Kebijakan Institusi untuk meningkatkan keamanan TIK

Kebijakan Institusi untuk meningkatkan keamanan TIK Ashwin Sasongko Sastrosubroto (Puslit Informatika LIPI/ DeTIKNas/ForTIK Jabar)

Bandung, 3 Desember 2015

Sejarah singkat Internet • 1970 an, ARPANET dibangun oleh DARPA, termasuk 11 fungsi terkait penomoran, nama domain dll, dikenal sbg IANA • 1990 an, dihentikan. Dibentuk MilNet dan jaringan lainnya diintegrasikan menjadi Jaringan Internet, fungsi2 IANA tetap dijalankan berdasarkan kontrak dgn US DoD. • Thn 1998 dibentuk ICANN, Non Profit Organization di California. • IANA ditransfer dari US DoD kpd US DoC • Fungsi2 IANA dioperasikan ICANN berdasarkan kontrak dgn US DoC. ICANN bekerja berdasarkan pola Multistakeholders

Fungsi IANA (1) • IANA memiliki 11 fungsi : 1.Protocol Parameters tmsk TLD ARPA – Address and Routing Parameter Area 2. Administrative Root Zone management 3. Root Zone File Change 4. Manage WHOIS 5. Manage ccTLD 6. Manage gTLD 7. Root Zone Automation

Fungsi IANA (2) 8. Manage DNSSEC keys 9. Provide Customer Service Complain Resolution Process (CSCRP) 10. Allocates Internet Numbering 11. Performs other services

Lapisan sektor TIK dan Regulasi nya

3. Aplikasi n Konten Ref UU 11/08, 32/02 dan 40/99

2. Jaringan Internet Ref UU 11/08 & 36/99

1. Infrastruktur Telekomunikasi (tmsk Jaringan Penyiaran) Ref. UU 36/99 Source : Pengantar tentang tata kelola internet, APJII, Hal, 39

3 lapisan infrastruktur sektor TIK 1. Infrastruktur telekomunikasi, tempat seluruh lalu-lintas internet mengalir; Juga digunakan utk Penyaiaran; Diatur oleh UN-ITU. 2. Standar teknis dan layanan internet, infrastruktur yang membuat internet berfungsi (Misalnya TCP/IP, DNS, SSL); Dioperasikan dan diatur ICANN 3. Standar isi dan aplikasi (Misalnya HTML, XML); Dioperasikan dan diatur ICANN. Tata Kelola di Indonesia untuk (1,2,3) - UU No. 36/1999 Terutama yang terkait infrastruktur telekomunikasi (1); Di Indonesia diatur oleh Kominfo dan BRTI. - UU No. 11/2008 Terutama untuk konten dan aplikasi yang terkait standar teknis & Layanan, standar isi & aplikasi (2 dan 3). Kebijakan operasional pada PP 82/2012 dan Detail diatur Permen2 Kominfo -UU 32/2002 mengatur usaha Penyiaran yg juga merupakan Konten (3). -UU 40/1999 mengatur konten Pers saat ini juga merupakan konten (3)

Pola kerja Jaringan Internet yg dikelola ICANN, dan digunakan di Indonesia

3 diantaranya di Indonesia

server ISP

Source : Pengantar tentang tata kelola internet, APJII, Hal, 46

7

Pengorganisasian ICANN utk mengelola Jaringan Internet

Pengelolaan Aspek2 Internet di Indonesia (1) • Pengelolaan ccTLD (.id) : PANDI • Pelaksana Redelegasi : Neil el Himam dan Aidil Cinderamata (dari KemKominfo) • Multistakeholders utk nama domain : Forum Nama Domain Catatan : Status penelolaan nama domain diatas sudah diakui ICANN cq IANA • Filter: Trust Positip Kominfo dan Nawala (komunitas AWARI) • Pengaturan Root CA : Baru Root CA Nasional (tahap awal) yg sdh mulai dilaksanakan.

