sistem transaksi elektronik, keamanan data & informasi
TRANSCRIPT
SISTEM TRANSAKSI ELEKTRONIK
&
SISTEM KEAMANAN DATA, INFORMASI
Balai Kota Malang, 21 Oktober 2014
SISTEMSISTEMTRANSAKSI
ELEKTRONIK
REAL SPACE vs CYBER SPACE
AMANAT PEMBENTUKAN PP
UU ITE :Kepastian HukumAlat Bukti Elektronik
Penyelenggaraan Sistem Elektronik
SISTEM KEAMANAN DATA & SISTEM KEAMANAN DATA & INFORMASI
Penetrasi Internet� Pertumbuhan 90+ juta pengguna, 45+ juta pelajar, 135+ juta akses data selular, 270+ juta
nomor, 200 Gbps traffic IP transit local exchange (IX, OIXP, CDN), konten lokal tumbuh
100%
� Always ON Lifestyle, 60+ juta pengguna media sosial, 30 juta pengunjung media daring,
10 juta penggemar games daring, 15 juta transaksi ebanking > transaksi ATM, omzet
transaksi daring lebih dari 100 triliun rupiah per tahun sejak 2010transaksi daring lebih dari 100 triliun rupiah per tahun sejak 2010
� Deteksi sensor peringatan dini lebih dari 3 juta insiden, virus dan malware meningkat
hingga 1 juta kejadian, peretasan situs lebih 1400+ dan kerentanan 2400+ kasus per
bulan
� Serangan terbesar: peretasan pangkalan data 900+K, malware CNC (bots) 800+K,
domain target .sch.id, .ac.id, .go.id
� Target obyek: data bisnis, kerentanan aplikasi dan perangkat
Klasifikasi Informasi� SANGAT RAHASIA = dapat mengakibatkan kerusakan secara nasional
yang tidak dapat dipulihkan.Tidak dapat dibuka dengan alasan apapun
� RAHASIA = dapat mengakibatkan kerusakan secara nasional, mungkin
bisa dipulihkan kembali (sebagian). Dapat dibuka setelah waktu tertentu
HANYA DIKETAHUI = dapat menimbulkan kerawanan nasional. Dapat� HANYA DIKETAHUI = dapat menimbulkan kerawanan nasional. Dapat
diketahui oleh kelompok tertentu dengan ijin.Tidak dapat diduplikasi
� TERBATAS = dapat mengakibatkan dampak yang tak diinginkan. Dapat
dibuka untuk kelompok tertentu dengan ijin dan batasan penggunaan
� TANPA KLASIFIKASI = dapat dibuka tanpa ijin dan batasan
penggunaan
Perlakuan Sesuai Klasifikasi
� Label data: MERAH (Sangat Rahasia, Rahasia),
KUNING (Hanya Untuk Diketahui), HIJAU (Terbatas),
PUTIH (Bebas)
� Protokol pertukaran dan pengamanan data sesuai label:� Protokol pertukaran dan pengamanan data sesuai label:
� Merah, dengan sandi dan ijin ganda, minimum DRC Tier-4
� Kuning, dengan sandi dan ijin khusus, minimum DRC Tier-3
� Hijau, dengan sandi dan ijin terbatas, minimum DRC Tier-2
� Putih, tanpa persandian dan tanpa ijin, minimum cold DRC
DATA CENTER STANDAR --- TIA 942
LEVEL KETERANGAN
1
•Rentan terhadap gangguan dari kegiatan terencana dan tidak terencana
•Hanya mempunyai satu jalur distribusi untuk daya dan pendingin, tidakmempunyai komponen redundant (N)
•Raised Floor, UPS atau generator bersifat optiona;
•Downtime tahunan sekitar 28,8 jam
•Harus dilakukan pemadaman secara keseluruhan pada saat melakukan•Harus dilakukan pemadaman secara keseluruhan pada saat melakukanperawatan pencegahan.
