tv

sponsored by

free counters Web Site Hit Counters
My Ping in TotalPing.com Display Pagerank

Selasa, 27 Juli 2010

Sekilas tentang Keamanan Situs-Situs dan Sistem Informasi Pemerintah Indonesia

14.46  Ary  No comments


Akhir-akhir ini, geliat aktivis Underground di Indonesia tergolong agak "sopan" ^^ Biasanya aksi-aksi vandalisme dilakukan apabila terdapat moment-moment special, seperti Pemilu, protes kepada kebijakan pemerintah, atau setelah diusik oleh negara tetangga

Tapi, apakah itu semua cukup untuk membuat para Admin yang terhormat memperbaiki keamanan mereka? Berikut ini laporah hasil Audit saya terhadap situs-situs dengan ekstensi .go.id, Maret 2010


Server Windows

Saya tidak mengatakan bahwa server Windows itu lemah. Namun sepanjang perjalanan saya, exploitasi Windows lebih menyenangkan dan lebih memakan waktu singkat. Ditambah lagi, konfigurasi yang kurang baik dan penerapan policy yang tidak tepat membuat server-server pemerintah yang kebanyakan menggunakan Windows menjadi sasaran empuk. Jadi, percuma bukan jika CMS atau sistem informasi yang digunakan memiliki keamanan yang tinggi, namun diletakkan pada server dengan keamanan rendah ^^

Webserver yang tidak dikonfigurasi dengan baik, merupakan ciri khas yang bisa Anda temui di banyak server pemerintah. Sebenarnya, MenKominfo sendiri telah mengeluarkan Pedoman Sistem Keamanan Web Server untuk instansi Pemerintah. Peraturan tersebut berisi pedoman teknis secara umum. Namun, standard tersebut tampaknya tidak dipenuhi oleh semua instansi. Banyak yang dibawah standard, dan pengerjaannya dikerjakan oleh mereka yang bukan ahlinya. Hal ini menjadi faktor terbesar kenapa banyak sistem yang vulnerable.

Kelemahan Pada Aplikasi Web

Celah-celah keamanan pada apliaksi web seperti SQL Injection, XSS, RFI, LFI, Arbitary File Upload/Download, masih saja saya jumpai hingga kini. Diantaranya ada yang hingga kini masih dijadikan newbie sebagai bahan latihan

Banyak CMS pemerintah merupakan CMS modifikasi yang bisa Anda dapatkan dengan mudah di Gramedia. Beli ajah salah satu buku panduan membuat web yang didalamnya terdapat bonus CD, lalu bandingkan area back end CMS itu dengan back end beberapa web pemerintah. Pasti banyak yang mirip ^^

Bisnis yang menarik bukan? Modal beberapa puluh ribu, dijual ke pemerintah seharga ratusan juta Eh, emang salah? hehehe.. sah-sah saja sich, tapi setidaknya, celah-celah keamanan pada aplikasi web harus benar-benar diperhatikan, diamankan sebelum website dipublikasikan. Jangan malah mengambil tindakan setelah ada serangan ^^

Unsecure Password

Password. Salah satu hal yang sepertinya paling tidak dipedulikan keamanannya. hampir pada semua situs pemerintah masih terdapat account dengan password-password yang tidak secure: 123456, admin, administrator, depkominfo, password menggunakan kode SKPD, dan masih banyak lagi.

Saya juga menemukan puluhan account dengan password yang sama dengan usernamenya. Yang paling membuat saya geleng-geleng kepala adalah jawaban yang saya terima saat menghubungi perusahaan yang membangun web tersebut via YM:

"Mau bagaimana lagi mas, mereka sendiri yang minta passwordnya disamakan dengan username biar gampang diingat. Saat saya berikan prosedur keamanan, malah protes, katanya malah bikin ribet.."


Wew.. ^^ Sepertinya kesadaran tentang keamanan masih perlu ditingkatkan. kalau tidak, maka jangan protes jika ada script kiddie yang bermain-main di area Admin dan berbuat kekacauan

Hal yang sama terjadi pada Sistem Informasi yang digunakan. Banyak sekali account dengan password yang sangat tidak secure. Padahal pekerjaan yang dilakukan berbulan-bulan bisa hilang dalam sekejap dan berantakan jika ada orang jahat yang mengacak-acak data didalamnya.

