Etiologi Cyber Crime

Adrianus E. Meliala Kisnu Widagso

Departemen Kriminologi

Fakultas Ilmu Sosial dan Ilmu Politik Universitas Indonesia

Makalah disampaikan pada :

Seminar Nasional Sehari Dan Workshop Information Technology (IT) Security

Selasa, 19 September 2005

Parahiyangan Room, Hotel Horison, Bandung

Etiologi Cyber Crime Definisi, Batasan dan Tipologi Cyber Crime

Konsep cyber crime merupakan konsep yang secara luas atau umum digunakan dalam banyak

tulisan. Istilah lain yang juga sering digunakan adalah computer-related crime, crime-related to the computer

networks, computer abuse, computer crime, e-crime, computer-related fraud, internet crime, IT-related

crime, cyber fraud dan lain sebagainya. Cyber crime dapat didefinisikan sebagai :

“… refers to any crime that can be committed by means of a computer system or network, in a computer system or network or against a computer system or network. Two subcategories of cyber crime exist :

1. Cyber crime in a narrow sense (“computer crime”): any illegal behaviour directed by means of electronic operations that targets the security of computer systems and the data processed by them;

2. Cyber crime in a broader sense (“computer-related crime”): any illegal behaviour committed by means of, or in relation to, a computer system or network, including such crimes as illegal possession, offering or distributing information by means of a computer system or network.”1

Computer crime kemudian didefinisikan sebagai :

“Computer crime is defined as any action not sactioned in law or conventional business practice that is harmful to persons or property and which is either directed againts or employs high tecnology information systems.”2

Atau dalam tulisan lain dikatakan computer crime sebagai :

“The confidentiality, integrity or availability offences, include : a. Unauthorized access, meaning access without right to a computer system or

network by infringing security measures; b. Damage to computer data or computer programs, meaning the erasure,

corruption, deterioration or suppression of computer data or computer programs without right;

c. Computer sabotage, meaning the input, alteration, erasure or suppression of computer data or computer programs, or interference with computer systems, with the intent to hinder the functioning of a computer or a telecommunication system;

d. Unauthorized interception, meaning the interception, made without authorization and by technical means, of communications to, from and within a computer system or network;

e. Computer espionage, meaning the acquisition, disclosure, transfer or use of a commercial secret without authorization or legal justification, with intent either to

1 Crimes related to computer networks, Tenth United Nations Congress on the Prevention of Crime and the Treatment of Offenders Vienna, 10-17 April 2000, page 4 - 5. 2 Caroll, John M., Computer Security in Fennelly, Lawrence J. (Ed.), Handbook of Lost Prevention and Crime Prevention, 2nd edition, Butterworth-Heinemann, 1989, page 498.

2

cause economic loss to the person entitled to the secret or to obtain an illegal advantage for themselves or a third person.”3

Sementara computer related crime, menurut Grabosky dalam satu tulisannya :

“This paper provides an overview of computer-related crime. Nine varieties of crime are considered :

1. Theft of services; 2. Communications in furtherance of criminal conspiracies; 3. Information piracy and forgery; 4. The dissemination of offensive materials (including extortion threats); 5. Electronic money laundering; 6. Electronic vandalism and terrorism; 7. Telemarketing fraud; 8. Illegal interception; and 9. Electronic funds transfer fraud.”4

Kumar dalam tulisannya menjelaskan bahwa :

“Computer-related crimes may be categorized into two major categories : 1. Where the computer is a target of the crime.

a. Sabotage of computer systems or computer networks; b. Sabotage of operating systems and programmes; c. Theft of data/information (this is the fastest growing computer-related crime); d. Theft of intellectual property, such as computer software; e. Theft of marketing information; and f. Blackmail based on information gained from computerized files, such as medical

information, personal history, sexual preferences, financial data, etc. 2. Where computer is an instrument of the crime.

a. Fraudulent use of Automated Teller Machine (ATM) cards and accounts; b. Credit card frauds; c. Frauds involving electronic finds transfers; d. Telecommunication Frauds; and e. Frauds relating to Electronic Commerce and Electronic Data Interchange.”5

Mengacu pada pengertian-pengertian diatas, maka konsep cyber crime yang digunakan dalam tulisan

ini dapat didefinisikan sebagai segala tindakan yang tidak saja dilakukan secara konvensional, akan tetapi

juga dengan memanfaatkan teknologi informasi, sehingga berdampak atau mengakibatkan terjadinya

kerusakan terhadap confidentiality, integrity atau availability suatu sistem informasi.

Definisi-definisi tentang konsep sistem informasi itu sendiri dalam beberapa literatur sudah mengalami

pergeseran. Sistem informasi didefinisikan bukan saja semata berkaitan dengan sistem komputer, hardware

ataupun software, akan tetapi sudah didefinisikan dalam cakupan yang lebih luas.

3 Ibid., page 5. 4 Grabosky, Peter, Computer Crime: A Criminological Overview, Prepared for Presentation at the Workshop on Crimes Related to the Computer Network, Tenth United Nations Congress on the Prevention of Crime and the Treatment of Offenders, Vienna, 15 April 2000. 5 Kumar, Atul, Cyber Crime – Crime Without Punishment, 2002.

