8

Diterjemahkan dari bahasa Inggris ke bahasa Indonesia - www.onlinedoctranslator.com

Mengamankan Sistem Informasi

Tujuan pembelajaran
Setelah membaca bab ini, Anda akan dapat menjawab pertanyaan-pertanyaan berikut: 8-1

Mengapa sistem informasi rentan terhadap kehancuran, kesalahan, dan penyalahgunaan?

8-2 Apa nilai bisnis keamanan dan kontrol?

8-3 Apa saja komponen kerangka organisasi untuk keamanan dan kontrol?

8-4 Alat dan teknologi apa yang paling penting untuk melindungi sumber
daya informasi?

MyLabSALAH™
Mengunjungimymislab.comuntuk simulasi, tutorial, dan masalah akhir bab.

KASUS BAB
Peretas Menyerang Stuxnet Infrastruktur Telekomunikasi
Singapura dan Perubahan Wajah Cyberwarfare BYOD:
Mimpi Buruk Keamanan?
Ancaman dan Kebijakan Keamanan Informasi di Eropa

KASUS VIDEO
Stuxnet dan Cyberwarfare
Cyberespionage: Ancaman Tiongkok
Video Instruksional:
Sony PlayStation Diretas; Data Dicuri dari 77 Juta Pengguna
Temui Peretas: Pernyataan Anonim tentang Peretasan Sony

320
 Peretas Menyerang Infrastruktur
Telekomunikasi Singapura

Saya nOktober2016,Singapura mengalami serangan yang belum pernah terjadi

sebelumnya pada infrastruktur Internetnya ketika Starhub, salah satu dari tiga perusahaan
telekomunikasi nasional, menghadapi serangan penolakan layanan (DDoS) terdistribusi
besar-besaran, yang memaksa pengguna offline. Serangan DDoS memaksa layanan
online menjadi tidak tersedia dengan membanjirinya dengan lalu lintas dari komputer
yang disusupi yang disebut botnet dengan menginfeksinya dengan perangkat lunak
berbahaya. Pemilik komputer ini, cluster kecil atau jutaan, bahkan tidak tahu bahwa
komputer mereka disusupi dan digunakan untuk serangan semacam itu.
Menurut Starhub,
skala dan kompleksitas
serangan belum pernah
terjadi sebelumnya. Itu
karena alih-alih komputer,
itu adalah router broadband
dan webcam yang terinfeksi
malware yang terlibat dalam
serangan yang membanjiri
layanan broadband
perusahaan. Ironisnya,
semua perangkat ini dibeli
oleh pelanggan sendiri.
Serangan terhadap
telekomunikasi Singapura
Perusahaan tions menimbulkan
momok serangan DDoS yang
lebih banyak dan lebih besar di
masa depan, terutama di pusat
keuangan seperti Singapura dan
Hong Kong. Padahal, serangan
Singapura itu © Brian Jackson/123RF

kemungkinan terkait dengan serangan dunia maya global terbesar dalam sejarah Internet, yang
dilakukan dengan malware Mirai, yang menelusuri Internet untuk mencari perangkat yang
rentan dan membajaknya. Lebih buruk lagi, kode sumber Mirai dipublikasikan secara online,
membuat perangkat lunak tersedia untuk hampir semua orang saat ini.
Starhub mengatasi masalah tersebut dalam jangka pendek dengan mengirimkan teknisi ke
pelanggan yang terkena dampak untuk "membersihkan" perangkat mereka dengan memutakhirkan
perangkat lunak. Pada saat yang sama, Cyber Security Agency of Singapore (CSA) dan Infocomm
Media Development Authority (IMDA) menyarankan anggota masyarakat untuk menerapkan praktik
kebersihan dunia maya yang baik untuk mengamankan perangkat mereka. Untuk jangka panjang,
Singapura meluncurkan strategi keamanan siber nasional baru yang menguraikan rencana respons
keamanan siber bertingkat. Undang-Undang Keamanan Siber baru juga masuk

321
322 Bagian DuaInfrastruktur Teknologi Informasi

pipa. Menteri Komunikasi dan Informasi Singapura Dr. Yaacob Ibrahim mendesak bisnis untuk
juga bertanggung jawab, menambahkan bahwa pemerintah sendiri tidak dapat mengatasi
masalah ini dan setiap orang harus menjadikan keamanan dunia maya sebagai prioritas. Dengan
cara yang sama, Malaysia telah menyatakan keprihatinannya tentang meningkatnya serangan
siber menggunakan perangkat pintar. Ini telah mendesak konsumen untuk secara teratur
mengubah kata sandi default perangkat dan perusahaan mereka untuk mempersiapkan diri
menggunakan pengujian penetrasi.
Mirai bukan malware pertama dari jenisnya, dan serangan DDoS juga bukan fenomena baru, tetapi
bersama-sama mereka menunjukkan ketidakamanan Internet of Things (IoT) yang semakin meningkat.
IoT adalah platform untuk menghubungkan perangkat pintar ke Internet, termasuk semuanya mulai dari
pemanggang roti hingga peralatan rumah tangga. Masalahnya adalah bahwa perangkat IoT ini, tidak
seperti komputer, memiliki sedikit keamanan bawaan, dan sebagian besar dikirimkan dengan kata sandi
default yang terkenal, tanpa kata sandi, atau kata sandi yang mudah diretas. Selanjutnya, sebagian
besar perusahaan IoT tidak memiliki sumber daya untuk meluncurkan pembaruan keamanan massal,
sehingga perangkat yang rentan tidak pernah diperbaiki.

Serangan Starhub adalah momen yang menentukan karena dianggap sebagai awal dari
era baru serangan siber yang diatur melalui perangkat sehari-hari. Ini benar-benar
mengubah lanskap keamanan karena tantangan teknis yang sangat besar untuk
mengamankan perangkat yang sudah disusupi. Satu-satunya solusi adalah untuk
memutuskan dan "memblokir" perangkat yang rentan, membuat jutaan webcam, termostat,
dan perangkat sehari-hari lainnya yang tidak dapat digunakan digunakan oleh konsumen!
Jelas bahwa era baru perangkat yang terhubung dan cerdas akan memicu lebih banyak
serangan keamanan dan satu-satunya cara untuk mengatasi tantangan ini adalah melalui
pendekatan multipel yang melibatkan peraturan pemerintah, standar industri baru, dan
pendidikan pengguna. Singapura bekerja untuk memperkuat infrastruktur dan prosesnya.

Kasus disumbangkan oleh Neerja Sethi dan Vijay Sethi, Universitas Teknologi Nanyang

Sumber:“Serangan DDoS di Starhub First of Its Kind on Singapore's Telco Infrastructure:

CSA, IMDA,” channelnewsasia.com, 26 Oktober 2016, diakses 26 Desember 2016; “DDoS
Attacks: What You Need to Know,” Today Online, 28 Oktober 2016, www.todayonline.com,
diakses 26 Desember 2016; “DDOS Via Smart Devices Is Next Global Cyber Threat, Warns
Malaysian Hacker: Exclusive,” cio-asia.com, 15 November 2016, diakses 6 Januari 2017;
“Risiko Siber Meningkat di 2017 dengan Peningkatan Spionase Siber, Serangan Integritas
Data, Menurut Laporan Prediksi Keamanan Siber 2017 Stroz Friedberg,” prnewswire.com, 5
Januari 2017, diakses 6 Januari 2017.

T Masalah yang ditimbulkan oleh serangan siber DDoS akibat pembobolan perangkat “pintar”
sehari-hari menggambarkan beberapa alasan bisnis dan konsumen perlu
memperhatikan semua aspek keamanan sistem informasi. Serangan-serangan ini
membuat Internet—alat penting untuk bisnis global—bahkan lebih rentan. Dari sudut
pandang keamanan, seiring berkembangnya jaringan, peretas mendapatkan jangkauan
dan akses yang lebih besar ke malware yang semakin ganas.
Diagram pembukaan bab meminta perhatian pada poin-poin penting yang diangkat oleh
kasus ini dan bab ini. Perangkat pintar itu sederhana, mudah digunakan, dan tidak memiliki
tingkat keamanan bawaan yang sama tingginya. Meskipun sebagian besar institusi telah
memasang firewall canggih dan peranti lunak yang diperbarui untuk melindungi sistem
organisasi mereka, seperti PC dan server , mereka gagal memperhatikan perangkat yang
semakin terhubung seperti webcam dan router, yang sangat
 Bab 8Mengamankan Sistem Informasi323

Bisnis
Tantangan

• Membangun sistem CRM • Berukuran dua kali lipat pada tahun 2025

• Mengkoordinasikan tim • Fluktuasi harga susu

Pengelolaan
• Mengidentifikasi persyaratan • Melokalkan produk
• Pilih vendor

• Menerapkan sistem
• Koordinasi Informasi Bisnis
Organisasi Sistem Solusi
pemasaran dengan penjualan

tim
• Melatih karyawan Salesforce Sales Cloud • Pelacakan kinerja waktu nyata
• Analisis tenaga penjualan
• Pemasaran waktu nyata
• Data penjualan waktu nyata

• CRM berbasis cloud

• Mengembangkan sejarah Teknologi
basis data
• Analisis bisnis

keamanan yang lemah. Jadi, meskipun banyak pengamanan keamanan yang kuat
untuk melindungi infrastruktur telekomunikasi dan Internet, penjahat dapat menyusupi
tautan terlemah dalam sistem untuk melancarkan serangan DDoS.
Berikut beberapa pertanyaan untuk dipikirkan: Kerentanan keamanan apa
yang dieksploitasi oleh peretas? Faktor manajemen, organisasi, dan
teknologi apa yang berkontribusi terhadap kelemahan keamanan ini? Apa
dampak bisnis dari masalah ini?

8-1 Mengapa sistem informasi rentan terhadap

kehancuran, kesalahan, dan penyalahgunaan?

Dapatkah Anda membayangkan apa yang akan terjadi jika Anda mencoba terhubung ke Internet tanpa
firewall atau perangkat lunak antivirus? Komputer Anda akan dinonaktifkan dalam beberapa detik, dan
mungkin butuh beberapa hari untuk pulih. Jika Anda menggunakan komputer untuk menjalankan bisnis
Anda, Anda mungkin tidak dapat menjual ke pelanggan Anda atau melakukan pemesanan dengan
pemasok Anda saat sedang down. Dan Anda mungkin menemukan bahwa sistem komputer Anda telah
disusupi oleh pihak luar, yang mungkin mencuri atau menghancurkan data berharga, termasuk data
pembayaran rahasia dari pelanggan Anda. Jika terlalu banyak data yang dihancurkan atau dibocorkan,
bisnis Anda mungkin tidak akan pernah bisa pulih!

Singkatnya, jika Anda menjalankan bisnis saat ini, Anda perlu menjadikan keamanan dan
kontrol sebagai prioritas utama.Keamananmengacu pada kebijakan, prosedur, dan tindakan
teknis yang digunakan untuk mencegah akses tidak sah, pengubahan, pencurian, atau
kerusakan fisik pada sistem informasi.Kontroladalah metode, kebijakan, dan prosedur
organisasi yang memastikan keamanan aset organisasi, keakuratan dan keandalan
catatannya, dan kepatuhan operasional terhadap standar manajemen.

Mengapa Sistem Rentan

Ketika sejumlah besar data disimpan dalam bentuk elektronik, mereka rentan
terhadap berbagai jenis ancaman. Melalui jaringan komunikasi, sistem informasi
di lokasi yang berbeda saling berhubungan. Potensi untuk tidak sah
324 Bagian DuaInfrastruktur Teknologi Informasi

akses, penyalahgunaan, atau penipuan tidak terbatas pada satu lokasi tetapi dapat terjadi pada
setiap titik akses dalam jaringan. Gambar 8.1 mengilustrasikan ancaman paling umum terhadap
sistem informasi kontemporer. Mereka dapat berasal dari faktor teknis, organisasi, dan
lingkungan yang diperparah oleh keputusan manajemen yang buruk. Dalam lingkungan
komputasi klien/server multitingkat yang diilustrasikan di sini, kerentanan ada di setiap lapisan
dan dalam komunikasi antar lapisan. Pengguna di lapisan klien dapat menyebabkan kerusakan
dengan memperkenalkan kesalahan atau dengan mengakses sistem tanpa otorisasi.
Dimungkinkan untuk mengakses data yang mengalir melalui jaringan, mencuri data berharga
selama transmisi, atau mengubah data tanpa otorisasi. Radiasi juga dapat mengganggu jaringan
di berbagai titik. Penyusup dapat meluncurkan serangan denial-of-service atau perangkat lunak
berbahaya untuk mengganggu pengoperasian situs web. Mereka yang mampu menembus sistem
perusahaan dapat mencuri, merusak, atau mengubah data perusahaan yang disimpan dalam
database atau file.
Kerusakan sistem jika perangkat keras komputer rusak, tidak dikonfigurasi dengan benar, atau
rusak karena penggunaan yang tidak benar atau tindakan kriminal. Kesalahan dalam pemrograman,
pemasangan yang tidak benar, atau perubahan yang tidak sah menyebabkan perangkat lunak
komputer gagal. Kegagalan daya, banjir, kebakaran, atau bencana alam lainnya juga dapat
mengganggu sistem komputer.
Kemitraan domestik atau lepas pantai dengan perusahaan lain berkontribusi
terhadap kerentanan sistem jika informasi berharga berada di jaringan dan
komputer di luar kendali organisasi. Tanpa pengamanan yang kuat, data
berharga dapat hilang, hancur, atau jatuh ke tangan yang salah, mengungkap
rahasia dagang penting atau informasi yang melanggar privasi pribadi.
Popularitas perangkat seluler genggam untuk komputasi bisnis menambah
kesengsaraan ini. Portabilitas membuat ponsel, smartphone, dan komputer tablet
mudah hilang atau dicuri. Smartphone berbagi kelemahan keamanan yang sama
dengan perangkat Internet lainnya dan rentan terhadap perangkat lunak berbahaya
dan penetrasi dari pihak luar. Ponsel pintar yang digunakan karyawan perusahaan
seringkali berisi data sensitif seperti angka penjualan, nama pelanggan, nomor
telepon, dan alamat email. Penyusup juga dapat mengakses sistem internal
perusahaan melalui perangkat ini.

GAMBAR 8.1TANTANGAN DAN KERENTANAN KEAMANAN KONTEMPORER

Arsitektur aplikasi berbasis web biasanya mencakup klien web, server, dan sistem informasi perusahaan yang terhubung
ke database. Masing-masing komponen ini menghadirkan tantangan dan kerentanan keamanan. Banjir, kebakaran,
gangguan listrik, dan masalah kelistrikan lainnya dapat menyebabkan gangguan pada titik mana pun dalam jaringan.
 Bab 8Mengamankan Sistem Informasi325

Kerentanan Internet
Jaringan publik yang besar, seperti Internet, lebih rentan daripada jaringan
internal karena secara virtual terbuka untuk siapa saja. Internet sangat besar
sehingga ketika penyalahgunaan terjadi, mereka dapat memiliki dampak yang
sangat luas. Ketika Internet menjadi bagian dari jaringan perusahaan, sistem
informasi organisasi bahkan lebih rentan terhadap tindakan pihak luar.

Layanan telepon berbasis teknologi Internet (lihat Bab 7) lebih rentan daripada jaringan
suara yang dialihkan jika tidak dijalankan melalui jaringan pribadi yang aman. Sebagian
besar lalu lintas Voice over IP (VoIP) melalui Internet tidak dienkripsi. Peretas dapat
mencegat percakapan atau mematikan layanan suara dengan membanjiri server yang
mendukung VoIP dengan lalu lintas palsu.
Kerentanan juga meningkat dari meluasnya penggunaan email, pesan instan
(IM), dan program berbagi file peer-to-peer (P2P). Email mungkin berisi lampiran
yang berfungsi sebagai batu loncatan untuk perangkat lunak berbahaya atau
akses tidak sah ke sistem internal perusahaan. Karyawan dapat menggunakan
pesan email untuk mengirimkan rahasia dagang yang berharga, data keuangan,
atau informasi rahasia pelanggan kepada penerima yang tidak berwenang.
Aplikasi IM populer untuk konsumen tidak menggunakan lapisan aman untuk
pesan teks, sehingga dapat dicegat dan dibaca oleh pihak luar selama pengiriman
melalui Internet. Aktivitas pesan instan melalui Internet dalam beberapa kasus
dapat digunakan sebagai pintu belakang ke jaringan yang aman. Berbagi file
melalui jaringan P2P, seperti berbagi musik ilegal,

Tantangan Keamanan Nirkabel

Apakah aman untuk masuk ke jaringan nirkabel di bandara, perpustakaan, atau lokasi publik
lainnya? Itu tergantung pada seberapa waspada Anda. Bahkan jaringan nirkabel di rumah Anda
rentan karena pita frekuensi radio mudah dipindai. Baik jaringan Bluetooth maupun Wi-Fi rentan
terhadap peretasan oleh penyadap. Jaringan area lokal (LAN) yang menggunakan standar 802.11
dapat dengan mudah ditembus oleh orang luar dengan membawa laptop, kartu nirkabel, antena
eksternal, dan perangkat lunak peretasan. Peretas menggunakan alat ini untuk mendeteksi
jaringan yang tidak terlindungi, memantau lalu lintas jaringan, dan, dalam beberapa kasus,
mendapatkan akses ke Internet atau ke jaringan perusahaan.

Teknologi transmisi Wi-Fi dirancang untuk memudahkan stasiun menemukan dan

mendengar satu sama lain. Service set identifiers (SSID) yang mengidentifikasi titik
akses dalam jaringan Wi-Fi disiarkan berkali-kali dan dapat diambil dengan cukup
mudah oleh program sniffer penyusup (lihat Gambar 8.2). Jaringan nirkabel di banyak
lokasi tidak memiliki perlindungan dasar terhadapmengemudi perang, di mana
penyadap berkendara melewati gedung atau parkir di luar dan mencoba mencegat lalu
lintas jaringan nirkabel.
Penyusup yang terhubung dengan titik akses dengan menggunakan SSID yang
benar mampu mengakses sumber daya lain di jaringan. Misalnya, penyusup dapat
menggunakan sistem operasi Windows untuk menentukan pengguna lain mana yang
terhubung ke jaringan, mengakses hard drive komputer mereka, dan membuka atau
menyalin file mereka.
Penyusup juga menggunakan informasi yang telah mereka kumpulkan untuk mengatur titik
akses jahat pada saluran radio yang berbeda di lokasi fisik yang dekat dengan pengguna untuk
memaksa pengontrol antarmuka jaringan radio (NIC) pengguna untuk dikaitkan dengan titik
akses nakal. Setelah asosiasi ini terjadi, peretas yang menggunakan titik akses nakal dapat
menangkap nama dan kata sandi pengguna yang tidak menaruh curiga.
326 Bagian DuaInfrastruktur Teknologi Informasi

GAMBAR 8.2TANTANGAN KEAMANAN WI-FI

Banyak jaringan Wi-Fi dapat ditembus dengan mudah oleh penyusup menggunakan program sniffer

untuk mendapatkan alamat untuk mengakses sumber daya jaringan tanpa otorisasi.

