1
Digital Artifacts in our daily lives
• Mesin ATM
• Handphone
• Digital camera
• Komputer
• Notebook
• Tablet
2014 IT trends 1
Security Awareness Security Awareness 2
• Sudah merasuk dalam kehidupan kita sehari-hari – Handphone: telepon, SMS, WhatsApp, …
– Transaksi perbankan: ATM, internet banking, SMS banking, mobile banking, …
– Internet: email, web, …
– Transaksi saham
Pemanfaatan IT
Security Awareness Security Awareness 3
• Otomatisasi & mempercepat proses
• Menurunkan biaya
• Meningkatkan user experience
• Mendekatkan pengguna – Customer / user support
– Feedback dari pengguna
– Penggunaan media sosial (facebook, twitter) untuk berbagai interaksi
• Tanpa IT akan kalah
IT in Business
Security Awareness Security Awareness 4
Social Network
Misanthropes and anti-socials:
privacy vs. security in social networks
Mobile Devices
Mobile devices compromise data security
Integrated application on mobile devices
Cloud/Physical/Disaster
Data security goes to the cloud
File security takes center stage
Top 3 Hot Issues (2011 - 2015)
Security Awareness Security Awareness 5
• Pencurian identitas
• Pencemaran nama baik – Komentar terhadap layanan, keluhan, dsb
• Bullying model baru
• Integrasi antara social network (dan aplikasi) – Facebook, Twitter, Instagram
– Pembocoran aktivitas tanpa sadar
• Social media, antara area publik vs area pribadi
Social Network
Security Awareness Security Awareness 6
• Masih terus bertambah – 55M internet users diIndonesia in 2011, naik 22%
dari 2008 (2012 Internet Trends — Kleiner Perkins Caufield Byers)
– 2009, Indonesia bahkan tidak ada di daftar pengguna twitter, sekarang mendominasi
• Jakarta #1
• Bandung #6
Media Sosial Indonesia
Security Awareness Security Awareness 7
• Berkembangnya sistem operasi open source (Android)
• Terhubung ke Internet 24 jam
• Kamera dengan resolusi tinggi
• Media penyimpanan yang besar (8GB – 64GB)
• Dimensi yang semakin mengecil
• Aplikasi perusahaan + data penting diakses dan disimpan dalam perangkat ini
• Rentan terhadap pencurian (kebocoran data)
Mobile Devices
Security Awareness Security Awareness 8
• Security and privacy – Bersangkutan dengan perlindungan data, integritas operasional,
kelemahan management, kelangsungan bisnis (BC), perbaikan dari bencana, dan pengelolaan identitas
• Compliance – User yang memiliki kebutuhan pemenuhan yang harus dimengerti
apa dan bagaimana, menggunakan cloud service yang dapat berpengaruh terhadap pencapaian tujuan
• Legal and contractual issues – Kepemilikan aset/liabilitas dan intelektual adalah sebagian kecil dari
isu hukum yang harus dipertimbangkan
– Liabilitas tidak selalu clear-cut ketika berubah menjadi cloud service
Security Issues for Cloud Computing (versi Forrester)
Security Awareness Security Awareness 9
• Survey di perusahaan: hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting.
• Kesadaran akan masalah keamanan masih rendah!
• Bagaimana untuk meyakinkan management untuk melakukan investasi di bidang keamanan?
• Membutuhkan justifikasi perlunya investasi infrastruktur keamanan
Justifikasi Investasi Security
Security Awareness Security Awareness 10
Rendahnya Kesadaran Keamanan (Lack of Security Awarenes)
Management: “nyambung dulu (online dulu),
security belakangan” “Sekarang kan belum ada masalah!”
“Bagaimana ROI?” Praktisi:
“Pinjam password admin, dong”
Rendahnya kesadaran akan masalah keamanan!
Security Awareness Security Awareness 11
Rendahnya Kesadaran Keamanan (Lack of Security Awarenes)
Deloitte Global Security Survey 2004
Respondent
“Lack of internal security awareness is still one of our biggest threats.
Technology can reduce risks to a point, but it is people who are the weakest
link.”
