Visi Indonesia 2025 adalah mewujudkan Indonesia yang mandiri, maju, adil dan makmur. Menurut MP3EI (Masterplan Percepatan dan Perluasan Pembangunan Ekonomi Indonesia), Indonesia ditargetkan untuk menjadi negara dengan GDP 4 - 4, triliun dolar AS.
Ini artinya Indonesia akan menjadi negara nomor 12 terkuat dari sisi ekonomi (sekarang Indonesia di posisi 17).
Dan ini hanya bisa dicapai melalui pemerintahan yang efisien, transparan, diselenggarakan dengan tata kelola yang baik dalam mengolah seluruh sumber daya alam, budaya dan kualitas manusia Indonesia.
E-Government untuk mendorong pemerintahan yang bersih
Pemerintah Indonesia sendiri nampaknya cukup serius dalam menyikapi hal ini, dan pemerintah sudah sejak lama mencanangkan TIK (Teknologi Informasi dan Komunikasi) sebagai landasan untuk mendorong penyelenggaraan pemerintahan yang baik, efisien, dan transparan.
E-government terdiri dari empat tahapan :
- Tahap 1, Katalog – website pemerintah yang menyediakan informasi umum dan menyediakan dokumen atau formulir yang bisa diunduh.
- Tahap 2, Transaksi – website pemerintah yang bisa memberikan fasilitas pengisian formulir secara online dan menyediakan basis data yang bisa diakses untuk keperluan transaksi online.
- Tahap 3, Integrasi vertikal – sistem TIK di dalam satu organisasi pemerintahan yang sudah terintegrasi, namun masih banyak berbentuk pulau-pulau TIK yang tidak tersambung antar fungsi yang berbeda.
- Tahap 4, Integrasi horizontal – sistem TIK di seluruh organisasi pemerintahan yang sudah terintegrasi secara total, tidak ada lagi pulau-pulau TIK yang terisolasi.
Karena banyaknya hambatan di lapangan (misalnya undang-undang/peraturan yang belum mendukung, masalah ego sektoral yang tinggi dan sebagainya), kebanyakan implementasi e-government di Indonesia masih berhenti di tahap 1.
E-Government sebenarnya sudah dimulai semenjak tahun 2000-an, dan secara teknologi sebenarnya tidak sulit untuk langsung implementasi E-Government tahap 4. Hal ini tidak dilakukan, karena kesulitan sebenarnya bukan dari sisi teknologi, tetapi dari kesiapan SDM (sumber daya manusia) dan dari sisi regulasi :
- Kesulitan di sisi SDM : Pegawai pemerintah masih banyak sekali yang belum memiliki pengetahuan yang memadai tentang penggunaan perangkat TI yang baik. Selain daripada kesadaran menggunakan layanan TI yang semestinya juga masih perlu dibangun (misalnya penggunaan email pribadi untuk bekerja dan sebagainya)
- Kesulitan dari sisi regulasi : Seluruh instansi pemerintahan masih bekerja secara individual, dan belum ada regulasi yang memaksa atau memungkinkan semua instansi tersebut untuk berkolaborasi secara horizontal. Untuk melakukan kolaborasi horizontal ini, dibutuhkan regulasi/UU tentang Interoperabilitas.
Meski demikian, seharusnya kita sudah bisa melangkah ke e-Government tahap 2 atau 3. Karena tahapan ini belum memerlukan interoperabilitas antar lembaga.
Motivasi langkah ini semakin kuat apalagi dengan adanya beberapa aturan yang memaksa agar pemerintah semakin transparan, misalnya dengan adanya UU KIP. Secara paralel, pemerintah juga menerbitkan UU ITE yang mengatur semua transaksi elektronik (termasuk e-Government) di dunia maya.
UU Keterbukaan Informasi Publik
UU KIP (Keterbukaan Informasi Publik) no 14 tahun 2008, adalah salah satu UU yang mendorong terlaksananya transparansi di kantor pemerintahan. UU ini mewajibkan setiap Badan Publik untuk menyediakan, memberikan dan/atau menerbitkan Informasi Publik (informasi yang tidak rahasia) yang berada di bawah kewenangannya kepada Pemohon Informasi Publik (masyarakat).
