Pembahasan Keamanan Informasi dalam perspektif Pencegahan & Penanganan Insiden Bambang Heru Tjahjono Pemerhati TIK
Sosialisasi CSIRT-BPPT Serpong 11 Agustus 2016
Ikhtisar-Bahasan
Perkembangan teknologi internet Filosofi Security (Cyber security &Information security) Jenis2 Ancaman&Mekanisme Deteksi Aspek Legal (UU-ITE, PP-82) Tata Kelola (SNI, Governance dll.) Pengamanan Sektor2 Strategis (finansial, energi, transport dll) Awareness & Readiness Tools yang uptodate (Websense,Filtering, &DPI) Saran & Simpulan
Perkembangan Teknologi -Cloud -Big Data -IoT -Smart echosystem -dll.
Perkembangan Siklus Echosystem Internet
Filosofi “Security” - security & vulnerability -information security -cyber security
What is “Security” Dictionary.com says: – 1. Freedom from risk or danger; safety. – 2. Freedom from doubt, anxiety, or fear; confidence. – 3. Something that gives or assures safety, as: • 1. A group or department of private guards: Call building security
if a visitor acts suspicious. • 2. Measures adopted by a government to prevent espionage, sabotage, or attack. • 3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant.
…etc.
Who is vulnerable? Financial institutions and banks Internet service providers Pharmaceutical companies Government and defense agencies Contractors to various government agencies Multinational corporations ANYONE ON THE NETWORK
Why do we need security? Protect vital information while still allowing
access to those who need it – Trade secrets, medical records, etc. Provide authentication and access control for
resources - ex. Finger print & identification system (digital signature)
Guarantee availability of resources – ex: 5 9’s (99.999% reliability)
Information Security & Cyber Security Merujuk ISO:IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary, Keamanan informasi adalah upaya yang dilakukan untuk menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) dari informasi, hal ini dapat termasuk otentikasi (authenticity), akuntabilitas (accountability), nir-sangkal (non-repudiation) dan keandalan (reliability).
Dan berdasarkan ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity, Cybersecurity adalah upaya yang dilakukan dalam menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) dari informasi di dunia siber.
Sehingga dapat disimpulkan bahwa cybersecurity adalah bagian dari Keamanan Informasi, karena Cybersecurity berhubungan dengan ancaman yang datang dari jaringan koneksi global seperti internet, sedangkan Keamanan Informasi berhubungan dengan semua proteksi terhadap informasi.
Jenis Serangan & Mekanisme Penanganan
Typical Cyber Threat Sources
© Dr. Frederick Wamala, CISSP®
12
Common security attacks and their countermeasures Finding a way into the network – Firewalls Exploiting software bugs, buffer overflows – Intrusion Detection Systems Denial of Service – Ingress filtering, IDS TCP hijacking – IPSec Packet sniffing – Encryption (SSH, SSL, HTTPS) Social problems – Education
Aspek Legal - UU-ITE - PP-82 - Permenkominfo
Ruang Lingkup Pengaturan Undang-Undang ITE Prinsip dalam UU-ITE: Semuanya diperbolehkan untuk aktifitas pemanfaatan Informasi dan transaksi elektronika KECUALI yang tidak diperbolehkan
Asas dalam UU-ITE: -Kepastian Hukum -Manfaat -Kehati2an -Iktikad baik -Netral Teknologi
Pasal2 Yang terkait Pengamanan Undang-undang No 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik:
Pasal 15 ayat (1) menyebutkan bahwa “Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya” dan
Pasal 40
ayat
(3) menyebutkan
bahwa, “ Pemerintah menetapkan instansi atau
institusi yang memiliki data elektronik strategis yang wajib dilindungi”, Peraturan Pemerintah No 82 Tahun 2012
tentang Penyelenggaraan Sistem dan
Transaksi Elektronik
Pasal 11 ayat (1)
menyebutkan bahwa
“Penyelenggaraan Sistem Elektronik yang
bersifat strategis harus menggunakan tenaga ahli berkewarganegaraan Indonesia” dan
pasal 19 menyebutkan bahwa “Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponen Sistem Elektronik”.
Dan pada Renstra Kementerian Komunikasi dan informatika tahun 2015-2019, Cybersecurity and Governance telah menjadi salah satu prioritas Pemerintah.
