Security Awareness Bandung, 1 September 2015
Digital Artifacts in our daily lives • Mesin ATM • Handphone • Digital camera
2014
• Komputer • Notebook • Tablet
IT trends
1
1
Pemanfaatan IT
• Sudah merasuk dalam kehidupan kita sehari-hari – Handphone: telepon, SMS, WhatsApp, … – Transaksi perbankan: ATM, internet banking, SMS banking, mobile banking, … – Internet: email, web, … – Transaksi saham
Security Awareness
2
IT in Business • • • •
Otomatisasi & mempercepat proses Menurunkan biaya Meningkatkan user experience Mendekatkan pengguna – Customer / user support – Feedback dari pengguna – Penggunaan media sosial (facebook, twitter) untuk berbagai interaksi
• Tanpa IT akan kalah
Security Awareness
3
Top 3 Hot Issues (2011 - 2015)
Social Network Misanthropes and anti-socials: privacy vs. security in social networks
Mobile Devices Mobile devices compromise data security Integrated application on mobile devices
Cloud/Physical/Disaster Data security goes to the cloud File security takes center stage
Security Awareness
4
Social Network
• Pencurian identitas • Pencemaran nama baik – Komentar terhadap layanan, keluhan, dsb
• Bullying model baru • Integrasi antara social network (dan aplikasi) – Facebook, Twitter, Instagram – Pembocoran aktivitas tanpa sadar
• Social media, antara area publik vs area pribadi
Security Awareness
5
Media Sosial Indonesia • Masih terus bertambah – 55M internet users diIndonesia in 2011, naik 22% dari 2008 (2012 Internet Trends — Kleiner Perkins Caufield Byers) – 2009, Indonesia bahkan tidak ada di daftar pengguna twitter, sekarang mendominasi • Jakarta #1 • Bandung #6
Security Awareness
6
Mobile Devices
• • • • • •
Berkembangnya sistem operasi open source (Android) Terhubung ke Internet 24 jam Kamera dengan resolusi tinggi Media penyimpanan yang besar (8GB – 64GB) Dimensi yang semakin mengecil Aplikasi perusahaan + data penting diakses dan disimpan dalam perangkat ini • Rentan terhadap pencurian (kebocoran data)
Security Awareness
7
Security Issues for Cloud Computing (versi Forrester) • Security and privacy – Bersangkutan dengan perlindungan data, integritas operasional, kelemahan management, kelangsungan bisnis (BC), perbaikan dari bencana, dan pengelolaan identitas
• Compliance – User yang memiliki kebutuhan pemenuhan yang harus dimengerti apa dan bagaimana, menggunakan cloud service yang dapat berpengaruh terhadap pencapaian tujuan
• Legal and contractual issues – Kepemilikan aset/liabilitas dan intelektual adalah sebagian kecil dari isu hukum yang harus dipertimbangkan – Liabilitas tidak selalu clear-cut ketika berubah menjadi cloud service Security Awareness
8
Justifikasi Investasi Security • Survey di perusahaan: hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting. • Kesadaran akan masalah keamanan masih rendah! • Bagaimana untuk meyakinkan management untuk melakukan investasi di bidang keamanan? • Membutuhkan justifikasi perlunya investasi infrastruktur keamanan
Security Awareness
9
Rendahnya Kesadaran Keamanan (Lack of Security Awarenes)
Management: “nyambung dulu (online dulu), security belakangan” “Sekarang kan belum ada masalah!” “Bagaimana ROI?” Praktisi: “Pinjam password admin, dong” Rendahnya kesadaran akan masalah keamanan! Security Awareness
10
Rendahnya Kesadaran Keamanan (Lack of Security Awarenes)
“Lack of internal security awareness is still one of our biggest threats. Technology can reduce risks to a point, but it is people who are the weakest link.”
Deloitte Global Security Survey 2004 Respondent Security Awareness
11
Security Incident Cost
Indonesia Server Down : untuk menghidupkan server kembali dibutuhkan dana sekitar 25 jt Kerugian yang mungkin dialami oleh perbankan sekitar 300 jt/down
Sumber: Tim Sharing Vision, 2003 (http://sharingvision.biz) information security breaches survey 2004 (PricewaterhouseCoopers)
Security Awareness
12
Security Lifecycle
Security Awareness
13
BEBERAPA MASALAH
Security Awareness
Pishing: personal information fishing
From:
To: … Subject: USBank.com Account Update URGEgb Date: Thu, 13 May 2004 17:56:45 -0500 USBank.com Dear US Bank Customer, During our regular update and verification of the Internet Banking Accounts, we could not verify your current information. Either your information has been changed or incomplete, as a result your access to use our services has been limited. Please update your information. To update your account information and start using our services please click on the link below: http://www.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage
Note: Requests for information will be initiated by US Bank Business Development; this process cannot be externally requested through Customer Support.