Security Awareness Security Awareness 12
Security Incident Cost
Indonesia Server Down : untuk menghidupkan server kembali dibutuhkan dana sekitar 25 jt Kerugian yang mungkin dialami oleh perbankan sekitar 300 jt/down
Sumber: Tim Sharing Vision, 2003 (http://sharingvision.biz) information security breaches survey 2004 (PricewaterhouseCoopers)
Security Awareness Security Awareness 15
Pishing: personal information fishing
From: <[email protected]>
To: …
Subject: USBank.com Account Update URGEgb
Date: Thu, 13 May 2004 17:56:45 -0500
USBank.com
Dear US Bank Customer,
During our regular update and verification of the Internet Banking Accounts, we
could not verify your current information. Either your information has been
changed or incomplete, as a result your access to use our services has been
limited. Please update your information.
To update your account information and start using our services please click on
the link below:
http://www.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage
Note: Requests for information will be initiated by US Bank Business Development;
this process cannot be externally requested through Customer Support.
Security Awareness Security Awareness 16
• Email yang berisi sampah (umumnya iklan)
• Menghabiskan jaringan, disk, waktu pekerja
• Spam merugikan bisnis
Spam
Security Awareness Security Awareness 17
Type of Fraud Experienced During the Prior 12 Months (Percentages)
Fraud Type
Security Awareness Security Awareness 18
Terlupakan … Abuse dari dalam!
1999 Computer Security Institute (CSI) / FBI Computer Crime Survey menunjukkan bahwa “disgruntled worker” (orang dalam) merupakan
potensi attack / abuse. http://www.gocsi.com
Disgruntled workers 86% Independent hackers 74% US competitors 53% Foreign corporation 30% Foreign government 21%
Security Awareness Security Awareness 19
Serangan dari Dalam Karena Tidak Ada Policy
“Tujuh-puluh sembilan persen eksekutif senior terjebak dalam kesalahan berfikir bahwa ancaman terbesar terhadap
keamanan sistem berasal dari luar (eksternal)”
“Walaupun kebanyakan responden sudah memikirkan tentang hacker, kurangnya atau bahkan tidak adanya implementasi security policy dan kurangnya kesadaran karyawan adalah
ancaman terbesar bagi sistem online mereka”
KPMG
Security Awareness Security Awareness 20
• Virus masih tetap menjadi masalah nomor satu – Selalu ada virus baru yang muncul
– Bahkan virus lama pun (seperti conficker) masih sering muncul
– Ditambah dengan virus lokal
– Virus (malware) untuk cyberwar?
• Harus melakukan investasi di anti virus (plus anti virus lokal?)
Virus (Malware)
Security Awareness Security Awareness 21
• Stuxnet disebut-sebut para pakar keamanan sebagai bentuk senjata cyber yang menjadi sarana terorisme di dunia maya. Serangannya tidak hanya mencuri informasi di komputer korban, namun mengambil alih sistem kontrol berbasis mesin
Stuxnet (dari berbagai sumber)
Negara Jumlah Komputer terinfeksi
Negara Jumlah Komputer terinfeksi
Iran dengan, 62.867 Indonesia 13.336
Amerika Serikat 2.913 Australia 2.436
India 6.552 Malaysia 1.013
Inggris dengan 1.038 Pakistan 993
Security Awareness Security Awareness 22
• Belum diketahui siapa di balik stuxnet
• Menyerang Windows dan Turunannya
• Menyebar melalui USB Thumb Drive
• Virus menyerang sistem kontrol industri, dapat digunakan untuk mata-mata atau sabotase
Stuxnet (dari berbagai sumber) 2
Security Awareness Security Awareness 24
• License issuance still idled By Robert Barba Denver Post Staff Writer Friday, September 24, 2004, Denver, CO
• State driver's licenses and identification cards won't be issued again today, inconveniencing thousands of Coloradans for a second straight day. An unidentified computer virus forced the Colorado Department of Revenue to close the system at 2:30 p.m. Friday, and it hasn't been up since, said Diane Reimer, a spokeswoman for the department's Motor Vehicle Business Group. "Somebody felt there wasn't something quite right," she said. "We want to make sure that we are doing everything that we should be doing to keep it secure.“ No personal data is believed to have been lost, Reimer said. A team of staffers has been working since Friday to fix the problem. Reimer said she was optimistic that license and ID card issuance would resume Wednesday. Customers have been sympathetic, she said. "People understand that we are living in a computer world," Reimer said. The problem could affect more than 10,000 Coloradans if it persists through today. The virus has not affected other government agencies, and written and driving tests are still being administered, Reimer said.
