Waskitha Danny

Keamanan Sumber Informasi di Pemerintahan

"Secure E-Government"

A. Pendahuluan

Modern ini, pemerintahan menghadapi sebuah revolusi global yang secara langsung mempengaruhi praktek manajemen informasi dan komunikasi. Informasi dan komunikasi menjadikan salah satu infrastruktur pembangunan sebuah bangsa. Peran dan pengaruh Teknologi Informasi dan Komunikasi telah menyentuh hampir seluruh aspek kehidupan, sehingga gejala ini menjadi sebuah perhatian yang tidak hanya pemerintah namun juga oleh seluruh pemangku kepentingan pengguna Teknologi Informasi dan Komunikasi (dikutip dari situs resmi kementrian pertahanan, http://dmc.kemhan.go.id.

Menteri Pertahanan, Purnomo Yusgiantoro dalam acara seminar nasional “keamanan informasi 2013” mengutarakan pemerintah dalam menyelenggarakan pelayanan publik sangat tergantung pada ketersediaan (availability), keutuhan (integrity) dan kerahasiaan (confidentiality) informasi di ruang siber (cyberspace). Lebih lanjut, Purnomo Yusgiantoro mengungkapkan banyak terjadi serangan-serangan di ruang siber yang dapat berakibat langsung terhadap keamanan nasional Indonesia, dimana masalah keamanan informasi di dunia ruang siber juga merupakan masalah kebijakan nasional (national policy). Serangan yang banyak terjadi di ruang siber juga menghambat aspek kehidupan berbangsa dan bernegara, seperti masalah ekonomi, infrastruktur dan kesehatan masyarakat.

Oleh karena banyak terjadi serangan di ruang siber, pemerintah perlu mempunyai sebuah strategi untuk mengerahkan semua instrumen kekuatan nasional untuk mengurangi resiko (management risk) yang timbul dari kemungkinan serangan di ruang siber serta mendorong kerjasama lintas sektor untuk mewujudkan keamanan nasional. Strategi ini perlu dilakukan dalam rangka memberi jaminan dalam penyediaan dan peningkatan kualitas pelayanan publik yang sesuai dengan tata kelola pemerintahan dan korporasi yang baik terhadap ancaman-ancaman bagi infrastruktur informasi vital negara.

Selain itu, kesadaran (awareness) dan edukasi (education and training) akan keamanan informasi bagi setiap aparatur pemerintah perlu dilakukan. Seorang aparatur harus mampu melihat lingkungan cyber dari sisi pandang yang berbeda, terlebih bila harus dihadapkan dengan pertahanan negara. Oleh karena itu, Purnomo Yusgiantoro mendorong kepada semua pihak terkait untuk dapat memahami akan pentingnya pengamanan informasi di instansinya masing-masing guna mencegah kebocoran informasi yang dapat menyebabkan kerugian negara atau membahayakan negara.

Strategi dalam pengamanan informasi sendiri meliputi semua aspek kehidupan yaitu ideologi, politik, ekonomi, sosial budaya, pertahanan dan keamanan. Selain itu, informasi strategis bukan hanya informasi rahasia saja akan tetapi juga informasi publik yang penting diketahui masyarakat guna meningkatkan kemampuan diri dan lingkungannya yang pada akhirnya akan memperkuat pertahanan nasional juga. Untuk itu informasi perlu mendapat perlindungan dari ancaman dan kerawananan, dimana data dan informasi tersebut harus dijamin kerahasiaannya, keutuhannya, keasliannya dan ketersediaannya.

Berdasarkan uraian masalah di atas, maka penulis akan mencoba memberikan penjelasan deskriptif akan informasi keamanan dalam rangka memberikan gambaran secara menyeluruh (holistik) kepada semua pihak yang terkait.

B. Informasi Keamanan

Tujuan Keamanan Informasi

Dalam menjalankan fungsinya, keamanan sistem informasi mempunyai tiga tujuan utama, yaitu:

1. Kerahasiaan (Confidentiality)

Untuk melindungi data dan informasi dari penggunaan yang tidak semestinya oleh orang-orang yang tidak memiliki otoritas. Dengan kata informasi hanya bisa terbaca oleh penerima yang berhak saja. Sistem informasi eksekutif, informasi sumber daya manusia dan sistem pengolahan transaksi adalah sistem-sistem utama yang harus mendapatkan perhatian dahulu dalam membentuk sistem keamanan informasi.