3

“We use the term “information system” quite broadly to include any system or component (whether physical, cyber, virtual, computer, communication, human, or social) that is involved in storing, processing, handling, or transmitting information. While the scope of an information processing system can be defined more narrowly (i.e., purely by computer software and hardware), we are often concerned with the information-related functions of and for organizations.”6

Laudon dan Laudon misalnya, mendefinisikan sistem informasi sebagai :

“Interrelated components working together to collect, process, store, and disseminate information to supports decition making, coordination, control, analysis, and visualization in an organization.”7

Sehingga, ketika berbicara tentang sistem informasi dapat diartikan dengan membicarakan sistem informasi

yang mencakup hal-hal tentang :

1. Software, yang meliputi operating system dan program.

2. Hardware, yang terdiri dari mesin utama, medium penyimpanan data atau informasi, perlengkapan

interface khusus, serta peralatan I/O.

3. Data dan informasi.

4. Proses administratif, termasuk pendokumentasian, operasional dan prosedur.

5. Proses komunikasi.

6. Sumber daya manusia, yang terdiri dari petugas komputer, petugas gedung dan manajemen

penginstalasian.

7. Lingkungan fisik, termasuk sistem lingkungan, gedung, fasilitas komputer, perlengkapan cadangan,

serta perbekalan. 8

Gambaran Umum dan Dampak Cyber Crime

Sistem informasi saat ini merupakan sumber daya dan mempunyai peranan yang sangat penting

dalam keberlangsungan dan kompetensi organisasi. Seiring dengan kenyamanan, kemudahan dan keuntungan

yang dijanjikan atau ditawarkan dalam setiap pengembangan dan implementasi suatu sistem informasi,

disadari menjadikan sistem informasi semakin rentan akan potensi ancaman (threats). Dengan adanya

kesadaran tersebut, maka pengelolaan sistem informasi juga harus diimbangi dengan perhatian yang serius

6 Anton, Philip S., et. al., Finding and fixing vulnerabilities in information systems : the vulnerability assessment and mitigation methodology, RAND National Defense Research Institute, 2003, page 5. 7 Kenneth C. Laudon and Jane P. Laudon, Management Information Systems : Managing The Digital Firm, 8th edition, Prentice Hall, 2004, page 8. 8 Deskripsi lengkap dapat dilihat pada Icove, David, et. al., Computer Crime : A Crimefighter’s Handbook, O’Reilly and Associates Inc., 1995, page 96 – 98.

4

terhadap keamanan sistem informasi (information system security). Keamanan sistem informasi merupakan

salah satu bagian yang penting dalam melakukan pengelolaan sistem informasi.

Prinsip-prinsip kerahasiaan, integritas dan ketersediaan informasi (confidentiality, integrity and

availability - CIA) tersebut merupakan taruhan dalam keamanan sistem informasi. Prosedur dan mekanisme

keamanan harus mampu menjamin sistem dapat terlindungi dari potensi ancaman yang mungkin timbul.

Hasil survey yang dilakukan oleh AT&T ataupun oleh CSO Magazine, U.S Secret Service, dan CERT®

Coordination Center, memperlihatkan atau mengidentifikasi bentuk-bentuk potensi ancaman terhadap sistem

informasi, seperti terlihat dalam Tabel 1.

Tabel 1

Potensi Ancaman Terhadap Sistem Informasi

Sumber : AT&T Economic Inteligen Unit 2004.

Sumber : 2004 - 2005 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center.

Dari data hasil survey tersebut, secara umum terlihat hackers, para pegawai aktif dalam organisasi

(current employees) bahkan konsumen, dianggap atau dapat dipersepsikan sebagai potensi ancaman terhadap

sistem informasi.

Dalam konteks keamanan sistem informasi, disyaratkan upaya-upaya yang bersifat pencegahan

(prevention) terhadap potensi ancaman yang mungkin timbul, selain juga upaya pendeteksian kejahatan

terhadap sistem informasi dan upaya pemulihan sistem informasi. Pencegahan menjadi penting karena dapat

menghindarkan pengelola atau pemilik sistem informasi dari timbulnya kejahatan (computer related crime),

kerugian yang lebih besar dan upaya atau biaya yang besar dalam upaya deteksi, ditempuhnya proses hukum

dan recovery terhadap sistem informasi yang telah rusak.

It is suggested that computer-based fraud is now frequent and it is costing organizations

billions of pounds – but detection is difficult, and successful prosecution has proved nearly

impossible.9

9 Ward, John and Peppard, Joe, Strategic Planning for Informations Systems, 3rd edition, John Wiley & Sons Ltd., 2002, page 74.

5

Sayangnya, belum banyak organisasi yang mampu memenuhi atau mencapai suatu kendali yang

efektif di dalam melindungi sistem informasinya. Hasil survey yang dilakukan bersama oleh CSO Magazine,

U.S Secret Service, and CERT® Coordination Center memperlihatkan bentuk-bentuk kejahatan terhadap

sistem informasi, seperti tercantum dalam Tabel 2.

Tabel 2

Bentuk Kejahatan Terhadap Sistem Informasi

Sumber : 2004 - 2005 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center.