Perangkat Lunak Berbahaya: Virus, Worm, Trojan

Horses, dan Spyware
Program perangkat lunak berbahaya disebut sebagaimalwaredan termasuk berbagai
ancaman seperti virus komputer, worm, dan trojan horse. (Lihat Tabel 8.1.) Avirus komputer
adalah program perangkat lunak jahat yang menempel pada program perangkat lunak lain
atau file data yang akan dieksekusi, biasanya tanpa sepengetahuan atau izin pengguna.
Sebagian besar virus komputer mengirimkan muatan. Payload mungkin relatif tidak
berbahaya, seperti instruksi untuk menampilkan pesan atau gambar, atau mungkin sangat
merusak—menghancurkan program atau data, menyumbat memori komputer, memformat
ulang hard drive komputer, atau menyebabkan program berjalan tidak semestinya. Virus
biasanya menyebar dari komputer ke komputer ketika manusia mengambil tindakan, seperti
mengirim lampiran email atau menyalin file yang terinfeksi.
Serangan terbaru datang daricacing, yang merupakan program komputer independen
yang menyalin dirinya sendiri dari satu komputer ke komputer lain melalui jaringan. Tidak
seperti virus, worm dapat beroperasi sendiri tanpa melekat pada file program komputer
lain dan tidak terlalu bergantung pada perilaku manusia untuk menyebar dari komputer ke
komputer. Ini menjelaskan mengapa worm komputer menyebar jauh lebih cepat daripada
virus komputer. Worm menghancurkan data dan program serta mengganggu atau bahkan
menghentikan operasi jaringan komputer.
Cacing dan virus sering menyebar melalui Internet dari file perangkat lunak
yang diunduh; dari file yang dilampirkan ke transmisi email; atau dari pesan email
yang disusupi, iklan online, atau pesan instan. Virus juga telah menginvasi sistem
informasi terkomputerisasi dari disk yang terinfeksi atau terinfeksi
 Bab 8Mengamankan Sistem Informasi327

TABEL 8.1 CONTOH KODE BERBAHAYA

NAMA TIPE KETERANGAN

Kunci kripto Ransomware/ Membajak foto, video, dan dokumen teks pengguna; mengenkripsi mereka

Trojan dengan enkripsi asimetris yang hampir tidak bisa dipecahkan; dan menuntut

pembayaran tebusan untuk mereka

Conficker Cacing Pertama kali terdeteksi pada November 2008 dan masih bermasalah.
Menggunakan kelemahan pada perangkat lunak Windows untuk mengambil alih

mesin dan menghubungkannya ke komputer virtual yang dapat diperintah dari

jarak jauh. Memiliki lebih dari 5 juta komputer di seluruh dunia di bawah

kendalinya. Sulit untuk diberantas.

Sasser.ftp Cacing Muncul pertama kali pada Mei 2004. Tersebar di Internet dengan
menyerang alamat IP secara acak. Menyebabkan komputer terus-menerus
macet dan reboot dan komputer yang terinfeksi mencari lebih banyak
korban. Mempengaruhi jutaan komputer di seluruh dunia dan
menyebabkan kerugian sekitar $14,8 miliar hingga $18,6 miliar.

AKU MENCINTAIMU Virus Pertama kali terdeteksi pada tanggal 3 Mei 2000. Script virus ditulis dalam

script Visual Basic dan dikirimkan sebagai attachment pada e-mail dengan

subject line ILOVEYOU. Menimpa musik, gambar, dan file lain dengan
salinannya sendiri dan menyebabkan kerusakan sekitar $10 miliar hingga

$15 miliar.

mesin. Terutama lazim saat iniunduhan drive-by, terdiri dari malware yang
disertakan dengan file unduhan yang diminta oleh pengguna secara
sengaja atau tidak sengaja.
Peretas dapat melakukan apa saja ke ponsel cerdas apa pun yang dapat mereka lakukan ke
perangkat Internet apa pun: meminta file jahat tanpa campur tangan pengguna, menghapus file,
mengirimkan file, menginstal program yang berjalan di latar belakang untuk memantau tindakan
pengguna, dan berpotensi mengubah ponsel cerdas menjadi robot di botnet untuk mengirim email dan
pesan teks kepada siapa pun. Dengan ponsel pintar yang menjual PC lebih banyak dan semakin banyak
digunakan sebagai perangkat pembayaran, mereka menjadi jalan utama untuk malware.
Menurut pakar keamanan TI, perangkat seluler sekarang menimbulkan risiko
keamanan terbesar, melebihi komputer yang lebih besar. Pada akhir 2015, McAfee
Labs telah mengumpulkan lebih dari 6 juta sampel malware seluler (Snell, 2016).
Android, yang merupakan sistem operasi seluler terkemuka di dunia, adalah platform
yang menjadi sasaran sebagian besar peretas. Virus perangkat seluler menimbulkan
ancaman serius bagi komputasi perusahaan karena begitu banyak perangkat nirkabel
sekarang terhubung ke sistem informasi perusahaan (lihat Sesi Interaktif tentang
Teknologi di Bagian 8-4).
Blog, wiki, dan situs jejaring sosial seperti Facebook, Twitter, dan LinkedIn telah muncul
sebagai saluran baru untuk malware. Anggota lebih cenderung mempercayai pesan yang
mereka terima dari teman, meskipun komunikasi ini tidak sah. Satu penipuan malware pada
musim semi 2015 tampaknya merupakan tautan video dari seorang teman yang mengatakan
sesuatu seperti, "Ini luar biasa." Jika penerima mengklik tautan. jendela pop-up muncul dan
meminta orang tersebut untuk mengklik pembaruan Adobe Flash Player untuk melanjutkan.
Alih-alih mengunduh pemutar, malware tersebut mengambil alih komputer pengguna,
mencari nomor rekening bank, medis
catatan, dan data pribadi lainnya (Thompson, 2015).
Risiko keamanan pasti akan meningkat dari menjamurnya perangkat yang
terhubung ke Internet di dalam perusahaan dan di seluruh Internet. Internet of
Things (IoT) memperkenalkan berbagai tantangan keamanan baru
328 Bagian DuaInfrastruktur Teknologi Informasi

Perangkat IoT itu sendiri, platform dan sistem operasinya, komunikasinya, dan
bahkan sistem yang terhubung dengannya. Alat keamanan tambahan akan
diperlukan untuk melindungi perangkat dan platform IoT dari serangan informasi dan
perusakan fisik, untuk mengenkripsi komunikasi mereka, dan untuk mengatasi
tantangan baru seperti serangan yang menguras baterai. Banyak perangkat IoT
seperti sensor memiliki prosesor dan sistem operasi sederhana yang mungkin tidak
mendukung pendekatan keamanan yang canggih.
Panda Security melaporkan telah mengidentifikasi dan menetralkan lebih dari 84
juta sampel malware baru sepanjang tahun 2015 dan telah mendeteksi 230.000 sampel
malware baru setiap hari. Lebih dari 27 persen dari semua sampel malware yang
pernah tercatat dibuat dalam satu tahun saja (Panda Security, 2016).
Lebih dari 51 persen infeksi yang ditemukan Panda adalah kuda Troya. SEBUAHkuda
Troyaadalah program perangkat lunak yang tampaknya tidak berbahaya tetapi kemudian
melakukan sesuatu yang tidak diharapkan. Kuda Troya itu sendiri bukanlah virus karena ia
tidak mereplikasi, tetapi seringkali merupakan cara bagi virus atau kode berbahaya lainnya
untuk dimasukkan ke dalam sistem komputer. Syaratkuda Troyadidasarkan pada kuda
kayu besar yang digunakan orang Yunani untuk mengelabui Trojan agar membuka gerbang
ke kota berbenteng mereka selama Perang Troya. Begitu berada di dalam tembok kota,
tentara Yunani yang bersembunyi di dalam kuda menampakkan diri dan merebut kota.
Contoh kuda Troya modern adalah Trojan Zeus. Itu sering digunakan untuk mencuri
kredensial masuk untuk perbankan dengan diam-diam menangkap penekanan tombol orang
saat mereka menggunakan komputer mereka. Zeus menyebar terutama melalui unduhan
drive-by dan phishing, dan varian terbaru sulit dideteksi oleh alat anti-malware.

serangan injeksi SQLtelah menjadi ancaman utama malware. Serangan injeksi SQL
memanfaatkan kerentanan dalam perangkat lunak aplikasi web berkode buruk untuk
memasukkan kode program jahat ke dalam sistem dan jaringan perusahaan.
Kerentanan ini terjadi saat aplikasi web gagal memvalidasi dengan benar atau
memfilter data yang dimasukkan pengguna di halaman web, yang mungkin terjadi saat
memesan sesuatu secara online. Penyerang menggunakan kesalahan validasi
masukan ini untuk mengirimkan kueri SQL nakal ke basis data dasar untuk mengakses
basis data, menanam kode berbahaya, atau mengakses sistem lain di jaringan.
Aplikasi web besar memiliki ratusan tempat untuk memasukkan data pengguna, yang
masing-masing menciptakan peluang untuk serangan injeksi SQL.
Malware dikenal sebagairansomwareberkembang biak di desktop dan perangkat seluler.
Ransomware mencoba memeras uang dari pengguna dengan mengambil alih komputer mereka
atau menampilkan pesan pop-up yang mengganggu. Satu contoh buruk, CryptoLocker,
mengenkripsi file komputer yang terinfeksi, memaksa pengguna membayar ratusan dolar untuk
mendapatkan kembali akses. Anda bisa mendapatkan ransomware dari mengunduh lampiran
yang terinfeksi, mengeklik tautan di dalam email, atau mengunjungi situs web yang salah.
Beberapa jenisspywarejuga bertindak sebagai perangkat lunak berbahaya. Program
kecil ini menginstal dirinya sendiri secara diam-diam di komputer untuk memantau aktivitas
penjelajahan web pengguna dan menayangkan iklan. Ribuan bentuk spyware telah
didokumentasikan.
Banyak pengguna menganggap spyware semacam itu mengganggu, dan beberapa kritikus khawatir
tentang pelanggarannya terhadap privasi pengguna komputer. Beberapa bentuk spyware sangat jahat.
Keyloggermerekam setiap keystroke yang dilakukan pada komputer untuk mencuri nomor seri perangkat
lunak, untuk meluncurkan serangan Internet, untuk mendapatkan akses ke akun email, untuk mendapatkan
kata sandi ke sistem komputer yang dilindungi, atau untuk mengambil informasi pribadi seperti kartu kredit
atau nomor rekening bank . Zeus Trojan yang dijelaskan sebelumnya menggunakan keylogging. Program
spyware lainnya mengatur ulang halaman beranda browser web, mengalihkan permintaan pencarian, atau
memperlambat kinerja dengan menggunakan terlalu banyak memori.
 Bab 8Mengamankan Sistem Informasi329

Peretas dan Kejahatan Komputer

SEBUAHperetasadalah individu yang berniat untuk mendapatkan akses tidak sah ke
sistem komputer. Dalam komunitas peretasan, istilahnyakerupukbiasanya digunakan
untuk menunjukkan seorang peretas dengan niat kriminal, meskipun dalam pers publik,
istilahnya peretasdankerupukdigunakan secara bergantian. Peretas mendapatkan akses
tidak sah dengan menemukan kelemahan dalam perlindungan keamanan yang digunakan
situs web dan sistem komputer, seringkali memanfaatkan berbagai fitur Internet yang
menjadikannya sistem terbuka dan mudah digunakan. Aktivitas peretas telah meluas
melampaui sekadar gangguan sistem hingga mencakup pencurian barang dan informasi
serta kerusakan sistem dancybervandalisme, gangguan yang disengaja, perusakan, atau
bahkan penghancuran situs web atau sistem informasi perusahaan.

Spoofing dan Sniffing

Peretas yang berusaha menyembunyikan identitas aslinya sering menipu, atau menggambarkan diri
mereka sendiri dengan menggunakan alamat email palsu atau menyamar sebagai orang lain.
Memalsukanmungkin juga melibatkan pengalihan tautan web ke alamat yang berbeda dari yang
dimaksud, dengan situs menyamar sebagai tujuan yang dimaksud. Misalnya, jika peretas
mengarahkan pelanggan ke situs web palsu yang terlihat hampir persis seperti situs aslinya, mereka
kemudian dapat mengumpulkan dan memproses pesanan, secara efektif mencuri informasi bisnis dan
sensitif pelanggan dari situs sebenarnya. Kami akan memberikan detail lebih lanjut tentang bentuk
spoofing lainnya dalam pembahasan kami tentang kejahatan komputer.

SEBUAHsapu tanganadalah jenis program penyadapan yang memonitor informasi

yang berjalan melalui jaringan. Ketika digunakan secara sah, sniffer membantu
mengidentifikasi potensi titik masalah jaringan atau aktivitas kriminal di jaringan,
tetapi ketika digunakan untuk tujuan kriminal, mereka dapat merusak dan sangat sulit
dideteksi. Sniffer memungkinkan peretas mencuri informasi kepemilikan dari mana
saja di jaringan, termasuk pesan email, file perusahaan, dan laporan rahasia.

Penolakan serangan layanan

Di sebuahserangan denial-of-service (DoS)., peretas membanjiri server jaringan atau
server web dengan ribuan komunikasi palsu atau permintaan layanan untuk merusak
jaringan. Jaringan menerima begitu banyak kueri sehingga tidak dapat mengikutinya
dan karenanya tidak tersedia untuk melayani permintaan yang sah. SEBUAHdenial-
of-service terdistribusi (DDoS)serangan menggunakan banyak komputer untuk
membanjiri dan membanjiri jaringan dari berbagai titik peluncuran.
Meskipun serangan DoS tidak menghancurkan informasi atau mengakses area
terlarang dari sistem informasi perusahaan, mereka sering menyebabkan situs web
ditutup, sehingga pengguna yang sah tidak dapat mengakses situs tersebut.
Misalnya, pada November 2016, serangan DDoS berskala besar melumpuhkan server
situs web Komisi Eropa. Selama beberapa jam staf EC tidak dapat bekerja. Layanan
dipulihkan pada hari berikutnya. Seringkali serangan DDoS digunakan untuk
mengalihkan perhatian dari pengoperasian malware lain. EC melaporkan bahwa tidak
ada file yang rusak atau informasi yang dicuri.
Untuk situs e-niaga yang sibuk, serangan ini mahal; saat situs ditutup,
pelanggan tidak dapat melakukan pembelian. Yang paling rentan adalah usaha
kecil dan menengah yang jaringannya cenderung kurang terlindungi dibandingkan
perusahaan besar.
Pelaku serangan DDoS sering menggunakan ribuan PC zombie yang terinfeksi
perangkat lunak berbahaya tanpa sepengetahuan pemiliknya dan diorganisasikan ke
dalam sebuah botnet. Peretas membuat botnet ini dengan menginfeksi komputer orang
lain dengan malware bot yang membuka pintu belakang yang dapat diberikan penyerang
330 Bagian DuaInfrastruktur Teknologi Informasi

instruksi. Komputer yang terinfeksi kemudian menjadi budak, atau zombie, melayani
komputer master milik orang lain. Ketika peretas menginfeksi cukup banyak komputer,
mereka dapat menggunakan sumber daya botnet yang terkumpul untuk meluncurkan
serangan DDoS, kampanye phishing, atau email spam yang tidak diinginkan.
Sembilan puluh persen spam dunia dan 80 persen malware dunia dikirimkan
oleh botnet. Misalnya, versi baru botnet spamming Pushdo terdeteksi pada musim
semi 2015. Komputer di lebih dari 50 negara terinfeksi. Pushdo telah ada sejak
2007 meskipun banyak upaya untuk mematikannya. Versi terbaru telah
mendorong malware yang mencuri kredensial login dan mengakses sistem
perbankan online. Pada suatu waktu, komputer yang terinfeksi Pushdo
mengirimkan sebanyak 7,7 miliar pesan spam per hari (Kirk, 2015).

Kejahatan Komputer
Sebagian besar aktivitas peretas adalah tindak pidana, dan kerentanan sistem yang baru
saja kami jelaskan menjadikan mereka target untuk jenis peretasan lainnya.kejahatan
komputer demikian juga. Kejahatan komputer didefinisikan oleh Departemen Kehakiman AS
sebagai "setiap pelanggaran hukum pidana yang melibatkan pengetahuan teknologi
komputer untuk perbuatan, penyelidikan, atau penuntutan mereka." Tabel 8.2 memberikan
contoh komputer sebagai sasaran dan alat kejahatan.
Tidak ada yang tahu besarnya masalah kejahatan komputer—berapa banyak sistem yang
diserang, berapa banyak orang yang terlibat dalam praktik tersebut, atau kerusakan
ekonomi total. Menurut Studi Biaya Tahunan Kejahatan Cyber 2015 dari Ponemon Institute,
rata-rata biaya tahunan kejahatan dunia maya untuk perusahaan AS yang diukur adalah $15
juta per tahun (Ponemon Institute, 2015). Banyak perusahaan enggan melaporkan kejahatan
komputer karena kejahatan tersebut mungkin melibatkan karyawan, atau perusahaan
khawatir bahwa mempublikasikan kerentanannya akan merusak reputasinya. Jenis
kejahatan komputer yang paling merusak secara ekonomi adalah serangan DoS, aktivitas
orang dalam yang jahat, dan serangan berbasis web.

TABEL 8.2CONTOH KEJAHATAN KOMPUTER

KOMPUTER SEBAGAI SASARAN KEJAHATAN

Melanggar kerahasiaan data terkomputerisasi yang dilindungi

Mengakses sistem komputer tanpa otoritas

Dengan sengaja mengakses komputer yang dilindungi untuk melakukan penipuan

Dengan sengaja mengakses komputer yang dilindungi dan menyebabkan kerusakan karena kelalaian atau kesengajaan

Dengan sengaja mengirimkan program, kode program, atau perintah yang dengan sengaja menyebabkan kerusakan pada komputer

yang dilindungi

Mengancam menyebabkan kerusakan pada komputer yang dilindungi

KOMPUTER SEBAGAI ALAT KEJAHATAN

Pencurian rahasia dagang

Penyalinan perangkat lunak yang tidak sah atau kekayaan intelektual yang dilindungi hak cipta, seperti artikel, buku, musik, dan video

Skema untuk menipu

Menggunakan email atau pesan untuk ancaman atau pelecehan

Dengan sengaja mencoba mencegat komunikasi elektronik

Mengakses komunikasi elektronik yang disimpan secara ilegal, termasuk email dan pesan suara

Mentransmisikan atau memiliki pornografi anak dengan menggunakan komputer

 Bab 8Mengamankan Sistem Informasi331

Pencurian identitas
Dengan pertumbuhan Internet dan perdagangan elektronik, pencurian identitas menjadi
sangat meresahkan.Pencurian identitasadalah kejahatan di mana seorang penipu
memperoleh potongan penting dari informasi pribadi, seperti nomor jaminan sosial, nomor
SIM, atau nomor kartu kredit, untuk menyamar sebagai orang lain. Informasi tersebut dapat
digunakan untuk mendapatkan kredit, barang dagangan, atau layanan atas nama korban
atau untuk memberikan identitas palsu kepada pencuri.
Pencurian identitas telah berkembang pesat di Internet, dengan file kartu kredit menjadi
target utama peretas situs web. Menurut Studi Penipuan Identitas 2016 oleh Javelin Strategy
& Research, 13,1 juta konsumen kehilangan $15 miliar karena penipuan identitas pada tahun 2015 (Javelin, 2016).
Situs e-niaga adalah sumber informasi pribadi pelanggan yang luar biasa —nama, alamat, dan nomor telepon.
Berbekal informasi ini, penjahat dapat mengambil identitas baru dan membangun kredit baru untuk tujuan mereka
sendiri.

Salah satu taktik yang semakin populer adalah bentuk spoofing yang disebut
pengelabuan. Phishing melibatkan pengaturan situs web palsu atau mengirim pesan
email yang terlihat seperti milik bisnis yang sah untuk meminta data pribadi rahasia
pengguna. Pesan email menginstruksikan penerima untuk memperbarui atau
mengonfirmasi catatan dengan memberikan nomor jaminan sosial, informasi bank
dan kartu kredit, dan data rahasia lainnya baik dengan membalas pesan email, dengan
memasukkan informasi di situs web palsu, atau dengan menelepon sebuah nomor
telepon. eBay, Pay-Pal, Amazon.com, Walmart, dan berbagai bank telah menjadi salah
satu perusahaan palsu teratas. Dalam bentuk phishing yang lebih bertarget disebut
phishing tombak, pesan tampaknya berasal dari sumber tepercaya, seperti individu
dalam perusahaan penerima atau teman.
Teknik phishing yang disebut evil twins dan pharming lebih sulit dideteksi.Si kembar
jahatadalah jaringan nirkabel yang berpura-pura menawarkan koneksi Wi-Fi tepercaya ke
Internet, seperti di ruang tunggu bandara, hotel, atau kedai kopi. Jaringan palsu terlihat
identik dengan jaringan publik yang sah. Penipu mencoba menangkap kata sandi atau
nomor kartu kredit pengguna tanpa disadari yang masuk ke jaringan.

