KASUS “INDIANA UNIVERSITY COMPUTER NETWORK” PENJELASAN KASUS Pada hari rabu tanggal 12 Maret 1997 lebih dari 2.000 staf pengajar Indiana University menerima e-mail yang berisi pesan apakah anda tahu bahwa kerahasiaan di Indiana University tidak terjamin? Apakah mereka menghubungi anda tentang hal ini? Pengirim pesan tersebut adalah Glen Roberts yang memuat bahwa dirinya adalah berprofesi sebagai pengacara pribadi dan pengusaha internet. Dari internet Robert mendapatkan file Indiana University berisi nama dari 2.760 pengajar di Indiana University lengkap dengan social security number (SSN), alamat, nomor telepon yang semuanya di-download dan ditaruh di website-nya. File ini sebelumnya dibuat oleh tamatan mahasiswa Indiana University dengan tujuan menyediakan informasi untuk kepentingan penelitian dari pengajar sehingga mereka bisa untuk meningkatkan pendapatannya jika ada orang-orang yang memerlukannya. Semua informasi yang ada di website Indiana University seharusnya dilindungi dengan password. Menurut Norma Holland, Direktur Computing Services, menyatakan bahwa kita mempunyai apa yang disebut dengan firewall untuk menjaga data-data mana yang tidak boleh dilihat oleh umum dan hanya orang yang memiliki kata sandi saja yang bisa memperoleh data atau informasi dimaksud. Akan tetapi data yang sangat sensitif tersebut tidak dilindungi oleh firewall. Menurut Jeffrey Albertus, merupakan seorang associate dekan, hal ini merupakan data yang hilang tanpa terdeteksi ketika proses sistem di-upgrade untuk menjadikannya lebih aman. Indiana University segera memindahkan data tersebut dan menyimpannya pada gateway service yang lama. Dalam suasana yang disebutkan sebagai ‘suatu pembuka mata’ oleh wakil presiden public affairs Cristopher Simpson, masih beruntung dimana kebanyakan data- data sensitif tidak membahayakan walaupun sangat sensitif jika data tersebut tersebar luas seperti ini. Ini sangat jauh berbeda dengan orang-orang yang mempunyai akses untuk melihat data- data sensitif yang memang merupakan hak miliknya. Ini merupakan peringatan yang sangat bagus dan bagaimana kita belajar dari pengalaman ini. Tetapi
Robert
mengajukan
tentang
kemungkinan
permasalahan
lainnya
yang
berhubungan dengan keamanan data-data. Anda harus ingat, walaupun dalam website ini adanya 1
informasi yang disebarkan dengan cara yang tidak mengenakan, bahaya yang sesungguhnya adalah jika terdapat orang yang secara diam-diam mendapatkan informasi dari website anda dan menggunakannya untuk hal-hal yang tidak bertanggungjawab. Robert mengklaim bahwa kegiatan yang bersifat pribadi yang dibuat tahun 1974 melarang agen-agen seperti Indiana University untuk menanyakan masalah social security number (SSN). SSN ini sudah termasuk dalam data bagi para pengajar di Indiana University dimuat di internet. Walaupun data-data tersebut tidak dipergunakan untuk umum, namun pihakpihak yang mengumpulkan data-data seperti ini di internet jelas –jelas tidak mengerti tentang pokok persepsi berkaitan dengan hal yang bersifat pribadi atau rahasia. Penjelasan dari Robert Robert digambarkan sebagai seorang teman yang menyenangkan dan sekaligus sebagai perusak komputer. Menurut Erie Times yang memuat tentang profile Robert beberapa bulan sebelum kejadian, dimana dia datang ke Oil City dari wilayah Chicago dimana dia mempublikasikan sebuah topik yang membahas tentang isu-isu yang bersifat pribadi. Dia sudah mengoperasikan program gelombang radio jarak dekat dan sekarang dia sedang