Etiologi Cyber Crime

Etiologi Cyber Crime

Adrianus E. Meliala Kisnu Widagso Departemen Kriminologi Fakultas Ilmu Sosial dan Ilmu Politik Universitas Indonesia

Makalah disampaikan pada : Seminar Nasional Sehari Dan Workshop Information Technology (IT) Security Selasa, 19 September 2005 Parahiyangan Room, Hotel Horison, Bandung

Etiologi Cyber Crime

Definisi, Batasan dan Tipologi Cyber Crime Konsep cyber crime merupakan konsep yang secara luas atau umum digunakan dalam banyak tulisan. Istilah lain yang juga sering digunakan adalah computer-related crime, crime-related to the computer networks, computer abuse, computer crime, e-crime, computer-related fraud, internet crime, IT-related crime, cyber fraud dan lain sebagainya. Cyber crime dapat didefinisikan sebagai : “… refers to any crime that can be committed by means of a computer system or network, in a computer system or network or against a computer system or network. Two subcategories of cyber crime exist : 1. Cyber crime in a narrow sense (“computer crime”): any illegal behaviour directed by means of electronic operations that targets the security of computer systems and the data processed by them; 2. Cyber crime in a broader sense (“computer-related crime”): any illegal behaviour committed by means of, or in relation to, a computer system or network, including such crimes as illegal possession, offering or distributing information by means of a computer system or network.” 1

Computer crime kemudian didefinisikan sebagai :

“Computer crime is defined as any action not sactioned in law or conventional business practice that is harmful to persons or property and which is either directed againts or employs high tecnology information systems.” 2

Atau dalam tulisan lain dikatakan computer crime sebagai :

“The confidentiality, integrity or availability offences, include : a. Unauthorized access, meaning access without right to a computer system or network by infringing security measures; b. Damage to computer data or computer programs, meaning the erasure, corruption, deterioration or suppression of computer data or computer programs without right; c. Computer sabotage, meaning the input, alteration, erasure or suppression of computer data or computer programs, or interference with computer systems, with the intent to hinder the functioning of a computer or a telecommunication system; d. Unauthorized interception, meaning the interception, made without authorization and by technical means, of communications to, from and within a computer system or network; e. Computer espionage, meaning the acquisition, disclosure, transfer or use of a commercial secret without authorization or legal justification, with intent either to

1

Crimes related to computer networks, Tenth United Nations Congress on the Prevention of Crime and the Treatment of Offenders Vienna, 10-17 April 2000, page 4 - 5. 2 Caroll, John M., Computer Security in Fennelly, Lawrence J. (Ed.), Handbook of Lost Prevention and Crime Prevention, 2nd edition, Butterworth-Heinemann, 1989, page 498.

2

cause economic loss to the person entitled to the secret or to obtain an illegal advantage for themselves or a third person.” 3

Sementara computer related crime, menurut Grabosky dalam satu tulisannya :

“This paper provides an overview of computer-related crime. Nine varieties of crime are considered : 1. Theft of services; 2. Communications in furtherance of criminal conspiracies; 3. Information piracy and forgery; 4. The dissemination of offensive materials (including extortion threats); 5. Electronic money laundering; 6. Electronic vandalism and terrorism; 7. Telemarketing fraud; 8. Illegal interception; and 9. Electronic funds transfer fraud.” 4

Kumar dalam tulisannya menjelaskan bahwa : “Computer-related crimes may be categorized into two major categories : 1. Where the computer is a target of the crime. a. Sabotage of computer systems or computer networks; b. Sabotage of operating systems and programmes; c. Theft of data/information (this is the fastest growing computer-related crime); d. Theft of intellectual property, such as computer software; e. Theft of marketing information; and f. Blackmail based on information gained from computerized files, such as medical information, personal history, sexual preferences, financial data, etc. 2. Where computer is an instrument of the crime. a. Fraudulent use of Automated Teller Machine (ATM) cards and accounts; b. Credit card frauds; c. Frauds involving electronic finds transfers; d. Telecommunication Frauds; and e. Frauds relating to Electronic Commerce and Electronic Data Interchange.” 5

Mengacu pada pengertian-pengertian diatas, maka konsep cyber crime yang digunakan dalam tulisan ini dapat didefinisikan sebagai segala tindakan yang tidak saja dilakukan secara konvensional, akan tetapi juga dengan memanfaatkan teknologi informasi, sehingga berdampak atau mengakibatkan terjadinya kerusakan terhadap confidentiality, integrity atau availability suatu sistem informasi. Definisi-definisi tentang konsep sistem informasi itu sendiri dalam beberapa literatur sudah mengalami pergeseran. Sistem informasi didefinisikan bukan saja semata berkaitan dengan sistem komputer, hardware ataupun software, akan tetapi sudah didefinisikan dalam cakupan yang lebih luas. 3

Ibid., page 5. Grabosky, Peter, Computer Crime: A Criminological Overview, Prepared for Presentation at the Workshop on Crimes Related to the Computer Network, Tenth United Nations Congress on the Prevention of Crime and the Treatment of Offenders, Vienna, 15 April 2000. 5 Kumar, Atul, Cyber Crime – Crime Without Punishment, 2002. 4