Contoh Akibat Virus
Security Awareness Security Awareness 26
Website Sistem Akademik Universitas Gunadarma
Kasus peretasan terhadap Sistem
Akademik
19/10/2014 16.33 sumber: www.merdeka.com dan www.gunadarma.ac.id
Security Awareness Security Awareness 28
Website Presidensby (Defaced)
11/1/2013 sumber: Koran Pikiran Rakyat
Security Awareness Security Awareness 29
Website Pejabat Negara (Defaced)
12/11/2012 08.35 sumber: www.zone-h.org
Security Awareness Security Awareness 30
Website Bakrie Life (Defaced)
21/12/2011 15.22 sumber: Bakrie Life
Security Awareness Security Awareness 32
Website TV One Terkena Deface
08-03-2011, 09:23 PM sumber : kaskus
Security Awareness Security Awareness 43
Issues 2015 Dunia: Penyerangan Hacker, dan masih berlanjut
28/4/2015 sumber: http://industri.bisnis.com/
Security Awareness Security Awareness 44
Issues 2015 Dunia: Finansial, dan masih berlanjut
16/2/2015 sumber: http://www.tempo.co/
Security Awareness Security Awareness 45
Issues 2015 Dunia: Finansial, dan masih berlanjut
23/4/2015 sumber: http://www.antaranews.com/
Security Awareness Security Awareness 46
Issues 2014 Dunia: Finansial, dan masih berlanjut
20/10/2014 sumber: http://www.theguardian.com/uk
Security Awareness Security Awareness 47
Issues 2014 Indonesia: Finansial, dan masih berlanjut
29/10/2014 sumber: Kontan
Security Awareness Security Awareness 48
Issues 2014 Indonesia: Finansial, Sistem Transaksi Bermasalah
10/12/2014 sumber: http://m.bisnis.com/
Security Awareness Security Awareness 50
Issues 2013 Indonesia: Finansial, dan masih berlanjut
Kasus 2 Karyawan Bank Mandiri
meretas sistem dan gelapkan uang
Security Awareness Security Awareness 51
Issues 2013 Indonesia: Finansial, dan masih berlanjut
kasus malinda dee, citibank (2011), pembobolan dari
dalam, lebih dari 20 milyar rupiah
Security Awareness Security Awareness 52
Issues 2013 Indonesia: Finansial, dan masih berlanjut
22/03/2013 sumber: Kompas
Security Awareness Security Awareness 54
Rentang 2011
• BRI tamani square, sebesar Rp 29 M, melibatkan supervisor
• Pemberian kredit dengan dokumen fiktif BII cabang Pangeran Jayakarta, tersangka account officer, 3,6M
• Pencairan deposito bank mandiri 18M, customer service
• BNI, teleks palsu, BNI Depok, Wakil Pimpinan • Pencairan Deposito BPR Pundi Artha Sejahtera,
Dirut BPR, dua komisaris, komisaris utama, dan marketing
• Bank Danamon, menarik uang kas berulang dari cabang pembantu menara bank danamon, tersangkat mantan teller, 1,9 M dan 110 ribu USD
• Panin Bank, penggelapan dana nasabah oleh kepala operasional panin bank cabang metro sunter, 2,5 M
• Pembobolan oleh mantan relationship manager, citigold citibank, 4,5M
Security Awareness Security Awareness 61
• Mengubah bunga tabungan sebesar 2% selama beberapa hari. [Sumber: Bisnis Indonesia – 24 Januari 2005]
Bank Yang Nakal?
Security Awareness Security Awareness 63
Kejahatan ATM
Mesin ATM biasa? Perhatikan lebih baik: skimmer
Security Awareness Security Awareness 65
• Bagi Bank, ATM memiliki banyak masalah
– Mesin dicuri
– Uang dipancing
– Dipasangi alat
– Data disadap
– Prosedur lemah
– Nomor telepon bantuan palsu
• Tetapi ATM merupakan delivery channel yang paling disukai nasabah
Masalah Mesin ATM
Security Awareness Security Awareness 67
• Indonesia menempati urutan tinggi (dalam penyalahgunaan kartu kredit)
– No 1 dari segi persentase (dibandingkan dengan transaksi baik) – No 3 dari segi volume transaksi
• Modus: menggunakan nomor kartu kredit milik orang lain (umumnya orang asing) untuk membeli barang di Internet
• Ranking 1. Yogyakarta 2. Bandung
Sulit ditangani karena lemahnya hukum?
