Pencurian dan perusakan file perusahaan meningkat lebih cepat daripada kemampuan untuk menghentikannya. Apakah perusahaan Anda korban berikutnya? Dan apakah yang bisa Anda lakukan untuk memproteksinya?
Citibank hari itu benar-benar mengalami hari kelabu. Di akhir tahun 1994, hacker asal Rusia Vladimir Levin dan beberapa temannya diberitakan duduk di depan komputer di kantor perusahaan software kecil di St. Petesburg. Mereka secara elektronik mentransfer rekening 11 juta dolar AS dari mainframe Citibank di New York ke Finlandia, Israel, dan California. Padahal Citibank telah memperbarui sistem komputernya untuk menjadi sistem paling up-to-date dan paling aman di antara perusahaan-perusahaan di AS.
Para pejabat Citibank tak mau membahas kasus ini, kecuali mengatakan bahwa mereka mengetahui pencurian setelah uang 400 ribu dolar pertama dicuri. Namun kasus perampokan tersebut selalu disebut-sebut dalam setiap rapat perusahaan yang membahas perbankan online maupun perdagangan di Internet.
Mengapa Terjadi?
Tak ada jawaban mudah. Walaupun demikian saat ini makin banyak perusahaan mengandalkan jaringan Internet dan jaringan pribadi untuk menjalankan bisnis dan berkomunikasi dengan karyawan di perjalanan atau di lokasi eksternal. Kecenderungan tersebut telah meningkatkan secara cepat peluang bahwa sebuah perusahaan akan menjadi korban kejahatan teknologi tinggi, mulai dari virus komputer, pencurian data, sampai perusakan perangkat keras.
Walaupun makin banyak usaha dilakukan untuk urusan sekuriti, jumlah kejahatan elektronik meningkat lebih cepat daripada kemampuan untuk menghentikannya. Dari hasil survai tahun lalu terhadap perusahaan-perusahaan di AS yang dilakukan oleh Computer Security Institute dan FBI terungkap bahwa 53 persen dari 428 responden mengatakan bahwa mereka telah menjadi korban dari virus komputer, dan 42 persen tahu bahwa telah terjadi penggunaan ilegal dari sistem komputer mereka dalam 12 bulan terakhir.
Lebih lanjut, hampir setengah dari kejadian tersebut dilakukan oleh orang luar, biasanya masuk melalui Internet. Di antara perusahaan yang sudah menjadi korban antara lain America Online, Boeing, Intel, Netscape Communications, Rockwell International, dan Sun Microsystems.
Kenyataan tersebut sebenarnya jauh lebih besar daripada yang disimpulkan oleh hasil survai. Untuk menghindari keluhan pelanggan dan pemegang saham, banyak perusahaan tak memberi tahu pada pemerintah (polisi) bahwa mereka telah menjadi korban. Beberapa institusi keuangan di Inggris, telah membayar para hacker sejumlah lebih dari setengah miliar dolar untuk tidak menyebarkan cerita keberhasilan mereka menerobos sistem komputer institusi keuangan tersebut, demikian dikatakan London Times. American Society for Industrial Security memperkirakan bahwa kejahatan teknologi tinggi, mencakup kejadian yang tak dilaporkan, telah menggasak kekayaan perusahaan di AS sebanyak 63 milyar dolar per tahun.
Tak Ada Tempat Bersembunyi
Tak hanya perusahaan saja yang mengalami serangan. Departemen Pertahanan AS pun mengalami serangan yang jika ditotal mencapai 250 ribu kali setahun, sesuai penelitian Pentagon yang menguji simulasi kejahatan komputer untuk menguji ketangguhan jaringan militer. Hanya sekitar satu dari 500 serangan sekuriti ini yang terdeteksi dan dilaporkan, demikian perkiraan Departemen Pertahanan AS. Insiden yang terjadi mencakup pencurian atau perusakan data, pelumpuhan sistem proteksi, dan pemadaman seluruh jaringan. Ironisnya, banyak intrusi ini dilakukan oleh hacker yang masuk melalui Internet, yang dibuat Pentagon lebih dari dua dekade yang lalu sebagai sistem komunikasi yang tak akan rusak walaupun diserang oleh bom nuklir.
