Pages

Wednesday, February 24, 2010

SECURITY BANKING

5 Kesalahan Utama Dalam Security Banking

Kita banyak mendengar kriminalitasdi dunia komputer, banyak situs dideface/hack,kartu kredit disalagunakan oleh orang lain.Tapi yang menjadi pertanyaan, apakah ini kesalahan sistem semata?Berikut penulis mengungkapkan 5 kesalahan utama dalam hal security berdasarkan pengetahuan yang di dapat dan pengalaman.

Banyak negara sudah mulai 'aware'/ menaruh perhatian pada keamanan komputer(computer security)atau Internet security dengan adanya hukum cyber atau hukum mengenai kejahatan komputer salah satu contohnyaa dalah di Vietnam mulai bulan Mei. Dengan adanya hukum yang mengatur keamanan dibidang komputer ini bukan berarti dapat menghilangkan pelanggaran atau kejahatan dalam bidang ini tetapi setidaknya ada langkah yang akan diambil seandainya terjadi pelanggaran. Tapi sebenarnya masalah utama yaitu terletak pada pengguna/user yang menggunakan komputer.
Tampak bahwa perhatian pada bidang keamanan/security belakangan ini cukup meningkat dengan adanya pemberitaan di berbagai majalah ibukota terutama setelah terjadinya berbagai kasus penyalahgunaan di dunia cyber seperti contoh kasus situs BCA yang di-duplikat dengan nama yang mirip beberapa waktu lalu. Terlihat juga antusias dari pengunjung situs Techmedia pada artikel yang dibuat rekan kami 'cyworm' yaitu mengcrack Windows 2000 yang mencapai hit sekitar 500 lebih.
Oleh sebab itu penulis akan mencoba menulis beberapa artikel mengenai bidang keamanan jaringan komputer ini, tetapi sebelumnya penulisakan menyoroti 5 kesalahan utama yang dilakukan orang sehingga mengakibatkan data mereka dapat dicuri orang lain, situs dapat dihack/ deface dsbnya.

Orang umumnya sebelum meninggalkan rumah akan mengunci pintu terlebih dahulu, tetapi dalam penggunaan komputer, orang lebih cenderung lebih ceroboh. Hal ini tidak hanya mencakup end user atau pengguna tetapi termasuk semua orang di departemen IT. Berikut ini adalah 5 kesalahan utama dalam security.
1. Menuliskan Password di Kertas. Ini benar-benar terjadi. Selama penulis masih menjadi systema dministrator, beberapa kali penulis menemukan usernya menuliskan password mereka disecarik kertasa tau kertas post-it kemudian menempelkannya di PC atau samping monitor. Terlalu malas untuk mengingat password mereka, sehingga dicatat dikertas dan meletakkannya begitu saja sehingga semua orang bisa membacanya Berdasarkan survei yang pernah dilakukan oleh lembaga security di US menemukan bahwa sekitar 15-20% user disuatu perusahaan melakukan hal ini. Andaikan user di perusahaan A mencapai 100 orang maka ada sekitar 15 sampai 20 orang yang melakukan keteledoran ini. Suatu jumlah yang besar yang dapat mengakibatkan kebocoran data perusahaan.

2. Pemilihan password yang jelek. Ada kecenderungan orang dalam memilih password mereka adalah dengan menggunakan nama orang dekat mereka seperti nama suami atau istri, nama pacar, nama orang-tua, nama binatang kesayangan atau tulisan di sekitar mereka yang gampang ditebak oleh orang lain. Atau bahkan menggunakan tanggal lahir mereka sendiri. Rekan saya cyworm dalam artikelnya telah menunjukkan bahwa penggunaan password yang jelek akan dengan gampang di-"crack" apalagi kalau password yang digunakan sama dengan user-name maka kurang dari semenit password tersebut akan dapat di-crack. Jika anda menggunakan password dengan kombinasi abjad, nomor dan huruf besar-kecil, maka dibutuhkan waktu yang cukup lama untuk meng-crack dan juga tergantung seberapa panjang password yang digunakan juga. Saat ini beberapa situs tertentu menggunakan kalimat (phrase) sebagai password seperti di situs hushmail.

3. Meninggalkan komputer yang sedang digunakan begitu saja. Ada banyak orang yang meninggalkan komputer mereka tanpa proteksi apa apa. Buat apa password ??? orang lain tinggal datang dan duduk untuk mengakses data anda. Berbagai sistem operasi sudah memberikan fasilitas seperti screen saver yang bisa diaktifkan passwordnya setelah misalnya 5 menit atau berapa sesuai dengan yang diset atau bisa di-lock begitu kita mau meninggalkan komputer kita.

4. Membuka lampiran (attachment) email tanpa melakukan pengecekan terlebih dahulu. Seiring dengan maraknya penggunaan email, virus banyak menyebar melalui email. Salah satu kesalahan utama yang banyak dilakukan oleh orang adalah membuka attachment email tanpa melakukan konfirmasi atau pengecekan terlebih dahulu terutama kalau mendapat kiriman dari orang yang tidak dikenal. Efek yang ditimbulkan selanjutnya jika attachmen itu berupa virus maka akan berakibat pada kehilangan data. Penulis sering kali menerima email dari orang tidak dikenal yang setelah dideteksi oleh program anti virus ternyata memang berisi virus terutama virus worm seperti Magistr.

5. Tidak adanya kebijakan security komputer di perusahaan. Bukan hal yang aneh jika perusahaan di Indonesia tidak memiliki hal ini karena perusahaan di Indonesia masih tidak 'aware' dengan security kecuali perusahaan multinasional, itupun karena keharusan dari headquarter yang mengharuskan menerapkan 'policy' di perusahaan mereka di Indonesia. Security policy ini yang mengatur segala hal yang berkaitan dengan keamanan komputer seperti penerapan password setiap orang (mis : 6 karakter panjangnya dan kombinasi numerik dan karakter), juga berisi sanksi yang akan diterima jika terjadi pelanggaran.

Masih terdapat beberapa penyebab kebocoran data komputer yang disebabkan oleh kelalaian dari si pengguna seperti laptop yang ditinggalkan di mobil sehingga bisa dicuri orang lain dan memberitahukan passwordnya ke orang lain. Jadi secanggih apapun teknologi yang diimplementasikan misalnya BCA meng-klaim mereka telah menggunakan enkrips SSL 128 bit, kemudian firewall dan berbagai proteksi lainnya (lihat artikel mengenai BCA di Techmedia). Tapi kesalahan mengetik dari para customer BCA bisa membawa kebocoran dana ataupun data.

Penulis sangat setuju dengan apa yang dikatakan oleh Bruce Schneier dalam bukunya 'Secret and Lies' bahwa security itu bukanlan produk atau teknologi, baik teknologi dan produk itu hanya sebagian kecil dari security itu sendiri. Security merupakan suatu Proses. Jadi proses dari perencanaan kebijakan security, review produk dan teknologi sampai dengan implementasi kemudian auditing.


Tugas 1 TOU 2
Eko Harmiko 10108684