Dari Tabel 2 memperlihatkan potensi ancaman yang teraktualisasi memunculkan bentuk-bentuk

kejahatan terhadap sistem informasi seperti virus komputer, denial of service, SPAM, unauthorized access,

phising dan lain sebagainya. Tidak mudah untuk melakukan pendeteksian dan identifikasi terhadap kejahatan

yang terjadi. Dari tabel di atas tersebut dapat dilihat jawaban dari responden yang menyatakan dapat

mendeteksi kejahatan terhadap sistem informasi yang terjadi akan tetapi tidak dapat mengetahui klasifikasi

bentuk kejahatan yang menyerang sistem informasinya.

Jumlah kerugian yang muncul akibat kejahatan terhadap sistem informasi cenderung meningkat

setiap tahunnya, bahkan yang dapat dihitung atau dikuantifisir akibat kejahatan terhadap sistem informasi

menunjukkan angka yang tidak sedikit. Seringkali pula kerugian tersebut sulit atau tidak dapat dihitung.

Ketika kejahatan terhadap sistem informasi terjadi, bukan hanya aspek tangible yang rusak, akan tetapi juga

banyak aspek intangible dari sistem informasi yang ikut rusak tidak dapat dihitung. Seperti misalnya

kepercayaan dan kepuasan para stakeholders.

Dalam hasil survey yang dilakukan, seperti tercantum di Tabel 3 dan Tabel 4, diperlihatkan bahwa

dari kejahatan terhadap sistem informasi yang sejauh ini terdeteksi, jumlah kerugian kerugian yang muncul

dapat mencapai jumlah ratusan juta dollar Amerika. Sementara itu sebagian besar responden menyatakan

tidak dapat melakukan kuantifikasi terhadap dampak yang terjadi meskipun dapat mendeteksi terjadinya

kejahatan.

6

Tabel 3 Jumlah Kerugian Akibat Kejahatan Komputer Tahun 2003

Sumber : 2003 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.

Tabel 4 Kerugian Akibat Terjadinya Kejahatan Terhadap Sistem Informasi 2004 - 2005

Sumber : 2004 - 2005 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center.

Hasil survey lain yang dilakukan oleh Computer Security Institute dan San Francisco Federal

Bureau of Investigation’s Computer Intrusion Squad, seperti terangkum dalam Tabel 3 serta Gambar 1,

secara lebih terinci memperlihatkan kuantifikasi besaran kerugian yang muncul berdasarkan bentuk-bentuk

kejahatan terhadap sistem informasi.

Gambar 1 Diagram Jumlah Kerugian Berdasarkan Bentuk Kejahatan Tahun 2003 - 2005

Sumber : 2003 - 2005 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.

7

Di sisi lain, kesadaran organisasi pada umumnya untuk melindungi sistem informasi cenderung terlihat

semakin tinggi. Blackhouse dalam satu tulisannya mengatakan :

“… organizations, albeit slowly, have come to relise the importance of securing there IS, particulary given the further realisation that information is now a central asset for many companies.”10

Namun di sisi lain, apabila dilihat dari aspek alokasi dana yang disediakan organisasi untuk melindungi

sistem informasinya, alokasi dana yang disediakan tersebut tergolong masih relatif rendah mengingat atau

dibandingkan dengan banyaknya potensi ancaman yang perlu dicegah, upaya-upaya deteksi dan identifikasi

yang harus dilakukan, serta upaya-upaya pemulihan bila potensi ancaman teraktualisasi.

Hasil survey yang dilakukan oleh Computer Security Institute dan San Francisco Federal Bureau of

Investigation’s Computer Intrusion Squad menunjukkan bahwa hanya 8% dari reponden yang mengalokasi

dana keamanan sistem informasi mencapai lebih dari 10% dari anggaran belanja teknologi informasi.

Sementara itu sebagian besar responden hanya mengalokasikan dana atau anggaran sebesar 1% sampai

dengan 5% dari alokasi anggaran belanja teknologi informasi.

Gambar 2

Diagram Presentase Pengeluaran Teknologi Informasi Untuk Keamanan

Sumber : 2004 - 2005 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.

Kondisi juga semakin diperburuk dengan adanya kenyataan bahwa sampai saat ini upaya-upaya

pencegahan terhadap terjadinya kejahatan terhadap sistem informasi cenderung masih timpang, hanya

menekankan atau memfokuskan diri pada satu pendekatan dan hanya berorientasi pada teknologi, seperti anti

virus, intrusion detection systems, atau biometrik dan sebagainya. Melupakan esensi bahwa potensi ancaman

terbesar yang muncul adalah dari aspek manusia, para stakeholders, pengguna sistem informasi, internal

users maupun eksternal users (Lihat Tabel 1).

Kecenderungan dan kesimpulan ini dapat dilihat bukan hanya berdasarkan hasil survey yang

dilakukan oleh CSO Magazine, U.S Secret Service, dan CERT® Coordination Center, seperti yang

10 Blackhouse, J., Information at Risk, Information Strategy, January 1997, page 33 -35.

8

dipaparkan dalam Tabel 5, akan tetapi juga berdasarkan hasil survey yang dilakukan oleh Computer Security

Institute dan San Francisco Federal Bureau of Investigation’s Computer Intrusion Squad, seperti yang dapat

dilihat pada Gambar 3.

Tabel 5

Upaya Pencegahan Kejahatan Terhadap Sistem Informasi

Sumber : 2004 – 2005 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center

Gambar 3 Diagram Upaya Pencegahan Kejahatan Terhadap Sistem Informasi

Sumber : 2004 - 2005 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.

