Keamanan Informasi untuk Layanan Publik

Keamanan Informasi untuk Layanan Publik

Keamanan Informasi untuk Layanan Publik 

TIK dan Pemerintah Daerah



Keamanan Informasi untuk Semua



Upaya pengamanan



Post Mortem - Forensik



Apa yang harus kita lakukan?

Dr. rer. nat. I Made Wiryana, SKom, SSi, MAppSc

I MADE WIRYANA – 19 OKTOBER 2016 – SECURITY AWARENESS– CROWN HOTEL JKT

Keamanan Informasi untuk Layanan Publik Dosen Universitas Gunadarma and peneliti RVS Arbeitsgruppe – Bielefeld University) Pengelola teknis Situs Kemenpora, (mantan pengelola teknis Situs Presiden dan Wapres) Pengelola Incubator Business Centre (UG-IBC) Penulis : buku dan artikel majalah Pengembang : Simbada, flora-Indonesia, WinBI, Computer Aided Test untuk Polda (test masuk Brigadir, Penyidik khusus, SIP) Tim seleksi beasiswa DAAD Jerman, Dikti Wakil Indonesia untuk standardisasi profesi bidang TI untuk Asia Pacific (SEARCC), pengurus IPKIN, AOSI, YPLI, MIKTI, APSICI, AFDI Tim teknis Standard Nasional Indonesia (SNI), Tim Ahli Badan Standard Nasional Pendidikan (BSNP) dan Tim pakar SKKNI (BNSP)



Universitas Gunadarma Perguruan Tinggi Swasta, swadana, dituntut efisien dalam operasi dan cepat dalam pengembangannya Di Jakarta dengan kampus di 12 lokasi sekitar Jakarta Memiliki lebih dari 40.000 mahasiswa dengan lebih dari 1200 staf tetap Universitas terakreditasi A dan sebagian besar Program studi terakreditasi A, dan sisanya B



TIK dan Pemerintah Daerah



Fungsi dan pengguna sistem informasi ●

Mendiseminasikan informasi

●

Transaksional

●

Melakukan kolaborasi

●

Melakukan dukungan komunitas

●

Fungsi direktori, klasifikasi, katalog

●

Bagian pendukung dari Knowledge Management

Organisasi Peraturan Business Prosess Human

Publik Badan negara lainnya Lembaga penegak hukum lainnya Lembaga Swadaya Masyarakat



Kerjasama dengan Pemkab/Pemkot ●

Pemerintah Propinsi Aceh dan Pemda-pemda di Aceh dalam menerapkan SIMBADA (Sistem Informasi Manajemen Barang Daerah)

●

Pemerintah kota Depok (Cyber City)

●

Pemerintah kota Pekalongan dalam menerapkan TIK dan bidang lainnya

●

Pemerintah kota Tangerang Selatan di dalam penerapan SIMBADA

●

●

Pemerintah Kabupaten Pulau Seribu dalam berbagai bidang (tata kota, perpustakaan daerah, penggunaan TIK) Pemerintah Kabupaten Kota Waringin Timur dalam penerapan SIMBADA, peningkatan pendidikan daerah dan SDM Pemda

●

Pemerintah Kabupaten Tegal, dalam revisi Master Plan IT

●

Pemda Maluku, Pemda Sorong, dan lain sebagainya


Secure Portal

Keamanan Informasi untuk Layanan Publik Digunakan di Presiden, Wakil Presiden, Kemenpora, Beasiswa Unggulan dlsb Content Management System yang dibangun dari scratch untuk kebutuhan pengguna non teknis (wartawan, pegawai pemerintah) Berita dapat dimasukkan dari semua satuan kerja, tetapi tetap dengan mekanisme persetujuan Ada fasilitas “preview” semua situs (bukan hanya 1 halaman) Mendukung tampilan mobile Tersedia untuk badan pemerintah melalui Univ. Gunadarma Mendukung deposit dokumen di perpustakaan nasional