UU ini mengharuskan setiap Badan Publik memiliki sistem informasi yang efisien dan dapat diakses dengan mudah. Dengan aturan ini, maka masyarakat bisa mengakses semua informasi publik melalui website badan publik yang mengimplementasikan TIK.
UU ini juga sangat keras, karena memberikan hukuman pada Badan Publik, jika Badan Publik terbukti sengaja tidak menyediakan informasi publik tersebut, bisa dikenakan pidana kurungan paling lama 1 (satu) tahun dan/atau pidana denda paling banyak Rp 5.000.000,00 (lima juta rupiah).
Dengan adanya UU KIP ini, maka ada pemaksaan yang kuat bagi badan publik (termasuk pemerintah) untuk meletakkan informasi publik di websitenya.
UU Informasi dan Transaksi Elektronik
UU ITE (Informasi dan Transaksi Elektronik) adalah UU lain yang membantu meningkatkan keamanan informasi. Pasal 30 dari UU ITE jelas sekali melarang setiap percobaan peretasan (akses ilegal) dengan ancaman pidana sampai 8 tahun atau denda paling banyak Rp 8 miliar.
Dengan adanya UU ITE ini, setiap orang yang mencoba meretas website manapun (termasuk situs e-Government) akan bisa diganjar hukuman yang berat.
Keamanan Informasi di Pemerintahan
UU KIP dan UU ITE, dibarengi dengan inisiatif e-government di Indonesia, merupakan motor penggerak bagi pemerintah untuk mulai membuka diri, membuat website yang mulai diperkaya isinya dengan informasi-informasi yang berguna bagi masyarakat.
Hanya saja implementasi website ini di pemerintah belum dibarengi dengan peningkatan kualitas SDM , proses, dan penerapan teknologi yang tepat. Sehingga peretasan website pemerintah menjadi semakin marak.
Berdasarkan informasi yang dikumpulkan oleh satu situs keamanan (
zone-h.org), perhari ada belasan sampai puluhan situs pemerintah Indonesia (dengan domain go.id) yang berhasil diretas. Yang menyedihkan, biasanya pemilik situs tersebut tidak tahu bahwa isi situsnya telah berubah (bahkan bisa berbulan-bulan).
Menurut catatan zone-h.org, di tahun 2010 saja ada hampir 1.5 juta situs diubah tampilannya. Ini merupakan rekor yang menyedihkan, karena trend peretasan memang selalu meningkat.
Khusus untuk situs-situs pemerintahan Indonesia, kita bisa mencari semua catatannya di zone-h.org dengan memasukkan kata kunci “go.id” pada kolom pencarian. Pada saat tulisan ini dibuat saja, 14 November 2011, tidak kurang dari 16 situs pemerintah Indonesia dari berbagai instansi diubah tampilan mukanya (
deface) :
Bahkan situs Kementerian Kominfo dan situs Artileri Pertahanan Udara (Arhanud) Tentara Nasional Indonesia Angkatan Darat (TNI AD) tidak luput dari kejahatan ini.
Peretasan dengan cara mengubah tampilan website ini sebenarnya merupakan satu bentuk kriminal di dunia maya yang sangat mudah dilakukan bahkan oleh pemula sekalipun. Petunjuk untuk melakukan kejahatan inipun gampang didapat, misalnya di salah satu situs toko buku online (gramediaonline.com) saya juga mendapat 99 judul buku yang mengandung kata-kata “hack”.
Buku-buku ini berisi informasi dan tutorial bagaimana caranya meretas. Buku-buku ini bisa dibeli secara online, atau dibeli langsung di toko buku terdekat tempat anda tinggal.
Selaras dengan laporan WEF yang menyebutkan salah satu keunggulan utama orang Indonesia adalah kreativitas yang tinggi, tetapi memang kreativitas ini bisa menjadi tindak kriminal jika tidak disalurkan dengan baik. Terbukti dengan Indonesia memiliki angka
cyber crime yang fantastis.
“Kasus
cyber crime di Indonesia adalah nomor satu di dunia,” kata Brigjen Anton Taba, Staf Ahli Kapolri, dalam acara peluncuran buku Panduan Bantuan Hukum Indonesia (PBHI) di Jakarta, Rabu. (http://www.polri.go.id/berita/10745)
Membuat Situs Web Yang Aman
Tidak ada buatan manusia yang sempurna, dan juga tidak ada situs website yang keamanannya sempurna. Titik lemah selalu ada meski di situs yang paling aman sekalipun. Namun semakin tinggi keamanan suatu situs, maka semakin sulit pula bagi peretas untuk masuk.
