Materi Workshop Sistem Transaksi Elektronik, Keamanan Data & Informasi oleh Diskominfo Kota Malang, 21 Oktober 2014

1. SISTEM TRANSAKSI ELEKTRONIK
&
SISTEM KEAMANAN DATA, INFORMASI
Balai Kota Malang, 21 Oktober 2014

2. SISTEMSISTEM
TRANSAKSI
ELEKTRONIK

3. REAL SPACE vs CYBER SPACE

4. AMANAT PEMBENTUKAN PP

6. UU ITE :
Kepastian Hukum Alat Bukti Elektronik

7. Penyelenggaraan Sistem Elektronik

12. SISTEM KEAMANAN DATA &SISTEM KEAMANAN DATA &
INFORMASI

13. Penetrasi Internet
Pertumbuhan 90+ juta pengguna, 45+ juta pelajar, 135+ juta akses data selular, 270+ juta
nomor, 200 Gbps traffic IP transit local exchange (IX, OIXP, CDN), konten lokal tumbuh
100%
Always ON Lifestyle, 60+ juta pengguna media sosial, 30 juta pengunjung media daring,
10 juta penggemar games daring, 15 juta transaksi ebanking > transaksi ATM, omzet
transaksi daring lebih dari 100 triliun rupiah per tahun sejak 2010transaksi daring lebih dari 100 triliun rupiah per tahun sejak 2010
Deteksi sensor peringatan dini lebih dari 3 juta insiden, virus dan malware meningkat
hingga 1 juta kejadian, peretasan situs lebih 1400+ dan kerentanan 2400+ kasus per
bulan
Serangan terbesar: peretasan pangkalan data 900+K, malware CNC (bots) 800+K,
domain target .sch.id, .ac.id, .go.id
Target obyek: data bisnis, kerentanan aplikasi dan perangkat

14. Klasifikasi Informasi
SANGAT RAHASIA = dapat mengakibatkan kerusakan secara nasional
yang tidak dapat dipulihkan.Tidak dapat dibuka dengan alasan apapun
RAHASIA = dapat mengakibatkan kerusakan secara nasional, mungkin
bisa dipulihkan kembali (sebagian). Dapat dibuka setelah waktu tertentu
HANYA DIKETAHUI = dapat menimbulkan kerawanan nasional. DapatHANYA DIKETAHUI = dapat menimbulkan kerawanan nasional. Dapat
diketahui oleh kelompok tertentu dengan ijin.Tidak dapat diduplikasi
TERBATAS = dapat mengakibatkan dampak yang tak diinginkan. Dapat
dibuka untuk kelompok tertentu dengan ijin dan batasan penggunaan
TANPA KLASIFIKASI = dapat dibuka tanpa ijin dan batasan
penggunaan

15. Perlakuan Sesuai Klasifikasi
Label data: MERAH (Sangat Rahasia, Rahasia),
KUNING (Hanya Untuk Diketahui), HIJAU (Terbatas),
PUTIH (Bebas)
Protokol pertukaran dan pengamanan data sesuai label:Protokol pertukaran dan pengamanan data sesuai label:
Merah, dengan sandi dan ijin ganda, minimum DRC Tier-4
Kuning, dengan sandi dan ijin khusus, minimum DRC Tier-3
Hijau, dengan sandi dan ijin terbatas, minimum DRC Tier-2
Putih, tanpa persandian dan tanpa ijin, minimum cold DRC

16. DATA CENTER STANDAR --- TIA 942
LEVEL KETERANGAN
1
•Rentan terhadap gangguan dari kegiatan terencana dan tidak terencana
•Hanya mempunyai satu jalur distribusi untuk daya dan pendingin, tidak
mempunyai komponen redundant (N)
•Raised Floor, UPS atau generator bersifat optiona;
•Downtime tahunan sekitar 28,8 jam
•Harus dilakukan pemadaman secara keseluruhan pada saat melakukan•Harus dilakukan pemadaman secara keseluruhan pada saat melakukan
perawatan pencegahan.
2
•Sedikit rentan terhadap gangguan dari kegiatan terencana dan tidak terencana
•Hanya mempunyai satu jalur distribusi untuk daya dan pendingin, mempunyai
komponen redundant (N+1)
•Mempunyai raised floor, UPS dan generator
•Downtime tahunan sekitar 22 jam
•Membutuhkan processing downtime pada saat melakukan perawatan terhadap
jalur daya dan perangkat infrastruktur lainnya