Teknologi SIMBADA Permendagri No 17 tahun 2007, 52 report Kesepakatan 5 menteri IGOS, 30 Juni 2004 Surat Edaran MenPAN No SE/01/MPAN/3/2009 UU No. 14 Tahun 2006 Keterbukaan Informasi Publik Aplikasi GIS → UU Geospatial Berbasis Web dengan disain berorientasi sekuriti

x

Cloud Computing untuk recovery dan backup Web 3.0 (Aplikasi dengan Web services) Dapat diimplementasi untuk teknologi mobile 52 jenis report sesuai Permendagri Sistem validasi untuk pemeriksaan integritas dan audit trail Dapat dikustomisasi



Permasalahan Sistem Elektronik Ketidak sesuaian sistem yang dikembangkan dengan yang dibutuhkan pengguna. Ketidak sinambungan antara pengembangan sistem apalagi pengembangan SIM bukan merupakan proyek multiyear Ketidak mampuan sistem untuk bertukar data Rendahnya kinerja sistem akibat tidak adanya tahapan uji coba yang baku. Kurangnya dukungan organisasi. Beragamnya SIM dan pengerjaanya: – Beragam metoda pengembangan yang dan digunakan oleh beragam pihak ke-3 – Beragam jenis teknologi – Beragam jenis program – Beragam jenis format data



Blueprint untuk sustainabilitas PENGEMBANGAN TEKNIS PENGEMBANGAN SDM PENGEMBANGAN ORGANISASI

Perencanaan Pengembangan

Pengujian

STRATEGI, ROADMAP BAKUAN

Pengoperasian

Audit dan Review

PANDUAN AUDIT SISTEM INFORMASI



Keamanan Informasi untuk semua



Perangkat lunak 

Microcode



Firmware



Operating System



Library



Application



Application on the top application (web apps)



3 gelombang ancaman 

Fisik 



Sintatik 



Menyadap saluran telfon/radio, memutus dan mengarahkan ke saluran palsu dsb Melakukan remote exploit, DdoS dan sebagainya

Semantik 

Memanfaatkan serangan terhadap pemberitaan



Jaringan saat ini



Komposisi hybrid yang menjangkau geografi luas dan berbagai sektor



Kompleksitas sistem makin tinggi



Meningkatnya konektifitas (bluetooth, wifi, dsb), Interkoneksi ke intrannet corporate



Interkoneksi sangat beragam termasuk ke Internet, dan interdependensi dari antar/inter sistem



Sistem warisan (sistem lama dari yang ada dari dulu)



Aksesibilitas sistem dan ketersediaan informasi



Ketergantungan pada penyedia layanan di LN (cloud)



Beberapa problem “simple” 









Kasus vaksin palsu → integritas informasi, kekritisan informasi pada “supply-chain” Pertukaran data Perlindungan Saksi ASEAN → bagaimana penjaminan kerahasiaan Beberapa lembaga pemerintah meng”host” data keuangan pada layanan virtual server dan storage di pihak ke-3 (tanpa sertifikasi dan rekomendasi) Beberapa aplikasi dijalankan tanpa proses verifikasi keamanan sebelum digunakan secara luas Kasus Jessica → forensik digital



Aspek security data Biodiversity Informasi tentang portal tumbuhan di Indonesia Setiap kelompok dapat mejadi kontributor Koleksi online terbesar di Indonesia Informasi tertentu harus bersifat rahasia



Konsep keamanan informasi Sekuriti komputer menangani pencegahan dan pendeteksi dari akses yang tak berhak oleh pengguna dari suatu sistem komputer – C : Confidentiality : Pencegahan terhadap akses informasi oleh orang yang tak berhak.

C

– I : Integrity: Pencegahan terhadap modifikasi informasi oleh orang yang tak berhak

Sistem

I

A

– A : Availability: Pencegahan terhadap penguasaan informasi atau sumber daya oleh orang yang tak berhak.