Perlu Anda ketahui, penggunaan password ini juga sudah ada dalam pedoman keamanan. Tapi, sebagian besar user mengabaikan hal ini. Januari kemarin, saya menemukan adanya website instansi pemerintah yang menggunakan username admin dengan password admin

Webmail

Webmail pemerintah masih menjadi sasaran empuk. Masih banyak yang menggunakan Squirrelmail kendati sudah lama sekali banyak isu keamanan pada squirrelmail.


Artikel tersebut memaparkan kelamahan Squirrelmail yang memungkinkan Attacker untuk menghapus seluruh isi email target secara diam-diam. Bagaimana dengan account emailnya? sama saja, banyak yang username dan passwordnya sama T_T

File-File Backup & SQL Dump

Ini merupakan kesalahan developer. Banyak developer yang lalai meninggalkan Sql Dump di directory terbuka yang mudah di crawling oleh mesin pencari sehingga Attacker dengan mudah memanfaatkan Google untuk menemukan file-file yang berisi info sensitif tersebut (username, password, etc..). Sudah semestinya file-file yang tidak dibutuhkan dihapus dari server sebelum web dipublikasikan.

Tidak sedikit Admin yang masih bingung apa yang harus dilakukan jika data-data sensitifnya terlanjur di crawling Google. kendati data tersebut sudah dihapus dari server, Attacker masih bisa melihat sisinya melalui tembolok (cache) yang dimiliki Google. Anda salah satunya? Saya telah membahas solusinya pada 2005 silam:

Parahnya lagi, saya pernah menemukan account ftp dan pengaturan DNS yang disimpan dalam file .txt tercrawling oleh Google.. ck..ck..ck..

Hmm.. jika diperhatikan lagi point-point diatas, sepertinya tidak ada suatu hal yang terlalu special. semua adalah kelemahan lama, sudah sering dibahas dimana-mana dan tidak sedikit yang sudah tau antisipasinya. Namun.. kenapa level keamanan web-web pemerintah kita masih rendah dan rentan terhadap serangan? Tanya kenapa.. ^^

----------------------- //Attachment

PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA
NOMOR:

TENTANG PEDOMAN SISTEM KEAMANAN WEB SERVER UNTUK INSTANSI PEMERINTAH

MENTERI KOMUNIKASI DAN INFORMATIKA,
Menimbang:

  1. Bahwa serangan terhadap situs pemerintah telah mengakibatkan permasalahan terlanggarnya hak publik untuk memperoleh informasi sebagaimana mestinya, atau dengan kata lain telah melanggar Hak Warga Negara yang telah dijamin oleh Konstitusi untuk memperoleh informasi dari semua saluran komunikasi yang tersedia tak terkecuali sarana komunikasi yang disediakan oleh pemerintah;
  2. Bahwa selain karena serangan yang terjadi, salah satu kontribusi kesalahan juga datang dari Penyelenggara Negara yang tidak memperhatikan sisi keamanan dengan baik dan/atau lalai menjalankan kewajiban kehati-hatiannya dalam menjaga konfigurasi sistem dengan baik, khususnya karena kesalahan menkonfigurasi sistem dan kesalahan dalam mengimplementasikan sistem pengamanan terhadap webserver serta aplikasi web;
  3. bahwa berdasarkan pertimbangan tersebut pada butir-butir di atas perlu ditetapkan pokok-pokok pengaturan tentang pedoman pengembangan sistem keamanan terhadap web-server sistem informasi pemerintah.



Mengingat:

  1. UU No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik
  2. UU No.39 Tahun 1999 tentang Hak Azasi Manusia
  3. UU 28 Tahun 1999 tentang Penyelenggaraan Negara yang Bersih dan Bebas KKN
  4. UU No.7 Tahun 1971 tentang Kearsipan
  5. UU No.36 Tahun 1999 tentang Telekomunikasi
  6. Keputusan Presiden R.I. Nomor 101 Tahun 2001 tentang Kedudukan, Tugas, Fungsi, Kewenangan, Susunan Organisasi dan Tata Kerja Menteri Negara, sebagai-mana telah beberapa kali diubah, terakhir dengan Keputusan Presiden R.I. Nomor 47 Tahun 2003.
  7. Keputusan Presiden R.I. Nomor 228/M Tahun 2001 tentang Susunan Kabinet Gotong Royong.
  8. Instruksi Presiden R.I. Nomor 6 Tahun 2001 tentang Pengembangan dan Pendayagunaan Telematika di Indonesia.
  9. Instruksi Presiden R.I. Nomor 3 Tahun 2003 tentang Kebijakan dan Strategi Nasional Pengembangan e-Government.
  10. Peraturan Menteri Komunikasi dan Informatika No. 28 Tahun 2006 tentang Penggunaan Nama Domain go.id Untuk Situs Web Resmi Pemerintah Pusat dan Daerah.