2. Ketersediaan (Availabity)

Memberikan jaminan kepada pihak-pihak terkait akan tersedianya data dan informasi perusahaan. Dengan membatasi otoritas pihak yang tidak ada sangkut pautnya akan menjauhkan masalah dari serangan pencurian dan perusakan data dan informasi penting. Dengan kata lain, pihak terkait dengan mudah menggunakan informasi itu kapan saja.

3. Integritas (Integrity)

Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat mengenai sistem fisik yang mereka wakili. Dengan adanya gambaran akurat, maka akan terdapat sinergi yang berkesinambungan antar sistem yang nantinya memberikan jaminan keamanan akan informasi. Sinergi ini diperlukan agar isi informasi yang dikirim dan diterima tidak berubah.

Serangan yang mengancam Keamanan Informasi

Tabel 1. Model Serangan Informasi

Berdasarkan jenis serangan yang akan mengancam keamanan informasi dalam dunia cyber, dibagi menjadi empat yaitu:

1) Interruption

Merupakan suatu ancaman terhadap ketersediaan (availability). Serangan ini dilakukan dengan cara informasi dan data yang ada dalam sistem komputer dirusak dan dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.

2) Interception
Merupakan suatu ancaman terhadap kerahasiaan (confidentiality). Serangan ini dilakukan dengan cara informasi yang ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer dimana informasi tersebut disimpan.

3) Modification

Merupakan suatu ancaman terhadap integritas (integrity). Serangan ini dilakukan dengan cara seseorang yang tidak berhak, berhasil menyadap lalu lintas informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut.

4) Fabrication

Merupakan suatu ancaman terhadap integritas (integrity). Serangan ini dilakukan dengan cara seseorang yang tidak berhak, berhasil meniru (memalsukan) suatu informasi yang ada sehingga orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.

Selain itu serangan yang mengancam keamanan informasi dapat juga berasal dari individu dalam organisasi itu sendiri. Serangan itu bisa dilakukan oleh pegawai tetap, pegawai sementara, konsultan, kontraktor dan juga rekan bisnis perusahaan. Ancaman dari dalam perusahaan sendiri, mempunyai bahaya yang lebih serius dibandingkan ancaman dari luar perusahaan dikarenakan kelompok internal memiliki pengetahuan yang lebih mengenai sistem di dalam perusahaan itu sendiri.

Kontrol Sistem Pengaman Informasi

Diperlukan kontrol dan pengawasan dalam sistem keamanan informasi yang sudah berjalan. Tim proyek harus memasukkan kontrol sebagai bagian dari perancangan. Sebagian besar kontrol keamanan berdasarkan pada teknologi perangkat keras dan perangkat lunak. Kontrol yang dimaksud adalah:

; 1) Kontrol Terhadap Akses

Merupakan landasan keamanan untuk melawan ancaman yang timbul dari orang-orang yang tidak berwenang. Kontrol terhadap akses dilakukan melalui tiga tahap, yaitu:

a. Pengenalan Otomatis

Para pengguna mengidentifikasi diri mereka menggunakan sesuatu yang mereka kenali sebelumnya, misalnya password.

b. Pembuktian Otomatis

Proses identifikasi dilakukan, dimana pengguna akan memverifikasi hak mereka terhadap akses menggunakan fasilitas seperti kartu cerdas (smart card), chip identifikasi, dan sebagainya.

c. Pengesahan Otomatis

Bila proses identifikasi dan verifikasi telah selesai pengguna akan diberi otorisasi untuk melakukan akses dengan tingkat-tingkat penggunaan tertentu.