3

“We use the term “information system” quite broadly to include any system or component (whether physical, cyber, virtual, computer, communication, human, or social) that is involved in storing, processing, handling, or transmitting information. While the scope of an information processing system can be defined more narrowly (i.e., purely by computer software and hardware), we are often concerned with the information-related functions of and for organizations.” 6

Laudon dan Laudon misalnya, mendefinisikan sistem informasi sebagai : “Interrelated components working together to collect, process, store, and disseminate information to supports decition making, coordination, control, analysis, and visualization in an organization.” 7

Sehingga, ketika berbicara tentang sistem informasi dapat diartikan dengan membicarakan sistem informasi yang mencakup hal-hal tentang : 1. Software, yang meliputi operating system dan program. 2. Hardware, yang terdiri dari mesin utama, medium penyimpanan data atau informasi, perlengkapan interface khusus, serta peralatan I/O. 3. Data dan informasi. 4. Proses administratif, termasuk pendokumentasian, operasional dan prosedur. 5. Proses komunikasi. 6. Sumber daya manusia, yang terdiri dari petugas komputer, petugas gedung dan manajemen penginstalasian. 7. Lingkungan fisik, termasuk sistem lingkungan, gedung, fasilitas komputer, perlengkapan cadangan, serta perbekalan. 8

Gambaran Umum dan Dampak Cyber Crime Sistem informasi saat ini merupakan sumber daya dan mempunyai peranan yang sangat penting dalam keberlangsungan dan kompetensi organisasi. Seiring dengan kenyamanan, kemudahan dan keuntungan yang dijanjikan atau ditawarkan dalam setiap pengembangan dan implementasi suatu sistem informasi, disadari menjadikan sistem informasi semakin rentan akan potensi ancaman (threats). Dengan adanya kesadaran tersebut, maka pengelolaan sistem informasi juga harus diimbangi dengan perhatian yang serius 6

Anton, Philip S., et. al., Finding and fixing vulnerabilities in information systems : the vulnerability assessment and mitigation methodology, RAND National Defense Research Institute, 2003, page 5. 7 Kenneth C. Laudon and Jane P. Laudon, Management Information Systems : Managing The Digital Firm, 8th edition, Prentice Hall, 2004, page 8. 8 Deskripsi lengkap dapat dilihat pada Icove, David, et. al., Computer Crime : A Crimefighter’s Handbook, O’Reilly and Associates Inc., 1995, page 96 – 98.

4

terhadap keamanan sistem informasi (information system security). Keamanan sistem informasi merupakan salah satu bagian yang penting dalam melakukan pengelolaan sistem informasi. Prinsip-prinsip kerahasiaan, integritas dan ketersediaan informasi (confidentiality, integrity and availability - CIA) tersebut merupakan taruhan dalam keamanan sistem informasi. Prosedur dan mekanisme keamanan harus mampu menjamin sistem dapat terlindungi dari potensi ancaman yang mungkin timbul. Hasil survey yang dilakukan oleh AT&T ataupun oleh CSO Magazine, U.S Secret Service, dan CERT® Coordination Center, memperlihatkan atau mengidentifikasi bentuk-bentuk potensi ancaman terhadap sistem informasi, seperti terlihat dalam Tabel 1. Tabel 1 Potensi Ancaman Terhadap Sistem Informasi

Sumber : AT&T Economic Inteligen Unit 2004.

Sumber : 2004 - 2005 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center.

Dari data hasil survey tersebut, secara umum terlihat hackers, para pegawai aktif dalam organisasi (current employees) bahkan konsumen, dianggap atau dapat dipersepsikan sebagai potensi ancaman terhadap sistem informasi. Dalam konteks keamanan sistem informasi, disyaratkan upaya-upaya yang bersifat pencegahan (prevention) terhadap potensi ancaman yang mungkin timbul, selain juga upaya pendeteksian kejahatan terhadap sistem informasi dan upaya pemulihan sistem informasi. Pencegahan menjadi penting karena dapat menghindarkan pengelola atau pemilik sistem informasi dari timbulnya kejahatan (computer related crime), kerugian yang lebih besar dan upaya atau biaya yang besar dalam upaya deteksi, ditempuhnya proses hukum dan recovery terhadap sistem informasi yang telah rusak. It is suggested that computer-based fraud is now frequent and it is costing organizations billions of pounds – but detection is difficult, and successful prosecution has proved nearly impossible. 9

9

Ward, John and Peppard, Joe, Strategic Planning for Informations Systems, 3rd edition, John Wiley & Sons Ltd., 2002, page 74.

5

Sayangnya, belum banyak organisasi yang mampu memenuhi atau mencapai suatu kendali yang efektif di dalam melindungi sistem informasinya. Hasil survey yang dilakukan bersama oleh CSO Magazine, U.S Secret Service, and CERT® Coordination Center memperlihatkan bentuk-bentuk kejahatan terhadap sistem informasi, seperti tercantum dalam Tabel 2. Tabel 2 Bentuk Kejahatan Terhadap Sistem Informasi

Sumber : 2004 - 2005 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center.