17. DATA CENTER STANDAR – TIA 942
LEVEL KETERANGAN
3
•Memungkinkan kegiatan terencana tidak menganggu operasi komputer
hardware, tetapi kegiatan yang tidak terencana masih akan menyebabkan
gangguan
•Mempunyai beberapa jalur distribusi untuk daya dan pendingin tetapi hanya satu
jalur yang aktif, mempunyai komponen redundant (N+1)
•Downtime tahunan sekitar 1,6 jam•Downtime tahunan sekitar 1,6 jam
•Mempunyai raised floor, dan mempunyai kapasitas untuk menampung beban
dengan satu jalur pada saat jalur lain dilakukan perawatan.
4
•Kegiatan yang terencana tidak akan mengganggu operiasional dan data center
dapat mempertahankan setidaknya satu kegiatan buruk yang tidak terencana
tanpa menyebabkan dampak buruk terhadap operasi yang bersifat kritikal.
•Mempunyai beberapa jalur ditribusi untuk daya dan pendingin, dan mempunyai
komponen redundant (2(N+1))
•Downtime tahunan sekiar 0,4 jam

18. 5 elemen utama Data Center
Aplikasi
Database
Server & Os
Jaringan
Storage Array

19. Matriks Perlakuan Informasi
Encrypted
Dual Key
DRCT4
Encrypted
Single Key
DRCT3DRCT4 DRCT3
Encrypted
Limited Key
DRCT2
Encrypted
No Key
Cold DRC

20. Fitur Kriptografi
Mengubah informasi yang dapat digunakan menjadi bentuk yang tidak
dapat digunakan oleh orang lain selain pengguna yang berwenang; proses
ini disebut ENKRIPSI
Informasi terenkripsi dapat diubah kembali oleh pengguna yang
berwenang, menggunakan KUNCI KRIPTOGRAFI (dekripsi)
MELINDUNGI informasi dari pengungkapan yang tidak sah, disengaja,
sementara atau ketika dalam kondisi akses jarak jauh maupun manakala
dalam penyimpanan
Menyediakan aplikasi lain yang berguna: metode otentikasi yang lebih
baik, mencerna pesan, tanda tangan digital, non-penolakan dan
komunikasi jaringan terenkripsi

21. Fitur Otentikasi
Untuk MENGUJI kebenaran identitas seseorang dilakukan satu prosedur yang
disebut dengan OTENTIKASI berdasarkan:
Sesuatu yang diketahui: PIN, kata sandi, nama gadis ibu kandung
Sesuatu yang dimiliki: kartu identitas, kode token, nomor telepon
Sesuatu yang personal: biometrik (sidik jari, retina, suara)
SYARAT VALIDITAS otentikasi apabila memenuhi sedikitnya dua dari tiga jenis
pengenalan dimana yang terbaik/terkuat bila salah satunya adalah biometrik. Inilah
yang disebut dengan OTENTIKASI DUA FAKTOR (two factor authentication)
Identifikasi dan otentikasi adalah KUNCI PENGENDALIAN AKSES dimana
para pemilik aset informasi secara terpusat memiliki kekuasaan menentukan dan
mengatur hak akses sesuai fungsi

22. Fitur Otorisasi
Setelah seseorang, aplikasi, sistem, perangkat diidentifikasi melalui
proses otentikasi, maka ditentukan HAK untuk serta aktivitas apa
yang diijinkan (jalankan baca, tulis, hapus, ubah)
Hak otoritas akses diberikan melalui KEBIJAKAN DAN
PROSEDUR
Kebijakan menentukan BATASAN apa yang boleh diakses, oleh
siapa dan dalam kondisi bagaimana. Mekanisme pengendalian
kemudian ditetapkan melalui konfigurasi untuk memastikan semua
aturan main dipatuhi dan bagaimana perlindungannya