Farmingmengalihkan pengguna ke halaman web palsu, bahkan ketika individu mengetik

alamat halaman web yang benar ke dalam browsernya. Hal ini dimungkinkan jika pelaku
pharming mendapatkan akses ke informasi alamat Internet yang disimpan oleh penyedia layanan
Internet (ISP) untuk mempercepat penjelajahan web dan perusahaan ISP memiliki perangkat
lunak yang cacat di server mereka yang memungkinkan penipu untuk meretas dan mengubah
alamat tersebut.
Menurut Biaya Studi Pelanggaran Data Ponemon Institute tahun 2015, biaya rata-
rata pelanggaran terhadap perusahaan adalah $3,5 juta (Ponemon, 2015). Selain itu,
kerusakan merek dapat menjadi signifikan, meskipun sulit dihitung. Selain
pelanggaran data yang dijelaskan dalam studi kasus pembuka dan penutup untuk bab
ini, Tabel 8.3 menjelaskan pelanggaran data utama lainnya.
Kongres AS menangani ancaman kejahatan komputer pada tahun 1986 dengan Undang-
Undang Penipuan dan Penyalahgunaan Komputer, yang melarang untuk mengakses sistem
komputer tanpa otorisasi. Sebagian besar negara bagian memiliki undang-undang yang serupa,
dan negara-negara di Eropa memiliki undang-undang yang serupa. Misalnya, pada bulan Juli
2013, Parlemen Eropa mengadopsi Arahan kejahatan dunia maya yang bertujuan melarang
serangan terhadap situs web dan jaringan, termasuk penggunaan serangan DDoS, Botnet,
penyadapan pesan secara ilegal, dan perolehan kata sandi yang salah. Kongres meloloskan
Undang-Undang Perlindungan Infrastruktur Informasi Nasional pada tahun 1996 untuk membuat
distribusi malware dan serangan peretas untuk menonaktifkan situs web kejahatan federal.
Undang-undang AS, seperti Wiretap Act, Wire Fraud Act, Economic Spio-
nage Act, Electronic Communications Privacy Act, CAN-SPAM Act, dan Protect
332 Bagian DuaInfrastruktur Teknologi Informasi

TABEL 8.3PELANGGARAN DATA UTAMA

PELANGGARAN DATA KETERANGAN

Asuransi Kesehatan Anthem Pada Februari 2015, peretas mencuri informasi pribadi lebih dari 80 juta pelanggan
perusahaan asuransi kesehatan raksasa, termasuk nama, ulang tahun, ID medis, nomor
jaminan sosial, dan data pendapatan. Tidak ada informasi medis atau kredit yang dicuri. Ini
adalah pelanggaran layanan kesehatan terbesar yang pernah tercatat

Sony Pada November 2014, peretas mencuri lebih dari 100 terabyte data
perusahaan, termasuk rahasia dagang, email, catatan personel, dan salinan
film untuk rilis di masa mendatang. Malware menghapus data dari sistem
perusahaan Sony, menyebabkan kerugian ratusan juta dolar serta citra merek
yang ternoda. Sony diretas awal April 2011 ketika penyusup memperoleh
informasi pribadi, termasuk kredit, debit, dan nomor rekening bank, dari lebih
dari 100 juta pengguna PlayStation Network dan pengguna Sony Online
Entertainment.

Gudang Rumah Diretas pada tahun 2014 dengan program perangkat lunak berbahaya yang
menjarah register toko sambil menyamar sebagai perangkat lunak antivirus. Lima
puluh enam juta rekening kartu kredit disusupi, dan 53 juta alamat e-mail pelanggan
dicuri.

Target Malware diam-diam diinstal pada sistem keamanan dan pembayaran pada akhir
2013 mencuri nomor kartu kredit dan mengidentifikasi data untuk 40 juta
pelanggan Target dan alamat email dari 70 juta pelanggan.

eBay Serangan siber di server eBay selama Februari dan Maret 2014 merusak basis
data yang berisi nama pelanggan, kata sandi terenkripsi, alamat email, alamat
fisik, nomor telepon, dan tanggal lahir; 145 juta orang terkena dampaknya.

Undang-undang tahun 2003 (larangan pornografi anak), mencakup kejahatan komputer yang
melibatkan penyadapan komunikasi elektronik, menggunakan komunikasi elektronik untuk
menipu, mencuri rahasia dagang, mengakses komunikasi elektronik yang disimpan secara
ilegal, menggunakan email untuk ancaman atau pelecehan, dan mentransmisikan atau memiliki
pornografi anak.

Klik Penipuan
Saat Anda mengklik iklan yang ditampilkan oleh mesin pencari, pengiklan biasanya
membayar biaya untuk setiap klik, yang seharusnya mengarahkan calon pembeli ke
produknya.Klik penipuanterjadi ketika seseorang atau program komputer dengan
curang mengeklik iklan online tanpa niat mempelajari lebih lanjut tentang pengiklan
atau melakukan pembelian. Penipuan klik telah menjadi masalah serius di Google dan
situs web lain yang menampilkan iklan online bayar per klik.

Beberapa perusahaan mempekerjakan pihak ketiga (biasanya dari negara dengan upah
rendah) untuk mengeklik iklan pesaing secara curang untuk melemahkan mereka dengan
menaikkan biaya pemasaran mereka. Penipuan klik juga dapat dilakukan dengan program
perangkat lunak yang melakukan klik, dan botnet sering digunakan untuk tujuan ini. Mesin
pencari seperti Google berupaya memantau penipuan klik dan telah membuat beberapa
perubahan untuk mengekangnya.

Ancaman Global: Cyberterrorism dan Cyberwarfare

Aktivitas kriminal dunia maya yang telah kami jelaskan—meluncurkan malware, serangan

DoS, dan penyelidikan phishing—tidak terbatas. Server serangan untuk malware adalah
 Bab 8Mengamankan Sistem Informasi333

sekarang dihosting di lebih dari 200 negara dan wilayah. Sumber

serangan malware paling populer termasuk Amerika Serikat, India,
Jerman, Korea Selatan, Cina, Belanda, Inggris Raya, dan Rusia. Sifat
global Internet memungkinkan penjahat dunia maya untuk beroperasi—
dan melakukan kejahatan di mana pun di dunia.
Kerentanan internet juga telah mengubah individu dan bahkan seluruh negara menjadi
sasaran empuk peretasan bermotivasi politik untuk melakukan sabotase dan spionase.
Perang mayaadalah kegiatan yang disponsori negara yang dirancang untuk melumpuhkan
dan mengalahkan negara atau bangsa lain dengan menembus komputer atau jaringannya
untuk menyebabkan kerusakan dan gangguan. Cyberwarfare juga termasuk bertahan
melawan jenis serangan ini.
Cyberwarfare lebih kompleks daripada perang konvensional. Meskipun banyak target
potensial adalah militer, jaringan listrik, sistem keuangan, dan jaringan komunikasi suatu
negara juga dapat dilumpuhkan. Aktor non-negara seperti teroris atau kelompok kriminal
dapat melakukan serangan, dan seringkali sulit untuk mengetahui siapa yang bertanggung
jawab. Bangsa-bangsa harus selalu waspada terhadap malware baru dan teknologi lain
yang dapat digunakan untuk melawan mereka, dan beberapa teknologi yang dikembangkan
oleh kelompok peretas terampil ini dijual secara terbuka kepada pemerintah yang
berkepentingan.
Persiapan untuk serangan cyberwarfare menjadi jauh lebih luas, canggih, dan
berpotensi menghancurkan. Antara 2011 dan 2015, peretas asing mencuri kode
sumber dan cetak biru ke jaringan pipa minyak dan air serta jaringan listrik
Amerika Serikat dan menyusup ke jaringan Departemen Energi sebanyak 150 kali
(Perlroth, 2015). Selama bertahun-tahun, peretas telah mencuri rencana untuk
sistem pelacakan rudal, perangkat navigasi satelit, drone pengintai, dan jet
tempur terdepan.
Sebuah laporan tahun 2015 mendokumentasikan 29 negara dengan unit militer dan
intelijen resmi yang didedikasikan untuk perang siber ofensif. Persenjataan siber mereka
mencakup kumpulan malware untuk menembus pengontrol infrastruktur sipil industri,
militer, dan kritis, daftar email dan teks untuk serangan phishing pada target penting, dan
algoritme untuk serangan DoS. Upaya perang dunia maya AS terkonsentrasi di Komando
Dunia Maya Amerika Serikat, yang mengoordinasikan dan mengarahkan operasi dan
pertahanan jaringan informasi Departemen Pertahanan dan mempersiapkan operasi dunia
maya militer. Cyberwarfare menimbulkan ancaman serius terhadap infrastruktur
masyarakat modern, karena lembaga keuangan, kesehatan, pemerintah, dan industri utama
mereka bergantung pada Internet untuk operasi sehari-hari.

Ancaman Internal: Karyawan

Kami cenderung menganggap ancaman keamanan terhadap bisnis berasal dari luar
organisasi. Faktanya, orang dalam perusahaan menimbulkan masalah keamanan
yang serius. Karyawan memiliki akses ke informasi istimewa, dan dengan adanya
prosedur keamanan internal yang ceroboh, mereka seringkali dapat menjelajah
seluruh sistem organisasi tanpa meninggalkan jejak.
Studi telah menemukan bahwa kurangnya pengetahuan pengguna adalah satu-satunya
penyebab terbesar pelanggaran keamanan jaringan. Banyak karyawan lupa kata sandi mereka
untuk mengakses sistem komputer atau membiarkan rekan kerja menggunakannya, yang
membahayakan sistem. Penyusup jahat yang mencari akses sistem terkadang mengelabui
karyawan agar mengungkapkan kata sandi mereka dengan berpura-pura menjadi anggota sah
perusahaan yang membutuhkan informasi. Praktek ini disebutrekayasa sosial.
Pengguna akhir dan spesialis sistem informasi juga merupakan sumber utama kesalahan yang
diperkenalkan ke dalam sistem informasi. Pengguna akhir memperkenalkan kesalahan dengan
memasukkan data yang salah atau dengan tidak mengikuti instruksi yang benar untuk diproses
334 Bagian DuaInfrastruktur Teknologi Informasi

data dan menggunakan peralatan komputer. Spesialis sistem informasi dapat membuat kesalahan
perangkat lunak saat mereka merancang dan mengembangkan perangkat lunak baru atau memelihara
program yang ada.

Kerentanan Perangkat Lunak

Kesalahan perangkat lunak menimbulkan ancaman terus-menerus terhadap sistem informasi,
menyebabkan hilangnya produktivitas yang tak terhitung dan terkadang membahayakan orang yang
menggunakan atau bergantung pada sistem. Meningkatnya kompleksitas dan ukuran program
perangkat lunak, ditambah dengan tuntutan pengiriman tepat waktu ke pasar, telah berkontribusi pada
peningkatan kelemahan atau kerentanan perangkat lunak. Pada 29 April 2015, American Airlines harus
menunda 40 penerbangan karena perangkat lunak yang salah pada iPad yang digunakan pilot untuk
melihat peta bandara dan dokumen navigasi. Masalahnya diperbaiki dengan meminta pilot menghapus
aplikasi yang tidak berfungsi dan memasangnya kembali (Bajaj, 2015).
Masalah utama dengan perangkat lunak adalah keberadaan yang tersembunyibug
atau cacat kode program. Penelitian telah menunjukkan bahwa hampir tidak mungkin
menghilangkan semua bug dari program besar. Sumber utama bug adalah
kompleksitas kode pengambilan keputusan. Program yang relatif kecil dari beberapa
ratus baris akan berisi puluhan keputusan yang mengarah ke ratusan atau bahkan
ribuan jalur. Program penting di sebagian besar perusahaan biasanya jauh lebih
besar, berisi puluhan ribu atau bahkan jutaan baris kode, masing-masing dengan
pilihan dan jalur berkali-kali lipat dari program yang lebih kecil.
Cacat nol tidak dapat dicapai dalam program yang lebih besar. Pengujian lengkap tidak
mungkin dilakukan. Sepenuhnya menguji program yang berisi ribuan pilihan dan jutaan jalur
akan membutuhkan waktu ribuan tahun. Bahkan dengan pengujian yang ketat, Anda tidak akan
tahu pasti bahwa suatu perangkat lunak dapat diandalkan sampai produk membuktikan dirinya
sendiri setelah banyak digunakan operasional.
Cacat dalam perangkat lunak komersial tidak hanya menghambat kinerja tetapi juga menciptakan
kerentanan keamanan yang membuka jaringan bagi penyusup. Setiap tahun perusahaan keamanan
mengidentifikasi ribuan kerentanan perangkat lunak di Internet dan perangkat lunak PC. Contoh terbaru
adalah bug Heartbleed, yang merupakan cacat pada OpenSSL, sebuah teknologi enkripsi sumber
terbuka yang diperkirakan digunakan oleh dua pertiga server web. Peretas dapat mengeksploitasi bug
untuk mengakses data pribadi pengunjung serta kunci enkripsi situs, yang dapat digunakan untuk
mengumpulkan lebih banyak data yang dilindungi.
Terutama merepotkankerentanan zero-day, yang merupakan lubang pada perangkat
lunak yang tidak diketahui penciptanya. Peretas kemudian mengeksploitasi lubang
keamanan ini sebelum vendor menyadari masalah tersebut dan bergegas
memperbaikinya. Jenis kerentanan ini disebut zero day karena pembuat perangkat lunak
memiliki waktu nol hari setelah mempelajarinya untuk menambal kode sebelum dapat
dieksploitasi dalam serangan. Kadang-kadang peneliti keamanan menemukan lubang
perangkat lunak tetapi, lebih sering, mereka tetap tidak terdeteksi hingga serangan terjadi.
Untuk memperbaiki kelemahan perangkat lunak setelah diidentifikasi, vendor perangkat lunak
membuat perangkat lunak kecil yang disebuttambalanuntuk memperbaiki kekurangan tanpa
mengganggu pengoperasian perangkat lunak yang benar. Terserah pengguna perangkat lunak
untuk melacak kerentanan ini, menguji, dan menerapkan semua tambalan. Proses ini
disebutmanajemen tambalan.
Karena infrastruktur TI perusahaan biasanya sarat dengan beberapa aplikasi bisnis,
penginstalan sistem operasi, dan layanan sistem lainnya, pemeliharaan tambalan pada
semua perangkat dan layanan yang digunakan perusahaan seringkali memakan waktu dan
biaya. Malware dibuat dengan sangat cepat sehingga perusahaan hanya memiliki sedikit
waktu untuk merespons antara saat kerentanan dan patch diumumkan dan saat perangkat
lunak berbahaya muncul untuk mengeksploitasi kerentanan.
 Bab 8Mengamankan Sistem Informasi335

8-2 Apa nilai bisnis keamanan dan kontrol?

Perusahaan memiliki aset informasi yang sangat berharga untuk dilindungi.

Sistem sering menyimpan informasi rahasia tentang pajak individu, aset
keuangan, catatan medis, dan tinjauan kinerja pekerjaan. Mereka juga dapat
berisi informasi tentang operasi perusahaan, termasuk rahasia dagang,
rencana pengembangan produk baru, dan strategi pemasaran. Sistem
pemerintah dapat menyimpan informasi tentang sistem senjata, operasi
intelijen, dan target militer. Aset informasi ini memiliki nilai yang luar biasa,
dan dampaknya dapat menghancurkan jika hilang, hancur, atau ditempatkan
di tangan yang salah. Sistem yang tidak dapat berfungsi karena pelanggaran
keamanan, bencana, atau teknologi yang tidak berfungsi dapat berdampak
permanen pada kesehatan keuangan perusahaan.

Keamanan dan kontrol yang tidak memadai dapat mengakibatkan tanggung jawab hukum yang
serius. Bisnis harus melindungi tidak hanya aset informasi mereka sendiri tetapi juga aset
pelanggan, karyawan, dan mitra bisnis. Kegagalan untuk melakukannya dapat membuka
perusahaan untuk litigasi yang mahal untuk pemaparan atau pencurian data. Suatu organisasi
dapat dimintai pertanggungjawaban atas risiko yang tidak perlu dan kerugian yang ditimbulkan
jika organisasi tersebut gagal mengambil tindakan perlindungan yang tepat untuk mencegah
hilangnya informasi rahasia, korupsi data, atau pelanggaran privasi. Misalnya, Target harus
membayar $39 juta kepada beberapa bank AS yang melayani Mastercard yang dipaksa untuk
mengganti pelanggan Target jutaan dolar ketika pelanggan tersebut kehilangan uang karena
peretasan besar-besaran sistem pembayaran Target pada tahun 2013 yang memengaruhi 40 juta
orang. Target juga membayar $67 juta kepada Visa untuk peretasan data dan $10 juta untuk
menyelesaikan gugatan class action yang diajukan oleh pelanggan Target. Kerangka kerja
keamanan dan kontrol yang baik yang melindungi aset informasi bisnis dapat menghasilkan
pengembalian investasi yang tinggi. Keamanan dan kontrol yang kuat juga meningkatkan
produktivitas karyawan dan menurunkan biaya operasional.

Persyaratan Hukum dan Peraturan

untuk Pengelolaan Arsip Elektronik
Peraturan pemerintah AS memaksa perusahaan untuk menangani keamanan dan kontrol
secara lebih serius dengan mengamanatkan perlindungan data dari penyalahgunaan,
paparan, dan akses tidak sah. Perusahaan menghadapi kewajiban hukum baru untuk
retensi dan penyimpanan catatan elektronik serta untuk perlindungan privasi.
Jika Anda bekerja di industri perawatan kesehatan, perusahaan Anda harus mematuhi
Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) tahun 1996. HIPA
menguraikan aturan dan prosedur keamanan medis dan privasi untuk menyederhanakan
administrasi penagihan layanan kesehatan dan mengotomatiskan transfer data layanan
kesehatan antara penyedia layanan kesehatan, pembayar, dan rencana. Ini mengharuskan
anggota industri perawatan kesehatan untuk menyimpan informasi pasien selama enam tahun
dan memastikan kerahasiaan catatan tersebut. Ini menentukan standar privasi, keamanan, dan
transaksi elektronik untuk penyedia layanan kesehatan yang menangani informasi pasien,
memberikan hukuman atas pelanggaran privasi medis, pengungkapan catatan pasien melalui
email, atau akses jaringan yang tidak sah.
Jika Anda bekerja di perusahaan yang menyediakan layanan keuangan, perusahaan
Anda harus mematuhi Undang-Undang Modernisasi Layanan Keuangan tahun 1999, yang
lebih dikenal dengan UU Gramm-Leach-Blileysetelah sponsor kongresnya. Undang-undang
ini mewajibkan lembaga keuangan untuk memastikan keamanan dan kerahasiaan nasabah
336 Bagian DuaInfrastruktur Teknologi Informasi

data. Data harus disimpan pada media yang aman, dan langkah-langkah keamanan khusus harus
diterapkan untuk melindungi data tersebut pada media penyimpanan dan selama pengiriman.
Jika Anda bekerja di perusahaan publik, perusahaan Anda harus mematuhi Undang-
Undang Reformasi Akuntansi Perusahaan Publik dan Perlindungan Investor tahun
2002, yang lebih dikenal denganSarbanes-Oxley Actsetelah sponsornya Senator Paul
Sarbanes dari Maryland dan Perwakilan Michael Oxley dari Ohio. Tindakan ini
dirancang untuk melindungi investor setelah skandal keuangan di Enron, WorldCom,
dan perusahaan publik lainnya. Ini membebankan tanggung jawab pada perusahaan
dan manajemennya untuk menjaga keakuratan dan integritas informasi keuangan yang
digunakan secara internal dan dirilis secara eksternal. Salah satu Jalur Pembelajaran
untuk bab ini membahas Sarbanes-Oxley secara mendetail.
Sarbanes-Oxley pada dasarnya adalah tentang memastikan bahwa pengendalian internal
ada untuk mengatur pembuatan dan dokumentasi informasi dalam laporan keuangan.
Karena sistem informasi digunakan untuk menghasilkan, menyimpan, dan mengirimkan
data tersebut, undang-undang mengharuskan perusahaan untuk mempertimbangkan
keamanan sistem informasi dan kontrol lain yang diperlukan untuk memastikan integritas,
kerahasiaan, dan keakuratan data mereka. Setiap aplikasi sistem yang menangani data
pelaporan keuangan penting memerlukan kontrol untuk memastikan data tersebut akurat.
Kontrol untuk mengamankan jaringan perusahaan, mencegah akses tidak sah ke sistem
dan data, dan memastikan integritas dan ketersediaan data jika terjadi bencana atau
gangguan layanan lainnya juga penting.