– EU : terkait ketergantungan pada pihak ke-3 → SOUVEREIGNITY Security is not a product but a process Bruce Schneier



Security bukan hanya hacker 





Practical : anti virus, patch Theoritis: access control model, cryptografi Ofensif 





Penetration test bukan hanya brute force attack, state space, model checker

Defensif 

Service hardening



Integrity check

Manajemen 



Risk manajemen, perhitungan resiko Policy, access control



Kelemahan di sisi user 





Risiko keamanan terbesar adalah pengguna. Mereka dapat berbuat kesalahan yang berbahya User sadar bahwa ada resiko sekuriti, tapi kurang paham bagaimana resiko itu berpengaruh user. Mereka harus menyadari aspek sekuriti dari apa yang mereka lakukan Garfinkel and Spafford : Suatu komputer aman bila pengguna dapat bergantung padanya dan perangkat lunak berperilaku seperti yang diharapkan



Keamanan dan Kenyamanan TIDAK berlawanan – Menerapkan pendekatan usability ke sistem aman – Mengintegrasi layanan sekuriti dengan komponen software yang memiliki usability – Mengembangkan model user-center sekuriti.



Garis batas kewenangan tidak jelas, Kehilangan “kendali. Pengguna hilang kontrol 















Data, aplikasi, resource di provier, user identitiy di cloud User acces, securit policy dan enforcement ditangan cloud provider

Permasalahan sekuriti Cloud

Data security, privacy, resource, monitoring, repairing service di tangan provider

Trust pada provier terutama terkait kondisi multi-tenancy 

Menghindari konflik antar tenant



Bagaimana melakukan separasi antar tenant

Audit dan compliances harus lebih benarbenar diterapkan untuk penyedia layanan, SAS 70 Type II, ISO 27001/2 audit statements Interoperability termasuk bila provider bankrut Incident response Provider aplikasi yang berbeda (SaaS, PaaS, IaaS), sekuriti aplikasi dan interhost communication yang aman



Upaya pengamanan



Aplikasi web pada umumnya 

Aplikasi Web Apache PHP

MySQL



Apache Linux/Windows 

Apakah struktur tersebut cukup aman? Kesalahan terbanyak terjadi di aplikasi web (SQL injection, XSS, dan sebagainya) Bila aplikasi web (misal CMS, menggunakan aplikasi populer yang “gemuk” apakah tidak beresiko? → situs pemerintah down karena request besar



Struktur sistem yang aman OPERATION

PRE Threat analyzer

AFTER INCIDENT

Alert system

Static Analyzer

Incident handler

Log monitoring

Recovery system

Patch management Advisory monitor

Monitoring Situs Sanitize Firewall

ModSec

Apache IDS

DBaseFirewall IPS

CMS

Integrity control

Isolation and Virtualization



Situs presiden









Penggunaan virtualisasi pada tiap mesin Memungkinkan transfer antar aplikasi tanpa shutdown Menggunakan model compartment Fast boot and recovery



Forensik – Post Mortem



RPM TPIKI Belum ada keharusan melaporkan Belum ada ketentuan pihak yang menangani Belum ada struktur “wajib” untuk penanganan insiden

Rancangan Peraturan Menteri tentang Tim Penanganan Insiden Keamanan Informasi (TPIKI) – TPIKI Nasional → Dirjen Aptika – TPIKI Sektoral → sektor pemerintah, sektor militer jasa keuangan dsb – TPIKI organisasi → pada organisasi tertentu misal BUMN, Kementerian dsb – TPIKI khusus → kebutuhan khusus kewilayaan, komunitas, pelanggan, produk dsb

Tugas TPIKI: – Layanan responsif – Layanan proaktif – Layanan manajemen kualitas



Kewajiban penerapan TPIKI ●

●

●

●

●

Setiap penyelenggaran Sistem Elektronik WAJIB membentuk TPIKI

● ●

Berkoordinasi dengan TPIKI nasional dan sektoral Mengacu pada Standard Nasional Indonesia (27series) Bagian dari Sertifikasi Sistem Manajemen Pengamanan Informasi TPIKI WAJIB menyediakan tenaga ahli yang memiliki KOMPETENSI → Standard Kompentensi Kerja Nasional Indonesia (SKKNI)