Penanganan Sektor Strategis - Sektor2 Strategis antar negara2 - Standar dan Tata Kelola
Penerapan Cyber Security di Sektor Strategis Di beberapa negara, penerapan Cyber Security dilakukan di semua sektor aktifitas kehidupan terutama yang memiliki data/ informasi yang bersifat strategis atau kritis. sektor ini diidentifikasi menjadi sektor strategis dan ditetapkan oleh pemerintah seperti sektor Pemerintah, Energi dan Sumber Daya Mineral, Transportasi, Jasa keuangan, Kesehatan, Te k n o lo g i Informasi dan Komunikasi, Pangan, Pertahanan & Industri Pertahanan dan sektor2 startegis lainnya. Masing-masing sektor memiliki instansi pengawas dan pengatur sektor yang melakukan koordinasi, penetapan regulasi terkait sektor dan pengawasan.
Sektor2 Strategis di Amerika
Teknologi Informasi & Telekomunikasi Energi Perbankan & keuangan Pertanian & Pangan Kesehatan Masyarakat Sistem Transportasi Fasilitas Pemerintahan Air Minum& Sistem air limbah
Reaktor Nuklir Pos dan Jasa Pengiriman Bendungan/Dam Monumen& Ikon Nasional Industri Pertahanan Pabrik2
The ten critical infrastructure sectors (ex.Canada) ●
Energy and utilities
●
Finance
Food ● Transportation ●
Government ● Information and communication technology ●
Health ● Water ●
●
Safety
●
Manufacturing
Sektor2 strategisUntuk Indonesia
Pemerintahan
Hubungan Luar Negeri
Pertahanan
Jasa Keuangan
Kesehatan
Perdagangan
Energi & Sumber Daya Mineral Transportasi Teknologi Informasi & Komunikasi Ketahanan Pangan
Sektor Pemerintahan
Subsektor : Pemerintah Pusat dan Daerah, Lembaga Non kementerian Sistem Elektronik Strategis: Sistem Elektronik Layanan Publik&internal Pemerintah Pusat, Pemerintah Daerah,Lembaga Non Kementerian, Resiko: kegagalan beroperasinya sistem elektronik layanan publik pemerintahan & layanan administrasi, kebocoran, pencurian dan perubahan informasidandata pribadi dll. Rujukan: standar yang berlaku disemua sektor
Kebutuhan Standard Keamanan Informasi
Tata Kelola&Manajemen Resiko Keamanan SDM Keamanan Sistem dan Fasilitas Manajemen Operasional Manajemen Penanganan Insiden Manajemen Kelangsungan Bisnis Pengawasan, Pengujian & Audit
Rujukan Standar Keamanan Informasi (generik&spesifik) Penerapan Cyber Security ini perlu kepatuhan terhadap suatu rujukan standar keamanan informasi, baik yang berlaku secara umum disemua sektor maupun spesifik sektor. Sebagai contoh Standar internasional yang banyak dirujuk di berbagai negera adalah ISO:IEC 27001 tentang Sistem Manajemen Keamanan Informasi yang telah diadopsi menjadi SNI ISO:IEC 27001, COBIT (Control Objective for Information and related Technology), dan standar yang sesuai kebutuhan
sektor seperti ANSI/ISA-62443, Security for Industrial Automation and Control Systems atau yang digunakan pada system SCADA (Supervisory Control And Data Acquisition) .
Referensi Kerangka kerja Keamanan Siber pada Sektor Kritis (NIST-USA)
Awareness & REadiness - Maturity Model - Delphi Approach - SMKI
CMMI: 5 readiness levels Level 5 Optimized Level 4 Managed Level 3 Defined Level 2 Repeatable Level 1 Initial
Process performance continually improved through incremental and innovative technological improvements. Processes are controlled using statistical and other quantitative techniques.
Processes are well characterized and
understood. Processes, standards, procedures, tools, etc. are defined at the organizational (Organization X ) level. Proactive. Processes are planned, documented, performed, monitored, and controlled at the project level. Active but often reactive.
Processes are unpredictable, poorly controlled, reactive.
Tools Uptodate: Web Filtering and Deep Packet Inspection
Web filtering & DPI • Web filtering (content control) is a way control what content is permitted to a user. • Deep Packet Inspection (DPI) is a form of computer network packet filtering that examines the data part (and possibly also the header) of a packet as it passes an inspection point, searching for protocol noncompliance, viruses, spam, intrusions or predefined criteria to decide if the packet can pass or if it needs to be routed to a different destination, or for the purpose of collecting statistical information.