Salah satu serangan paling menakutkan terjadi pada pertengahan 1994, ketika hacker memasang apa yang disebut sebagai sniffer -- program software yang memonitor informasi saat mengalir/berjalan di jaringan. Program ini dipasang pada switch data yang menghubungkan Rome Laboratory, fasilitas riset kontrol dan komando tertinggi US Air Force, ke Internet. Hacker men-scan informasi untuk mendapatkan password dan menggunakannya agar dapat mengakses ke Rome, menghubungkannya ke situs Internet di luar negeri dan mencuri hasil riset taktis dan intelegensi buatan.
Apa yang Bisa Kita Lakukan?
Saat ini, solusinya paling terkenal ialah
firewall. Firewall pada dasarnya adalah penjaga gerbang yang memeriksa
password dan identifikasi lain dari setiap orang yang mengakses jaringan
dari luar.
Firewall menjaga orang yang tak dikehendaki
tetap di luar dan memperbolehkan masuk orang yang memiliki hak akses ke
bagian tertentu yang ada di jaringan tersebut. Sebagai contoh, sebuah firewall
memungkinkan karyawan men-dial melalui laptop di luar kantor untuk men-download
laporan pemasaran, namun melarang karyawan tersebut mengakses daftar pelanggan
karena mereka tak memiliki hak akses atas data tersebut. Firewall bisa
juga menolak orang yang menggunakan komputer yang tak sesuai dengan standar
perusahaan (seperti Macintosh atau PC XT dalam lingkungan PC Pentium).
Firewall terbaik juga tak memungkinkan pesan masuk untuk menyentuh bagian lain dari jaringan. Ini penting karena trik favorit para hacker adalah memasang kode jahat pada e-mail yang dikirim melalui Internet. Saat jaringan men-scan e-mail untuk menentukan ke mana harus mendistribusikannya, kode yang dikirim tersebut memintanya untuk melakukan aksi seperti menambahkan nama baru dan password di dalam sistem. Seorang hacker lalu bisa menggunakan password ini untuk menembus firewall dan memasuki jaringan kapan pun. Dengan memisahkan sistem e-mail, sebuah firewall yang bagus bisa menghalangi hacker mengirim pesan yang merusak tersebut.
Fiewall harus dipasang pada titik kritis tempat
jaringan dihubungkan ke dunia luar -- seperti koneksi Internet atau titik
switching yang menghubungkan jaringan lokal (LAN) ke jaringan luas (WAN).
Dengan biaya sekitar 15 ribu dolar AS per
situs, firewall cukup mahal, namun itu tak menghalagi banyak perusahaan
untuk memasangnya. Sekitar 45 persen dari 1.271 perusahaan yang merespon
pada survai yang dilakukan oleh Ernst & Young di tahun 1995 telah memasang
firewall. Walaupun harganya setinggi itu, banyak perusahaan tetap berminat
memasang firewall untuk memproteksi LAN internal, untuk memastikan, misalnya,
bahwa seorang karyawan yang jahat tak bisa log on dan mengubah daftar record
pemasaran.
Firewall Masih Kurang Sakti
Sayangnya, karena firewall terutama bergantung pada password untuk menentukan siapa yang boleh masuk, kemampuannya untuk mencegah penyerang hanya sebatas kemampuan sistem identifikasi yang digunakan untuk log on ke jaringan. Dan pada sebagian besar kasus, penggunaan password terasa terlalu sederhana. Dengan pilihan untuk membuat password-nya sendiri, banyak orang memilih password yang mudah ditebak, seperti tanggal kelahiran, nama anak, atau inisial.