●

●

24 x 7 contact point Memiliki database dari setiap admin/coordinator teknis situs ataupun sistem elektronis yang dioperaskan badan pemerintah/publik Merilis informasi tentang kerentanan sistem (secara bertahap → mekanisme disclosure) Acuan RFC 2350



“Forensik adalah penggunaan ilmu pengetahuan dan teknologi untuk menyelidiki dan menetapkan faktafakta di pengadilan pidana atau perdata” Pengetahuan forensik tidak saja dibutuhkan oleh penyidik, tetapi juga pengembang sistem. Sehingga memungkinkan sistem yang dikembangkan dapat diforensik secara lebih mudah



Intrusion Incident 

Forensic

Incident Analysis

Perbaikan sistem Bukti pengadilan

Ketika sistem berada pada kondisi tidak aman (kondisi tidak aman → melanggar kebijakan). Dapat terjadi karena : 

Tidak sengaja: algoritma salah, implementasi salah



Sengaja : serangan, exploitasi



Shutdown ? Disconnected ?



Prosedur penanganan insiden – Apakah ada organisasi yang menangani – Siapa personnya?



Digital Forensik 







Tantangan

Investigasi : mengidenfikasi siapa, apa dan bagaimana



Memonitor jaringan : mengidentifikasi serangan lain



Recovery : mengembalikan sistem ke kondisi awal



Pelaporan dan tindak lanjut 



Menjaga ketersediaan dan integritas bukti Memilih bukti yang terkait dan menyimpan Me-rekonsutruksi aksi dan mensinkronkan dengan bukti Menangani komplekistasi sistem dan batasan geografis Menyediakan metoda yang dapat ditampilkan di pengadilan



Penanganan Barang bukti 



Tidak ada bukti penting yang rusak, hancur atau terkompromis oleh prosedur yang digunakan. Bukti relevan yang diekstrak ditangani secara baik dan diproteksi dari kerusakan fisik dan magnetis. Meminimalkan penangan menggunakan barang bukti original dan potensial



Dokumentasikan perubahan dan aksi yang dilakukan. Menjaga chain-of-custody.



Bisnis hanya terganggu sebentar







Informasi tentang client yang digunakan untuk eksplorasi forensik secara etis dan legal terjaga dan tidak tercemar. Menggunakan metoda yang telah teruji dan terpublish (Prinsip Daubert) Tidak mengambil aksi diluar kemampuan yang dimiliki 



chain of custody 

The evidence is accounted for at all ties The passage of evidence from one party to the next is fully documented The passage of evidence from one location to the next is fully documented



Diabaikannya forensik pada sistem







Situs-situs pemerintah, Kegiatan forensik hanya dilakukan SETELAH kejadian (incident) Tidak dimasukkan di dalam pertimbangan pengembangan sistem. Sistem “sensitive” dibangun tanpa pertimbanganka forensik misal perbankan, rumah sakit Masalah lain ANTI FORENSIK: – Menyulitkan pengumpulan bukti – Membuat publik tidak percaya



Ketika ada insiden 

Bukti tidak tersimpan (log tidak disimpan dan tidak di”hash”)



Recovery sulit dilakukan secara cepat tanpa merusak bukti



Bukti sulit untuk di'korelasi' menjadi sulit











ISO/IEC 27037 : 2012 Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence ISO/IEC 27041:2015 — Information technology — Security techniques — Guidance on assuring suitability and adequacy of incident investigative methods ISO/IEC 27042:2015 — Information technology — Security techniques — Guidelines for the analysis and interpretation of digital evidence

ISO terkait Forensik 

Identifikasi (identification)



Mengkoleksi (collection)



Mengakuisisi (acquisition)



Perlindungan (preservation)

ISO/IEC 27043:2015 — Information technology — Security techniques — Incident investigation principles and processes ISO/IEC 27050 — Information technology — Security techniques — Electronic discovery (DRAFT)



