1974
“melarang para agensi (seperti IU) untuk menanyakan Nomor Jaminan Sosial kecuali
dalam beberapa situasi tertentu. Kenyataaan bahwa Nomor Jaminan Sosial tersebut
dimuat di database internet fakultas sungguh membuat kami gusar,” Tulis Roberts
dalam pembicaraan Web nya dengan Bruhn “Bahkan jika file tersebut tidak seharusnya
tersedia untuk diakses oleh publik, namun pengumpulan informasi tersebut dalam
sebuah “data base internet” menunjukkan kegagalan memahami prinsip tentang privasi
pribadi yang paling dasar sekalipun.”

Justifikasi Roberts disebutkan oleh orang-orang dalam dua Koran pensylvania sebagai
“seseorang yang menarik dan ahli komputer”. Menurut Erie Times, yang memuat profil
tentang Roberts selama beberapa bulan sebelum kejadian ini, dia datang ke kota
minyak dari daerah Chicago, dimana dia menerbitkan sebuah artikel yang menjelaskan
tentang masalah privasi. Dia telah melakukan program siaran radio Shortwave (SW)
dan sekarang sedang melakukan program siaran radio di internet. Selain itu, dia juga
telah menjadi seorang konsultan jaringan televisi dan muncul di beberapa talk show
lokal. Roberts juga menerbitkan beberapa halaman web dan bekerja sebagai seorang
konsultan komputer. Roberts berkata bahwa dia menemukan file IU tersebut saat
mengecek domainnya sendiri. Dengan mengetik “SSN (Sosial Security Number /
Nomor Jaminan Sosial) ke dalam mesin pencari Infoseek, kata Roberts dia menemukan
beberapa daftar yang menampilkan nama dan nomor jaminan sosial. Dengan membuka
file tersebut, dia menemukan database penelitian IU. Roberts berkata bahwa dia telah
terlibat dalam publikasi masalah privasi selama sekitar 15 tahun terakhir. Katanya,
minatnya dimulai dengan menggunakan pasal kebebasan informasi dan memperoleh
salinan dokumen pemerintah. Katanya dia sangat terkejut pada banyaknya jumlah
informasi yang tersedia namun seringkali tidak disadari oleh orang lain. Dia sangat
tertarik dengan Nomor Jaminan Sosial individu yang sepertinya sangat tersebar
dimana-mana, yang mana Nomor Jaminan Sosial tersebut adalah jalan untuk
memperoleh informasi-informasi lainnya dan penyebarannya meningkatkan potensi
penyalahgunaan identitas seseorang. Roberts menyatakan bahwa masalahnya adalah:
“haruskah pihak universitas mengumpulkan informasi ini dan menaruhnya dalam data
base, yang mungkin bukanlah niatan mereka untuk menyebarkannya keseluruh dunia
namun dengan niatan bahwa ada beberapa orang tertentu yang dapat mengakses
informasi tersebut?” Roberts mengatakan bahwa dia menerbitkan daftar IU tersebut
karena masalah privasi biasanya tidak Nampak bagi orang-orang sampai mereka
mengalami sebuah serangan sendiri. “intinya privasi adalah sebuah masalah yang
penting namun privasi hanyalah penting saat anda melihatnya mempengaruhi hidupmu
dengan mata kepala anda sendiri,” katanya. “itulah yang telah ku lakukan dengan
halaman web lainnya. Orang-orang dapat mengalaminya secara langsung, dan dengan
pengalaman tersebut mereka dapat berdebat dan bertindak dalam masalah tersebut”

Banyak anggota staf pengajar yang bereaksi dan menyatakan ketidaksetujuan mereka
dengan taktik Roberts. Mereka khawatir kalau Nomor Jaminan Sosial mereka dibuat
mudah diakses untuk alasan-alasan tertentu dan lebih dari seratus staf pengajar
mengirim surat elektronik untuk memprotes Roberts. “saya pergi ke website Roberts
dan berkata “saya suka dengan orang yang waspada, namun bukankah anda harus
memposting informasi ini di tempat yang lebih pantas untuk menyatakan maksud
anda?” kata Kurt Zorn, dari School of Public and Environmental Affair IU. “Saya rasa
dia mungkin sudah banyak melakukan kerusakan dengan melakukan hal ini
dibandingkan dengan pihak universitas secara tanpa sadar. Mungkin ada cara yang
lebih efektif untuk menarik perhatian atas sebuah masalah.” Professor Hukum
bernama Ed Greenebaum menambahkan bahwa dia percaya kalau Roberts membuat
sebuah pendapat tentang universitas tersebut tanpa informasi apa pun, yang mana hal
itu tidaklah adil. “dampaknya adalah mendekatkan kami dengan masalah yang katanya
dia coba cegah, dan dampaknya lebih parah daripada sebelumnya,” kata Greenebaum.
“Kekhawatiranku bukanlah pada niatan pihak universitas namun pada alasan orang ini
mengapa dia merasa perlu memfasilitasi pendistribusian Nomor Jaminan sosial kami,
yang menurut saya hal itu tidaklah konsisten.” Dengan IU yang mengancam akan
mengambil langkah hukum dan banyaknya protes dari staf pengajar IU, akhirnya
Roberts menghapus file IU dari halaman webnya dan mengatakan bahwa dia tidak
mempunyai niatakan untuk memposting nama dan Nomor Jaminan Sosial lagi.