Greenwald et.al. juga menulis :

“Cryptography, for example, is perhaps the most thoroughly studied and most rigorously modeled aspect of security. Despite its tremendous importance, cryptography alone is not sufficient for building secure systems.”11

Pendekatan pencegahan kejahatan terhadap sistem informasi yang hanya menekankan aspek teknologi,

diakibatkan kurangnya literatur yang membahas penggunaan pendekatan yang lebih bersifat holistik,

termasuk penggunaan teori-teori sosial yang mengkaji masalah kejahatan. Willison dan Blackhose

berargumen bahwa :

11 Michael Greenwald, Carl A. Gunter, Bjorn Knutsson, Andre Scedrov, Jonathan M. Smith, Steve Zdancewic, Computer Security is Not a Science (But It Should Be), University of Pennsylvania.

9

“… very few texts examine the interaction between these safeguards, partly because of a overly technical orientation and an inability to account for the social aspects which form a core element of the interaction process.”12

Dhillon dan Backhouse, dalam dua tulisannya bahkan menyatakan perlunya untuk melakukan

redefinisi terhadap konsep information security :

“… traditionally concepts that define information security; confidentiality, integrity, and availability (CIA) should be complemented by new principles: responsibility, integrity, trust and ethicality (RITE).”13

”… one explanation for this ‘technical orientation’ is largely a consequence of how information systems have been conceptualised, and this has ramifications for what is considered as IS security.”14

Blackhouse et.al. menambahkan :

“Underpinning this account is a belief that information systems are essentially social systems that rely on an important technical component, and that security is likewise dependent on social behaviour. End-users who are appropriately trained and predisposed towards securing information offer a direct solution to a great many security problems; on the other hand, systems that fail to take account of end-users and their behaviour inevitably contribute to the creation of more vulnerabilities. … a conceptual tool that can enable organizations to identify elements that may afford a collective control environment and to highlight the relationships between the components of the collective. This perspective provides a potential alternative to technocratic approaches to IS security.”15

Akibatnya, potensi ancaman terhadap sistem informasi tersebut akan tetap teraktualisasi, cenderung

meningkat dan kecenderungan kerugian yang ditimbulkan juga akan meningkat dari tahun ke tahun.

There are five reasons to belive that computer crime will continue to increase in years to come :

1. A maturing criminal population. 2. Disaffection of the middle class. 3. Increasing literacy. 4. Concentration of assets within computers.

12 Robert Willison and James Backhouse, Understanding Criminal Opportunity in the IS Security Context, paper presented at the Information Systems Research Seminar in Scandinavia IRIS 26 Conference, 9 – 12 August 2003, Haikko, Finland. 13 Dhillon, G., and Backhouse, J., Information system security management in the new millennium, Communications of the ACM, Vol. 43, 2000, page 125-128. 14 Dhillon, G. and Backhouse, J., Current Directions in IS Security Research: Toward Socio-Organisational Perspectives. Information Systems Journal 11 (2), 2001, page 127-153. 15 Backhouse, James, et. al., Risk Management in Cyberspace, Cyber Trust & Crime Prevention Project, London School of Economics and Politics, Bosphorous University, Copenhagan Business School, 2004.

10

5. Inadequate response from the criminal justice community.16

Satu kesimpulan dalam hasil survey yang dilakukan oleh CSO Magazine, U.S Secret Service, dan

CERT® Coordination Center, menyatakan :

“Forty-three percent (43%) of security and law enforcement executives responding report that the total number of electronic crimes and network, systems or data intrusions experienced by their organizations increased in 2003 vs. 2002. Twenty-three percent (23%) report no change in the number of e-crimes and intrusions while only six percent (6%) report a decrease. Twenty-eight percent (28%) of respondents don’t know whether the total number of electronic crimes and intrusions differed in 2003 compared to 2002.”17

Hasil serupa juga dapat ditemukan dalam hasil survey yang dilakukan oleh KPMG. Dalam survey

tersebut menunjukkan, seperti tertera dalam Gambar 4, bahwa setiap tahun terjadi peningkatan kejahatan

terhadap sistem informasi, bahkan bentuk-bentuk kejahatan terhadap sistem informasi tertentu, seperti e-mail

intrusion, DoS / Exsternal attack dan Loss of software / data / documents meningkat mencapai 100% atau

meningkat 2 kali lipat, apabila dibandingkan dengan 2 tahun sebelumnya.

Gambar 4

Diagram Kejahatan Terhadap Sistem Informasi Tahun 2000 - 2004

Sumber : Information Security Survey 2004, KPMG.

Faktor-Faktor Terjadinya Cyber Crime

Pada dasarnya kejahatan terhadap sistem informasi muncul karena adanya kesempatan. Opportunity

is a “root cause” of threads. Pernyataan tersebut muncul berdasarkan hasil penggabungan atau sintesa

beberapa pendekatan tentang munculnya kejahatan, yaitu :

1. Konsep routine activity approach dari Cohen dan Felson.18

16 Caroll, John M., Computer Security in Fennelly, Lawrence J. (Ed.), Handbook of Lost Prevention and Crime Prevention, 2nd edition, Butterworth-Heinemann, 1989, page 498. 17 2004 e-Crime Wacth Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center, 2004, page 12. 18 Lihat Cohen, L. and Felson, M., Social Change and Crime Rate Trends : A Routine Activity Approach, American Sociological Review, Vol 44 No 4, 1979, page 588-608.

