EFEKTIVITAS KEAMANAN INFORMASI DALAM MENGHADAPI ANCAMAN SOCIAL ENGINEERING

EFEKTIVITAS KEAMANAN INFORMASI DALAM MENGHADAPI ANCAMAN SOCIAL ENGINEERING EFFECTIVENESS OF INFORMATION SECURITY THREATS FACING SOCIAL ENGINEERING Suherman1, Pujo Widodo2, Dadang Gunawan3 Prodi Peperangan Asimetris, Fakultas Strategi Pertahanan, Universitas Pertahanan ([email protected]) Abstrak – Indonesia adalah sebuah negara yang sedang berkembang. Perekonomian Indonesia sedang meningkat dan didukung dengan kemajuan teknologi dan informasi. Dunia perbankan di Indonesia sudah cukup bagus, sehingga kejahatan cyber akan semakin besar Social engineering merupakan suatu metode dalam kejahatan cyber.Ancaman kejahatan cyber saat ini sangat mempengaruhi kerentanan keamanan informasi, khususnya di dunia perbankan. Bentuk nyata adalah dengan adanya pembobolan kartu kredit ,pencurian data oleh karyawan dalam perusahaan dan lain sebagainya. E.B Taylor menyatakan bahwa kerentanan yang dapat ditembus oleh social engineering melalui kebiasaan, ilmu pengetahuan penekanan dan kepercayaan. Perusahaan merespon akan bahaya kejahatan cyber crime yaitu ancaman social engineering, akibat yang ditimbulkannya adalah kehancuran akan keamanan informasi Pelaksanaan efektivitas dapat berjalan dengan baik apabila bagian bagian yang terlibat dalam proses pelaksanaannya dapat memerankan peranannya dengan baik. Adapun tesis ini bertujuan adalah untuk menganalisis efektifitas dan penerapan prosedur operasional dan kebiasaan yang dilakukan karyawan untuk keamanan informasi dalam menghdapi bahaya sosial engineering. Penelitian ini menggunakan metode kualitatif dengan teknik pengumpulan data yaitu, wawancara, observasi, studi pustaka, dan studi dokumen. Hasil dari penelitian ini adalah bahwa melalui penerapan Standar Operasional Prosedur yang benar, rasa memiliki, penggunaan surat dalam melakukan suatu permintaan dan mengirim email keseluruh karyawan tentang keamanan informasi secara berkala. Sehingga Perusahaan dapat terhindar dari ancaman social engineering .Maka efektivitas keamanan informasi dalam menghadapi bahaya social engineering dapat terwujud. Keamanan informasi perbankan dapat terjaga baik secara nasional maupun internasional. Kata kunci: Keamanan Informasi, Social Engineering, Standard Operasional Prosedur, Efektivitas Abstract– Indonesia is a developing country. Indonesia’s economy is increasing . this is because the support of Information and tecnology development. The Bank world in Indonesia is good enough. This might make crime is getting bigger. Social Engineering is a cyber crime. The threat of cyber crime influences the weakness of information security, especially in Bank world. The real cyber crime are the piercing of Credit Card, data robbing by the employee inside the company. E.B Taylor said that the succeptibility can be penetrated by social engineering through habbit, the science of information security, trust and pressure. Artha Graha Int’l Bank is very good in responding dan facing one of the cyber crime methods which is social engineering threat. The effectivity can run well if parts involved in the process can run their parts well. This thesis has purposes to analise the effectivity and the application operational procedure and employee’s habbit for the information security in facing the danger of social engineering. This research use qualitative method with gathering data technique by 1

Penulis adalah mahasiswa Pasca Sarjana Program Study Peperangan Asimetris Cohort-4 TA 2016 Fakultas Strategi Petahanan Universitas Pertahanan. 2 Dosen FSP, Universitas Pertahanan, [email protected]. 3 Wakil Rektor III, Universitas Pertahanan, [email protected].

Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman | 73

interview, observations, library research and document study. The result of the research is that by applying the right standardized operational procedure, self belonging, the use of demand letter and the use of emails to all employees about the informational security continually. So that Artha Graha Bank can avoid social engineering threat. The effectivityof information security in facing social engineering can be done. The Bank security can be well kept nationally and internationally. Keywords: Information Security, social engineering, standardized opeartional Procedure, effectivity

Pendahuluan

P

negara, namun juga keamanan seperti

embukaan

Undang-Undang

keamanan masyarakat dan keamanan

Dasar 1945 merupakan pokok

individu atau insani (human security)5.

atau

Buzan menyebutkan bahwa keamanan

fundamental,

kaedah mempunyai

yang kedudukan

individu

mencakup

keamanan

dalam

yang tepat dan melekat Perusahaan

bidang pangan, kesehatan, lingkungan,

Negara Republik Indonesia. Hal ini karena

pribadi, komunitas dan politik6.

setiap

alinea

yang

terdapat

dalam

Seiring

dengan

perkembangan

Pembukaan UUD tercantum tujuan dan

zaman dan teknologi, bentuk ancaman

prinsip dasar yang hendak dicapai oleh

dalam menghadapi keamanan nasional

bangsa negara Indonesia. Salah satu

akan berubah. Kini ancaman dapat pula

tujuan bangsa yang terkandung dalam

terjadi di dunia virtual. Cyber crime atau

pembukaan UUD adalah tujuan keamanan

kejahatan di dunia siber. Beberapa kasus

nasional, yaitu untuk melindungi segenap

cyber crime diantaranya adalah kejahatan

bangsa Indonesia, seluruh tumpah darah

yang dilakukan oleh kelompok teroris

Indonesia4.

memelalui media internet. Beberapa situs

Tercantum juga dalam pasal 30 UUD

yang dianggap radikal yang disebarkan

1945 mengenai usaha pertahanan dan

melalui propaganda radikalisme melalui

keamanan yang dilakukan oleh Negara

media internet terbukti mengganggu

dijalankan dengan menggunakan sistem

keamanan nasional7.

pertahanan dan keamanan rakyat secara keseluruhan oleh TNI dan POLRI sebagai kekuatan yang utama, dan rakyat sebagai kekuatan pendukung. Keamanan nasional ini tidak berhenti hanya pada keamanan 4

Subekti, V. S. (2015). Dinamika Konsolidasi Demokrasi: Dari Ide Pembaharuan Sistem Politik hingga ke Praktik Pemerintahan Demokratis . Jakarta: Yayasan Pustaka Obor Indonesia.