Bukti Elektronik dan Forensik Komputer

Keamanan, kontrol, dan manajemen arsip elektronik menjadi penting untuk menanggapi
tindakan hukum. Banyak bukti hari ini untuk penipuan saham, penggelapan, pencurian
rahasia dagang perusahaan, kejahatan komputer, dan banyak kasus perdata dalam bentuk
digital. Selain informasi dari halaman cetak atau diketik, kasus hukum saat ini semakin
mengandalkan bukti yang direpresentasikan sebagai data digital yang disimpan pada
perangkat penyimpanan portabel, CD, dan hard disk drive komputer serta dalam e-mail,
pesan instan, dan transaksi e-commerce. Melalui internet. E-mail saat ini merupakan jenis
bukti elektronik yang paling umum.
Dalam suatu perbuatan hukum, suatu firma wajib menanggapi permintaan penemuan untuk
akses informasi yang dapat digunakan sebagai bukti, dan firma diharuskan oleh hukum untuk
menghasilkan data tersebut. Biaya untuk menanggapi permintaan penemuan bisa sangat besar
jika perusahaan mengalami kesulitan dalam menyusun data yang diperlukan atau data telah
rusak atau rusak. Pengadilan sekarang memberlakukan hukuman finansial dan bahkan pidana
yang berat untuk penghancuran dokumen elektronik yang tidak semestinya.
Kebijakan penyimpanan dokumen elektronik yang efektif memastikan bahwa dokumen
elektronik, email, dan catatan lainnya tertata dengan baik, dapat diakses, dan tidak
disimpan terlalu lama atau dibuang terlalu cepat. Ini juga mencerminkan kesadaran tentang
bagaimana melestarikan bukti potensial untuk forensik komputer.forensik komputeradalah
pengumpulan, pemeriksaan, pengesahan, pengawetan, dan analisis ilmiah atas data yang
disimpan atau diambil dari media penyimpanan komputer sedemikian rupa sehingga
informasi tersebut dapat digunakan sebagai bukti di pengadilan. Ini berurusan dengan
masalah-masalah berikut.
• Memulihkan data dari komputer sambil menjaga integritas bukti
• Menyimpan dan menangani data elektronik yang dipulihkan dengan aman

• Menemukan informasi penting dalam volume data elektronik yang besar

• Menyajikan informasi ke pengadilan
 Bab 8Mengamankan Sistem Informasi337

Barang bukti elektronik dapat berada pada media penyimpanan komputer berupa file
komputer dan sebagainyadata lingkungan, yang tidak terlihat oleh rata-rata pengguna.
Contohnya mungkin file yang telah dihapus pada hard drive PC. Data yang mungkin
telah dihapus oleh pengguna komputer di media penyimpanan komputer seringkali
dapat dipulihkan melalui berbagai teknik. Pakar forensik komputer mencoba
memulihkan data tersembunyi tersebut untuk disajikan sebagai bukti.
Kesadaran forensik komputer harus dimasukkan ke dalam proses perencanaan
kontinjensi perusahaan. CIO, spesialis keamanan, staf sistem informasi, dan
penasihat hukum perusahaan semuanya harus bekerja sama untuk memiliki rencana
yang dapat dijalankan jika kebutuhan hukum muncul. Anda dapat mengetahui lebih
lanjut tentang forensik komputer di Jalur Pembelajaran untuk bab ini.

8-3 Apa saja komponen kerangka organisasi

untuk keamanan dan kontrol?
Bahkan dengan alat keamanan terbaik, sistem informasi Anda tidak akan dapat diandalkan
dan aman kecuali Anda tahu bagaimana dan di mana menyebarkannya. Anda harus
mengetahui di mana perusahaan Anda berisiko dan kontrol apa yang harus Anda miliki
untuk melindungi sistem informasi Anda. Anda juga perlu mengembangkan kebijakan dan
rencana keamanan untuk menjaga agar bisnis Anda tetap berjalan jika sistem informasi
Anda tidak beroperasi.

Kontrol Sistem Informasi

Kontrol sistem informasi bersifat manual dan otomatis dan terdiri dari kontrol umum dan
aplikasi.Kontrol umummengatur desain, keamanan, dan penggunaan program komputer
dan keamanan file data secara umum di seluruh infrastruktur teknologi informasi
organisasi. Secara keseluruhan, pengendalian umum berlaku untuk semua aplikasi
terkomputerisasi dan terdiri dari kombinasi perangkat keras, perangkat lunak, dan
prosedur manual yang menciptakan lingkungan pengendalian secara keseluruhan.

Kontrol umum meliputi kontrol perangkat lunak, kontrol perangkat keras fisik,
kontrol operasi komputer, kontrol keamanan data, kontrol atas proses
pengembangan sistem, dan kontrol administratif. Tabel 8.4 menjelaskan fungsi
dari masing-masing kontrol tersebut.
Kontrol aplikasiadalah kontrol khusus yang unik untuk setiap aplikasi
terkomputerisasi, seperti penggajian atau pemrosesan pesanan. Mereka
mencakup prosedur otomatis dan manual yang memastikan bahwa hanya data
resmi yang diproses secara lengkap dan akurat oleh aplikasi tersebut. Kontrol
aplikasi dapat diklasifikasikan sebagai (1) kontrol input, (2) kontrol pemrosesan,
dan (3) kontrol output.
Kontrol masukanmemeriksa data untuk akurasi dan kelengkapan ketika mereka
memasuki sistem. Ada kontrol input khusus untuk otorisasi input, konversi data,
pengeditan data, dan penanganan kesalahan.Kontrol pemrosesanmenetapkan bahwa
data lengkap dan akurat selama pemutakhiran.Kontrol keluaran memastikanbahwa
hasil pemrosesan komputer akurat, lengkap, dan terdistribusi dengan baik. Anda
dapat menemukan detail selengkapnya tentang aplikasi dan kontrol umum di Jalur
Pembelajaran kami.
Kontrol sistem informasi seharusnya tidak menjadi renungan. Mereka perlu dimasukkan ke

dalam desain sistem dan harus mempertimbangkan tidak hanya bagaimana caranya
338 Bagian DuaInfrastruktur Teknologi Informasi

TABEL 8.4KONTROL UMUM

JENIS PENGENDALIAN UMUM KETERANGAN

Kontrol perangkat lunak Pantau penggunaan perangkat lunak sistem dan cegah akses dan penggunaan program

perangkat lunak, perangkat lunak sistem, dan program komputer yang tidak sah.

Kontrol perangkat keras Pastikan perangkat keras komputer aman secara fisik dan periksa kerusakan
peralatan. Organisasi yang sangat bergantung pada komputer mereka juga
harus membuat ketentuan untuk cadangan atau melanjutkan operasi untuk
mempertahankan layanan konstan.

Kontrol operasi komputer Mengawasi pekerjaan departemen komputer untuk memastikan bahwa prosedur
terprogram diterapkan secara konsisten dan benar pada penyimpanan dan
pemrosesan data. Mereka termasuk kontrol atas pengaturan pekerjaan
pemrosesan komputer dan prosedur pencadangan dan pemulihan untuk
pemrosesan yang berakhir tidak normal.

Kontrol keamanan data Pastikan bahwa file data bisnis berharga yang dikelola secara internal atau oleh

layanan hosting eksternal tidak tunduk pada akses, perubahan, atau penghancuran

yang tidak sah saat sedang digunakan atau disimpan.

Kontrol implementasi Mengaudit proses pengembangan sistem di berbagai titik untuk

memastikan bahwa proses tersebut dikendalikan dan dikelola dengan baik.

Kontrol administratif Memformalkan standar, aturan, prosedur, dan disiplin kontrol untuk
memastikan bahwa kontrol umum dan aplikasi organisasi dijalankan
dan ditegakkan dengan benar.

sistem akan tampil dalam semua kondisi yang memungkinkan tetapi juga perilaku
organisasi dan orang yang menggunakan sistem. Sesi Interaktif tentang
Organisasi menjelaskan pentingnya kontrol sistem dalam mencegah serangan
cybersecurity besar-besaran seperti serangan Stuxnet pada kontroler industri.

Tugas beresiko
Sebelum perusahaan Anda menerapkan sumber daya untuk kontrol keamanan dan
sistem informasi, perusahaan harus mengetahui aset mana yang memerlukan
perlindungan dan sejauh mana aset tersebut rentan. Penilaian risiko membantu
menjawab pertanyaan-pertanyaan ini dan menentukan rangkaian kontrol yang paling
hemat biaya untuk melindungi aset.
SEBUAHtugas beresikomenentukan tingkat risiko bagi perusahaan jika aktivitas
atau proses tertentu tidak dikendalikan dengan baik. Tidak semua risiko dapat
diantisipasi dan diukur, tetapi sebagian besar bisnis akan dapat memperoleh
pemahaman tentang risiko yang mereka hadapi. Manajer bisnis yang bekerja dengan
spesialis sistem informasi harus mencoba menentukan nilai aset informasi, titik
kerentanan, kemungkinan frekuensi masalah, dan potensi kerusakan. Misalnya, jika
suatu peristiwa mungkin terjadi tidak lebih dari sekali dalam setahun, dengan kerugian
maksimum sebesar $1.000 bagi organisasi, tidak bijaksana membelanjakan $20.000
untuk desain dan pemeliharaan pengendalian untuk melindungi dari peristiwa tersebut.
Namun, jika peristiwa yang sama dapat terjadi setidaknya sekali sehari, dengan
potensi kerugian lebih dari $300.000 setahun, $100.000 yang dibelanjakan untuk
kontrol mungkin sepenuhnya sesuai.

SESI INTERAKTIF: ORGANISASI
Stuxnet dan Perubahan Wajah Cyberwarfare
Pada Juli 2010, muncul laporan tentang worm Stuxnet
yang telah menargetkan fasilitas nuklir Iran. Pada bulan
November tahun itu, Presiden Iran Mahmoud Ahmadinejad
secara terbuka mengakui bahwa perangkat lunak
berbahaya telah menginfeksi fasilitas nuklir Iran dan
mengganggu program nuklir dengan menonaktifkan
sentrifugal fasilitas tersebut. Stuxnet telah mendapatkan
tempatnya dalam sejarah sebagai contoh nyata pertama
dari industri cyberwarfare.
Sampai saat ini, Stuxnet adalah senjata siber tercanggih
yang pernah digunakan. Misi Stuxnet adalah mengaktifkan
hanya komputer yang menjalankan perangkat lunak
Supervisory Control and Data Acquisition (SCADA) yang
digunakan dalam sentrifugal Siemens untuk memperkaya
uranium. Cacing berbasis Windows memiliki "hulu ledak
ganda". Satu bagian dirancang untuk tidak aktif untuk waktu
yang lama, kemudian mempercepat sentrifugal nuklir Iran
sehingga berputar di luar kendali. Yang lain diam-diam
merekam seperti apa operasi normal di pembangkit nuklir dan
kemudian memutar rekaman itu kembali ke operator pabrik
sehingga akan tampak bahwa sentrifugal beroperasi secara
normal ketika mereka benar-benar tercabik-cabik.
Kecanggihan worm menunjukkan karya profesional
yang sangat terampil. Michael Assante, Presiden dan CEO
di National Board of Information Security Examiners,
memandang Stuxnet sebagai sistem pengiriman senjata
seperti B-2 Bomber. Kode program perangkat lunak sangat
modular, sehingga dapat dengan mudah diubah untuk
menyerang sistem yang berbeda. Stuxnet hanya menjadi
aktif ketika menemukan konfigurasi pengontrol tertentu,
menjalankan serangkaian proses yang terbatas pada
pabrik sentrifugal.
Lebih dari 60 persen komputer yang terinfeksi Stuxet
berada di Iran, dan perusahaan keamanan digital Kaspersky
Labs berspekulasi bahwa worm tersebut diluncurkan dengan
dukungan negara-bangsa (mungkin dari Israel dan Amerika
Serikat) dengan tujuan menonaktifkan beberapa atau semua
program pengayaan uranium Iran. Stuxnet memusnahkan
sekitar seperlima dari sentrifugal nuklir Iran dengan
membuatnya berputar dengan kecepatan yang terlalu tinggi.
Kerusakan itu tidak dapat diperbaiki dan diyakini telah
menunda kemampuan Iran untuk membuat senjata nuklir
hingga lima tahun. Dan tidak ada yang yakin bahwa serangan
Stuxnet sudah berakhir. Beberapa ahli yang memeriksa kode
perangkat lunak Stuxnet percaya itu mengandung benih untuk
lebih banyak versi dan serangan.
Bab 8Mengamankan Sistem Informasi339
Menurut laporan Tofino Security, Stuxnet mampu
menginfeksi sistem komputer yang aman sekalipun
yang mengikuti praktik terbaik industri. Kebutuhan
perusahaan akan interkonektivitas antara sistem kontrol
membuat hampir tidak mungkin bertahan melawan
serangan multi-cabang yang dibangun dengan baik
seperti Stuxnet. Pada 2015, sistem Kapersky sendiri
diserang oleh turunan Stuxnet, yang beroperasi tanpa
deteksi selama enam bulan. Malware yang sama
ditemukan pada sistem diplomat yang terlibat dalam
negosiasi dengan Iran mengenai program nuklirnya.
Dan Stuxnet bukan satu-satunya senjata siber yang saat ini
bekerja. Virus Flame, dirilis sekitar lima tahun lalu, telah
menginfeksi komputer di Iran, Lebanon, Sudan, Arab Saudi,
Mesir, Suriah, dan Israel. Sementara para peneliti masih
menganalisis program tersebut, tujuan utama serangan itu
adalah spionase dan pencurian informasi. Flame dapat
mengambil gambar layar komputer pengguna, merekam
obrolan perpesanan instan mereka, mengumpulkan kata sandi,
menyalakan mikrofon mereka dari jarak jauh untuk merekam
percakapan audio, memindai disk untuk file tertentu, dan
memantau penekanan tombol dan lalu lintas jaringan mereka.
Perangkat lunak ini juga merekam percakapan Skype dan
dapat mengubah komputer yang terinfeksi menjadi suar
Bluetooth yang berupaya mengunduh informasi kontak dari
perangkat berkemampuan Bluetooth terdekat. Data ini,
bersama dengan dokumen yang disimpan secara lokal, dapat
dikirim ke salah satu dari beberapa server command and
control yang tersebar di seluruh dunia. Program kemudian
menunggu instruksi lebih lanjut dari server ini.
Banyak yang mengkhawatirkan signifikansi sebenarnya
dari Stuxnet adalah ia menciptakan fondasi bagi banyak
klon malware turunan dan memperbesar dunia mesin yang
dapat dihancurkan. Misalnya, para peneliti telah
menggunakan kode mirip Stuxnet untuk merusak sistem
komputer di mobil dan mematikan perangkat keselamatan
seperti kantung udara dan alarm mesin.
Namun kekhawatiran yang lebih mendesak bagi pakar
keamanan dan pejabat pemerintah adalah tindakan perang
dunia maya terhadap sumber daya penting, seperti jaringan
listrik, sistem keuangan, atau sistem komunikasi. (Pada
April 2009, misalnya, mata-mata dunia maya menyusup ke
jaringan listrik AS, menggunakan titik lemah di mana
komputer di jaringan terhubung ke Internet, dan
meninggalkan program perangkat lunak yang tujuannya
tidak jelas, tetapi mungkin dapat digunakan untuk
mengganggu sistem. )
340 Bagian DuaInfrastruktur Teknologi Informasi

Amerika Serikat tidak memiliki strategi yang jelas tentang
bagaimana negara tersebut akan menanggapi tingkat serangan
dunia maya tersebut, dan dampak dari serangan semacam itu
kemungkinan besar akan sangat menghancurkan. Mike
McConnell, mantan direktur intelijen nasional, menyatakan
bahwa jika bahkan satu bank besar Amerika berhasil diserang,
itu akan memiliki dampak yang lebih besar pada ekonomi
global daripada serangan World Trade Center, dan bahwa
kemampuan untuk mengancam suplai uang AS secara finansial
setara dengan senjata nuklir.
Banyak pakar keamanan percaya bahwa keamanan siber AS
tidak terorganisir dengan baik. Beberapa lembaga yang berbeda,
termasuk Pentagon dan Badan Keamanan Nasional (NSA),
memiliki pandangan untuk menjadi lembaga terdepan dalam upaya
berkelanjutan untuk memerangi perang dunia maya. Markas
pertama yang dirancang untuk mengoordinasikan upaya
keamanan dunia maya pemerintah, yang disebut Cybercom,
diaktifkan pada Mei 2010 dengan harapan dapat mengatasi
kekusutan organisasi ini. Pada bulan Mei 2011 Presiden Barack
Pada tahun 2014, sebuah virus yang mirip dengan Stuxnet
bernama Energetic Bear ditemukan telah menyerang perusahaan
energi di Amerika Serikat dan Eropa, memberikan kepercayaan
pada ketakutan akan jaringan energi yang rentan terhadap jenis
serangan ini. Mengembangkan virus komputer generasi berikutnya
adalah satu hal, tetapi mengembangkan metode untuk
mempertahankan sistem komputer yang sudah mapan dari mereka
adalah hal lain. Akankah Amerika Serikat dan negara lain siap
ketika Stuxnet berikutnya muncul?
Sumber:“Meretas Mobil dengan Gaya Stuxnet,” Blog CrySys, 28 Oktober
2015; Kim Zetter, "AS Mencoba Program Nuklir Stuxnet Korea Utara," Majalah
Kabel, 29 Mei 2015; Michael Kenney, “Cyber-Terrorism in a Post-Stuxnet
World,” Lembaga Penelitian Kebijakan Luar Negeri, Orbis, Musim Dingin
2015; Michael B. Kelley, “Virus Seperti Stuxnet Telah Menginfeksi Ratusan
Perusahaan Energi AS dan Eropa,” Businessinsider.com, 1 Juli 2014; Brian
Royer, "Stuxnet, Jaringan Listrik Negara, dan Hukum Konsekuensi yang
Tidak Diinginkan,"Bacaan Gelap,12 Maret 2012; Thomas Erdbrink, “Iran
Mengonfirmasi Serangan oleh Virus yang Mengumpulkan Informasi,” Waktu
New York, 29 Mei 2012; Nicole Perlroth, “Virus Menginfeksi Komputer di
Timur Tengah,”Waktu New York
, 28 Mei 2012; Robert Leos, “Secure Best Practices No Proof Against

Obama menandatangani perintah eksekutif yang menggabungkan
kemampuan dunia maya ke dalam strategi militer AS, namun
kemampuan ini masih terus berkembang.
Stuxnet,” CSO, 3 Maret 2011; Lolita C. Baldor, “Pentagon Mendapat Pedoman
Cyberwar,” Associated Press, 22 Juni 2011; William J. Broad, John Markoff,
dan David E. Sanger, “Israel Menguji Cacing yang Disebut Krusial dalam
Penundaan Nuklir Iran,”Waktu New York,15 Januari 2011.