MEMUTUSKAN

Menetapkan: PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA TENTANG PEDOMAN SISTEM KEAMANAN WEB-SERVER PADA INSTANSI PEMERINTAH

PERTAMA: Bahwa dalam rangka melindungi HAM tersebut dan melayani publik, maka situs pemerintah haruslah dihargai dan diberikan perlindungan, khususnya terhadap otentisitas, keutuhan, dan ketersediaan Informasi demi kepentingan publik itu sendiri, sehingga diperlukanlah upaya untuk melindungi situs pemerintah dari segala tindakan tersebut.


KEDUA: Bahwa keamanan atas situs pemerintah haruslah terjaga dengan baik demi akuntabilitas dan kepercayaan publik terhadap substansi informasi yang disediakan, dan telah menimbulkan permasalahan yang serius jika tampilan situs dirusak, layanan publik terhenti dan informasi yang bersifat sensitif jatuh ketangan pihak yang salah.
KETIGA: Sistem Informasi berikut sistem keamanan yang baik adalah sistem yang dapat memberikan kejelasan informasi bagi penyelenggara dan pengguna, tidak membuat ketertantungan terhadap penggunaan jenis teknologi tertentu, serta dapat memberikan kemandirian bagi penyelenggara negara untuk mengembangkan sendiri lebih lanjut sistem tersebut sesuai dengan perkembangan organisasi penyelenggara negara dari waktu ke waktu;

KEEMPAT: Keamanan terhadap situs informasi dan web-server harus dirumuskan dalam satu kebijakan internal dalam setiap instansi pemerintah yang memuat kejelasan proses pengembangan dan pengimplementasian sistem informasi yang mencakup kejelasan rancangan dan penerapan serta pengoperasiannya serta telah memperhitungkan insiden ataupun kejadian-kejadian tak tentu yang tidak dikehendaki.

KELIMA: Untuk penyelenggaraan yang baik maka Penyelenggara Negara yang bertanggung jawab terhadap Penyelenggaraan Informasi (Chief Information Officer) yang berkewajiban menyelenggarakan keterbukaan informasi publik mempunyai kewajiban kehatian-hatian (duty of care) terhadap penyediaan atau penyajian informasi kepada publik. Tim pengelola situs pemerintah (Web management teams) harus berkonsultasi dengan instansi yang terkait dalam menentukan kebijakan keamanannya.

KEENAM: Jika situs resmi pemerintah dikelola oleh pihak ketiga (Internet Service Provider (ISP)/hosting service), Penyelenggara Negara harus menjalankan Sistem Manajemen Keamanan Informasi dan mengikat secara kontraktual pihak ketiga dan menyediakan pengamanan terhadap webserver serta infrastruktur terkait sesuai dengan tingkat yang ditentukan. Standar umum tentang sistem keamanan untuk situs non pemerintah pada umumnya (contoh antara lain kelompok ISO 27000 atau yang setara) dapat digunakan sebagai acuan untuk pengembangan dan pengelolaan untuk situs pemerintah.


KETUJUH: Peraturan ini mulai berlaku sejak pada tanggal ditetapkan.

Ditetapkan di : Jakarta
Pada tanggal :

MENTERI KOMUNIKASI DAN INFORMATIKA

Mohammad Nuh.