5

Muradi. (2013). Penataan Kebijakan Keamanan Nasional. Bandung: Penerbit Dian Cipta. 6 Buzan, B. (2000). Human Security: What It Means, and What It Entails. Kuala Lumpur: the 14st Asia Pasific Roundtable on Confidence uliding and Conflict Resolution. 7 Siagian, B. D. (2016). Analisis Wacana Radikalisme pada Situs Online di Indonesia dalam Perspektif Keamanan Nasional(Tesis). Bogor: Program StudiPeperanganAsimetrisUniversitasPertahanan.

74 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1

Kasus lain dari kejahatan cyber

orang, sehingga cara ini memungkinkan

adalah kejahatan dalam bentuk Social

hacker untuk berbicara seperti biasa

Engineering. Seperti yang dilakukan oleh

untuk mendapatkan data yang dinginkan

Edward Snowden, seorang pegawai NSA,

dalam secara tidak logis.

yang

mencuri

data

dan

Adapun kasus perbankan dalam

membocorkannya,dengan menggunakan

negeri

penyadapan yang dilakukan oleh NSA.

Haryanto, membuat duplikasi situs asli

Kasus Social Engineering terjadi pertama

tapi palsu di Bank BCA melalui internet

kali diluar negeri dilakukan oleh Kevin

BCA, dan berharap agar nasabah masuk

Mitnick. Kevin Mitnick adalah seorang

dalam

pria amerika serikat yang di tahan di

identitasnya

tahun 1995. Mitnick tercatat sebagai salah

nasabah. Dan ternyata terdapat 130

seorang hacker yang dalam mencari

nasabah

mangsanya hampir tidak menggunakan

jebakannya. Sebagai contoh alamat palsu

komputer

tersebut

dalam

mengeksploitasi

kelemahan targetnya. dimana sebagian besar

melakukan

teknik

Social

Engineering8.

yang

dilakukan

situsnya dan

yang

oleh

terlihat nomor

nomor

identiffikasi

terperangkap

adalah

:

Steven

oleh

kilkbca.com,

klikbac.com Kemudahan

dalam

memperoleh

informasi tersebut merupakan faktor

Kevin Mitnick telah menyatakan

kerentanan

yang

disebebkan

oleh

bahwa Social Engineering adalah Bagian

kelalaian manusia. Akibat dari kelalaian

yang sederhana dalam pendekatannya.

tersebut banyak perusahaan atau instansi

Bila rata-rata orang ingin melukisan

yang dirugikan. Kerugian itu adalah

bagaimana

Mitnick

hilangnya data informasi rahasia atau

menyatakan dalam bukunya The Art of

pencurian data yang memang harus di

Deception. Adalah para pelaku Social

jaga. Purba Kuncara menyatakan bahwa

Engineering merupakan hacker dengan

rantai terlemah dalam sistem jaringan

keterampilan teknis tetapi ia

komputer adalah manusia.

rupa

hacker.

memiliki

keterampilan sosialisasi yang benar dan memanfaatkannya dalam memanipulasi

Pada

Azis,(2015); cybercrime-dan-social-engineering, http://fahmirahmatazis.co.id/2015/09/cybercrimedan-social-engineering.

kerja

sehari-hari

budaya kerja karyaawan masih tergolong kurang

8

kegiatan

dalam

pengetahuan

disiplin

tentang

kerjan, pentingnya

keamanan informasi, mudah percaya

Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |75

kepada teman kerja dengan memberikan

b.

informasi dan masih adanya penekanan

melindungi keakuratan dan kelengkapan

yang dilakukan oleh pejabat yang lebih

informasi, dapat menjamin bahwa data

tinggi jabatannya dan ini sangat rentan

tidak dapat diubah tanpa ijin dari pihak

sekali

yang

dalam

menjaga

kerahasiaan

Keutuhan

(Integrity),

berwenang,

dalam

menjaga

keutuhan

informasi

informasi yang dapat digunakan oleh

keakurasian

pelaku social engineering. Perilaku yang

tersebut.

kurang baik ini dapat dimanfaatkan oleh

c.

pelaku social engineering. Misalnya user

informasi

menggunakan password yang mudah

dibutuhkan. (idsirti.or.id).

untuk dibobol, selanjutnya user tersebut

dan

bahwa

Ketersediaan (Availability), bahwa akan

tersedia

pada

saat

Dalam buku Primitive Culture, EB

tidak ingat untuk melakukan proses

Taylor10

logout ketika meninggalkan ruang kerja.

beberapa

Hal tersebut akan memperbesar peluang

terjadinya Social Engineering antara lain

pelaku

adalah

Social

Engineering

untuk

mendeskripsikan hal

yang

kebiasaan

mengenai

mempengaruhi

atau

budaya,

melakukan hal-hal yang illegal seperti

pengetahuan (knowledge), kepercayaan

mencuri informasi yang tidak seharusnya

(trust), dan ketakutan atau penekanan.

diketahui olehnya. Dalam artikel Indrajit9

Dari empat prinsip dasar inilah korban

menjelaskan bahwa sesuai dengan prinsip

ditampilkan dan

keamanan informasi data yang harus

keinginan dari seseorang yang berniat

diperhatikan adalah melalui aspek-aspek

jahat dengan memanfaatkan kelemahan

sebagai berikut :

sosial

a.

Kerahasiaan

pada

mendukung

manusia

pada

umumnya.

(Confidentiality),

Berdasarkan uraian fakta-fakta diatas,

bahwa menjamin kerahasiaan akan data

Social Engineering merupakan salah satu

dan atau informasi, menyatakan bahwa

metode di dalam peperangan asimetris.

informasi hanya dapat diakses oleh pihak

Hal ini dapat dibuktikan dengan adanya

yang berhak atau pihak yang berwenang

subjek yang lemah yaitu individu atau

dalam menjamin kerahasiaan data yang

kelompok dan yang kuat yaitu sebuah

akan dikirim, diterima dan disimpan.

perusahaan besar yang memiliki informasi

10 9

Indrajit,(2015), Social Engineering Masih Menjadi Ancaman

Primitive Culture, EB Taylor https://en.wikipedia.org/wiki/Edward_Burnett_Tyl or

76 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1

rahasia.

