Kebijakan Institusi untuk

meningkatkan keamanan TIK

Ashwin Sasongko Sastrosubroto(Puslit Informatika LIPI/ DeTIKNas/ForTIK Jabar)

Bandung, 3 Desember 2015

Sejarah singkat Internet

• 1970 an, ARPANET dibangun oleh DARPA, termasuk 11 fungsi terkait penomoran, nama domain dll, dikenal sbg IANA

• 1990 an, dihentikan. Dibentuk MilNet dan jaringan lainnya diintegrasikan menjadi Jaringan Internet, fungsi2 IANA tetap dijalankan berdasarkan kontrak dgn US DoD.

• Thn 1998 dibentuk ICANN, Non Profit Organization di California.

• IANA ditransfer dari US DoD kpd US DoC

• Fungsi2 IANA dioperasikan ICANN berdasarkan kontrak dgn US DoC. ICANN bekerja berdasarkan pola Multistakeholders

Fungsi IANA (1)

• IANA memiliki 11 fungsi :

1.Protocol Parameters tmsk TLD ARPA –Address and Routing Parameter Area

2. Administrative Root Zone management

3. Root Zone File Change

4. Manage WHOIS

5. Manage ccTLD

6. Manage gTLD

7. Root Zone Automation

Fungsi IANA (2)

8. Manage DNSSEC keys

9. Provide Customer Service Complain

Resolution Process (CSCRP)

10. Allocates Internet Numbering

11. Performs other services

Lapisan sektor TIK dan Regulasi nya

Source : Pengantar tentang tata kelola internet, APJII, Hal, 39

2. Jaringan Internet

Ref UU 11/08 & 36/99

1. Infrastruktur Telekomunikasi

(tmsk Jaringan Penyiaran)

Ref. UU 36/99

3. Aplikasi n Konten

Ref UU 11/08,

32/02 dan 40/99

1. Infrastruktur telekomunikasi, tempat seluruh lalu-lintas internet mengalir; Juga digunakan utk Penyaiaran; Diatur oleh UN-ITU.

2. Standar teknis dan layanan internet, infrastruktur yang membuat internet berfungsi (Misalnya TCP/IP, DNS, SSL); Dioperasikan dan diatur ICANN

3. Standar isi dan aplikasi (Misalnya HTML, XML); Dioperasikan dan diatur ICANN.

3 lapisan infrastruktur sektor TIK

Tata Kelola di Indonesia untuk (1,2,3)

- UU No. 36/1999 Terutama yang terkait infrastruktur telekomunikasi (1); Di Indonesia diatur oleh Kominfo dan BRTI.

- UU No. 11/2008 Terutama untuk konten dan aplikasi yang terkait standar teknis & Layanan, standar isi & aplikasi (2 dan 3). Kebijakan operasional pada PP 82/2012 dan Detail diatur Permen2 Kominfo

-UU 32/2002 mengatur usaha Penyiaran yg juga merupakan Konten (3).-UU 40/1999 mengatur konten Pers saat ini juga merupakan konten (3)

Pola kerja Jaringan Internet yg dikelola ICANN, dan digunakan di Indonesia

7Source : Pengantar tentang tata kelola internet, APJII, Hal, 46

3 diantaranya

di Indonesia

server ISP

Pengorganisasian ICANN utk

mengelola Jaringan Internet

Pengelolaan Aspek2 Internet di Indonesia (1)

• Pengelolaan ccTLD (.id) : PANDI• Pelaksana Redelegasi : Neil el Himam dan Aidil

Cinderamata (dari KemKominfo)• Multistakeholders utk nama domain : Forum Nama

DomainCatatan : Status penelolaan nama domain diatas sudah

diakui ICANN cq IANA• Filter: Trust Positip Kominfo dan Nawala (komunitas

AWARI)

• Pengaturan Root CA : Baru Root CA Nasional (tahap awal) yg sdh mulai dilaksanakan.

Pengelolaan Aspek2 Internet di Indonesia (2)

• Pengelola IDNIC saat ini : APJII

• Pengelola IDCERT/CSIRT : Komunitas

• Pengelola ID-SIRTII : KemKominfo

• Pengelola IP Address dan AS Numbers saat ini : APJII dan juga Berbagai Institusi lain

CSIRT (1)

• CSIRT - Computer Security Incident Response Team

• Awalnya Komunitas dan/atau Pemerintah membentuk CERT -

Computer Emergency Response Team. Disempurnakan

kegiatannya dgn RFC 2350)* dan disebut CSIRT. Institusi yg sdh

menggunakan nama CERT banyak yg tetap menggunakan istilah

CERT.