PERTANYAAN STUDI KASUS

1.Apakah cyberwarfare merupakan masalah serius? Mengapa atau
mengapa tidak?
2.Menilai faktor orang, organisasi, dan teknologi
yang telah menciptakan masalah ini.
3.Apa yang membuat Stuxnet berbeda dari
serangan cyberwarfare lainnya? Seberapa serius
ancaman teknologi ini?
4.Solusi apa yang telah diusulkan untuk masalah ini?
Apakah menurut Anda mereka akan efektif? Mengapa
atau mengapa tidak?

Tabel 8.5 mengilustrasikan contoh hasil penilaian risiko untuk sistem pemrosesan
pesanan online yang memproses 30.000 pesanan per hari. Kemungkinan setiap paparan
yang terjadi selama periode satu tahun dinyatakan sebagai persentase. Kolom berikutnya
menunjukkan kemungkinan kerugian tertinggi dan terendah yang dapat diharapkan setiap
kali eksposur terjadi dan kerugian rata-rata dihitung dengan menjumlahkan angka tertinggi
dan terendah dan membaginya dengan dua. Kerugian tahunan yang diharapkan untuk
setiap eksposur dapat ditentukan dengan mengalikan kerugian rata-rata dengan
kemungkinan terjadinya.
Penilaian risiko ini menunjukkan bahwa kemungkinan kegagalan daya yang terjadi dalam
periode satu tahun adalah 30 persen. Hilangnya transaksi pesanan saat listrik padam dapat
berkisar dari $5.000 hingga $200.000 (rata-rata $102.500) untuk setiap kejadian, tergantung
pada berapa lama pemrosesan dihentikan. Probabilitas penggelapan yang terjadi selama
periode tahunan adalah sekitar 5 persen, dengan potensi kerugian mulai dari $1.000 hingga
$50.000 (dan rata-rata $25.500) untuk setiap kejadian. Kesalahan pengguna memiliki
peluang 98 persen untuk terjadi selama periode tahunan, dengan kerugian mulai dari $200
hingga $40.000 (dan rata-rata $20.100) untuk setiap kejadian.
 Bab 8Mengamankan Sistem Informasi341

TABEL 8.5PENILAIAN RISIKO PEMROSESAN PESANAN ONLINE

PROBABILITAS DARI
PAPARAN KEJADIAN (%) KURANG KEHILANGAN/ RATA-RATA ($) KERUGIAN TAHUNAN YANG DIHARAPKAN ($)

Masalah listrik 30% $5.000–$200.000 $30.750

($102.500)

Penggelapan 5% $1000–$50.000 ($25.500) $1275

Kesalahan pengguna 98% $200–$40.000 ($20.100) $19.698

Setelah risiko dinilai, pembangun sistem akan berkonsentrasi pada titik kontrol
dengan kerentanan terbesar dan potensi kerugian. Dalam hal ini, pengendalian
harus berfokus pada cara meminimalkan risiko kegagalan daya dan kesalahan
pengguna karena kerugian tahunan yang diantisipasi paling tinggi untuk area ini.

Kebijakan keamanan
Setelah Anda mengidentifikasi risiko utama pada sistem Anda, perusahaan Anda perlu
mengembangkan kebijakan keamanan untuk melindungi aset perusahaan. SEBUAH kebijakan
keamananterdiri dari pernyataan peringkat risiko informasi, mengidentifikasi tujuan keamanan
yang dapat diterima, dan mengidentifikasi mekanisme untuk mencapai tujuan tersebut. Apa aset
informasi terpenting perusahaan? Siapa yang menghasilkan dan mengendalikan informasi ini di
perusahaan? Kebijakan keamanan apa yang ada untuk melindungi informasi? Tingkat risiko apa
yang bersedia diterima manajemen untuk masing-masing aset ini? Apakah bersedia, misalnya,
kehilangan data kredit pelanggan setiap 10 tahun sekali? Atau akan membangun sistem
keamanan untuk data kartu kredit yang dapat bertahan dari bencana sekali dalam seratus
tahun? Manajemen harus memperkirakan berapa banyak biaya untuk mencapai tingkat risiko
yang dapat diterima ini.
Kebijakan keamanan mendorong kebijakan lain yang menentukan penggunaan sumber daya
informasi perusahaan yang dapat diterima dan anggota perusahaan mana yang memiliki akses
ke aset informasinya. Sebuahkebijakan penggunaan yang dapat diterima (AUP)mendefinisikan
penggunaan sumber daya informasi dan peralatan komputasi perusahaan yang dapat diterima,
termasuk komputer desktop dan laptop, perangkat nirkabel, telepon, dan Internet. AUP yang baik
menentukan tindakan yang tidak dapat diterima dan dapat diterima untuk setiap pengguna dan
menentukan konsekuensi untuk ketidakpatuhan.
Kebijakan keamanan juga mencakup ketentuan untuk manajemen identitas.Manajemen
identitasterdiri dari proses bisnis dan perangkat lunak untuk mengidentifikasi pengguna
yang valid dari sistem dan mengendalikan akses mereka ke sumber daya sistem. Ini
mencakup kebijakan untuk mengidentifikasi dan mengesahkan berbagai kategori
pengguna sistem, menentukan sistem atau bagian sistem apa yang boleh diakses oleh
setiap pengguna, dan proses serta teknologi untuk mengautentikasi pengguna dan
melindungi identitas mereka.
Gambar 8.3 adalah salah satu contoh bagaimana sistem manajemen identitas dapat
menangkap aturan akses untuk tingkat pengguna yang berbeda dalam fungsi sumber
daya manusia. Ini menentukan bagian mana dari database sumber daya manusia yang
boleh diakses oleh setiap pengguna, berdasarkan informasi yang diperlukan untuk
melakukan pekerjaan orang tersebut. Basis data berisi informasi pribadi yang sensitif
seperti gaji, tunjangan, dan riwayat kesehatan karyawan.
Aturan akses yang diilustrasikan di sini adalah untuk dua kelompok pengguna. Satu set
pengguna terdiri dari semua karyawan yang melakukan fungsi klerikal, seperti
memasukkan data karyawan ke dalam sistem. Semua individu dengan jenis profil ini dapat
memperbarui sistem tetapi tidak dapat membaca atau memperbarui bidang sensitif, seperti
342 Bagian DuaInfrastruktur Teknologi Informasi

GAMBAR 8.3ATURAN AKSES UNTUK SISTEM PERSONIL

Kedua contoh ini mewakili dua profil keamanan atau pola keamanan data yang mungkin ditemukan dalam
sistem personalia. Bergantung pada profil keamanan, pengguna akan memiliki batasan tertentu pada akses
ke berbagai sistem, lokasi, atau data dalam suatu organisasi.

gaji, riwayat medis, atau data penghasilan. Profil lain berlaku untuk manajer divisi,
yang tidak dapat memperbarui sistem tetapi dapat membaca semua bidang data
karyawan untuk divisinya, termasuk riwayat kesehatan dan gaji. Kami memberikan
detail lebih lanjut tentang teknologi untuk autentikasi pengguna nanti di bab ini.

Perencanaan Pemulihan Bencana dan

Perencanaan Kesinambungan Bisnis
Jika Anda menjalankan bisnis, Anda perlu merencanakan peristiwa, seperti pemadaman
listrik, banjir, gempa bumi, atau serangan teroris, yang akan mencegah sistem informasi
dan bisnis Anda beroperasi.Perencanaan pemulihan bencana menyusun rencana untuk
pemulihan layanan komputasi dan komunikasi yang terganggu. Rencana pemulihan
bencana berfokus terutama pada masalah teknis yang terlibat dalam menjaga dan
menjalankan sistem, seperti file mana yang akan dicadangkan dan pemeliharaan sistem
komputer cadangan atau layanan pemulihan bencana.

Misalnya, MasterCard memiliki pusat komputer duplikat di Kansas City, Missouri, untuk
melayani sebagai cadangan darurat untuk pusat komputer utamanya di St. Louis. Daripada
membangun fasilitas cadangan mereka sendiri, banyak perusahaan mengontrak perusahaan
pemulihan bencana seperti SunGard Availability Services dan Acronis. Perusahaan pemulihan
bencana ini menyediakan situs panas yang menampung komputer cadangan di lokasi di seluruh
negara tempat perusahaan pelanggan dapat menjalankan aplikasi penting mereka dalam keadaan
darurat. Misalnya Champion Technologies yang menyuplai
 Bab 8Mengamankan Sistem Informasi343

bahan kimia yang digunakan dalam operasi minyak dan gas, dapat mengalihkan sistem
perusahaannya dari Houston ke pusat data SunGard di Scottsdale, Arizona, dalam dua jam.
Perencanaan kesinambungan bisnisberfokus pada bagaimana perusahaan
dapat memulihkan operasi bisnis setelah terjadi bencana. Rencana
kesinambungan bisnis mengidentifikasi proses bisnis penting dan
menentukan rencana tindakan untuk menangani fungsi kritis misi jika sistem
turun. Misalnya, Deutsche Bank, yang menyediakan layanan perbankan
investasi dan manajemen aset di 74 negara, memiliki rencana kesinambungan
bisnis yang dikembangkan dengan baik yang terus diperbarui dan
disempurnakan. Itu memelihara tim penuh waktu di Singapura, Hong Kong,
Jepang, India, dan Australia untuk mengoordinasikan rencana mengatasi
hilangnya fasilitas, personel, atau sistem kritis sehingga perusahaan dapat
terus beroperasi ketika terjadi peristiwa bencana.

Manajer bisnis dan spesialis teknologi informasi perlu bekerja sama dalam
kedua jenis rencana tersebut untuk menentukan sistem dan proses bisnis mana
yang paling penting bagi perusahaan. Mereka harus melakukan analisis dampak
bisnis untuk mengidentifikasi sistem perusahaan yang paling kritis dan dampak
pemadaman sistem terhadap bisnis. Manajemen harus menentukan jumlah
maksimum waktu bisnis dapat bertahan dengan sistemnya mati dan bagian
bisnis mana yang harus dipulihkan terlebih dahulu.

Peran Audit
Bagaimana manajemen mengetahui bahwa keamanan dan kontrol sistem informasi
efektif? Untuk menjawab pertanyaan ini, organisasi harus melakukan audit yang
komprehensif dan sistematis. Sebuahaudit sistem informasimemeriksa lingkungan
keamanan perusahaan secara keseluruhan serta kontrol yang mengatur sistem
informasi individu. Auditor harus menelusuri alur transaksi sampel melalui sistem
dan melakukan pengujian, dengan menggunakan, jika sesuai, perangkat lunak audit
otomatis. Audit sistem informasi juga dapat memeriksa kualitas data.
Audit keamanan meninjau teknologi, prosedur, dokumentasi, pelatihan, dan
personel. Audit menyeluruh bahkan akan mensimulasikan serangan atau
bencana untuk menguji respons teknologi, staf sistem informasi, dan
karyawan bisnis.
Daftar audit dan peringkat semua kelemahan kontrol dan memperkirakan kemungkinan
terjadinya mereka. Kemudian menilai dampak keuangan dan organisasi dari setiap
ancaman. Gambar 8.4 adalah daftar auditor sampel kelemahan kontrol untuk sistem
pinjaman. Ini termasuk bagian untuk memberi tahu manajemen tentang kelemahan tersebut
dan untuk tanggapan manajemen. Manajemen diharapkan menyusun rencana untuk
mengatasi kelemahan signifikan dalam pengendalian.

8-4 Alat dan teknologi apa yang paling penting

untuk melindungi sumber daya informasi?

Bisnis memiliki serangkaian teknologi untuk melindungi sumber daya informasi

mereka. Mereka termasuk alat untuk mengelola identitas pengguna, mencegah akses
tidak sah ke sistem dan data, memastikan ketersediaan sistem, dan memastikan
kualitas perangkat lunak.
344 Bagian DuaInfrastruktur Teknologi Informasi

GAMBAR 8.4CONTOH DAFTAR KELEMAHAN KONTROL AUDITOR

Fungsi: Pinjaman Disiapkan oleh: J. Ericson Diterima oleh: T. Benson Tanggal

Lokasi: Peoria, IL Tanggal: 16 Juni 2016 peninjauan: 28 Juni 2016

Sifat Kelemahan Peluang Kesalahan/Penyalahgunaan Pemberitahuan kepada Manajemen

dan Dampak

Ya/ Pembenaran Laporan Tanggapan man

Tidak tanggal

Akun pengguna dengan Ya Meninggalkan sistem terbuka 5/10/16 Hilangkan aku

kata sandi yang hilang untuk tidak sah tanpa kata san
orang luar atau penyerang
5/10/16 Pastikan hanya dipe

Jaringan dikonfigurasi Ya Mengekspos kritis direktori adalah

untuk mengizinkan beberapa file sistem ke pihak dibagikan dan de
berbagi sistem bermusuhan yang terhubung itu mereka dilind
file jaringan password yang k

Tambalan perangkat lunak Semua program produksi

dapat memperbarui Tidak membutuhkan manajemen

program produksi persetujuan; Penetapan
tanpa persetujuan akhir grup Standar dan Kontrol
dari Standar dan kasus tersebut ke status
Grup kontrol produksi sementara

Bagan ini adalah contoh halaman dari daftar kelemahan pengendalian yang mungkin ditemukan auditor dalam
sistem pinjaman di bank komersial lokal. Formulir ini membantu auditor mencatat dan mengevaluasi kelemahan
pengendalian dan menunjukkan hasil pembahasan kelemahan tersebut dengan manajemen serta tindakan korektif
yang diambil manajemen.

Manajemen Identitas dan Otentikasi

Perusahaan menengah dan besar memiliki infrastruktur TI yang kompleks dan banyak sistem,
masing-masing dengan kumpulan penggunanya sendiri. Perangkat lunak manajemen identitas
mengotomatiskan proses melacak semua pengguna ini dan hak istimewa sistem mereka,
menetapkan setiap pengguna identitas digital unik untuk mengakses setiap sistem. Ini juga
mencakup alat untuk mengautentikasi pengguna, melindungi identitas pengguna, dan mengontrol
akses ke sumber daya sistem.
Untuk mendapatkan akses ke sistem, pengguna harus diotorisasi dan diautentikasi.
Autentikasimengacu pada kemampuan untuk mengetahui bahwa seseorang adalah seperti
yang dia nyatakan. Otentikasi sering dibuat dengan menggunakankata sandihanya diketahui
oleh pengguna yang berwenang. Pengguna akhir menggunakan kata sandi untuk masuk ke
sistem komputer dan juga dapat menggunakan kata sandi untuk mengakses sistem dan file
tertentu. Namun, pengguna sering lupa kata sandi, membagikannya, atau memilih kata sandi
yang buruk yang mudah ditebak, yang membahayakan keamanan. Sistem password yang
terlalu ketat menghambat produktivitas karyawan. Ketika karyawan harus sering mengubah
kata sandi yang rumit, mereka sering mengambil jalan pintas, seperti memilih kata sandi
yang mudah ditebak atau menyimpan kata sandi mereka di workstation mereka agar terlihat
jelas. Kata sandi juga dapat diendus jika dikirim melalui jaringan atau dicuri melalui
rekayasa sosial.
Teknologi autentikasi baru, seperti token, kartu pintar, dan autentikasi biometrik,
mengatasi beberapa masalah ini. SEBUAHtokenadalah perangkat fisik, mirip dengan
kartu identitas, yang dirancang untuk membuktikan identitas satu pengguna. Token
adalah gadget kecil yang biasanya dipasang pada gantungan kunci dan
 Bab 8Mengamankan Sistem Informasi345

menampilkan kode sandi yang sering berubah. SEBUAHkartu pintaradalah perangkat

seukuran kartu kredit yang berisi chip yang diformat dengan izin akses dan data
lainnya. (Kartu pintar juga digunakan dalam sistem pembayaran elektronik.)
Perangkat pembaca menginterpretasikan data pada kartu pintar dan mengizinkan
atau menolak akses.
Otentikasi biometrikmenggunakan sistem yang membaca dan menafsirkan sifat
individu manusia, seperti sidik jari, iris mata, dan suara untuk memberikan atau
menolak akses. Otentikasi biometrik didasarkan pada pengukuran sifat fisik atau
perilaku yang membuat setiap individu unik. Fitur ini membandingkan
karakteristik unik seseorang, seperti sidik jari, wajah, atau citra retina, dengan
profil tersimpan dari karakteristik ini untuk menentukan perbedaan apa pun antara
karakteristik ini dan profil tersimpan. Jika kedua profil cocok, akses diberikan.
Teknologi pengenalan sidik jari dan wajah baru mulai digunakan untuk aplikasi
keamanan, dengan banyak laptop PC (dan beberapa smartphone) yang dilengkapi
dengan perangkat identifikasi sidik jari dan beberapa model dengan webcam
bawaan dan perangkat lunak pengenalan wajah.
Aliran insiden yang stabil di mana peretas dapat mengakses kata sandi
tradisional menyoroti perlunya alat otentikasi yang lebih aman.Otentikasi dua
faktormeningkatkan keamanan dengan memvalidasi pengguna melalui proses
multilangkah. Untuk diautentikasi, pengguna harus menyediakan dua alat
identifikasi, salah satunya biasanya berupa token fisik, seperti kartu pintar
atau kartu bank yang mendukung chip, dan yang lainnya biasanya berupa
data, seperti kata sandi atau nomor identifikasi pribadi. (PIN). Data biometrik,
seperti sidik jari, sidik jari, atau cetakan suara, juga dapat digunakan sebagai
salah satu mekanisme otentikasi. Contoh umum otentikasi dua faktor adalah
kartu bank; kartu itu sendiri adalah barang fisik, dan PIN adalah data yang
menyertainya.

Ponsel cerdas ini memiliki pembaca

sidik jari biometrik untuk akses cepat

namun aman ke file dan

jaringan. Model PC dan smartphone
baru mulai menggunakan identifikasi

biometrik untuk mengautentikasi

pengguna.
346 Bagian DuaInfrastruktur Teknologi Informasi

Firewall, Sistem Deteksi Intrusi, dan Perangkat

Lunak Antivirus
Tanpa perlindungan terhadap malware dan penyusup, menghubungkan ke
Internet akan sangat berbahaya. Firewall, sistem deteksi intrusi, dan
perangkat lunak antivirus telah menjadi alat bisnis yang penting.

Firewall
Firewallmencegah pengguna yang tidak sah mengakses jaringan pribadi. Firewall
adalah kombinasi perangkat keras dan perangkat lunak yang mengontrol aliran lalu
lintas jaringan masuk dan keluar. Biasanya ditempatkan di antara jaringan internal
pribadi organisasi dan jaringan eksternal yang tidak dipercaya, seperti Internet,
meskipun firewall juga dapat digunakan untuk melindungi satu bagian jaringan
perusahaan dari jaringan lainnya (lihat Gambar 8.5).
Firewall bertindak seperti penjaga gerbang yang memeriksa kredensial setiap
pengguna sebelum memberikan akses ke jaringan. Firewall mengidentifikasi
nama, alamat IP, aplikasi, dan karakteristik lain dari lalu lintas masuk. Ini
memeriksa informasi ini terhadap aturan akses yang telah diprogram oleh
administrator jaringan ke dalam sistem. Firewall mencegah komunikasi yang tidak
sah masuk dan keluar dari jaringan.
Di organisasi besar, firewall sering berada di komputer khusus yang terpisah
dari jaringan lainnya, sehingga tidak ada permintaan masuk yang langsung
mengakses sumber daya jaringan pribadi. Ada sejumlah teknologi penyaringan
firewall, termasuk pemfilteran paket statis, inspeksi stateful, Jaringan

GAMBAR 8.5FIREWALL PERUSAHAAN

Firewall ditempatkan di antara jaringan pribadi perusahaan dan Internet publik atau jaringan lain yang tidak dipercaya untuk melindungi

dari lalu lintas yang tidak sah.