Lampiran:
A. Ketentuan Umum dan Pengertian

  1. Internet adalah adalah sistem informasi dan/atau sistem komunikasi elektronik global yang merupakan penjumlahan jaringan sistem komputer global berbasiskan protokol komunikasi TCP/IP dan pemanfaatan jaringan telekomunikasi.
  2. Informasi Elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, Kode Akses, simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya.
  3. Situs Web adalah serangkaian atau sekumpulan informasi elektronik yang ditempatkan dalam Web-server dan dapat digunakan oleh Pengguna Jaringan berdasarkan Services yang disediakan dan ditentukan oleh Administrator.
  4. Administrator adalah pihak yang mempunyai hak dan kewenangan serta bertanggung jawab mengurusi kelancaran penyelenggaraan sistem elektronik.
  5. Pengguna adalah setiap orang yang mengakses suatu situs web untuk memperoleh informasi sebagaimana yang disediakan sebagaimana mestinya.
  6. Sistem Komputer adalah serangkaian perangkat keras elektronik yang terkoneksi atau terkait satu sama lain, yang bekerja sesuai Program Komputer untuk melakukan otomasi pengolahan data dan/atau informasi tertentu.
  7. Program Komputer adalah serangkaian instruksi, pesan, karakter, kode-kode atau dalam bentuk apapun yang ditujukan kepada perangkat keras komputer dan/atau sistem Elektronik untuk melakukan fungsi tertentu.
  8. Microcode/Firmware adalah program komputer yang tersimpan secara permanen dalam mikroprosesor sebagai rangkaian insruksi pertama dijalankan pada saat komputer dijalankan.
  9. Sistem Operasi adalah program komputer untuk mempersiapkan perangkat-perangkat teknis sebelum komputer menjalankan Program Aplikasi tertentu
  10. Program Aplikasi adalah program komputer yang dirancang untuk menjalankan suatu aplikasi tertentu
  11. Services adalah layanan-layanan sistem elektronik yang disediakan oleh Web-server
  12. Patches adalah paket program komputer tambahan yang menutupi beberapa kekurangan atau kebolongan dalam sistem pengaman dari Vendor program komputer
  13. Vendor adalah produsen perangkat program komputer
  14. Script adalah program komputer yang berfungsi sebagai penyempurna tampilan layanan
  15. Web-server adalah suatu program aplikasi yang ditujukan agar suatu server yang menerima dan menangani permintaan web-browser dari pengguna dalam protocol HTTP dan HTTPS yang memberikan respon berupa pengiriman informasi kepada web-browser
  16. Web-browser adalah program komputer yang digunakan sebagai penelusur informasi yang digunakan oleh pengguna Internet untuk memperoleh informasi dari suatu Situs Web yang disediakan oleh Web-server
  17. Sistem Informasi adalah penerapan teknologi informasi sesuai dengan karakteristik organisasi dan manajemen tertentu yang berfungsi untuk memperoleh, memasukkan, mengolah, menyimpan, mengirimkan, menyampaikan, atau mengkomunikasikan data dan/atau informasi, dan meliputi keterpaduan komponen-komponen; perangkat keras komputer, program komputer, data komputer, data komunikasi, prosedur-prosedur, sumber daya manusia, dan peralatan-peralatan pelengkap lain yang digunakan.
  18. Sistem Informasi Pemerintah adalah Sistem Informasi yang digunakan untuk mendukung sistem administrasi pemerintahan.
  19. Log adalah program komputer untuk melakukan fungsi pencatatan dan monitoring terhadap akses kedalam jaringan dan segala macam tindakan yang dilakukan dalam melakukan akses tersebut.
  20. Data Komunikasi (traffic data) adalah setiap macam jenis data yang terkait yang dikomunikasikan melalui sistem komunikasi dan/atau sistem komputer seperti antara lain informasi yang mengindikasikan pengiriman informasi asal, tujuan, rute, waktu, tanggal, ukuran, jangka waktu dan jenis pelayanan yang digunakan.
  21. Pemerintah adalah Pemerintah Pusat dan Pemerintah Daerah
  22. Penyelenggara Negara adalah adalah Pejabat Negara yang menjalankan fungsi eksekutif, legislatif, atau yudikatif, dan pejabat lain yang fungsi dan tugas pokoknya berkaitan dengan penyelenggaraan negara sesuai dengan ketentuan peraturan perundangundangan yang berlaku.
  23. Sistem Keamanan (security sistem) adalah serangkaian sistem keamanan Sistem Informasi yang berfungsi untuk membatasi dan/atau melarang akses kedalam sistem informasi sesuai klasifikasi ataupun kategorisasi kewenangan tertentu dengan berdasarkan identifikasi pengguna tertentu.
  24. Insiden adalah segala sesuatu kejadian yang mengakibatkan terbukanya kerentanan sistem bagi pihak-pihak yang mengakses sistem secara melawan hukum, meliputi namun tidak terbatas pada (i) akses illegal, (ii) intersepsi illegal, (iii) interferensi data, (iv) inferensi sistem, (v) penyalahgunaan perangkat, dan tindakan-tindakan lain yang bersifat melawan hukum.