23. Fitur Keamanan OS
Semua sistem operasi terbaru memiliki fitur keamanan:
Manajemen pengguna dan hak akses
Enkripsi tingkat file, direktori, file system
Fitur keamanan di tingkat aplikasi: kata kunci dan
kompresi
Pengamanan pada tingkat perangkat fisik (terminal
access):
Kata kunci: PIN, password
Biometrik: sidik jari, retina

24. Pencadangan Dan Pemulihan
Solusi pencadangan selalu lebih murah dibanding
pemulihan
Dua cadangan tidak cukup, selalu gunakan tiga jenis
cadangan
Perangkat portabel eksternal untuk pencadangan harian
Pencadangan statis periodik pada tempat yang berbedaPencadangan statis periodik pada tempat yang berbeda
Fasilitas penyimpan cadangan online dengan fitur enkripsi
Lakukan sesering mungkin dengan pola acak. Gunakan
fitur otomatisasi pencadangan yang tersedia pada semua
OS
Strategi klasifikasi dan pemisahan data, gunakan enkripsi

25. Kebijakan Pengakhiran
Semua salinan fisik data pada sembarang media harus punya batas waktu
pengakhiran, pembatasan pembukaan, memiliki prosedur penghapusan,
penghancuran, pengarsipan aman
Semua data harus disandikan dengan algoritma terkuat, kata kunci kompleks satu
arah serta dikompresi sebelum dihapus dengan metode paling aman misalnya 35x
standar NSA/DOD
Semua perangkat portabel dan acang bergerak harus segera diserahkan kepada
tim keamanan pada saat cuti, liburan atau pensiun dan melaporkan
kehilangan/penggantian perangkat
Pembatasan fungsi dan pengaturan akses untuk isu bring your own device
(BYOD) serta diterapkan ketat di semua tingkatan

26. Perangkat Bersih dan Aman
Pastikan semua perangkat anda menggunakan OS, APLIKASI
LEGAL, serta memiliki dukungan resmi dan selalu terbarukan.
Dilengkapi proteksi standar: firewall, anti virus terbaru. Lakukan
pencadangan teratur pada tiga media dan tiga lokasi
Aktifkan perawatan otomatis untuk membersihkan residu dan
pemeriksaan rutin sekaligus pencadangan. Upaya pencegahan selalupemeriksaan rutin sekaligus pencadangan. Upaya pencegahan selalu
berguna dan membutuhkan sumber daya (waktu, uang) lebih
sedikit dibandingkan proses penyelamatan + pemulihan.
Jangan percaya semua media eksternal termasuk kiriman file dari
siapapun untuk tujuan apapun. Apabila terpaksa, sebelum dibuka
lakukan pemeriksaan (pemindaian) seksama.
Jangan bekerja dengan menggunakan hak akses super user

27. Akses Jarak Jauh Aman
Jangan pernah percaya dengan akses nirkabel (WiFi, selular)
Jika terpaksa, pastikan data telah disandikan sebelum dikirim
Jangan gunakan akses WiFi dengan standar keamanan kurang dari
WPA karena meretas nirkabel hanya masalah waktu
Selalu gunakan tunnel (VPN, SSH, IPSEC) untuk akses aman keSelalu gunakan tunnel (VPN, SSH, IPSEC) untuk akses aman ke
pangkalan data. Bila anda sering bekerja jarak jauh minta agar
kantor memfasilitasi. Semua OS modern memiliki fasilitas ini
Gunakan Infrastruktur Kunci Publik (PKI) untuk mensandikan dan
menerakan tanda tangan digital pada data anda: file dll.
Pilih protokol aman untuk setiap layanan (apabila tersedia)

