BAB V
Pengamanan Sistem e-Government
Dalam beberapa tahun terakhir ini
Electronic Government (e-government) mulai mendapat perhatian besar di Indonesia
Masalah utama yang dihadapi adalah belum
adanya pemahaman (awareness) akan masalah keamanan. Memang dapat dimengerti
bahwa penerapan e-government di Indonesia ini masih pada tahap awal sehingga
fokus utamanya bukan pada masalah keamanan akan tetapi pada adanya dahulu.
Tanpa penerapan sistem pengamanan pada sistem e-government, masalah akan timbul
di kemudian hari.
Aspek Keamanan
Secara teori ada beberapa aspek keamanan,
yaitu:
·
Confidentiality (kerahasiaaan) & privacy
·
Integrity (integritas)
·
Availability (ketersediaan)
Ketiga aspek tersebut sering disingkat
dengan istilah “CIA”, yaitu diambil dari huruf depan dari masing-masing aspek
tersebut. Sistem pengamanan bertujuan untuk memberikan layanan terhadap
aspek-aspek tersebut. Prioritas dari aspek tersebut dapat berbeda dari satu
sistem ke sistem lainnya. Untuk sistem e-government, prioritasnya adalah (1)
integritas, (2) kerahasiaan, (3) ketersediaan. Mari kita bahas ketiga aspek
tersebut satu persatu.
Integritas Data
Aspek integrity
(integritas) terkait dengan keutuhan data. Aspek ini menjamin bahwa data tidak
boleh diubah (tampered, altered, modifed)
tanpa ijin dari yang berhak. Acaman terhadap aspek integritas dilakukan dengan
melalui penerobosan akses, pemalsuan (spoofing), virus yang mengubah atau menghapus
data, dan man in the middle attack
(yaitu penyerangan dengan memasukkan diri di tengah-tengah pengiriman data).
Proteksi terhadap serangan ini dapat dilakukan dengan menggunakan digital signature, digital certificate, message
authentication code, hash function,
dan checksum. Pada prinsipnya
mekanisme proteksi tersebut membuat kode sehingga perubahan satu bit pun akan
mengubah kode.
Contoh permasalahan integritas dapat
dilihat pada sistem perhitungan pemilihan umum tahun 2004 kemarin, dimana pada
awal proses perhitungan masih terdapat data uji coba. Hal ini menimbulkan
keraguan atas integritas dari data yang berada di dalamnya. Perhatikan gambar
di bawah ini, khususnya pada entri untuk Bengkulu dimana (hampir) semua kolom
berisi angka 12.
Sistem e-government harus dapat menjamin
bahwa data yang dimilikinya hanya boleh diubah oleh orang yang berhak. Masalah
utama yang dihadapi di lapangan adalah ketidak-jelasan siapa yang berhak
mengubah (memperbaharui, merevisi) data. Sistem e-government yang ada saat ini
umumnya belum memiliki dokumen kebijakan yang terkait dengan masalah keamanan (security policy).
Permasalahan lain yang terkait dengan
integritas data adalah masalah kualitas data. Sudah menjadi rahasia umum bahwa
kualitas data yang ada pada sistem e-government di Indonesia ini sangat
diragukan. Data bukan yang terbaru dan tidak akurat. Jika data yang masuk
memiliki kualitas “sampah” maka data yang keluar dari proses sistem ini juga
akan memiliki kualitas “sampah”, sesuai dengan peribahasa “garbage in, garbage out”.
Kualitas dan keakuratan data menjadi sangat
penting ketika ada beberapa sistem yang harus saling bertukar data, misalnya
sistem e-government dari satu propinsi dengan propinsi lainnya. Kemungkinan
besar akan terjadi ketidak-cocokan antar sistem dikarenakan data yang berbeda.
Data siapa yang paling benar?
Masalah kualitas data ini sangat pelik di Indonesia
Untuk meningkatkan integritas dan kualitas
data, perlu dilakukan sebuah upaya untuk melakukan verifikasi secara berkala.
Di Australia ada sebuah inisiatif untuk melakukan “national document verification system”. Tujuan mereka memang
sedikit berbeda, yaitu untuk menghindari pencurian identitas (identity theft) dalam welfare fraud. Ditakutkan seorang yang
jahat mengambil identitas orang lain untuk mendapatkan dana sosial.
Kerahasiaan Data
Confidentiality
& privacy terkait dengan kerahasiaan data atau
informasi. Pada sistem e-government kerahasiaan data-data pribadi (privacy)
sangat penting. Hal ini kurang mendapat perhatian di sistem e-government yang
sudah ada.
Bayangkan jika data pribadi anda, misalnya
data KTP atau kartu keluarga, dapat diakses secara online. Maka setiap orang
dapat melihat tempat dan tanggal lahir anda, alamat anda, dan data lainnya.
Data ini dapat digunakan untuk melakukan penipuan dan pembobolan dengan
mengaku-aku sebagai anda (atau keluarga anda).
Bayangkan pula jika data SAMSAT, pajak, dan
sistem e-government lainnya bocor. Dapat dibayangkan betapa besar potensi
kejahatan yang dapat dilakukan dengan menggunakan data ini. Masalah kerahasiaan data ini menjadi fokus
perhatian di dunia.