"Karena bergantung pada password, firewall hanya merupakan rintangan yang mudah dilompati," kata Noel Matchett (presiden Information Security), perusahaan konsultan sekuriti komputer di Silver Spring, Maryland. Boeing Corporation telah mengalaminya ketika dua mahasiswa menggunakan Internet untuk meng-hack melalui firewall dan memasuki jaringan komputer yang mengurusi proyek departemen pertahanan. Senjata kedua hacker tersebut hanyalah program sederhana yang secara otomatis menjalankan setiap permutasi dan akhirnya mendapatkan password yang bisa membuka kunci jaringan. "Setelah masuk, mereka berusaha mendapatkan daftar password resmi yang digunakan Boeing, yang akan mereka jual ke orang lain," kata Craig Worstel, manajer perusahaan sekuriti komunikasi dan komputasi di Seattle.
Kedua hacker tersebut ditangkap saat menggunakan password untuk meng-hack sistem komputer Cray Research di Eagan, Minnesota, salah satu pemasok untuk proyek di departemen pertahanan AS. Keduanya dihukum lima tahun masa percobaan dan 250 jam kerja sosial.
Parahnya, banyak perusahaan -- bahkan perusahaan
yang peduli terhadap sekuriti -- tanpa sengaja menggali lubang pada firewall
mereka dengan memperluas penggunaan browser Internet yang memiliki perangkat
applet Java. Hacker memanfaatkan cacat sekuriti pada perangkat applet Java
untuk menembus server Web perusahaan tersebut, yang biasanya berada di
luar benteng firewall.
Setelah tersambung ke server, hacker bisa
kembali ke jaringan perusahaan melalui firewall seolah-olah mereka pengguna
internal yang baru saja log on ke Internet.
Enkripsi: Rahasia yang Paling Terjaga
Tak diragukan lagi, solusi paling lengkap untuk sekuriti komputer harus datang dari kalangan yang memiliki motivasi ekonomi paling besar dalam mencari jawabannya. Jika sebagian besar perusahaan mengembangkan sekuriti ke arah yang salah dengan hanya mengandalkan password sederhana dan firewall, ada sejumlah kecil perusahaan kaya akhirnya melakukan apa yang telah dikatakan para pakar sekuriti sebagai pendekatan paling baik untuk melawan hacker, yaitu dengan mengenkripsi informasi perusahaan. Jika password hanya memproteksi file dengan menguncinya, enkripsi menerjemahkan seluruh data dalam file menjadi kode rahasia. "Jika enkripsi digunakan secara universal, tak seorang pun akan bisa membaca apa yang mereka curi," kata Matchett.
Enkripsi sangat penting bagi perusahaan kredit raksasa dunia seperti MasterCard International dan Visa International, perusahaan yang berpikir bahwa tambang emas dari belanja dan perbankan online menanti mereka di Internet. Namun terlebih dulu perusahaan-perusahaan tersebut harus memiliki rencana sekuriti yang memberikan perlindungan bagi pelanggan dengan memproteksi nomor kartu kredit dan informasi pribadi lain dari hacker.
Setelah bertarung dalam memilih pendekatan, MasterCard dan Visa akhirnya mengeluarkan standar untuk melindungi aktivitas kartu kredit di Internet. Mereka bekerja sama dengan American Express, IBM, Microsoft, dan Netscape Communications serta beberapa perusahaan lain. Usaha kerja sama ini, dikenal sebagai Secure Electronic Transactions (SET), menghasilkan standar enkripsi yang mengkodekan seluruh nomor kartu kredit dan informasi pribadi lain dengan cara yang hanya bisa dibaca oleh pengguna dan bank penjual. Pihak penjual barang tak bisa memecahkan sandi informasi tersebut, ini memastikan bahwa hacker tak bisa menembus firewall dan membaca data saat berjalan melalui jaringan.
