BSSN Bentuk Sistem Penanggulangan Serangan Siber di

Pemerintahan
Ilustrasi keamanan siber. iStockphoto/Getty Images Oleh:
Shintaloka Pradita Sicca - 9 Agustus 2018 Dibaca Normal 1 menit
Kepala BSSN Djoko Setiadi mengatakan keamanan informasi
penyelenggaraan e-government di tingkat pusat maupun daerah
menjadi sasaran utama serangan siber. tirto.id - Badan Siber dan
Sandi Negara (BSSN) mendorong pembentukan Computer Security
Incident Response Team (SCIRT) di setiap instansi pemerintah
untuk menanggulangi dan memulihkan insiden siber. Upaya ini
dilakukan sebab di tengah perkembangan teknologi dan informasi,
risiko ancaman keamanan informasi pun berkembang. Government
Computer Security Incident Respond Team menyatakan, pada 2017
sebanyak 86,3 persen dari seluruh insiden yang menyasar web
pemerintah merupakan web defacement; 6,7 persen merupakan
pishing; 5,5 persen merupakan spam; 0,4 persen merupakan brute
force attack; dan 0,1 persen sisanya merupakan infeksi malware.
Kepala Badan Siber dan Sandi Negara (BSSN), Djoko Setiadi
mengatakan keamanan informasi penyelenggaraan e-government di
tingkat pusat maupun daerah menjadi sasaran utama serangan
siber. Dampaknya akan menjadi sangat merugikan, yaitu layanan
pemerintah untuk publik terganggu dan kredibilitas pemerintah bisa
menurun. "Maka, BSSN mengundang seluruh pengelola sistem
informasi layanan pemerintah baik pusat maupun daerah untuk
menkonsolidasikan standar perlindungan, penanggulangan, dan
pemulihan insiden siber pada sektor pemerintah," ujar Djoko di
Jakarta pada Kamis (9/8/2018). BSSN melibatkan seluruh
kabupaten/kota di 35 provinsi Indonesia untuk membangun sistem
CSIRT. Dalam membangun CSIRT membutuhkan SDM yang
memiliki standar kompetensi yang sama di setiap instansi
pemerintah. "Lulusan STSN yang kami berdayakan. PNS, TNI/Polri
akan dididik dengan standar yang sama di Pusdiklat, bagi yang
belum ada SDM-nya coba kami supply dari pusat. Sehingga, benar-
benar connect, lancar komunikasinya," ujarnya. Diproyeksikan pada
2019 sistem ini sudah dapat berjalan. Dengan terbentuknya sistem
tersebut, diharapkan nantinya BSSN dapat sangat mudah dan cepat
untuk merespons insiden siber di setiap instansi pemerintah pusat
dan daerah. "Kami mulai setelah para kepala daerah sudah dilantik,"
ucapnya. Djoko kemudian mengatakan bahwa adanya Focus Group
Discussion (FGD) menjadi penting untuk membuka kesadaran
pihak-pihak instansi pemerintah untuk meningkatkan keamanan
siber. FGD menjadi media berbagi informasi dan terciptanya
asistensi untuk pengembangan perlindungan, penanggulan dan
pemulihan insiden siber pada sektor-sektor pemerintah. "Kita harus
tetap mengikuti perkembangan teknologi dan informasi, sehingga
kesiapan ini harus kita siapkan berjalan ke depan. Sehingga, pada
saat Pilpres nanti BSSN mampu mengkondisikan, menyiapkan
keamanan untuk pesta demokrasi benar-benar berjalan aman,"
ucapnya. Menjelang Pilpres, BSSN mengupayakan keamanan siber
dapat dijamin. Maka, sosialisasi untuk mengantisipasi dan
menangani insiden siber, kata Djoko terus digalakkan.
"Kemungkinan serangan tentunya pasti akan ada. Tingkatnya dan
levelnya masih kami lihat. Mudah-mudahan dengan kesadaran yang
tinggi di seluruh stakeholder, serangan siber dalam pesta demokrasi
mudah-mudahan dapat diminimalisir," ujarnya.
Baca selengkapnya di artikel "BSSN Bentuk Sistem Penanggulangan Serangan Siber di Pemerintahan", https://tirto.id/cRgw
1 DIREKTORAT KEAMANAN INFORMASI PENANGANAN INSIDEN
KEAMANAN INFORMASI BATAM, September 2013

2 SECURITY INCIDENT HANDLING PENANGANAN INSIDEN KEAMANAN

INFORMASI Creating and Managing CSIRT IGN Mantra, URL: acad-csirt.or.id

3 INSIDEN KEAMANAN INFORMASI

4 Security Incident

5 Security Incident Pendekatan : Segala kejadian riil atau yang merugikan

kepada sistem keamanan komputer dan jaringan komputer di sebuah institusi.
Pelanggaran terhadap kebijakan keamanan institusi (Security Policy).