2) Sistem Deteksi Gangguan

Logika dasar dari sistem deteksi gangguan adalah bagaimana mengenali potensi gangguan keamanan sebelum sebelum usaha tersebut menjadi nyata dan menimbulkan kerusakan. Contohnya adalah perangkat lunak proteksi virus (virus protection software). Alat untuk memprediksi ancaman dari dalam perusahaaan telah dikembangkan dengan mempertimbangkan berbagai karakteristik, seperti posisi pegawai di perusahaan, akses terhadap data-data penting, kemampuan untuk mengubah komponen perangkat keras, jenis aplikasi yang digunakan, file yang dimiliki dan pemakaian protokol-protokol jaringan tertentu.

3) Firewall

Firewall bertindak sebagai suatu saringan dan penghalang yang membatasi aliran data dari internet masuk dan keluar perusahaan. Konsep yang menjadi latar belakang firewall adalah membangun satu pengaman untuk seluruh komputer yang ada di jaringan perusahaan. Ada tiga jenis firewall, yaitu:

a. Packet Filtering

Firewall ini menjadi satu dengan perangkat jaringan, yaitu router. Kelemahan router adalah hanya merupakan satu-satunya titik yang digunakan untuk menjaga keamanan.

b. Circuit Level

Firewall ini satu tingkat diatas router dikarenakan perlu dilakukan install antara internet dan jaringan perusahaan, tetapi tetap memiliki kelemahan sebagai sistem keamanan yang berpusat pada satu titik.

c. Aplication Level

Firewall berada antara router dan komputer. Dengan cara ini, pemeriksaan keamanan secara penuh dapat dilakukan. Firewall ini adalah yang paling efektif, tetapi firewall ini cenderung mengurangi akses terhadap sumber daya dan merepotkan programer.

4) Kontrol Kriptografi (Crytographic Control)

Penyimpanan dan transmisi data dapat dilindungi dari pemakaian secara ilegal melalui kriptografi. Kriptografi adalah penyusunan dan penggunaan kode dengan proses-proses matematika, sehingga pemakai ilegal hanya akan mendapatkan data berbentuk kode yang tidak dapat dibaca.

Kriptografi meningkat popularitasnya sejalan dengan perkembangan penggunaan e-commerce, dan protokol khusus yang ditujukan untuk aplikasi kriptografi telah dikembangkan. Salah satunya adalah SET (Secure Electronic Transactions/Pengaman Transaksi Elektronik) yang melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Penggunaan tanda tangan rangkap ini lebih efektif dibandingkan dengan penggunaan nomor seri seperti yang terdapat pada kartu kredit.

5) Kontrol Fisik

Langkah pencegahan pertama terhadap gangguan ilegal dari luar adalah mengunci pintu ruang komputer. Pencegahan selanjutnya yaitu menggunakan kunci yang lebih canggih, yang hanya dapat dibuka dengan sidik jari dan pengenalan suara. Selanjutnya pengawasan menggunakan kamera dan menempatkan petugas keamanan.

Perusahaan juga dapat meminimalisasi pengawasan fisik dengan menempatkan pusat komputernya di lokasi yang jauh dari kota besar dan pemukiman penduduk dan jauh dari daerah yang rawan terhadap bencana alam seperti gempa bumi, banjir, dan badai

6) Kontrol Formal

Kontrol ini meliputi penetapan kode, dokumentasi prosedur dan penerapannya, serta monitoring dan pencegahan perilaku yang menyimpang dari kebijakan peraturan yang telah ditetapkan. Artinya manajemen perusahaan menyediakan waktu untuk melaksanakannya, dan hasilnya didokumentasikan secara tertulis dan dalam jangka waktu panjang kontrol ini menjadi salah satu inventaris perusahaan yang berharga.

7) Kontrol Informal

Pengawasan informal meliputi aktivitas-aktivitas seperti menanamkan etika kepercayaan perusahaan terhadap pegawainya, memastikan bahwa para pegawai memahami misi dan tujuan perusahaan, mengadakan program pendidikan dan pelatihan serta program pengembangan manajemen. Kontrol ini ditujukan untuk memastikan bahwa pegawai perusahaan memahami dan mendukung program keamanan tersebut.

