Security Awareness. Bandung, 1 September 2015

Transkripsi

1 Security Awareness Bandung, 1 September 2015

2 Digital Artifacts in our daily lives Mesin ATM Handphone Digital camera Komputer Notebook Tablet 2014 IT trends 1 1

3 Pemanfaatan IT Sudah merasuk dalam kehidupan kita sehari-hari Handphone: telepon, SMS, WhatsApp, Transaksi perbankan: ATM, internet banking, SMS banking, mobile banking, Internet: , web, Transaksi saham Security Awareness 2

4 IT in Business Otomatisasi & mempercepat proses Menurunkan biaya Meningkatkan user experience Mendekatkan pengguna Customer / user support Feedback dari pengguna Penggunaan media sosial (facebook, twitter) untuk berbagai interaksi Tanpa IT akan kalah Security Awareness 3

5 Top 3 Hot Issues ( ) Social Network Misanthropes and anti-socials: privacy vs. security in social networks Mobile Devices Mobile devices compromise data security Integrated application on mobile devices Cloud/Physical/Disaster Data security goes to the cloud File security takes center stage Security Awareness 4

6 Social Network Pencurian identitas Pencemaran nama baik Komentar terhadap layanan, keluhan, dsb Bullying model baru Integrasi antara social network (dan aplikasi) Facebook, Twitter, Instagram Pembocoran aktivitas tanpa sadar Social media, antara area publik vs area pribadi Security Awareness 5

7 Media Sosial Indonesia Masih terus bertambah 55M internet users diindonesia in 2011, naik 22% dari 2008 (2012 Internet Trends Kleiner Perkins Caufield Byers) 2009, Indonesia bahkan tidak ada di daftar pengguna twitter, sekarang mendominasi Jakarta #1 Bandung #6 Security Awareness 6

8 Mobile Devices Berkembangnya sistem operasi open source (Android) Terhubung ke Internet 24 jam Kamera dengan resolusi tinggi Media penyimpanan yang besar (8GB 64GB) Dimensi yang semakin mengecil Aplikasi perusahaan + data penting diakses dan disimpan dalam perangkat ini Rentan terhadap pencurian (kebocoran data) Security Awareness 7

9 Security and privacy Bersangkutan dengan perlindungan data, integritas operasional, kelemahan management, kelangsungan bisnis (BC), perbaikan dari bencana, dan pengelolaan identitas Compliance User yang memiliki kebutuhan pemenuhan yang harus dimengerti apa dan bagaimana, menggunakan cloud service yang dapat berpengaruh terhadap pencapaian tujuan Legal and contractual issues Security Issues for Cloud Computing (versi Forrester) Kepemilikan aset/liabilitas dan intelektual adalah sebagian kecil dari isu hukum yang harus dipertimbangkan Liabilitas tidak selalu clear-cut ketika berubah menjadi cloud service Security Awareness 8

10 Justifikasi Investasi Security Survey di perusahaan: hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting. Kesadaran akan masalah keamanan masih rendah! Bagaimana untuk meyakinkan management untuk melakukan investasi di bidang keamanan? Membutuhkan justifikasi perlunya investasi infrastruktur keamanan Security Awareness 9

11 Rendahnya Kesadaran Keamanan (Lack of Security Awarenes) Management: nyambung dulu (online dulu), security belakangan Sekarang kan belum ada masalah! Bagaimana ROI? Praktisi: Pinjam password admin, dong Rendahnya kesadaran akan masalah keamanan! Security Awareness 10

12 Rendahnya Kesadaran Keamanan (Lack of Security Awarenes) Lack of internal security awareness is still one of our biggest threats. Technology can reduce risks to a point, but it is people who are the weakest link. Deloitte Global Security Survey 2004 Respondent Security Awareness 11

