28 July

Ditulis di Opini | Tidak Ada Komentar

Kerentanan Tingkat Dewa

Kita sering mendengar peristiwa pembobolan bank seperti pada Bocah Usia 12 Tahun Bobol Bank, atau kasus pengambilalihan akun seperti pada Apple Dibobol Peretas, atau Pencurian data kartu kredit seperti pada Polisi Ringkus Pencuri Data Kartu Kredit dan Debit, atau bahkan upaya melumpuhkan sebuah negara seperti yang terjadi pada Estonia`s Hack Attack.

Ancaman dan Kerentanan
Dalam ilmu keamanan informasi, kejadian ini disebut sebagai sebuah insiden keamanan informasi. Insiden keamanan informasi dapat terjadi ketika sebuah kerentanan bertemu dengan ancaman. Ancaman dapat diilustrasikan sebagai seorang pencuri, dan kerentanan dapat diilustrasikan sebagai sebuah jendela rumah yang dibiarkan terbuka pada malam hari.

Seseorang yang memiliki kebiasaan mencuri, tidaklah serta merta akan melakukan pencurian. Peristiwa pencurian tidaklah serta merta terjadi jika pintu rumah terkunci rapat bagai sebuah benteng. Ketika seorang pencuri sedang berjalan di malam hari dan menemukan sebuah jendela yang sedang terbuka, maka hasrat mencurinya kemudian muncul, dan terjadilah sebuah insiden pencurian. Jika ancaman bertemu dengan kerentanan, maka potensi insiden dapat terjadi.

Pada peristiwa pembobolan sebuah bank secara online, kerentanan merupakan sekumpulan kondisi dimana hacker sebagai sebuah ancaman dapat melakukan pembobolan ketika menemukan kerentanan, misalnya port-port yang terbuka tanpa sengaja, atau sengaja dibuka namun tidak segera ditutup. Insiden online pada umumnya terjadi karena kerentanan yang sudah umum. Sedangkan hacker sudah terbiasa melakukan berbagai aktivitas scanning secara konsisten untuk mendapatkan port terbuka yang ditinggalkan oleh pemiliknya yang kurang peduli.

Insiden offline seringkali juga kita temui terjadi di ranah sosial di sekitar kita. Berbagai kejadian kebocoran uang negara yang kerapkali ditemukan oleh petugas KPK merupakan insiden yang juga merupakan pertemuan antara ancaman dan kerentanan. Oknum pegawai yang memiliki karakter sebagai seorang koruptor merupakan sebuah ancaman, sedangkan sistem tatakelola administratif pemerintahan yang tidak memiliki kontrol yang cukup merupakan sebuah kerentanan.

Jika sistem tata kelola adminstratif pemerintahan memiliki kontrol yang cukup bertemu dengan oknum-oknum yang berjiwa koruptor, maka insiden korupsi tidak akan terjadi. Begitu juga jika semua pegawai pemerintahan tidak terselip oknum-oknum yang memiliki karakter koruptor, tidak akan terjadi insiden korupsi meski sistem tata kelola administratif pemerintahannya kendor.

Kerentanan Tingkat Dewa
Gambaran insiden-insiden di atas menurut saya barulah sebatas insiden tingkat dasar. Kita juga sering mengamati meski mirip dengan kejadian di atas, namun kejadian ini menurut saya berada di tingkat di atasnya. Yaitu kejadian-kejadian yang disebabkan oleh kerentanan yang kerentanannya tidak dapat dimitigasi oleh mitigator tingkat dasar, kita sebut saja sebagai kerentanan tidak biasa alias kerentanan tingkat dewa .

Untuk memitigasi kejadian pencurian, negara diperlengkapi dengan perangkat pengamanan misalnya kepolisian atau perangkat pengamanan lainnya. Namun jika oknum pengamanannya yang justru memiliki karakter sebagai pencuri, maka inilah yang kita sebut sebagai kerentanan tingkat dewa. Publik bersandar penuh pada petugas pengamanan dan tidak memiliki kewenangan untuk memitigasi hal semacam ini.

Peristiwa penyelundupan berbagai jenis narkotika dilakukan mitigasi dengan mengadilinya secara adil yang kita percayakan kepada petugas yang berwenang diantaranya: kejaksaan, kehakiman, pengadilan, lembaga pemasyarakatan dsb. Namun jika justru petugas yang berwenang tersebut yang menjadi bagian dari proses peredaran narkotika, maka inilah yang kita sebut sebagai kerentanan tingkat dewa.

