Pengamanan Sistem e-Government

 

 

Dalam beberapa tahun terakhir ini Electronic Government (e-government) mulai mendapat perhatian besar di Indonesia. Bahkan sudah ada beberapa implementasi dari e-government. Namun masih ada kendala dalam penerimaan e-government ini yaitu adanya masalah keamanan (security).

Masalah utama yang dihadapi adalah belum adanya pemahaman (awareness) akan masalah keamanan. Memang dapat dimengerti bahwa penerapan e-government di Indonesia ini masih pada tahap awal sehingga fokus utamanya bukan pada masalah keamanan akan tetapi pada adanya dahulu. Tanpa penerapan sistem pengamanan pada sistem e-government, masalah akan timbul di kemudian hari.

Aspek Keamanan

Secara teori ada beberapa aspek keamanan, yaitu:

  • Confidentiality (kerahasiaaan) & privacy
  • Integrity (integritas)
  • Availability (ketersediaan)

Ketiga aspek tersebut sering disingkat dengan istilah “CIA”, yaitu diambil dari huruf depan dari masing-masing aspek tersebut. Sistem pengamanan bertujuan untuk memberikan layanan terhadap aspek-aspek tersebut. Prioritas dari aspek tersebut dapat berbeda dari satu sistem ke sistem lainnya. Untuk sistem e-government, prioritasnya adalah (1) integritas, (2) kerahasiaan, (3) ketersediaan. Mari kita bahas ketiga aspek tersebut satu persatu.

Integritas Data

Aspek integrity (integritas) terkait dengan keutuhan data. Aspek ini menjamin bahwa data tidak boleh diubah (tampered, altered, modifed) tanpa ijin dari yang berhak. Acaman terhadap aspek integritas dilakukan dengan melalui penerobosan akses, pemalsuan (spoofing), virus yang mengubah atau menghapus data, dan man in the middle attack (yaitu penyerangan dengan memasukkan diri di tengah-tengah pengiriman data). Proteksi terhadap serangan ini dapat dilakukan dengan menggunakan digital signature, digital certificate, message authentication code, hash function, dan checksum. Pada prinsipnya mekanisme proteksi tersebut membuat kode sehingga perubahan satu bit pun akan mengubah kode.

Contoh permasalahan integritas dapat dilihat pada sistem perhitungan pemilihan umum tahun 2004 kemarin, dimana pada awal proses perhitungan masih terdapat data uji coba. Hal ini menimbulkan keraguan atas integritas dari data yang berada di dalamnya. Perhatikan gambar di bawah ini, khususnya pada entri untuk Bengkulu dimana (hampir) semua kolom berisi angka 12.

 

 

Sistem e-government harus dapat menjamin bahwa data yang dimilikinya hanya boleh diubah oleh orang yang berhak. Masalah utama yang dihadapi di lapangan adalah ketidak-jelasan siapa yang berhak mengubah (memperbaharui, merevisi) data. Sistem e-government yang ada saat ini umumnya belum memiliki dokumen kebijakan yang terkait dengan masalah keamanan (security policy).

Permasalahan lain yang terkait dengan integritas data adalah masalah kualitas data. Sudah menjadi rahasia umum bahwa kualitas data yang ada pada sistem e-government di Indonesia ini sangat diragukan. Data bukan yang terbaru dan tidak akurat. Jika data yang masuk memiliki kualitas “sampah” maka data yang keluar dari proses sistem ini juga akan memiliki kualitas “sampah”, sesuai dengan peribahasa “garbage in, garbage out”.

Kualitas dan keakuratan data menjadi sangat penting ketika ada beberapa sistem yang harus saling bertukar data, misalnya sistem e-government dari satu propinsi dengan propinsi lainnya. Kemungkinan besar akan terjadi ketidak-cocokan antar sistem dikarenakan data yang berbeda. Data siapa yang paling benar?

Masalah kualitas data ini sangat pelik di Indonesia karena kultur kita yang kurang menghargai data dan dokumentasi. Perlu waktu dan ketekunan untuk mengubah kultur ini.

Untuk meningkatkan integritas dan kualitas data, perlu dilakukan sebuah upaya untuk melakukan verifikasi secara berkala. Di Australia ada sebuah inisiatif untuk melakukan “national document verification system”. Tujuan mereka memang sedikit berbeda, yaitu untuk menghindari pencurian identitas (identity theft)  dalam welfare fraud. Ditakutkan seorang yang jahat mengambil identitas orang lain untuk mendapatkan dana sosial.