Manajemen Sistem Keamanan Informasi

a. Manajemen Keamanan Informasi

Seorang manajer yang bertanggung jawab terhadap keamanan informasi perlu memahami masalah timbul dari keamanan informasi dan membangun suatu infrastruktur sistem keamanan informasi. Dengan mengenali masalah yang dapat terjadi dalam keamanan informasi, manajer dapat meminimalkan resiko yang timbul pula. Ada empat yang perlu dilakukan manajer keamanan informasi,yaitu:

1. Identifikasi Ancaman yang dapat menyerang sumber informasi perusahaan

Seorang manajer perlu melakukan identifikasi awal ancaman serangan pada sumber informasi perusahaan. Manajer bisa memulai dengan membagu menjadi dua, pertama ancaman internal yaitu karyawan, rekan bisnis dan kompetitor; lalu yang kedua ancaman eksternal yaitu pihak tak bertanggung jawab seperti hacker atau pihak-pihak yang berusaha mencari untung.

2. Identifikasi Resiko yang mungkin ditimbulkan oleh ancaman tersebut

Seorang manajer juga perlu melakukan analisis resiko yang dapat ditimbulkan dari terjadinya serangan akan sumber informasi perusahaan. Walaupun serangan belum terjadi, tetapi manajer perlu melakukan analisis awal resiko sehingga perusahaan akan mempunyai strategi jika terjadi serangan pada sumber informasi perusahaan.

3. Menetapkan Kebijakan terkait keamanan informasi

Dalam menetapkan kebijakan seorang manajer perlu melakukan 5 fase sebagai berikut:

1) Fase 1 - Inisiasi Proyek

Pembentukan Tim yang akan bertugas untuk mengembangkan kebijakan keamanan.

2) Fase 2 - Kebijakan Pengembangan

Tim proyek berkonsultasi dalam menentukan persyaratan-persyaratan yang diperlukan.

3) Fase 3 - Konsultasi dan Persetujuan.

Tim proyek berkonsultasi dan menginformasikan hasil temuan kepada para manajer.

4) Fase 4 - Kewaspadaan dan Pendidikan

Pelatihan kewaspadaan dan program pendidikan kebijakan di unit organisasi.

5) Fase 5 - Penyebarluasan Kebijakan

Kebijakan keamanan disebarluaskan dimana kebijakan tersebut diterapkan.

4. Melaksanakan pengawasan terhadap hal-hal yang berhubungan dengan resiko keamanan informasi.

Seorang manajer juga perlu melakukan pengawasan terhadap faktor-faktor apa sajakah yang mungkin berhubungan dengan sistem keamanan informasi dan resiko yang dapat terjadi. Hal ini diperlukan dikarenakan perkembangan teknologi informasi begitu pesat, sehingga jika tertinggal satu langkah saja akan berdampak besar pada perusahaan.

Standar Kegiatan Keamanan Informasi

Dalam melakukan kegiatan pengamanan sumber informasi dalam suatu organisasi diperlukan standar yang harus dipatuhi. Hal ini dilakukan agar tidak terjadi tindakan-tindakan dalam organisasi yang menyalahi aturan yang ada (standar operasi prosedur). Adapun standar itu adalah sebagai berikut:

1) ISO (International Standards Organization)

ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada keamanan administratif.

2) CISA (Certified Information Systems Auditor)

CISA fokus pada kegiatan audit dan pengendalian sistem informasi.

3) CISSP (Certified Information Systems Security Professional)

CISSP fokus utamanya pada keamanan teknis.

b. Manajemen Resiko

Seorang manajer diharapkan mampu melakukan analisa dalam mengenali resiko yang dapat mengancam keamanan informasi dalam organisasi. Walaupun hanya sebuah informasi, tetapi informasi yang dimiliki perusahaan dapat menjadikan sebuah ancaman atau “bumerang”. Jika informasi tersebut diketahui oleh pihak kompetitor atau pihak tidak bertanggung jawab, maka perusahaan akan dapat menderita kerugian yang besar. Oleh karena itu seorang manajer harus mampu melakukan analisa akan dampak yang timbul dari ancaman keamanan infomasi.