11

Menurut Cohen dan Felson dalam tulisannya menyatakan, kejahatan hanya akan muncul karena

adanya konvergensi dalam waktu dan ruang dari 3 (tiga) aspek, yaitu likely offender, suitable target (sasaran

kejahatan) dan capable guardian (penjagaan). Likely offender adalah individu yang mempunyai potensi atau

kemungkinan untuk kemudian memutuskan melakukan kejahatan. Sasaran kejahatan adalah individu atau

objek yang diserang atau diambil oleh pelaku kejahatan.

Gambaran tentang likely offender dapat disimak dalam penjelasan yang ditulis oleh David Icove, et.

al., yang membedakan pelaku cyber crime dalam 3 (tiga) kategori besar ; crackers, criminals dan vandals,

halmana terinci dalam tabel sebagai berikut :19

Tabel 6

Karakteristik Pelaku Cyber Crime Organizational Characteristics Catagories of offenders Organization Recruitment / attraction International connection Crackers Groups Unstructure organization with

counterculture orientation. Peer group attraction. Interact and correspond with

other groups around the world. Individuals None ; these people are true

loner. Attracted by intellectual challenge.

Subscribe to cracker journals and may interact on cracker bulletin boards.

Criminals Espionage Supported by hostile

intelligence services. In most cases, money ; some cases of ideological attraction ; attention.

Use computer networks to break into target computers around the world.

Fraud / abuse May operate as small organized crime group or as a loner.

Money ; power. Use wire services to transfer money internationally.

Vandals Strangers Loner or small group. May be

quite young. Revenge ; intellectual challenge ; money.

Use of computer networks and phone systems to break into target compter.

Users Often employee or former employee.

Revenge ; power ; intellectual challenge ; disgruntlement.

None.

Operational Characteristics Catagories of offenders Planning Level of expertise Tactics / methods used Crackers Groups May involve detailed planning. High Enter target computers via

computer networks. Exchange information with other crackers and groups.

Individuals Study networks before attempts are made.

Medium to high. Experience gained through social networks.

Use networks but more likely to use trial and error online than to do careful research and planning. Use BBSs to share accounts on other systems.

Criminals Espionage Same characteristics as

cracker. High. May contract with crackers to

conduct information and data collection.

Fraud / abuse Careful planning prior to crime.

Medium o high, although is typically more experienced at

May use more traditional intrusion methods such as

19 Deskripsi lengkap dapat dilihat pada Icove, David, et. al., Computer Crime : A Crimefighter’s Handbook, O’Reilly and Associates Inc., 1995, page 61 – 69.

12

fraud than that at computer programming.

wiretapping and trap doors. Will break into systems using basic methods.

Vandals Strangers Not much planning. More a

crime of opportunity. Varies. Looks around until able to gain

access to system. Users May involve detailed planning

and execution. Varies. May have high level of expertise.

Trap doors and Trojan Horse programs. Data modification.

Behavioral Characteristics Catagories of offenders Motivation Personal characteristics Potential Weaknesses Crackers Groups Intellectual challenge ; peer

group fun ; in support of a cause.

Highly intelligent individuals. Counterculture orientation.

Donot consider offenses crime. Talk freely about action.

Individuals Intellectual challenge ; problem solving ; power ; money ; in support of a cause.

Moderately to highly intelligent.

May keep notes and other documentation on actions.

Criminals Espionage Money and chance to attack

the system. May be crackers operating in groups or as individuals.

Become greedy for more information and then becomes careless.

Fraud / abuse Money or personal gain ; power.

Same personal characteristic as other fraud offender.

Become greedy and makes mistakes.

Vandals Strangers Intellectual challenge ; money

; power. Same characteristic as crackers.

May become too brazen and makes mistakes.

Users Revenge againts organization ; problem.

Usually has some computer expertise.

May leave audit trail in computer logs.

Resource Characteristics Catagories of offenders Training skills Minimun equipment needed Support structure Crackers Groups High level of informal

training. Basic computer quipment with modem.

Peer group support.

Individuals Expertise gained through experience.

Basic computer quipment with modem.

BBS ; information exchanges.

Criminals Espionage Various levels of expertise. Basic computer quipment with

modem. In some cases, uses more sophisticated devices.

Support may come from sponsoring intelligence agency.

Fraud / abuse Some programming experience.

Computer with modem or access to target computer.

Peer group ; posible organized crime enterprise.

Vandals Strangers Range frome basic to highly

skilled. Basic computer quipment with modem.

Peer group support.

Users Some computer expertise. Knowledge of programming ranges from basic to advanced.

Access to target computer. None.

Dari gambaran di atas maka para pelaku cyber crime dapat siapa saja.

Suatu objek dapat menjadi atau beresiko sebagai sasaran kejahatan karena objek tersebut mempunyai

VIVA (value, inertia, visibility, dan access). Value mengacu kepada persepsi pelaku kejahatan terhadap nilai

secara materi atau pun non materi dari sasaran kejahatan. Inertia mengacu kepada persepsi pelaku terhadap

besar volume atau berat dari sasaran kejahatan untuk dapat dipindah-tempatkan. Visibility mengacu kepada

exposure sasaran kejahatan terhadap pelaku kejahatan. Access mengacu kepada posisi fisik, peletakan atau

penempatan sasaran kejahatan.