memprogram radio di internet. Dia juga sebagai konsultan di jaringan televisi dan tampil pada diskusi-diskusi lokal. Robert juga mempublikasikan beberapa web page dan bekerja sebagai konsultan komputer. Robert mengatakan bahwa dia menemukan file Indiana University pada saat dia mengecek domain-nya sendiri. Dengan mengetik SSN ke dalam modul info pencarian. Robert berkata bahwa dia mendapatkan daftar masukan yang bisa menunjukkan nama dan SSN. Dengan membuka data tersebut dia menemukan data base penelitian dari Indiana University. Robert berkata bahwa dia sudah berkecimpung dalam mempublikasikan isu-isu yang bersifat pribadi kurang lebih selama 15 tahun. Ketertarikannya dimulai dengan menggunakan kebebasan untuk mendapatkan informasi dan mendapatkan salinan dari dokumen-dokumen pemerintah. Dia sangat terkejut dengan jumlah informasi yang tersedia, dimana orang-orang tidak selalu memperhatikannya. Dia sebenarnya sudah tertarik untuk melihat SSN yang sangat memungkinkan penggunaan identitas seseorang secara illegal. Robert mengatakah bahwa isu ini adalah isu universitas yang mengumpulkan informasi dan memasukan ke dalam data base tanpa bermaksud untuk menyebarkan ke seluruh dunia, akan 2
tetapi dengan maksud untuk memberikan akses orang-orang yang membutuhkan informasi tersebut. Robert mengatakan bahwa dia mempublikasikan daftar dari Indiana University, sebab isu-isu yang bersifat pribadi tidak selalu menjadi hal yang menarik bagi orang lain sampai hal itu bisa berpengaruh pada dirinya. Intinya bahwa hal-hal yang bersifat pribadi adalah sangat penting akan tetapi hanya penting pada saat mempengaruhi diri sendiri. Orang-orang bisa merasakan lebih dahulu dan dengan pengalaman itu akan memunculkan lebih banyak debat-debat publik dan langkah-langkah yang akan dilakukan berhubungan dengan isu tersebut. Dia menambahkan bahwa dia merasa sangat terganggu dengan orang-orang yang merasa tidak senang dengan dia karena dia memasukkan nama dan SSN dimana mereka mendapatkan secara gratis yang tidak seorangpun memikirkan bahwa informasi-informasi ini sudah terjual di seluruh dunia. Hal semacam ini seharusnya diberlakukan juga di perusahaan-perusahaan, walaupun mereka sudah menjual informasi-informasi tersebut. Reaksi dari Fakultas Banyak dari dosen-dosen Indiana University yang sudah dipublikasikan tidak setuju dengan taktik yang diterapkan oleh Robert. Mereka pada intinya mempermasalahkan bahwa SSN itu sangat mudah didapatkan dan lebih dari 100 dosen memprotes taktik yang dilakukan oleh Robert. Saya datangi Robert dan berkata “saya menyukai orang-orang yang waspada tetapi perlukah, informasi-informasi ini dimasukkan ke website kamu untuk mencapai tujuanmu?” kata Kurt Zorn, urusan umum dan lingkungan Indiana University. Saya pikir dia lebih merusak dengan melakukan hal ini daripada keteledoran yang dilakukan oleh Indiana University. Akan lebih efektif bila dia mengingatkan kita akan masalah ini. Professor hukum Ed Greenebaum menambahkan bahwa dia yakin telah membuat penilaian tentang Indiana University tanpa informasi yang lengkap dan ini sangat tidak adil. Pengaruhnya dengan mempublikasikan kita atau membawa kita ke dalam situasi yang berbahaya yang mana dia beralasan untuk melakukan langkah antisipasi. Greenebaum mengatakan bahwa perhatian saya tidak pada maksud dari Indiana University akan tetapi kenapa data-data pribadi ini diperlukan. Dalam pandangan saya itu tidak konsisten untuk memfasilitasikan pendistribusian dari SSN kita.