B. Prinsip-prinsip Pengembangan dan Keamanan Situs Web

  1. Dalam pengembangan suatu situs informasi, Administrator harus memperhatikan prinsip tata kelola teknologi informasi yang baik (IT governance) untuk layanan informasi publik dengan memperhatikan ketersediaan, keutuhan dan kerahasiaan data.
  2. Dalam proses pengembangan dan pengoperasian Situs, Penyelenggara Negara harus memperhatikan aspek teknis, organisasi dan manajemen serta ketentuan hukum yang berlaku
  3. Secara teknis pengembangan akan melibatkan pihak internal Web-admin, programmer, supervisor, dan pengguna.
  4. Dalam proses pendaftaran nama domain harus menggunakan Country Code Top Level Domain Indonesia (.id), sesuai dengan ketentuan yang berlaku pada penggunaan nama domain untuk instansi pemerintah.
  5. Alamat email yang tercatat pada sistem pendaftaran nama domain harus atas nama orang yang bertanggung jawab secara ex-officio dan/atau bertindak untuk dan atas nama secara institusional terhadap penyelenggaraan Situs Web.
  6. Dalam hal situs web adalah situs dari sistem informasi pemerintah, maka Administrator adalah penyelenggara Negara yang mempunyai Tugas Pokok dan Fungsi serta kewenangan untuk itu.
  7. Dalam hal situs web adalah Sistem Informasi Pemerintah sebagai sarana penyelenggaraan layanan publik, maka situs tersebut adalah sarana umum yang berfungsi sebagaimana layaknya maklumat pemerintah kepada publik dan setiap perbuatan yang mengganggu dan/atau mengakibatkan sistem menjadi tidak berfungsi sebagaimana mestinya adalah suatu tindak pidana berdasar ketentuan pidana yang berlaku.


C. Kebijakan Sistem Keamanan (Security policy)

  1. Penyelenggara Negara harus menetapkan dan menerbitkan kebijakan sistem keamanan sesuai karakteristik organisasi dan manajemen yang berlaku, dan harus mempunyai program sosialisasi untuk kejelasan informasi itu kepada pengguna, serta menjamin penerapan pelaksanaan kepatuhannya.
  2. Kebijakan Keamanan (Security Policy) mengacu pada sistem manajemen keamanan informasi yang substansinya antara lain sebagai berikut:

a. Menjelaskan fungsi dan peranan serta tanggung jawab Pihak Ketiga yang terkait dengan keberadaan Situs-Web.
b. Menjelaskan bagaimana kebijakan sistem keamanan tersebut;
c. Menjelaskan bagaimana Pengorganisasian Sistem Keamanan;
d. Memperhitungkan dengan seksama resiko (risk assessment) dan mengenali kelemahan atau kerentanan terhadap penyelenggaraan Situs Web;
e. Menjelaskan bagaimana melakukan pengelolaan/Manajemen Aset dengan memperhatikan informasi dan perangkat pengolah informasi sebagai asset yang sangat berharga dan sepatutnya diperhitungkan dengan baik;
f. Menjelaskan keamanan personal terhadap Sumber Daya Manusia yang digunakan dengan memperhitungkan reputasi baik serta informasi detil personal data yang bersangkutan dan pendistribusian tanggung jawab serta kapabilitasnya dan kemampuan tanggapan terhadap insiden keamanan;
g. Menjelaskan program kewaspadaan terhadap Sistem Keamanan;
h. Kejelasan prosedur ataupun aturan terhadap kewenangan mengakses;
i. Kejelasan prosedur ataupun aturan sehubungan dengan kewajiban menjaga data pribadi konsumen/pengguna sistem;
j. Kejelasan prosedur ataupun aturan untuk pembuatan dan penggunaan kode kunci pengakses (password) .


D. Manajemen Keamanan Situs Web

Manajemen Keamanan Situs Web adalah serangkaian tindakan pengamanan termasuk namun tidak terbatas pada pembuatan atau penetapan prosedur-prosedur penggunaan/akses bagi staf atau kontraktor dalam rangka meminimalkan resiko keamanan, antara lain:

a. Menjamin keutuhan dan ketersediaan konten dan infrastruktur
b. Menjamin pengoperasian yang benar dan aman atas Situs Web, seperti kendali/kontrol atas server dan tidak meninggalkan sistem manajemen konten dalam keadaan tidak terjaga;
c. Menjamin perlindungan keutuhan informasi elektronik dan program komputer yang digunakan;
d. Mencegah kerusakan aset dan terhentinya aktifitas bisnis dan manajemen organisasi;
e. Melindungi keutuhan dan kerahasiaan data/informasi baik yang dikirimkan via situs maupun yang tersimpan dalam infrastruktur Situs Web.