Dari Tabel 2 memperlihatkan potensi ancaman yang teraktualisasi memunculkan bentuk-bentuk kejahatan terhadap sistem informasi seperti virus komputer, denial of service, SPAM, unauthorized access, phising dan lain sebagainya. Tidak mudah untuk melakukan pendeteksian dan identifikasi terhadap kejahatan yang terjadi. Dari tabel di atas tersebut dapat dilihat jawaban dari responden yang menyatakan dapat mendeteksi kejahatan terhadap sistem informasi yang terjadi akan tetapi tidak dapat mengetahui klasifikasi bentuk kejahatan yang menyerang sistem informasinya. Jumlah kerugian yang muncul akibat kejahatan terhadap sistem informasi cenderung meningkat setiap tahunnya, bahkan yang dapat dihitung atau dikuantifisir akibat kejahatan terhadap sistem informasi menunjukkan angka yang tidak sedikit. Seringkali pula kerugian tersebut sulit atau tidak dapat dihitung. Ketika kejahatan terhadap sistem informasi terjadi, bukan hanya aspek tangible yang rusak, akan tetapi juga banyak aspek intangible dari sistem informasi yang ikut rusak tidak dapat dihitung. Seperti misalnya kepercayaan dan kepuasan para stakeholders. Dalam hasil survey yang dilakukan, seperti tercantum di Tabel 3 dan Tabel 4, diperlihatkan bahwa dari kejahatan terhadap sistem informasi yang sejauh ini terdeteksi, jumlah kerugian kerugian yang muncul dapat mencapai jumlah ratusan juta dollar Amerika. Sementara itu sebagian besar responden menyatakan tidak dapat melakukan kuantifikasi terhadap dampak yang terjadi meskipun dapat mendeteksi terjadinya kejahatan.

6

Tabel 3 Jumlah Kerugian Akibat Kejahatan Komputer Tahun 2003

Sumber : 2003 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.

Tabel 4 Kerugian Akibat Terjadinya Kejahatan Terhadap Sistem Informasi 2004 - 2005

Sumber : 2004 - 2005 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center.

Hasil survey lain yang dilakukan oleh Computer Security Institute dan San Francisco Federal Bureau of Investigation’s Computer Intrusion Squad, seperti terangkum dalam Tabel 3 serta Gambar 1, secara lebih terinci memperlihatkan kuantifikasi besaran kerugian yang muncul berdasarkan bentuk-bentuk kejahatan terhadap sistem informasi. Gambar 1 Diagram Jumlah Kerugian Berdasarkan Bentuk Kejahatan Tahun 2003 - 2005

Sumber : 2003 - 2005 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.

7

Di sisi lain, kesadaran organisasi pada umumnya untuk melindungi sistem informasi cenderung terlihat semakin tinggi. Blackhouse dalam satu tulisannya mengatakan : “… organizations, albeit slowly, have come to relise the importance of securing there IS, particulary given the further realisation that information is now a central asset for many companies.” 10

Namun di sisi lain, apabila dilihat dari aspek alokasi dana yang disediakan organisasi untuk melindungi sistem informasinya, alokasi dana yang disediakan tersebut tergolong masih relatif rendah mengingat atau dibandingkan dengan banyaknya potensi ancaman yang perlu dicegah, upaya-upaya deteksi dan identifikasi yang harus dilakukan, serta upaya-upaya pemulihan bila potensi ancaman teraktualisasi. Hasil survey yang dilakukan oleh Computer Security Institute dan San Francisco Federal Bureau of Investigation’s Computer Intrusion Squad menunjukkan bahwa hanya 8% dari reponden yang mengalokasi dana keamanan sistem informasi mencapai lebih dari 10% dari anggaran belanja teknologi informasi. Sementara itu sebagian besar responden hanya mengalokasikan dana atau anggaran sebesar 1% sampai dengan 5% dari alokasi anggaran belanja teknologi informasi. Gambar 2 Diagram Presentase Pengeluaran Teknologi Informasi Untuk Keamanan

Sumber : 2004 - 2005 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.

Kondisi juga semakin diperburuk dengan adanya kenyataan bahwa sampai saat ini upaya-upaya pencegahan terhadap terjadinya kejahatan terhadap sistem informasi cenderung masih timpang, hanya menekankan atau memfokuskan diri pada satu pendekatan dan hanya berorientasi pada teknologi, seperti anti virus, intrusion detection systems, atau biometrik dan sebagainya. Melupakan esensi bahwa potensi ancaman terbesar yang muncul adalah dari aspek manusia, para stakeholders, pengguna sistem informasi, internal users maupun eksternal users (Lihat Tabel 1). Kecenderungan dan kesimpulan ini dapat dilihat bukan hanya berdasarkan hasil survey yang dilakukan oleh CSO Magazine, U.S Secret Service, dan CERT® Coordination Center, seperti yang 10

Blackhouse, J., Information at Risk, Information Strategy, January 1997, page 33 -35.

8

dipaparkan dalam Tabel 5, akan tetapi juga berdasarkan hasil survey yang dilakukan oleh Computer Security Institute dan San Francisco Federal Bureau of Investigation’s Computer Intrusion Squad, seperti yang dapat dilihat pada Gambar 3. Tabel 5 Upaya Pencegahan Kejahatan Terhadap Sistem Informasi

Sumber : 2004 – 2005 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center Gambar 3 Diagram Upaya Pencegahan Kejahatan Terhadap Sistem Informasi

Sumber : 2004 - 2005 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.