Akibatnya pada 27 Maret, Professor penelitian religious, James Ackerman,

mengatakan bahwa dia baru-baru ini ditagih atas penggunaan telpon, akses internet dan
akun kartu kredit yang bukan miliknya sendiri. Walaupun hal tersebut belum
diverifikasi, dia yakin kalau seseorang mengambil nama dan nomor jaminan sosialnya
dari halaman web Roberts. Dalam waktu dua minggu sejak postingan tersebut,
Ackerman menerima tagihan untuk penggunaan internet selama satu bulan,
mendapatkan panggilan dari AT&T yang mengatakan bahwa dia siap untuk telpon
konferensi yang tidak dipesan olehnya, mendapatkan sebuah pertanyaan inquiry dari
Ameritech yang menanyakan apakah dia membuat sebuah panggilan dari Jerman ke
Portland, Oregon dan menemukan bahwa ada beberapa kartu panggilan yang dibuka
atas namanya. William Boone, seorang professor pendidikan, mengatakan bahwa
istrinya menerima sebuah pertanyaan inquiry dari departemen penipuan MCI tentang
telpon yang berasal dari Jerman dan menggunakan nomer kartu panggilan milik Boone.
Walaupun belum ada bukti bahwa halaman web Roberts lah yang menjadi sumber
informasi yang digunakan dalam penipuan tersebut, Boone dan banyak orang lainnya
yakin bahwa kejadian tersebut bukanlah sekedar ketidaksengajaan. “seberapa besar
kemungkinan dua professor IU mendapatkan telpon tidak terotorisasi dari Jerman?
Seberapa besar kemungkinan bahwa hal ini tidak berhubungan dengan masalah World
Wide Web” kata Boone.

Istri Boone mengatakan bahwa masalah tersebut sedang dalam penyelesaian. “rasanya
seperti sebuah pelanggaran,” katanya. “anda merasa bahwa seseorang mengenal anda
namun anda tidak tau siapa orang tersebut. Hal itu sangatlah tidak nyaman”. Situasi
tersebut sangatlah membuat frustrasi bagi Ackerman, yang berkata bahwa perusahaan
kartu kredit tidak dalam memblokir Nomor Jaminan Sosialnya. Dia diberitahu bahwa
dia dapat menghubungi tiga agensi kartu kredit, yang digunakan oleh banyak bank
untuk mengecek kredit seseorang, dan mereka dapat menunda pencatatannya.
Ackerman juga menghubungi kantor penasehat hukum IU yang juga tidak dapat
memberikan banyak bantuan. “pada saat ini, kami tidak tahu apakah hal yang
dialaminya berhubungan dengan halaman web Roberts,” kata Michael Klein,
Penasehat Madya Universitas. “ada beberapa kebetulan yang berhubungan dengan
waktu kejadian tersebut dengan postingan Roberts di webnya, tapi kami memang
belum tau pasti”. Namun, pihak universitas sedang mencari tahu apakah ada
pertanggung jawaban hukum yang akan dihadapi Roberts apabila ada staf pengajar
yang terdampak secara finansial atau sebaliknya. Klein menambahkan bahwa pihak
universitas sedang mengulas masalah penggunaan Nomor Jaminan Sosial dalam cara
pengelolaan sekolahnya, “sebagai sebuah institusi, kami sedang berinstrospeksi untuk
menemtukan apakah ada alternatif lainnya,” katanya.

Berdasarkan ilustrasi kasus yang terjadi pada Indiana University Computer Network,
anda diminta:
1. Mengidentifikasi 3 (tiga) isu utama dalam kasus tersebut!
2. Jelaskan gambaran tentang sistem keamanan jaringan komputer yang
dijalankan oleh Indiana University dan Bagaimana penilaian anda terhadap
kualitas sistem keamanan jaringan tersebut?
3. “Roberts claims that the Privacy Act of 1974 forbids the university from even
asking for Social Security Numbers (SSN)” Mengapa SSN digunakan oleh
Indiana University untuk manajemen database-nya? Adakah alternatif selain
SSN yg dapat digunakan dalam database Indiana University? Jelaskan!
4. Apakah anda setuju jika Roberts diperlakukan sebagai seorang Hacker?
Jelaskan argumentasi anda?
5. Siapa yang seharusnya bertanggung atas kasus yang menimpa Prof.James
Ackerman dan William Boone? Apa tanggung jawab Indiana University atas
kasus tersebut?

Jawab:
1. – Kebocoran pada sistem firewall yang menyebabkan data privasi staf
pengajar IU terekspos (Nama, SSN, alamat dan nomor telepon pribadi)
- Ada orang yang tidak memiliki kepentingan di IU, mengekspos dan
memberitahu data privasi dari staf IU
 - Korban yang dirugikan dari kebocoran data

2. Menurut kelompok, sistem keamanan yang dijalankan oleh IU sudah cukup

baik dengan menggunakan firewall. Akan tetapi, masih kurangnya pengawasan
terhadap data yang diupgrade sehingga menyebabkan data lama yang belum
terupgrade lolos dan keluar dari sistem firewall

3. File tersebut dibuat oleh University Graduate School untuk memberikan

informasi terkait minat penelitian para anggota staf pengajar sehingga mereka
dapat diberitahu tentang kesempatan pendanaan yang mungkin mereka minati.