Ada empat langkah yang harus diambil dalam mendefinisikan risiko, yaitu:

1. Identifikasi asset bisnis apa saja yang harus dilindungi dari resiko.

2. Kenali Resiko yang dapat terjadi

3. Tentukan tingkatan dari dampak resiko yang dapat ditimbulkan

4. Analisis kelemahan yang dimiliki perusahaan

Manajemen resiko sendiri mengklasifikasikan tingkat kerusakan yang timbul menjadi: 1. Dampak Parah, 2. Dampak Signifikan dan 3. Dampak Minor. Untuk tingkatan pada dampak parah maupun dampak signifikan, perlu dilakukan analisis kelemahan perusahaan. Jika saat dilakukan analisis kelemahan perusahaan didapatkan tingkat kelemahan yang tinggi, maka diperlukan kontrol untuk menghapuskan atau menguranginya. Sedangkan jika tingkat kelemahan rendah, maka kontrol yang ada harus dipertahankan.

Selain itu dalam manajemen resiko diperlukan analisis resiko, dimana manajer harus mampu mengungkapkan informasi: 1. Deskripsi Resiko; 2. Sumber Resiko; 3. Tingkat Kekuatan Risiko; 4. Kontrol Terhadap Resiko; 5. Pemilik Resiko; 6. Rekomendasi Tindakan Untuk Menangani Resiko; 7. Rekomendasi Batasan Waktu Untuk Menangani Resiko; dan 8. Tindakan Akhir Mengurangi Risiko.

C. Pemerintahan Berbasis Digital (E-Government)

Perkembangan teknologi informasi sekarang ini tidak hanya berdampak pada kemajuan model bisnis seperti e-commerce, tapi juga pada instansi pemerintahan di Indonesia. Hampir di setiap perkantoran pada instansi pemerintahan telah menggunakan komputer yang tersambung dengan internet. Penggunaannya mulai sekedar untuk mengolah data administrasi tata usaha, pelayanan masyarakat (public services), pengolahan dan dokumentasi data penduduk, perencanaan, statistika, pengambilan keputusan dan lain sebagainya.

Dengan perkembangan yang pesat dalam instansi-instansi tersebut , pemerintah juga meluncurkan model berbasis teknologi informasi, e-government. E-Government sendiri adalah penggunaan teknologi informasi yang dapat meningkatkan hubungan antara pemerintah dan pihak-pihak lain. Penggunaan teknologi informasi ini kemudian menghasilkan hubungan bentuk baru seperti: G2C (Government to Citizen), G2B (Government to Business Enterprises) dan G2G (Inter Agency Relationship). Bahkan dengan adanya e-government saat ini, komputer memiliki peran yang sangat penting bagi pemerintah untuk melakukan sosialisasi berbagai kebijakan, melakukan pemberdayaan masyarakat, termasuk kerjasama antar pemerintah, mayarakat, dan pelaku bisnis, juga memperkenalkan potensi wilayah dan pariwisata.

Selain memberikan manfaat di pemerintahan itu sendiri, e-government juga memberikan manfaat di bidang pendidikan dimana segala akses dapat dilakukan secara online. Lebih lanjut e-government juga membantu dalam meningkatkan hubungan antara pemerintah dengan dunia usaha dan masyarakat, kerena informasi dapat lebih mudah untuk diperoleh.

Dengan kemajuan teknologi informasi yang pesat, di masa yang akan datang akan dapat dilakukan pengambilan keputusan politik secara online, misalnya untuk pemilihan umum (E-Voting) Selain itu masyarakat juga bisa menyampaikan aspirasi secara langsung kepada para eksekutif dan legislatif pemerintah melalui e-mail atau elektronik forum melalui web yang dibangun pemerintah setempat. Para eksekutif di pemerintahan daerah pun sudah melakukan hal tersebut, seperti membangun web pemerintah daerah dan kemudian call center langsung kepada para eksekutif yang dilakukan secara online: facebook, twitter dan e-mail.

Implementasi E-Goverment

Indonesia dalam melaksanakan e-government berada pada peringkat 106 dari 193 negara di dunia (menurut E-Government Survey tahun 2014, oleh PBB). Indonesia dinilai cukup lama “mencoba” untuk mengadopsi model pemerintahan yang berbasis digital. Kepala Deputi BPPT Bidang Teknologi Informasi Energi dan Material (TIEM), Hammam Riza menjelaskan bahwa sistem e-government tidak merata di setiap daerah, alhasil kesenjangannya mungkin cukup besar. Menurut Hammam, ada banyak desa atau kabupaten dan kota yang penyelenggaraan e-government sangat baik, tapi survei yang dilakukan PBB melihat secara keseluruhan dan wilayah Indonesia masih banyak yang belum menerapkan prinsip e-goverment sepenuhnya.