 Bab 8Mengamankan Sistem Informasi347

Terjemahan Alamat, dan pemfilteran proxy aplikasi. Mereka sering digunakan

dalam kombinasi untuk memberikan perlindungan firewall.
Penyaringan paketmemeriksa bidang yang dipilih di header paket data yang
mengalir bolak-balik antara jaringan tepercaya dan Internet, memeriksa paket
individu secara terpisah. Teknologi penyaringan ini dapat melewatkan banyak
jenis serangan.
Inspeksi negaramemberikan keamanan tambahan dengan menentukan apakah paket
merupakan bagian dari dialog berkelanjutan antara pengirim dan penerima. Ini mengatur
tabel status untuk melacak informasi melalui beberapa paket. Paket diterima atau ditolak
berdasarkan apakah mereka merupakan bagian dari percakapan yang disetujui atau
berusaha untuk membuat koneksi yang sah.
Terjemahan Alamat Jaringan (NAT)dapat memberikan lapisan perlindungan
lain ketika pemfilteran paket statis dan inspeksi stateful digunakan. NAT
menyembunyikan alamat IP dari komputer host internal organisasi untuk
mencegah program sniffer di luar firewall memastikannya dan menggunakan
informasi tersebut untuk menembus sistem internal.
Penyaringan proxy aplikasimemeriksa isi aplikasi paket. Server proxy
menghentikan paket data yang berasal dari luar organisasi, memeriksanya,
dan meneruskan proxy ke sisi lain firewall. Jika pengguna di luar
perusahaan ingin berkomunikasi dengan pengguna di dalam organisasi,
pengguna luar terlebih dahulu berkomunikasi dengan aplikasi proxy, dan
aplikasi proxy berkomunikasi dengan komputer internal perusahaan.
Demikian pula, pengguna komputer di dalam organisasi melewati proxy
untuk berbicara dengan komputer di luar.
Untuk membuat firewall yang baik, administrator harus memelihara aturan internal yang mendetail
yang mengidentifikasi orang, aplikasi, atau alamat yang diizinkan atau ditolak. Firewall dapat
menghalangi, tetapi tidak sepenuhnya mencegah, penetrasi jaringan oleh pihak luar dan harus
dipandang sebagai salah satu elemen dalam rencana keamanan secara keseluruhan.

Sistem Deteksi Intrusi

Selain firewall, vendor keamanan komersial kini menyediakan alat dan layanan deteksi
penyusupan untuk melindungi dari lalu lintas jaringan yang mencurigakan dan upaya
untuk mengakses file dan database.Sistem deteksi intrusi menampilkan alat
pemantauan penuh waktu yang ditempatkan di titik paling rentan atau hot spot
jaringan perusahaan untuk mendeteksi dan mencegah penyusup secara terus-
menerus. Sistem menghasilkan alarm jika menemukan peristiwa yang mencurigakan
atau anomali. Perangkat lunak pemindaian mencari pola yang menunjukkan metode
serangan komputer yang diketahui seperti kata sandi yang buruk, memeriksa apakah
file penting telah dihapus atau dimodifikasi, dan mengirimkan peringatan vandalisme
atau kesalahan administrasi sistem. Alat deteksi intrusi juga dapat disesuaikan untuk
mematikan bagian jaringan yang sangat sensitif jika menerima lalu lintas yang tidak
sah.

Perangkat Lunak Antivirus dan Antispyware

Paket teknologi pertahanan untuk individu dan bisnis harus menyertakan
perlindungan anti-malware untuk setiap komputer.Perangkat lunak
antivirusmencegah, mendeteksi, dan menghapus malware, termasuk virus komputer,
worm komputer, trojan horse, spyware, dan adware. Namun, sebagian besar perangkat
lunak antivirus hanya efektif melawan malware yang sudah dikenal saat perangkat
lunak tersebut dibuat. Agar tetap efektif, perangkat lunak antivirus harus terus
diperbarui. Itu pun tidak selalu efektif karena beberapa malware dapat menghindari
deteksi antivirus. Organisasi perlu menggunakan alat pendeteksi malware tambahan
untuk perlindungan yang lebih baik.
348 Bagian DuaInfrastruktur Teknologi Informasi

Sistem Manajemen Ancaman Terpadu

Untuk membantu bisnis mengurangi biaya dan meningkatkan pengelolaan, vendor
keamanan telah menggabungkan berbagai alat keamanan menjadi satu alat, termasuk
firewall, jaringan pribadi virtual, sistem deteksi intrusi, dan pemfilteran konten web dan
perangkat lunak anti-spam. Produk manajemen keamanan yang komprehensif ini
disebutmanajemen ancaman terpadu (UTM)sistem. Produk UTM tersedia untuk semua
ukuran jaringan. Vendor UTM terkemuka termasuk Fortinent, Sophos, dan Check
Point, dan vendor jaringan seperti Cisco Systems dan Juniper Networks menyediakan
beberapa kemampuan UTM dalam produk mereka.

Mengamankan Jaringan Nirkabel

Standar keamanan awal yang dikembangkan untuk Wi-Fi, yang disebut Wired
Equivalent Privacy (WEP), tidak terlalu efektif karena kunci enkripsinya relatif mudah
diretas. WEP menyediakan beberapa margin keamanan, namun, jika pengguna ingat
untuk mengaktifkannya. Korporasi dapat lebih meningkatkan keamanan Wi-Fi dengan
menggunakannya bersamaan dengan teknologi jaringan pribadi virtual (VPN) saat
mengakses data internal perusahaan.
Pada bulan Juni 2004, grup perdagangan industri Aliansi Wi-Fi menyelesaikan spesifikasi
802.11i (juga disebut sebagai Wi-Fi Protected Access 2 atau WPA2) yang menggantikan WEP
dengan standar keamanan yang lebih kuat. Alih-alih kunci enkripsi statis yang digunakan dalam
WEP, standar baru ini menggunakan kunci yang jauh lebih panjang yang terus berubah,
membuatnya lebih sulit untuk dipecahkan.

Enkripsi dan Infrastruktur Kunci Publik

Banyak bisnis menggunakan enkripsi untuk melindungi informasi digital yang mereka
simpan, transfer secara fisik, atau kirim melalui Internet.Enkripsiadalah proses
mengubah teks atau data biasa menjadi teks sandi yang tidak dapat dibaca oleh siapa
pun selain pengirim dan penerima yang dituju. Data dienkripsi dengan menggunakan
kode numerik rahasia, yang disebut kunci enkripsi, yang mengubah data biasa
menjadi teks sandi. Pesan harus didekripsi oleh penerima.
Dua metode untuk mengenkripsi lalu lintas jaringan di web adalah SSL dan S-
HTTP. Lapisan Soket Aman (SSL)dan penerusnya, Transport Layer Security (TLS),
memungkinkan komputer klien dan server mengelola aktivitas enkripsi dan dekripsi
saat mereka berkomunikasi satu sama lain selama sesi web yang aman.Protokol
Transfer Hiperteks Aman (S-HTTP)adalah protokol lain yang digunakan untuk
mengenkripsi data yang mengalir melalui Internet, tetapi terbatas pada pesan
individual, sedangkan SSL dan TLS dirancang untuk membuat sambungan aman
antara dua komputer.
Kemampuan untuk menghasilkan sesi aman dibangun ke dalam perangkat
lunak dan server browser klien Internet. Klien dan server menegosiasikan kunci
apa dan tingkat keamanan apa yang akan digunakan. Setelah sesi aman dibuat
antara klien dan server, semua pesan dalam sesi itu dienkripsi.
Dua metode enkripsi adalah enkripsi kunci simetris dan enkripsi kunci publik. Dalam
enkripsi kunci simetris, pengirim dan penerima membuat sesi Internet yang aman dengan
membuat kunci enkripsi tunggal dan mengirimkannya ke penerima sehingga pengirim dan
penerima berbagi kunci yang sama. Kekuatan kunci enkripsi diukur dengan panjang
bitnya. Saat ini, kunci tipikal akan memiliki panjang 56 hingga 256 bit (serangkaian dari 56
hingga 256 digit biner) tergantung pada tingkat keamanan yang diinginkan. Semakin
panjang kuncinya, semakin sulit untuk memecahkan kuncinya. Sisi negatifnya adalah
semakin panjang kuncinya, semakin banyak daya komputasi yang dibutuhkan pengguna
yang sah untuk memproses informasi.
 Bab 8Mengamankan Sistem Informasi349

GAMBAR 8.6ENKRIPSI KUNCI PUBLIK

Sistem enkripsi kunci publik dapat dilihat sebagai serangkaian kunci publik dan pribadi yang mengunci data saat dikirim dan membuka
kunci data saat diterima. Pengirim menempatkan kunci publik penerima di direktori dan menggunakannya untuk mengenkripsi pesan.
Pesan dikirim dalam bentuk terenkripsi melalui Internet atau jaringan pribadi. Ketika pesan terenkripsi tiba, penerima menggunakan kunci
pribadinya untuk mendekripsi data dan membaca pesan tersebut.

Masalah dengan semua skema enkripsi simetris adalah bahwa kunci itu sendiri harus
dibagi entah bagaimana di antara pengirim dan penerima, yang memaparkan kunci kepada
orang luar yang mungkin hanya dapat mencegat dan mendekripsi kunci tersebut. Bentuk
enkripsi yang lebih aman disebutenkripsi kunci publikmenggunakan dua kunci: satu
bersama (atau publik) dan satu benar-benar pribadi seperti yang ditunjukkan pada Gambar
8.6. Kunci terkait secara matematis sehingga data yang dienkripsi dengan satu kunci dapat
didekripsi hanya dengan menggunakan kunci lainnya. Untuk mengirim dan menerima
pesan, komunikator terlebih dahulu membuat pasangan kunci privat dan publik yang
terpisah. Kunci publik disimpan dalam direktori, dan kunci privat harus dirahasiakan.
Pengirim mengenkripsi pesan dengan kunci publik penerima. Saat menerima pesan,
penerima menggunakan kunci pribadinya untuk mendekripsinya.
Sertifikat digitaladalah file data yang digunakan untuk menentukan identitas pengguna dan
aset elektronik untuk perlindungan transaksi online (lihat Gambar 8.7). Sebuah digital

GAMBAR 8.7SERTIFIKAT DIGITAL

Sertifikat digital membantu menetapkan identitas orang atau aset elektronik. Mereka melindungi transaksi

online dengan menyediakan komunikasi online yang aman dan terenkripsi.

350 Bagian DuaInfrastruktur Teknologi Informasi

sistem sertifikat menggunakan pihak ketiga tepercaya, yang dikenal sebagai otoritas
sertifikat (CA), untuk memvalidasi identitas pengguna. Ada banyak CA di Amerika
Serikat dan di seluruh dunia, termasuk Symantec, GoDaddy, dan Comodo.
CA memverifikasi identitas pengguna sertifikat digital secara luring.
Informasi ini dimasukkan ke dalam server CA, yang menghasilkan sertifikat
digital terenkripsi yang berisi informasi identifikasi pemilik dan salinan kunci
publik pemilik. Sertifikat mengotentikasi bahwa kunci publik milik pemilik
yang ditunjuk. CA membuat kunci publiknya sendiri tersedia baik dalam
bentuk cetak atau mungkin di Internet. Penerima pesan terenkripsi
menggunakan kunci publik CA untuk mendekode sertifikat digital yang
dilampirkan pada pesan, memverifikasi bahwa itu dikeluarkan oleh CA, dan
kemudian mendapatkan kunci publik pengirim dan informasi identifikasi yang
terdapat dalam sertifikat. Dengan menggunakan informasi ini, penerima dapat
mengirim balasan terenkripsi. Sistem sertifikat digital akan memungkinkan,
misalnya, Infrastruktur kunci publik (PKI), penggunaan kriptografi kunci publik
yang bekerja dengan CA, sekarang banyak digunakan dalam e-commerce.

Memastikan Ketersediaan Sistem

Karena perusahaan semakin mengandalkan jaringan digital untuk pendapatan dan operasi,
mereka perlu mengambil langkah tambahan untuk memastikan bahwa sistem dan aplikasi
mereka selalu tersedia. Perusahaan seperti industri penerbangan dan jasa keuangan
dengan aplikasi kritis yang memerlukan pemrosesan transaksi online secara tradisional
menggunakan sistem komputer yang toleran terhadap kesalahan selama bertahun-tahun
untuk memastikan ketersediaan 100 persen. Dipemrosesan transaksi online, transaksi yang
dimasukkan secara online langsung diproses oleh komputer. Banyak sekali perubahan pada
database, pelaporan, dan permintaan informasi terjadi setiap saat.

Sistem komputer yang toleran terhadap kesalahanberisi komponen perangkat keras, perangkat
lunak, dan catu daya yang berlebihan yang menciptakan lingkungan yang menyediakan layanan
berkelanjutan dan tanpa gangguan. Komputer yang toleran terhadap kesalahan menggunakan rutinitas
perangkat lunak khusus atau logika pemeriksaan mandiri yang terpasang di sirkuitnya untuk
mendeteksi kegagalan perangkat keras dan secara otomatis beralih ke perangkat cadangan. Bagian dari
komputer ini dapat dilepas dan diperbaiki tanpa gangguan pada komputer atau downtime. Waktu
hentimengacu pada periode waktu di mana sistem tidak beroperasi.

Mengontrol Lalu Lintas Jaringan: Inspeksi Paket Mendalam

Pernahkah Anda mencoba menggunakan jaringan kampus Anda dan ternyata sangat
lambat? Mungkin karena teman-teman Anda menggunakan jaringan untuk mengunduh
musik atau menonton YouTube. Aplikasi yang memakan bandwidth seperti program
berbagi file, layanan telepon Internet, dan video online dapat menyumbat dan
memperlambat jaringan perusahaan, menurunkan kinerja. Misalnya, Ball State
University di Muncie, Indiana, mendapati jaringannya melambat karena sebagian kecil
mahasiswa menggunakan program berbagi file P2P untuk mengunduh film dan musik.
Sebuah teknologi bernamainspeksi paket dalam (DPI)membantu memecahkan masalah
ini. DPI memeriksa file data dan memilah materi online dengan prioritas rendah sambil
menetapkan prioritas lebih tinggi untuk file bisnis penting. Berdasarkan prioritas yang
ditetapkan oleh operator jaringan, ia memutuskan apakah paket data tertentu dapat
melanjutkan ke tujuannya atau harus diblokir atau ditunda sementara lalu lintas yang lebih
penting berlanjut. Menggunakan sistem DPI dari Allot Communications, Ball State dapat
membatasi jumlah lalu lintas berbagi file dan menetapkan prioritas yang jauh lebih rendah.
Lalu lintas jaringan pilihan Ball State dipercepat.
 Bab 8Mengamankan Sistem Informasi351

Outsourcing Keamanan
Banyak perusahaan, terutama usaha kecil, kekurangan sumber daya atau keahlian
untuk menyediakan sendiri lingkungan komputasi dengan ketersediaan tinggi yang
aman. Mereka dapat mengalihdayakan banyak fungsi keamanan kepenyedia layanan
keamanan terkelola (MSSP)yang memantau aktivitas jaringan dan melakukan
pengujian kerentanan dan deteksi intrusi. SecureWorks, AT&T, Verizon, IBM,
Perimeter eSecurity, dan Symantec adalah penyedia layanan MSSP terkemuka.

Masalah Keamanan untuk Komputasi Awan dan

Platform Digital Seluler
Meskipun komputasi awan dan platform digital seluler yang muncul memiliki potensi untuk
memberikan manfaat yang kuat, mereka menimbulkan tantangan baru terhadap keamanan
dan keandalan sistem. Kami sekarang menjelaskan beberapa tantangan ini dan bagaimana
mereka harus ditangani.

Keamanan di Cloud
Saat pemrosesan dilakukan di cloud, akuntabilitas dan tanggung jawab untuk
melindungi data sensitif tetap berada di tangan perusahaan yang memiliki data
tersebut. Memahami bagaimana penyedia cloud computing mengatur layanannya dan
mengelola data sangatlah penting.
Komputasi awan sangat terdistribusi. Aplikasi cloud berada di pusat data jarak jauh
yang besar dan kumpulan server yang memasok layanan bisnis dan manajemen data
untuk banyak klien korporat. Untuk menghemat uang dan menjaga biaya tetap rendah,
penyedia cloud computing sering kali mendistribusikan pekerjaan ke pusat data di seluruh
dunia tempat pekerjaan dapat diselesaikan dengan paling efisien. Saat Anda
menggunakan cloud, Anda mungkin tidak tahu persis di mana data Anda dihosting.
Sifat cloud computing yang tersebar membuatnya sulit untuk melacak aktivitas
yang tidak sah. Hampir semua penyedia cloud menggunakan enkripsi, seperti SSL,
untuk mengamankan data yang mereka tangani saat data sedang dikirim. Namun, jika
data disimpan di perangkat yang juga menyimpan data perusahaan lain, penting untuk
memastikan bahwa data yang disimpan ini juga dienkripsi. Menurut penelitian dari
Alert Logic, telah terjadi peningkatan serangan di cloud sebesar 45 persen dari tahun
ke tahun. Serangan DDoS sangat berbahaya karena membuat layanan cloud tidak
tersedia untuk pelanggan yang sah.
Perusahaan mengharapkan sistem mereka berjalan 24/7. Penyedia cloud terkadang
masih mengalami pemadaman, tetapi keandalannya telah meningkat ke titik di mana
sejumlah perusahaan besar menggunakan layanan cloud sebagai bagian dari infrastruktur
TI mereka. Sebagian besar menyimpan sistem kritis mereka di rumah.
Pengguna cloud perlu mengonfirmasi bahwa di mana pun data mereka disimpan, mereka
dilindungi pada tingkat yang memenuhi persyaratan perusahaan mereka. Mereka harus
menetapkan bahwa penyedia cloud menyimpan dan memproses data dalam yurisdiksi
tertentu sesuai dengan aturan privasi yurisdiksi tersebut. Klien cloud harus menemukan
bagaimana penyedia cloud memisahkan data perusahaan mereka dari data perusahaan lain
dan meminta bukti bahwa mekanisme enkripsi itu baik. Penting juga untuk mengetahui
bagaimana penyedia cloud akan merespons jika terjadi bencana, apakah penyedia akan
dapat memulihkan data Anda sepenuhnya, dan berapa lama waktu yang dibutuhkan.
Pengguna cloud juga harus bertanya apakah penyedia cloud akan tunduk pada audit
eksternal dan sertifikasi keamanan. Jenis kontrol ini dapat dituliskan ke dalam perjanjian
tingkat layanan (SLA) sebelum ditandatangani dengan penyedia cloud. Cloud Security
Alliance (CSA) telah membuat standar industri untuk keamanan cloud, menetapkan praktik
terbaik untuk mengamankan komputasi cloud.
352 Bagian DuaInfrastruktur Teknologi Informasi

Mengamankan Platform Seluler

Jika perangkat seluler menjalankan banyak fungsi komputer, mereka perlu
diamankan seperti desktop dan laptop dari malware, pencurian,
kehilangan yang tidak disengaja, akses tidak sah, dan upaya peretasan.
Sesi Interaktif tentang Teknologi menjelaskan kerentanan seluler ini
secara lebih rinci dan implikasinya bagi individu dan bisnis.
Perangkat seluler yang mengakses sistem dan data perusahaan memerlukan perlindungan
khusus. Perusahaan harus memastikan bahwa kebijakan keamanan perusahaan mereka
mencakup perangkat seluler, dengan detail tambahan tentang bagaimana perangkat seluler harus
didukung, dilindungi, dan digunakan. Mereka memerlukan alat manajemen perangkat seluler
untuk mengotorisasi semua perangkat yang digunakan; untuk memelihara catatan inventaris
yang akurat di semua perangkat seluler, pengguna, dan aplikasi; untuk mengontrol pembaruan
aplikasi; dan untuk mengunci atau menghapus perangkat yang hilang atau dicuri agar tidak dapat
disusupi. Teknologi pencegahan kehilangan data dapat mengidentifikasi di mana data penting
disimpan, siapa yang mengakses data, bagaimana data keluar dari perusahaan, dan ke mana data
pergi. Perusahaan harus mengembangkan pedoman yang menetapkan platform seluler dan
aplikasi perangkat lunak yang disetujui serta perangkat lunak dan prosedur yang diperlukan
untuk akses jarak jauh ke sistem perusahaan. Kebijakan keamanan seluler organisasi harus
melarang karyawan menggunakan aplikasi berbasis konsumen yang tidak aman untuk
mentransfer dan menyimpan dokumen dan file perusahaan atau mengirim dokumen dan file
tersebut ke diri sendiri melalui email tanpa enkripsi.
Perusahaan harus mengenkripsi komunikasi bila memungkinkan. Semua
pengguna perangkat seluler harus diwajibkan untuk menggunakan fitur kata sandi
yang terdapat di setiap ponsel cerdas. Produk keamanan seluler tersedia dari
Kaspersky, Symantec, Trend Micro, dan McAfee.