Kerahasiaan Data

Confidentiality & privacy terkait dengan kerahasiaan data atau informasi. Pada sistem e-government kerahasiaan data-data pribadi (privacy) sangat penting. Hal ini kurang mendapat perhatian di sistem e-government yang sudah ada.

Bayangkan jika data pribadi anda, misalnya data KTP atau kartu keluarga, dapat diakses secara online. Maka setiap orang dapat melihat tempat dan tanggal lahir anda, alamat anda, dan data lainnya. Data ini dapat digunakan untuk melakukan penipuan dan pembobolan dengan mengaku-aku sebagai anda (atau keluarga anda).

Bayangkan pula jika data SAMSAT, pajak, dan sistem e-government lainnya bocor. Dapat dibayangkan betapa besar potensi kejahatan yang dapat dilakukan dengan menggunakan data ini.

Masalah kerahasiaan data ini menjadi fokus perhatian di dunia.

Canada’s auditor general Shiela Fraser has released a report warning that “significant weaknessesin government computer system puts citizens’ personal information at risk to identity theft, potentially eroding public confidence in government.  (IEEE Security & Privacy, vol. 3, no. 2, March/April 2005)

Ancaman atau serangan terhadap kerahasiaan data ini dapat dilakukan dengan menggunakan penerobosan akses, penyadapan data (sniffer, key logger), social engineering (yaitu dengan menipu), dan melalui kebijakan yang tidak jelas (tidak ada).

Untuk itu kerahasiaan data ini perlu mendapat perhatian yang besar dalam implementasi sistem e-government di Indonesia. Proteksi terhadap data ini dapat dilakukan dengan menggunakan firewall (untuk membatasi akses), segmentasi jaringan (juga untuk membatasi akses), enkripsi (untuk menyandikan data sehingga tidak mudah disadap), serta kebijakan yang jelas mengenai kerahasiaan data tersebut.

Pengujian terhadap kerahasian data ini biasanya dilakukan secara berkala dengan berbagai metoda. Salah satu contohnya adalah dengan melakukan penetration testing.

Ketersediaan Data

Suatu sistem e-government menjadi tidak manfaat manakala dia tidak tersedia ketika dibutuhkan. Hal ini lebih penting lagi ketika kita sudah mengandalkan sistem e-government.

Ketidak-tersediaan data dapat terjadi karena serangan yang dilakukan oleh manusia (dengan serangan yang disebut Denial of Service – DoS attack), atau dapat terjadi karena bencana alam. Berita dari Denver Post (Amerika) berikut merupakan sebuah contoh terhentinya layanan SIM karena sistem mereka terkena serangan virus.

License issuance still idled

By Robert Barba , Denver Post Staff Writer

Friday, September 24, 2004, Denver, CO

 

State driver’s licenses and identification cards won’t be issued again today, inconveniencing thousands of Coloradans for a second straight day. An unidentified computer virus forced the Colorado Department of Revenue to close the system at 2:30 p.m. Friday, and it hasn’t been up since, said Diane Reimer, a spokeswoman for the department’s Motor Vehicle Business Group.

“Somebody felt there wasn’t something quite right,” she said. “We want to make sure that we are doing everything that we should be doing to keep it secure.“ No personal data is believed to have been lost, Reimer said. A team of staffers has been working since Friday to fix the problem. Reimer said she was optimistic that license and ID card issuance would resume Wednesday.

Customers have been sympathetic, she said.
“People understand that we are living in a computer world,” Reimer said. The problem could affect more than 10,000 Coloradans if it persists through today. The virus has not affected other government agencies, and written and driving tests are still being administered, Reimer said.

Contoh lain dari hilangnya aspek availability adalah serangan terhadap World Trade Center (9-11). Banyak perusahaan yang beranggapan bahwa gedung WTC termasuk yang aman di dunia ini sehingga mereka lalai untuk membuat backup di tempat lain. Ketika gedung tersebut hancur, maka hancur juga bisnis yang bermarkas di gedung tersebut. Seharusnya mereka membuat backup data di tempat lain.

