Deface,deface ? Kegagapan organisasi di era sekuriti sistem informasi

Ketika terjadi kasus sekuriti seperti maraknya deface pada situs-situs pemerintah saat ini, sering orang berfokus pada sisi teknis, dan kalaupun sistem non teknis yang dibicarakan lebih pada sisi “operator”nya misal dana tidak cukup untuk pengelola, waktu yang terlalu terburu-buru menyiapkan sistem, SDM yang tidak memadai. Tetapi jarang sekali yang mulai membahas tentang organisasnya, organisasi bagaimana yang seharusnya dimiliki ketika ICT makin “serius”, terutama dalam dunia per Internetan.
Internet kini telah berubah, dari yang tadinya memiliki barrier tinggi untuk memasukinya, sehingga hanya mereka yang kenal sama kenal berhubungan. Kini menjadi dunia yang siapa saja bisa berhubungan dengan siapa saja. Kondisi ini menyebabkan keinginan “mengembalikan” Internet seperti dahulu kala, tanpa aturan dan kelembagaan menjadilan tidak mungkin.
Oleh karena itu membicarakan sekuriti secara luas tanpa melibatkan organisasi yang menanganinya kuranglah tepat. Sekuriti memiliki pengaruh sisi non teknologi, yaitu manusia dan organisasi. Saya akan menulis apa yang saya ketahui di negara tempat saya tinggal ini, bukan karena Jerman minded, tapi lebih karena keinginan bercerita dari hal yang lebih saya ketahui, sebab kondisi di negara lain saya kurang tahu.
Di Jerman, dari sisi pemerintah ada badan bernama Bundesamt fr Sicherheit in der Informationstechnik (BSI) [http://www.bsi.de]. Badan pemerintah ini berperan untuk menyediakan tercapainya pemanfaatan TI di badan pemerintah Jerman secara handal dan aman. Di samping melakukan riset, juga melakukan sertifikasi serta sosialiasi panduan-panduan serta standard untuk mencapai hal tersebut. Mungkin mirip dengan National Security Agency-nya USA. Keberadaan BSI makin dirasakan penting saat ini (bukan saja dari keamanan negara, tapi juga keamanan masyarakat). Karena semaki bergantungnya masyarakat terhadap TI maka isu sekuriti makin menjadi penting. Sabotase dan penyalah-gunaan TI dapat lebih membahayakan.
Untuk itu BSI sebagai badan pemerintah menggalang kerjasama dengan industri dan berbagai badan pemerintahan. Misal dengan menginformasikan ke vendor, atau sebaliknya mengumpulkan informasi dari vendor. Di samping itu, BSI juga aktif melakukan sertifikasi terhadap produk-produk TI yang digunakan badan pemerintah dan masyarakat. BSI ini memiliki 4 divisi, yaitu divisi administrasi, divisi aplikasi sekuriti dan infrastruktur kritis dan internet, lalu divisi kriptografi dan landasan ilmiah, lalu divisi pencegahan penyadapan, sertifikasi dan juga akreditasi.
Dengan semakin banyaknya penggunaan TI di badan pemerintah. Maka wajar bila terjadi gangguan keamanan lebih besar di instalasi TI badan pemerintah tersebut. Maka sejak 1 September 2001 telah dibentuk CERT-Bund (CERT untuk badan pemerintah), [http://www.bsi.bund.de/certbund/index.htm]. Organisasi ini menggantikan peranan BSI-CERT agar sesuai dengan kebutuhan dan fungsi TI di badan pemeirntah saat ini. Keberadaan CERT untuk badan pemerintah ini makin dirasakan perlu karena dengna makin bergantungnya badan pemerintah dengan pemanfaatan TI dalam operasi sehari-harinya. Adanya gangguan seperti serangan DDOS, atau virus dapat menganggu beroperasinya badan pemerintahan.
Fungsi dari CERT Bund ini mengorganisir tindakan preventif dan reaktif terhadap kemungkinan ganggunan kemanan dan keandanan dari sistem komputerisasi di badan pemeirntah. Sehingga CERT secara aktif menginformasikan kepada badan-badan pemerintah tetnang masalah sekuriti. Termasuk menyediakan layanan informasi dan peringatan dini terhadap bahaya sekuriti (advisory dan warning) dan langkah yang harus dilakukan. Termasuk menyediakan tim yang siap sedia 24 jam untuk melakukan hal tersebut serta melakukan analisis bila terjadi problem sekuriti. Tentu saja untuk melakukan hal itu kerja sama dengan industri untuk mendapatkan informasi peringatan terkini dilakukan juga.