Carder
KARTU KREDIT INDONESIA DI-BANNED DI LUAR NEGERI, IP DIBATASI
Security Awareness Security Awareness 69
• Penipuan melalui SMS – Anda menang sebuah undian dan harus membayarkan pajaknya. Pajak
dapat dibayarkan melalui mesin ATM (transfer uang, atau dengan membeli voucher yang kemudian disebutkan nomornya).
– Mama minta pulsa, sedang di rumah sakit
• Banyak yang percaya dengan modus ini
• Social engineering
• Hipnotis?
Penipuan Lain
Security Awareness Security Awareness 70
• Sangat sulit mencapai 100% aman
• Ada timbal balik antara keamanan vs. kenyamanan (security vs. convenience)
– Semakin tidak aman, semakin nyaman
– Juga “security vs. performance”
• Definisi computer security: – “A computer is secure if you can depend on it and its software to
behave as you expect” (Garfinkel & Spafford)
Mungkinkah aman?
Security Awareness Security Awareness 71
• Aplikasi bisnis yang berbasis komputer / Internet meningkat – Internet mulai dibuka untuk publik tahun 1995
– Electronic commerce (e-commerce)
• Statistik e-commerce yang meningkat
• Semakin banyak yang terhubung ke jaringan (seperti Internet)
Peningkatan Kejahatan Komputer
Security Awareness Security Awareness 72
• Desentralisasi server
– Terkait dengan langkanya SDM yang handal
– Lebih banyak server yang harus ditangani dan butuh lebih banyak SDM dan tersebar di berbagai lokasi. Padahal susah mencari SDM
– Server remote seringkali tidak terurus
– Serangan terhadap server remote lebih susah ditangani (berebut akses dan bandwidth dengan penyerang)
Peningkatan Kejahatan Komputer
Security Awareness Security Awareness 73
• Transisi dari single vendor ke multi-vendor – (Terlalu) banyak jenis perangkat dari berbagai vendor yang
harus dipelajari.
– Contoh: • Router: Cisco, Juniper, Huawei, Bay Networks, Nortel, 3Com,
Linux-based router, …
• Server: Solaris, Windows NT/2000/Win7/2008, SCO UNIX, Linux, *BSD, AIX, HP-UX, …
– Sulit mendapatkan SDM yang mampu menguasai semua jenis perangkat.
Peningkatan Kejahatan Komputer
Security Awareness Security Awareness 74
• Pemakai makin melek teknologi dan kemudahan mendapatkan software
– Ada kesempatan untuk menjajal. Tinggal download software dari Internet. (Script kiddies)
– Zero-day exploit
– System administrator harus selangkah di depan.
Peningkatan Kejahatan Komputer
Security Awareness Security Awareness 77
• Kesulitan penegak hukum untuk mengejar kemajuan dunia telekomunikasi dan komputer.
– Cyberlaw (UU ITE) masih membutuhkan penyempurnaan
– Tingkat awareness masih belum menyebar secara merata
– Technical capability masih belum optimal
Peningkatan Kejahatan Komputer
Security Awareness Security Awareness 78
• Meningkatnya kompleksitas sistem (teknis & bisnis) – Program menjadi semakin besar.
• Megabytes. Gigabytes. Terrabytes. …
– Pola bisnis berubah: partners, alliance, inhouse development, outsource, …
– Jaringan semakin cepat
• 1999 – IIX ~7 Mbps
• 2004 – IIX ~1 Gbps
• 2009 – IIX ~11 Gbps
• 2010, 2011, 2012, …2016 akan semakin cepat
– Potensi lubang keamanan juga semakin besar.
Peningkatan Kejahatan Komputer
Security Awareness Security Awareness 79
Contoh peningkatkan kompleksitas
Operating System Year Lines of Codes
Windows 3.1 1990 3 million
Windows NT 1996 4 million
Windows 95 1997 15 million
Windows NT 4.0 1998 16.5 million
Windows 98 1999 18 million
Windows NT 5.0/2K beta 2000 20 million
Debian GNU/Linux 2.2 2000 55 million
Windows 2000 2001 35 million
Windows XP 2001 40 million
Red Hat 7.1 2001 30 million
Windows Vista (beta 2) 2007 50 million
…
Top Related