Saya bukanlah seorang pakar teknologi informasi, ahli jaringan, ataupun petugas keamanan siber. Namun kebetulan saya menyukai hal-hal yang berbau digital. Dalam tulisan ini saya ingin berbagi pengalaman saya mengikuti pelatihan tentang Cyber Security atau Keamanan Siber dari ICSI (International Cyber Security Insitute). Sebagai catatan saya masih mengikuti pelatihan ini saat saya menulis artikel ini. Apa yang saya sampaikan di sini adalah catatan saya dalam mengikuti pelatihan tersebut. Saya tidak akan banyak berbicara teknis, namun coba membahasakannya dengan bahasa yang sederhana.
Hari-hari ini kita tidak asing dengan komputer dan internet. Kita tidak lagi menyimpan semua data kita dalam bentuk fisik. Banyak data dan informasi yang kita simpan secara digital, baik tersimpan secara daring (online) ataupun luring (offline). Bila kita tidak berhati-hati, kita dapat saja kehilangan data-data pribadi kita. Karena itu kita perlu menjaga keamanan akan data dan informasi yang kita simpan secara digital. Kita perlu memahami bahwa meningkatkan keamanan itu bisa berakibat pada menurunnya produktivitas. Keamanan berbanding terbalik dengan kenyamanan. Semakin data kita diproteksi maka semakin sulit bagi kita sendiri untuk mengaksesnya.
Sebenarnya prinsip dari keamanan informasi adalah menyeimbangkan antara perlindungan, biaya, dan manfaat. Tingkat privasi dan kebutuhan akan keamanan informasi setiap orang berbeda-beda. Tulisan ini dibuat agar kita bisa mengenal informasi apa saja yang harus kita amankan, gangguan apa saja yang mungkin menyerang kita, dan bagaimana kita mempersiapkan diri untuk mengamankan data kita.
Konsep CIA
Ada 3 konsep utama yang harus kita pahami dalam mengenal keamanan informasi. Agar lebih mudah maka kita dapat mengingatnya dengan singkatan CIA, yaitu confidentiality, integrity, dan availability.
Kerahasiaan (Confidentiality)
Kerahasiaan berbicara tentang membatasi akses untuk melihat data-data kita. Dalam hal ini kita membatasi akses dari pihak-pihak yang tidak kita inginkan untuk melihat data kita. Metode standar untuk menjaga kerahasiaan ini adalah dengan menggunakan verifikasi ID atau kata sandi (password). Misalnya untuk membaca pesan-pesan yang masuk ke surel (email) milik kita, kita diminta untuk memasukkan kata sandi. Bila kata sandinya salah, maka pesan-pesan di dalamnya tidak dapat dibuka. Metode lainnya adalah dengan Multi-Factor Authentication dan Biometric Verification.
Integritas (Integrity)
Integritas berbicara tentang kualitas data yang kita miliki. Bila kerahasiaan benar-benar membatasi siapa yang bisa melihat isi data kita, integritas ini tentang akses dan kontrol terhadap data kita. Ada kalanya kita harus membagi data kita dengan orang lain, misalnya seperti bekerja dan berbagi data dengan Google Drive dan Google Docs. Namun demi menjaga kualitas data, maka kita harus membatasi siapa saja yang diijinkan untuk mengubah data-data tersebut. Misalnya dalam membagikan data di Google Docs kita bisa membagi siapa saja yang bisa melihat dan siapa saja yang bisa menyunting atau mengubah data tersebut demi. Metode backup merupakan salah satu metode yang dapat menjaga integritas data kita.
Ketersediaan (Availability)
Ketersediaan berbicara tentang aksesibilitas data kita di saat diperlukan. Kita bisa saja mengunci data kita dengan kata sandi. Namun bagaimana bila kita kehilangan alat yang menghubungkan kita dengan data kita, misalkan kita tidak memiliki akses internet untuk mengakses data kita yang kita simpan di internet (cloud storage). Contoh lainnya adalah kita menggunakan HP kita untuk mengakses alat pembayaran elektronik kita, seperti Ovo, Jenius, dsb. Namun suatu hari HP kita rusak sehingga kita kehilangan akses terhadap alat pembayaran elektronik kita. Walau bisa dipulihkan, namun akan mengganggu proses kita mengakses data kita. Karena itu untuk menjaganya, kita perlu melakukan perawatan terhadap setiap perangkat kita yang dapat menghubungkan kita dengan akses data kita.