Tingkat keahlian 





First responder dibutuhkan paling banyak Pelatihan rata-rata di tingkat Investigator ke atas Sertifikasi di tingkat Investigator ke atas



Diabaikannya forensik pada sistem







Situs-situs pemerintah, Kegiatan forensik hanya dilakukan SETELAH kejadian (incident)

Tidak dimasukkan di dalam pertimbangan pengembangan sistem. Sistem “sensitive” dibangun tanpa pertimbangan forensik, 

Perbankan



EKTP, Sistem rumah sakit, KPU, dll

Permasalahan: 





Ketika terjadi incident data bukti tidak tersimpan (log tidak disimpan dan tidak di”hash”) Ketika terjadi incident recovery sulit dilakukan tanpa membutuhkan waktu lama agar bukti dapat dipreservasi, sistem tetap beroperasi dan dapat diforensik Ketika incident bukti untuk di'korelasi' menjadi sulit



Apa yang harus dilakukan



Keamanan ada proses bukan produk Technology Process



People



Bukan hanya sekedar masalah software dan hardware saja, tetapi juga sisi non teknis Bukan hanya pengadaan dan pembuatan tetapi juga pemeriksaan, monitoring dan perawatan



Beda sistem aman dan tidak aman Metoda Pengembangan Sistem Yang Aman, handal dan terpercaya

Jenis Teknologi Tata Kelola

Development Life Cycle Kriteria Pengujian Kriteria Forensik Kriteria Fail tolerant Kriteria Beban



Standar bukan seragam



Produk → Sertifikasi produk dan layanan



Proses → Tata Kelola dan organsasi



People → SDM

Seluruh pemangku kepentingan bersama dalam Sebuah konvensi nasional untuk bersepakat menentukan standar



1 – Standard Produk dan Layanan 

Sistem non Kritis







Sistem Kritis dan strategis Kemungkinan Audit Verifikasi Code review





Aspek Assurance Sovereignty



EAL 1 - Functionally tested: “Applicable where some confidence in correct operation is required, but the threats to security are not viewed as serious” EAL 2 - Structurally tested, “Applicable where developers or users require a low to moderate level of independently assured security” EAL 3 - Methodically tested and checked, applicable where the requirement is for a moderate level of independently assured security” EAL 4 - Methodically designed, tested and reviewed, applicable where developers or users require a moderate to high level of independently assured security” EAL 5 - Semi-formally designed and tested, applicable where the requirement is for a high level of independently assured security” EAL 6 - Semi-formally verified design and tested, applicable to the development of specialised TOEs (Targets of Evaluation), for high risk situations EAL 7 - Formally verified design and tested, applicable to the development of security TOEs for application in extremely high risk situations



Struktur organisasi Militer

Komunitas Profesional Badan Pemerintah

Komunitas “Hobbiest”

Security

Perusahaan Penyedia layanan Penegak Hukum

Perusahaan Pengguna

Tingkat Nasional Bersifat Koordinator Penentu Bakuan dsb Forum antar Pemerhati (pemerintah, peneliti)

Response Team

Help Desk Tingkat Nasional

Publik



Klasifikasi Baku Jabatan Indonesia KBJI 2014





Integrasi dan pengakuan kompetensi


Pola yang umum 

Sertifikasi melalui vendor, contoh Cisco, CISA

Pola yang ditetapkan pemerintah (melibatkan asosiasi, vendor, dan publik) Mendefinisikan kompetensi → SKKNI INDUSTRI 



Menjadikan skema profesi → LSP SKKNI

STANDAR PROFESI

STANDAR KOMPETENSI

D DA UN N IA P PR SER RO OF TIF FE ES IK SI I AT

AT DUN AU IA DU IN NI DU A ST KE R RJ I A



Sertifikasi melalui Asosiasi: contoh PII

AN R AM JA AL ELA RI NG B DI PE AU AN AT M



Sertifikasi Profesi (SKKNI) dan KKNI PE D N UN FO DID IA RM IK AL AN




ACUAN TNA

PELATIHAN KOMPETENSI

UJI KOMPETENSI

SERTIFIKASI PROFESI


Keamanan Informasi untuk Layanan Publik 

Dunia Pendidikan 

Kerangka Kualifikasi Nasional (KKNI)