Kerentanan Tingkat Dewa pada Keamanan Informasi
Jika organisasi Anda adalah organisasi yang sudah matang termasuk terwujud dalam adanya pembentukan sistem keamanan informasi di dalamnya, misalnya organisasi perbankan, organisasi pertahanan keamanan, organisasi intelijen negara dsb., maka bukan tidak mungkin terdapat juga kerentanan tingkat dewa dalam organisasi Anda.

Seorang praktisi keamanan informasi seharusnyalah memiliki kesadaran keamanan informasi yang jauh lebih tinggi dibandingkan dengan pengguna perangkat sistem yang ada, minimal sama dengan dengan mereka. Jika Anda membangun sistem keamanan informasi sementara di dalamnya mengandung unsur-unsur dewa yang rentan, maka berhati-hatilah sebab sistem Anda dapat dipastikan amat sangat rentan dan bahkan lebih rentan dari organisasi yang tidak menjalankan kaidah-kaidan sistem keamanan informasi.

Unsur-unsur dewa yang rentan dapat dilihat dari gejala fisik yang tampak terlihat dari perilaku praktisi keamanan informasi yang tidak terbatas pada gejala-gejala:
1. Sering lupa meletakkan aset informasi berklasifikasi rahasia di tempat yang tidak aman, misalnya membiarkan berkas hasil penetration test di atas meja kerja.
2. Sering melakukan penetration test sesukanya, misalnya pada siang hari bekerja seperti biasa sedangkan pada malam hari mencoba-coba melakukan pentest ke berbagai situs dengan tujuan apapun termasuk menguji kemampuannya.
3. Sering menunjukkan hasil kegiatan ke berbagai pihak meskipun seharusnya dirahasiakan, dengan tujuan apapun termasuk untuk menunjukkan akan kemampuannya menembus-nembus sistem.
4. dsb.

Potensi risiko kesalahan memilih
Jika dalam organisasi Anda terdapat Dewa Rentan, maka potensi risiko yang dapat terjadi adalah tidak terbatas kepada:

  1. Jika Dewa Rentan melakukan uji penerobosan ke berbagai situs melalui organisasi Anda, maka bersiaplah untuk dapat disebut sebagai organisasi perusak terselubung yang berkedok pada visi dan misi organisasi.
  2. Dewa Rentan pada dasarnya adalah manusia yang tidak terlepas dari keinginannya untuk mendapatkan reward dari segala kebanggaan yang dilakukan, bersiaplah untuk mendapatkan tuntutan reward yang sepadan sesuai keinginannya, jika tidak maka bersiaplah untuk mendapatkan ancaman keluar dari organisasi untuk mendapatkan serangan balasan.
  3. Sistem keamanan informasi Anda yang dibentuk dengan dasar kepedulian dari seluruh bagian organisasi akan luntur hingga hancur, bersama dengan hancurnya citra organisasi Anda.

Rekomendasi pemilihan calon praktisi keamanan informasi
Untuk menghindari terbentuknya calon dewa rentan sebelum terlanjur bertumbuh akar kerentanan dalam organisasi Anda, maka sebaiknya memilih calon praktisi yang:

  1. Bisa dibentuk untuk memahami, menerima dan menjalankan kaidah-kaidah keamanan informasi secara penuh.
  2. Memahami, menerima dan menjalankan kebijakan keamanan informasi yang ditetapkan oleh organisasi.
  3. Memiliki perilaku yang tangguh dalam mengamankan bukan sebaliknya merusak meski belum merusak sistem informasi dalam organisasi Anda.
  4. Jika Dewa Rentan sudah terlanjur berada dalam lingkaran tata kelola Anda, segeralah untuk mendisain ulang tata kelola keamanan informasi Anda.

Artikel ini semata-mata merupakan perwujuan pikiran untuk tujuan sumbangsih dalam pembentukan sistem pengelolaan keamanan informasi yang sedang Anda bangun dan bukan merupakan gambaran riil dari sebuah organisasi. Semoga bermanfaat dan terima kasih.

(abharto/072013)

Tinggalkan Pesan

Anda harus logged in untuk mengirim pesan.

Agus Budi Harto - Copyright © 2012 | All rights reserved.