6 Pendekatan ttg Security Incident Istilah Insiden sangat relatif pengertiannya,

setiap organisasi menterjemahkan insiden tergantung dari kebutuhannya.
Aktifitas Insiden Keamanan Komputer merupakan sebuah aktifitas yang
potensial mengancam sistem keamanan komputer. Insiden dapat mengalami
kesuksesan (sistem jebol) atau bisa juga gagal (tidak terjadi apa-apa). Insiden
bisa terjadi karena kecurigaan atau memang riil terjadi. Insiden dapat berupa
pelanggaran aturan keamanan baik tersirat maupun tersurat

7 Contoh : Kategori Incident Pelanggaran secara implisit dan eksplisit kepada

kebijakan keamanan di perusahaan. Upaya untuk masuk ke dalam sistem
secara tidak sah. Percobaan mengambil resource. Menggunakan dokumen
elektronik (confidential) tanpa ijin. Melakukan modifikasi tanpa sepengetahuan
pemilik, mengubah instruksi dan sebagainya.

8 Contoh : Klasifikasi Informasi & Security Incident TOP SECRET SECRET

CONFIDENTIAL RESTRICTED TIDAK TERKLASIFIKASI

9 Kategori Incident Low Level Incident Medium Level Incident High Level
Incident
10 Low Level Incident Hanya berdampak sedikit kerusakan pada asset TI
institusi, tim incident dapat menyelesaikan/menangani problem incident
tersebut dalam waktu 1x24 jam, Identifikasi seperti : kehilangan atau lupa
password personal, ditemukan adanya sharing account organisasi,
ditemukannya aksi scanning di network logs dan gagal, ditemukan virus dan
worm di network.

11 Medium Level Incident Dapat dikatakan incident yang ditangani lebih serius
dari low level incident dan penanganan incident seperti dapat diselesaikan
dalam waktu 1x24 jam. Identifikasi seperti : pelanggaran akses ke fasilitas
komputer/data center, pemecatan karyawan secara tidak hormat,
penyimpanan dan penggunaan data tanpa ijin, perusakan property dan
perusakan ke fasilitas komputer/data center paling sedikit mencapai 1 Miliar
Rp., pencurian data dan fasilitas komputer mencapai 1 Miliar Rp., perusakan
data karena virus dan worm intensitasnya cukup besar, pelanggaran akses ke
physical security baik pagar, bangunan dan data center.
12 High Level Incident Dapat dikatakan incident yang terjadi sangat serius
untuk disikapi oleh tim incident karena sudah berdampak luas kepada institusi,
tim incident harus merespon secara cepat untuk menutup segala
kemungkinan yang terjadi baik yang disebabkan oleh alam maupun oleh
manusia. Penanganan incident ini harus kurang dari 1x24 jam dari mulai
terjadi incident dan diketahui oleh tim, Identfikasi seperti : Serangan secara
massive baik DoS maupun DDoS, komputer yang dirusak/mengalami
kerusakan dan teridentifikasi oleh tim incident, komputer bervirus/worm
dengan intensitas penyebaran yang meluas (contoh stuxnet, trojan, backdoor),
Mengubah sistem hardware, firmware, konfigurasi software tanpa ijin admin,
perusakan property melebihi 1 Miliar Rp., Personal/hacker yang mencuri
asset/data melebihi 1 Miliar Rp., pelanggaran hukum karena akses dan
penyimpanan hal-hal yang dilarang seperti judi online, pornografi, terorisme
dll.

13 Bagaimana mengidentifikasi Incident? Alarm security berbunyi memberikan

notifikasi bahwa di peralatan intruder detection system ada indikasi menembus
sistem security, sehingga tim akan fokus dimana alarm tersebut berbunyi.
Ditemukan adanya tersangka yang berada di dalam network. Tidak adanya
perhitungan log (accounting logs) di dalam monitoring selama sekian menit
atau adanya gap logs sehingga selama sekian menit tidak termonitor di
monitoring center. Terlihat di tim monitor network, percobaan melakukan
access control berkali-kali dan tidak berhasil, terlihat trafik tidak semestinya
keluar dari network yang dijaga (DMZ) baik internal maupun eksternal,
percobaan untuk write system files, melakukan modifikasi dan mendelete file2
data. Menggunakan pola yang tidak biasanya, seperti melakukan compile
program kepada account user yang bukan para programmer di dalam institusi
tersebut.