Prinsip e-goverment belum dapat diterapkan di seluruh wilayah Indonesia karena tidak ada pemerataan jaringan internet di tingkat desa. Banyak jaringan internet yang hanya merambah di kota besar dan baru dimulai pembangunan infrastruktur jaringan internet di desa-desa. Walaupun begitu, pemerintah sudah mulai melakukan transparansi, dengan dibukanya portal data pemerintah Indonesia “Portal.id” yang bisa dimanfaatkan untuk mengawas kinerja pemerintah.

Selain itu, e-government di kantor pemerintah daerah dilengkapi dengan koneksi LAN, tetapi pertukaran data belumlah banyak dilakukan. Hal ini dikarenakan arsip atau dokumen pribadi belum dikelola dengan baik, sehingga menjadi hambatan dalam integrasi dan pertukaran data. Integrasi diantara lembaga negara, lembaga departemen maupun non-departemen selalu terkendala karena masing-masing tidak mau berbagi data dan informasi.

Lebih lanjut, aparatur pemerintah banyak yang masih membutuhkan edukasi dan training dalam menggunakan model e-government. Hal ini terbukti dari banyaknya website pemda kabupaten dan kota yang sekedar publikasi informasi seputar profil daerah yang bersangkutan, tetapi tidak terjadi interaksi yang seharusnya diberikan sebagai pelayanan publik (Warta Ekonomi, 2007). Banyak aparatur yang tidak dapat berinteraksi secara online di dalam website tersebut.

Secure E-Government

Dalam pengembangkan e-government perlu juga memperhatikan sekuritas dalam pengamanan informasi maupun pengamanan sistem e-government itu sendiri. Beberapa waktu, dunia dikejutkan oleh Edward Snowden yang mengungkapkan praktek penyadapan dan pencurian data yang dilakukan NSA. Snowden menjelaskan bagaimana NSA “menelanjangi” sistem teknologi informasi sehingga data terlihat mudah dicuri. Pakar IT Indonesia sekaligus Chairman Lembaga Riset CISSReC (Communication and Information System Security Research Center), Pratama Persadha menjelaskan sebagai isu intersepsi dari Snowden. Menurut Pratama, Indonesia yang sedang merintis pembangunan e-government harus serius menanggapi peringatan dini dari Edward Snowden.

Menurut Pratama, pemerintah saat ini perlu memulai program e-goverment dengan memberi perhatian lebih pada “enkripsi sistem” yang dijalankannya. Jangan sampai data-data vital atau informasi penting dicuri pihak-pihak tak bertanggung jawab. Lebih lanjut Pratama mengutarakan, akan menjadi lebih berbahaya lagi jika tidak hanya pencurian data yang terjadi, tapi sampai pihak luar menguasai sistemnya, inilah mungkin yang disebut “bencana cyber”.

Hal ini selaras dengan Lembaga Sandi Negara, Mantan Ketua Tim IT Kepresidenan yang menyebutkan pengamanan enkripsi pada seluruh unit yang terhubung dengan sistem e-government harus benar-benar kuat. Jika ada satu titik lemah di unit, maka departemen atau dinas tertentu bisa ditembus, maka keseluruhan sistem sudah dalam bahaya. Bukan hanya kecanggihan sistem saja yang dikedepankan dalam program e-goverment, tetapi pengamanan data dan transmisi komunikasinya juga perlu menjadi prioritas.

Untuk menanggapi itu semua, pemerintah berupaya dengan merintis pembentukan “Badan Cyber Nasional” untuk melindungi kepentingan nasional. Hal ini menjadi langkah awal yang baik untuk mengamankan Indonesia dari serangan cyber. Selanjutnya, perlu melibatkan berbagai elemen agar Indonesia benar-benar aman. Semisal aparat lintas sektoral, akademisi, praktisi dan pakar perlu juga dirangkul.