SET dikembangkan berdasarkan skema enkripsi yang digembar-gemborkan sebagai public-private key -- awalnya dikembangkan oleh RSA Data Security, California. Data transaksi dikirim dalam bentuk teracak dari satu bank ke bank lain bersama dengan sebuah kunci rahasia. Bank penerima bisa memecahkan sandi kunci rahasia tersebut, yang berubah pada setiap transaksi, lalu menggunakannya untuk membuka kunci skema enkripsi dan membaca bagian selanjutnya dari informasi yang dikirim. Teknik yang sama bisa digunakan untuk mengenkripsi untuk seluruh tipe data. Perusahaan bisa dengan mudah mengenkripsi data pada server lokal mereka dan menyediakan kunci dekripsi untuk karyawan dengan kualifikasi pekerjaan tertentu.
Masalah pada Manusianya
Enkripsi mungkin bisa mengatasi banyak masalah sekuriti komputer, namun tak bisa mengurangi kelemahan pribadi manusia. Sedihnya, karyawan yang tak jujur mungkin masih menempati porsi terbesar dalam membobol rahasia perusahaan. Jika serangan elektronik dari pengguna luar meningkat lebih cepat dari tipe serangan lain, setengah dari pembobolan data dilakukan orang dalam, biasanya staf yang paling dipercaya.
Dalam kejahatan informasi, biasanya yang lebih cenderung menjadi penjahat adalah para manajer yang marah dan sudah siap mencari pekerjaan lain. Dengan kata lain, penjahat tersebut kemungkinan adalah orang yang memiliki otorisasi untuk mempunyai kunci yang bisa memecahkan kode enkripsi.
Ambil contoh William Gaede -- seorang supervisor di Intel Corporation --yang beberapa tahun lalu mencuri cetak biru chip Pentium dan menjualnya ke pesaing. Nama Gaede berada pada daftar orang yang boleh membaca spesifikasi Pentium, namun ia tahu bahwa ia akan ditangkap jika mencetak file panjang di kantor perusahaan tersebut di Santa Clara, California. Sehingga ia memutuskan untuk mencuri rencana dari rumah. Sistem sekuriti Intel memungkinkan akses read-only ke file penting dari jarak jauh, namun tak memungkinkan pen-download-an dan pencetakan. Gaede mengatasinya dengan merekam file dari komputer di rumahnya menggunakan perekam video, layar demi layar. Ia lalu pergi ke luar negeri dengan kaset video tersebut dan ditahan saat mencoba menjualnya ke agen (mata-mata) pemerintah AS yang menyamar. Tahun lalu, Gaede dinyatakan bersalah karena membawa barang curian dan penipuan.
Tim Khusus
Kejahatan seperti ini sulit dihentikan, namun beberapa di antaranya begitu kompleks. Secara umum, tindak kriminal komputer internal mencakup karyawan yang membawa virus ke dalam dan mencuri database dari tempat kerja. Penghentian aktivitas ini memerlukan sesuatu yang sangat mahal: Tentara khusus sekuriti yang bekerja memonitor pelanggaran di sistem komputer.
Sebagian besar perusahaan selama ini "membuang" pekerjaan pengelolaan sistem sekuriti ke divisi computer support -- di hampir semua perusahaan, divisi ini cenderung bekerja dengan beban lebih dengan jumlah karyawan yang sedikit. Sebagian besar waktu staf di divisi tersebut digunakan untuk menginstal perangkat komputer baru dan memperbaiki mesin yang rusak sehingga penelusuran virus dan pengejaran hacker bukanlah prioritas paling atas.
Apa yang dilakukan Detroit Edison mungkin bisa menjadi contoh bagus. Detroit Edison beberapa tahun lalu memutuskan membuat tim gawat darurat yang menyertakan lusinan administrator untuk mengelola sistem sekuriti. Strategi Detroit Edison cukup tepat. Sebagai contoh, pada menjelang tengah malam hari Jum'at di bulan Agustus 1995, seorang karyawan menemukan bahwa sebuah virus merusak dokumen Microsoft Word. Ia memberi tahu tim sekuriti. Tak lama kemudian, anggota tim sekuriti telah berkonsultasi dengan Microsoft dan pembuat software antivirus untuk membuat sebuah perbaikan cepat. Mereka menginstal antivirus pada PC, LAN, dan workstation -- sekitar 5300 komputer -- dan Selasa pagi masalahnya bisa diatasi.