Social

merupakan

Engineering

salah

satu

cara

juga dalam

khususnya di bidang keamanan informasi, para pejabat perusahaan dan karyawan.11

melakukan kejahatan cyber, karena hal ini

Hasil dan Pembahasan

berkaitan dengan penerobosan pintu-

Keamanan

Informasi

pintu

Berdasarkan

Teori

keamanan

melalui

sistem

komputasi.

mempengaruhi

keamanan

Whiteman

dan

Mattord

Ancaman kejahatan cyber saat ini sangat

Perusahaan

informasi.

kerentanan Berhubungan

Sebelum

berbicara

keefektivitasan dalam

mengenai

keamanan

menghadapi

informasi

ancaman

Social

dengan keamanan infomasi, salah satu

Engineering,

sektor yang kerap kali menjadi sasaran

menyelaraskan hasil analisis data dengan

pencurian informasi yang bersifat rahasia

salah

ialah sektor perbankan. Maka dari itu,

komponen-komponen dalam keamanan

Peneliti berpendapat bahwa hal ini dapat

informasi. Berikut ini ialah teori yang

berakibat fatal apabila tidak di respon

dikemukakan

secara baik dan cepat. Dalam hal ini

Mattord12, yang dapat melihat tingkat

peneliti

efektivitas keamanan informasi pada

ingin

Perusahaan

meneliti

sejauh

mana

dalam merespon dan

peneliti

satu

teori

oleh

perusahaan

yang

hendak

yang

berisikan

Whitman

didasarkan

dan

pada

menghadapi salah satu metode kejahatan

komponen-komponen sebagai berikut:

cyber yaitu ancaman Social Engineering.

a.

Dengan

keamanan

demikian,

melakukan

Peneliti

penelitian

hendak

dengan

judul

Personal

Security,

karyawan

menyangkut

dalam

konteks

upaya pengamanan informasi.

Efektivitas Keamanan Informasi Dalam

Perusahaan dalam hal ini telah melakukan

Menghadapi Ancaman Sosial Engineering.

upaya

Metodologi

karyawannya dari modus-modus Social

Dalam penelitian ini akan digunakan

Engineering

metode kualitatif. Penelitian ini akan

termasuk

dilakukan wawancara

dengan dengan

dalam

menghindarkan

melalui juga

berbagai

dengan

cara,

dibentuknya

menggunakan beberapa

narasumber yaitu para pakar telematika,

11

Sugiyono (2016), Metode Penelitian Kuantitatif, Kualitatif dan R & D, Bandung, Penerbit ALFABETA, CV Berbagai Sumber Daya Bagi Pertumbuhan Berkelanjutan, Jakarta 12 Whitman, Michael E, dan Mattord, Herbert J (2012), Principles of Information Security (4th ed). Boston, MA, USA Course Technologi.

Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |77

Standard Operasional Prosedur hingga

c.

pengiriman

tujuan

himbauan

mengenai

Communication Security, memiliki untuk

mengamankan

media

keamanan informasi melalui e-mail blast.

komunikasi, teknologi komunikasi, serta

Pelatihan-pelatihan mengenai kesadaran

kemampuan untuk memanfaatkan alat

akan pentingnya menjaga keamanan

komunikasi terkait menjaga keamanan

informasi pun dilakukan perusahaan, baik

informasi.

pada saat proses penyeleksian calon

Perusahaan telah menerapkan komponen

karyawan hingga pada masa kerjanya

ini

berlangsung.

berkenaan dengan sharing informasi yang

b.

Operation

Security,

dengan

melakukan

kebijakan

yang

harus selalu dilaksanakan secara tertulis

menitikberatkan kepada strategi dalam

dalam proses perizinannya. Segala upaya

mengamankan kemampuan organisasi

dalam

dalam

jaringan

upayanya

untuk

menjaga

keamanan informasi. Manajemen melakukan

mengakses

informasi

telekomunikasi

melalui

baik

yang

berbasis kabel maupun nirkabel tidak perusahaan

peningkatan

selalu

diperbolehkan.

Penggunaan

teknologi

kemampuan

seperti pengiriman data melalui public e-

organisasinya dalam menjaga keamanan

mail ataupun pesan singkat pun tidak

informasi, salah satunya dengan cara

diperkenankan. Ketentuan ini berlaku

peninjauan kembali Standar Operasional

tidak hanya untuk karyawan, tetapi juga

Prosedur

oleh

untuk para pejabat-pejabat di perusahaan

mengingat

yang memiliki posisi yang lebih tinggi

yang

manajemen

telah

diolah

perusahaan

bahwa Standar Operasional Prosedur

daripada karyawan biasa.

tersebut

d.

tidak

sempurna,

melainkan

Network

Security,

selalu ada celah-celah yang berpotensi

menitikberatkan

menyebabkan kebocoran informasi. Maka

peralatan

manajemen perusahaan selalu melakukan

jaringan dan isinya, serta kemampuan

peninjauan ulang dalam menghadapi

untuk menggunakan jaringan tersebut

Standar Operasional Prosedur dengan

dalam

tetap

informasi.

menyelaraskan

aturan-aturan

kepada

yang

jaringan

upaya

data

menjaga

pengamanan perusahaan,

keamanan

utama yang tercantum pada peraturan

Berkaitan dengan keamanan jaringan,

yang telah ditetapkan.

