Keamanan Internet Indonesia


Keamanan Internet Indonesia

Catatan 2011 dan Proyeksi 2012

Id-SIRTII melakukan kajian tahunan terhadap perkembangan internet di Indonesia untuk memproyeksikan berbagai kecenderungan khususnya di bidang keamanan.
Pertumbuhan

Kompilasi data Kementerian Komunikasi dan Informatika antara lain berdasarkan Laporan Kinerja Operasi penyelenggara layanan internet pada 2011 terdapat 38 Network Access Provider (NAP), 200 Internet Service Provider (ISP) yang memiliki ijin operasional. Estimasi agregat lalu lintas data Exchange Nasional sedikitnya 60 Gbit/s dan IP transit internasional 60 Gbit/s. Jumlah alokasi IPv4 mencapai 8 juta.

Masih ada sekitar 100 ISP yang belum beroperasi penuh, belum termasuk ISP tidak resmi. Sedang jumlah Warung Internet diperkirakan 20 ribu termasuk Game Center. Internet Exchange ada 2 di Jakarta (IIX dan OIXP), namun tidak termasuk local peer atau private exchange yang jumlahnya tidak diketahui. Di daerah juga dibangun IX baik yang diselenggarakan oleh APJII maupun Pemerintah melalui program BP3TI.

Statistik pertumbuhan signifikan terjadi sepanjang 2011. Angka konservatif dicatat Internet World Statistic, Indonesia menempati urutan 4 setelah China, India dan Jepang dengan pengguna 40 juta atau 16% (4% di Asia) dari total populasi 245 juta.

Angka faktual ditunjukkan situs Facebakers. Pengguna Facebook di Indonesia pada Desember 2011 hampir 42 juta (urutan 2 setelah USA). Sedang menurut Comscore pengguna Twitter Indonesia 4 besar (22%) setelah Belanda, Jepang dan Brazil.

Demografi pengguna internet Indonesia didominasi pria 59% dan kelompok digital nativesumur 13-15 tahun (16%) dan 18-24 tahun (44%). Penetrasi kelompok umur 24-54 tahun dalam 24 bulan terakhir tumbuh 8% lebih tinggi. Sedang kelompok umur 24-54 tahun dan wanita menghabiskan 30% waktu online lebih banyak setiap hari.

Klik gambar untuk memperbesar

Sumber: Facebakers Online Statistics 2011

Rasio kesempatan akses gender pengguna Facebook di Indonesia jauh lebih baik daripada India dimana 73% didominasi pria dan hanya ada 27% wanita. Namun sedikit di bawah rasio Amerika yang nyaris berimbang 51% pria dan 49% wanita.

Klik gambar untuk memperbesar

Sumber: Facebakers Online Statistics 2011

*) Statistik media sosial dipercaya karena menggambarkan fenomena aktivitas online paling populer representasi 82% pengguna. Walau ada deviasi data yaitu pengguna pasif, akun yang tidak pernah log in, tidak berinteraksi (tanpa tautan, teman, follow, follower) 20% di Facebook, 30% di Twitter. Tidak termasuk duplikasi akun.

Secara global faktor dominan penentu pertumbuhan adalah gaya hidup (online lifestyle). Terutama didorong aplikasi media sosial dan teknologi gadget berbasis mobile services yang terjangkau (+$10 unlimited data plan/bulan). 65% fitur paling dicari oleh pengguna smartphone adalah aplikasi media sosial. 30% pengguna internet menggunakan perangkat bergerak portabel (smartphone, ultra/netbook, tablet) dengan harga dibawah $300 dan kemudahan pembayaran (diangsur/kredit).

Klik gambar untuk memperbesar

 Sumber: Nielsen Report 2011

*) Tidak ditemukan data yang akurat jumlah populasi perangkat handheld selular. Tapi diketahui jumlah nomor terpakai saat tulisan ini dibuat telah mencapai 220 juta.

Berdasarkan jenis Operating System ternyata Symbian masih tetap menjadi pilihan dengan brand Nokia yaitu 51% pangsa pasar disusul Blackberry sebesar 20% dan Java (unknown) yang biasa digunakan oleh brand buatan China sebesar 11%. Sony Ericsson selanjutnya menguasai 9% pasar disusul sejumlah brand berbasis Android 5% dan Samsung 3%. Dari sejumlah nama besar tersebut platform utamanya adalah Smartphone dengan fitur utama internet khususnya aplikasi sosial media.

Klik gambar untuk memperbesar

Sumber: StatCounter Survey 2011

Kecenderungan di Indonesia nampaknya sedikit berbeda. Menurut Nielsen lebih dari 50% pengguna internet menggunakan piranti bergerak dan 30% tablet. Di Indonesia secara kontradiktif pilihan akses utamanya justru dilakukan di warung internet 65% serta WiFi HotSpot 45%. Selebihnya dari kantor 22%, rumah 19%, sekolah/kampus 14%. Pilihan ini mencerminkan keputusan memilih saluran akses dipengaruhi oleh kualitas koneksi internet khususnya dalam hal kecepatan dan stabilitas akses.

Klik gambar untuk memperbesar

Sumber: Nielsen Report 2011

*) Menurut Nielsen ketersediaan infrastruktur dan kualitas layanan broadband rumahan (household) di Indonesia adalah yang paling rendah di Asia Tenggara walau telah mencapai tingkat kewajaran serta keterjangkauan tarif yang setara.

Riset Urban Netizen Markplus Insight di 11 kota (Jakarta, Bodetabek, Surabaya, Bandung, Semarang, Medan, Palembang, Pekanbaru, Banjarmasin, Makassar dan Denpasar) menunjukkan angka yang lebih optimistik. Pengguna tumbuh 55 juta (2011) dari sebelumnya 42 juta (2010) dengan waktu online 3 jam per hari. 25% diantaranya aktif melakukan transaksi e-banking khususnya untuk payment sehingga mendorong pertumbuhan 100% pada sektor online trading. 57% pengguna menggunakan perangkat portabel, melonjak 100% dari tahun sebelumnya. Namun riset ini tidak menghitung faktor duplikasi kepemilikan perangkat dan jumlah perangkat yang aktif terkoneksi ke jaringan pada satu saat.

Klik gambar untuk memperbesar

Sumber: MarkPlus Insight Urban Netizen Research 2011

Publikasi Asosiasi Telekomunikasi Selular Indonesia (ATSI) menunjukkan angka paling meyakinkan. Dimana 70 juta atau +30% dari 220 juta SIM card yang beredar telah menggunakan layanan data internet secara aktif. Total 97 ribu BTS di seluruh Indonesia telah terpasang teknologi 2G (75 ribu) dan 3G (22 ribu). Ini sesuai dengan alokasi 90% CAPEX (30 triliun) yang dibelanjakan operator pada tahun 2011 untuk infrastruktur data internet. Proyeksi tahun 2012 layanan data akan tumbuh 100% sehingga operator akan menambah 15 ribu BTS baru. Komitmen ini didukung oleh regulasi refarming frekuensi khususnya 3G 1800/2100 oleh BRTI/Kemenkominfo.

*) Kompilasi dari sumber data terpisah di setiap operator menunjukkan angka yang lebih besar. Telkomsel mencatat 45 juta dari 103 juta, Indosat 27 juta dari 52 juta, XL 23 juta dari 45 juta dan AXIS 15 juta dari 20 juta. Estimasi total pada akhir 2011 telah tercapai penetrasi +110 juta pengguna data internet menggunakan teknologi selular. 

Walau layanan wireless broadband masih akan terus berkembang pesat, namun ada ancaman keterbatasan sumber daya alam frekuensi yang tidak dapat diperbaharui. Tingkat utilisasi semakin tinggi mendekati titik jenuh bahkan telah terjadi saturasi dan mengakibatkan degradasi layanan. Diperparah terbatasnya ketersediaan backhaul antar wilayah berbasis fiber optic sebagai pendukung jaringan distribusi BTS.

Pertumbuhan yang lebih lambat dicatat oleh infrastruktur fixed broadband. Operator terbesar yaitu PT Telkom dengan produk Speedy berbasis teknologi ADSL hanya mencatat angka 3 juta pelanggan. Walaupun tumbuh 100% tapi jumlahnya sangat kecil dibandingkan total pengguna internet dan populasi. Penyebabnya infrastruktur kabel hanya sekitar 9 juta SST dengan tingkat pertumbuhan 150 ribu per tahun.

Operator lain seperti First Media dan BizNet yang menggelar teknologi infrastruktur Metronet berbasis fiber optic (FTTH) pertumbuhannya juga kurang menggembirakan dengan total pelanggan di bawah 500 ribu yang terbatas di kota besar (metropolitan). Demikian juga operator BWA WiMAX yang masih terhambat standar dan regulasi.

Analisa Id-SIRTII untuk sektor e-commerce: potensi pertumbuhan besar-besaran aplikasi transaksi seperti mobile banking, micropayment masih menunggu kesiapan infrastruktur. Kebutuhan penggunaan layanan selular secara eksesif sesungguhnya dibatasi oleh sifat frekuensi yang merupakan sumber daya tidak terbarukan dan sifat akses yang seharusnya on demand (manakala dibutuhkan) tidak continuous (terus menerus). Gejala ketimpangan supply and demand akibat pertumbuhan pengguna, layanan dan aplikasi yang sangat pesat namun tidak diimbangi dengan ketersediaan fixed broadband yang memadai. Kondisi infrastruktur pangkal persoalan utama yang menghambat pertumbuhan pengguna, pasar, layanan, aplikasi dan transaksi.

Meskipun demikian kondisi Indonesia masih cukup baik walau terjadi resesi global. Sejak 2005 Nielsen melakukan Global Online Consumer Confidence Survey untuk mengetahui perhatian utama dan minat berbelanja 28.000 pengguna Internet di 56 negara. Tingkat kepercayaan di atas 100 menunjukkan optimisme sedangkan bawah menunjukkan pesimisme. Sejak 2007 Indonesia selalu berada dalam posisi optimis. Ini menunjukkan adanya persepsi yang baik pada kondisi ekonomi dan keamanan.

Klik gambar untuk memperbesar

Sumber: Nielsen Report 2011

Berdasarkan data yang telah disampaikan di atas menunjukkan gambaran semakin tingginya nilai (value) internet bagi masyarakat. Kecenderungan ini dalam beberapa hal ternyata telah mengakibatkan ketergantungan dan juga resiko serta gangguan terhadap sumber daya informasi maupun interaksi yang dilakukan antar pengguna.

Ancaman

Ancaman terhadap sumber daya informasi dan interaksi antar pengguna pada dasarnya diakibatkan oleh berbagai kelemahan yang dieksploitasi oleh pelaku dengan tujuan menguasai/mengambil alih aset yang bernilai tersebut. Kelemahan (vulnerability) dapat berupa force majeur (bencana alam dan kerusuhan) maupun kekurangan pada sistem dan kelalaian manusia di dalam mata rantai keamanan.

Klik gambar untuk memperbesar

Matriks Ancaman Keamanan, Id-SIRTII 2010

Ancaman dengan cepat dapat berubah menjadi insiden serius yang patut untuk  diperhatikan dan diperhitungkan konsekuensinya khususnya dalam hal biaya:

  1. Komputer dan jaringan (layanan) terganggu/mati/tidak dapat beroperasi
  2. Peningkatan biaya dan kegiatan perawatan (re-install, re-configuration)
  3. Biaya mitigasi (data recovery, hardening) untuk pihak ketiga (tenaga ahli)
  4. Kehilangan kesempatan bisnis (opportunity lost) karena terganggunya layanan utama (business interruption) dan akibat berantai yang mungkin dapat mengganggu sistem elektronik lainnya (kerugian yang meluas)
  5. Kekecewaan dan ketidakpuasan pasar yang merusak reputasi perusahaan
  6. Kemungkinan gugatan hukum karena kerugian yang dialami pelanggan
  7. Resiko pencabutan ijin dan atau sanksi regulasi lainnya karena adanya kewajiban memberikan jaminan keamanan bagi penyedia layanan.

Variasi ancaman keamanan informasi kini melibatkan kelompok profesional yang terorganisir, menguasai keterampilan tinggi, memiliki modal kuat, sumber daya hampir tidak terbatas, melibatkan beragam teknik dan alat bantu full spectrum (digunakan sekaligus secara bersamaan) untuk melakukan kombinasi eksploitasi (mulai dari pengembangan malware khusus, pemanfaatan citra satelit, mengambil alih kendali fisik, hingga social engineering dan zero day), sehingga secara efektif dan akurat mampu menyerang entitas yang sangat spesifik dengan keberhasilan mendekati 100%. Motif utamanya bukan hanya ekonomi atau kriminal tapi juga spionase dan sabotase memanfaatkan kemampuan akses/kendali jarak jauh yang luas, dalam jangka panjang untuk mengumpulkan informasi dan atau mengawasi kegiatan tertentu sehingga patut diduga kuat ada negara yang menjadi sponsor (state terrorism). Aktivitas ini dikenal sebagai Advanced Persistent Threat (APT). Virus Stuxnet (2010) dan Duqu (2011) menjadi petunjuk keberadaan APT ini.

*) Walaupun malware merupakan vektor utama APT tetapi para ahli berpendapat ini bukanlah masalah teknologi melainkan terkait erat dengan perilaku yang tidak aman.

Kondisi ekonomi dunia yang buruk sepanjang 2011 mengakibatkan peningkatan ancaman kelemahan manajemen sumber daya manusia di dalam organisasi atau disebut Insider Threat. Alasan ketidakpuasan, perselisihan yang cenderung bersifat pribadi pada umumnya tidak dapat dicegah dan diatur oleh SOP. Spektrum masalah Insider Threat biasanya meluas mempengaruhi orang lain mengakibatkan turnover. Tindakan tegas sulit dilakukan karena yang bersangkutan justru terlanjur dipercaya untuk memegang kendali aset informasi yang paling penting di dalam organisasi.

Menurut laporan Trustwave selama tahun 2011, malware (APT) dan kelemahan SOP (Insider Threat) jadi penyebab utama kebocoran data disengaja yang sulit terdeteksi. Sedangkan jenis data yang dijadikan sasaran umumnya adalah kartu pembayaran sehingga motif ekonomi lebih menonjol. Akan tetapi hasil penelitian ini sebenarnya justru menggambarkan adanya ancaman yang jauh lebih besar yaitu APT, namun sangat sedikit terdeteksi. Artinya riset ini hanya mengamati satu aspek saja, yaitu kemampuan teknologi untuk pencegahan, peringatan dini dan sistem pengamanan serta penanggulangan yang umumnya berbasis database signature, misalnya anti virus. Dimana ketika pada akhirnya sistem ini mampu mendeteksi keberadaan APT maka sesungguhnya para penyerang telah berhasil menguasai jauh sebelumnya dengan menggunakan berbagai cara dan memanfaatkan ruang lingkup kelemahan lainnya yang tidak terlindungi oleh produk atau perangkat pengamanan tersebut.

Klik gambar untuk memperbesar

Sumber: Trustwave Global Security Report 2011

 Namun demikian data hasil riset Trustwave ini dapat menjadi salah satu indikator yang menggambarkan kondisi keamanan informasi di Indonesia khususnya dalam masalah kebocoran data dimana selama tahun 2011 merupakan salah satu insiden yang paling banyak dilaporkan dan menjadi kasus (pencurian data pelanggan dll.):

Klik gambar untuk memperbesar

Sumber: Trustwave Global Security Report 2011

*) Data pribadi, finansial, kesehatan, intelectual property dan informasi sensitif adalah komoditas paling diminati di pasar gelap (underground economy). Khusus di Amerika yang paling diminati adalah IPR, ICT, marine system, aerospace/aeronautics, biotech and healthcare (pharm), advanced material and manufacturing techniques, nanotech, clean technology, energy, military dengan tersangka pelaku utama China. Kelompok terbesar lainnya adalah The Russian Company (mafia) dengan penguasaan bisnis melebihi seluruh perputaran ekonomi yang diperoleh kartel narkoba di tahun 2011.

Analisa Id-SIRTII tahun 2011 (berdasarkan laporan dari pemangku kepentingan) di dalam negeri dan mitra kerja (counterpart) di luar negeri menyangkut ancaman, eksploitasi dengan teknik rekayasa sosial menunjukkan fakta bahwa kecenderungan ancaman bersifat mengarah/spesifik (targeted), menggunakan teknik penyesatan (phising), penyebaran (infeksi) kode jahat (malicious code/malware) atau penipuan (fraud/scam) dan pembajakan akun yang berakibat kebocoran data dan impersonate (meniru/mengaku sebagai seseorang)). Korban atau perantara yang terlibat banyak diantaranya adalah tokoh masyarakat pengguna aktif media sosial. Pemicunya 100% berasal dari interaksi (tidak melakukan pemeriksaan dan kurang berhati-hati ketika mendapat kiriman link/file, menerima pertemanan dari orang yang tidak jelas dlsb.).

Kelemahan menonjol yang paling sering dieksploitasi dengan teknik rekayasa sosial:

  1. Pencurian informasi pribadi (pembajakan akun dan penipuan) disebabkan oleh rendahnya kesadaran keamanan data dan perilaku over exposure khususnya ketika berinteraksi di media sosial seperti Facebook dan Twitter
  2. Manusia sebagai mata rantai paling lemah dalam sistem pengamanan informasi sering menjadi sasaran ancaman serangan rekayasa sosial seperti phising (penyesatan) dan infeksi kode jahat (malicious code/malware)
  3. Ancaman serangan semakin bersifat pribadi dan menggunakan teknologi yang khusus ditujukan kepada sasaran yang sangat spesifik (targeted).

Salah satu contoh bentuk serangan dalam interaksi sosial adalah penyebaran link di Facebook dimana 20% diantaranya ditujukan untuk mencuri informasi kartu kredit:

Klik gambar untuk memperbesar

Artikel Mike Flacy, Digital Trends 13 Januari 2012

 Sedang kasus ancaman internal yang banyak dijumpai akibat kurangnya kebijakan (policy) serta prosedur (SOP) untuk pengamanan sumber daya informasi adalah:

  1. Penyebaran kode jahat (malicious code/malware) Virus, Trojans, Bot dll.
  2. Cara penulisan kode program untuk aplikasi internal yang tidak aman
  3. Penggunaan peralatan dan aplikasi yang ternyata palsu/bajakan/tiruan
  4. Penyalahgunaan data/information akibat ketiadaan standar klasifikasi
  5. Pelanggaran kebijakan akses data/informasi akibat ketiadaan enkripsi
  6. Pelanggaran terhadap batas keamanan secara fisik (area terbatas dll.)
  7. Kurangnya prosedur pengamanan untuk peralatan bekas pakai (disposal), perangkat yang sedang dalam perbaikan pihak lain atau hilang/dicuri dan pemeriksaan infeksi malware pada perangkat keras (hardware appliance)
  8. Tidak ada manajemen pengendalian dan pencegahan insider threat
  9. Kebocoran data akibat ketiadaan aturan penggunaan peralatan portabel
  10. Meningkatnya SPAM/SCAM dan adiksi penggunaan media sosial di tempat kerja akibat tidak ada pembatasan akses dan upaya penapisan konten.

Serangan

Teknik serangan sangat banyak tapi pada dasarnya dapat dikelompokkan menjadi:

Klik gambar untuk memperbesar

Teknik Serangan, Id-SIRTII 2010

 Berbeda dengan sifat ancaman yang masih merupakan potensi, maka yang disebut sebagai serangan adalah manakala ancaman tersebut diwujudkan dan secara nyata telah mengakibatkan kerugian. Kebanyakan serangan saat ini selain memanfaatkan kelemahan juga mengandalkan tools berupa kode jahat (malicious codes/malware).

Malware adalah komoditas yang memiliki pasar tersendiri di underground economy disebutCrimeware Ecosystem Network. Melibatkan sejumlah aktor mulai pembuat (programmer/developer), reseller (ada program afiliasi distribusi mirip MLM), operator (C&C), implementor atau injector (pay per install), technical support group, spammer hingga exploit tools provider, penyedia forum layanan trading, payment (transaksi) berbahasa asing non Inggris (Rusia, Jerman, China) kadang memerlukan keyboard karakter khusus untuk interaksi. Dan tentu saja pihak user yang berkepentingan.

Teknik serangan utama yang paling banyak digunakan sepanjang tahun 2011:

  1. Hijacking, untuk membajak dan mengambil alih sumber daya informasi (MITM – Man in The Middle Attack, Side Jacking)
  2. Interruption, mengganggu, memalsukan, mengalihkan layanan dengan tujuan menyesatkan pengguna atau mematikan infrastruktur (DNS/route poisoning, DdoS – Distributed Denial of Services)
  3. Modification, perubahan konten menjadi material merusak/berbahaya, informasi palsu dan menyesatkan (defacing/vandalism)
  4. Fabrication, serangan dengan tujuan spesifik (pribadi), menyebarkan kerusakan luas (scam, SPAM, phishing, identity theft, malware – malicious code seperti virus, trojan, botnet, rootkit, backdoor).

Sejumlah laporan terkait yang tercatat namun tidak dapat dikonfirmasi karena alasan kerahasiaan adalah dugaan terjadinya kebocoran/pencurian/penyalahgunaan data pribadi nasabah/pelanggan dan data kartu pembayaran terjadi di sektor perbankan dan telekomunikasi serta bisnis retail. Akan tetapi indikasi terjadinya serangan dapat diketahui dari banyaknya keluhan masyarakat yang sayangnya belum diperhatikan. Dimana hampir seluruhnya serangan tersebut memanfaatkan malware baik dengan teknik spear phising (email) maupun penyesatan scam scareware (anti virus palsu).

Kecenderungan lain yang patut diwaspadai adalah kemajuan teknologi virus modern. Antara lain adanya kemampuan baru yang unik (sophisticated): tidak meninggalkan jejak dengan pola yang sama untuk menghindari deteksi (registry unik dan random), mampu berkomunikasi dengan berbagai cara dengan pembuatnya (master/herder), dapat memilih dan memilah informasi yang hendak dicuri dan atau diubah/dirusak, berkembang biak (duplikasi) dan menyebar secara otonom, melakukan injeksi pada file sistem yang penting (menjadi lebih sulit dideteksi dan dibersihkan) serta punya fasilitas enkripsi dan update kecerdasan menghindari deteksi secara berkelanjutan.

Revolusi terbesar di bidang malware ini adalah Virus Stuxnet yang menyasar sistem kendali SCADA dimana Indonesia telah menempati urutan ke 2 setelah Iran dalam hal jumlah infeksi. Walaupun tidak terjadi kerugian (karena sasaran utama Stuxnet adalah instalasi pengayaan nuklir Iran), namun fakta ini menunjukkan adanya suatu security holes di dalam instalasi vital sistem informasi (critical infrastructure) kita.

Sekaligus menjadi indikator isu yang lain yaitu bahwa populasi penggunaan sistem informasi dan aplikasi tidak resmi/bajakan (pirateware) yang tentu saja tidak aman, masih mendominasi walaupun adopsi alternatif aplikasi legal berbasis open source sebenarnya makin luas. Inilah titik lemah utama keamanan informasi Indonesia, yaitu pemakaian piranti lunak ilegal yang memiliki banyak kelemahan (vulnerable).

Sebagai perbandingan berikut data kecenderungan virus global selama tahun 2011:

Klik gambar untuk memperbesar

Sumber: Eset, spol. s.r.o.

 Analisa ini sesuai dengan laporan Vaksin.Com tahun 2011 bahwa jawara virus yang menyebar di Indonesia adalah Ramnit dan Stuxnet. Bahkan varian Stuxnet ternyata mengakibatkan gangguan pembengkakan kapasitas harddisk akibat file sampah dan menyerang berbagai fitur penting andalan utama sistem operasi Windows 7. Namun yang paling menarik dalam analisa Vaksin.Com adalah meningkatnya penyebaran malware yang disebarkan melalui link di Facebook Chat dan menumpang aplikasi games serta pertumbuhan virus/malware pada platform mobile (Android). Tren virus 2012 nampaknya memang akan semakin mengarah ke perangkat mobile gadget.

Dari sistem pemantauan Id-SIRTII dan sumber pembanding tercatat paling banyak serangan memanfaatkan kelemahan aplikasi web khususnya eksploitasi PHP dan SQL dengan tujuan untuk mendapatkan akses melakukan web defacing/vandalisme khususnya situs pemerintahan. Kemudian serangan sejenis dengan tujuan untuk menguasai (compromise) sebagai vektor serangan lain (sebagai zombie/proxy, bot command and control bahkan payload server yang menginjeksi/infeksi malware ke pengunjung situs) dan DDoS bahkan juga sebagai host penampung (staging server) untuk sejumlah konten ilegal hasil pencurian data maupun aktivitas crimeware yang lain (warez, pornografi, CC). Ditemukan pada kasus di situs pemerintahan.

Terdeteksi pula jenis serangan yang mematikan buffer overflow di sisi server dan DDoS dengan sasaran server DNS .id khususnya .co.id yang tergolong sebagai critical infrastructure yang seharusnya patut mendapat perlindungan dan perhatian pengamanan maksimal (maximum security) seperti misalnya menambah jumlah server secondary DNS .id dan menyediakan resolver nasional untuk .id. Desain SecureDNS khususnya untuk mencegah exploitasi jenis DNS poisoning masih belum populer implementasinya di Indonesia walaupun serangan nyata telah terjadi.

Ancaman serius berikutnya yang juga masih sangat diabaikan adalah pertumbuhan SPAM dan SCAM termasuk spear phising menyasar nasabah online banking dan penipuan (fraud) khususnya modus love/bride/nigerian scam dan penjualan barang murah (elektronik, tiket dlsb.) serta undian yang dikombinasikan dengan SMS serta telepon selular atau hipnotis/transfer ATM sebagai vektor serangan konvensional. Dalam dua tahun terakhir serangan yang semula bersifat cross border (dilakukan dari luar negeri), kini telah beralih sepenuhnya di Indonesia dalam arti bukan hanya sekedar telah menggunakan bahasa Indonesia (misalnya phising/scam) namun juga memanfaatkan bantuan pelaku lokal atau bahkan memang sepenuhnya domestik.

Keamanan

Adanya ancaman dan serangan telah mendorong upaya pengamanan dengan tujuan melindungi sumber daya melalui upaya preventif dan proaktif di setiap tingkatan:

  1. Infrastructure: logical/physical security design, DMZ, Firewall, VPN, IDPS, surveillance, area separation, access policy, standard operation procedures
  2. Environment: data classification, access credentials, cryptography, PKI
  3. Application, update management, anti malware, audit, secure programming.

Kemudian menerapkan standar teknis, kompetensi dan mengikuti best practice:

  1. Assurance Procedures, misalnya acceptance test, post audit, pentest
  2. Security Standard & Audit, misalnya adopsi CISA, COBIT, ISO
  3. Security Certification, misalnya untuk tenaga ahli CISA, CEH, CSSIP
  4. Risk Analysis and Mitigation Process, misalnya implementasi BCP, DRC
  5. Incident Response, misalnya membentuk CSIRT, latihan simulasi insiden.

Untuk mengurangi ancaman akibat kelemahan internal ini maka pemerintah telah mengadopsi Information Security Management System (ISMS) ISO/IEC 27000 series sebagai Standar Nasional Indonesia (SNI) untuk diterapkan di kementerian/lembaga serta instansi/swasta. Sejak tahun 2011 juga dikembangkan self assessment Indeks Keamanan Informasi (KAMI) untuk menilai kesiapan penerapan ISMS SNI 27000.

Faktanya perhatian dan kesadaran terhadap ancaman keamanan informasi masih rendah. Kecuali di sektor perbankan yang ketat menerapkan regulasi (compliance) dan kewajiban (audit). ISMS ISO/IEC 27000, COBIT atau ITIL telah diterapkan untuk memenuhi ketentuan Bank Indonesia. Indikasi ini diketahui dari hasil survei persepsi integrasi antara faktor Governance, Risk Management dan Compliance dalam bank:

Klik gambar untuk memperbesar

Sumber: Banking Survey Report 2011, Pricewaterhouse Coopers Indonesia

 Hasil ini menunjukkan bahwa regulasi (peraturan/perundangan) berperan besar dalam menentukan tingkat perhatian dan kesadaran terhadap keamanan informasi. Regulasi ketat yang diterapkan Bank Indonesia di sektor perbankan terbukti berhasil menciptakan persepsi yang lebih baik di lingkungan internal pemangku kepentingan.

Klik gambar untuk memperbesar

Sumber: Banking Survey Report 2011, Pricewaterhouse Coopers Indonesia

 Persepsi yang baik ini terbukti pula dalam poin survei lainnya yang menunjukkan adanya perhatian dan kesadaran yang tinggi terhadap 2 resiko fraud paling tinggi:

  1. 29% Identity fraud  (pencurian identitas melalui rekayasa sosial i.e. phising)
  2. 25% Collusion between employees and customers (persekongkolan jahat)
  3. 21% Internet banking dan ATM fraud (sesuai survei profil potensi ancaman)
  4. 19% Funds transfer fraud (penipuan/scam undian/tiket murah dll., hipnotis)
  5. 13% Others (lainnya) kombinasi penipuan melalui SMS dan media sosial.

Salah satu kesimpulan survei, 27% bankir memperkirakan tingkat resiko fraud akan menurun. Sebaliknya 22% bankir menilai akan ada kenaikan dan 51% menganggap akan tetap. Namun faktanya jumlah bank yang melakukan fraud risk assessment pada 2 tahun terakhir justru naik dari 57% di tahun 2010 menjadi 69% di tahun 2011.

Klik gambar untuk memperbesar

Sumber: Banking Survey Report 2011, Pricewaterhouse Coopers Indonesia

 Keberhasilan regulasi di sektor perbankan adalah contoh yang patut diterapkan di sektor lainnya untuk meningkatkan kesadaran keamanan informasi. Kementerian Komunikasi dan Informatika selaku leading sector di bidang Keamanan Informasi perlu menyelenggarakan program strategis mendorong tumbuhnya regulasi sektoral.