13

Clarke pada tahun 1999 menerbitkan sebuah tulisan yang merevisi konsep VIVA menjadi CRAVED

(Concealable, Removable, Available, Valuable, Enjoyable, Disposable). Dengan konsep revisinya tersebut

makin menjelaskan jawaban akan potensi sesuatu untuk menjadi sasaran kejahatan. Revisi konsep tesebut

dijelaskan sebagai berikut :20

1. Concealable mengacu pada kondisi bahwa sesuatu yang dapat dengan mudah disembunyikan atau

disamarkan dari pengetahuan orang lain akan menjadi sasaran kejahatan yang potensial. Dalam cyber

space hasil curian dapat dengan mudah disembunyikan, cukup dengan menyimpannya dalam e-suitcase

atau dalam e-mail (seperti fasilitas yang diberikan gratis oleh banyak provider dan kapasitasnya makin

besar) atau dengan menggunakan teknik kriptografi, bahkan dalam konteks tertentu pencurian tetap

dapat dilakukan tanpa membawa barang curian (cukup dengan meng-copy).

2. Removable mengacu pada suatu kondisi bahwa sesuatu yang dapat dengan mudah dipindah-tempatkan

akan menjadi sasaran kejahatan yang potensial. Hal ini dapat dikarenakan :

a. Ukuran fisik dari sasaran kejahatan tersebut yang bersifat compact, kecil, ringan, tidak memakan

tempat dan mudah dibawa. Perkembangan teknologi komputer menyebabkan dimensi fisik media

penyimpanan data atau informasi semakin kecil, sementara kapasitas penyimpanannya semakin

besar.

b. Sasaran kejahatan sedang berada dalam proses dipindah-tempatkan. Salah satu karakteristik dari

sistem informasi adalah bahwa selalu terjadi aliran data dan informasi dalam jaringan. Kondisi inilah

yang menyebabkan data atau informasi rentan untuk disadap atau “dibajak”.

c. Pelaku kejahatan memiliki kesempatan atau waktu yang cukup untuk memindah-tempatkan sasaran

kejahatan. E-bussiness yang mensyaratkan ketersediaan dalam 7 hari dalam 24 jam secara otomatis

memberikan waktu yang sama kepada para pelaku kejahatannya untuk melakukan kejahatan dan

memindahkan hasil kejahatannya dengan leluasa..

3. Available, konsep ini mengacu kepada beberapa aspek, yaitu :

a. Sesuatu merupakan sasaran kejahatan bila sesuatu tersebut merupakan produk baru atau hasil inovasi

baru yang menarik, memunculkan exposure, dan kemudian secara cepat membentuk pangsa pasar

yang ilegal. Dengan konsep ini menjelaskan terjadinya pencurian data dan informasi, serta terhadap

produk-produk teknologi informasi (seperti laptop dan sebagainya).

b. Sesuatu merupakan sasaran kejahatan bila sesuatu tersebut mudah dijangkau (accessibility) oleh

pelaku kejahatan. Keberadaan internet menjadikan all information potentially available to everyone.

4. Valuable, mengacu kepada suatu kondisi bahwa sesuatu sangat potensial untuk menjadi sasaran

kejahatan apabila mempunyai nilai (value) penting atau dianggap berharga oleh pelaku kejahatan. 20 Lihat Clarke, Ronald V., Hot Products: Understanding, Anticipating and Reducing Demand for Stolen Goods, Police Research Series Paper 112, Home Office Policing and Reducing Crime Unit Research, Development and Statistics Directorate, 1999, page 22-26.

14

5. Enjoyable, konsep ini mengacu pada suatu kondisi bahwa sesuatu sangat potensial untuk menjadi sasaran

kejahatan apabila pelaku merasakan kepuasan atau memperoleh keuntungan (benefit) kejahatan yang

dilakukannya. Para cracker melakukan cyber crime bukan hanya demi keuntungan materi tetapi

kepuasan akan keberhasilan mengakali sistem keamanan sistem informasi.

6. Disposable, konsep ini mengacu pada suatu kondisi bahwa sesuatu sangat potensial untuk menjadi

sasaran kejahatan apabila mudah untuk dipindahtangankan atau dijual kembali ke pasaran. Dengan

internet seseorang dapat dengan mudah mencari orang lain atau memasang iklan terkait hasil

kejahatannya.

2. Konsep crime facilitators dari Clarke.21

Menurut Clarke perlu juga disadari bahwa terjadinya kejahatan sering kali juga didukung dengan

adanya atau keberadaan fasilitator, yaitu objek yang mendukung atau mempermudah untuk dilakukannya

atau memungkinkan terjadinya kejahatan. Bahkan pada bentuk kejahatan tertentu peranan objek tertentu

sebagai fasilitator sangat berperan terhadap terjadinya kejahatan. Kesadaran akan adanya fasilitator ini

menjadi penting mengingat kemungkinan dalam melakukan identifikasi titik-titik dimana akan diletakkan

penjagaan atau pengamanan bahkan membuat suatu regulasi yang mengatur penggunaan objek tersebut.