Divisi

Teknologi

menerapkan 78 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1

perusahaan

sistem

HTTPS

telah dalam

penggunaan Internet, dengan demikian

efektivitas akan terjadi dengan baik

HTTPS akan menjamin bahwa situs yang

apabila karyawan beserta pimpinannya

dikunjungi

bisa

ialah

situs

resmi

milik

saling

terbuka

dalam

perusahaan. Selain itu, dalam upaya

menginterpretasikan pesan dari pimpinan

pengamanan informasi, dalam melakukan

kepada karyawannya, serta keduanya

transfer data, perusahaan juga telah

dapat menjalin hubungan dengan baik.

melakukan metode SFTP. SFTP akan

Ketika hubungan keduanya telah berjalan

melakukan

saat

dengan baik serta terjadi keterbukaan

dilakukannya pemindahan data, sehingga

yang berkesinambungan, maka pekerjaan

data tersebut terkunci pada kode enkripsi

pun akan berjalan dengan baik.

enkripsi

pada

yang hanya mampu dipecahkan oleh orang yang memiliki otoritas, Berdasarkan pembahasan

diatas,

Dari hasil analisis data yang telah dilakukan, Peneliti beranggapan bahwa

uraian

dari

dapat

Peneliti

sejauh ini, efektivitas perusahaan dalam menjaga

keamanan

informasi

dinilai

simpulkan bahwa teori tersebut memiliki

sudah cukup efektif. Hal itu dapat dilihat

persamaan

dari

ISO/IEC

dengan

27001.

persyaratan

Perbedaannya

dari hanya

upaya

perusahaan

manajemen dalam

teknologi

mempersulit

user

mengenai spesifikasi dari syarat-syarat

untuk dapat menembus pengamanan

keamanan informasi. Pada teori Whitman

yang

dan

perusahaan,

Mattord,

hanya

dideskripsikan

berlapis.

Pertama,

pada

manajemennya

situs telah

sebanyak 4 komponen dalam keamanan

menggunakan sistem HTTPS, dimana

informasi, yang mana pada syarat ISO/IEC

berfungsi untuk memastikan kepada

27001 memecah ke-4 komponen tersebut

peramban

menjadi lebih spesifik. Dengan demikian,

keduanya sedang berada di perusahaan

tidak

yang sesungguhnya.

ditemukan

suatu

celah

pada

dan

pengguna

bahwa

manajemen perusahaan terkait dengan

Jika bertolak ke belakang, pernah

komponen atau syarat-syarat yang belum

terjadi suatu kejadian Social Engineering

terpenuhi

dan

yang dialami oleh perusahaan lain karena

internasional

situsnya belum menggunakan sistem

persyaratan

berdasarkan standar

teori

tersebut.

HTTPS, melainkan masih menggunakan

Berdasarkan teori efektivitas yang dikemukakan

oleh

Duncan,

suatu

HTTP. Akhirnya, terdapat oknum yang membuat situs yang serupa dengan

Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |79

perbedaan yang sangat tidak mencolok.

menemukan bahwa perusahaan telah

Perbedaan tersebut terletak dari tata

melakukan

letak huruf nama situs. Kejadian tersebut

(PDCA) yang merupakan aturan main dari

memakan korban yang tidak sedikit,

SNI

sehingga oknum tidak hanya dapat

Perusahaan

mengakses informasi-informasi rahasia

informasi

milik

perencanaan,

perusahaan

melainkan

dapat

melakukan pencurian data.

siklus

ISO/IEC

Plan-Do-Check-Act

27001

tentang

SMKI.

melakukan

pengamanan

melalui

tahap-tahap

pelaksanaan,

penilaian

serta penindakan. Perusahaan melakukan

Kedua, metode pemindahan data

tahap

perencanaan

dengan

secara komputerisasi pun telah beralih

mengumpulkan

dari FTP menjadi SFTP. Melalui protokol

divisi

SFTP, maka pada saat informasi rahasia

merumuskan suatu pedoman, Standar

dipindahkan dari satu tempat ke tempat

Operasional Prosedur, maupun surat

lainnya, data tersebut akan terenkripsi

edaran

sehingga tidak dapat diakses tanpa kode

informasi secara sempit, dan terkait

atau password yang dimiliki oleh orang-

dengan penyelarasan visi dan misi dari

orang yang memiliki otoritas. Enkripsi

perusahaan itu sendiri secara luas.

data ini lah yang membuat informasi

dan

masing-masing

cara

kepala

terkait

Tahap

Bagian

dengan

kepala untuk

keamanan

pelaksanaan

dilakukan

rahasia tersebut tetap aman dari para

dengan cara melakukan pengamanan

pelaku

Ketiga,

informasi perbankan yang diemban oleh

perusahaan berupaya dalam menjaga

Bagian Keamanan Teknologi Informasi

keamanan

dari Divisi Teknologi. Divisi Teknologi

rekayasa

sosial.

informasinya

melalui

kebijakan-kebijakan yang dikeluarkan oleh

mengemban

tanggung

manajemen perusahaan dalam bentuk

mengamankan

Standar Operasional Prosedur, juklak,

kejahatan

pedoman, memo hingga e-mail blast yang

Engineering. Pada tahap penilaian, akan

ditujukan untuk seluruh karyawannya.

dilakukan suatu perbandingan antara

informasi

cyber,

jawab data

khususnya

untuk dari Social

Dalam teori efektivitas, terdapat

kebijakan-kebijakan tertulis dengan aksi di

tiga indikator yang bisa dijadikan sebagai

lapangan. Proses penilaian ini akan

alat ukur efektivitas suatu pekerjaan.

dilakukan

Pertama di lihat dari indikator pencapaian

melakukan pemastian kualitas.

oleh

tujuan. Berdasarkan indikator ini, Peneliti 80 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1

Bagian

Audit

yang

Di lihat dari indikator adaptasi, yaitu

Sosialisasi melalui Pusdiklat perusahaan

mengenai penyesuaian perilaku karyawan

merupakan salah satu contoh utama dari

dalam

upaya pengamanan informasi secara dua

menghadapi

sosialisasi

serta

awareness keamanan informasi. Pada

arah.

dasarnya, disinilah letak kendala yang

Dari keseluruhan pembahasan yang

ditemukan oleh Peneliti, dimana masih

telah diuraikan, dapat diambil benang

terdapat beberapa pelanggaran dalam

merahnya

menghadapi

keamanan informasi, tergantung pada 3

clean

desk

policy.