Dibutuhkan keahlian yang semakin tinggi, motivasi yang besar, perangkat yang canggih, dan keberanian mengambil resiko yang sangat luar biasa untuk bahkan mulai mencobanya, karena jejak-jejak percobaan akan tercatat dan bisa dilacak oleh pihak yang berwajib, dan bisa terjerat pasal 30 UU ITE yang disebutkan di atas tadi.
Untuk membuat suatu website yang aman, ada tiga aspek yang tidak bisa dipisahkan satu sama lainnya :
- Sumber Daya Manusia – SDM yang memelihara sistem ini harus memiliki pemahaman yang baik mulai dari strategi keamanan yang paling tepat, solusi keamanan dan pedoman praktek terbaik, sampai pekerjaan teknis yang kecil-kecil seperti pembaharuan sistem, konfigurasi, penguatan web server dsb. Kualitas SDM bisa ditingkatkan melalui pelatihan-pelatihan yang terarah dan diselaraskan dengan KPI (Indikator Kinerja Kunci), sehingga setiap orang mau tidak mau harus mengikuti pelatihan sampai lulus.
- Proses – Semua pekerjaan pemeliharaan sistem harus dituangkan ke dalam suatu dokumen prosedur pengoperasian standar, yang mencakup tentang manajemen pembaharuan aplikasi/penambalan, manajemen konfigurasi yang diinginkan, pemeriksaan kesehatan keamanan, dsb. Untuk memastikan bahwa situs website kita aman, kita bisa mengacu kepada ISO 27001 (manajemen keamanan informasi), ISO 27035 (manajemen insiden keamanan).
- Teknologi – Teknologi yang dipergunakan harus memiliki kemampuan dukungan teknis, pembuatan layanan, konfigurasi , pemantauan, dan perlindungan.
Sistem Manajemen Insiden Keamanan
ISO/IEC 27035:2011 memberikan paduan manajemen insiden keamanan informasi untuk organisasi semua ukuran, dari kecil sampai besar. ISO ini merupakan revisi dari ISO/IEC 18044:2004.
Di bawah ini adalah sistem lengkap suatu proses manajemen insiden yang lengkap :
1. Persiapan – siapkan SDM, proses, dan teknologi yang diperlukan untuk mengantisipasi semua serangan. Tingkatkan kesadaran tentang keamanan, lakukan pelatihan, bangun tim keamanan yang kuat, buat aturan keamanan, dan buat prosedur-prosedur operasi standar yang mengadopsi praktek terbaik. Tidak kalah pentingnya gunakan teknologi dan peralatan yang lengkap untuk mendeteksi virus, spam, anomali, dan juga pasang firewall di berbagai lapisan.
2. Identifikasi – siapkan SDM untuk memahami berbagai bentuk serangan, pengetahuan membaca log, dan bentuk tim eskalasi teknis. Dari sisi proses, kembangkan prosedur pelaporan, dan pencatatan insiden keamanan. Sedangkan dari sisi teknologi, gunakan teknologi memberikan peringatan dini terhadap serangan, mencatat detail serangan, dan memfasilitasi komunikasi dan pelaporan jika ada serangan.
3. Penilaian – siapkan tim teknis yang bisa mendapatkan informasi detail tentang serangan, mendata semua perangkat yang terkena dampak serangan, mengenal jenis serangan, mempelajari tingkat keseriusan suatu serangan , dan membuat suatu skala prioritas. Kembangkan suatu proses penilaian yang paling efektif, dan gunakan teknologi yang mampu mendata semua aset perusahaan, memberikan kemampuan pencarian yang bagus, mencatat semua kejadian ke dalam suatu basis data pengetahuan, dan menampilkan statistik keamanan informasi ke dalam suatu bentuk visual yang mudah dianalisa.
4. Karantina – lakukan pelatihan tentang pentingnya sistem keamanan informasi, dan ajarkan semua user untuk mematuhi aturan keamanan organisasi. Buat prosedur untuk mengenali jangkauan serangan, cari pendekatan terbaik untuk mengisolasi serangan, amankan lokasi, dan simpan semua bukti-bukti serangan. Gunakan teknologi untuk memaksakan ketaatan terhadap aturan keamanan informasi, melakukan isolasi bagi para pelanggar, termasuk mengisolasi suatu serangan ke dalam atu batasan virtual yang aman.