E. Standar Sistem Keamanan

1) Keberadaan sistem keamanan setidaknya memperhatikan beberapa aspek antara lain sebagai berikut;
a) Aspek Fisik dan Lingkungan Keamanan, yang mencakup proteksi perangkat dan informasi dari kerusakan fisik dengan cara mengontrol akses terhadap informasi dan perangkat, termasuk penentuan lokasi dan pengenalan siapa saja yang terkoneksi kedalam sistem.
b) Aspek Manajemen Operasi dan Komunikasi serta Manajemen Keberlanjutan Bisnis yang meliputi antara lain: (i) manajemen/tata kelola yang semestinya dan pengoperasian yang aman terhadap fasilitas pengolahan informasi selama dilakukannya kegiatan harian dan menjaga sedapat mungkin agar aktivitas bisnis atau penyelenggaraan layanan publik tidak terhenti sekiranya terjadinya gangguan atau kerusakan terhadap sistem. (ii) Pembagian dan/atau pemisahan tugas dan kewenangan, dan (iii) Pemantau ketersediaan baik performa maupun kapasitasnya, serta keakuratan dan kemutakhiran data, dan kerahasiaannya.
c) Aspek Teknis: Standar teknis keamanan paling tidak memperhatikan 3 tingkatan pertahanan yakni: (i) Tingkatan Sistem Operasi (OS Level); (ii) Tingkatan Web Server, (iii) Tingkatan Aplikasi Web (Web Aplication Level).
d) Aspek Legal: Desain dan Penyelenggaraan Situs Web serta pengadaan komponen-komponen dari Situs Web harus diperoleh dan diselenggarakan secara sah.. Para Administrator atau Penyelenggara Situs Web diharapkan berkonsultasi dan/atau berkoordinasi dengan ahli hukum baik inhouse ataupun professional untuk meminta opini hukum agar penyimpanan informasi yang sensitif dan data personal milik seseorang tidak salah secara hukum. Pada prinsipnya hukum melindungi kerahasiaan informasi yang sensitif dan informasi individual, yang mencakup tidak hanya tindakan perolehan dan penggunaan saja melainkan juga bagaimana kewajiban standar penyimpanan ataupun pengumuman informasi kepada pihak ketiga. Pada intinya, hukum akan melihat apakah perolehan informasi telah dilakukan secara sah (lawful obtained) dan penanganannya sebagaimana-mestinya (treated fairly). Terhadap perolehan dan penggunaan data personal yang tidak sebagaimana mestinya akan menuai gugatan si pemilik
informasi dan kemungkinan ancaman pidana.

2) Akses Kontrol: Mengendalikan akses kedalam informasi dan sistem informasi berdasarkan kebutuhan aktifitas bisnis dan keamanan, menentukan siapa-siapa saja yang berhak mengakses (3rd party, sys admin, content author), dan Proses Pemantauan dan Pengkajian Kembali terhadap Akses secara berkala.

3) Keamanan situs ditentukan oleh konfigurasi yang benar dan aman, antara lain sebagai berikut:
i. Penentuan Aplikasi web server yang sesuai dengan interoprabilitas atau kompatibilitas sistem yang telah ada;
ii. Penentuan Sistem operasi komputer dari web server;
iii. Penataan Jaringan Komputer Lokal dari web server;
iv. Sistem aplikasi pendukung yang berada di dalam web server (‘Back end’);
v. Otorisasi nama domain dari jaringan web server;
vi. Kendali akses jarak jauh terhadap web-server (Remote web server) seperti penggunaan FTP dan server extensions lainnya;
vii. Keamanan fisik dan personel;
viii. Verifikasi regular terhadap kehandalan sistem.