Tipe Serangan
Di atas kita sudah membahas tentang apa yang dapat kita lakukan unuk menjaga keamanan informasi kita. Sekarang kita akan berbicara tentang tipe serangan yang mungkin dapat mengganggu keamanan informasi kita. Tipe-tipe serangan dapat dibagi menjadi 4 tipe, yaitu intersepsi, pengalihan, pengubahan, dan pemalsuan.
Intersepsi (Interception)
Intersepsi adalah serangan yang menyerang privasi. Serangan ini tidak mengganggu aksesibilitas dan konektivitas kita terhadap informasi yang kita miliki. Informasi yang kita miliki pun tidak akan dapat diubah oleh si penyerang. Namun serangan ini membuat data kita dapat dilihat bahkan diduplikasi oleh pihak yang tidak bertanggungjawab. Hal yang berbahaya dari serangan ini adalah hilangnya kerahasiaan data kita. Karena dapat diduplikasi, maka data kita dapat disebarkan sehingga dapat dibaca oleh pihak yang tidak kita inginkan. Contoh serangan ini adalah penyadapan yang menyebabkan percakapan kita dapat didengar oleh orang yang tidak kita inginkan.
Pengalihan (Interuption)
Pengalihan atau interuption adalah serangan yang tidak hanya menyerang privasi saja. Serangan ini dapat membuat kita kehilangan akses terhadap data kita, entah hanya sementara atau permanen. Si penyerang biasanya memutus jalur yang menghubungkan kita dengan tempat kita menyimpan data. Data kita mungkin tersimpan aman dan tidak berubah, namun kita tidak bisa mengaksesnya.
Pengubahan (Modification)
Pengubahan atau modification merupakan serangan yang jauh lebih parah dari interupsi. Kita tidak hanya kehilangan akses atas data kita namun si penyerang dapat melakukan perubahan terhadap data kita. Akibat dari serangan ini adalah kerusakan atas informasi yang kita miliki, bahkan lebih parahnya kita bisa kehilangan semua data kita. Aktivitas backup data merupakan salah satu cara untuk mengembalikan data kita yang rusak atau hilang akibat serangan ini. Contoh dari serangan ini adalah pengubahan tampilan situs yang kita miliki oleh orang yang tidak bertanggungjawab.
Pemalsuan (Fabrication)
Pemalsuan atau fabrication merupakan serangan yang menyerang keaslian dari data kita. Si penyerang dapat memasukkan data-data palsu ke dalam data kita. Bahkan si penyerang dapat berpura-pura menjadi kita kemudian menyebarkan informasi palsu kepada orang lain. Contoh dari serangan ini adalah phising mail. Si penyerang dapat menyebarkan informasi palsu — bahkan virus berbahaya — kepada kerabat-kerabat kita menggunakan identitas pribadi kita.
Manajemen Resiko
Setelah kita mengenal konsep dasar keamanan informasi dan tipe-tipe serangan yang mungkin mengganggu, waktunya kita mengamankan data kita. Terlebih dahulu kita harus melakukan analisis terhadap data-data yang kita miliki. Dengan demikian kita bisa menilai sejauh mana kita harus mengamankan informasi dan data yang kita miliki. Di atas saya sudah menuliskan bahwa keamanan berbanding terbalik dengan kenyamanan. Jangan sampai keamanan yang kita lakukan terlalu berlebihan sehingga malah mengganggu aksesibilitas kita terhadap data kita sendiri. Namun jangan terlalu lemah sehingga mudah hilang atau dirusak.