2
•Sedikit rentan terhadap gangguan dari kegiatan terencana dan tidak terencana
•Hanya mempunyai satu jalur distribusi untuk daya dan pendingin, mempunyaikomponen redundant (N+1)
•Mempunyai raised floor, UPS dan generator
•Downtime tahunan sekitar 22 jam
•Membutuhkan processing downtime pada saat melakukan perawatan terhadapjalur daya dan perangkat infrastruktur lainnya
DATA CENTER STANDAR – TIA 942
LEVEL KETERANGAN
3
•Memungkinkan kegiatan terencana tidak menganggu operasi komputerhardware, tetapi kegiatan yang tidak terencana masih akan menyebabkangangguan
•Mempunyai beberapa jalur distribusi untuk daya dan pendingin tetapi hanya satujalur yang aktif, mempunyai komponen redundant (N+1)
•Downtime tahunan sekitar 1,6 jam•Downtime tahunan sekitar 1,6 jam
•Mempunyai raised floor, dan mempunyai kapasitas untuk menampung bebandengan satu jalur pada saat jalur lain dilakukan perawatan.
4
•Kegiatan yang terencana tidak akan mengganggu operiasional dan data center dapat mempertahankan setidaknya satu kegiatan buruk yang tidak terencanatanpa menyebabkan dampak buruk terhadap operasi yang bersifat kritikal.
•Mempunyai beberapa jalur ditribusi untuk daya dan pendingin, dan mempunyaikomponen redundant (2(N+1))
•Downtime tahunan sekiar 0,4 jam
5 elemen utama Data Center
� Aplikasi
� Database
� Server & Os
� Jaringan
� Storage Array
Matriks Perlakuan Informasi
EncryptedDual KeyDRC T4
EncryptedSingle KeyDRC T3DRC T4 DRC T3
EncryptedLimited Key
DRC T2
EncryptedNo Key
Cold DRC
Fitur Kriptografi� Mengubah informasi yang dapat digunakan menjadi bentuk yang tidak
dapat digunakan oleh orang lain selain pengguna yang berwenang; proses
ini disebut ENKRIPSI
� Informasi terenkripsi dapat diubah kembali oleh pengguna yang
berwenang, menggunakan KUNCI KRIPTOGRAFI (dekripsi)
� MELINDUNGI informasi dari pengungkapan yang tidak sah, disengaja,
sementara atau ketika dalam kondisi akses jarak jauh maupun manakala
dalam penyimpanan
� Menyediakan aplikasi lain yang berguna: metode otentikasi yang lebih
baik, mencerna pesan, tanda tangan digital, non-penolakan dan
komunikasi jaringan terenkripsi
Fitur Otentikasi� Untuk MENGUJI kebenaran identitas seseorang dilakukan satu prosedur yang
disebut dengan OTENTIKASI berdasarkan:
� Sesuatu yang diketahui: PIN, kata sandi, nama gadis ibu kandung
� Sesuatu yang dimiliki: kartu identitas, kode token, nomor telepon
� Sesuatu yang personal: biometrik (sidik jari, retina, suara)
� SYARAT VALIDITAS otentikasi apabila memenuhi sedikitnya dua dari tiga jenis
pengenalan dimana yang terbaik/terkuat bila salah satunya adalah biometrik. Inilah
yang disebut dengan OTENTIKASI DUA FAKTOR (two factor authentication)
� Identifikasi dan otentikasi adalah KUNCI PENGENDALIAN AKSES dimana
para pemilik aset informasi secara terpusat memiliki kekuasaan menentukan dan
mengatur hak akses sesuai fungsi
Fitur Otorisasi� Setelah seseorang, aplikasi, sistem, perangkat diidentifikasi melalui
proses otentikasi, maka ditentukan HAK untuk serta aktivitas apa
yang diijinkan (jalankan baca, tulis, hapus, ubah)
� Hak otoritas akses diberikan melalui KEBIJAKAN DAN
PROSEDUR
� Kebijakan menentukan BATASAN apa yang boleh diakses, oleh