Memastikan Kualitas Perangkat Lunak

Selain menerapkan keamanan dan kontrol yang efektif, organisasi dapat meningkatkan
kualitas dan keandalan sistem dengan menggunakan metrik perangkat lunak dan pengujian
perangkat lunak yang ketat. Metrik perangkat lunak adalah penilaian obyektif dari sistem
dalam bentuk pengukuran terukur. Penggunaan metrik yang berkelanjutan memungkinkan
departemen sistem informasi dan pengguna akhir untuk mengukur kinerja sistem secara
bersama-sama dan mengidentifikasi masalah yang terjadi. Contoh metrik perangkat lunak
meliputi jumlah transaksi yang dapat diproses dalam satuan waktu tertentu, waktu respons
online, jumlah cek gaji yang dicetak per jam, dan jumlah bug yang diketahui per seratus
baris kode program. Agar metrik berhasil, mereka harus dirancang dengan hati-hati, formal,
objektif, dan digunakan secara konsisten.

Pengujian awal, teratur, dan menyeluruh akan memberikan kontribusi yang signifikan terhadap kualitas sistem.
Banyak yang memandang pengujian sebagai cara untuk membuktikan kebenaran pekerjaan yang telah mereka lakukan.
Faktanya, kami tahu bahwa semua perangkat lunak yang cukup besar penuh dengan kesalahan, dan kami harus
menguji untuk mengungkap kesalahan ini.

Pengujian yang baik dimulai bahkan sebelum program perangkat lunak ditulis, dengan
menggunakan a panduan—sebuah tinjauan dokumen spesifikasi atau desain oleh sekelompok
kecil orang yang dipilih dengan cermat berdasarkan keterampilan yang dibutuhkan untuk tujuan
tertentu yang sedang diuji. Saat pengembang mulai menulis program perangkat lunak,
penelusuran pengkodean juga dapat digunakan untuk meninjau kode program. Namun, kode
harus diuji dengan menjalankan komputer. Ketika kesalahan ditemukan, sumbernya ditemukan
dan dihilangkan melalui proses yang disebutdebug. Anda dapat mengetahui lebih lanjut tentang
berbagai tahap pengujian yang diperlukan untuk mengoperasikan sistem informasi di Bab 13.
Jalur Pembelajaran kami juga berisi deskripsi metodologi untuk mengembangkan program
perangkat lunak yang berkontribusi pada kualitas perangkat lunak.

SESI INTERAKTIF: TEKNOLOGI
BYOD: Mimpi Buruk Keamanan?
Membawa perangkat Anda sendiri telah menjadi tren besar,
dengan setengah dari karyawan dengan alat komputasi seluler
di tempat kerja di seluruh dunia menggunakan perangkat
mereka sendiri. Angka ini diperkirakan akan semakin meningkat
di tahun-tahun mendatang. Namun saat penggunaan iPhone,
iPad, dan perangkat komputasi seluler lainnya di tempat kerja
terus berkembang, begitu pula masalah keamanan. Beberapa
pakar keamanan percaya bahwa ponsel cerdas dan perangkat
seluler lainnya kini menjadi salah satu ancaman keamanan
paling serius bagi organisasi saat ini.
Apakah perangkat seluler ditugaskan oleh perusahaan atau
milik karyawan, mereka membuka jalan baru untuk mengakses
data perusahaan yang perlu dipantau dan dilindungi secara
ketat. Data sensitif pada perangkat seluler bergerak, baik
secara fisik maupun elektronik, dari kantor ke rumah dan
kemungkinan lokasi lain di luar lokasi. Menurut studi Institut
Ponemon Februari 2016 terhadap
588 profesional TI dan keamanan AS, 67 persen dari
mereka yang disurvei melaporkan bahwa akses seluler
karyawan ke data rahasia perusahaan telah mengakibatkan
pelanggaran data. Sayangnya, hanya 41 persen responden
yang mengatakan perusahaan mereka memiliki kebijakan
untuk mengakses data perusahaan dari perangkat seluler.
Lebih dari separuh pelanggaran keamanan terjadi saat
perangkat hilang atau dicuri. Itu membuat semua data pribadi
dan perusahaan yang disimpan di perangkat, serta akses ke
data perusahaan di server jarak jauh, dalam risiko. Akses fisik
ke perangkat seluler mungkin merupakan ancaman yang lebih
besar daripada meretas ke dalam jaringan karena lebih sedikit
upaya yang diperlukan untuk masuk. Penyerang
berpengalaman dapat dengan mudah menghindari kata sandi
atau mengunci perangkat seluler atau mengakses data
terenkripsi. Selain itu, banyak pengguna ponsel cerdas
membiarkan ponsel mereka benar-benar tidak terlindungi atau
gagal menjaga fitur keamanan perangkat mereka tetap
mutakhir. Dalam Studi Global Websense dan Ponemon
Institute tentang Risiko Mobilitas, 59 persen responden
melaporkan bahwa karyawan mengakali atau menonaktifkan
fitur keamanan seperti kata sandi dan kunci kunci.
Kekhawatiran lain saat ini adalah kebocoran data skala besar
yang disebabkan oleh penggunaan layanan cloud computing.
Karyawan semakin banyak menggunakan layanan cloud publik
seperti Google Drive atau Dropbox untuk berbagi file dan
kolaborasi. Valiant Entertainment, Cenoric Projects, Vita Coco,
dan BCBGMAXAZRIAGROUP adalah beberapa perusahaan yang
mengizinkan karyawan dan kontraktor lepas menggunakan
Dropbox for Business untuk memposting dan
Bab 8Mengamankan Sistem Informasi353
berbagi file. Ada juga banyak kejadian di mana karyawan
menggunakan Dropbox untuk menyimpan dan bertukar file tanpa
persetujuan pemberi kerja. Pada awal 2015 Dropbox harus
menambal kelemahan keamanan yang memungkinkan penyerang
dunia maya mencuri informasi baru yang diunggah ke akun
melalui aplikasi pihak ketiga yang disusupi yang berfungsi dengan
layanan Dropbox di perangkat Android. Sangat sedikit yang dapat
dilakukan perusahaan untuk mencegah karyawan yang diizinkan
menggunakan ponsel cerdas mereka mengunduh data perusahaan
sehingga mereka dapat mengerjakan data tersebut dari jarak jauh.
Perpesanan teks dan teknologi perpesanan seluler
lainnya digunakan untuk mengirimkan semua jenis
kampanye penipuan, seperti konten dewasa dan
penipuan apotek, phishing, dan perbankan, dan pesan
teks telah menjadi media penyebaran kuda Troya dan
worm. Sumber jahat sekarang dapat mengirim pesan teks
yang akan terbuka di browser seluler secara default, yang
dapat dengan mudah digunakan untuk mengeksploitasi
penerima.
Hingga saat ini, serangan peretas yang disengaja pada
perangkat seluler telah dibatasi cakupan dan dampaknya,
tetapi situasi ini semakin memburuk. Android sekarang
menjadi sistem operasi paling populer di dunia untuk
perangkat seluler dengan 81 persen pasar global, dan
sebagian besar malware seluler ditargetkan pada platform
Android. Saat data perusahaan dan pribadi disimpan di
perangkat yang sama, malware seluler yang dipasang
tanpa disadari oleh pengguna dapat menemukan jalannya
ke jaringan perusahaan.
Apple menggunakan model "taman berdinding"
tertutup untuk mengelola aplikasinya dan meninjau
masing-masing sebelum merilisnya di App Store.
Keamanan aplikasi Android lebih lemah dari pada
perangkat Apple, tetapi ini membaik. Keamanan
aplikasi Android menggunakan kotak pasir, yang
membatasi aplikasi, meminimalkan kemampuannya
untuk memengaruhi satu sama lain atau memanipulasi
fitur perangkat tanpa izin pengguna. Google
menghapus aplikasi apa pun yang melanggar
aturannya terhadap aktivitas jahat dari Google Play,
platform distribusi digitalnya yang berfungsi sebagai
toko aplikasi resmi untuk sistem operasi Android.
Google juga memeriksa latar belakang pengembang.
Penyempurnaan keamanan Android baru-baru ini
termasuk menetapkan berbagai tingkat kepercayaan
untuk setiap aplikasi, menentukan jenis data apa yang
dapat diakses aplikasi di dalam domain terbatasnya,
354 Bagian DuaInfrastruktur Teknologi Informasi

Google Play sekarang menyediakan pemindaian keamanan
semua aplikasi sebelum tersedia untuk diunduh, pemeriksaan
keamanan berkelanjutan selama aplikasi tersedia, dan layanan
Verifikasi Aplikasi untuk perlindungan perangkat seluler untuk
aplikasi yang dipasang di luar Google Play. Namun, peningkatan
memahami pengguna dan kebutuhan mereka membantu
kemajuan strategi keamanan seluler lebih lanjut. VmAirWatch
mengkategorikan grup pengguna yang serupa dan
menyusun rencana tindakan khusus untuk setiap grup,
memilih alat yang tepat untuk pekerjaan itu.

Android ini sebagian besar hanya untuk orang yang
menggunakan ponsel atau tablet yang menjalankan versi Android
yang lebih baru dan membatasi unduhan aplikasi mereka ke
Google Play Store sendiri.
Perusahaan perlu mengembangkan strategi keamanan seluler
yang mencapai keseimbangan yang tepat antara meningkatkan
produktivitas pekerja dan keamanan informasi yang efektif. Chief
Security Officer (CSO) Aetna Jim Routh mengatakan ada tingkat
keamanan seluler minimum tertentu yang dia perlukan terlepas
dari apakah perangkat itu milik perusahaan atau pribadi. Aetna
memiliki sekitar 6.000 pengguna yang dilengkapi dengan
perangkat seluler baik milik pribadi maupun yang dikeluarkan
oleh perusahaan. Setiap perangkat memiliki perlindungan wajib
yang menyediakan saluran terenkripsi untuk digunakan dalam
jaringan Wi-Fi yang tidak aman dan memberi tahu pengguna dan
perusahaan jika aplikasi berbahaya akan dipasang di perangkat.
Colin Minihan, direktur keamanan dan praktik
terbaik di VMWare AirWatch, meyakini hal itu
Menurut Patrick Hevesi, mantan direktur keamanan
Nordstrom, jika pengguna memerlukan akses ke data
perusahaan penting yang harus dilindungi, perusahaan
mungkin sebaiknya hanya mengizinkan jenis perangkat yang
disetujui dan dikelola sepenuhnya. Pengguna yang hanya
menginginkan alat seluler untuk email dan kontak dapat
lebih mudah membawa perangkatnya sendiri. Pertanyaan
kunci untuk ditanyakan disebut “tiga W”: Siapa yang butuh
akses? Apa yang mereka butuhkan untuk mengakses? Apa
postur keamanan perangkat?
Sumber:Michael Heller, “Strategi Keamanan Seluler Menjadi Matang dengan
BYOD,” dan Kathleen Richards, “Pertempuran CISO untuk Mengontrol Risiko
Seluler di Tempat Kerja,”Majalah Keamanan Informasi, 1 Juni 2016; Nathan
Olivarez-Giles, "Keamanan Android Meningkat— untuk Beberapa Orang",
Jurnal Wall Street,21 April 2016; Ponemon Institute, “Risiko Ekonomi Data
Rahasia pada Perangkat Seluler di Tempat Kerja,” Februari, 2016; McAfee
Inc., “Laporan Ancaman Seluler: Apa yang Ada di Horizon untuk 2016,” 2016;
Charlie Osborne, “Dropbox Menambal Kelemahan Keamanan Android,”Hari
Nol,11 Maret 2015; Edel Creely, “5 Implikasi Keamanan BYOD dan Cara
Mengatasinya,” Trilogy Technologies, 26 Mei 2015; Tony Kontzer, “Sebagian
Besar Aplikasi Seluler Anda Telah Diretas,”Garis dasar, 16 Januari 2015; dan
Institut Ponemon, Studi Global tentang Risiko Mobilitas (Februari 2012).

PERTANYAAN STUDI KASUS

1.Telah dikatakan bahwa smartphone adalah komputer
di tangan Anda. Diskusikan implikasi keamanan dari
pernyataan ini.
2.Jenis masalah keamanan apa yang ditimbulkan
oleh perangkat komputasi seluler?
3.Masalah manajemen, organisasi, dan teknologi
apa yang harus ditangani oleh keamanan ponsel
cerdas?
4.Langkah apa yang dapat diambil individu dan bisnis
untuk membuat ponsel cerdas mereka lebih aman?

rangkuman ulasan

8-1Mengapa sistem informasi rentan terhadap kehancuran, kesalahan, dan penyalahgunaan?

Data digital rentan terhadap kerusakan, penyalahgunaan, kesalahan, penipuan, dan kegagalan perangkat keras atau
perangkat lunak. Internet dirancang untuk menjadi sistem terbuka dan membuat sistem internal perusahaan lebih
rentan terhadap tindakan pihak luar. Peretas dapat melepaskan serangan denial-of-service (DoS) atau menembus
jaringan perusahaan, menyebabkan gangguan sistem yang serius. Jaringan Wi-Fi dapat dengan mudah ditembus oleh
penyusup menggunakan program sniffer untuk mendapatkan alamat untuk mengakses sumber daya jaringan. Virus
dan worm komputer dapat menonaktifkan sistem dan situs web. Sifat cloud computing yang tersebar membuatnya sulit
untuk melacak aktivitas yang tidak sah atau untuk menerapkan kontrol dari jauh. Perangkat lunak menghadirkan
masalah karena bug perangkat lunak mungkin tidak dapat dihilangkan dan karena kerentanan perangkat lunak dapat
dieksploitasi oleh peretas dan perangkat lunak berbahaya.
 Bab 8Mengamankan Sistem Informasi355

8-2Apa nilai bisnis keamanan dan kontrol?

Kurangnya keamanan dan kontrol yang baik dapat menyebabkan perusahaan yang mengandalkan sistem komputer untuk
fungsi bisnis inti mereka kehilangan penjualan dan produktivitas. Aset informasi, seperti catatan rahasia karyawan, rahasia
dagang, atau rencana bisnis, kehilangan banyak nilainya jika diungkapkan kepada pihak luar atau jika hal itu membuat
perusahaan terkena tanggung jawab hukum. Undang-undang, seperti HIPAA, Sarbanes-Oxley Act, dan Gramm-Leach-Bliley Act,
mewajibkan perusahaan untuk menerapkan manajemen catatan elektronik yang ketat dan mematuhi standar ketat untuk
keamanan, privasi, dan kontrol. Tindakan hukum yang membutuhkan bukti elektronik dan forensik komputer juga
mengharuskan perusahaan untuk lebih memperhatikan keamanan dan manajemen arsip elektronik.

8-3Apa saja komponen kerangka organisasi untuk keamanan dan kontrol?

Perusahaan perlu menetapkan seperangkat kontrol umum dan aplikasi yang baik untuk sistem informasi
mereka. Penilaian risiko mengevaluasi aset informasi, mengidentifikasi titik kontrol dan kelemahan kontrol, dan
menentukan rangkaian kontrol yang paling hemat biaya. Perusahaan juga harus mengembangkan kebijakan
dan rencana keamanan korporat yang koheren untuk melanjutkan operasi bisnis jika terjadi bencana atau
gangguan. Kebijakan keamanan mencakup kebijakan untuk penggunaan yang dapat diterima dan manajemen
identitas. Audit sistem informasi yang komprehensif dan sistematis membantu organisasi menentukan
efektivitas keamanan dan kontrol untuk sistem informasi mereka.

8-4Alat dan teknologi apa yang paling penting untuk melindungi sumber daya informasi?
Firewall mencegah pengguna yang tidak sah mengakses jaringan pribadi saat terhubung ke Internet. Sistem deteksi intrusi
memantau jaringan pribadi untuk lalu lintas jaringan yang mencurigakan dan upaya untuk mengakses sistem perusahaan. Kata sandi,
token, kartu pintar, dan autentikasi biometrik digunakan untuk mengautentikasi pengguna sistem. Perangkat lunak antivirus memeriksa
sistem komputer untuk infeksi oleh virus dan worm dan sering menghilangkan perangkat lunak berbahaya; perangkat lunak
antispyware memerangi program spyware yang mengganggu dan berbahaya. Enkripsi, pengkodean dan pengacakan pesan, adalah
teknologi yang banyak digunakan untuk mengamankan transmisi elektronik melalui jaringan yang tidak terlindungi. Sertifikat digital
yang dikombinasikan dengan enkripsi kunci publik memberikan perlindungan lebih lanjut atas transaksi elektronik dengan
mengautentikasi identitas pengguna. Perusahaan dapat menggunakan sistem komputer yang toleran terhadap kesalahan untuk
memastikan bahwa sistem informasi mereka selalu tersedia. Penggunaan metrik perangkat lunak dan pengujian perangkat lunak yang
ketat membantu meningkatkan kualitas dan keandalan perangkat lunak.

Istilah Kunci
Kebijakan penggunaan yang dapat diterima (AUP), Enkripsi, 348
341 Perangkat lunak antivirus, 347 Kembar jahat, 331
Kontrol aplikasi, 337 Sistem komputer yang toleran terhadap
Otentikasi, 344 kesalahan, 350 Firewall, 346

Otentikasi biometrik, 345 Kontrol umum, 337

Botnet, 329 Gramm-Leach-Bliley Act, 336
Serangga, 334 Peretas, 329
Perencanaan kelangsungan bisnis, 343 HIPAA, 335
Klik penipuan, 332 Manajemen identitas, 341
Kejahatan komputer, 330 Pencurian identitas, 331
Forensik komputer, 336 Audit sistem informasi, 343
Virus komputer, 326 Sistem deteksi intrusi, 347
Kontrol, 323 Keyloggers, 328
Cybervandalisme, 329 Malware, 326
Perang dunia maya, 333 Penyedia layanan keamanan terkelola (MSSP),
Inspeksi paket dalam (DPI), 350 351 Pemrosesan transaksi online, 350
serangan Denial-of-service Kata Sandi, 344
(DoS), 329 sertifikat digital, 349 Tambalan, 334
Perencanaan pemulihan bencana, 342 Serangan denial- Farmasi, 331
of-service (DDoS) terdistribusi, 329 Waktu Henti, 350 Pengelabuan, 331
Enkripsi kunci publik, 348
Unduhan drive-by, 327 Infrastruktur kunci publik (PKI), 350
356 Bagian DuaInfrastruktur Teknologi Informasi

Ransomware, 328 Pemalsuan, 329

Penilaian risiko, 338 Spyware, 328
Sarbanes-Oxley Act, 336 Serangan injeksi SQL, 328
Protokol Transfer Hiperteks Aman (S-HTTP), 348 Token, 344
Lapisan Soket Aman (SSL), 348 Kuda Troya, 328
Keamanan, 323 Autentikasi dua faktor, 345 Manajemen
Kebijakan keamanan, 341 ancaman terpadu (UTM), 348 Mengemudi
Kartu pintar, 345 perang, 325
Pelacak, 329 Cacing, 326
Rekayasa sosial, 333 Kerentanan zero-day, 334

-kuLaboratoriumSALAH

Untuk menyelesaikan masalah denganMyLabSALAH, buka Pertanyaan Diskusi EOC di MIS MyLab.