Pengelolaan Aspek2 Internet di Indonesia (2) • • • •

Pengelola IDNIC saat ini : APJII Pengelola IDCERT/CSIRT : Komunitas Pengelola ID-SIRTII : KemKominfo Pengelola IP Address dan AS Numbers saat ini : APJII dan juga Berbagai Institusi lain

CSIRT (1) • CSIRT - Computer Security Incident Response Team • Awalnya Komunitas dan/atau Pemerintah membentuk CERT Computer Emergency Response Team. Disempurnakan kegiatannya dgn RFC 2350)* dan disebut CSIRT. Institusi yg sdh menggunakan nama CERT banyak yg tetap menggunakan istilah CERT. • Dibentuk oleh berbagai kalangan karena banyaknya serangan terhadap peralatan/ sistem Computer kita melalui jaringan Internet atau melalui bebagai alat yang digunakan Computer kita spt USB dll. )* RFC - Request For Comment merupakan Standard/Guideline untuk Internet yg dikeluarkan oleh IETF-Internet Engineering Task Force. Merupakan referensi ICANN

CSIRT (2) • CERT/CSIRT diharapkan dapat mensupport seluruh lapisan masyarakat untruk mengatasi serangan kepada peralatan/ Computer. Institusi ini melaksanakan kegiatan sesuai dgn kebutuhan masyarakat/komunitas. • ID CERT : Didirikan komunitas, aktivitas umumnya bersifat koordinativ antar komunitas dan juga dgn komunitas global, spt APCERT - Asia Pacific CERT • ID- SIRTII/CC: Indonesian Security Incident Response Team on Internet Infrastructure/Coordination Center didirikan oleh KemKominfo. Berdasarkan Permen Kominfo 26/PER/M.KOMINFO/5/2007, bertugas mengwasi keamanan jaringan Telekomunikasi berbasis Internet • Direktorat Keamanan Informasi : Sebagai Regulator dan Penegakkan Hukum (koordinasi utk PPNS - Penyidik PNS)

CSIRT Jawa Barat • CSIRT Jabar yg di inisiasi Pemda Jabar, ruang lingkup kerjanya di Propinsi Jabar dan mengacu pada RFC 2350. Kegiatannya dapat dikembangkan sesuai degan kebutuhan komunitas Jabar. • Perlu koordinasi erat dengan seluruh institusi dan Komunitas Internet di Jawa Barat. • Perlu koordinasi dengan seluruh CERT/CSIRT yang ada di Indonesia dan Internasional seperti AP CERT, FIRST dll. • Mengingat tingkat kapabilitas internet saat ini, dimana secara umum, kesadaran masyarakat tentang keamanan IT masih harus ditingkatkan, maka sosialisasi tentang hal ini kepada seluruh masyarakat di Jawa Barat perlu segera dilaksanakan secara intensiv. Kegiatan ini juga dapat meningkatkan koordinasi CSIRT Jabar dengan masyarakat TIK di Jabar.

Berbagai Serangan dan Penangkalan nya • Malware, Pengambilan Data, DDOS, Web Defacement, Spam, Phishing, dsb • Pengelola harus melengkapi sistem Computernya dengan Sistem Manajemen Keamanan Informasi, termasuk berbagai keperluan mulai ruangan kerja yg aman, perangkat lunak untuk pengamanan terhadap serangan2 seperti diatas sampai seritifikasi karyawannya.

Berbagai Regulasi terkait • Penggunaan seri SNI ISO/IEC 27000 : 2014, standard ttg Sistem Manajemen Keamanan Informasi. SNI dikeluarkan BSN dan Standard ini direkomendasikan oleh KemKominfo sebagai standard keamanan. • Sbg langkah awal, KemKominfo telah menggunakan index KAMI (Keamanan Informasi) untuk menilai secara umum tingkat keamanan. • PP 82/2012 tentang Penyelenggaraan Sistem dan Trransaksi Elektronik mengatur berbagai hal terkait keamanan.

Diskusi : Issue2 umum yg perlu diperhatikan ttg Keamanan • Siapa pengelola sistem IT anda ? Dapat dipercaya ? Apa pengamanan anda thd pengelola tsb ? • Apakah anda menggunakan dot id (.id) sbg Top Level Domain ? • Seringkah anda membuka e-mail dan data kiriman dari orang/ TLD yg patut anda ragukan ?

Diskusi : Issue2 umum yg perlu diperhatikan ttg Keamanan (2) • Sudah anda sertifikasikah sistem IT anda dgn SNI yg ada ? Misal SNI 27000 utk keamanan ? • Utk ktr pemerintah, anda menggunakan .go.id ? • Tahukah anda pengelola2 / contact person, jika terjadi insiden keamanan ?

Lain lain : Kenali sistem anda

Terima Kasih [email protected]

19