3
Dengan adanya ancaman dari Indiana University untuk melakukan tindakan hukum dan protes secara besar-besaran dari team dosen Indiana University, Robert memindahkan data-data Indiana University dari webpage-nya dan dia berkata bahwa dia tidak punya maksud untuk memasukkan nama dan SSN tadi lagi. Pengaruhnya Pada tanggal 27 Maret, professor yang menekuni keagamaan James Akerman mengatakan bahwa ia menerima tagihan telephone untuk untuk penggunaan internet pada credit card-nya yang bukan merupakan kepunyaanya. Walaupun itu tidak dapat dibuktikan dia yakin bahwa seseorang sudah menggunakan namanya dan SSN dari webpage-nya Robert. Dalam dua minggu, Ackerman menerima tagihan telephone untuk internet, menerima telephone dari AT&T yang menyatakan bahwa siap melakukan telephone conference yang mana dia tidak pernah melakukan permintaan tersebut, menerima pernyataan dari Amritech menanyakan apakah dia melakukan telephone dari Jerman ke Portugal, Oregon dan menemukan adanya kartu telephone terbuka atas namanya. William Boone, professor pendidikan mengatakan bahwa istrinya menerima pertanyaan dari MCI, departemen yang mengurusi masalah penipuan. Mereka menanyakan tentang telephone yang dilakukan dari Jerman menggunakan nomer kartunya Boone. Walaupun tidak ada bukti bahwa itu berasal dari webpage-nya Robert, Boone dan yang lainnya yakin bahwa kejadian ini bukan merupakan kejadian yang kebetulan. Bagaimana mungkin dua professor Indiana University mendapatkan adanya penggunaan telephone tanpa seijinnya dari Jerman? Bagaimana mungkin hal ini tidak berhubungan dengan isu web di seluruh dunia? Kata Bonne. Istrinya Boone mengatakan bahwa isu ini belum terselesaikan. Ini merupakan pelanggaran. Ini seperti seseorang mengenal kamu tapi kamu tidak mengenal mereka. Ini sangat membuat kita tidak nyaman. Sutuasi ini membuat Ackerman frustasi, dimana perusahaan credit card bilang bahwa mereka tidak bisa melakukan block atas SSN-nya. Ackermen juga menghubungi kantor penasehat hukum Indiana University, yang tidak bisa memberikan banyak bantuan. Menurut mereka bahwa ini tidak ada hubungannya dengan webpage-nya Robert kata Michael Klein. Ada kalanya ini merupakan suatu kebetulan tapi kamu tidak tahu. Akan tetapi, universitas sedang menyelidiki apakah Robert bisa dikenakan sanksi 4
hukum bila dosen-dosen Indiana University mengalami kerugian secara finansial atau sebaliknya. Klein menambahkan dimana universitas sedang mempelajari isu penggunaan SSN dalam proses belajar mengajar. Sebagai lembaga, kita sedang mempelajari lebih mendalam apakah ada alternatif yang lainnya.
5
ANALISIS KASUS PERMASALAHAN : Permasalahan di Indiana University muncul ketika lebih dari 2000 staf pengajar universitas tersebut menerima email dari Glen Robert yang menyatakan bahwa kerahasian di universitas tersebut tidak terjamin. Hal ini dikarenakan informasi yang ada di website Indiana University tidak dilindungi dengan password dan tidak adanya firewall untuk menjaga data yang hanya boleh dilihat oleh pihak yang memilki password tersebut. Robert berprofesi sebagai pengacara pribadi dan pengusaha internet. Robert mendapatkan file Indiana University berisi nama dari 2.760 pengajar di Indiana University lengkap dengan social security number (SSN), alamat, nomor telepon yang semuanya di-download dan ditaruh di website-nya. Menurut pendapat Robert, informasi yang ia kumpulkan dan masukkan ke dalam database tidak bertujuan untuk disebarkan keseluruh dunia tetapi dengan maksud untuk memberikan akses orang-orang yang membutuhkan informasi tersebut, dia juga mengatakan bahwa isu-isu yang bersifat pribadi tidak selalu menjadi hal yang menarik bagi orang lain sampai hal itu berpengaruh pada dirinya. Namun beberapa dosen mempermasalahkan mudahnya mendapatkan SSN. Pengaruh dari adanya permasalahan tersebut dimana ada beberapa dosen yaitu Akerman dan William Boone yang mendapatkan