Canada’s auditor general Shiela Fraser has
released a report warning that “significant
weaknesses” in government computer
system puts citizens’ personal information at risk to identity theft,
potentially eroding public confidence in government. (IEEE Security & Privacy, vol. 3, no. 2,
March/April 2005)
Ancaman atau serangan terhadap kerahasiaan
data ini dapat dilakukan dengan menggunakan penerobosan akses, penyadapan data
(sniffer, key logger), social engineering
(yaitu dengan menipu), dan melalui kebijakan yang tidak jelas (tidak ada).
Untuk itu kerahasiaan data ini perlu
mendapat perhatian yang besar dalam implementasi sistem e-government di Indonesia
Pengujian terhadap kerahasian data ini
biasanya dilakukan secara berkala dengan berbagai metoda. Salah satu contohnya
adalah dengan melakukan penetration testing.
Ketersediaan Data
Suatu sistem e-government menjadi tidak
manfaat manakala dia tidak tersedia ketika dibutuhkan. Hal ini lebih penting
lagi ketika kita sudah mengandalkan sistem e-government.
Ketidak-tersediaan data dapat terjadi
karena serangan yang dilakukan oleh manusia (dengan serangan yang disebut
Denial of Service – DoS attack), atau dapat terjadi karena bencana alam. Berita
dari Denver Post (Amerika) berikut merupakan sebuah contoh terhentinya layanan
SIM karena sistem mereka terkena serangan virus.
Contoh lain dari hilangnya aspek
availability adalah serangan terhadap World Trade
Center
Di Indonesia sendiri tragedi tsunami yang
menghantam Aceh dapat menjadi contoh betapa pentingnya ketersediaan data. Data
dari kantor pemerintahan di sana
Untuk menghadapi masalah yang dapat timbul
karena ketidak-tersediaan layanan atau data perlu dilakukan kajian terhadap
kepentingan dari sistem. Hal ini dilakukan dengan membuat Risk Analysis dan Business
Impact Analysis. Biasanya ini menjadi bagian dari proses Business Continuity Management (BCM).
Sayangnya hal ini hanya mendapat perhatian dari lingkungan bisnis dan belum
mendapat perhatian dari sistem e-government. Mungkin ini disebabkan belum
adanya ketergantungan kita kepada sistem e-government. Manakala kita sudah
mulai bergantung kepada sistem e-government, maka kegiatan BCM ini harus juga
dilakukan.
Masalah Lain
Selain ketiga aspek di atas
(confidentiality, integrity, dan availability), sebetulnya ada beberapa aspek
lain seperti non-repudiation (tidak dapat menyangkal telah melakukan transaksi),
authorization, dan access control. Namun hal ini bisa dianggap menjadi bagian
dari ketiga aspek utama di atas.
Masalah utama yang kami temui di lapangan
adalah tidak adanya pemahaman (awareness) akan masalah keamanan dari atasan
(pimpinan, top management). Hal ini menimbulkan tidak adanya komitmen terhadap
masalah keamanan. Akibatnya pengamanan menjadi terbengkalai karena tidak
mendapat dukungan (baik dalam bentuk kebijakan maupun finansial). Untuk itu
para pimpinan ini perlu mendapat wawasan akan masalah keamanan.
Cara lain untuk menimbulkan pemahaman
adalah melalui jalur regulasi. Kepatuhan (compliance) terhadap regulasi dapat
menjadi pemicu penerapan keamanan.
Tanpa ada pemahaman dan komitmen dari
atasan, biasanya tidak ada kebijakan yang terkait dengan masalah keamanan
(security policy). Tanpa ada kebijakan ini akan sulit melakukan implementasi
pengamanan. Siapa yang boleh mengakses data? Apa saja yang dapat dilakukan oleh
pengguna tertentu? Bagaimana saya harus menerapkan access control list di
router dan firewall? Dan seterusnya.
Ketika terjadi masalah (insiden), saat ini
tidak jelas kemana harus melapor. Biasanya pada sistem e-government belum ada
Incident Response Team (IRT) yang menangani masalah insiden yang berhubungan
dengan masalah keamanan. Di kemudian hari, IRT ini harus ada.
Pengamanan
Pengamanan terhadap sistem e-government
harus dilakukan secara menyeluruh dengan menyertakan aspek people, process, dan technology. Kebanyakan solusi yang
ditawarkan oleh vendor hanya terbatas pada aspek teknologinya saja sehingga hasilnya
tidak efektif.
Aspek people
terkait dengan SDM. Harus ada pemahaman, wawasan (awareness) dari semua pihak mulai dari atasan sampai bawahan.
Khususnya untuk SDM yang menangani sistem IT, selain awareness mereka juga
harus memiliki ketrampilan (skill).
Termasuk di dalam pengembangan sisi prosess
adalah adanya kebijakan pengamanan (security policy) yang tertulis. Selain itu
kebijakan ini harus dapat dimengerti dan diterapkan. Faktor enforcement juga
harus diterapkan sehingga kebijakan ini memang benar-benar diikuti.
Untuk meyakinkan tingkat keamanan yang
cukup, evaluasi harus dilakukan secara berkala. Biasanya evaluasi ini
menyertakan penetration testing, evaluasi dokumen kebijakan, dan eveluasi
penerapan kendali pengamanan. Evaluasi dilakukan dengan membandingkan dengan
standar atau benchmark dengan istitusi
lain yang setara.
Tidak ada komentar:
Posting Komentar