28. Akses Nirkabel Publik Aman
Jaringan nirkabel bersifat terbuka, tidak terlindungi dan mudah
dieksploitasi. Sangat penting untuk memahami apa yang disebut
dengan serangan sniffing, MITM, side jacking
Perhatikan keamanan fisik dan lingkungan, kenali CCTV palsu
Selalu tanyakan SSID yang sah pada pengelola layanan tsb.
Jangan pernah percaya SSID tampilan “Free WiFi Access”Jangan pernah percaya SSID tampilan “Free WiFi Access”
Ketika akses jaringan nirkabel publik PASTIKAN semua aturan
berbagi pakai (sharing) melalui media apapun dalam keadaan tidak
aktif dan jangan ijinkan upaya akses dari terminal asing
Jangan tinggalkan perangkat tanpa pengawasan terpecaya
Bila menggunakan terminal publik, pastikan bersih dari tools
berbahaya misalnya keylogger, remote access, spyware dll.

29. Berselancar Dengan Aman
Hampir semua situs mutakhir telah memanfaatkan CA, HTTPS
Jangan mengijinkan segala macam bentuk pop up. Baca teliti
sebelum klikYES/NO/ACCEPT/CANCEL. Perhatikan peringatan
Gunakan FILTERING dan PARENTAL CONTROL. Semua aplikasi
perambah terbaru mendukung fitur ini, menyediakan add on
Menggunakan NAWALA adalah solusi terbaik untuk mencegahMenggunakan NAWALA adalah solusi terbaik untuk mencegah
paparan situs negatif: iklan yang mengganggu (vulgar), phising atau
malware sites termasuk berbagai jenis penipuan, judi dll.
Pastikan dan biasakan logout dengan sempurna, hapus SWAP,
cache, cookies, history, bookmark – atau gunakan modus safe
private browsing – jangan mengaktifkan penyimpanan isian form
dan kata kunci (password) otomatis, lakukan manual

30. Interaksi Media Sosial Aman
Jangan menerima permintaan pertemanan dari orang asing
Selalu lakukan konfirmasi pada teman lainnya dan tinggalkan
pertanyaan pribadi yang spesifik untuk akun yang dicurigai
Selalu bersikap konservatif, membatasi informasi pribadi dan
apa saja yang hendak dibagi.Tidak semua orang menyukai.
Jangan percaya kiriman link, file dan ajakan private message.Jangan percaya kiriman link, file dan ajakan private message.
Dengan alasan apapun jangan pernah membuka alamat email
dan informasi terkait yang digunakan untuk akses akun anda.
Gunakan alamat email khusus dan tidak digunakan untuk hal
lainnya serta tidak pernah dipublikasikan. Sedapat mungkin
BUKAN akun email gratisan, gunakan alamat domain sendiri
Bila sesuatu terjadi, laporkan ke admin, minta bantuan teman
untuk tag akun anda yang bermasalah dan beritahukan semua

31. Melindungi Surat Elektronik
Gunakan mode plain text saja, matikan auto open attachment
Jangan percaya segala jenis attachment, mintalah konfirmasi
Apabila harus membuka attachment, pisahkan dan periksalah
Selalu aktifkan anti virus dan anti SPAM yang terbaru (update)
Lakukan komunikasi surat elektronik hanya di terminal aman
Manfaatkan fitur tambahan Infrastruktur Kunci Publik (PKI)
Untuk komunikasi surat elektronik sensitif pastikan memakai
protokol yang aman (MIME, STARTTLS, SSL) POP, SMTP, IMAP
Hindari akses melalui WEBMAIL, bila terpaksa gunakan HTTPS