Security Awareness
15
Spam • Email yang berisi sampah (umumnya iklan) • Menghabiskan jaringan, disk, waktu pekerja • Spam merugikan bisnis
Security Awareness
16
Fraud Type Type of Fraud Experienced During the Prior 12 Months (Percentages)
Security Awareness
17
Terlupakan … Abuse dari dalam! 1999 Computer Security Institute (CSI) / FBI Computer Crime Survey menunjukkan bahwa “disgruntled worker” (orang dalam) merupakan potensi attack / abuse. http://www.gocsi.com
Disgruntled workers Independent hackers US competitors Foreign corporation Foreign government
Security Awareness
86% 30% 21%
74% 53%
18
Serangan dari Dalam Karena Tidak Ada Policy
“Tujuh-puluh sembilan persen eksekutif senior terjebak dalam kesalahan berfikir bahwa ancaman terbesar terhadap keamanan sistem berasal dari luar (eksternal)” “Walaupun kebanyakan responden sudah memikirkan tentang hacker, kurangnya atau bahkan tidak adanya implementasi security policy dan kurangnya kesadaran karyawan adalah ancaman terbesar bagi sistem online mereka” KPMG Security Awareness
19
Virus (Malware) • Virus masih tetap menjadi masalah nomor satu – – – –
Selalu ada virus baru yang muncul Bahkan virus lama pun (seperti conficker) masih sering muncul Ditambah dengan virus lokal Virus (malware) untuk cyberwar?
• Harus melakukan investasi di anti virus (plus anti virus lokal?)
Security Awareness
20
Stuxnet (dari berbagai sumber) • Stuxnet disebut-sebut para pakar keamanan sebagai bentuk senjata cyber yang menjadi sarana terorisme di dunia maya. Serangannya tidak hanya mencuri informasi di komputer korban, namun mengambil alih sistem kontrol berbasis mesin Negara
Iran dengan,
Jumlah Komputer terinfeksi 62.867
Negara
Jumlah Komputer terinfeksi
Indonesia
13.336
Amerika Serikat
2.913
Australia
2.436
India
6.552
Malaysia
1.013
Inggris dengan
1.038
Pakistan
993
Security Awareness
21
Stuxnet (dari berbagai sumber) 2 • • • •
Belum diketahui siapa di balik stuxnet Menyerang Windows dan Turunannya Menyebar melalui USB Thumb Drive Virus menyerang sistem kontrol industri, dapat digunakan untuk mata-mata atau sabotase
Security Awareness
22
Penyebaran Worm
Security Awareness
23
Contoh Akibat Virus • License issuance still idled By Robert Barba Denver Post Staff Writer Friday, September 24, 2004, Denver, CO • State driver's licenses and identification cards won't be issued again today, inconveniencing thousands of Coloradans for a second straight day. An unidentified computer virus forced the Colorado Department of Revenue to close the system at 2:30 p.m. Friday, and it hasn't been up since, said Diane Reimer, a spokeswoman for the department's Motor Vehicle Business Group. "Somebody felt there wasn't something quite right," she said. "We want to make sure that we are doing everything that we should be doing to keep it secure.“ No personal data is believed to have been lost, Reimer said. A team of staffers has been working since Friday to fix the problem. Reimer said she was optimistic that license and ID card issuance would resume Wednesday. Customers have been sympathetic, she said. "People understand that we are living in a computer world," Reimer said. The problem could affect more than 10,000 Coloradans if it persists through today. The virus has not affected other government agencies, and written and driving tests are still being administered, Reimer said. Security Awareness
24
WEB DEFACING
Security SecurityIntroduction Awareness
Website Sistem Akademik Universitas Gunadarma
Kasus peretasan terhadap Sistem Akademik
19/10/2014 16.33 sumber: www.merdeka.com dan www.gunadarma.ac.id Security Awareness
26
Website Telkom Indonesia Terkena Deface
14/04/2013
Security Awareness
27
Website Presidensby (Defaced)
11/1/2013 sumber: Koran Pikiran Rakyat Security Awareness
28
Website Pejabat Negara (Defaced)
12/11/2012 08.35 sumber: www.zone-h.org Security Awareness
29
Website Bakrie Life (Defaced) 21/12/2011 15.22 sumber: Bakrie Life
Security Awareness
30
Website KPK (Defaced)
29/09/2009 09:48 PM sumber: Kaskus
Security Awareness
31
Website TV One Terkena Deface
08-03-2011, 09:23 PM sumber : kaskus
Security Awareness
32
Situs Pemerintah Keuangan Palembang
Security Awareness
33
POLRI
www.polri.go.id/backend/index.html
Security Awareness
34
LEMHANAS www.lemhanas.go.id/index_hack.ht ml
Security Awareness
35
Security Awareness
36
Serangan yang Pernah Terjadi (dulu)
Security Awareness
37
Deface di Web http://www.presidensby.info/
Security Awareness
38
KPU 2004
Security Awareness
39
KPU 2004: Data Test Masih Ada?