siapa dan dalam kondisi bagaimana. Mekanisme pengendalian
kemudian ditetapkan melalui konfigurasi untuk memastikan semua
aturan main dipatuhi dan bagaimana perlindungannya
Fitur Keamanan OS� Semua sistem operasi terbaru memiliki fitur keamanan:
� Manajemen pengguna dan hak akses
� Enkripsi tingkat file, direktori, file system
� Fitur keamanan di tingkat aplikasi: kata kunci dan
kompresi
� Pengamanan pada tingkat perangkat fisik (terminal
access):
� Kata kunci: PIN, password
� Biometrik: sidik jari, retina
Pencadangan Dan Pemulihan� Solusi pencadangan selalu lebih murah dibanding
pemulihan
� Dua cadangan tidak cukup, selalu gunakan tiga jeniscadangan
� Perangkat portabel eksternal untuk pencadangan harian
Pencadangan statis periodik pada tempat yang berbeda� Pencadangan statis periodik pada tempat yang berbeda
� Fasilitas penyimpan cadangan online dengan fitur enkripsi
� Lakukan sesering mungkin dengan pola acak. Gunakanfitur otomatisasi pencadangan yang tersedia pada semuaOS
� Strategi klasifikasi dan pemisahan data, gunakan enkripsi
Kebijakan Pengakhiran� Semua salinan fisik data pada sembarang media harus punya batas waktu
pengakhiran, pembatasan pembukaan, memiliki prosedur penghapusan,
penghancuran, pengarsipan aman
� Semua data harus disandikan dengan algoritma terkuat, kata kunci kompleks satu
arah serta dikompresi sebelum dihapus dengan metode paling aman misalnya 35x
standar NSA/DOD
� Semua perangkat portabel dan acang bergerak harus segera diserahkan kepada
tim keamanan pada saat cuti, liburan atau pensiun dan melaporkan
kehilangan/penggantian perangkat
� Pembatasan fungsi dan pengaturan akses untuk isu bring your own device
(BYOD) serta diterapkan ketat di semua tingkatan
Perangkat Bersih danAman� Pastikan semua perangkat anda menggunakan OS, APLIKASI
LEGAL, serta memiliki dukungan resmi dan selalu terbarukan.
Dilengkapi proteksi standar: firewall, anti virus terbaru. Lakukan
pencadangan teratur pada tiga media dan tiga lokasi
� Aktifkan perawatan otomatis untuk membersihkan residu dan
pemeriksaan rutin sekaligus pencadangan. Upaya pencegahan selalupemeriksaan rutin sekaligus pencadangan. Upaya pencegahan selalu
berguna dan membutuhkan sumber daya (waktu, uang) lebih
sedikit dibandingkan proses penyelamatan + pemulihan.
� Jangan percaya semua media eksternal termasuk kiriman file dari
siapapun untuk tujuan apapun. Apabila terpaksa, sebelum dibuka
lakukan pemeriksaan (pemindaian) seksama.
� Jangan bekerja dengan menggunakan hak akses super user
Akses Jarak JauhAman� Jangan pernah percaya dengan akses nirkabel (WiFi, selular)
� Jika terpaksa, pastikan data telah disandikan sebelum dikirim
� Jangan gunakan akses WiFi dengan standar keamanan kurang dari
WPA karena meretas nirkabel hanya masalah waktu
� Selalu gunakan tunnel (VPN, SSH, IPSEC) untuk akses aman ke� Selalu gunakan tunnel (VPN, SSH, IPSEC) untuk akses aman ke
pangkalan data. Bila anda sering bekerja jarak jauh minta agar
kantor memfasilitasi. Semua OS modern memiliki fasilitas ini
� Gunakan Infrastruktur Kunci Publik (PKI) untuk mensandikan dan
menerakan tanda tangan digital pada data anda: file dll.