13 Security Incident Cost Indonesia Server Down : untuk menghidupkan server kembali dibutuhkan dana sekitar 25 jt Kerugian yang mungkin dialami oleh perbankan sekitar 300 jt/down Sumber: Tim Sharing Vision, 2003 ( information security breaches survey 2004 (PricewaterhouseCoopers) Security Awareness 12

14 Security Lifecycle Security Awareness 13

15 BEBERAPA MASALAH Security Awareness

16 Pishing: personal information fishing From: To: Subject: USBank.com Account Update URGEgb Date: Thu, 13 May :56: USBank.com Dear US Bank Customer, During our regular update and verification of the Internet Banking Accounts, we could not verify your current information. Either your information has been changed or incomplete, as a result your access to use our services has been limited. Please update your information. To update your account information and start using our services please click on the link below: Note: Requests for information will be initiated by US Bank Business Development; this process cannot be externally requested through Customer Support. Security Awareness 15

17 Spam yang berisi sampah (umumnya iklan) Menghabiskan jaringan, disk, waktu pekerja Spam merugikan bisnis Security Awareness 16

18 Type of Fraud Experienced During the Prior 12 Months (Percentages) Fraud Type Security Awareness 17

19 Terlupakan Abuse dari dalam! 1999 Computer Security Institute (CSI) / FBI Computer Crime Survey menunjukkan bahwa disgruntled worker (orang dalam) merupakan potensi attack / abuse. Disgruntled workers 86% Independent hackers 74% US competitors 53% Foreign corporation 30% Foreign government 21% Security Awareness 18

20 Serangan dari Dalam Karena Tidak Ada Policy Tujuh-puluh sembilan persen eksekutif senior terjebak dalam kesalahan berfikir bahwa ancaman terbesar terhadap keamanan sistem berasal dari luar (eksternal) Walaupun kebanyakan responden sudah memikirkan tentang hacker, kurangnya atau bahkan tidak adanya implementasi security policy dan kurangnya kesadaran karyawan adalah ancaman terbesar bagi sistem online mereka KPMG Security Awareness 19

21 Virus (Malware) Virus masih tetap menjadi masalah nomor satu Selalu ada virus baru yang muncul Bahkan virus lama pun (seperti conficker) masih sering muncul Ditambah dengan virus lokal Virus (malware) untuk cyberwar? Harus melakukan investasi di anti virus (plus anti virus lokal?) Security Awareness 20

22 Stuxnet (dari berbagai sumber) Stuxnet disebut-sebut para pakar keamanan sebagai bentuk senjata cyber yang menjadi sarana terorisme di dunia maya. Serangannya tidak hanya mencuri informasi di komputer korban, namun mengambil alih sistem kontrol berbasis mesin Negara Jumlah Komputer terinfeksi Negara Jumlah Komputer terinfeksi Iran dengan, Indonesia Amerika Serikat Australia India Malaysia Inggris dengan Pakistan 993 Security Awareness 21

23 Stuxnet (dari berbagai sumber) 2 Belum diketahui siapa di balik stuxnet Menyerang Windows dan Turunannya Menyebar melalui USB Thumb Drive Virus menyerang sistem kontrol industri, dapat digunakan untuk mata-mata atau sabotase Security Awareness 22

24 Penyebaran Worm Security Awareness 23

25 Contoh Akibat Virus License issuance still idled By Robert Barba Denver Post Staff Writer Friday, September 24, 2004, Denver, CO State driver's licenses and identification cards won't be issued again today, inconveniencing thousands of Coloradans for a second straight day. An unidentified computer virus forced the Colorado Department of Revenue to close the system at 2:30 p.m. Friday, and it hasn't been up since, said Diane Reimer, a spokeswoman for the department's Motor Vehicle Business Group. "Somebody felt there wasn't something quite right," she said. "We want to make sure that we are doing everything that we should be doing to keep it secure. No personal data is believed to have been lost, Reimer said. A team of staffers has been working since Friday to fix the problem. Reimer said she was optimistic that license and ID card issuance would resume Wednesday. Customers have been sympathetic, she said. "People understand that we are living in a computer world," Reimer said. The problem could affect more than 10,000 Coloradans if it persists through today. The virus has not affected other government agencies, and written and driving tests are still being administered, Reimer said. Security Awareness 24