Security Awareness
40
Security Awareness
41
PERUSAHAAN ATAU PERBANKAN
Security Awareness
Issues 2015 Dunia: Penyerangan Hacker, dan masih berlanjut
28/4/2015 sumber: http://industri.bisnis.com/ Security Awareness
43
Issues 2015 Dunia: Finansial, dan masih berlanjut
16/2/2015 sumber: http://www.tempo.co/ Security Awareness
44
Issues 2015 Dunia: Finansial, dan masih berlanjut
23/4/2015 sumber: http://www.antaranews.com/
Security Awareness
45
Issues 2014 Dunia: Finansial, dan masih berlanjut
20/10/2014 sumber: http://www.theguardian.com/uk Security Awareness
46
Issues 2014 Indonesia: Finansial, dan masih berlanjut
29/10/2014 sumber: Kontan
Security Awareness
47
Issues 2014 Indonesia: Finansial, Sistem Transaksi Bermasalah
10/12/2014 sumber: http://m.bisnis.com/ Security Awareness
48
Bursa Saham Singapura Macet
04/12/2014 sumber: Kompas Security Awareness
49
Issues 2013 Indonesia: Finansial, dan masih berlanjut Kasus 2 Karyawan Bank Mandiri meretas sistem dan gelapkan uang
Security Awareness
50
Issues 2013 Indonesia: Finansial, dan masih berlanjut
kasus malinda dee, citibank (2011), pembobolan dari dalam, lebih dari 20 milyar rupiah
Security Awareness
51
Issues 2013 Indonesia: Finansial, dan masih berlanjut
22/03/2013 sumber: Kompas Security Awareness
52
Finansial, Modus Lain
Security Awareness
53
Rentang 2011
• BRI tamani square, sebesar Rp 29 M, melibatkan supervisor • Pemberian kredit dengan dokumen fiktif BII cabang Pangeran Jayakarta, tersangka account officer, 3,6M • Pencairan deposito bank mandiri 18M, customer service • BNI, teleks palsu, BNI Depok, Wakil Pimpinan • Pencairan Deposito BPR Pundi Artha Sejahtera, Dirut BPR, dua komisaris, komisaris utama, dan marketing • Bank Danamon, menarik uang kas berulang dari cabang pembantu menara bank danamon, tersangkat mantan teller, 1,9 M dan 110 ribu USD • Panin Bank, penggelapan dana nasabah oleh kepala operasional panin bank cabang metro sunter, 2,5 M • Pembobolan oleh mantan relationship manager, citigold citibank, 4,5M
Security Awareness
54
Fraud Perbankan di Indonesia
Security Awareness
55
Koran Tempo, 26 September 2003
Security Awareness
56
November - Desember 2004
Bank Mega: 50 M
BRI Rp. 9,4 M
Security Awareness
57
Bank Danamon, 2005
Security Awareness
58
2006: Lippo
Security Awareness
59
Sistem Bank Down
Security Awareness
60
Bank Yang Nakal? • Mengubah bunga tabungan sebesar 2% selama beberapa hari. [Sumber: Bisnis Indonesia – 24 Januari 2005]
Security Awareness
61
Kejahatan Di ATM
Sumber: Surat Pembaca, Kompas, 2003 Security Awareness
62
Kejahatan ATM Mesin ATM biasa?
Perhatikan lebih baik: skimmer
Security Awareness
63
Kejahatan ATM
Menyadap PIN dengan wireless camera Security Awareness
64
Masalah Mesin ATM • Bagi Bank, ATM memiliki banyak masalah – – – – – –
Mesin dicuri Uang dipancing Dipasangi alat Data disadap Prosedur lemah Nomor telepon bantuan palsu
• Tetapi ATM merupakan delivery channel yang paling disukai nasabah
Security Awareness
65
Tapi … Membawa uang tunai dalam jumlah besar … beresiko!