14 Information Security Life Cycle Detection Incident Response

Countermeasure

15 INCIDENT RESPONSE TEAM

16 Alasan Pendirian CERT/CSIRT Infrastruktur keamanan yang terbaikpun
tidak dapat menjamin serangan akan terjadi. Bila insiden terjadi, maka institusi
bergerak cepat untuk merespon secara efektif dengan memimalisasi
kerusakan dan mengurangi biaya recovery. Untuk melindungi kejadian-
kejadian yang tidak diinginkan di masa depan dengan mengatur strategi
keamanan, berbagi informasi untuk update pengetahuan dan berkolaborasi
dengan CSIRT yang lain. Fokus kepada pencegahan kerentanan keamanan,
melakukan mitigasi dan memastikan pemenuhan/pencapaian regulasi dan
kebijakan keamanan institusi.

17 Alasan Nyata Dibutuhkan karena hukum, regulasi, kebijakan, standar,

audit, kerjasama/perjanjian internasional. Pemenuhan bisnis, permintaan
pasar/pengguna, best practice dan keuntungan kompetitif. Pada saat terjadi
insiden dan insiden akan mengganggu institusi. Sebagai Titik kontak yang
bertanggungjawab bila ada insiden untuk segera bergerak dan berkoordinasi
dengan pihak-pihak terkati. Kelompok ahli yang memberikan rekomendasi dan
membahas masalah keamanan yang terkini.
18 Mengapa butuh CSIRT? Saat insiden cyber terjadi dan menyebar, maka
perlu tindakan segera seperti : Secara Efektif mendeteksi dan me-identifiaksi
segalam macam aktivitas. Melakukan mitigasi dan merespons secara
strategis. Membangun saluran komunikasi yang dapat dipercaya. Memberikan
peringatan dini kepada masyarakat dan konstituen tentang dampak yang akan
dan sudah terjadi. Memberitahu pihak lain tentang masalah-masalah yang
potensial di komunitas keamanan dan internet. Berkoordinasi dalam
meresponse masalah. Berbagi data dan informasi tentang segala aktivitas dan
melakukan korespondensi untuk response segala solusi kepada konstituen.
Melacak dan memonitor informasi untuk menentukan tren dan strategi jangka
panjang.

19 Lingkup pekerjaan CSIRT Menyediakan satu titik untuk kontak insiden.

Melakukan identifikasi, analisis, dampak dari ancaman/insiden. Penelitian,
mitigasi, rencana strategi dan pelatihan. Berbagi pengalaman, informasi dan
belajar/mengajar. Kesadaran, membangun kapasitas, jejaring. Merespon,
mengontrol kerusakan, recovery, meminimalisir resiko dan manajemen resiko,
pencegahan dan pertahanan.

20 Macam-macam CSIRT Internal CSIRT: menyediakan layanan penanganan

insident kepada organisasi induk. CSIRT semacam ini seperti Bank,
Perusahaan Manufaktur, Universitas dll. National CSIRT: menyediakan
layanan penanganan insiden kepada negara. Sebagai contoh adalah Japan
CERT Coordination Center (JPCERT/CC). Coordination Centers : melakukan
koordinasi penanganan insiden lintas sektor. CSIRT. Sebagai contoh adalah
United States Computer Emergency Readiness Team (US-CERT). Analysis
Centers fokus kepadan sintesa data dari berbagai macam sumber untuk
menentukan tren dan pola-pola aktivitas insiden. Contoh : (SANS GIAC).
Vendor Teams menangani laporan tentang kerentanan di dalam produk
software dan hardware. Mereka bekerja di dalam organisasi untuk
menentukan produk-produk mereka rentan atau tidak dan mengembangkan
strategi mitigasi. Vendor team juga sebagai internal CSIRT untuk organisasi
tersebut. Incident Response Providers menawarkan layanan penanganan
insiden dengan bentuk bisnis kepada organisasi yang memerlukannya.

21 CSIRT Jabatan dan Pekerjaan Ketua / Wakil Ketua Manager atau Pimpinan
Tim Assistan Manager, Supervisor atau Pimpinan Grup Hotline, Helpdesk dan
Staf Incident handler Vulnerability handler Artifact analysis staf Platform
specialist Trainer Technology watch Network atau System Administrator
Programmer Staf Legal/Hukum

22 Macam-macam Organisasi CSIRT FIRST APCERT OIC-CERT TF-CSIRT

ENISA ANSAC FIRST Forum of Incident Response and Security Teams
(Global/International Initiatives) APCERT Asia Pacific Computer Emergency
Response Team Response Team (Regional Asia Pacific) OIC-CERT
Organization of Islamic Conference Computer Emergency Response Team
TF-CSIRT Collaboration of Computer Security Incident Response Team in
Europe ENISA - European Network and Information Security Agency (Regional
Europe Union) ANSAC - ASEAN Network Security Action Council
23 Forum of Incident Response and Security