Tinjau Pertanyaan
8-1 Mengapa sistem informasi rentan terhadap kehancuran,
kesalahan, dan penyalahgunaan?
• Sebutkan dan jelaskan ancaman paling umum
terhadap sistem informasi kontemporer.
• Mendefinisikan malware dan membedakan
antara virus, worm, dan trojan horse.
• Mendefinisikan kejahatan komputer. Berikan dua
contoh kejahatan di mana komputer menjadi
target dan dua contoh di mana komputer
digunakan sebagai instrumen kejahatan.
• Definisikan serangan DoS dan DDoS dan jelaskan
hubungannya dengan botnet.
• Definisikan pencurian identitas dan phishing dan jelaskan
mengapa pencurian identitas menjadi masalah besar
saat ini.
• Menjelaskan masalah keamanan dan keandalan
sistem yang dibuat karyawan.
• Jelaskan bagaimana kerusakan perangkat lunak memengaruhi
keandalan dan keamanan sistem.
8-2 Apa nilai bisnis keamanan dan kontrol?
• Jelaskan bagaimana keamanan dan kontrol
memberikan nilai bagi bisnis.
• Mendefinisikan dan menjelaskan teknik yang terlibat
dalam forensik komputer.
• Menentukan kontrol aplikasi dan menjelaskan
setiap jenis kontrol aplikasi.
• Mendeskripsikan fungsi penilaian risiko dan
menjelaskan bagaimana hal itu dilakukan untuk
sistem informasi.
• Tetapkan dan jelaskan hal-hal berikut: kebijakan keamanan,
kebijakan penggunaan yang dapat diterima, dan
manajemen identitas.
• Membedakan antara perencanaan pemulihan bencana
dan perencanaan kesinambungan bisnis.
• Jelaskan bagaimana audit sistem informasi
mempromosikan keamanan dan kontrol.
8-4 Alat dan teknologi apa yang paling penting
untuk melindungi sumber daya informasi?
• Sebutkan dan jelaskan tiga metode
autentikasi.
• Jelaskan peran firewall, sistem deteksi intrusi,
dan perangkat lunak antivirus dalam
mempromosikan keamanan.
• Jelaskan bagaimana enkripsi melindungi
informasi.
• Menjelaskan peran enkripsi dan sertifikat digital
dalam infrastruktur kunci publik.
• Jelaskan teknik yang digunakan perusahaan untuk
memastikan ketersediaan sistem.

8-3 Apa saja komponen kerangka organisasi • Mengidentifikasi dan mendeskripsikan masalah keamanan yang

untuk keamanan dan kontrol? ditimbulkan komputasi awan.

• Mendefinisikan pengendalian umum dan menjelaskan setiap

• Menjelaskan langkah-langkah untuk meningkatkan kualitas dan
keandalan perangkat lunak.
jenis pengendalian umum.
 Bab 8Mengamankan Sistem Informasi357

Pertanyaan Diskusi
8-5Keamanan bukan hanya masalah teknologi, ini adalah
a MyLabSALAHmasalah bisnis. Membahas.
8-6Jika Anda mengembangkan kelangsungan bisnis
MyLabSALAHrencana untuk perusahaan Anda, di mana Anda
akan Mulailah? Aspek bisnis apa yang akan dibahas
8-7Misalkan bisnis Anda memiliki e-commerce
MyLabSALAHwebsite di mana menjual barang dan
diterima pembayaran kartu kredit. Diskusikan ancaman
keamanan utama terhadap situs web ini dan potensi
dampaknya. Apa yang dapat dilakukan untuk

oleh rencana tersebut? meminimalkan ancaman tersebut?

Proyek MIS Langsung

Proyek di bagian ini memberi Anda pengalaman langsung menganalisis kerentanan keamanan, menggunakan perangkat lunak
spreadsheet untuk analisis risiko, dan menggunakan alat web untuk meneliti layanan outsourcing keamanan. Kunjungi
Perpustakaan Multimedia MyLab MIS untuk mengakses Proyek MIS Hands-On bab ini.

Masalah Keputusan Manajemen

8-8 Reloaded Games adalah platform game online yang mendukung game online multipemain masif terkemuka. Platform
Reloaded melayani lebih dari 30 juta pengguna. Permainan dapat menampung jutaan pemain sekaligus dan
dimainkan secara bersamaan oleh orang-orang di seluruh dunia. Persiapkan analisis keamanan untuk bisnis berbasis
internet ini. Jenis ancaman apa yang harus diantisipasi? Apa dampaknya terhadap bisnis? Langkah-langkah apa
yang dapat diambil untuk mencegah kerusakan pada situs webnya dan melanjutkan operasinya?
8-9 Survei infrastruktur TI perusahaan Anda telah mengidentifikasi sejumlah kerentanan keamanan. Tinjau data tentang
kerentanan ini, yang dapat ditemukan dalam tabel di MIS MyLab. Gunakan tabel untuk menjawab pertanyaan berikut:

• Hitung jumlah kerentanan untuk setiap platform. Apa dampak potensial dari masalah keamanan untuk
setiap platform komputasi pada organisasi?
• Jika Anda hanya memiliki satu spesialis sistem informasi yang bertanggung jawab atas keamanan, platform mana yang harus Anda
tangani terlebih dahulu untuk menghilangkan kerentanan ini? Kedua? Ketiga? Terakhir? Mengapa?
• Mengidentifikasi jenis masalah kontrol kerentanan ini menggambarkan dan menjelaskan langkah-langkah yang harus
diambil untuk memecahkannya.
• Apa risiko perusahaan Anda dengan mengabaikan kerentanan keamanan yang teridentifikasi?

Meningkatkan Pengambilan Keputusan: Menggunakan Perangkat Lunak Spreadsheet untuk Melakukan Penilaian

Risiko Keamanan

Keahlian perangkat lunak: Rumus dan bagan

spreadsheet Keahlian bisnis: Penilaian risiko

8-10 Proyek ini menggunakan perangkat lunak spreadsheet untuk menghitung kerugian tahunan yang diantisipasi dari berbagai ancaman keamanan yang
teridentifikasi untuk perusahaan kecil.
Mercer Paints adalah perusahaan manufaktur cat yang berlokasi di Alabama yang menggunakan jaringan
untuk menghubungkan operasi bisnisnya. Penilaian risiko keamanan yang diminta manajemen mengidentifikasi
sejumlah potensi paparan. Eksposur ini, probabilitas terkaitnya, dan kerugian rata-rata dirangkum dalam sebuah
tabel, yang dapat ditemukan di MyLab MIS. Gunakan tabel untuk menjawab pertanyaan berikut:
• Selain potensi paparan yang tercantum, identifikasi setidaknya tiga potensi ancaman lainnya terhadap Mercer
Paints, tetapkan probabilitas, dan perkirakan rentang kerugian.
• Gunakan perangkat lunak spreadsheet dan data penilaian risiko untuk menghitung perkiraan kerugian tahunan untuk setiap
eksposur.
• Sajikan temuan Anda dalam bentuk bagan. Titik kontrol mana yang memiliki kerentanan terbesar?
Rekomendasi apa yang akan Anda buat untuk Mercer Paints? Siapkan laporan tertulis yang merangkum temuan dan
rekomendasi Anda.
358 Bagian DuaInfrastruktur Teknologi Informasi

Meningkatkan Pengambilan Keputusan: Mengevaluasi Layanan Outsourcing Keamanan

Keterampilan perangkat lunak: Peramban web dan perangkat lunak

presentasi Keterampilan bisnis: Mengevaluasi layanan outsourcing bisnis

8-11 Proyek ini akan membantu mengembangkan keterampilan Internet Anda dalam menggunakan web untuk meneliti dan mengevaluasi layanan

outsourcing keamanan.

Anda telah diminta untuk membantu manajemen perusahaan Anda memutuskan apakah akan mengalihdayakan keamanan atau
mempertahankan fungsi keamanan di dalam perusahaan. Cari di web untuk menemukan informasi untuk membantu Anda memutuskan apakah akan
melakukan outsourcing keamanan dan mencari layanan outsourcing keamanan.
• Sajikan ringkasan singkat argumen yang mendukung dan menentang outsourcing keamanan komputer untuk perusahaan Anda.

• Pilih dua perusahaan yang menawarkan layanan outsourcing keamanan komputer dan bandingkan mereka dan layanan mereka.
• Persiapkan presentasi elektronik untuk manajemen, merangkum temuan Anda. Presentasi Anda harus menjelaskan apakah
perusahaan Anda harus melakukan outsourcing keamanan komputer. Jika Anda yakin perusahaan Anda harus melakukan
outsourcing, presentasi harus mengidentifikasi layanan outsourcing keamanan mana yang Anda pilih dan membenarkan keputusan
Anda.

Proyek Kolaborasi dan Kerja Tim

Mengevaluasi Alat Perangkat Lunak Keamanan

8-12 Dengan kelompok yang terdiri dari tiga atau empat siswa, gunakan web untuk meneliti dan mengevaluasi produk keamanan
dari dua vendor yang bersaing, seperti perangkat lunak antivirus, firewall, atau perangkat lunak antispyware. Untuk setiap
produk, jelaskan kemampuannya, untuk jenis bisnis apa yang paling cocok, dan biaya pembelian dan pemasangannya.
Produk mana yang terbaik? Mengapa? Jika memungkinkan, gunakan Google Dokumen dan Google Drive atau Google Sites
untuk bertukar pikiran, menata, dan mengembangkan presentasi temuan Anda untuk kelas.

Ancaman dan Kebijakan Keamanan Informasi di Eropa

STUDI KASUS

Sektor TI adalah salah satu pendorong utama
ekonomi Eropa. Diperkirakan 60 persen orang Eropa
menggunakan Internet secara teratur. Selain itu, 87
persen memiliki atau memiliki akses ke ponsel. Pada
2015, pasar broadband Eropa adalah salah satu yang
terbesar di dunia. Fakta-fakta ini menunjukkan
pentingnya memastikan keamanan dan
pengoperasian Internet yang aman untuk
kesejahteraan ekonomi Eropa. Namun, keselamatan
dan keamanan Internet telah terancam dalam
beberapa tahun terakhir karena serangan dunia maya
berbasis Internet menjadi semakin canggih.
Pada tahun 2007, Estonia mengalami serangan dunia maya
besar-besaran yang memengaruhi pemerintah, sistem
perbankan, media, dan layanan lainnya. Serangan itu dilakukan
dengan menggunakan berbagai teknik, mulai dari perintah ping
individu sederhana dan banjir pesan hingga serangan denial-
of-service (DDoS) terdistribusi yang lebih canggih. Peretas
mengoordinasikan serangan dengan menggunakan sejumlah
besar server yang disusupi yang diatur
botnet didistribusikan di seluruh dunia. Botnet adalah
jaringan agen perangkat lunak berbahaya otonom yang
berada di bawah kendali komandan bot. Jaringan
dibuat dengan menginstal malware yang
mengeksploitasi kerentanan server Web, sistem
operasi, atau aplikasi untuk mengendalikan komputer
yang terinfeksi. Setelah komputer terinfeksi, ia menjadi
bagian dari jaringan ribuan "zombie"; yaitu mesin yang
diperintahkan untuk melakukan serangan.
Serangan dunia maya di Estonia dimulai pada akhir
April 2007 dan berlangsung selama hampir 3 minggu.
Selama periode ini, bagian penting dari jaringan Internet
Estonia harus ditutup dari akses dari luar negeri,
menyebabkan kerugian ekonomi jutaan dolar.
Di sekitar waktu yang sama, Arsys, perusahaan
pendaftaran domain Spanyol yang penting, juga menjadi
sasaran peretas internasional. Arsys melaporkan bahwa
peretas telah mencuri kode yang kemudian digunakan untuk
memasukkan tautan ke server eksternal yang berisi kode
berbahaya di halaman Web beberapa kliennya.

Pada tahun 2009, diperkirakan 10 juta komputer
terinfeksi worm Conficker di seluruh dunia. Prancis,
Inggris, dan Jerman termasuk di antara negara-negara
Eropa yang paling banyak menderita infeksi. Angkatan
laut Prancis harus mendaratkan semua pesawat militer
ketika diketahui bahwa jaringan komputernya terinfeksi.
Di Inggris Raya, worm menginfeksi komputer di
Kementerian Pertahanan, dewan kota Manchester dan
jaringan TI polisi, beberapa rumah sakit di kota
Sheffield, dan kantor pemerintah lainnya di seluruh
negeri. Komputer di jaringan tentara Jerman juga
dilaporkan terinfeksi. Setelah dipasang di komputer,
Conficker dapat mengunduh dan memasang malware
lain dari situs web yang dikontrol, dan dengan demikian
komputer yang terinfeksi dapat berada di bawah kendali
penuh peretas.
Baru-baru ini, ancaman malware canggih yang menargetkan sistem industri
terdeteksi di Jerman, Norwegia, China, Iran, India, Indonesia, dan negara lainnya.
Malware, yang dikenal sebagai Stuxnet, menginfeksi PC Windows yang
menjalankan sistem kontrol Supervisory Control and Data Acquisition (SCADA)
dari perusahaan Jerman Siemens. Stuxnet disebarkan melalui perangkat USB. Para
ahli memperkirakan hingga 1.000 mesin terinfeksi setiap hari pada puncak infeksi.
Malware, tersembunyi di pintasan ke program yang dapat dieksekusi (file dengan
ekstensi .lnk), dijalankan secara otomatis saat konten drive USB yang terinfeksi
ditampilkan. Menggunakan teknik yang sama ini, worm mampu menginstal malware
lainnya. Awalnya, pakar keamanan mengungkapkan bahwa Stuxnet dirancang
untuk mencuri rahasia industri dari SIMATIC WinCC, sistem perangkat lunak
visualisasi dan kontrol dari Siemens. Namun, data yang dikumpulkan kemudian
oleh ahli lain menunjukkan bahwa worm tersebut sebenarnya mencari beberapa
perangkat pengontrol logika yang dapat diprogram (PLC) tertentu yang digunakan
di pabrik industri tertentu, sebuah fakta yang menunjukkan kemungkinan bahwa
malware tersebut adalah bagian dari tindakan yang direncanakan dengan baik.
sabotase. Meskipun tidak ada situs yang terinfeksi Stuxnet yang mengalami
kerusakan fisik, pentingnya ancaman canggih tersebut terhadap sumber daya
industri di Eropa dan bagian lain dunia tidak dapat diremehkan. fakta yang
menunjukkan kemungkinan bahwa malware tersebut adalah bagian dari tindakan
sabotase yang direncanakan dengan baik. Meskipun tidak ada situs yang terinfeksi
Stuxnet yang mengalami kerusakan fisik, pentingnya ancaman canggih tersebut
terhadap sumber daya industri di Eropa dan bagian lain dunia tidak dapat
diremehkan. fakta yang menunjukkan kemungkinan bahwa malware tersebut
adalah bagian dari tindakan sabotase yang direncanakan dengan baik. Meskipun
tidak ada situs yang terinfeksi Stuxnet yang mengalami kerusakan fisik, pentingnya
ancaman canggih tersebut terhadap sumber daya industri di Eropa dan bagian lain
dunia tidak dapat diremehkan.
Eropa telah menjadi lokasi beberapa serangan siber
besar dan pembobolan data pada tahun 2015. Di antara
targetnya adalah TalkTalk (ISP besar di Inggris Raya), JD
Bab 8Mengamankan Sistem Informasi359
Witherspoon (rantai pub), dan CarphoneWarehouse.
com (toko online). Dalam setiap kasus, ratusan ribu
pelanggan data pribadi mereka disusupi. Infrastruktur
juga menjadi target di Eropa. Pada April 2015, peretas
merusak TV5Monde di Prancis, menghapus 11 saluran
TV, bagian dari situs Webnya, dan juga situs media
sosialnya. Aksi tersebut diduga dilakukan oleh
kelompok teroris Timur Tengah.
Untuk mengatasi ketiadaan kerjasama di antara negara-
negara Uni Eropa, pada tahun 2004 Komisi Eropa membentuk
Badan Keamanan Informasi dan Jaringan Eropa (ENISA)
dengan tujuan mengoordinasikan upaya untuk mencegah dan
merespons secara lebih efektif terhadap potensi ancaman
keamanan yang lebih berbahaya. Tujuan utama ENISA adalah
mengamankan infrastruktur informasi Eropa, mempromosikan
standar keamanan, dan mendidik masyarakat umum tentang
masalah keamanan.
Komisi Eropa baru-baru ini meluncurkan Agenda
Digital untuk Eropa. Tujuan dari inisiatif ini adalah
untuk menentukan peran kunci yang akan dimainkan
oleh teknologi informasi dan komunikasi pada tahun
2020. Inisiatif ini menyerukan pasar digital tunggal
Eropa yang terbuka.
Sebelum tahun 2015, tidak ada pendekatan umum untuk
pembobolan, peretasan, atau vandalisme jaringan digital.
Pada tahun 2016, Parlemen Eropa mengadopsi Petunjuk
NIS tentang keamanan jaringan dan sistem informasi.
Arahan tersebut mulai berlaku pada Agustus 2016. Negara-
negara anggota diberi waktu 21 bulan untuk mengubah
Arahan tersebut ke dalam undang-undang nasional mereka
dan 6 bulan lagi untuk mengidentifikasi operator layanan
esensial. Arahan NIS mewajibkan negara-negara UE untuk
mengembangkan Tim Respons Insiden Keamanan
Komputer (CSIRT) dan otoritas NIS nasional untuk
mengidentifikasi layanan penting yang dapat terancam oleh
pelanggaran keamanan.
Undang-undang baru ini juga menetapkan standar
keamanan siber di berbagai lembaga pemerintah seperti
bandara, pusat transportasi, dan kantor pemerintah. Untuk
pertama kalinya, Eropa telah mengembangkan pendekatan
terkoordinasi untuk keamanan dunia maya.
Sumber:Komisi Eropa, “Petunjuk tentang Keamanan Jaringan dan
Sistem Informasi,” ec.europa.eu, 16 Juli 2016; Bob Tarzey, “Setidaknya
1 dari 5 Perusahaan Eropa Kehilangan Data Melalui Serangan Siber
yang Ditargetkan,”Mingguan Komputer, 18 Desember 2015; “Eropa
Setuju Menanggapi Serangan Cyber,”berita BBC, 8 Desember 2015;
Gunther Oettinger, “Aturan UE Baru yang Disepakati tentang
Pelanggaran Keamanan Siber,” DW.com, 8 Desember 2015; dan Melvin,
360 Bagian DuaInfrastruktur Teknologi Informasi

“Cyberattack Menonaktifkan 11 Saluran TV Prancis, Mengambil 8-14 Jelaskan beberapa poin utama dari Network
Alih Situs Media Sosial,” Don Melvin,CNN, 9 April 2015; Komisi and Information Security (NIS) Directive.
Eropa, “Network and Information Security (NIS) Directive,”
Agenda Digital Untuk Eropa, Komisi Eropa, 16 Maret 2015.
8-15 Jelaskan bagaimana serangan siber dapat dilakukan.
8-16 Jelaskan beberapa kelemahan yang dimanfaatkan oleh
PERTANYAAN STUDI KASUS malware.
8-13Apa itu botnet? Kasus disumbangkan oleh Daniel
Ortiz-Arroyo, Universitas Aalborg.

-kuLaboratoriumSALAH

Buka bagian Tugas MIS MyLab untuk menyelesaikan latihan menulis ini.

8-17 Jelaskan tiga taktik spoofing yang digunakan dalam pencurian identitas dengan menggunakan sistem informasi.

8-18 Jelaskan empat alasan perangkat seluler yang digunakan dalam bisnis sulit untuk diamankan.