diskusi publik rpm perangkat lunak sistem elektronik_i made wiryawan
TRANSCRIPT
http://www.gunadarma.ac.id
Dr. rer. nat. I Made Wiryana, SKom, SSi, MAppScKoordinator Kerjasama Internasional
Universitas Gunadarmahttp://www.gunadarma.ac.id
DependabilityDependabilitypada Perangkat Lunak pada Perangkat Lunak
ElektronikElektronik
● Ancaman Keamanan
● User titik terlemah
● Forensik
● Dependebilitas suatu sistem
● Membangun Sistem yang aman
● SDM dan Organisasi
http://www.gunadarma.ac.id
Perkenalan diri● Dosen Universitas Gunadarma, Koordinator Kerjasama Internasional,
Pengelola UG-IBC, Incubator Business Centre
● Peneliti RVS Arbeitsgruppe – Bielefeld University),
● Konsultan teknis situs Presiden (masa SBY), Wapres (2 Wapres) dan Kemenpora (3 menteri) Cyberpaspampres→
● Pengembang: Sistem Barang Daerah (SIMBADA) [http://simbada.gunadarma.ac.id] dan Inventori Biodiversity [http://www.flora-indonesia.id]
● Wakil Indonesia untuk standardisasi profesi bidang TI untuk Asia Pacific (SEARCC), Pengurus IPKIN, PIKIN, MIKTI, YPLI, AOSI, APSICI
● Aktif pada penulisan standard. Standard Nasional Indonesia (SNI), Standard Kompetensi Kerja Nasional Indonesia (SKKNI), Badan Standard Nasional Pendidikan (BSNP)
http://www.gunadarma.ac.id
Konsep security● Definisi umum :
– Sekuriti komputer menangani pencegahan dan pendeteksi dari akses yang tak berhak oleh pengguna dari suatu sistem komputer
– C : Confidentiality : Pencegahan terhadap akses informasi oleh orang yang tak berhak.
– I : Integrity: Pencegahan terhadap modifikasi informasi oleh orang yang tak berhak
– A : Accesibility: Pencegahan terhadap penguasaan informasi atau sumber daya oleh orang yang tak berhak.
● Definisi lebih luas :– EU : terkait ketergantungan pada pihak ke-3
Security is not a product but a process Bruce
Schneier
http://www.gunadarma.ac.id
Pendekatan untuk security (ofensif dan defensif)
● Practical : antivirus, exploit and patch
● Theoretical : Security model etc
● Management: Security Policy, Risk Assesment
● User
● Sociological
http://www.gunadarma.ac.id
3 gelombang ancaman● Fisik
● Menyadap saluran telfon/radio, memutus dan mengarahkan ke saluran palsu dsb
● Sintatik
● Melakukan remote exploit, DdoS dan sebagainya
● Semantik
● Memanfaatkan serangan terhadap pemberitaan
http://www.gunadarma.ac.id
Identitas... asli atau palsu?
● Jenis kelamin (kasus Oca)
● Pekerjaan (penipuan pasangan)
● Penipuan perilaku kriminal
● Penipuan pencari jodoh
http://www.gunadarma.ac.id
Perkembangan malware● Digunakan untuk mengubah perangkat mobile
menjadi perangkat penyadap suara. Menjadi penyadap aliran data. Spionase industri memanfaatkan virus u
● Menginfeksikan, dengan menggunakan social engineering. Menjadi zombie yang siap diperintah
● Teknik yang digunakan: ● Overlay Network● Fail-over● Encrypted link● Encrypted code
● Ada model business yang mendorongnya
● Untuk DdoS dan spam
http://www.gunadarma.ac.id
Ancaman Cloudservices
● Cloudservices merubah pendekatan
● Membangun tools untuk brute-force attack lebih murah, cepat, dan mudah
● Tools tersedia online
http://www.gunadarma.ac.id
Penerima● Nokia 3310/Ericsson/
● Universal Software Receiver Peripheral (USRP)
● Texas Instruments OMAP Dev Kit
● Commercial Interceptor
http://www.gunadarma.ac.id
Scandec● Tanpa SIM
● Tanpa open Encryption
● Tanpa diverted call charges, tidak disadari orang
● Tanpa perlu tahu pengetahuan jaringan GSM
A5/1A5/2
A5(Kc,Frame) A5(Kc,Frame)
Plain-text Plain-text
+ +
Frame Frame
Conversation
Phone Sending to BTS
http://www.gunadarma.ac.id
Ancaman gambar
● Mengunduh file secara tidak sah