Greenwald et.al. juga menulis : “Cryptography, for example, is perhaps the most thoroughly studied and most rigorously modeled aspect of security. Despite its tremendous importance, cryptography alone is not sufficient for building secure systems.” 11

Pendekatan pencegahan kejahatan terhadap sistem informasi yang hanya menekankan aspek teknologi, diakibatkan kurangnya literatur yang membahas penggunaan pendekatan yang lebih bersifat holistik, termasuk penggunaan teori-teori sosial yang mengkaji masalah kejahatan. Willison dan Blackhose berargumen bahwa : 11

Michael Greenwald, Carl A. Gunter, Bjorn Knutsson, Andre Scedrov, Jonathan M. Smith, Steve Zdancewic, Computer Security is Not a Science (But It Should Be), University of Pennsylvania.

9

“… very few texts examine the interaction between these safeguards, partly because of a overly technical orientation and an inability to account for the social aspects which form a core element of the interaction process.” 12

Dhillon dan Backhouse, dalam dua tulisannya bahkan menyatakan perlunya untuk melakukan redefinisi terhadap konsep information security : “… traditionally concepts that define information security; confidentiality, integrity, and availability (CIA) should be complemented by new principles: responsibility, integrity, trust and ethicality (RITE).” 13

”… one explanation for this ‘technical orientation’ is largely a consequence of how information systems have been conceptualised, and this has ramifications for what is considered as IS security.” 14 Blackhouse et.al. menambahkan : “Underpinning this account is a belief that information systems are essentially social systems that rely on an important technical component, and that security is likewise dependent on social behaviour. End-users who are appropriately trained and predisposed towards securing information offer a direct solution to a great many security problems; on the other hand, systems that fail to take account of end-users and their behaviour inevitably contribute to the creation of more vulnerabilities. … a conceptual tool that can enable organizations to identify elements that may afford a collective control environment and to highlight the relationships between the components of the collective. This perspective provides a potential alternative to technocratic approaches to IS security.” 15

Akibatnya, potensi ancaman terhadap sistem informasi tersebut akan tetap teraktualisasi, cenderung meningkat dan kecenderungan kerugian yang ditimbulkan juga akan meningkat dari tahun ke tahun. There are five reasons to belive that computer crime will continue to increase in years to come : 1. A maturing criminal population. 2. Disaffection of the middle class. 3. Increasing literacy. 4. Concentration of assets within computers.

12 Robert Willison and James Backhouse, Understanding Criminal Opportunity in the IS Security Context, paper presented at the Information Systems Research Seminar in Scandinavia IRIS 26 Conference, 9 – 12 August 2003, Haikko, Finland. 13 Dhillon, G., and Backhouse, J., Information system security management in the new millennium, Communications of the ACM, Vol. 43, 2000, page 125-128. 14 Dhillon, G. and Backhouse, J., Current Directions in IS Security Research: Toward Socio-Organisational Perspectives. Information Systems Journal 11 (2), 2001, page 127-153. 15 Backhouse, James, et. al., Risk Management in Cyberspace, Cyber Trust & Crime Prevention Project, London School of Economics and Politics, Bosphorous University, Copenhagan Business School, 2004.

10

5. Inadequate response from the criminal justice community. 16

Satu kesimpulan dalam hasil survey yang dilakukan oleh CSO Magazine, U.S Secret Service, dan CERT® Coordination Center, menyatakan : “Forty-three percent (43%) of security and law enforcement executives responding report that the total number of electronic crimes and network, systems or data intrusions experienced by their organizations increased in 2003 vs. 2002. Twenty-three percent (23%) report no change in the number of e-crimes and intrusions while only six percent (6%) report a decrease. Twenty-eight percent (28%) of respondents don’t know whether the total number of electronic crimes and intrusions differed in 2003 compared to 2002.” 17

Hasil serupa juga dapat ditemukan dalam hasil survey yang dilakukan oleh KPMG. Dalam survey tersebut menunjukkan, seperti tertera dalam Gambar 4, bahwa setiap tahun terjadi peningkatan kejahatan terhadap sistem informasi, bahkan bentuk-bentuk kejahatan terhadap sistem informasi tertentu, seperti e-mail intrusion, DoS / Exsternal attack dan Loss of software / data / documents meningkat mencapai 100% atau meningkat 2 kali lipat, apabila dibandingkan dengan 2 tahun sebelumnya. Gambar 4 Diagram Kejahatan Terhadap Sistem Informasi Tahun 2000 - 2004

Sumber : Information Security Survey 2004, KPMG.

Faktor-Faktor Terjadinya Cyber Crime Pada dasarnya kejahatan terhadap sistem informasi muncul karena adanya kesempatan. Opportunity is a “root cause” of threads. Pernyataan tersebut muncul berdasarkan hasil penggabungan atau sintesa beberapa pendekatan tentang munculnya kejahatan, yaitu : 1. Konsep routine activity approach dari Cohen dan Felson. 18

16

Caroll, John M., Computer Security in Fennelly, Lawrence J. (Ed.), Handbook of Lost Prevention and Crime Prevention, 2nd edition, Butterworth-Heinemann, 1989, page 498. 17 2004 e-Crime Wacth Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center, 2004, page 12. 18 Lihat Cohen, L. and Felson, M., Social Change and Crime Rate Trends : A Routine Activity Approach, American Sociological Review, Vol 44 No 4, 1979, page 588-608.