F. Beberapa Langkah-langkah Pelengkap Keamanan Yang Direkomendasikan

a. Pada dasarnya setiap program komputer menyimpan potensi kesalahan pemrograman (bug) yang baru akan diketahui dibelakang hari. Umumnya setiap vendor akan selalu memperbaiki sistemnya berdasarkan komentar dan/atau temuan permasalahan dari penggunanya dan mereka telah mempersiapkan paket-paket program yang menyempurnakan kelemahan tersebut (patches). Upayakan untuk selalu mengupdate paket-paket perbaikan tersebut secara berkala, ikuti cara instalasinya dan perhatikan baik-baik kelemahan apa yang telah ditutup dengan keberadaan paket tersebut.
b. Pada saat melakukan konfigurasi pada web server, yakinkan bahwa pengaturan terhadap kendali akses (akses kontrols) telah disiapkan secara baik untuk semua direktori termasuk root direktori dari web, antara lain sebagai berikut;
i. Pastikan bahwa struktur direktori web hanya dapat dimodifikasi oleh web-server administrator
ii. Akses kepada halaman web hanya diperkenankan untuk membaca informasi sebagaimana adanya, meskipun pengguna web mungkin akan meminta izin untuk memasukkan scripts atau program agar informasi yang dimintanya menjadi lebih dinamis
iii. Pengguna Web tidak dapat melihat daftar direktori dalam web-server
iv. Jangan berikan akses bagi pengguna untuk melihat konfigurasi file dalam web-server
v. Tidak ada level yang lebih tinggi dari administrator dan tidak ada struktur direktori diatas root dalam struktur direktori dari web-server
vi. Hindarkan semua konten yang tidak perlu, dan jangan aktifkan program atau mekanisme yang tidak diperlukan
vii. Hapus semua halaman yang salah karena akan menampilkan informasi yang tidak patut
c. Terkait dengan akses kontrol dan privilege, jangan buat akses kontrol melebihi kewenangan atau hak privilege kepada pengguna web karena akan dapat disalahgunakan.

d. Terkait dengan sistem pencatatan akses (Logging), perlu diperhatikan sebagai berikut:
i. Aktifkan sistem pencatatan kegiatan akses (log) pada web-server yang dapat melihat aktivitas-aktivitas yang dilakukan pengguna dan melihat upaya-upaya untuk menjalan suatu script yang tidak ada pada web-server. Log harus dapat menampilkan informasi tentang koneksi yang dilakukan kepada web-server, kewenangan pengguna, tampilan pesan kesalahan, dan informasi yang lain yang dapat dipergunakan untuk melakukan penelusuran sekiranya terjadi akses illegal.
ii. Logs harus secara otomatis menyimpan dan mengupdate datanya dan mengirimkan data tersebut kepada central management server. Hal ini dapat membuat tambahan pekerjaan bagi para penyelusup untuk menghilangkan data tersebut pada lokal log files.
iii. Sistem pencatatan akses akan lebih baik jika dilengkapi sistem pendeteksi gangguan penyusupan (Intrusion Detection Sistem).

e. Intrusion Prevention Sistem
Untuk mencegah gangguan terhadap web server, dapat digunakan perangkat tambahan antara lain sebagai berikut :
- Firewall
- IPS (Intrusion Prevention System)
- Web aplication firewall
- Digital Certificate

f. Terkait dengan Scripts and fungsi ekstensi Server, perlu diperhatikan beberapa langkah berikut:
i. Hapus semua contoh scripts yang terpasang pada server;
ii. Non-aktifkan semua fitur tambahan yang mengakibatkan suatu script dapat dijalankan kecuali apabila hal tersebut memang dibutuhkan
iii. Jangan menggunakan perintah level sistem operasi pada webserver ;
iv. Periksa semua script yang digunakan pada web-server, pastikan bahwa input hanya untuk tipe yang diharapkan dan panjang data yang sesuai, selain itu hanya menampilkan pesan error. Harus juga diperhatikan bahwa spesial karakter dan nilai kosong diperlakukan secara layak. Jangan dimungkinkan pengguna dapat keluar dari perintah dalam level sistem operasi shell.
v. Sebaiknya simpan semua scripts dalam direktori yang sama dan jangan diperkenankan untuk menjalankan script yang berada di luar direktori ini.