bahwa

dengan

Berdasarkan analisis data yang sudah

aspek

Peneliti lakukan, aspek adaptasi ini sangat

menghadapi ketiga aspek tersebut dapat

berkaitan erat dengan perilaku karyawan

di breakdown melalui beberapa alat ukur,

dalam menghadapi keamanan informasi.

yaitu

Berdasarkan pernyataan yang berasal dari

ISO/IEC 27001, Teori Keamanan Informasi

National Institute of Standards and

Whitman

Technology (NIST) Special Publication

Efektivitas Duncan. Berdasarkan ketiga

(SP)

alat ukur tersebut, perusahaan telah

800-50

mendeskripsikan

bahwa

CIA.

terkait

Pemenuhan

melalui

&

standar

Mattord,

internasional

serta

Teori

manusia adalah kunci dari keamanan

memenuhi

informasi. Dengan demikian diperlukan

komponennya sehingga ketiga aspek

adanya perhatian khusus

dasar

bagaimana

seluruh

dalam

dari

komponen-

Confidentialy,Integrity

manusia untuk membangun kesadaran

Availebility sudah terpenuhi. Walaupun

mengenai urgensi keamanan informasi.

demikian, suatu sistem tidak ada yang

Peneliti simpulkan bahwa untuk menjaga

keamanan

informasi

dalam

sempurna,

sehingga

komponen-komponen

walaupun

tersebut

sudah

menghadapi ancaman Social Engineering,

terpenuhi, pasti akan terdapat sedikit

perusahaan dinilai telah cukup efektif,

celah yang kemungkinan besar berasal

terutama

pencapaian

dari faktor manusia mengingat bahwa

Manajemen

manusia lah faktor yang terkuat sekaligus

tujuan

pada serta

indikator integrasi.

perusahaan telah membuat berbagai

yang

terlemah

kebijakan yang cukup variatif dalam

informasi ini.

terkait

keamanan

menghadapi para karyawannya sehingga upaya pengamanan tidak hanya dilakukan secara satu arah, melainkan dua arah. Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |81

Hakikat Manusia Sebagai Korban Social

masyarakat

Engineering

seseorang tidak segan untuk memberikan

Sebelum berbicara mengenai ancaman

pertolongan kepada orang lain yang baru

Social Engineering, ada baiknya jika kita

dikenalnya. Hal ini yang menurut Peneliti,

memahami terlebih dahulu mengenai

terkadang dapat dijadikan celah bagi

hakikat manusia sebagai makhluk sosial.

pelaku

Berdasarkan teori budaya, manusia pada

mendapatkan

dasarnya merupakan makhluk budaya

diinginkannya.

yang memiliki akal, budi dan daya untuk

b.

mendapatkan suatu gagasan dan karya

Tingkat

cipta yang berupa seni, moral, hukum,

seseorang tentu berbeda satu sama

dan kepercayaan yang dilakukan secara

lainnya. Terkadang, sesorang pegawai

terus

tidak mengetahui tingkat kerahasiaan

menerus

membentuk

yang

suatu

pada

akhirnya

kebiasaan

yang

Indonesia.

Social

Seringkali

Engineering sesuatu

untuk yang

Pengetahuan wawasan

ilmu

pengetahuan

suatu informasi, atau tidak mengetahui

kemudian

diakumulasikan

dan

modus-modus

disampaikan

secara

atau

Engineering, sehingga ia akan mudah

sosial

kemasyarakatan. Manusia

dari

pelaku

Social

terjebak oleh pelaku. Rendahnya tingkat sebagai

pencipta

pengetahuan tersebut juga memberikan

kebudayaan memiliki kemampuan daya

peluang yang besar bagi pelaku untuk

yaitu akal, intelegensia, dan intuisi,

mendapatkan apa yang diinginkannya.

perasaan dan emosi, kemauan, fantasi

c.

dan perilaku. EB Taylor mendeskripsikan

Faktor kepercayaan merupakan faktor

beberapa faktor dari manusia yang dapat

yang memberikan resiko besar dalam

mempermudah

menghadapiseseorang untuk masuk ke

para

pelaku

Social

Kepercayaan

Engineering untuk melakukan aksinya:

dalam perangkap Social Engineering.

a.

Seseorang terkadang akan memberikan

Kebiasaan atau Budaya

Dalam konteks Social Engineering, sudah

suatu informasi rahasia kepada orang lain

menjadi

manusia,

atas dasar kepercayaan bahwa orang

khususnya di Indonesia untuk memiliki

tersebut tidak akan menyalahgunakan

rasa saling tolong menolong dalam

atau pun menyebarkan informasi yang

menghadapi sesama. Budaya gotong

bersifat rahasia. Atas dasar kepercayaan

royong pun telah mendarah daging bagi

pula, seseorang akan bersikap lengah dan

kebiasaan

bagi

82 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1

tidak

waspada

dengan

lingkungan

Manusia merupakan sebuah sistem yang

sekitarnya. Hal ini juga memberikan celah

dikuasai oleh manusia itu sendiri. Tetapi,

bagi pelaku Social Engineering untuk

dalam

menjalankan modus-modusnya.

manusia merupakan Bagian yang paling

d.

lemah dalam sistem. Dalam konteks

Ketakutan atau Penekanan (Fear)

sebuah

jaringan,

keamanan

Semua manusia memiliki rasa takut dalam

keamanan informasi, manusia lah faktor

menghadapiancaman atau tekanan dalam

yang

menghadapiberbagai hal. Rasa takut ini

diperhatikan. Komponen kedua ialah

lah yang bisa dimanfaatkan oleh pelaku

proses yang merupakan sekumpulan

Social Engineering. Melalui cara-cara yang

sistem

menakuti

ataupun

berdasarkan dokumen resmi perusahaan

gertakan, maka manusia akan mudah

seperti standar operasional prosedur,

untuk

surat edaran, maupun petunjuk pelaksana

seperti

ancaman

membocorkan

informasi

yang

paling

krusial

keamanan

yang

harus

yang

diketahuinya demi melindungi dirinya dari

atau

rasa takut tersebut.