● Mengunduh file secara berlebihan Denial of →services (sistem menjadi tak bekerja)
● Mengubah gambar dan memposting di media lain (media sosial, misalnya)
● Memasukkan gambar ke dalam sistem secara tidak sah
http://www.gunadarma.ac.id
Life cycle of system security
Intr
usi
on
s
Discovery
Disclosure Patch released
Compromised
Vulnerable
HardenedTime
● Birth: kelahiran celah biasanya terjadi tanpa disadari
● Discovery: seseorang menemukan bahwa suatu produk memiliki permasalahan sekuriti
● Disclosure: permasalahan dikemukakan pada publik yang lebih luas
● Corrections: vendor atau pengembang memberitahu patch, atau modifikasi yang diperlukan
● Publicity: menjadi berita
● Scripting: perangkat bantu utk memudahkan serangan dibuat orang
● Death: ketika celah tersebut menjadi tak berarti
http://www.gunadarma.ac.id
Neumann (1978)● Improper protection
● Improper choice of initial protection domain
● Improer isolation of implementation detail
● Improper change
● Impoper deallocation or deletion
● Improper validation
● Improper synchronization
● Improper indivisibility
● Improper sequencing
● Improper chice of operand or operation
http://www.gunadarma.ac.id
CVE● Common Vulnerabilities
and Exposure
● MITRE http://cve.mitre.org
● Kamus bukan database (1 nama dan deskripsi)● Vulnerability● Exposure
● Gerakan komunitas dan tersedia bebas
Intrusiondetection system
signaturesdatabase
Securityadvisories and
email list
Vulnerabilityscannerdatabase
Softwarevendoralerts
VulnerabilitiesWeb sites and
databases
Softwarevendor patches
and updates
CommonVulnerabilitiesand Exposure
Initiative
http://www.gunadarma.ac.id
Web App. Vulnerabilities
● Web Application Security Consortium
● http://www.webappsec.org
● To clarify and organize threats to security of site
● Goal :
● Identifiy all known web application attack
● Naming of each class of attack
● Develop a structure of classes of atack
● Develop documentation of generic description of classes of attack
http://www.gunadarma.ac.id
Vulnerable and Risk Assesment
● Attack Tree (Bruce Schneier) - Attack Graph
● WBA (Prof. Peter B Ladkin)
http://www.gunadarma.ac.id
Kelemahan di sisi user● User sadar bahwa ada resiko
sekuriti, tapi kurang paham bagaimana resiko itu memiliki pengaruh terhadap mereka.
● User tak paham dengan teknologi sekuriti.
● Virus, Troyan, and Worm
● Phishing
● Spam (mail, messenger, blog etc)
● Vulnerabilities in audio file, image, browser, sandbox
http://www.gunadarma.ac.id
Spam facebook● Dating spam
● Profile and IM lures
● Redirection to dangerous site
● Nigerian scam
● Fake jobs (steal identity)
● Competitor soc-network lure
● Religous based spam
http://www.gunadarma.ac.id
Bagaimana di Indonesia ?● Pengguna smartphone begitu
besar
● Mobile services adalah revenue besar
● SMS telah diterima dalam berbagai penggunaan resmi dan transaksi. Penipuan SMS
● Masih banyak pihak yang tak peduli dengan kelemahan dari sisi sekuriti, termasuk badan negara.
http://www.gunadarma.ac.id
Kasus SMS● Mengisi pulsa
Pak tolong isiin pulsa ke no Im3 ini ya 085789043331...sekarang ya penting...! ini pulsa terakhir...ditunggu
● Info transfer Tolong uangnya Di transfer sekarang aja ke bank BNI:022-741-3***. A/n FRISKA ANANDA dan sms reply saja kalau sudah diTransfer, trimkasih
● Tawaran menarik"Xpressive SMS Bonus. Kamu terpilih buat dptin UANG 3 JUTA, BB ONYX & Pulsa 50rb! Hub *123*2767# utk ambil kesempatanmu skrg! GRATIS WALLPAPER Romantis! 5rb/bln"
P
http://www.gunadarma.ac.id
Mobile storage● USB Flash disk 4, 16 GB→
● External hard disk 1,5 TB→
● Apa yang terjadi bila jatuh ke pihak ke 3?