Identifikasi Aset
Sebelum melakukan pengamanan, kita perlu tahu terlebih dahulu apa yang akan kita amankan. Pada tahap awal mari kita mendata terlebih dahulu aset apa saja yang kita miliki yang kita simpan secara digital. Kita buat daftar akun-akun yang kita miliki, mulai dari surel (email), media sosial, cloud storage, chat messenger, internet & mobile banking, belanja online, dsb. Selain itu kita juga mendata hal-hal lain yang mungkin beresiko terancam, seperti kartu kredit.
Identifikasi Ancaman
Langkah selanjutnya adalah kita mengidentifikasi kemungkinan terburuk apa yang dapat menimpa data-data kita. Identifikasi ini dilakukan terhadap seluruh kategori data kita yang telah kita buat daftarnya pada langkah sebelumnya. Kita bisa menggunakan konsep CIA di atas untuk mengidentifikasi setiap ancaman.
Kerahasiaan
Apa yang terjadi bila data tersebut tersebar?
Integritas
Apa yang terjadi bila data tersebut tidak sengaja terhapus atau terubah?
Ketersediaan
Apa yang terjadi bila kita kehilangan akses terhadap data tersebut?
Menilai Kerentanan
Hal ini masih berkaitan dengan tahapan sebelumnya, yaitu identifikasi ancaman. Kita sebaiknya mengurutkan data mana yang paling penting hingga yang tidak terlalu penting. Setelah itu kita harus memilah data mana yang paling rentan terhadap kerusakan atau kehilangan. Hal ini dapat kita lihat berdasarkan kemudahan aksesibilitas, misalnya data yang memang kita bagi dengan beberapa pihak dapat dianggap lebih rentan dibandingkan data yang aksesnya hanya untuk kita pribadi.
Menilai Risiko
Risiko merupakan kombinasi dari ancaman dan kerentanan. Data yang rentan namun tidak ada potensi ancaman berarti risikonya kecil. Data yang memiliki potensi ancaman tinggi namun tidak rentan juga dapat kita anggap risikonya kecil. Kita perlu memberikan penilaian terhadap semua data kita, terutaman data yang memiliki potensi ancaman tinggi dan tingkat kerentanan yang tinggi juga. Data tersebut berarti memiliki risiko keamanan yang tinggi.
Mitigasi Risiko
Mitigasi risiko merupakan tindakan untuk mengurangi resiko ancaman terhadap keamanan data kita. Kita menyusun mitigasi risiko berdasarkan analisis yang telah kita lakukan sebelumnya. Ada tiga kategori kontrol atau tindakan mitigasi risiko yang dapat kita lakukan, yaitu secara fisik, teknis, dan administratif.
Kontrol secara fisik berkaitan dengan lingkungan secara fisik yang berkaitan dengan penyimpanan data tersebut. Misalnya membuat pagar, memasang CCTV, dan alarm.
Kontrol secara teknis berkaitan dengan sistem dan tahapan, seperti penggunaan kata sandi (password), anti-virus, dan autentikasi.
Kontrol secara administratif berkaitan dengan peraturan, prosedur, dan juga hukum yang berlaku. Kita harus membaca ketentuan setiap layanan yang kita gunakan. Fitur keamanan saja yang disediakan, bagaimana prosedurnya bila data kita rusak atau hilang, bagaimana bila kita lupa password, dsb.
Demikian yang dapat saya bagikan terkait dengan program pelatihan Cyber Security yang saya ikuti. Apa yang saya bagikan dalam tulisan ini hanyalah pengantar saja terkait dengan keamanan informasi. Mungkin lain waktu akan saya lanjutkan tulisan saya ini sejalan dengan progres pelatihan yang saya ikuti. Saya juga sempat menuliskan artikel terkait yang berjudul Berselancar di Internet dengan Aman. Silakan dikunjungi bila berminat. Mudah-mudahan apa yang saya bagikan dapat bermanfaat. Terima kasih :)
Sumber: catatan pribadi saat mengikuti pelatihan dari ICSI. Informasi lebih lanjut tentang ICSI, dapat dilihat di https://www.icsi.co.uk/