lainnya. Kebijakan ini lah yang merupakan

Berdasarkan keempat faktor diatas, dapat

disimpulkan

bahwa

manusia

sebagai makhluk yang memiliki akal,

salah

kebijakan-kebijakan

dibuat

satu

pondasi

perusahaan

bagi

terjaganya

keamanan informasi. Sasaran

utama

dari

Social

inteligensia dan intuisi, perasaan dan

Engineering adalah dengan memperoleh

emosi,

akses yang illegal ke sistem dan/atau

fantasi

dan

perilaku,

dapat

menjadi objek yang sangat rentan dalam

informasi

menghadapiSocial Engineering. Keempat

penipuan ataupun kecurangan melalui

faktor tersebutlah yang memberikan

sarana manusia. Selain itu, penyusupan ke

peluang

Social

dalam jaringan, pencurian identitas dan

Engineering, sehingga seseorang akan

juga pencurian infomasi data rahasia, juga

menjadi lengah dan tidak sadar bahwa ia

merupakan sederetan target dari pelaku

telah memasuki jebakan dari pelaku Social

Social Engineering.

kepada

para

pelaku

Engineering.

untuk

Menurut

melakukan

Supradono

suatu

(2009),

Menurut Amanda Andreas, terdapat

keamanan informasi tidak hanya bisa

tiga hal yang dijadikan sebagai komponen

disandarkan pada teknologi keamanan

utama

informasi

dari

keamanan

informasi.

Komponen yang pertama ialah manusia.

pemahaman

saja,

tetapi

yang

harus

dilakukan

ada oleh

Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |83

organisasi atau perusahaan agar dapat

pada komputernya, tidak mematikan

menangani masalah secara tepat dalam

komputer saat hendak ditinggal untuk

memenuhi

keamanan

suatu keperluan tertentu, dan harus

informasi. Dengan demikan, dibutuhkan

selalu mengunci setiap laci yang ada di

pengelolaan

komprehensif

meja kerja masing-masing karyawan.

informasi,

Kebiasaan karyawan dalam membiarkan

harus

catatan-catatan kecil yang di temple pada

yaitu

layar

kebutuhan

yang

mengenai

keamanan

keamanan

informasi

memperhatikan

tiga

aspek,

monitor,

serta

membiarkan

Confidentially, Integrity, dan Availability

dokumen-dokumen berserakan di atas

(CIA).13

meja masih belum bisa ditinggalkan

Dalam

pemenuhan

CIA,

sehingga dapat meningkatkan faktor

telah menerapkan dua

kerentanan dalam menghadapi keamanan

bentuk konkrit mengenai pemenuhan

informasi dan memperbesar peluang user

aspek ini, yaitu mengenai penerapan

untuk melakukan rekayasa sosial dalam

dalam

menghadapi karyawan tersebut.

perusahaan

bentuk

administratif

aspek

non-operasional yang

berisi

atau

berbagai

Situasi Keamanan Informasi Perusahaan

kebijakan tertulis yang berupa pedoman,

dalam

prosedur, surat edaran maupun memo.

Enginnering

Bentuk kedua yaitu melalui penerapan

Terakhir,

dalam

pembandingan antara upaya-upaya yang

bentuk

mengadakan

operasional

program

dengan

sharing

ilmu

menghadapi

dilakukan

Peneliti

oleh

Metode

akan

Social

melakukan

perusahaan

dalam

pengetahuan serta sosialiasasi, himbauan

menjaga keamanan informasi melalui

dengan melalui e-mail blast.

sudut

Salah kebijakan

satu

dari

tersebut

implementasi

ancaman

Social

Engineering dengan cara-cara yang dapat

dengan

dilakukan oleh pelaku Social Engineering

diterapkannya “clean desk policy” yang

untuk mendapatkan informasi secara

mengatur

illegal.

karyawan

adalah

pandang

agar

tidak

Metode

Social

Engineering

meninggalkan catatan-catatan penting di

menurut Mawarna14 ada empat yaitu yang

meja kerja, tidak memasang password

pertama ialah Social Engineering by

13

14

Kennetth C. Laudon, Jane p. Laudon . Sistem Informasi Manajemen 1, Jakarta , Penerbit Salemba Empat

Marwana (2012), Teknik Social Engineering Dan Pencegahannya.

84 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1

Phone. Metode ini menggunakan sarana

diwajibkan untuk memusnahkan segala

telepon sebagai sarana utamanya dalam

catatan-catatan

melakukan

Engineering.

berguna, dilarang untuk menempelkan

Biasanya pelaku akan berpura-pura untuk

post-it note yang berisikan password

menelepon

ataupun nomor rekening nasabah hingga

aksi

Social

dari

dalam

perusahaan

yang

meja

sudah

dengan menggunakan interkom untuk

penguncian

kantor

mendapatkan suatu informasi. Hal ini

menghindari

tidak akan terjadi di perusahaan, telah

dokumen-dokumen penting.

tindakan

tidak

untuk pencurian

menerapkan kebijakan mengenai sharing

Metode yang ketiga ialah Social

informasi yang hanya melalui surat dan

Engineering Online. Peneliti berpendapat

berdasarkan kewenangan dari pihak yang

bahwa metode ini bukan merupakan

memiliki otoritas. Sehingga, kemungkinan

metode yang tepat untuk menyerang

bagi pelaku Social Engineering dalam

karyawan. Menurut Peneliti, metode ini

mendapatkan informasi melalui saluran

akan lebih menguntungkan jika dilakukan

telepon sangat kecil.

kepada karyawan perusahaan. Namun,

Metode Dumpster

yang

Diving.

kedua

Dumpster

ialah

tidak menutup kemungkinan juga bahwa

Diving

karyawan perusahaan bisa terjebak pada

dilakukan dengan cara ‘mengacak-acak

metode

tong sampah’. Tong sampah disini ialah

kesadaran

dalam

bisa

membedakan password masing-masing

mendapatkan informasi melalui buku

akun atau perangkat keras demi menjaga

telepon perusahaan, bagan organisasi

keamanan informasi. Urgensi mengenai

yang sudah tidak terpakai, memo yang

pentingnya perbedaan password dan

dibuang secara sembarangan, petunjuk

mengganti password secara berkala pun

kebijakan perusaahan, jadwal pertemuan,

sudah dilakukan oleh perusahaan melalui

nama login dan password, hingga segala

himbauan e-mail blast kepada seluruh

informasi yang tertulis pada post-it note

jajaran karyawan.