11

Menurut Cohen dan Felson dalam tulisannya menyatakan, kejahatan hanya akan muncul karena adanya konvergensi dalam waktu dan ruang dari 3 (tiga) aspek, yaitu likely offender, suitable target (sasaran kejahatan) dan capable guardian (penjagaan). Likely offender adalah individu yang mempunyai potensi atau kemungkinan untuk kemudian memutuskan melakukan kejahatan. Sasaran kejahatan adalah individu atau objek yang diserang atau diambil oleh pelaku kejahatan. Gambaran tentang likely offender dapat disimak dalam penjelasan yang ditulis oleh David Icove, et. al., yang membedakan pelaku cyber crime dalam 3 (tiga) kategori besar ; crackers, criminals dan vandals, halmana terinci dalam tabel sebagai berikut : 19 Tabel 6 Karakteristik Pelaku Cyber Crime Organizational Characteristics Catagories of offenders Crackers Groups Individuals

Criminals Espionage

Fraud / abuse

Vandals Strangers

Users Operational Characteristics Catagories of offenders Crackers Groups

Individuals

Criminals Espionage

Fraud / abuse

Organization

Recruitment / attraction

International connection

Unstructure organization with counterculture orientation. None ; these people are true loner.

Peer group attraction.

Interact and correspond with other groups around the world. Subscribe to cracker journals and may interact on cracker bulletin boards.

Supported by intelligence services.

In most cases, money ; some cases of ideological attraction ; attention. Money ; power.

Use computer networks to break into target computers around the world. Use wire services to transfer money internationally.

Loner or small group. May be quite young.

Revenge ; intellectual challenge ; money.

Often employee or former employee.

Revenge ; power ; intellectual challenge ; disgruntlement.

Use of computer networks and phone systems to break into target compter. None.

Planning

Level of expertise

Tactics / methods used

May involve detailed planning.

High

Study networks attempts are made.

Medium to high. Experience gained through social networks.

Enter target computers via computer networks. Exchange information with other crackers and groups. Use networks but more likely to use trial and error online than to do careful research and planning. Use BBSs to share accounts on other systems.

hostile

May operate as small organized crime group or as a loner.

before

Attracted challenge.

by

intellectual

Same characteristics cracker.

as

High.

Careful crime.

to

Medium o high, although is typically more experienced at

planning

prior

May contract with crackers to conduct information and data collection. May use more traditional intrusion methods such as

19

Deskripsi lengkap dapat dilihat pada Icove, David, et. al., Computer Crime : A Crimefighter’s Handbook, O’Reilly and Associates Inc., 1995, page 61 – 69.

12

Vandals Strangers Users Behavioral Characteristics Catagories of offenders Crackers Groups

Individuals

Criminals Espionage

Fraud / abuse Vandals Strangers Users Resource Characteristics Catagories of offenders Crackers Groups Individuals Criminals Espionage

Fraud / abuse Vandals Strangers Users

fraud than that at computer programming.

wiretapping and trap doors. Will break into systems using basic methods.

Not much planning. More a crime of opportunity. May involve detailed planning and execution.

Varies. Varies. May have high level of expertise.

Looks around until able to gain access to system. Trap doors and Trojan Horse programs. Data modification.

Motivation

Personal characteristics

Potential Weaknesses

Intellectual challenge ; peer group fun ; in support of a cause. Intellectual challenge ; problem solving ; power ; money ; in support of a cause.

Highly intelligent individuals. Counterculture orientation.

Donot consider offenses crime. Talk freely about action.

Moderately intelligent.

highly

May keep notes and other documentation on actions.

Money and chance to attack the system.

May be crackers operating in groups or as individuals.

Money or personal gain ; power.

Same personal characteristic as other fraud offender.

Become greedy for more information and then becomes careless. Become greedy and makes mistakes.

Intellectual challenge ; money ; power. Revenge againts organization ; problem.

Same characteristic as crackers. Usually has some computer expertise.

May become too brazen and makes mistakes. May leave audit trail in computer logs.

Training skills

Minimun equipment needed

Support structure

Basic computer quipment with modem. Basic computer quipment with modem.

Peer group support.

Basic computer quipment with modem. In some cases, uses more sophisticated devices. Computer with modem or access to target computer.

Support may come from sponsoring intelligence agency. Peer group ; posible organized crime enterprise.

Basic computer quipment with modem. Access to target computer.

Peer group support.

High level of training. Expertise gained experience.

informal through

Various levels of expertise.

Some experience.

programming

Range frome basic to highly skilled. Some computer expertise. Knowledge of programming ranges from basic to advanced.

to

BBS ; information exchanges.

None.