● Berapa yang menggunakan hard disk terenkripsi ?
● Versi mahal
● http://www.ironkey.com
● Menggunakan AED 256 bit encryption
● Selalu di enkripsi
● Versi murah
● Truecrypt
● Menggunakan USB biasa
http://www.gunadarma.ac.id
Security software berguna
Jika user yang diharapkan menggunakannya:
● Menyadari aspek sekuriti dari tugas yang harus mereka lakukan
● Dapat mengkonfigurasi sehingga sukses melaksanakan tugasnya.
● Tidak membuat kesalahan yang berbahaya.
● Cukup nyaman dengan antar muka dan tetap menggunakannya.
http://www.gunadarma.ac.id
User-centered security● Garfinkel and Spafford :
Suatu komputer aman bila pengguna dapat bergantung padanya dan perangkat lunak berperilaku seperti yang diharapkan
● Resiko keamanan terbesar adalah orang yang memakainya
● Sekuriti dan udsability pada dasarnya tidak berlawanan
● Menerapkan usability ke sistem aman
● Mengintegrasi layanan sekuriti dengan komponen software yang memiliki usability
● Mengembangkan model user-center sekuriti. Pengguna sebagai hal yang perlu dipertimbangkan paling utama dalam model sekuriti, antar muka dan fitur sistem.
http://www.gunadarma.ac.id
Mengapa Social Media
● Dasar dari sistem sosial adalah komunikasi (Luhmann)
● Murah
● Saling terkoneksi antara ruang komunikasi
● “Anonim”
● Global
http://www.gunadarma.ac.id
Untuk mencapai 50 juta
● Radio: 38 tahun
● TV: 13 tahun
● Internet: 4 tahun
● Facebook: menambah 100 juta pengguna di bawah 9 bulan
● 2/3 user Internet menggunakan Sosial Media
Sources: United Nations Cyberschoolbus Document and Mashable
Komunikasi
Kolaborasi
Multimedia
Hiburan
Ulasan dan opini
http://www.gunadarma.ac.id
Interaksi di Social Media● 90 % percaya pada rekomendasi yang dikenalnya
● 70% percaya pada rekomendasi tak dikenal
● 2/3 global population access social media
● Demokritasasi komunikasi 1--> all, all--> all
● Komunikasi lebih terarah dan dapat diukur response
http://www.gunadarma.ac.id
Pengguna mobile devices
● Mobile devices sering/selalu terkait dengan media sosial
● Entry point pengguna Media Sosial
● Pengguna menjadi siapa saja● Demografi● Tujuan
● Tantangan baru bidang forensik
http://www.gunadarma.ac.id
Resiko Media Sosial● Ada lebih dari 175 situs media sosial
● Keuntungan:
● Menaikkan kerjasama dan hubungan bisnis
● Menaikkan produktivitas
● Resiko
● Masalah penurunan produktifitas
● Harrasment
● “image and branding”
● Terbukanya informasi rahasia, atau proprietary,, privacy and secrecy. Pekerja menjadi penerbit informasi
● Keselamatan dan keamanan
http://www.gunadarma.ac.id
Intrusion
Incident IncidentAnalysis
ForensicCourt Evidence
System Improvement
● Ketika sistem berada pada kondisi tidak aman (insecure state = melanggar kebijakan). Dapat terjadi karena :
● Tidak sengaja: algoritma salah, implementasi salah
● Sengaja : serangan, exploitasi
● Shutdown ? Disconnected ?
● Incident response procedures
● Is there any standard in the organization ?
● Is there any special person ?
http://www.gunadarma.ac.id
Forensik“Forensik adalah penggunaan ilmu pengetahuan dan teknologi untuk menyelidiki dan menetapkan fakta-
fakta di pengadilan pidana atau perdata”
Pengetahuan forensik tidak saja dibutuhkan oleh penyidik, tetapi juga pengembang sistem. Sehingga memungkinkan sistem yang
dikembangkan dapat diforensik secara lebih mudah
http://www.gunadarma.ac.id
Digital Forensik
● Investigasi : mengidenfikasi siapa, apa dan bagaimana
● Security Measure Implementation
● Memonitor jaringan : mengidentifikasi serangan lain
● Recovery : mengembalikan sistem ke kondisi awal
● Pelaporan dan tindak lanjut
● Menjaga ketersediaan dan integritas bukti
● Memilih bukti yang terkait dan menyimpan
● Me-rekonsutruksi aksi dan mensinkronkan dengan bukti
● Menangani komplekistasi sistem dan batasan geografis
● Menyediakan metoda yang dapat ditampilkan di pengadilan
Tantangan
http://www.gunadarma.ac.id
Permasalahan yang ada● Minimnya jumlah SDM dengan pengetahuan TIK di
lembaga pemerintahan
● Kompleksnyanya materi digital forensik, sebagian besar membutuhkan dasar pengetahuan TIK
● Perangkat bantu yang beragam
● Bukti dengan ukuran yang besar
● Kasus yang kompleks
● SOP yang harus dipatuhi agar valid sebagai bukti
http://www.gunadarma.ac.id
Case yang kompleks● Ragamnya sistem operasi
● Ragamnya media penyimpannan
● Ragamnya jenis filesystem dari sistem operasi
● Rekaman jejak via internet di lokasi berbeda
● Beragam teknologi
http://www.gunadarma.ac.id
Teknik dasar ANTI forensik
● Menghindari deteksi
● Menyulitkan pengumpulan informasi
● Membuat waktu pemeriksaan lebih lama
● Membuat kepercayaan publik berkurang terhadap metoda penyidikan/forensik
● Membuat perangkat pencari bukti tak bekerja
http://www.gunadarma.ac.id
Permasalahan → Persiapan● Definisi kebutuhan
● Tujuan dari sistem● Pengguna● Batasan dan hambatan● Informasi atau data yang diberikan
● Disain
● Implementasi
● Operasional (SDM dan organisasi)
● Perawatan
● Interoperabilitas
● Aspek legal
● Aspek non teknis
● Persiapan aspek teknis
● Persiapan aspek organisasi
● Persiapan aspek SDM
http://www.gunadarma.ac.id
Permasalahan sistem sensitif
● Penerapan pada Pemilihan Umum (eVoting)● Bila ada incident (defacement, dispute).
– Bagaimana mencari data sistem
– Bagaimana bila log telah terhapus?
● Penerapan eKTP● Bila ada duplikasi data atau pengubahan
– Bagaimana mencari data padahal tempat tterpisah
– Bagaimana mengetahui siapa yang melakukan
● Internet Banking hm.......→
http://www.gunadarma.ac.id
Struktur minimal● Modsec Apache module [http://www.modsecurity.org]→
● Suhosin hardened PHP [http://www.hardened-php.net/suhosin]→
● Sanitize library di php→
● Dbasefirewall greenSQL [http://www.greensql.net]→
● IDS Snort, dsb→
● Integrity control Samhain [[http://www.la-samhna.de/samhain]→
Firewall IDS IPS Integrity control
Sanitize DBaseFirewallModSec
Apache CMS
Suhosin
Isolation and Virtualizationcccc
http://www.gunadarma.ac.id
Struktur lebih lengkap
Firewall IDS IPS Integrity control
Sanitize DBaseFirewallModSec Apache CMS
Log monitoring
Alert system
Static Analyzer
Advisory monitor
Patch managementRecovery system
Incident handler
PRE OPERATION AFTER INCIDENTPRE
Threat analyzer
Isolation and Virtualization
http://www.gunadarma.ac.id
Monitoring Situs● Secara terus menerus
memonitor situs dari berbagai lokasi (agent based)
● Mengukur:
● Speed (performance)● Reliabilitas● Availabilitas● Keamanan
(sederhana)
http://www.gunadarma.ac.id
Diabaikannya forensik
● Sistem “sensitive” dibangun tanpa pertimbangan forensik
● Perbankan● EKTP, Sistem rumah sakit, dsb
● Permasalahan
● Ketika terjadi incident data bukti tidak tersimpan (log tidak disimpan)
● Ketika terjadi incident recovery sulit dilakukan tanpa membutuhkan waktu lama agar bukti dapat dipreservasi
● Ketika incident bukti untuk di'korelasi' menjadi sulit
http://www.gunadarma.ac.id
Forensik titik belakang
● Kegiatan forensik hanya dilakukan SETELAH kejadian (incident)
● Tidak dimasukkan di dalam pertimbangan pengembangan sistem
● Serinkali proses forensik yang baik tidak dapat dilakukan karena memang sistem tidak mendukung penyimpanan bukti
http://www.gunadarma.ac.id
Pertimbangan untuk sistem
● Pengelolaan log yang baik● Jenis log mengcover jenis transaksi● Log disimpan dengan baik● Proses signaturing diterapkan pada sistem log● Log server bila diperlukan (memudahkan recovery)
● Pencatatan lokasi (geolocation)
● Pencatatan waktu (time server kewajiban)
http://www.gunadarma.ac.id
Perangkat lunak
● Microcode
● Firmware
● Operating System
● Library
● Application
● Application on the top application (web apps)
http://www.gunadarma.ac.id
Karakteristik dan ujinya
● Fungsionalitas
● Usabilitas
● Performance
● Cost
● Dependabilitas
● Performance
● Usability
● Security
● Safety
http://www.gunadarma.ac.id
Dependability
● The dependability of a system is its ability to deliver specified services to the end users so that they can justifiably rely on and trust the services provided by the system
● Service. ● The function of the system is what system is intended for and is
described by the system specification. ● The service delivered by a system is its behaviour as it is perceived by
users.
● Alternated definition: the ability of a system to avoid failure that are more frequent or more severe, and outge durations that are longer that is acceptable to users
http://www.gunadarma.ac.id
Atribute Dependability● Availability: readiness for correct service, availability of a system for a period (0,t) is the
probability that the system is available for use at any random time in (0,t).
● reliability: continuity of correct service,. The reliability of a system for a period (0,t) is the probability that the system is continuously operational (i.e., does not fail) in time interval (0,t) given that it is operational at time 0.
● safety: absence of catastrophic consequences on the user(s) and the environment, Safety. The safety of a system for a period (0,t) is the probability that the system will not incur any catastrophic failures in time interval (0,t).
● confidentiality: absence of unauthorized disclosure of information, Confidentiality: The confidentiality of a system is a measure of the degree to which the system can ensure that an unauthorized user will not be able to understand protected information in the system.
● integrity: absence of improper system state alterations; Integrity and Trustworthiness. The integrity of a system is the probability that errors or attacks will not lead to damages to the state of the system, including data, code, etc.
● maintainability: ability to undergo repairs and modifications, The maintainability of a system is a measure of the ability of the system to undergo maintenance or to return to normal operation after a failure.
http://www.gunadarma.ac.id
Jaminan
● Security, Safety Sicherheit→● Jaminan atas beroperasinya sistem sesuai dengan
yang dirancang● Verifikasi tiap tahap sesuai dg yg dispesifikasikan→● Validasi keluaran sesuai dengan yang dikehendaki→
● Sistem yang lebih kritis membutuhkan verifikasi. Indonesia MINIM penelitian dan pengembangan di bidang verifikasi
http://www.gunadarma.ac.id
Usability
● ISO/IEC 9126-1, The capability of software product to understood, learned, used and attractive to user, when used under specific condition
● ISO 9241011, 1998 : The extent which a product can be used by specified users to achieve specified goals with effectiveness, efficiency, and satisfaction in a specified context of use
● Attributes :
● Effectiveness
● Efficiency
● Satisfaction
http://www.gunadarma.ac.id
Pola Road Map
PENGEMBANGAN TEKNIS
PENGEMBANGAN SDM
PENGEMBANGAN ORGANISASI
● Capaian dan Indikatornya serta metoda assestment
● Adjustment pelaksanaan
http://www.gunadarma.ac.id
Contoh masalah SDM dan Organisasi
● Perangkat banyak sistem banyak, tidak ada SDM pendukung 24x7
● Organisasi di posisi kurang tinggi untuk memberikan masukan yang penting bagi organisasi
● SDM sudah ditraining dan dilatih “rolling” ke bagian lain Jabatan →functional
● Mekanisme perekrutan tenaga dan pendampingan teknis
● SDM operator, admin, pengembang
http://www.gunadarma.ac.id
Payung Hukum• UU No 43 Tahun 2007 tentang Perpustakaan
• UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UUITE)
• UU No. 14 tahun 2008 tentang Keterbukaan Informasi Publik
• UU No. 43 tahun 2009 tentang Kearsipan
• UU No. 18 tahun 2012 tentang Sistem Nasional tentang Penelitian, Pengembangan dan Penerapan Ilmu Pengetahuan dan Teknologi
• UU No. 4 tahun 2011 tentang Informasi Geospasial
• UU No. 25 Tahun 2009 tentang Pelayanan Publik
• SNI ISO 32000-1:2008, Portable Document Format
• SNI ISO 27001:2009, Sistem Manajemen Keamanan Informasi
• SNI ISO/IEC 26300:2011, Open Document Format
• Peraturan Pemerintah 82/2011 tentang Penyelenggaraan Sistem dan Transaksi Elektronis
• Kesepakatan 5 menteri IGOS, 30 Juni 2004
• Surat Edaran MenPAN No SE/01/M-PAN/3/2009, 31 Desember 2011 seluruh instansi sudah menerapkan perangkat lunak legal
http://www.gunadarma.ac.id
Sertifikasi Kompetensi
● Pola yang umum● Sertifikasi melalui Asosiasi: contoh PII● Sertifikasi melalui vendor, contoh Cisco, CISA (?)