artian

bahwa

pelaku

di layar komputer serta hardware yang

ini

karena

tidak

mengenai

adanya

pentingnya

Metode yang keempat ialah Social

sudah usang. Dalam mencegah pelaku

Engineering

dari

untuk melakukan metode ini, maka

psikologis. Metode ini menggunakan

perusahaan menerapkan kebijakan “clean

teknik

desk policy” dimana seluruh karyawan

seperti orang yang memiliki kewenangan

persuasif,

sudut

seperti

pandang

menyamar

Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |85

atas suatu informasi. Selain itu, cara ini

b. Penawaran, pelaku akan berpura-pura

juga memanfaatkan kondisi pertemanan

sebagai teknisi yang mampu untuk

dalam memperoleh sebuah informasi.

menyelesaikan akibat dari sabotase

Pertemanan

tersebut kepada perusahaan.

yang

dimaksud

adalah

menjalin hubungan yang seolah-olah baik dengan seseorang.

c. Bantuan,

pelaku

bantuan

kepada

akan

meminta

karyawan

untuk

Maka untuk menghadapi metode

menanyakan sesuatu yang berkaitan

seperti itu, perusahaan telah melakukan

dengan sabotase tersebut sampai ia

berbagai

mendapatkan

pelatihan-pelatihan

untuk

meningkatkan profesionalitas dan kinerja para

karyawannya.

dalam

yang

diinginkan.

dunia

Berdasarkan 3 alur tersebut, Peneliti

perusahaan

berpendapat bahwa untuk melakukan

terutama dari divisi sumber daya manusia

alur tersebut dibutuhkan kemampuan

selalu

yang jauh diatas normal, dan hanya bisa

pekerjaan,

Di

informasi

manajemen

menekankan

profesionalitas,

dimana

mengenai di

dalam

dilakukan

oleh

orang-orang

yang

lingkungan pekerjaan hanya ada istilah

professional. Untuk melakukan sabotase,

rekan kerja. Maksud dari pernyataan

pelaku harus mempelajari seluk beluk

tersebut ialah, rekan kerja memiliki

jaringan sistem informasi perusahaan,

makna pertemanan hanya dalam ruang

yang mungkin informasi itu baru bisa

lingkup pekerjaan yang mengutamakan

didapatkan melalui karyawan maupun

profesionalitas.

mantan karyawan. Pada kasus demikian,

Metode yang terakhir ialah Reverse Social

sense of belonging dari karyawan serta

Engineering,

treatement

serupa

dengan

metode

perusahaan

dalam

Social Engineering dari sudut pandang

menghadapi karyawan diuji. Berdasarkan

psikologis,

ialah

pernyataan Kepala Divisi sumber daya

metode ini memiliki 3 alur yang identik,

manusia, suatu kebocoran informasi tidak

yaitu:

akan terjadi apabila terdapat sense of

a. Sabotase, aksinya,

yang

membedakan

sebelum pelaku

harus

melancarkan melakukan

belonging

dari

karyawan

menghadapi perusahaan yang tentu saja

sabotase dalam menghadapijaringan

diciptakan

melalui

yang

diberikan

oleh

berhubungan

pengamanan suatu informasi.

dengan

dalam

karyawan.

86 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1

treatement

perusahaan

yang kepada

Berdasarkan uraian di atas, Peneliti menyimpulkan

bahwa

pernyataan

keefektivitasan

upaya

pengamanan

informasi perbankan.

mengenai manusia merupakan faktor

Walaupun demikian, pada observasi

yang terlemah sekaligus terkuat menjadi

yang telah dilakukan, masih terdapat

semakin tidak terbantahkan. Manusia

pelanggaran, terutama berkaitan dengan

merupakan faktor yang paling penting

clean

dalam menjaga keamanan informasi.

ditemukannya post-it notes pada layar

Maka

komputer. Hal ini menunjukkan bahwa

dari

itu,

menerapkan

perusahaan

standar

harus

operasional

desk

karyawan

policy

masih

ada

dimana

yang

masih

belum

prosedur serta memberikan pelatihan-

menyadari mengenai pentingnya menjaga

pelatihan kepada karyawannya untuk

keamanan

menumbuhkan

akan

meyimpulkan bahwa tingkat efektivitas

keamanan informasi. Dengan adanya

keamanan informasi perusahaan dilihat

kesadaran akan keamanan informasi,

dari upaya manajemen sudah dinilai

ditambah dengan sense of belonging

cukup efektif. Sedangkan efektivitas pada

dalam menghadapi perusahaan, Peneliti

tingkat karyawan dalam pengaplikasian

berpendapat bahwa karyawan tersebut

pengamanan

akan menjadi karyawan yang professional

dalam penyempurnaan yang lebih baik

dan loyal kepada perusahaannya. Melalui

lagi.

kesadaran

profesionalitas dalam bekerja, serta sense

Pada

informasi.

informasi

teori

Maka,

dinilai

EB

Peneliti

masih

Taylor

of belonging yang kuat akan semakin

mendeskripsikan mengenai beberapa hal

memperkecil ancaman Social Engineering.

yang mempengaruhi terjadinya Social

Kesimpulan

Engineering antara lain adalah kebiasaan

Melalui teori efektivitas, teori keamanan

atau budaya, pengetahuan (knowledge),

informasi dan syarat dari ISO/IEC 27001,

kepercayaan (trust), dan ketakutan atau

Peneliti menilai bahwa Perusahaan telah

penekanan tidak bisa diterapkan oleh

memenuhi seluruh komponen dari teori-

kejahatan

teori

itu

teknologi sistem keamanan yang cukup

tercermin mulai dari pelaksanaan Standar

baik yaitu dengan menerapkan clean desk

Operasional Prosedur hingga pengadaan

policy

pelatihan-pelatihan

menggunakan surat dan email blast

dan

syarat

tersebut.

juga

Hal

menunjukkan

,

social

engineering

permintaan

data

karena

dengan

Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |87

mengenai peringatan tenttang keamanan informasi.. Manusia merupakan faktor yang paling penting sekaligus yang paling lemah

dalam

informasi

konteks

keamanan

perbankan.