Di Indonesia sendiri tragedi tsunami yang menghantam Aceh dapat menjadi contoh betapa pentingnya ketersediaan data. Data dari kantor pemerintahan di sana, termasuk juga data dari berbagai perusahaan, hilang disapu badai tsunami. Data kepemilikan tanah, sertifikat tanah, surat-surat penting yang digadaikan, bahkan data perbankan hilang. Bagaimana membuktikan hal ini semua? Akan timbul banyak masalah di kemudian hari. Untuk itu, di kemudian hari harus ada peraturan yang mengharuskan adanya backup data secara elektronik yang diletakkan di tempat lain.

Untuk menghadapi masalah yang dapat timbul karena ketidak-tersediaan layanan atau data perlu dilakukan kajian terhadap kepentingan dari sistem. Hal ini dilakukan dengan membuat Risk Analysis dan Business Impact Analysis. Biasanya ini menjadi bagian dari proses Business Continuity Management (BCM). Sayangnya hal ini hanya mendapat perhatian dari lingkungan bisnis dan belum mendapat perhatian dari sistem e-government. Mungkin ini disebabkan belum adanya ketergantungan kita kepada sistem e-government. Manakala kita sudah mulai bergantung kepada sistem e-government, maka kegiatan BCM ini harus juga dilakukan.

Masalah Lain

Selain ketiga aspek di atas (confidentiality, integrity, dan availability), sebetulnya ada beberapa aspek lain seperti non-repudiation (tidak dapat menyangkal telah melakukan transaksi), authorization, dan access control. Namun hal ini bisa dianggap menjadi bagian dari ketiga aspek utama di atas.

Masalah utama yang kami temui di lapangan adalah tidak adanya pemahaman (awareness) akan masalah keamanan dari atasan (pimpinan, top management). Hal ini menimbulkan tidak adanya komitmen terhadap masalah keamanan. Akibatnya pengamanan menjadi terbengkalai karena tidak mendapat dukungan (baik dalam bentuk kebijakan maupun finansial). Untuk itu para pimpinan ini perlu mendapat wawasan akan masalah keamanan.

Cara lain untuk menimbulkan pemahaman adalah melalui jalur regulasi. Kepatuhan (compliance) terhadap regulasi dapat menjadi pemicu penerapan keamanan.

Tanpa ada pemahaman dan komitmen dari atasan, biasanya tidak ada kebijakan yang terkait dengan masalah keamanan (security policy). Tanpa ada kebijakan ini akan sulit melakukan implementasi pengamanan. Siapa yang boleh mengakses data? Apa saja yang dapat dilakukan oleh pengguna tertentu? Bagaimana saya harus menerapkan access control list di router dan firewall? Dan seterusnya.

Ketika terjadi masalah (insiden), saat ini tidak jelas kemana harus melapor. Biasanya pada sistem e-government belum ada Incident Response Team (IRT) yang menangani masalah insiden yang berhubungan dengan masalah keamanan. Di kemudian hari, IRT ini harus ada.

Pengamanan

Pengamanan terhadap sistem e-government harus dilakukan secara menyeluruh dengan menyertakan aspek people, process, dan technology. Kebanyakan solusi yang ditawarkan oleh vendor hanya terbatas pada aspek teknologinya saja sehingga hasilnya tidak efektif.

Aspek people terkait dengan SDM. Harus ada pemahaman, wawasan (awareness) dari semua pihak mulai dari atasan sampai bawahan. Khususnya untuk SDM yang menangani sistem IT, selain awareness mereka juga harus memiliki ketrampilan (skill).

Termasuk di dalam pengembangan sisi prosess adalah adanya kebijakan pengamanan (security policy) yang tertulis. Selain itu kebijakan ini harus dapat dimengerti dan diterapkan. Faktor enforcement juga harus diterapkan sehingga kebijakan ini memang benar-benar diikuti.

Untuk meyakinkan tingkat keamanan yang cukup, evaluasi harus dilakukan secara berkala. Biasanya evaluasi ini menyertakan penetration testing, evaluasi dokumen kebijakan, dan eveluasi penerapan kendali pengamanan. Evaluasi dilakukan dengan membandingkan dengan standar atau benchmark dengan istitusi lain yang setara.

Penutup

Jika ada satu kalimat yang ingin ditekankan pada makalah ini, kalimat tersebut adalah

Komitemen Terhadap Keamanan

Mudah-mudahan makalah dan presentasi singkat ini dapat membuka mata, memberikan wawasan, dan membuat komitmen keamanan terhadap sistem e-government di Indonesia sehingga e-government mendapat kepercayaan dari masyarakat.

Perihal betara
berbagi dengan pengalaman yang ada

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: