Security Awareness 2015 - govcsirt.kominfo.go.id Awareness...–Facebook, Twitter, Instagram ... •Email yang berisi sampah (umumnya iklan) ... –No 3 dari segi volume transaksi

Security Awareness

Bandung, 1 September 2015

1

Digital Artifacts in our daily lives

• Mesin ATM

• Handphone

• Digital camera

• Komputer

• Notebook

• Tablet

2014 IT trends 1

Security Awareness Security Awareness 2

• Sudah merasuk dalam kehidupan kita sehari-hari – Handphone: telepon, SMS, WhatsApp, …

– Transaksi perbankan: ATM, internet banking, SMS banking, mobile banking, …

– Internet: email, web, …

– Transaksi saham

Pemanfaatan IT


• Otomatisasi & mempercepat proses

• Menurunkan biaya

• Meningkatkan user experience

• Mendekatkan pengguna – Customer / user support

– Feedback dari pengguna

– Penggunaan media sosial (facebook, twitter) untuk berbagai interaksi

• Tanpa IT akan kalah

IT in Business


Social Network

Misanthropes and anti-socials:

privacy vs. security in social networks

Mobile Devices

Mobile devices compromise data security

Integrated application on mobile devices

Cloud/Physical/Disaster

Data security goes to the cloud

File security takes center stage

Top 3 Hot Issues (2011 - 2015)


• Pencurian identitas

• Pencemaran nama baik – Komentar terhadap layanan, keluhan, dsb

• Bullying model baru

• Integrasi antara social network (dan aplikasi) – Facebook, Twitter, Instagram

– Pembocoran aktivitas tanpa sadar

• Social media, antara area publik vs area pribadi

Social Network


• Masih terus bertambah – 55M internet users diIndonesia in 2011, naik 22%

dari 2008 (2012 Internet Trends — Kleiner Perkins Caufield Byers)

– 2009, Indonesia bahkan tidak ada di daftar pengguna twitter, sekarang mendominasi

• Jakarta #1

• Bandung #6

Media Sosial Indonesia


• Berkembangnya sistem operasi open source (Android)

• Terhubung ke Internet 24 jam

• Kamera dengan resolusi tinggi

• Media penyimpanan yang besar (8GB – 64GB)

• Dimensi yang semakin mengecil

• Aplikasi perusahaan + data penting diakses dan disimpan dalam perangkat ini

• Rentan terhadap pencurian (kebocoran data)

Mobile Devices


• Security and privacy – Bersangkutan dengan perlindungan data, integritas operasional,

kelemahan management, kelangsungan bisnis (BC), perbaikan dari bencana, dan pengelolaan identitas

• Compliance – User yang memiliki kebutuhan pemenuhan yang harus dimengerti

apa dan bagaimana, menggunakan cloud service yang dapat berpengaruh terhadap pencapaian tujuan

• Legal and contractual issues – Kepemilikan aset/liabilitas dan intelektual adalah sebagian kecil dari

isu hukum yang harus dipertimbangkan

– Liabilitas tidak selalu clear-cut ketika berubah menjadi cloud service

Security Issues for Cloud Computing (versi Forrester)


• Survey di perusahaan: hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting.

• Kesadaran akan masalah keamanan masih rendah!

• Bagaimana untuk meyakinkan management untuk melakukan investasi di bidang keamanan?

• Membutuhkan justifikasi perlunya investasi infrastruktur keamanan

Justifikasi Investasi Security


Rendahnya Kesadaran Keamanan (Lack of Security Awarenes)

Management: “nyambung dulu (online dulu),

security belakangan” “Sekarang kan belum ada masalah!”

“Bagaimana ROI?” Praktisi:

“Pinjam password admin, dong”

Rendahnya kesadaran akan masalah keamanan!


Rendahnya Kesadaran Keamanan (Lack of Security Awarenes)

Deloitte Global Security Survey 2004

Respondent

“Lack of internal security awareness is still one of our biggest threats.

Technology can reduce risks to a point, but it is people who are the weakest

link.”


Security Incident Cost

Indonesia Server Down : untuk menghidupkan server kembali dibutuhkan dana sekitar 25 jt Kerugian yang mungkin dialami oleh perbankan sekitar 300 jt/down

Sumber: Tim Sharing Vision, 2003 (http://sharingvision.biz) information security breaches survey 2004 (PricewaterhouseCoopers)

http://sharingvision.biz/


Security Lifecycle

Security Awareness

BEBERAPA MASALAH


Pishing: personal information fishing

From: <[email protected]>

To: …

Subject: USBank.com Account Update URGEgb

Date: Thu, 13 May 2004 17:56:45 -0500

USBank.com

Dear US Bank Customer,

During our regular update and verification of the Internet Banking Accounts, we

could not verify your current information. Either your information has been

changed or incomplete, as a result your access to use our services has been

limited. Please update your information.

To update your account information and start using our services please click on

the link below:

http://www.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage

Note: Requests for information will be initiated by US Bank Business Development;

this process cannot be externally requested through Customer Support.


• Email yang berisi sampah (umumnya iklan)

• Menghabiskan jaringan, disk, waktu pekerja

• Spam merugikan bisnis

Spam


Type of Fraud Experienced During the Prior 12 Months (Percentages)

Fraud Type


Terlupakan … Abuse dari dalam!

1999 Computer Security Institute (CSI) / FBI Computer Crime Survey menunjukkan bahwa “disgruntled worker” (orang dalam) merupakan

potensi attack / abuse. http://www.gocsi.com

Disgruntled workers 86% Independent hackers 74% US competitors 53% Foreign corporation 30% Foreign government 21%


Serangan dari Dalam Karena Tidak Ada Policy

“Tujuh-puluh sembilan persen eksekutif senior terjebak dalam kesalahan berfikir bahwa ancaman terbesar terhadap

keamanan sistem berasal dari luar (eksternal)”

“Walaupun kebanyakan responden sudah memikirkan tentang hacker, kurangnya atau bahkan tidak adanya implementasi security policy dan kurangnya kesadaran karyawan adalah

ancaman terbesar bagi sistem online mereka”

KPMG


• Virus masih tetap menjadi masalah nomor satu – Selalu ada virus baru yang muncul

– Bahkan virus lama pun (seperti conficker) masih sering muncul

– Ditambah dengan virus lokal

– Virus (malware) untuk cyberwar?

• Harus melakukan investasi di anti virus (plus anti virus lokal?)

Virus (Malware)


• Stuxnet disebut-sebut para pakar keamanan sebagai bentuk senjata cyber yang menjadi sarana terorisme di dunia maya. Serangannya tidak hanya mencuri informasi di komputer korban, namun mengambil alih sistem kontrol berbasis mesin

Stuxnet (dari berbagai sumber)

Negara Jumlah Komputer terinfeksi

Negara Jumlah Komputer terinfeksi

Iran dengan, 62.867 Indonesia 13.336

Amerika Serikat 2.913 Australia 2.436

India 6.552 Malaysia 1.013

Inggris dengan 1.038 Pakistan 993


• Belum diketahui siapa di balik stuxnet

• Menyerang Windows dan Turunannya

• Menyebar melalui USB Thumb Drive

• Virus menyerang sistem kontrol industri, dapat digunakan untuk mata-mata atau sabotase

Stuxnet (dari berbagai sumber) 2


Penyebaran Worm


• License issuance still idled By Robert Barba Denver Post Staff Writer Friday, September 24, 2004, Denver, CO

• State driver's licenses and identification cards won't be issued again today, inconveniencing thousands of Coloradans for a second straight day. An unidentified computer virus forced the Colorado Department of Revenue to close the system at 2:30 p.m. Friday, and it hasn't been up since, said Diane Reimer, a spokeswoman for the department's Motor Vehicle Business Group. "Somebody felt there wasn't something quite right," she said. "We want to make sure that we are doing everything that we should be doing to keep it secure.“ No personal data is believed to have been lost, Reimer said. A team of staffers has been working since Friday to fix the problem. Reimer said she was optimistic that license and ID card issuance would resume Wednesday. Customers have been sympathetic, she said. "People understand that we are living in a computer world," Reimer said. The problem could affect more than 10,000 Coloradans if it persists through today. The virus has not affected other government agencies, and written and driving tests are still being administered, Reimer said.

Contoh Akibat Virus

Security Awareness

WEB DEFACING

Security Introduction


Website Sistem Akademik Universitas Gunadarma

Kasus peretasan terhadap Sistem

Akademik

19/10/2014 16.33 sumber: www.merdeka.com dan www.gunadarma.ac.id


Website Telkom Indonesia Terkena Deface

14/04/2013


Website Presidensby (Defaced)

11/1/2013 sumber: Koran Pikiran Rakyat


Website Pejabat Negara (Defaced)

12/11/2012 08.35 sumber: www.zone-h.org


Website Bakrie Life (Defaced)

21/12/2011 15.22 sumber: Bakrie Life


Website KPK (Defaced)

29/09/2009 09:48 PM sumber: Kaskus


Website TV One Terkena Deface

08-03-2011, 09:23 PM sumber : kaskus


Situs Pemerintah Keuangan Palembang


POLRI

www.polri.go.id/backend/index.html


LEMHANAS

www.lemhanas.go.id/index_hack.html

Security Awareness 36


Serangan yang Pernah Terjadi (dulu)


Deface di Web http://www.presidensby.info/


KPU 2004


KPU 2004: Data Test Masih Ada?


Security Awareness

PERUSAHAAN ATAU PERBANKAN


Issues 2015 Dunia: Penyerangan Hacker, dan masih berlanjut

28/4/2015 sumber: http://industri.bisnis.com/


Issues 2015 Dunia: Finansial, dan masih berlanjut

16/2/2015 sumber: http://www.tempo.co/



23/4/2015 sumber: http://www.antaranews.com/



20/10/2014 sumber: http://www.theguardian.com/uk


Issues 2014 Indonesia: Finansial, dan masih berlanjut

29/10/2014 sumber: Kontan


Issues 2014 Indonesia: Finansial, Sistem Transaksi Bermasalah

10/12/2014 sumber: http://m.bisnis.com/


Bursa Saham Singapura Macet

04/12/2014 sumber: Kompas



Kasus 2 Karyawan Bank Mandiri

meretas sistem dan gelapkan uang



kasus malinda dee, citibank (2011), pembobolan dari

dalam, lebih dari 20 milyar rupiah



22/03/2013 sumber: Kompas


Finansial, Modus Lain


Rentang 2011

• BRI tamani square, sebesar Rp 29 M, melibatkan supervisor

• Pemberian kredit dengan dokumen fiktif BII cabang Pangeran Jayakarta, tersangka account officer, 3,6M

• Pencairan deposito bank mandiri 18M, customer service

• BNI, teleks palsu, BNI Depok, Wakil Pimpinan • Pencairan Deposito BPR Pundi Artha Sejahtera,

Dirut BPR, dua komisaris, komisaris utama, dan marketing

• Bank Danamon, menarik uang kas berulang dari cabang pembantu menara bank danamon, tersangkat mantan teller, 1,9 M dan 110 ribu USD

• Panin Bank, penggelapan dana nasabah oleh kepala operasional panin bank cabang metro sunter, 2,5 M

• Pembobolan oleh mantan relationship manager, citigold citibank, 4,5M


Fraud Perbankan di Indonesia


Koran Tempo, 26 September 2003


November - Desember 2004

BRI Rp. 9,4 M

Bank Mega: 50 M


Bank Danamon, 2005


2006: Lippo


Sistem Bank Down


• Mengubah bunga tabungan sebesar 2% selama beberapa hari. [Sumber: Bisnis Indonesia – 24 Januari 2005]

Bank Yang Nakal?


Kejahatan Di ATM

Sumber: Surat Pembaca, Kompas, 2003


Kejahatan ATM

Mesin ATM biasa? Perhatikan lebih baik: skimmer


Kejahatan ATM

Menyadap PIN dengan wireless camera


• Bagi Bank, ATM memiliki banyak masalah

– Mesin dicuri

– Uang dipancing

– Dipasangi alat

– Data disadap

– Prosedur lemah

– Nomor telepon bantuan palsu

• Tetapi ATM merupakan delivery channel yang paling disukai nasabah

Masalah Mesin ATM


Membawa uang tunai dalam jumlah besar … beresiko!

Tapi …


• Indonesia menempati urutan tinggi (dalam penyalahgunaan kartu kredit)

– No 1 dari segi persentase (dibandingkan dengan transaksi baik) – No 3 dari segi volume transaksi

• Modus: menggunakan nomor kartu kredit milik orang lain (umumnya orang asing) untuk membeli barang di Internet

• Ranking 1. Yogyakarta 2. Bandung

Sulit ditangani karena lemahnya hukum?

Carder

KARTU KREDIT INDONESIA DI-BANNED DI LUAR NEGERI, IP DIBATASI


Kejahatan Carder


• Penipuan melalui SMS – Anda menang sebuah undian dan harus membayarkan pajaknya. Pajak

dapat dibayarkan melalui mesin ATM (transfer uang, atau dengan membeli voucher yang kemudian disebutkan nomornya).

– Mama minta pulsa, sedang di rumah sakit

• Banyak yang percaya dengan modus ini

• Social engineering

• Hipnotis?

Penipuan Lain


• Sangat sulit mencapai 100% aman

• Ada timbal balik antara keamanan vs. kenyamanan (security vs. convenience)

– Semakin tidak aman, semakin nyaman

– Juga “security vs. performance”

• Definisi computer security: – “A computer is secure if you can depend on it and its software to

behave as you expect” (Garfinkel & Spafford)

Mungkinkah aman?


• Aplikasi bisnis yang berbasis komputer / Internet meningkat – Internet mulai dibuka untuk publik tahun 1995

– Electronic commerce (e-commerce)

• Statistik e-commerce yang meningkat

• Semakin banyak yang terhubung ke jaringan (seperti Internet)

Peningkatan Kejahatan Komputer


• Desentralisasi server

– Terkait dengan langkanya SDM yang handal

– Lebih banyak server yang harus ditangani dan butuh lebih banyak SDM dan tersebar di berbagai lokasi. Padahal susah mencari SDM

– Server remote seringkali tidak terurus

– Serangan terhadap server remote lebih susah ditangani (berebut akses dan bandwidth dengan penyerang)



• Transisi dari single vendor ke multi-vendor – (Terlalu) banyak jenis perangkat dari berbagai vendor yang

harus dipelajari.

– Contoh: • Router: Cisco, Juniper, Huawei, Bay Networks, Nortel, 3Com,

Linux-based router, …

• Server: Solaris, Windows NT/2000/Win7/2008, SCO UNIX, Linux, *BSD, AIX, HP-UX, …

– Sulit mendapatkan SDM yang mampu menguasai semua jenis perangkat.



• Pemakai makin melek teknologi dan kemudahan mendapatkan software

– Ada kesempatan untuk menjajal. Tinggal download software dari Internet. (Script kiddies)

– Zero-day exploit

– System administrator harus selangkah di depan.



Pencurian Server Secara Fisik


Hacker kecil


• Kesulitan penegak hukum untuk mengejar kemajuan dunia telekomunikasi dan komputer.

– Cyberlaw (UU ITE) masih membutuhkan penyempurnaan

– Tingkat awareness masih belum menyebar secara merata

– Technical capability masih belum optimal



• Meningkatnya kompleksitas sistem (teknis & bisnis) – Program menjadi semakin besar.

• Megabytes. Gigabytes. Terrabytes. …

– Pola bisnis berubah: partners, alliance, inhouse development, outsource, …

– Jaringan semakin cepat

• 1999 – IIX ~7 Mbps

• 2004 – IIX ~1 Gbps

• 2009 – IIX ~11 Gbps

• 2010, 2011, 2012, …2016 akan semakin cepat

– Potensi lubang keamanan juga semakin besar.



Contoh peningkatkan kompleksitas

Operating System Year Lines of Codes

Windows 3.1 1990 3 million

Windows NT 1996 4 million

Windows 95 1997 15 million

Windows NT 4.0 1998 16.5 million


Windows NT 5.0/2K beta 2000 20 million

Debian GNU/Linux 2.2 2000 55 million


Windows XP 2001 40 million

Red Hat 7.1 2001 30 million

Windows Vista (beta 2) 2007 50 million

…


Penutup

Masalah keamanan akan tetap muncul dengan pola baru meskipun prinsip tetap sama

Masalah keamanan tetap menjadi prioritas dan membutuhkan dukungan dari pucuk pimpinan

Security merupakan sebuah proses

Security Awareness 2015 - govcsirt.kominfo.go.id Awareness...–Facebook, Twitter, Instagram ... •Email yang berisi sampah (umumnya iklan) ... –No 3 dari segi volume transaksi

Documents