G. Beberapa Langkah-Langkah Umum Yang Dapat Direkomendasikan

1) Buat dan tetapkan kebijakan pengamanan dengan jelas
2) Sebaiknya gunakan satu komputer khusus untuk setiap fungsi server secara spesifik dan dedicated (contoh: account server, web-server, database-server, email server, dll.) dan tempatkan pada wilayah yang aman (contoh: Demilitered Zone/DMZ ).
3) Lakukan konfigurasi sistem jaringan dengan benar dan aman.
4) Mutakhirkan sistem operasi dan komponen-komponennya secara berkala sesuai jaminan dukungan produk (support product) dari vendor dan senantiasa melakukan instalasi program pelengkap terakhir
5) Membersihkan informasi-informasi yang merupakan sampah dan/atau informasi yang sudah melampaui masa retensi
6) Membuat sistem pengaman (firewall) untuk jaringan komputer, dan Intrusion Prevention Sistem (IPS), Web Application Firewall.
7) Pembatasan script yang dapat ditampilkan pada program penelusur (browser)
8) Lakukan pendidikan dan pelatihan kepada staf yang ditugaskan dan bertanggung jawab
9) Membagi tugas-tugas pekerjaan dari beberapa server
10) Membuat sistem pencatatan pengaman (log files) agar dapat mendeteksi penyusupan
11) Menjaga keotentikan data
12) Menjaga asset dan manajemen
13) Menjaga kelancaran aktifitas layanan publik meskipun sistem tidak berfungsi (down)
14) Mengingatkan pengguna untuk minimum menggunakan 6 alphanumeric sebagai password dan diubah secara berkala
15) Pastikan hanya orang-orang tertentu sesuai dengan kewenangannya yang dapat mengakses server dan mereka memiliki privilege yang penting untuk menjalankan tugas-tugas mereka
16) Tempatkan pengaman (firewall) diantara web server dengan Internet untuk memblokade traffic yang tidak diharapkan
17) Pantau terus security bulletins yang terkait dengan Sistem Operasi yang anda gunakan
18) Pastikan anda telah mengklasifikasi informasi yang sensitif untuk organisasi anda dan buatlah bahwa informasi tersebut tetap tidak akan tertampil meskipun ada kesalahan ataupun kegagalan sistem.
19) Kunci nama domain untuk mencegah pembajakan nama domain oleh pihak ketiga
20) Gunakan server yang terpisah dalam menjalankan HTTPS protokol dimana informasi personal ditransmisikan dan yakinkan bahwa nama server sesuai dengan sertifika SSL yang digunakan
21) Implementasikan sistem pendeteksi penyusupan (intrusion detection sistem) yang secara aktif memonitor setiap tindakan penggunaan dan mengidentifikasi upaya-upaya penerobosan sistem keamanan.
22) Lindungi semua potensi atau celah kelemahan sistem dengan cara meng-update paket antivirus yang anda gunakan secara berkala.
23) Gunakan fitur image confirmation untuk melengkapi kode akses guna menghindari upaya penelusuran password.


H. Beberapa Langkah Penanganan Jika Terjadi Insiden:

1) Tetapkan rencana penanganan insiden (Incident Response Plan) termasuk proses identifikasi dan manajemen insiden, analisa anomalies dan pengevaluasian semua status insiden.
2) Periksa efektifitas dan validitas rancangan tersebut serta hasil evaluasi kerentanan sistem terakhir berikut test penetrasinya.
3) Tangani situasi keamanan dengan baik dengan memperhatikan penanganan yang cepat dan tetap selalu mengupayakan langkah preventif terhadap potensi kerusakan berikutnya. Amankan informasi elektronik yang ada berikut bukti-bukti digital lainnya demi kepentingan pembuktian secara hukum
4) Upayakan agar aktifitas bisnis, organisasi dan manajemen tetap berjalan sebagaimana mestinya selama masa penanganan.
5) Laporkan dan/atau koordinasikan kejadian tersebut dengan instansi yang terkait baik internal organisasi maupun eksternal organisasi dan lakukan langkah tindakan hukum (legal action) sekiranya diperlukan. Jangan lakukan kompromi atau peringatan kepada pelaku meskipun anda mengetahuinya dan mengenalinya.
6) Evaluasi dan perbaiki kerentanan sistem yang terjadi.
7) Biarkan proses penegakan hukum berjalan sebagaimana mestinya dan hindari pemberian informasi ataupun opini kepada media masa untuk mencegah miskomunikasi kepada publik.

Penutup
Peraturan Menteri ini berlaku semenjak tanggal ditetapkan dan berfungsi sebagai pedoman bagi penyelenggara negara untuk dapat melakukan pengembangan sistem informasi yang baik agar tidak bersifat melawan hukum baik secara formil maupun materil. Sekiranya terdapat kekurangan ataupun kesalahan yang terjadi dalam Peraturan Menteri ini akan diperbaiki lebih lanjut.

Ditetapkan di : Jakarta
Pada tanggal :

MENTERI KOMUNIKASI DAN INFORMATIKA
ttd
Mohammad Nuh


sumber: http://komunitastekajepekalongan.co.cc

Posted in:

0 komentar:

Posting Komentar

Twitter Delicious Facebook Digg Stumbleupon Favorites More