Dalam konteks cyber crime, menjamurnya warnet dengan sistem pencatatan pelanggan yang kurang baik

merupakan fasilitator yang sempurna bagi pelaku.

3. Konsep intimate handler dari Felson.22

Mengacu pada social control theory dari Hirschi, Felson merangkum konsep commitments,

attachments, involvements dan beliefs23 kemudian memperkenalkan satu konsep individual handler.

Individual handler dianggap merepresentasikan individu yang mempunyai pengetahuan yang cukup dan

keberadaannya disadari oleh para individu yang berpotensi untuk menjadi pelaku kejahatan dalam

memberikan pengaruh penggentarjeraan (special deterrence) dengan mengingatkan pelaku akan ikatan sosial

yang dimilikinya sehingga individu tersebut mengurungkan niatnya dan dapat mencegah dilakukannya

kejahatan oleh individu tersebut. Dalam cyber crime, kurangnya sosialisasi akan security awareness,

lemahnya pengawasan dan lemahnya penegakkan hukum berperan dalam terjadinya dan meningkatnya

kejahatan ini.

21 Lihat Clarke, R. (ed.), Situational Crime Prevention : Successful Case Studies, 2nd edition, Harrow and Heston, Albany, NY, 1997. 22 Felson, M., Linking Criminal Choices, Routine Activities, Informal Control, and Criminal Outcomes. In D. Cornish and R. Cornish (eds.), The Reasoning Criminal : Rational Choice Perspectives on Offending. New York. Springer-Verlag, 1986. 23 Lihat Hirschi, T., Causes of Delinquency. University of California Press. Berkeley and Los Angeles, 1969.

15

Cyber crime prevention

Terdapat 25 (dua puluh lima) teknik dalam kerangka pencegahan kejahatan situasional ini, seperti

terlihat di bawah ini :24

A. Increased the percieved efford of crime adalah strategi pencegahan kejahatan situasional yang dilakukan

dengan meningkatan pencegahan yang kasat mata sehingga mempersulit atau meningkatkan upaya atau usaha

apabila ingin melakukan kejahatan, seperti :

1. Targets harderning, memperkuat atau melindungi sasaran kejahatan dengan meningkatkan standar

keamanan untuk mempersulit pelaku dan merancang ulang objek yang cenderung sering dirusak

pelaku.

2. Control access to facilities, mempergunakan halangan fisik maupun psikologis untuk mencegah

pelaku masuk ke dalam suatu lokasi atau lingkungan tempat sasaran kejahatan berada.

3. Screen exits, melakukan pengawasan pada pintu keluar dan mendeteksi orang atau barang yang boleh

atau tidak boleh dibawa ke luar dari suatu lingkungan

4. Deflecting offenders, menjauhkan pelaku kejahatan dari sasaran kejahatan.

5. Control crime facilitators (tools or weapons), mengendalikan alat-alat yang dapat dipergunakan

untuk melakukan kejahatan.

B. Increased perceived risk adalah strategi pencegahan kejahatan situasional yang dilakukan dengan

meningkatkan resiko yang jelas dan kasat mata, seperti :

1. Extend guardianship, memperluas jangkauan wilayah penjagaan atau memperbanyak jumlah

penjaga.

2. Assist natural surveillance, membantu atu memfasilitasi pegawasan yang dilakukan secara alamiah

oleh semua orang yang berada di suatu tempat atau lokasi.

3. Reduce anonimity, mengurangi anonimitas.

4. Utilise place managers, memberikan beban tanggung jawab atau mendayagunakan para petugas

pengawas di lapangan untuk ikut secara aktif melakukan pengawasan.

5. Strengthen formal surveillance, meningkatkan pengawasan formal yang dilakukan oleh petugas

keamanan dengan melakukan patroli atau membuat pos-pos penjagaan.

C. Reducing anticipated rewards adalah strategi pencegahan kejahatan situasional yang dilakukan dengan

mengurangi imbalan yang diharapkan oleh pelaku dari hasil kejahatannya, seperti :

1. Conceal targets, gunakan teknik kriptografi dengan baik. 24 Lihat Clarke, R. (ed.), Situational Crime Prevention : Successful Case Studies, 2nd edition, Harrow and Heston, Albany, NY, 1997 dan Cornish, Derek B. and Clarke, Ronald V., Opportunities, Precipitators and Criminal Decision : A Reply to Wortley’s Critique of Situational Crime Prevention, Crime Prevention Studies, Vol. 16, 2003, page.41-96.

16

2. Targets removal, memindahkan sasaran kejahatan ke tempat yang lebih aman atau mengalihkan

pelaku kejahatan dari sasaran kejahatan yang bernilai vital atau penting.

3. Identifying property, memberikan identifikasi kepada sasaran kejahatan.

4. Disrupt markets, sediakan paket produk TI dengan harga murah, sehingga pameo “dari pada

membajak lebih baik beli aslinya” dapat hidup kembali.

5. Denying benefits, mengurangi keuntungan yang didapat dari dilakukannya kejahatan.

D. Reduce provocations seperti :

1. Reduce frustrations and stress,

2. Avoids dispute,

3. Reduce emotional arousal,

4. Neutralise peer group pressure, melakukan netralisasi terhadap tekanan atau dorongan yang dapat

mempengaruhi seseorang untuk melakukan kejahatan terutama yang datangnya lewat kelompok

intim.

