Trojan, Menguji Kepedulian Top Management

Pada beberapa institusi yang telah menerapkan ISMS (Information Security Management System), kebocoran data dianggap merupakan salah satu ancaman yang dapat merugikan bahkan hingga berpotensi meruntuhkan kegemerlapan kejayaan institusi. Institusi yang menerapkan ISMS biasanya adalah perusahaan yang menganggap data atau informasi sebagai salah satu penopang tulang punggung bisnis sehingga menilai data lebih tinggi ketimbang institusi sebaliknya.

Data di dalam institusi semacam itu dapat berupa disain produk, data pembayaran pajak, data tingkat kesejahteraan karyawan, data transaksi pembayaran bisnis dan lain sebagainya. Jika data tersebut jatuh ke tangan pihak yang tidak berwenang namun memiliki motivasi untuk mendapatkannya dengan berbagai tujuan yang menguntungkan sepihak, misalnya potensi hilangnya potensi keuntungan menggunakan rencana disain karena disain tersebut sudah jatuh ke tangan pihak kompetitor dsb.

Contoh kasus sebagaimana diberitakan pada media online kompas mengenai bocornya draft sprindik, maka setidaknya sebuah institusi yang seharusnya menyimpan data tersebut dengan aman, seharusnya tidak dapat dibaca oleh pihak yang berwenang, maka institusi tersebut berpotensi mendapatkan sanksi menurunnnya citra di mata masyarakat. Kerugian bisa jadi tidak dapat dinilai dengan uang, namun masa depan suatu institusi kadang harus dipertaruhkan.

Kasus lain yang saat ini menjadi perbincangan pelaku TI adalah berita pada detik.com yang berjudul “Email Perusahaan Tambang Bakrie Kena Hack, Seluruh Data Dicuri“. Saya tidak akan membahas mengenai apa dampak yang diakibatkan, dan saya tidak akan berasumsi mengenai bagaimana hal tersebut bisa terjadi, namun berdasarkan berita tersebut dinyatakan bahwa Trojan adalah merupakan salah satu alat yang digunakan untuk mencuri datanya.

Definisi Trojan dapat dilihat diberbagai refenensi online salah satunya di Wikipedia. Jika memang benar bahwa pencuri data dari Bumi Resources, Tbk. menggunakan Trojan, sekilas tampak terlihat bahwa perusahaan tersebut tidak memiliki sistem pengamanan informasi yang cukup mumpuni. “TI-nya nggak canggih, ndeso!” kata sebagian pengamat membicarakannya. Namun bagi saya, perusahaan sebesar Bumi Resources, Tbk. tidaklah mungkin tidak menggunakan teknologi yang canggih, tidak mungkin tidak menggunakan antivirus, firewall, spam filtering, url filtering dan teknologi pengamanan lainnya.

Saya kemudian berasumsi bahwa hacker sengaja mencari tahu siapa saja pihak-pihak yang akan dibidik karena dianggap memiliki data yang cukup, sebagaimana diberitakan, dicarilah salah satu nama direktur dari mbah Google dimana kemudian dapat ditemukan nama-nama anggota Board of Director. Selanjutnya dapat dicari alamat emailnya dengan mudah dengan berbagai cara, secara online maupun secara offline menggunakan metoda social engineering.

Attachment berisi trojan kemudian dikirimkan ke email target, saya berasumsi bahwa sebuah attachment yang dikemas menarik, kemudian di klik oleh target dan langsung ter-install di komputer yang digunakan. Pertanyaannya mengapa antivirus tidak dapat mendeteksi dan membersihkannya? Jawabannya adalah sebagaimana tertulis dalam definisi di atas, Trojan bukanlah virus dan meskipun saat ini sudah banyak antivirus dengan tambahan fitur mendeteksi Trojan, kemudian bergantung kapan terakhir komputer tersebut di update antivirus-nya. Trojan dengan kode terbaru tidak akan terbaca oleh antivirus yang canggih sekalipun!

Lalu saat Trojan beraksi mengirimkan paket-paket data milik Bumi Resources, Tbk. ke situs-situs penampung data milik si hacker, mengapa firewall, url filtering dan teknologi tidak dapat mencegahnya? apakah kurang canggih? Jawabannya adalah kembali kepada manusianya lagi. Jika Anda pernah menjadi seorang karyawan, peraturan Bos itu hanya ada 2: Pasal 1, Bos tidak pernah salah, Pasal 2, Jika Bos salah maka berlaku pasal 1, Hahaha.. Hukum ini tidak bisa ditampik, ketika seorang Network Engineer memberlakukan berbagai policy kepada seluruh user pengguna komputer untuk melindungi seluruh data institusi, namun sangat mungkin Network Engineer termasuk atasannya tidak bisa memaksa BOD (Board of Director) untuk mematuhi policy-policy-nya.

“Aku ini yang punya uang, aku yang menggaji kamu!, akses internetku gak usah dibatas-batasi seperti kalian para bawahan, aku mau bebas browsing kemana saja aku suka!” kalimat inilah yang amat ditakuti oleh seorang karyawan seperti kita ketika kita meminta agar suatu aturan juga berlaku untuk semua pihak dalam jaringan komputer institusi. Dan alhasil, akses internet oleh top management tidak mengikuti aturan pengamanan yang diterapkan. Ketika kebocoran data sudah terjadi dan merugikan institusi yang bisa berpotensi menghancurkan bisnisnya, inilah saatnya menguji kepedulian top management terhadap kepedulian pada keamanan informasi yang mereka miliki. Teknologi kadang hanya bisa mengendalikan potensi risiko dari sebagian besar karyawan, namun belum tentu berhasil terhadap top management yang kurang memiliki kepedulian terhadap keamanan informasi.

Semoga insiden ini bisa menjadikan referensi bagi pelaku keamanan informasi di institusi masing-masing, memudahkan usaha meyakinkan top management. Berikan tautan ini kepada mereka, sampaikan agar hal yang sama tidak terjadi, mari belajar dari insiden yang terjadi di institusi lain, tidak menunggu insiden yang sama terjadi pada institusi kita. Bahwa penegakan kebijakan keamanan informasi bukanlah semata-mata untuk mengurangi risiko yang kemudian dapat berdampak mengurangi kenyamanan karyawan, namun tidak lain adalah melindungi informasi sebagai aset institusi demi melindungi kelangsungan bisnis institusi.

Semoga bermanfaat. (abh/022013)

Leave a Reply