Kejahatan

Tidak semua serangan yang dilaporkan menjadi kasus pidana. Sebagian besar hanya diperlakukan sebagai insiden keamanan dimana tujuan akhir penyelesaian adalah pulihnya kembali data/layanan/aktivitas pihak korban. Hanya sedikit yang dilaporkan kepada penegak hukum dan menjadi kasus cyber crime. Walaupun kerugian tetap terjadi namun pada umumnya masyarakat menganggap proses penegakan hukum tidak akan mengembalikan nilai yang terlanjur hilang kendati dalam beberapa hal justru membebani dan mengganggu/menghambat upaya perbaikan dan pemulihan misalnya akibat dari pemeriksaan saksi dan forensik.

Orang kurang memperhatikan informasi tentang suatu kejahatan dan menyangka sesuatu yang buruk seolah tidak akan menimpa sampai kemudian dirinya sendiri menjadi korban.Ketidakpedulian masyarakat mengakibatkan turunnya kesadaran terhadap keamanan dan tingkat kewaspadaan. Berdasarkan analisa kasus cyber crime yang terjadi menunjukan adanya indikasi kelemahan tersebut di sisi korban. Sebagian besar kasus adalah perulangan dari kejadian yang sama sebelumnya dan sebenarnya telah dipublikasikan luas bahkan ada banyak kampanye peringatan.

Kapasitas dan kemampuan aparat penegak hukum itu sendiri juga tidak memadai untuk menangani dan menjawab tantangan pertumbuhan kuantitas dan kualitas cyber crime. Sebagai gambaran di Polda Metro Jaya pada tahun 2010 dilaporkan kurang dari 100 kasus cyber crime. Namun pada tahun 2011 melonjak menjadi lebih dari 500 perkara. Sebagian besar modusnya adalah penipuan dan penyesatan. Unit Cyber Crime sendiri selain di Mabes juga baru ada di beberapa Polda yaitu Metro, Sumut, Jabar, Jateng, DIY, Jatim dan Bali. Sementara di tingkat Polres belum ada.

*) Kurangnya kapasitas penegak hukum tidak hanya di tingkat penyidik Kepolisian namun juga di tingkat penuntutan (Kejaksaan) dan Hakim selaku pemutus perkara.

Dalam proses penyelidikan dan penyidikan hambatan yang paling menonjol adalahkurangnya keinginan berpartisipasi dan bekerjasama untuk mengungkap suatu kejadian dari pihak yang bersangkutan khususnya perbankan dan penyelenggara layanan telekomunikasi. Alasan kerahasiaan dan birokrasi serta regulasi menjadi penyebab kegagalan tindakan antisipasi untuk mencegah kerugian yang lebih luas dan perulangan. Dalam setiap kasus cyber crime seringkali kecepatan penindakan bersifat preventif mendesak dilakukan untuk melindungi kepentingan yang lebih luas. Ketidaksepahaman koordinasi antar instansi ini khususnya di tingkat operasional perlu solusi segera misalnya dengan diberlakukannya protokol kerjasama khusus.

Kombinasi kelemahan rendahnya motivasi untuk melaporkankan insiden menjadi kasus, ketidakpedulian masyarakat yang berakibat rendahnya kesadaran, kurangnya kapasitas aparat untuk memproses dan menuntaskan perkara ditambah sedikitnya partisipasi pihak yang terkait menjadi penyebab semakin maraknya cyber crime. Sehingga pelaku kejahatan elektronik ini merasa leluasa melakukan aksinya apalagi terdukung kelemahan administrasi kependudukan yang memungkinkan identitas palsu maupun anonimitas. Inilah root of evilmasalah cyber crime di Indonesia.

*) Tahun 2011 proyek e-KTP dilaksanakan oleh Kementerian Dalam Negeri namun tujuan utamanya untuk kepentingan identifikasi Pemilihan Umum. Konsolidasi dan integrasi data antar instansi sebagai basis administrasi kependudukan tunggal sesuai konsep Single Identity Number (SIN) sebagaimana amanat Undang Undang Kependudukan dan Kewarganegaraan belum akan terwujud dalam waktu dekat.

Ada beberapa jenis pelaku kejahatan ini berdasarkan motifnya, yaitu antara lain:

  1. Thrill seeker (pencari kesenangan), kebanyakan newbie cracker yang iseng
  2. Organized crime, bersifat transnasional khususnya underground economy
  3. Terrorist group dan nation states (spionase), keberadaannya sulit dibuktikan.

*) Kegiatan yang bersifat coba-coba seperti defacing (vandalism) adalah tindakan pidana dengan ancaman serius sebagaimana diatur Undang Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik (ITE). Apabila tujuan aksi adalah untuk pembelajaran maka sebaiknya gunakan fasilitas uji coba legal seperti National HoneyNet Project yang diselenggarakan Id-SIRTII bersama ACAD-CSIRT.

Apabila dikelompokkan berdasarkan jumlah kasus maka kejahatan dengan tujuan mendapatkan keuntungan ekonomi adalah yang terbanyak. Namun secara umum jenis cyber crime di Indonesia dapat dikelompokkan sebagaimana tabel berikut ini:

Incident : phishing, identity theft, data stealing & forgery – bot attack, cyber war, defamation, fraud, industrial espionage, critical information resources hostages, information leakage, insider attack, virus spreading

Cases : fraud, defamation, hoax, gambling, trafficking, porn., child predator, prostitution, money laundering, terrorism, underground economy

Techniques : Malicious code, local virus, common vulnerabilities/zero day – pirate ware (counterfeit not updated), phishing, Nigerian/love/bride scam (email, SMS), warez activity, local SPAM increase last 2 years, social network/messaging attack, targeted attack, web defacing (vandalism)

Motives : economy, political, hatred/mass protest, content blocking policy

Sumber: Kompilasi Data dan Referensi, Id-SIRTII

Berdasarkan analisa kondisi di Indonesia seperti di atas dan referensi global maka Id-SIRTII memberikan gambaran proyeksi cyber crime tahun 2012 sebagai berikut:

  1. Online banking fraud (phishing, MiTM) akan menjadi kasus paling menonjol
  2. Penipuan/penyesatan dengan teknik rekayasa sosial memanfaatkan SMS dan interaksi media sosial dengan modus dan tools baru akan makin marak
  3. Kejahatan serius tax evasion, money laundering, korupsi yang bersifat politis dengan memanfaatkan teknologi informasi juga akan berkembang luas
  4. Nilai transaksi underground economy dan transnational crime (organized, cross border, distributed, multi stage, global action) yang melibatkan pelaku dan komoditas yang terkait dengan Indonesia akan meningkat tajam
  5. Kebocoran data internal dan kasus insider threat akan menjadi penyebab utama cyber crime di lingkungan instansi/lembaga dan perusahaan.