� Pilih protokol aman untuk setiap layanan (apabila tersedia)
Akses Nirkabel PublikAman� Jaringan nirkabel bersifat terbuka, tidak terlindungi dan mudah
dieksploitasi. Sangat penting untuk memahami apa yang disebut
dengan serangan sniffing, MITM, side jacking
� Perhatikan keamanan fisik dan lingkungan, kenali CCTV palsu
� Selalu tanyakan SSID yang sah pada pengelola layanan tsb.
� Jangan pernah percaya SSID tampilan “Free WiFi Access”� Jangan pernah percaya SSID tampilan “Free WiFi Access”
� Ketika akses jaringan nirkabel publik PASTIKAN semua aturan
berbagi pakai (sharing) melalui media apapun dalam keadaan tidak
aktif dan jangan ijinkan upaya akses dari terminal asing
� Jangan tinggalkan perangkat tanpa pengawasan terpecaya
� Bila menggunakan terminal publik, pastikan bersih dari tools
berbahaya misalnya keylogger, remote access, spyware dll.
Berselancar DenganAman� Hampir semua situs mutakhir telah memanfaatkan CA, HTTPS
� Jangan mengijinkan segala macam bentuk pop up. Baca teliti
sebelum klik YES/NO/ACCEPT/CANCEL. Perhatikan peringatan
� Gunakan FILTERING dan PARENTAL CONTROL. Semua aplikasi
perambah terbaru mendukung fitur ini, menyediakan add on
� Menggunakan NAWALA adalah solusi terbaik untuk mencegah� Menggunakan NAWALA adalah solusi terbaik untuk mencegah
paparan situs negatif: iklan yang mengganggu (vulgar), phising atau
malware sites termasuk berbagai jenis penipuan, judi dll.
� Pastikan dan biasakan logout dengan sempurna, hapus SWAP,
cache, cookies, history, bookmark – atau gunakan modus safe
private browsing – jangan mengaktifkan penyimpanan isian form
dan kata kunci (password) otomatis, lakukan manual
Interaksi Media Sosial Aman� Jangan menerima permintaan pertemanan dari orang asing
� Selalu lakukan konfirmasi pada teman lainnya dan tinggalkanpertanyaan pribadi yang spesifik untuk akun yang dicurigai
� Selalu bersikap konservatif, membatasi informasi pribadi danapa saja yang hendak dibagi.Tidak semua orang menyukai.
� Jangan percaya kiriman link, file dan ajakan private message.� Jangan percaya kiriman link, file dan ajakan private message.
� Dengan alasan apapun jangan pernah membuka alamat emaildan informasi terkait yang digunakan untuk akses akun anda.Gunakan alamat email khusus dan tidak digunakan untuk hallainnya serta tidak pernah dipublikasikan. Sedapat mungkinBUKAN akun email gratisan, gunakan alamat domain sendiri
� Bila sesuatu terjadi, laporkan ke admin, minta bantuan temanuntuk tag akun anda yang bermasalah dan beritahukan semua
Melindungi Surat Elektronik� Gunakan mode plain text saja, matikan auto open attachment
� Jangan percaya segala jenis attachment, mintalah konfirmasi
� Apabila harus membuka attachment, pisahkan dan periksalah
� Selalu aktifkan anti virus dan anti SPAM yang terbaru (update)
� Lakukan komunikasi surat elektronik hanya di terminal aman
� Manfaatkan fitur tambahan Infrastruktur Kunci Publik (PKI)
� Untuk komunikasi surat elektronik sensitif pastikan memakai
protokol yang aman (MIME, STARTTLS, SSL) POP, SMTP, IMAP
� Hindari akses melalui WEBMAIL, bila terpaksa gunakan HTTPS
MelindungiTransaksi Daring� Harus cek dan re-cek, selalu ada waktu untuk memeriksa
� Baca dan pahami aturan main dan tanyakan secara detail
� Semua aturan kepercayaan di dalam transaksi konvensional TETAP
BERLAKU ketika beralih ke media daring. Penjual dan pembeli
serta perantara maupun pasar (marketplace) HARUS terpecaya,
memiliki identitas dan alamat jelas yang asli serta KONSISTEN, memiliki identitas dan alamat jelas yang asli serta KONSISTEN,
dapat dihubungi lewat saluran kontak yang lazim
� Menggunakan alamat domain yang jelas, valid dan terbuka
� Website dilindungi dengan CA, mode aman terenkripsi HTTPS
� Memiliki fasilitas mediasi dan pelayanan keberatan, jaminan
pengembalian uang dan barang sampai asuransi pengiriman
� Pastikan layanan tersebut tak menyimpan informasi sensitif
Melindungi Kartu Kredit/Debit� Perbaharui pengetahuan teknologi terbaru untuk memahami
kelemahan, penipuan, deteksi proses yang tidak biasa, kenali jenis
kartu (magnetic stripe, chip, RFID), jenis layanan (debit / kredit,
emoney) termasuk cara melindungi kartu fisik, sarung anti magnetik,
menyembunyikan kode CVT/CVV
� Jangan mudah percaya. Periksa kembali setiap transaksi pada mesin� Jangan mudah percaya. Periksa kembali setiap transaksi pada mesin
EDC dan kasir. Jangan ijinkan kartu chip anda digesek di perangkat
selain milik bank – misalnya cash register
� Perhatikan lingkungan fisik: skimming, kamera tersembunyi
� Pada prinsipnya semua teknologi berbasis kartu dan PIN telah dapat
diretas dan dieksploitasi dengan sangat mudah
� Jangan gunakan kartu fisik untuk pembayaran daring, ewallet seperti
Paypal lebih aman (idak ada ekpose kartu langsung)
Melindungi Kata Kunci� Peretasan kata kunci (password) masih menjadi modus utama
untuk mendapatkan akses tidak sah dengan berbagai cara
� Ubah kata kunci secara periodik namun dengan pola acak dan
jangan membukanya pada siapapun dengan alasan apapun
� Kombinasi frasa panjang yang unik dan kompleks, tak mudah
ditebak, sekurangnya terdiri 8 karakter, angka, kapital, simbolditebak, sekurangnya terdiri 8 karakter, angka, kapital, simbol
� Jangan gunakan kata kunci yang sama untuk semua akun anda
� Apabila tersedia, gunakan fitur One Time Password (OTP) atau
Two Factor Authentication dan Application Specific Password
� Simpan password, PIN dll. pada tempat yang aman dan hanya anda
sendiri yang mengetahuinya. Untuk mempermudah kita
mengingat, gunakan aplikasi manajemen kata kunci
Melindungi Perangkat PortabelSMARTPHONE, LAPTOP, TABLET, EXTERNAL / FLASH
DRIVE, IPOD, DLL.
� Gunakan kata kunci (password) yang kuat dan selalu diganti
� Manfaatkan enkripsi dan kompresi bertingkat: file, folder dst.
� Disiplin lakukan tiga pencadangan (back up) secara periodik
� Selalu gunakan anti virus terbaru dan aplikasi proteksi lainnya
� Jangan tinggalkan perangkat sembarangan tanpa pengawasan
� Tidak meminjamkan perangkat dan media penyimpan sensitif
� Laksanakan prosedur penghapusan aman untuk pengakhiran
� Aktifkan fitur penghapusan jarak jauh (secure remote wipe)
� Dimanapun anda berada perhatikan keamanan fisik sekitarnya
SUMBER
� Dokumen Keamanan Informasi ID-SIRTII/CC, “Melindungi
Aset Informasi Dan Aktivitas Daring Kita”, 2014.
� Dokumen Sosialisasi PP No 82/2012 PenyelenggaraanDokumen Sosialisasi PP No 82/2012 Penyelenggaraan
Sistem Dan Transaksi Elektronik (PP PSTE), Ditjen Aplikasi
Informatika Kemkomifo, 2013.
� The Telecommunications Industry Association's TIA-942,
2013
TERIMA [email protected]@stiki.ac.id