Dari gambaran di atas maka para pelaku cyber crime dapat siapa saja. Suatu objek dapat menjadi atau beresiko sebagai sasaran kejahatan karena objek tersebut mempunyai VIVA (value, inertia, visibility, dan access). Value mengacu kepada persepsi pelaku kejahatan terhadap nilai secara materi atau pun non materi dari sasaran kejahatan. Inertia mengacu kepada persepsi pelaku terhadap besar volume atau berat dari sasaran kejahatan untuk dapat dipindah-tempatkan. Visibility mengacu kepada exposure sasaran kejahatan terhadap pelaku kejahatan. Access mengacu kepada posisi fisik, peletakan atau penempatan sasaran kejahatan.

13

Clarke pada tahun 1999 menerbitkan sebuah tulisan yang merevisi konsep VIVA menjadi CRAVED (Concealable, Removable, Available, Valuable, Enjoyable, Disposable). Dengan konsep revisinya tersebut makin menjelaskan jawaban akan potensi sesuatu untuk menjadi sasaran kejahatan. Revisi konsep tesebut dijelaskan sebagai berikut : 20 1. Concealable mengacu pada kondisi bahwa sesuatu yang dapat dengan mudah disembunyikan atau disamarkan dari pengetahuan orang lain akan menjadi sasaran kejahatan yang potensial. Dalam cyber space hasil curian dapat dengan mudah disembunyikan, cukup dengan menyimpannya dalam e-suitcase atau dalam e-mail (seperti fasilitas yang diberikan gratis oleh banyak provider dan kapasitasnya makin besar) atau dengan menggunakan teknik kriptografi, bahkan dalam konteks tertentu pencurian tetap dapat dilakukan tanpa membawa barang curian (cukup dengan meng-copy). 2. Removable mengacu pada suatu kondisi bahwa sesuatu yang dapat dengan mudah dipindah-tempatkan akan menjadi sasaran kejahatan yang potensial. Hal ini dapat dikarenakan : a. Ukuran fisik dari sasaran kejahatan tersebut yang bersifat compact, kecil, ringan, tidak memakan tempat dan mudah dibawa. Perkembangan teknologi komputer menyebabkan dimensi fisik media penyimpanan data atau informasi semakin kecil, sementara kapasitas penyimpanannya semakin besar. b. Sasaran kejahatan sedang berada dalam proses dipindah-tempatkan. Salah satu karakteristik dari sistem informasi adalah bahwa selalu terjadi aliran data dan informasi dalam jaringan. Kondisi inilah yang menyebabkan data atau informasi rentan untuk disadap atau “dibajak”. c. Pelaku kejahatan memiliki kesempatan atau waktu yang cukup untuk memindah-tempatkan sasaran kejahatan. E-bussiness yang mensyaratkan ketersediaan dalam 7 hari dalam 24 jam secara otomatis memberikan waktu yang sama kepada para pelaku kejahatannya untuk melakukan kejahatan dan memindahkan hasil kejahatannya dengan leluasa.. 3. Available, konsep ini mengacu kepada beberapa aspek, yaitu : a. Sesuatu merupakan sasaran kejahatan bila sesuatu tersebut merupakan produk baru atau hasil inovasi baru yang menarik, memunculkan exposure, dan kemudian secara cepat membentuk pangsa pasar yang ilegal. Dengan konsep ini menjelaskan terjadinya pencurian data dan informasi, serta terhadap produk-produk teknologi informasi (seperti laptop dan sebagainya). b. Sesuatu merupakan sasaran kejahatan bila sesuatu tersebut mudah dijangkau (accessibility) oleh pelaku kejahatan. Keberadaan internet menjadikan all information potentially available to everyone. 4. Valuable, mengacu kepada suatu kondisi bahwa sesuatu sangat potensial untuk menjadi sasaran kejahatan apabila mempunyai nilai (value) penting atau dianggap berharga oleh pelaku kejahatan. 20 Lihat Clarke, Ronald V., Hot Products: Understanding, Anticipating and Reducing Demand for Stolen Goods, Police Research Series Paper 112, Home Office Policing and Reducing Crime Unit Research, Development and Statistics Directorate, 1999, page 2226.

14

5. Enjoyable, konsep ini mengacu pada suatu kondisi bahwa sesuatu sangat potensial untuk menjadi sasaran kejahatan apabila pelaku merasakan kepuasan atau memperoleh keuntungan (benefit) kejahatan yang dilakukannya. Para cracker melakukan cyber crime bukan hanya demi keuntungan materi tetapi kepuasan akan keberhasilan mengakali sistem keamanan sistem informasi. 6. Disposable, konsep ini mengacu pada suatu kondisi bahwa sesuatu sangat potensial untuk menjadi sasaran kejahatan apabila mudah untuk dipindahtangankan atau dijual kembali ke pasaran. Dengan internet seseorang dapat dengan mudah mencari orang lain atau memasang iklan terkait hasil kejahatannya. 2. Konsep crime facilitators dari Clarke. 21

Menurut Clarke perlu juga disadari bahwa terjadinya kejahatan sering kali juga didukung dengan adanya atau keberadaan fasilitator, yaitu objek yang mendukung atau mempermudah untuk dilakukannya atau memungkinkan terjadinya kejahatan. Bahkan pada bentuk kejahatan tertentu peranan objek tertentu sebagai fasilitator sangat berperan terhadap terjadinya kejahatan. Kesadaran akan adanya fasilitator ini menjadi penting mengingat kemungkinan dalam melakukan identifikasi titik-titik dimana akan diletakkan penjagaan atau pengamanan bahkan membuat suatu regulasi yang mengatur penggunaan objek tersebut. Dalam konteks cyber crime, menjamurnya warnet dengan sistem pencatatan pelanggan yang kurang baik merupakan fasilitator yang sempurna bagi pelaku. 3. Konsep intimate handler dari Felson. 22