5. Pemeriksaan – di sini dibutuhkan kerjasama tim kepegawaian, dukungan teknis, ahli forensik, ahli hukum, dan mitra di dalam menganalisa suatu serangan. Kembangkan suatu prosedur pemeriksaan yang menyeluruh, dan gunakan data-data pendukung yang bisa diambil dari catatan lengkap sistem.
6. Pemecahan – tingkatkan keahlian tenaga teknis untuk melakukan perubahan konfigurasi, penambalan, pemasangan kembali, sampai pada pengumpulan bukti untuk menuntut dan mengajukan klaim asuransi jika diperlukan. Kembangkan prosedur yang standar untuk mencatat serangan dan dampak yang diakibatkan. Gunakan teknologi untuk menyimpan semua kejadian menjadi catatan lengkap (log), termasuk detail perangkat (jenis/nomor seri/dsb) yang ada untuk keperluan pengajuan klaim asuransi atau pengusutan polisi.
7. Pembelajaran – Buat dan jalankan prosedur pembelajaran setelah insiden, catat semua detail kronologi, dan standar laporan ke manajemen. Simpulkan hal-hal yang patut diingat, dan buat dan jalankan perbaikan supaya serangan serupa tidak berulang kembali. Gunakan teknologi untuk menyimpan semua catatan ini ke dalam suatu basis data pengetahuan yang dihubungkan ke mesin pencarian yang mudah dan cepat.
Q&A Sederhana
| Bagaimana memastikan supaya website kita tidak bisa diubah (deface) oleh orang lain ? | 1. Gunakan administrator yang memiliki pengetahuan teknis kuat, dan mintalah jasa ethical hacker untuk melakukan audit keamanan dan memberikan rekomendasi pada anda
2. Kembangkan website anda menggunakan metoda ALM (Application Lifecycle Management) untuk meningkatkan kualitas aplikasi anda
3. Pisahkan server untuk keperluan publik dan internal, dan pasang perangkat-perangkat keamanan di setiap lapis |
| Bagaimana mendeteksi perubahan website oleh orang lain dengan cepat? | 1. Periksa log secara berkala. Untuk website statik, selalu bandingkan CRC setiap file untuk mendeteksi perubahan. Untuk website dinamik, lakukan hal yang sama untuk file di dalam basis datanya
2. Gunakan manajemen sistem yang bisa melakukan pemeriksaan berkala tadi secara terotomasi |
| Bagaimana caranya memulihkan website yang telah diubah dengan cepat? | 1. Biasakan lakukan backup secara berkala (bisa juga dilakukan secara sistem)
2. Buatlah prosedur untuk menemukan file yang telah diubah, dan segera restorasi dari backup
3. Gunakan sistem yang mampu melakukan semua ini dengan aman, andal, dan transparan. |
Kesimpulan
- Untuk membuat website yang aman, selalu masukkan aspek manusia (SDM), proses, dan teknologi ke dalam pertimbangan kita.
- Selalu tingkatkan kualitas SDM, terutama bagi para pendukung teknis.
- Selalu gunakan pedoman praktik terbaik standar seperti ISO 27001, ISO 27035 sebagai paduan. Jika standar ISO belum ada, kita bisa lengkapi dengan standar lain seperti ALM dalam mengembangkan aplikasi.
- Dari sisi infrastruktur, gunakan arsitektur enterprise yang membagi layanan internal dan eksternal, dan lengkapi semua lapisan infrastruktur dengan piranti keamanan yang terbaik.
- Dari sisi UU, sekarang tidak usah kawatir untuk mulai membuka diri melalui website di Internet, karena UU yang melindungi warga negara di dunia maya sudah ada dan terus disempurnakan.
Jika kita merasa bahwa semua hal di atas terlampau rumit bagi organisasi Anda, silahkan pertimbangkan untuk menggunakan Layanan Awan (cloud computing) dari penyedia jasa yang terpercaya dan sudah teruji keamanannya.
Penulis artikel ini, Tony Seno Hartono, saat ini menjabat sebagai National Technology Officer di Microsoft Indonesia, dapat dihubungi melalui e-mail: tonyseno@microsoft.com.