32. MelindungiTransaksi Daring
Harus cek dan re-cek, selalu ada waktu untuk memeriksa
Baca dan pahami aturan main dan tanyakan secara detail
Semua aturan kepercayaan di dalam transaksi konvensional TETAP
BERLAKU ketika beralih ke media daring. Penjual dan pembeli
serta perantara maupun pasar (marketplace) HARUS terpecaya,
memiliki identitas dan alamat jelas yang asli serta KONSISTEN,memiliki identitas dan alamat jelas yang asli serta KONSISTEN,
dapat dihubungi lewat saluran kontak yang lazim
Menggunakan alamat domain yang jelas, valid dan terbuka
Website dilindungi dengan CA, mode aman terenkripsi HTTPS
Memiliki fasilitas mediasi dan pelayanan keberatan, jaminan
pengembalian uang dan barang sampai asuransi pengiriman
Pastikan layanan tersebut tak menyimpan informasi sensitif

33. Melindungi Kartu Kredit/Debit
Perbaharui pengetahuan teknologi terbaru untuk memahami
kelemahan, penipuan, deteksi proses yang tidak biasa, kenali jenis
kartu (magnetic stripe, chip, RFID), jenis layanan (debit / kredit,
emoney) termasuk cara melindungi kartu fisik, sarung anti magnetik,
menyembunyikan kode CVT/CVV
Jangan mudah percaya. Periksa kembali setiap transaksi pada mesinJangan mudah percaya. Periksa kembali setiap transaksi pada mesin
EDC dan kasir. Jangan ijinkan kartu chip anda digesek di perangkat
selain milik bank – misalnya cash register
Perhatikan lingkungan fisik: skimming, kamera tersembunyi
Pada prinsipnya semua teknologi berbasis kartu dan PIN telah dapat
diretas dan dieksploitasi dengan sangat mudah
Jangan gunakan kartu fisik untuk pembayaran daring, ewallet seperti
Paypal lebih aman (idak ada ekpose kartu langsung)

34. Melindungi Kata Kunci
Peretasan kata kunci (password) masih menjadi modus utama
untuk mendapatkan akses tidak sah dengan berbagai cara
Ubah kata kunci secara periodik namun dengan pola acak dan
jangan membukanya pada siapapun dengan alasan apapun
Kombinasi frasa panjang yang unik dan kompleks, tak mudah
ditebak, sekurangnya terdiri 8 karakter, angka, kapital, simbolditebak, sekurangnya terdiri 8 karakter, angka, kapital, simbol
Jangan gunakan kata kunci yang sama untuk semua akun anda
Apabila tersedia, gunakan fitur One Time Password (OTP) atau
Two Factor Authentication dan Application Specific Password
Simpan password, PIN dll. pada tempat yang aman dan hanya anda
sendiri yang mengetahuinya. Untuk mempermudah kita
mengingat, gunakan aplikasi manajemen kata kunci

35. Melindungi Perangkat Portabel
SMARTPHONE, LAPTOP,TABLET, EXTERNAL / FLASH
DRIVE, IPOD, DLL.
Gunakan kata kunci (password) yang kuat dan selalu diganti
Manfaatkan enkripsi dan kompresi bertingkat: file, folder dst.
Disiplin lakukan tiga pencadangan (back up) secara periodik
Selalu gunakan anti virus terbaru dan aplikasi proteksi lainnya
Jangan tinggalkan perangkat sembarangan tanpa pengawasan
Tidak meminjamkan perangkat dan media penyimpan sensitif
Laksanakan prosedur penghapusan aman untuk pengakhiran
Aktifkan fitur penghapusan jarak jauh (secure remote wipe)
Dimanapun anda berada perhatikan keamanan fisik sekitarnya

36. SUMBER
Dokumen Keamanan Informasi ID-SIRTII/CC,“Melindungi
Aset Informasi Dan Aktivitas Daring Kita”, 2014.
Dokumen Sosialisasi PP No 82/2012 PenyelenggaraanDokumen Sosialisasi PP No 82/2012 Penyelenggaraan
Sistem Dan Transaksi Elektronik (PP PSTE), Ditjen Aplikasi
Informatika Kemkomifo, 2013.
The Telecommunications Industry Association's TIA-942,
2013

37. TERIMA KASIH
eva@stiki.ac.ideva@stiki.ac.id