Mengacu pada social control theory dari Hirschi, Felson merangkum konsep commitments, attachments, involvements dan beliefs 23 kemudian memperkenalkan satu konsep individual handler. Individual handler dianggap merepresentasikan individu yang mempunyai pengetahuan yang cukup dan keberadaannya disadari oleh para individu yang berpotensi untuk menjadi pelaku kejahatan dalam memberikan pengaruh penggentarjeraan (special deterrence) dengan mengingatkan pelaku akan ikatan sosial yang dimilikinya sehingga individu tersebut mengurungkan niatnya dan dapat mencegah dilakukannya kejahatan oleh individu tersebut. Dalam cyber crime, kurangnya sosialisasi akan security awareness, lemahnya pengawasan dan lemahnya penegakkan hukum berperan dalam terjadinya dan meningkatnya kejahatan ini. 21

Lihat Clarke, R. (ed.), Situational Crime Prevention : Successful Case Studies, 2nd edition, Harrow and Heston, Albany, NY, 1997. Felson, M., Linking Criminal Choices, Routine Activities, Informal Control, and Criminal Outcomes. In D. Cornish and R. Cornish (eds.), The Reasoning Criminal : Rational Choice Perspectives on Offending. New York. Springer-Verlag, 1986. 23 Lihat Hirschi, T., Causes of Delinquency. University of California Press. Berkeley and Los Angeles, 1969. 22

15

Cyber crime prevention

Terdapat 25 (dua puluh lima) teknik dalam kerangka pencegahan kejahatan situasional ini, seperti terlihat di bawah ini : 24 A. Increased the percieved efford of crime adalah strategi pencegahan kejahatan situasional yang dilakukan dengan meningkatan pencegahan yang kasat mata sehingga mempersulit atau meningkatkan upaya atau usaha apabila ingin melakukan kejahatan, seperti : 1. Targets harderning, memperkuat atau melindungi sasaran kejahatan dengan meningkatkan standar keamanan untuk mempersulit pelaku dan merancang ulang objek yang cenderung sering dirusak pelaku. 2. Control access to facilities, mempergunakan halangan fisik maupun psikologis untuk mencegah pelaku masuk ke dalam suatu lokasi atau lingkungan tempat sasaran kejahatan berada. 3. Screen exits, melakukan pengawasan pada pintu keluar dan mendeteksi orang atau barang yang boleh atau tidak boleh dibawa ke luar dari suatu lingkungan 4. Deflecting offenders, menjauhkan pelaku kejahatan dari sasaran kejahatan. 5. Control crime facilitators (tools or weapons), mengendalikan alat-alat yang dapat dipergunakan untuk melakukan kejahatan. B. Increased perceived risk adalah strategi pencegahan kejahatan situasional yang dilakukan dengan meningkatkan resiko yang jelas dan kasat mata, seperti : 1. Extend guardianship, memperluas jangkauan wilayah penjagaan atau memperbanyak jumlah penjaga. 2. Assist natural surveillance, membantu atu memfasilitasi pegawasan yang dilakukan secara alamiah oleh semua orang yang berada di suatu tempat atau lokasi. 3. Reduce anonimity, mengurangi anonimitas. 4. Utilise place managers, memberikan beban tanggung jawab atau mendayagunakan para petugas pengawas di lapangan untuk ikut secara aktif melakukan pengawasan. 5. Strengthen formal surveillance, meningkatkan pengawasan formal yang dilakukan oleh petugas keamanan dengan melakukan patroli atau membuat pos-pos penjagaan. C. Reducing anticipated rewards adalah strategi pencegahan kejahatan situasional yang dilakukan dengan mengurangi imbalan yang diharapkan oleh pelaku dari hasil kejahatannya, seperti : 1. Conceal targets, gunakan teknik kriptografi dengan baik. 24 Lihat Clarke, R. (ed.), Situational Crime Prevention : Successful Case Studies, 2nd edition, Harrow and Heston, Albany, NY, 1997 dan Cornish, Derek B. and Clarke, Ronald V., Opportunities, Precipitators and Criminal Decision : A Reply to Wortley’s Critique of Situational Crime Prevention, Crime Prevention Studies, Vol. 16, 2003, page.41-96.