5. Discourage imitation,

E. Removing excusses adalah strategi pencegahan kejahatan situasional yang dilakukan dengan cara

menghilangkan alasan dilakukannya kejahatan, seperti :

1. Rule setting, membuat pengaturan mengenai keamanan di lingkungan.

2. Post instruction, menempatkan papan petunjuk atau peringatan.

3. Stimulating conscience, meningkatkan kewaspadaan seluruh elemen yang ada dalam lingkungan.

4. Facilitating compliance, upaya yang dilakukan agar mentaati peraturan dengan senang hati.

5. Controlling drugs and alcohol, mengendalikan peredaran narkotika dan alkohol.

Kesimpulan

Dari paparan di atas dapat disimpulkan bahwa :

1. Cyber crime terjadi karena :

a. Sistem informasi merupakan hot product bagi para penjahat.

b. Cyber space merupakan hot space.

c. Adanya fasilitator yang mendukung terjadinya kejahatan.

d. Tidak adanya capable guardian bagi sistem informasi.

e. Tidak adanya intimate handler.

2. Pada masa yang akan datang cyber crime akan terus meningkat. Manfaatkan kelemahan sifat pelaku

cyber crime dalam malakukan deteksi.

17

Referensi : 2004 e-Crime Wacth Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center, 2004,

page 12. Anton, Philip S., et. al., Finding and fixing vulnerabilities in information systems : the vulnerability

assessment and mitigation methodology, RAND National Defense Research Institute, 2003, page 5. Backhouse, James, et. al., Risk Management in Cyberspace, Cyber Trust & Crime Prevention Project,

London School of Economics and Politics, Bosphorous University, Copenhagan Business School, 2004.

Blackhouse, J., Information at Risk, Information Strategy, January 1997, page 33 -35. Caroll, John M., Computer Security in Fennelly, Lawrence J. (Ed.), Handbook of Lost Prevention and Crime

Prevention, 2nd edition, Butterworth-Heinemann, 1989, page 498. Crimes related to computer networks, Tenth United Nations Congress on the Prevention of Crime and the

Treatment of Offenders Vienna, 10-17 April 2000, page 4 - 5. Icove, David, et. al., Computer Crime : A Crimefighter’s Handbook, O’Reilly and Associates Inc., 1995,

page 96 – 98. Dhillon, G. and Backhouse, J., Current Directions in IS Security Research: Toward Socio-Organisational

Perspectives. Information Systems Journal 11 (2), 2001, page 127-153. Dhillon, G., and Backhouse, J., Information system security management in the new millennium,

Communications of the ACM, Vol. 43, 2000, page 125-128. Felson, M., Linking Criminal Choices, Routine Activities, Informal Control, and Criminal Outcomes. In D.

Cornish and R. Cornish (eds.), The Reasoning Criminal : Rational Choice Perspectives on Offending. New York. Springer-Verlag, 1986.

Grabosky, Peter, Computer Crime: A Criminological Overview, Prepared for Presentation at the Workshop on Crimes Related to the Computer Network, Tenth United Nations Congress on the Prevention of Crime and the Treatment of Offenders, Vienna, 15 April 2000.

Kenneth C. Laudon and Jane P. Laudon, Management Information Systems : Managing The Digital Firm, 8th edition, Prentice Hall, 2004, page 8.

Kumar, Atul, Cyber Crime – Crime Without Punishment, 2002. Clarke, R. (ed.), Situational Crime Prevention : Successful Case Studies, 2nd edition, Harrow and Heston,

Albany, NY, 1997. Cornish, Derek B. and Clarke, Ronald V., OPPORTUNITIES, PRECIPITATORS AND CRIMINAL

DECISIONS : A REPLY TO WORTLEY'S CRITIQUE OF SITUATIONAL CRIME PREVENTION, Crime Prevention Studies, Vol. 16, 2003, page.41-96.

Clarke, Ronald V., Hot Products: understanding, anticipating and reducing demand for stolen goods, Police Research Series Paper 112, Home Office Policing and Reducing Crime Unit Research, Development and Statistics Directorate, 1999, page 22-26.

Cohen, L. and Felson, M., Social Change and Crime Rate Trends : A Routine Activity Approach, American Sociological Review, Vol 44 No 4, 1979, page 588-608.

Hirschi, T., Causes of Delinquency. University of California Press. Berkeley and Los Angeles, 1969. Michael Greenwald, Carl A. Gunter, Bjorn Knutsson, Andre Scedrov, Jonathan M. Smith, Steve Zdancewic,

Computer Security is Not a Science (But It Should Be), University of Pennsylvania. Robert Willison and James Backhouse, Understanding Criminal Opportunity in the IS Security Context,

paper presented at the Information Systems Research Seminar in Scandinavia IRIS 26 Conference, 9 – 12 August 2003, Haikko, Finland.

Understanding Situational Crime Prevention, AICrime Reduction Matters, No. 3, 17 June 2003, page 2. Ward, John and Peppard, Joe, Strategic Planning for Informations Systems, 3rd edition, John Wiley & Sons

Ltd., 2002, page 74.

18