Kejahatan besar akan cenderung memanfaatkan teknologi sebagai media maupun alat melakukan kejahatan dan menghilangkan jejak dan semakin sering melibatkan kepentingan politis seperti pada kasus Bank Century (kejahatan perbankan), Gayus Tambunan (manipulasi pajak), Nazaruddin (korupsi dan money laundering), Melinda Dee (investasi gelap). Modus yang digunakan akan semakin sophisticated, besifat individual dan melibatkan ahli (skilled) dengan sasaran sangat spesifik (targeted).

Hukum

Tantangan terbesar di bidang hukum pada masa yang akan datang khususnya di Indonesia adalah crimes that not exist yet (not regulated yet), suatu kondisi dimana suatu aktivitas online telah menimbulkan ancaman dan mengakibatkan kerugian tapi belum ada aturan dan hukuman yang dapat digunakan untuk menghentikannya.

Kompleksitas masalah yang terus tumbuh karena makin banyak orang dan aktivitas yang saling terkait menimbulkan dampak kontradiktif bahkan juga paradoks antara manfaat dan kerugian dapat terjadi secara bersamaan. Selain itu keterbatasan dalam hal ketersediaan teknologi tidak mungkin dapat mejangkau semua potensi kejahatan dan yurisdiksi hukum yang spektrumnya semakin meluas dan meningkat volumenya.

Kecenderungan kejahatan online (cyber crime) akan makin mengarah kepada motif ekonomi (financial/money), bersifat integrated (any kind related), semakin politis dan juga melakukan eksploitasi terhadap kelemahan sistem hukum dan penegak hukum. Artinya modus yang digunakan akan selalu berada di wilayah yang belum diatur dan segera beralih ke cara lain ketika regulasi untuk antisipasi sedang disusun dan atau melibatkan banyak upaya sekaligus (multi vector) sehingga semakin sulit ditindak.

Sepanjang tahun 2011 Id-SIRTII mencatat diskursus dan penerapan hukum terkait cyber crime. Sejumlah peraturan perundangan telah digunakan sebagai referensi:

  1. Budapest Convention, memberikan inspirasi diskursus tentang cyber law
  2. UU Perlindungan Anak Nomor 23/2002, perhatian aspek kejahatan online
  3. UU ITE Nomor 11/2008, semakin banyak digunakan oleh penegak hukum
  4. UU KIP Nomor 14/2008, menjadi dasar tuntutan dan ekspresi masyarakat
  5. UU Pornografi Nomor 44/2008, upaya awal regulasi konten dan penapisan.

Pada kenyataannya sebagian permasalahan dapat diselesaikan melalui optimasi peraturan perundangan yang telah tersedia. Namun sebenarnya masih banyak hal seharusnya perlu tata kelola (pengaturan dan penataan) yang lebih baik melalui regulasi dan pembentukan perangkat organisasi (badan/lembaga) yang bersifat teknis berbasis keahlian untuk melayani dan antisipasi pertumbuhan pemanfaatan internet yang kini telah semakin meliputi sebagian besar aspek kehidupan manusia.

Kinerja lembaga dan pejabat legislasi amat rendah dan tidak responsif menjawab tantangan kebutuhan kepastian hukum masyarakat online yang dinamis. Sejumlah peraturan jalan di tempat hingga bertahun-tahun lamanya, salah satunya RPP PITE (amanat UU ITE) selama 3 tahun dalam proses harmonisasi di Kementerian Hukum dan HAM dan RPP Penyadapan yang dianulir oleh MK dan harus diubah menjadi RUU. Akibatnya kreativitas dan ekspresi masyarakat serta bisnis online (investasi) tidak mendapatkan kepastian hukum bahkan menjadi polemik antara pelaku industri dan pemerintah seperti pada kasus RIM, Google, perbankan asing dan lainnya.

Para penegak hukum pun juga mengalami kesulitan dalam mengantisipasi dinamika ini seperti dalam hal kebutuhan legalitas penyadapan (Lawful Interception) dan RUU Tindak Pidana Teknologi Informasi sebagai Cyber Law yang sesungguhnya serta revisi KUHP yang memasukkan ranah internet sebagai ruang lingkup/lingkungan hukum. Keterbatasan pemahaman para ahli hukum dan pejabat legislator terhadap ranah internet menjadi salah satu kendala utama kegagalan di dalam merumuskan substansi yang tepat dan pada akhirnya mengakibatkan proses yang sangat lambat.

*) Belum termasuk kebutuhan regulasi lainnya yang lebih mendesak dan bersifat teknis seperti aturan penanggulangan SPAM, regulasi konten serta penapisan dll.

Selain tantangan spesifik di Indonesia seperti dipaparkan di atas, ada pula tantangan di bidang hukum yang lebih bersifat global dan juga sedang dialami semua negara:

  1. Isu investigasi: multi yurisdiksi, perbedaan prosedur dan hukum acara, batas waktu penyelidikan/penyidikan/penuntutan, penyediaan/pertukaran data/alat bukti, hak asasi dan perlindungan privasi serta keterbatasan pranata hukum
  2. Dukungan timbal balik antar penegak hukum (mutual legal assistance within counterparts) dan kesesuaian sistem peradilan (judicial systems compliance)
  3. Saling pengakuan (mutual recognition) dan penyesuaian yang berkelanjutan (continuous adjustment) terhadap peraturan yang diterapkan setiap negara.