16

2. Targets removal, memindahkan sasaran kejahatan ke tempat yang lebih aman atau mengalihkan pelaku kejahatan dari sasaran kejahatan yang bernilai vital atau penting. 3. Identifying property, memberikan identifikasi kepada sasaran kejahatan. 4. Disrupt markets, sediakan paket produk TI dengan harga murah, sehingga pameo “dari pada membajak lebih baik beli aslinya” dapat hidup kembali. 5. Denying benefits, mengurangi keuntungan yang didapat dari dilakukannya kejahatan. D. Reduce provocations seperti : 1. Reduce frustrations and stress, 2. Avoids dispute, 3. Reduce emotional arousal, 4. Neutralise peer group pressure, melakukan netralisasi terhadap tekanan atau dorongan yang dapat mempengaruhi seseorang untuk melakukan kejahatan terutama yang datangnya lewat kelompok intim. 5. Discourage imitation, E. Removing excusses adalah strategi pencegahan kejahatan situasional yang dilakukan dengan cara menghilangkan alasan dilakukannya kejahatan, seperti : 1. Rule setting, membuat pengaturan mengenai keamanan di lingkungan. 2. Post instruction, menempatkan papan petunjuk atau peringatan. 3. Stimulating conscience, meningkatkan kewaspadaan seluruh elemen yang ada dalam lingkungan. 4. Facilitating compliance, upaya yang dilakukan agar mentaati peraturan dengan senang hati. 5. Controlling drugs and alcohol, mengendalikan peredaran narkotika dan alkohol.

Kesimpulan Dari paparan di atas dapat disimpulkan bahwa : 1. Cyber crime terjadi karena : a. Sistem informasi merupakan hot product bagi para penjahat. b. Cyber space merupakan hot space. c. Adanya fasilitator yang mendukung terjadinya kejahatan. d. Tidak adanya capable guardian bagi sistem informasi. e. Tidak adanya intimate handler. 2. Pada masa yang akan datang cyber crime akan terus meningkat. Manfaatkan kelemahan sifat pelaku cyber crime dalam malakukan deteksi.

17

Referensi : 2004 e-Crime Wacth Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center, 2004, page 12. Anton, Philip S., et. al., Finding and fixing vulnerabilities in information systems : the vulnerability assessment and mitigation methodology, RAND National Defense Research Institute, 2003, page 5. Backhouse, James, et. al., Risk Management in Cyberspace, Cyber Trust & Crime Prevention Project, London School of Economics and Politics, Bosphorous University, Copenhagan Business School, 2004. Blackhouse, J., Information at Risk, Information Strategy, January 1997, page 33 -35. Caroll, John M., Computer Security in Fennelly, Lawrence J. (Ed.), Handbook of Lost Prevention and Crime Prevention, 2nd edition, Butterworth-Heinemann, 1989, page 498. Crimes related to computer networks, Tenth United Nations Congress on the Prevention of Crime and the Treatment of Offenders Vienna, 10-17 April 2000, page 4 - 5. Icove, David, et. al., Computer Crime : A Crimefighter’s Handbook, O’Reilly and Associates Inc., 1995, page 96 – 98. Dhillon, G. and Backhouse, J., Current Directions in IS Security Research: Toward Socio-Organisational Perspectives. Information Systems Journal 11 (2), 2001, page 127-153. Dhillon, G., and Backhouse, J., Information system security management in the new millennium, Communications of the ACM, Vol. 43, 2000, page 125-128. Felson, M., Linking Criminal Choices, Routine Activities, Informal Control, and Criminal Outcomes. In D. Cornish and R. Cornish (eds.), The Reasoning Criminal : Rational Choice Perspectives on Offending. New York. Springer-Verlag, 1986. Grabosky, Peter, Computer Crime: A Criminological Overview, Prepared for Presentation at the Workshop on Crimes Related to the Computer Network, Tenth United Nations Congress on the Prevention of Crime and the Treatment of Offenders, Vienna, 15 April 2000. Kenneth C. Laudon and Jane P. Laudon, Management Information Systems : Managing The Digital Firm, 8th edition, Prentice Hall, 2004, page 8. Kumar, Atul, Cyber Crime – Crime Without Punishment, 2002. Clarke, R. (ed.), Situational Crime Prevention : Successful Case Studies, 2nd edition, Harrow and Heston, Albany, NY, 1997. Cornish, Derek B. and Clarke, Ronald V., OPPORTUNITIES, PRECIPITATORS AND CRIMINAL DECISIONS : A REPLY TO WORTLEY'S CRITIQUE OF SITUATIONAL CRIME PREVENTION, Crime Prevention Studies, Vol. 16, 2003, page.41-96. Clarke, Ronald V., Hot Products: understanding, anticipating and reducing demand for stolen goods, Police Research Series Paper 112, Home Office Policing and Reducing Crime Unit Research, Development and Statistics Directorate, 1999, page 22-26. Cohen, L. and Felson, M., Social Change and Crime Rate Trends : A Routine Activity Approach, American Sociological Review, Vol 44 No 4, 1979, page 588-608. Hirschi, T., Causes of Delinquency. University of California Press. Berkeley and Los Angeles, 1969. Michael Greenwald, Carl A. Gunter, Bjorn Knutsson, Andre Scedrov, Jonathan M. Smith, Steve Zdancewic, Computer Security is Not a Science (But It Should Be), University of Pennsylvania. Robert Willison and James Backhouse, Understanding Criminal Opportunity in the IS Security Context, paper presented at the Information Systems Research Seminar in Scandinavia IRIS 26 Conference, 9 – 12 August 2003, Haikko, Finland. Understanding Situational Crime Prevention, AICrime Reduction Matters, No. 3, 17 June 2003, page 2. Ward, John and Peppard, Joe, Strategic Planning for Informations Systems, 3rd edition, John Wiley & Sons Ltd., 2002, page 74.

18