Web filtering types • Client-side filters (Cyber-Nanny) • Content-limited or filtered ISPs • Server side-filters, proxies (Squid), traffic shapers • Specialized hardware/software (commercial off the shelf solutions)
Web filtering techniques • • • • •
IP URL Keyword File type Database (site categorization)
Websense categories
McAfee SmartFilter Categories
Web filtering use • Parental control (block adult content from minors) • Content control (i.e. ISP blocking child abuse) • Corporate environment, public libraries • Commercial solutions
DPI • DPI has functionality of Intrusion Detection System (IDS), Intrusion Prevention System (IPS) and stateful firewall • Advanced defense from threats • More effective than DPI, DPS and FW • Policies on many layers 3 -7 OSI
Use of DPI • • • •
Network management Network security “Lawful intercept” Statistical data for network planning
DATA SINGKAT SERANGAN SIBER Berdasarkan Indonesia Cyber Security Report 2015 yang dipublikasi oleh IDSIRTII, diperoleh data bahwa jumlah total aktivitas malware adalah 435.769 aktivitas, jumlah total informasi celah keamanan 26.331 informasi, Insiden website sebanyak 12.793 serangan dengan serangan terbanyak pada website domain go.id sebanyak 4.599 serangan, jumlah total aktivitas manipulasi dan kebocoran data sebanyak 7580 aktivitas, jumlah total serangan 28.430.843 serangan, negara yang paling banyak diserang adalah Amerika Serikat dan Negara sumber serangan paling banyak adalah Indonesia.
Id-GovCSIRT adalah sebuah Tim yang dibentuk berdasarkan surat keputusan Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Nomor : 01/SK/DJAI/KOMINFO/01/2012 Tentang Pembentukan Tim Pusat Monitoring dan Penanganan Tanggap Darurat Keamanan Informasi Instansi Pemerintah. Id-GovCSIRT secara struktural berada di bawah Subdit Monev dan Tanggap Darurat Peristiwa Keamanan Informasi, Direktorat Keamanan Informasi, Ditjen Aplikasi Informatika. Adapun fungsi dari Tim ini adalah untuk mendukung pelaksanaan program monitoring, evaluasi dan tanggap darurat keamanan informasi instansi Pemerintah. Setiap hari, Id-GovCSIRT menerima laporan aduan insiden keamanan Informasi dari Instansi Pemerintah, baik yang dilaporkan melalui alamat situs http://govcsirt.kominfo.go.id/eticket/
[email protected]. Disamping itu, Tim Id-GovCSIRT juga melakukan pemantauan terhadap situs http://www.zone-h.org. Situs dengan alamat url http://www.zone-h.org merupakan sebuah situs yang berisi laporan kejadian keamanan informasi yang biasanya diunggah oleh penyerang setelah berhasil menyerang suatu situs. Data aduan yang masuk melalui alamat email
[email protected] pada bulan Januari – 27 Mei 2015 sebanyak 1000 kasus yang seluruhnya sudah dilakukan koordinasi dengan pihak-pihak terkait, baik itu ISP atau admin website yang bersangkutan.
Data serangan yang masuk terbagi menjadi 6 klasifikasi serangan, yaitu: Web Deface, sebanyak 577 kasus atau 57,7% dari keseluruhan jumlah serangan Malware, sebanyak 376 kasus atau 37,6% dari keseluruhan jumlah serangan Spamming, sebanyak 29 kasus atau 2,9% keseluruhan jumlah serangan Phising, sebanyak 7 kasus atau 0,7% keseluruhan jumlah serangan Brute force, sebanyak 7 kasus atau 0,7% keseluruhan jumlah serangan APT malware, sebanyak 4 kasus atau 0,4% keseluruhan jumlah serangan
Dari 1.000 kasus insiden yang sudah dikoordinasikan, hanya 115 kasus yang direspon oleh pihak ketiga, baik itu dari ISP ataupun admin website. Artinya hanya 11,5% dari keseluruhan koordinasi yang dilakukan oleh IdGovCSIRT, yang direspon oleh mereka.
SARAN & KESIMPULAN PERLUNYA dilakukan SOSIALISASI,PROMOSI dan KERJASAMA dalam penerapan KEAMANAN INFORMASI dan Cyber Security sesuai standar yang menjadi rujukan pada setiap pemangku kepentingan.
Melalui INDEKS KEAMANAN INFORMASI diharapkan dapat menambah kesadaran & pengetahuan mengenai keamanan
informasi secara global dan simulasi ancaman keamanan informasi agar dapat dilakukan pendekatan solusi terhadap
People, Process dan Technology keamanan informasi.
Terima kasih