*) Perlakuan hukum yang berbeda dan tidak kompatibel antar negara mendorong pelaku untuk memilih lingkungan yang menyediakan ruang gerak paling leluasa dan resiko yang minimal (misalnya perang opini dalam kisah pelarian Nazaruddin). Sifat cyber crime yang cross border memungkinkan aksi kejahatan berlangsung di ruang dan waktu berbeda namun tidak terjangkau yurisdiksi dimana aktivitas itu berakibat.

Terhadap tantangan tersebut dibutuhkan pendekatan teknis dan politis seperti:

  1. Membentuk Multijurisdictional Special Cyber Task Force antar negara
  2. Melakukan pengawasan lintas batas dan analisa kejahatan bersama
  3. Peningkatan keahlian dan kapasitas penegakan hukum berkelanjutan
  4. Meningkatkan dukungan teknologi untuk koordinasi dan komunikasi
  5. Berbagi informasi dan data intelejen untuk mendukung pengungkapan
  6. Membuat kesepakatan multilateral dan ratifikasi konvensi internasional
  7. Menunjuk focal point bersama di suatu kawasan dan menyediakan dana serta sumber daya pendukung yang memadai untuk kolaborasi jangka panjang termasuk memberikan program khusus perlindungan saksi.

*) Penggunaan teknologi dan eksploitasi tingkat tinggi (APT) melibatkan kekuatan uang dan politik yang mempengaruhi hukum. Situasi ini menjadi kecenderungan.

Kesimpulan

Mencermati berbagai kecenderungan tersebut maka dapat disimpulkan bahwa yang paling dibutuhkan di masa depan adalah peran Pemerintah yang lebih besar untuk:

  1. Secepatnya menyusun, menerapkan National Cyber Security Framework sebagai pedoman dan panduan menyelenggarakan upaya pengamanan pada semua sektor (kebijakan makro) dan penerapan standar ISMS (tingkat mikro) untuk memastikan adanya upaya pencegahan dan peningkatan pengamanan serta evaluasi periodik dan berkelanjutan khususnya infrastruktur strategis
  2. Menetapkan regulasi standar penyelenggaraan fasilitas National Secure Data Centerdan DRC untuk menjamin keberlangsungan infrastruktur strategis apabila terjadi kondisi darurat (business contonuity plan – BCP)
  3. Mewujudkan integrasi basis data National Single Identity Number (SIN)
  4. Mengupayakan peningkatan kapasitas penegak hukum secara progresif
  5. Bersama industri dan masyarakat luas menyelenggarakan sosialisasi serta kampanye kesadaran berkelanjutan meningkatkan pemahaman, kepedulian dan kewaspadaan semua pihak sehingga tercipta budaya pengamanan
  6. Meningkatkan kemampuan dan kesiapan kelembagaan serta keahlian untuk melaksanakan tindakan proaktif dan preventif seperti penapisan dan protokol kerjasama khusus antar instansi menghindari tumpang tindih kewenangan
  7. Percepatan proses adaptasi, adopsi, legislasi regulasi (living document).

*) Di negara yang maju pemanfaatan internetnya (Jepang, Korea, Amerika) peran dominan Pemerintah menjadi kecenderungan dalam beberapa tahun terakhir yang mendorong penerapan regulasi dan aturan main lebih ketat misalnya PIPA/SOPA.

Sedangkan resolusi untuk pengguna, dunia bisnis, industri dan instansi/lembaga:

  1. Sukses keamanan informasi adalah tentang proses berkelanjutan. Tidak ada tingkat 100% sebab keamanan adalah kondisi dinamis mengikuti kondisi. Hanya bisa dilakukan upaya terbaik untuk mencegah dan memperbaiki serta peningkatan secara konsisten baik secara teknis maupun manajemen
  2. Siapapun yang melaksanakan fungsi keamanan informasi harus menjadi ahli danterus berlatih tidak hanya sekedar memahami namun juga mengikuti tren agar dapat menyusun strategi terbaik untuk melindungi sumber dayanya
  3. Keamanan tidak boleh bergantung pada teknologi. Bahkan dalam banyak hal pilihan teknologi yang tidak tepat justru akan menjadi sumber kelemahan
  4. Walau hampir selalu mengakibatkan ketidaknyamanan, tetapi terbukti cara paling efektif untuk meningkatkan ketahanan sistem terhadap ancaman dan serangan adalah dengan menerapkan sebanyak mungkin aspek keamanan pada setiap proses organisasi dan mendidik orang untuk mematuhinya
  5. Menggali pengetahuan melalui interaksi dengan ahli yang berbeda disiplin. Keamanan informasi selalu terkait dengan aspek lain seperti kondisi sosial ekonomi dan politik. Memahami bagaimana semua itu saling mempengaruhi akan membantu meningkatkan kewaspadaan dan kemampuan deteksi sistem pada tahap yang paling awal sehingga memberi waktu yang cukup untuk melakukan pencegahan, antisipasi dan perbaikan sebelum insiden terjadi.

Sedang vektor ancaman terbesar pada tahun 2012 diperkirakan mulai banyak yang berasal dari perangkat mobile/gadget seperti smartphone/tablet atau dari pengguna yang menggunakan perangkat portabel seperti laptop/netbook di area publik (WiFi). Maka upaya sosialisasi dan kampanye kesadaran keamanan pada pengguna akhir harus diprioritaskan sebagai tanggung jawab utama para penyelenggara jasa.

Referensi

  1. Admob Online Statistic 2011
  2. Asia Pacific Security Expert Group 2011
  3. Comscore Top 10 Need to Know 2011
  4. Eset, spol. s.r.o. Global Report 2011
  5. Facebakers Online Statistics 2011
  6. Kompilasi Data Id-SIRTII 2011
  7. MarkPlus Insight Urban Netizen Research 2011
  8. Nielsen Indonesia Report 2011
  9. Pricewaterhouse Coopers Indonesia, Banking Survey Report 2011
  10. StatCounter Survey 2011
  11. Trustwave Global Security Report 2011

(M. Salahuddien, Wakil Ketua Bidang Operasional Keamanan di Indonesia Security Incident Response Team On Internet Infrastructure / National Cooordination Center – Id-SIRTII / CC yaitu Lembaga Pengawas Keamanan Internet Indonesia)

SUMBER
 

One thought on “Keamanan Internet Indonesia

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s