● Pola yang ditetapkan pemerintah (melibatkan asosiasi, vendor, dan publik)● Mendefinisikan kompetensi SKKNI→● Menjadikan skema profesi LSP →
Sistem Sertifikasi Profesi - TIK
STANDAR KOMPETENSI
STANDAR PROFESI
UJI KOMPETENSIPELATIHAN
KOMPETENSI
SKKNI
TNA
SERTIFIKASIPROFESI
ACUAN
INDUSTRI
Standar Kompetensi Kerja Nasional Indonesia (SKKNI)
2005 Operators Programmer
2006 Systems Administrator and
Computer Network Technical Support
2007 – Multimedia 2008
Satellite Telecommunication Technician
2009 - Graphic Design
2011: IT Security 2012
IT Service Management Fiber Optic Technician IT Auditor Animation
2014 ICT Project Management Enterprise Architecture Design
(EAD) Data Center Management2015
Cloud computing
Mobile Computing
http://www.gunadarma.ac.id
Pihak yang terlibat
SecurityBadanPemerintah
PerusahaanPengguna
PerusahaanPenyedia layanan
Publik
MiliterKomunitasProfesional
Komunitas“Hobbiest”
PenegakHukum
http://www.gunadarma.ac.id
Organisasi bidang sekuritiTingkat Nasional
Bersifat KoordinatorPenentu Bakuan dsb
Forum antarPemerhati
(pemerintah, peneliti)
Response Team
Help DeskTingkat Nasional
http://www.gunadarma.ac.id
Komunitas Sekuriti
● ID-CERT [http://www.cert.or.id]● community based but is not so active, contact person : Dr. Budi Rahardjo
● CERT – Community● ex underground group, [email protected]
● KKI [http://community.security-1st.net]● Komunitas Keamanan Informasi, Gildas Deograt
● MASINDO [http://www.ina-ciss.org]● Masyarakat Sandi dan Keamanan Informasi, J Maeran Sunarto
● ID-FIRST ● established on March 2003, by Indonesia Information Technology
Federation (industry). However, it is inactive.● Contact person : Idris Sulaeman Ph.D
● ID-SIRTII (Government bodies)● monitor and use log file for evidence. Salahudin.
http://www.gunadarma.ac.id
Koordinator Nasional
● Melakukan koordinasi antara lembaga (Kemhan, Lemsaneg, antar Response Team dsb)
● Menentukan bakuan yang digunakan di tingkat nasional
● Memberikan guidance kepada lembaga pemerintah
● Mirip dengan fungsi BSI (Bundessicherheit fuer Information Technologi) →
http://www.gunadarma.ac.id
CERT di Jerman
● BUND CERT Untuk badan negara→● BURGER CERT Untuk publik→● DFN CERT Untuk network akademik→● CORPORATE CERT Untuk perusahaan→● Contact Point
● Information point
http://www.gunadarma.ac.id
CERT BUND
CERT-Bund (Computer Emergency Response Team for federal agencies) is the central point of contact for preventive and reactive measures regarding security-related computer incidents. With the intention of avoiding harm and limiting potential damage, CERT-Bund
● creates and publishes recommendations for preventive measures
● points out vulnerabilities in hardware and software products
● proposes measures to address known vulnerabilities
● supports public agencies efforts to respond to IT security incident
● recommends various mitigation measures
● Operates IT Situation Centre
http://www.gunadarma.ac.id
Kendala aturan
● Belum ada keharusan melaporkan
● Belum ada ketentuan pihak yang menangani
● Belum ada struktur “wajib” untuk penanganan insiden