tagihan telepon dan tagihan kartu kredit yang menurut mereka tidak pernah mereka lakukan. Universitas sedang melakukan penyelidikan apakah Robert bisa dikenakan sanksi hukum bila dosen-dosen Indiana University mengalami kerugian secara financial. PEMBAHASAN KASUS Sistem keamanan informasi memiliki peran dalam mengendalikan risiko. Dalam permasalahan kasus ini informasi data pribadi dari staff pengajar Indiana University dapat diakses dan dibaca atau diubah secara bebas oleh orang yang tidak memiliki kuasa (unauthirized person) karena tidak dilindungi dengan pasword, hal tersebut dimanfaatkan oleh pihak lain sehingga berdampak terhadap kerugian secara finansial. Berdasarkan kasus ini diperlukan adanya pembatasan akses. Hal tersebut sangat penting untuk menjaga fasilitas tersebut dari berbagai risiko yang mungkin akan timbul, termasuk yang alami atau karena perbuatan manusia, kekacauan, kecelakaan, keajaiban sabotase sering dilakukan oleh karyawan yang tidak puas. Pembatasan tersebut belumlah cukup karena semua orang akan mencoba untuk mengakses 6
sistem komputer dan semua akses yang tidak memiliki otoritas seharusnya dimonitor. 2 (dua) tipe dari log dan jenis khusus dari software controll access yang memfasilitasi proses monitoring ini adalah : 1.
Access Log. Sebuah access log umumnya merupakan sebuah komponen dari sebuah modul sistem keamanan operasi, merekam semua percobaan untuk berinteraksi dengan database. Log ini mereflesikan waktu, data, kode dari seseorang yang mencoba mengakses, tipe dari pemeriksaan atau mode dari permintaan akses dan data dapat diakses. Hal ini menciptakan jejak audit yang seharusnya di-review oleh sistem keamanan.
2.
Console Log. Console log atau sebuah internal run log cocok untuk komputer mainframe yang menggunakan pemrosesan batch. Hal itu merekam semua aktivitas atau kegiatan dari sistem operasi dan operator komputer. Access Controll Software. Menyediakan pengendalian akses level paling tinggi dibanding akses lain atau console log. Seperti software yang berhubungan dengan sistem operasi komputer untuk membatasi akses file. Paket ini juga dapat menghasilkan jejak audit dan dapat mendeteksi akses yang tidak berhak. System dan Program Change Log. Dapat memonitor perubahan ke program, file, dan kontrol. Seorang manajer pengembangan sistem memasukkan ke dalam log ini semua perubahan yang tidak berhak. Pemasukan ini seharusnya di-review oleh internal auditor untuk taat terhadap pemberian perintah mengubah prosedur
KESIMPULAN Indiana University tidak menyadari adanya kekurangan dalam system keamanan data dan informasi pribadi yang ada di websitenya. sehingga data tersebut sangat mudah diakses oleh umum karena tidak adanya tindakan pengamanan terhadap data-data dan informasi tersebut yaitu yang berhubungan dengan pengesahan dan otorisasi para pemakai. Para pemakai memerlukan kata sandi, lencana, kartu magnetik, atau kartu cerdas modul keamanan atau system yg dinamakan firewall yang digunakan dalam sistem operasi itu . Akan tetapi data yang sangat sensitif tersebut tidak dilindungi oleh firewall. Tanpa adanya kata sandi ini, semua data-data dan informasi termasuk social security number bisa didapat dengan mudah di website Indiana University. Dalam kasus ini diperlukan adanya pembatasan akses, dimana semua akses yang tidak memiliki otoritas seharusnya dimonitor, jika hal ini tidak dilakukan maka social security 7
number ini bisa digunakan oleh orang-orang yang tidak bertanggung jawab untuk melakukan penipuan dalam penggunaan credit card ataupun telepon, seperti yang dialami oleh James Akerman dan William Boone.
8
Kasus
Martin Case Study IV-11 “Indiana University Computer Network”
KELOMPOK 1 : Gusti Ayu Dwi Anggandari Putu Dewi Jayanthini Ni Putu Diah Suartini A.A. Istri Ngurah Setiawati
(1206325007) (1206325010) (1206325021) (1206325028)
Program PPAk Universitas Udayana Denpasar 2013 9
10