24 Asia Pacific CERT

25

26 TF-CSIRT Collaboration of Computer Security

27 Fungsi-fungsi CSIRT DEFENCE MONITORING INTERCEPTING

SURVEILLANCE MITIGATING REMEDIATION OFFENSIVE DEFENSE
melindungi infrastruktur kritis MONITORING menganalisis anomaly dengan
berbagai pola terdefinisi dan pola tak terdefinisi. (disebut sebagai vulnerability
database). INTERCEPTING mengumpulkan kontek spesifik atau disebut
targeted content. SURVEILLANCE mengamati dan menganalisis aktivitas
yang dicurigai dan informasi yang berubah dalam sistem. MITIGATING
mengendalikan kerusakan dan menjaga ketersediaan serta kemampuan
layanan tersebut. REMEDIATION membuat solusi untuk mencegah kegiatan
yang berulang-ulang dan mempengaruhi sistem. OFFENSIVE
pencegahan/perlawanan dengan menyerang balik seperti Cyber Army dan
kemampuan untuk menembus sistem keamanan.

28 Kemampuan CSIRT PROTECT melakukan risk assessment, proteksi

malware, pelatihan dan kesadaran, operasi dan dukungan, management
kerentanan dan jaminan keamanan. DETECT pengawasan jaringan,
pengukuran dan analisis keterhubungan dan situasinya, pengawasan
lingkungan. RESPONSE pelaporan insiden, analysis, response, mitigasi dan
remediasi. SUSTAIN berkolaborasi dengan MOU, kontrak pihak ketiga
(vendor, provider), management (program, personnel, standar keamanan).
PROTECT DETECT RESPONSE SUSTAIN

29 Penanganan Insiden PREPARE Awareness, SOP, Compliance etc.

PROTECT Hardening, Change Management etc. DETECT Monitoring,
Incident Reporting RESPONSE Mitigation, Remediation TRIAGE
Classification, Priority etc.
30 Sumber Pendanaan Biasanya pendanaan dari organisasi induk. Proyek
sponsor oleh para partner. Iuran keanggotaan dan charge perlayanan.
Pendanaan dari Pemerintah (full atau project base). Menyediakan jasa
keamanan profesional.

31 CERT Logo

32 Forum Incident Response Team negara

33 AP-CERT, Asia Pasific TOTAL 30 MEMBER 22 Full Member 8 General

Member

34 Nasional CERT IDCERT ID-SIRTI ACAD-CSIRT ID GOV-CERT ID MIL-

CERT SECTOR CERT

35 Anggota CERT TERBESAR TERKECIL 2-5 negara2

36 CERT Members
37 Koordinasi Incident di GOV-CSIRT Laporan Incident dari Internal
Koordinasi Kolaborasi Laporan Incident dari External

38 Koordinasi dibawah GOV-CSIRT Tim Incident Response Kampus Tim

Incident Response GOV-CSIRT Koordinasi ke CSIRT Nasional IDSIRTII,
IDCERT, GOVCERT, TNI, ACAD-CSIRT APCERT FIRST

39 Tugas CSIRT

40 Pembangunan dan Pengembangan CSIRT Stage 1 Educating the

organization Stage 2 Planning effort Stage 3 Initial implementation Stage 4
Operational phase Stage 5 Peer collaboration

41 Struktur SDM dan Koordinasi Top Management Ketua/Wakil Middle

Management Dep.1 Dep.2 Operasional Management Ops.11 Ops.12 Ops.21
Ops.22

42 Koordinasi membutuhkan Masyarakat dan Negara CSIRT Masyarakat dan

Negara
43 CSIRT Body CSIRT Sector CSIRT Nasional

44 Struktur CSIRT CSIRT Nasional CSIRT Sector Team IDSIRTII

Telekomunikasi Telkom-CSIRT Indosat-CSIRT Akademik ACAD-CSIRT

45 Infrastruktur CSIRT Console Sensor Analizer Server Storage

46 Tugas GOV-CSIRT PREVENTIF DETEKSI RESPON RISET DAN

PENGEMBANGAN

47 Kesimpulan : CSIRT dan Koordinasi CSIRT adalah lembaga keamanan

nirlaba untuk tanggap darurat mengatasi insiden keamanan. CSIRT diperlukan
karena hukum. CSIRT dibentuk oleh negara, industri atau pendidikan. CSIRT
memiliki kebijakan keamanan, mendeteksi, penanganan insiden dan
kolaborasi. CSIRT memiliki sumber pendanaan yg jelas dan terencana.

48 Contact : Informations : Incident Response : URL : TERIMA KASIH