26 WEB DEFACING Security Introduction Security Awareness

27 Website Sistem Akademik Universitas Gunadarma Kasus peretasan terhadap Sistem Akademik 19/10/ sumber: dan Security Awareness 26

28 Website Telkom Indonesia Terkena Deface 14/04/2013 Security Awareness 27

29 Website Presidensby (Defaced) 11/1/2013 sumber: Koran Pikiran Rakyat Security Awareness 28

30 Website Pejabat Negara (Defaced) 12/11/ sumber: Security Awareness 29

31 Website Bakrie Life (Defaced) 21/12/ sumber: Bakrie Life Security Awareness 30

32 Website KPK (Defaced) 29/09/ :48 PM sumber: Kaskus Security Awareness 31

33 Website TV One Terkena Deface , 09:23 PM sumber : kaskus Security Awareness 32

34 Situs Pemerintah Keuangan Palembang Security Awareness 33

35 POLRI Security Awareness 34

36 LEMHANAS ml Security Awareness 35

37 Security Awareness 36

38 Serangan yang Pernah Terjadi (dulu) Security Awareness 37

39 Deface di Web Security Awareness 38

40 KPU 2004 Security Awareness 39

41 KPU 2004: Data Test Masih Ada? Security Awareness 40

42 Security Awareness 41

43 PERUSAHAAN ATAU PERBANKAN Security Awareness

44 Issues 2015 Dunia: Penyerangan Hacker, dan masih berlanjut 28/4/2015 sumber: Security Awareness 43

45 Issues 2015 Dunia: Finansial, dan masih berlanjut 16/2/2015 sumber: Security Awareness 44

46 Issues 2015 Dunia: Finansial, dan masih berlanjut 23/4/2015 sumber: Security Awareness 45

47 Issues 2014 Dunia: Finansial, dan masih berlanjut 20/10/2014 sumber: Security Awareness 46

48 Issues 2014 Indonesia: Finansial, dan masih berlanjut 29/10/2014 sumber: Kontan Security Awareness 47

49 Issues 2014 Indonesia: Finansial, Sistem Transaksi Bermasalah 10/12/2014 sumber: Security Awareness 48

50 Bursa Saham Singapura Macet 04/12/2014 sumber: Kompas Security Awareness 49

51 Issues 2013 Indonesia: Finansial, dan masih berlanjut Kasus 2 Karyawan Bank Mandiri meretas sistem dan gelapkan uang Security Awareness 50

52 Issues 2013 Indonesia: Finansial, dan masih berlanjut kasus malinda dee, citibank (2011), pembobolan dari dalam, lebih dari 20 milyar rupiah Security Awareness 51

53 Issues 2013 Indonesia: Finansial, dan masih berlanjut 22/03/2013 sumber: Kompas Security Awareness 52

54 Finansial, Modus Lain Security Awareness 53

55 Rentang 2011 BRI tamani square, sebesar Rp 29 M, melibatkan supervisor Pemberian kredit dengan dokumen fiktif BII cabang Pangeran Jayakarta, tersangka account officer, 3,6M Pencairan deposito bank mandiri 18M, customer service BNI, teleks palsu, BNI Depok, Wakil Pimpinan Pencairan Deposito BPR Pundi Artha Sejahtera, Dirut BPR, dua komisaris, komisaris utama, dan marketing Bank Danamon, menarik uang kas berulang dari cabang pembantu menara bank danamon, tersangkat mantan teller, 1,9 M dan 110 ribu USD Panin Bank, penggelapan dana nasabah oleh kepala operasional panin bank cabang metro sunter, 2,5 M Pembobolan oleh mantan relationship manager, citigold citibank, 4,5M Security Awareness 54