Sistem sekuriti seperti yang dimiliki Detroit Edison bisa mengatasi masalah sebelum menjadi bencana, kata para ahli. Lebih penting lagi, setiap kali sebuah aplikasi atau sistem baru diusulkan, tim tersebut bisa mengidentifikasikan resiko sekuriti dan mencari cara untuk mengatasi masalahnya. Mereka juga bisa memastikan bahwa sistem audit bekerja dengan benar -- sistem yang secara konsisten mencatat seluruh upaya akses ke komputer perusahaan, mencetak kronologi dari seluruh aktivitas jaringan oleh pengguna, dan menandai aktivitas yang tak wajar.
Walaupun kenyataan menunjukkan bahwa diperlukan banyak dorongan untuk membuat para pengusaha memperhatikan sekuriti komputer, para ahli mengatakan bahwa biaya yang dikeluarkan akan sesuai dengan hasil yang didapat, berapapun biayanya. Dengan semakin banyak perusahaan merencanakan untuk menyambung ke Internet dan membuat jaringan intranet, kurangnya perhatian terhadap isu sekuriti akan memunculkan bencana pada ekonomi dunia. (adam/idgns) Noel Matchett, "Karena bergantung pada password, firewall hanya merupakan rintangan yang mudah dilompati."
Harga Sebuah Sekuriti
Sekuriti data tidaklah murah, namun Anda harus membandingkannya dengan kemungkinan yang terjadi jika tak menggunakannya. Biaya rencana sekuriti yang efektif untuk sebuah perusahaan dengan 50 workstation pada sebuah jaringan plus situs Web mencapai sekitar 100 ribu dolar AS.
$1,250 Sistem password menggunakan smart-card, $25 per log in $5,000 Software antivirus, $100 per workstation dengan lisensi $15,000 Firewall untuk memproteksi jaringan internal, jaringan e-mail, dan koneksi Internet $75,000 Hardware dan software enkripsi -- biasanya berbentuk kartu, namun terkaddang berbentuk kotak terpisah, dengan harga $1,500 per workstation $96,250 TOTAL HARGA UNTUK SISTEM SEKURITI
Biaya tambahan mungkin diperlukan untuk memonitor dan mengelola sistem
Bagaimana Memproteksi Data Anda
Tak ada data milik siapapun yang benar-benar aman. Namun komputer setiap orang tetap bisa dijaga terhadap ancaman serangan. Berikut adalah benteng Anda:
Proteksi Password
Minimal, setiap kali log on, seluruh pengguna PC harus mengetikkan
password yang hanya diketahui oleh mereka dan administrator
jaringan. Pengguna PC harus menghindari penggunaan kata, frasa,
atau angka yang bisa ditebak siapapun, seperti tanggal kelahiran,
nama anak, atau inisial; mereka harus menggunakan frasa yang
mengkombinasikan huruf kapital dan huruf kecil, seperti "The moon
Also RISES." Sistem juga harus meminta seluruh pengguna untuk
mengubah password setiap bulan atau setiap jangka waktu tertentu
dan harus mengunci pengguna yang memasukkan password yang
salah tiga kali berturut-turut.
Pemeriksa Virus
Virus biasanya menyerang LAN melalui workstation, sehingga paket
software antivirus yang hanya bekerja pada server tak cukup untuk
mencegah infeksi; idealnya, seluruh terminal di jaringan harus
diproteksi secara terpisah.