Keamanan Informasi untuk Layanan Publik Standard Kompetensi Kerja SKKNI Operator Nasional (SKKNI) SKKNI Programer



SKKNI Jaringan Komputer & Sistem



SKKNI Computer Technical Support



SKKNI Multimedia



SKKNI Teknisi Satelit Komunikasi



SKKNI Grafik Design



SKKNI Keamanan Informasi



SKKNI Manajeman Layanan Teknologi Informasi



SKKNI Auditor TI



SKKNI ICT Project Management



SKKNI Jaringan Seluler



SKKNI Teknisi Fibre Optik



SKKNI Data Center Management



SKKNI Enterprise Architecture Design



SKKNI Cloud Computing (2015)



SKKNI Mobile Computing (2015)

Kompetensi ASEAN 



SKEMA SERTIFIKASI PROFESI JENIS SKEMA

URAIAN

KKNI

1. Bersifat Nasional 2. Jenjang Kualifikasi terdiri dari 9 Level 3. Setiap Level disusun dengan sejumlah Unit Kompetensi berdasarkan Deskripsi KKNI 4. Ditetapkan oleh Otoritas Kompeten

OKUPASI atau JABATAN NASIONAL

1. Bersifat Nasional 2. Dapat berupa Jabatan Fungsional atau Struktural yang merujuk pada Standar Jabatan Nasional atau Internasional 3. Setiap Jabatan disusun dengan sejumlah Unit Kompetensi yang sesuai dengan Standar Jabatan Nasional atau Internasional 4. Ditetapkan oleh Otoritas Kompeten

KLASTER

1. Bersifat Kebutuhan Industri atau Organisasi Pengguna (lokal) yang bersifat Khusus pada suatu Industri 2. Setiap Klaster disusun dengan sejumlah Unit Kompetensi yang sesuai dengan kebutuhan Industri 3. Ditetapkan oleh Komite Skema LSP bersama Industri Pengguna 4. Nama Skema Klaster tidak boleh sama dengan okupasi nasional


Keamanan Informasi untuk Layanan Publik Profesi

Unit Kompetensi

No.

Architect (KKNI Level 7)

Security (KKNI level 6)

Developer (KKNI level 6)

Engineer (KKNI level 5)

1

Mengidentifikasikan konsep dasar Cloud Computing

x

x

x

x

2

Mengidentifikasikan teknologi Cloud Computing

x

x

x

x

3

Mengidentifikasikan berbagai jenis perangkat keras yang dibutuhkan

x

x

4

Mengidentifikasikan berbagai tipe data center

x

5

Merancang virtualisasi

x

6

Merancang skalabilitas

x

x

7

Menentukan alur proses jenis layanan pada Cloud Computing

x

x

x

8

Mengimplementasikan virtualisasi sesuai dengan kebutuhan organisasi

x

x

9

Mengimplementasikan topologi jaringan

x

10

Melakukan adaptasi untuk deployment di environment cloud

x

11

Mengembangkan Perangkat Lunak sesuai dengan deployment environment

x

12

Memetakan kebutuhan aplikasi dari user ke solusi cloud

x

x

13

Menjalankan aktivitas rutin pada IaaS, PaaS, dan SaaS

x

14

Memantau sarana dan prasarana agar bisa digunakan oleh user sesuai dengan SLA yang disepakati

x

x

15

Memberikan dukungan lapis pertama atas masalah user dan report next layer (engineer / developer etc)

x

16

Melakukan penanganan gangguan dan ancaman terhadap sistem cloud

x

x

17

Mengelola insiden yang disebabkan oleh Kahar

x

x



TERIMA KASIH


Keamanan Informasi untuk Layanan Publik

Recommend Documents