Security Awareness
66
Carder • Indonesia menempati urutan tinggi (dalam penyalahgunaan kartu kredit) – No 1 dari segi persentase (dibandingkan dengan transaksi baik) – No 3 dari segi volume transaksi
• Modus: menggunakan nomor kartu kredit milik orang lain (umumnya orang asing) untuk membeli barang di Internet • Ranking 1. Yogyakarta 2. Bandung
Sulit ditangani karena lemahnya hukum? KARTU KREDIT INDONESIA DI-BANNED DI LUAR NEGERI, IP DIBATASI Security Awareness
67
Kejahatan Carder
Security Awareness
68
Penipuan Lain • Penipuan melalui SMS – Anda menang sebuah undian dan harus membayarkan pajaknya. Pajak dapat dibayarkan melalui mesin ATM (transfer uang, atau dengan membeli voucher yang kemudian disebutkan nomornya). – Mama minta pulsa, sedang di rumah sakit • Banyak yang percaya dengan modus ini • Social engineering
• Hipnotis?
Security Awareness
69
Mungkinkah aman? • Sangat sulit mencapai 100% aman • Ada timbal balik antara keamanan vs. kenyamanan (security vs. convenience) – Semakin tidak aman, semakin nyaman – Juga “security vs. performance”
• Definisi computer security: – “A computer is secure if you can depend on it and its software to behave as you expect” (Garfinkel & Spafford)
Security Awareness
70
Peningkatan Kejahatan Komputer • Aplikasi bisnis yang berbasis komputer / Internet meningkat – Internet mulai dibuka untuk publik tahun 1995 – Electronic commerce (e-commerce)
• Statistik e-commerce yang meningkat • Semakin banyak yang terhubung ke jaringan (seperti Internet)
Security Awareness
71
Peningkatan Kejahatan Komputer
• Desentralisasi server – Terkait dengan langkanya SDM yang handal – Lebih banyak server yang harus ditangani dan butuh lebih banyak SDM dan tersebar di berbagai lokasi. Padahal susah mencari SDM – Server remote seringkali tidak terurus – Serangan terhadap server remote lebih susah ditangani (berebut akses dan bandwidth dengan penyerang)
Security Awareness
72
Peningkatan Kejahatan Komputer • Transisi dari single vendor ke multi-vendor – (Terlalu) banyak jenis perangkat dari berbagai vendor yang harus dipelajari. – Contoh: • Router: Cisco, Juniper, Huawei, Bay Networks, Nortel, 3Com, Linux-based router, … • Server: Solaris, Windows NT/2000/Win7/2008, SCO UNIX, Linux, *BSD, AIX, HP-UX, …
– Sulit mendapatkan SDM yang mampu menguasai semua jenis perangkat.
Security Awareness
73
Peningkatan Kejahatan Komputer
• Pemakai makin melek teknologi dan kemudahan mendapatkan software – Ada kesempatan untuk menjajal. Tinggal download software dari Internet. (Script kiddies) – Zero-day exploit – System administrator harus selangkah di depan.
Security Awareness
74
Pencurian Server Secara Fisik
Security Awareness
75
Hacker kecil
Security Awareness
76
Peningkatan Kejahatan Komputer • Kesulitan penegak hukum untuk mengejar kemajuan dunia telekomunikasi dan komputer. – Cyberlaw (UU ITE) masih membutuhkan penyempurnaan – Tingkat awareness masih belum menyebar secara merata – Technical capability masih belum optimal
Security Awareness
77
Peningkatan Kejahatan Komputer • Meningkatnya kompleksitas sistem (teknis & bisnis) – Program menjadi semakin besar. • Megabytes. Gigabytes. Terrabytes. … – Pola bisnis berubah: partners, alliance, inhouse development, outsource, … – Jaringan semakin cepat • 1999 – IIX ~7 Mbps • 2004 – IIX ~1 Gbps • 2009 – IIX ~11 Gbps • 2010, 2011, 2012, …2016 akan semakin cepat – Potensi lubang keamanan juga semakin besar.
Security Awareness
78
Contoh peningkatkan kompleksitas Operating System
Year
Lines of Codes
Windows 3.1
1990
3 million
Windows NT
1996
4 million
Windows 95
1997
15 million
Windows NT 4.0
1998
16.5 million
Windows 98
1999
18 million
Windows NT 5.0/2K beta
2000
20 million
Debian GNU/Linux 2.2
2000
55 million
Windows 2000
2001
35 million
Windows XP
2001
40 million
Red Hat 7.1
2001
30 million
Windows Vista (beta 2)
2007
50 million
… Security Awareness
79
Penutup
Masalah keamanan akan tetap muncul dengan pola baru meskipun prinsip tetap sama
Masalah keamanan tetap menjadi prioritas dan membutuhkan dukungan dari pucuk pimpinan
Security merupakan sebuah proses
Security Awareness
80