Firewall
Ini adalah penjaga gerbang dalam bentuk hardware dan software
yang memproteksi jaringan komputer dengan "menendang" orang
yang tak diotorisasi dan hanya mengijinkan masuk setiap pengguna
sesuai dengan tingkat privilesenya. Firewall harus diinstal pada
setiap titik tempat sistem komputer harus berhubungan dengan
jaringan lain, termasuk Internet, jaringan LAN terpisah di lokasi
pelanggan, atau switch telepon perusahaan.
Enkripsi
Walaupun penyerang bisa menembus firewall, data di jaringan akan
tetap aman jika dienkripsi. Banyak paket software dan program
jaringan - di antaranya Microsoft Windows NT, Novell Netware, dan
Lotus Notes -- menawarkan skema enkripsi yang mengkodekan
seluruh data yang dikirim pada jaringan. Perusahaan juga bisa
membeli paket enkripsi untuk bekerja dengan aplikasi terpisah.
Hampir semua paket enkripsi dirancang berdasarkan pendekatan
yang disebut public-private key. Data yang diacak dikodekan
menggunakan kunci rahasia yang hanya digunakan untuk sebuah
transmisi. Penerima menggunakan kombinasi kunci publik pengirim
dan kunci enkripsi pribadi mereka untuk membuka kode rahasia
pada pesan tersebut dan memecahkan sandinya.
Audit Jejak
Hampir seluruh firewall, program enkripsi, dan password memiliki
fungsi pengauditan yang merekam aktivitas jaringan. Catatan ini
merupakan cara yang sangat baik untuk merekam apa yang terjadi
selama serangan dari hacker. Audit jejak tak hanya bisa
menunjukkan titik kelemahan suatu jaringan, namun juga bisa
menentukan password dan perangkat yang digunakan untuk
menyerang sistem. Rekaman ini juga bisa mencegah serangan
internal sebelum terjadi, jika karyawan tahu adanya pengamatan
jejak tersebut.
Smart Card dan Biometrik
Walaupun mungkin hanya berguna bagi perusahaan dengan tingkat
sekuriti ultra-tinggi, smart card merupakan password yang lebih
aman untuk memeriksa pengguna terotorisasi. Perangkat seukuran
kartu kredit ini membuat angka acak setiap menit, dan
disinkronisasikan dengan setiap titik pada jaringan. Untuk log on ke
sebuah komputer, orang memasukkan password dan angka yang
munucul pada jendela LED smart card. Sistem ini cukup bagus
selama smart card tersebut tak dicuri. Untuk proteksi yang lebih
baik lagi, Anda mungkin bisa mempertimbangkan penggunaan
perangkat biometrik -- yang memeriksa identifikasi dengan men-scan
sidik jari, pola retina mata, atau bahkan garis pada muka orang.
Sistem Pertahanan untuk Perusahaan Kecil
Perusahaan kecil seringkali tak punya cukup dana untuk merancang sekuriti secara penuh, namun mereka tetap tak bisa membiarkan para hacker menjarah sistem yang ada. Berikut adalah tips sekuriti dasar yang bisa membantu Anda memasang setidaknya proteksi minimal.
- Mengimplementasikan program proteksi password untuk mengijinkan akses ke jaringan: Diperlukan password yang sulit ditebak; meminta setiap orang untuk mengubah passsword secara teratur; dan "menendang" orang yang mengetikkan password salah tiga kali berturut-turut.
- Menginstal paket sekuriti data lengkap; biasanya lebih murah daripada jika membeli komponen satu per satu. Paket ini biasanya mencakup skema enkripsi sederhana (seringkali bukan public-private key) untuk mengkodekan informasi pada harddisk dan data apapun yang dikirim secara online, utiliti proteksi virus, dan audit jejak yang mencatat seluruh aktivitas jaringan baik dilakukan pada PC yang terkoneksi maupun pada LAN.
- Memilih sebuah kelompok kecil karyawan yang paham
soal komputer untuk bekerja sebagai
administrator jaringan. Ini biasanya penting
bagi bisnis kecil yang mengandalkan Internet untuk
mengiklankan produk mereka, untuk e-mail, atau untuk berbagi data
dengan klien.