Tidak saja untuk badan pemerintahan, dibentuk juga CERT untuk masyarakat luas yang disebut Brger-CERT [http://www.buerger-cert.de/]. Hal itu disadari karena makin digunakannya TI di masyarakat terutama yang berkaitan dengan data-data penting. Misal pendaftaran kewarga negaraan secara online, transaksi perbankan online. Sehingga dibutuhkan suatu CERT yang khusus menangani penggunaan TI di masyarakat luas. Organisasi ini aktif menginformsikan ke masyakarat luas mengenai permasalahannya. Ini merupakkan proyek dari BSI dan MCert Deutsche Gesellschaft fr IT-Sicherheit [http://www.mcert.de/] yang merupakan suatu pusat kompetensi sekuriti yang netral (terdiri dari beragam vendor). Salah satu kegiatan adalah memberikan peringatan dan tindakan yang perlu dilakukan misal masalah virus, penipuan via email dan lain sebagianya. Untuk melengkapi layanan ke masyarakat maka BSI juga menyediakan suatu layanan disebut BSI fuer Burger [http://www.bsi-fuerburger.de]. Yang merupakan portal berisi informasi keamanan untuk masyarakat luas.
Sebagai kegiatan sosialisasi, dalam tiap event komputer selalu diadakan CEFIS Centrum Fuer InformatonSicherheit [http://www.cefis.de] atau dalam bahasa Indonesianya pusat informasi sekuriti, misal di CeBIT merupakan stand utama di hall 7 yang menyajikan soal sekuriti dengan peserta sekitar 20 perusahan/badan. Pusat informasi ini ditujukan untuk perusahaan yang memiliki kebutuhan sekuriti khusus. Misal yang berkaitan dengan kehandalan, keamanan dan kontinuitas operasi dari TI. Termasuk juga keamanan fisik misal terhadap api dan sabotase. Juga perihal seperti kriptografi, pemeriksaan sekuriti, sertifikasi dan beragam badan untuk konsultasi dan perencanaan. Juga disajikan The Secure Computer Center yang dioperasikan oleh VON ZUR MHLENSCHE GmbH. Suatu instalasi sistem yang telah memenuhi kriteria dan disertifikasi oleh BSI. Pengkabelan yang digunakan juga telah memenuhi pra-syarat kemanan. Faktor cadangan dan keberadaan sistem pengganti juga disajikan pada pusat ini. Di samping itu, selama masa pameran disajikan beragam kuliah umum dan demonstrasi mengenai sekuriti, termasuk acara Hacking Live.
Di samping badan tersebut, untuk menjalin kerja sama antara badan pemerintah, industri dan akademis maka ada juga lembaga yang bernama CAST-FORUM [http://www.cast-forum.de] yang rutin melakukan seminar, pelatihan dan sebagianya. Keanggotaan CAST Forum ini terbuka bagi organisasi, perusahaan maupun perorangan. Saat ini Universitas Gunadarma juga telah bergabung menjadi anggota forum ini [http://www.cast-forum.de/mitglieder/cast].
Bagaimana kesiapan badan sejenis di Indonesia ? Siapkah kita dengan organisasi-organisasi seperti di atas ? Bila kita sibuk berbicara dengan UU Transaksi Elektronis dan penerapan UU Pabean yang terkait dengan transaksi secara elektronis, maka sudah sewajarnya kita juga mulai memikirkan langkah-langkah organisasi dan layanan seperti di atas. Jangan sampai semuanya baru dilakukan setelah terlambat. Memang di Indonesia sudah ada ID SIRTI tapi ruang lingkupnya berbeda, karena lebih berfokus pada pengawasan Internet terutama kaitannya untuk penegakkan hukum. Juga memang sejak lama ada ID-CERT [http://www.cert.or.id] tapi kegiatannya masih casual dan belum teroganisir untuk memenuhi kepentingan seperti badan pemerintah dan masyarakat luas lainnya, dan barrier orang untuk terlibat pada organisasi ini masih tinggi. Sebagai contoh ketika minggu-minggu ini banyak kasus deface, surat himbauan dan advisory dari ID-CERT tampak belum terdengar. Seingat saya ketika kasus deface Malaysia vs Indonesia lah terakhir ID CERT sempat merilis surat himbauan agar tidak terjadi kasus deface. Mungkin personal-nya sedang sibuk, toh ini kegiatan volounteer.
Saat ini response team untuk masalah sekuriti, di badan pemerintah Indonesia masih bersifat “getuk tular” alias dari mulut ke telinga (kalau mulut ke mulut, lain lagi ceritanya). Misal ada yang melihat situs bolong, akan coba kontak ke adminnya, ada situs kena deface ada yang kontak ke media :-).