Manusia

merupakan faktor yang paling kuat karena manusialah yang bertugas untuk melakukan kegiatan perusahaan serta melakukan

pengamanan

informasi.

Manusia sebagai faktor yang paling lemah, di lihat dari aspek psikologis, dimana manusia akan sangat rentan untuk menjadi korban dari serangan Social

Engineering

yang

akan

mengakibatkan kebocoran informasi yang seharusnya dijaga. Dalam hal ini, seluruh jajaran Kepala Divisi, mulai dari Kepala Divisi Teknologi hingga Sumber Daya Manusia, memiliki arah pemikiran yang sama yaitu mengenai pemberdayaan manusia dalam mengamankan

informasi

perbankan

sehingga tidak akan menjadi korban dari Social Engineering. Hal ini telah terbukti dengan rutinnya

diadakan

pelatihan-

pelatihan mengenai information security awareness, hingga pengiriman e-mail blast yang berisikan himbauan mengenai tata

cara

melakukan

informasi secara sederhana.

pengamanan

Daftar Pustaka Buku Buzan, B. (2000). Human Security: What It Means, and What It Entails. Kuala Lumpur: the 14st Asia Pasific Roundtable on Confidence uliding and Conflict Resolution. Golose, P. R. (2015). Invasi Terorisme ke Cyberspace. Jakarta: Yayasan Pengembangan Kajian Ilmu Kepolisian. Muradi. (2013). Penataan Kebijakan Keamanan Nasional. Bandung: Penerbit Dian Cipta. Christopher Hadnagy (2010). Social Engineering. The Art of Homan Hacking. Indianapolis, Indiana. Wiley Publishing, inc Departemen Pertahanan Republik Indonesia (2008) Buku Putih Pertahanan Republik Indonesia 2008 Departemen Pertahanan Republik Indonesia (2015) Buku Putih Pertahanan Republik Indonesia 2015 Mary Kaldor (2007). Human Security : Reflections on Globalization and Intervention. Cambridge, UK Copyright Idrus Muhammad (2009). Metode Ilmu Penelitian Ilmu Sosial : Pendekatan Kualitatif dan Kuantitatif. Yogjakarta, Penerbit Erlangga Sugiyono (2016), Metode Penelitian Kuantitatif, Kualitatif dan R & D, Bandung, Penerbit ALFABETA, CV Berbagai Sumber Daya Bagi Pertumbuhan Berkelanjutan, Jakarta Kennetth C. Laudon, Jane p. Laudon . Sistem Informasi Manajemen 1, Jakarta , Penerbit Salemba Empat Jurnal Granger, Sarah., Social Engineering Fundamentals, Part I: Hacker Tactics. Symantec

88 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1

Lucky Adhie, 2010, Identity Thet dengan menggunakan Social Engineering Studi Kasus: Kartu Kredit di indonesia. Peltier, T.R., 2001, Information Security Risk Analysis, Auerbach Publications. Papadaki, Maria, Furnell, Steven dan Dodge, Ronald C., Social Engineering – Exploiting the Weakest Links. s.l. : European Network and Information Security Agency, 2008 Rhodes, Colleen., Safeguarding Against Social Engineering. East Carolina : s.n., 2006. Siagian, B. D. (2016). Analisis Wacana Radikalisme pada Situs Online di Indonesia dalam Perspektif Keamanan Nasional(Tesis). Bogor: Program StudiPeperanganAsimetrisUniversit asPertahanan. Solichul Huda , 2007 Pengamanan Sistem Komputer dari Model Social Engineering dengan mengaktifkan program Security Awareness, Subekti, V. S. (2015). Dinamika Konsolidasi Demokrasi: Dari Ide Pembaharuan Sistem Politik hingga ke Praktik Pemerintahan Demokratis . Jakarta: Yayasan Pustaka Obor Indonesia. Whitman, Michael E, dan Mattord, Herbert J (2012), Principles of Information Security (4th ed). Boston, MA, USA Course Technologi Marwana (2012), Teknik Social Engineering Dan Pencegahannya. Website Azis,(2015); cybercrime-dan-socialengineering. diakses 30 September, 2016, http://fahmirahmatazis.co.id/2015/0 9/cybercrime-dan-socialengineering.

Bagus Artiadi Soewardi, Cyber Defence diakses 5 januari 2017. http//www.kemhan.go.id/pothan Dr. Joel Brenner ( 2009), National Counterinteligence Executive diakses 5 januari 2017. https://cryptome.org/dni-cbs-24.pdf Etikakelompok7,(2013) Keamanan Jaringan dan Komputer diakses 30 https://keamananjaringandankompu ter/2013/03/22/website-palsu-klikbca/ Houchins Thomas ( 2002); Security’s Biggest Threats: Social Engineering Your Employees, diakses 5 januari 2017. https://www.giac.org/paper/gsec/2149/sec uritys-biggest-threats-socialengineering-employees/ Indrajit,(2015), Social Engineering Masih Menjadi Ancaman, diakses 30 September 2016 http://www.ciso.co.id/2015/03/social -engineering-masih-menjadiancaman/). Institute, Insurance Information., Identity Theft. Consumer Fraud and Identity Theft. Insurance Information Institute, 2009. Diakses : 23 september 2016.] http://www.iii.org/media/facts/stats byissue/idtheft/. Indra, D. dan M. Chandrataruna (2009) pencuri data adalah karyawan Huawei (http://teknologi.vivanews.com/new s/read/41027. pencuri data adalah karyawan huawei. Diakses 3 0ktober 2016. Nudin,2005 Teori Organisasi 30 September, 2016 http://file.upi.edu SekilasTentang Cyber Crime, Cyber Security ,diakses 30 September, 2016, http://inet.detik.com/read/2015/08/3 1/sekilas-tentang-cyber-crime-cybersecurity-dan-cyber-war

Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |89

S.

Juliandri Simanungkalit 2009, Perancangan Manajemen, 30 September, 2016 http://lib.ui.ac.id/file?file=digital/Pera ncangan20manajemenLiteratur.pdf.

90 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1