• Dibentuk oleh berbagai kalangan karena banyaknya serangan

terhadap peralatan/ sistem Computer kita melalui jaringan Internet

atau melalui bebagai alat yang digunakan Computer kita spt USB

dll.

)* RFC - Request For Comment merupakan Standard/Guideline untuk

Internet yg dikeluarkan oleh IETF-Internet Engineering Task Force.

Merupakan referensi ICANN

CSIRT (2)

• CERT/CSIRT diharapkan dapat mensupport seluruh lapisan masyarakat untruk mengatasi serangan kepada peralatan/ Computer. Institusi ini melaksanakan kegiatan sesuai dgn kebutuhan masyarakat/komunitas.

• ID CERT : Didirikan komunitas, aktivitas umumnya bersifat koordinativ antar komunitas dan juga dgn komunitas global, spt APCERT - Asia Pacific CERT

• ID- SIRTII/CC: Indonesian Security Incident Response Team on Internet Infrastructure/Coordination Center didirikan oleh KemKominfo. Berdasarkan Permen Kominfo 26/PER/M.KOMINFO/5/2007, bertugas mengwasi keamanan jaringan Telekomunikasi berbasis Internet

• Direktorat Keamanan Informasi : Sebagai Regulator dan Penegakkan Hukum (koordinasi utk PPNS - Penyidik PNS)

CSIRT Jawa Barat

• CSIRT Jabar yg di inisiasi Pemda Jabar, ruang lingkup kerjanya di

Propinsi Jabar dan mengacu pada RFC 2350. Kegiatannya dapat

dikembangkan sesuai degan kebutuhan komunitas Jabar.

• Perlu koordinasi erat dengan seluruh institusi dan Komunitas

Internet di Jawa Barat.

• Perlu koordinasi dengan seluruh CERT/CSIRT yang ada di

Indonesia dan Internasional seperti AP CERT, FIRST dll.

• Mengingat tingkat kapabilitas internet saat ini, dimana secara

umum, kesadaran masyarakat tentang keamanan IT masih harus

ditingkatkan, maka sosialisasi tentang hal ini kepada seluruh

masyarakat di Jawa Barat perlu segera dilaksanakan secara

intensiv. Kegiatan ini juga dapat meningkatkan koordinasi CSIRT

Jabar dengan masyarakat TIK di Jabar.

Berbagai Serangan dan

Penangkalan nya

• Malware, Pengambilan Data, DDOS, Web Defacement, Spam, Phishing, dsb

• Pengelola harus melengkapi sistem Computernya dengan Sistem Manajemen Keamanan Informasi, termasuk berbagai keperluan mulai ruangan kerja yg aman, perangkat lunak untuk pengamanan terhadap serangan2 seperti diatas sampai seritifikasi karyawannya.

Berbagai Regulasi terkait

• Penggunaan seri SNI ISO/IEC 27000 : 2014, standard ttg Sistem Manajemen Keamanan Informasi. SNI dikeluarkan BSN dan Standard ini direkomendasikan oleh KemKominfo sebagai standard keamanan.

• Sbg langkah awal, KemKominfo telah menggunakan index KAMI (Keamanan Informasi) untuk menilai secara umum tingkat keamanan.

• PP 82/2012 tentang Penyelenggaraan Sistem dan Trransaksi Elektronik mengatur berbagai hal terkait keamanan.

Diskusi : Issue2 umum yg perlu

diperhatikan ttg Keamanan

• Siapa pengelola sistem IT anda ? Dapat

dipercaya ? Apa pengamanan anda thd

pengelola tsb ?

• Apakah anda menggunakan dot id (.id)

sbg Top Level Domain ?

• Seringkah anda membuka e-mail dan data

kiriman dari orang/ TLD yg patut anda

ragukan ?

Diskusi : Issue2 umum yg perlu

diperhatikan ttg Keamanan (2)

• Sudah anda sertifikasikah sistem IT anda

dgn SNI yg ada ? Misal SNI 27000 utk

keamanan ?

• Utk ktr pemerintah, anda menggunakan

.go.id ?

• Tahukah anda pengelola2 / contact

person, jika terjadi insiden keamanan ?

Lain lain : Kenali sistem anda

Terima Kasihashw001@lipi.go.id

19