56 Fraud Perbankan di Indonesia Security Awareness 55

57 Koran Tempo, 26 September 2003 Security Awareness 56

58 November - Desember 2004 Bank Mega: 50 M BRI Rp. 9,4 M Security Awareness 57

59 Bank Danamon, 2005 Security Awareness 58

60 2006: Lippo Security Awareness 59

61 Sistem Bank Down Security Awareness 60

62 Bank Yang Nakal? Mengubah bunga tabungan sebesar 2% selama beberapa hari. [Sumber: Bisnis Indonesia 24 Januari 2005] Security Awareness 61

63 Kejahatan Di ATM Sumber: Surat Pembaca, Kompas, 2003 Security Awareness 62

64 Kejahatan ATM Mesin ATM biasa? Perhatikan lebih baik: skimmer Security Awareness 63

65 Kejahatan ATM Menyadap PIN dengan wireless camera Security Awareness 64

66 Masalah Mesin ATM Bagi Bank, ATM memiliki banyak masalah Mesin dicuri Uang dipancing Dipasangi alat Data disadap Prosedur lemah Nomor telepon bantuan palsu Tetapi ATM merupakan delivery channel yang paling disukai nasabah Security Awareness 65

67 Membawa uang tunai dalam jumlah besar beresiko! Tapi Security Awareness 66

68 Carder Indonesia menempati urutan tinggi (dalam penyalahgunaan kartu kredit) No 1 dari segi persentase (dibandingkan dengan transaksi baik) No 3 dari segi volume transaksi Modus: menggunakan nomor kartu kredit milik orang lain (umumnya orang asing) untuk membeli barang di Internet Ranking 1. Yogyakarta 2. Bandung Sulit ditangani karena lemahnya hukum? KARTU KREDIT INDONESIA DI-BANNED DI LUAR NEGERI, IP DIBATASI Security Awareness 67

69 Kejahatan Carder Security Awareness 68

70 Penipuan Lain Penipuan melalui SMS Anda menang sebuah undian dan harus membayarkan pajaknya. Pajak dapat dibayarkan melalui mesin ATM (transfer uang, atau dengan membeli voucher yang kemudian disebutkan nomornya). Mama minta pulsa, sedang di rumah sakit Banyak yang percaya dengan modus ini Social engineering Hipnotis? Security Awareness 69

71 Mungkinkah aman? Sangat sulit mencapai 100% aman Ada timbal balik antara keamanan vs. kenyamanan (security vs. convenience) Semakin tidak aman, semakin nyaman Juga security vs. performance Definisi computer security: A computer is secure if you can depend on it and its software to behave as you expect (Garfinkel & Spafford) Security Awareness 70

72 Peningkatan Kejahatan Komputer Aplikasi bisnis yang berbasis komputer / Internet meningkat Internet mulai dibuka untuk publik tahun 1995 Electronic commerce (e-commerce) Statistik e-commerce yang meningkat Semakin banyak yang terhubung ke jaringan (seperti Internet) Security Awareness 71

73 Peningkatan Kejahatan Komputer Desentralisasi server Terkait dengan langkanya SDM yang handal Lebih banyak server yang harus ditangani dan butuh lebih banyak SDM dan tersebar di berbagai lokasi. Padahal susah mencari SDM Server remote seringkali tidak terurus Serangan terhadap server remote lebih susah ditangani (berebut akses dan bandwidth dengan penyerang) Security Awareness 72

74 Peningkatan Kejahatan Komputer Transisi dari single vendor ke multi-vendor (Terlalu) banyak jenis perangkat dari berbagai vendor yang harus dipelajari. Contoh: Router: Cisco, Juniper, Huawei, Bay Networks, Nortel, 3Com, Linux-based router, Server: Solaris, Windows NT/2000/Win7/2008, SCO UNIX, Linux, *BSD, AIX, HP-UX, Sulit mendapatkan SDM yang mampu menguasai semua jenis perangkat. Security Awareness 73

75 Peningkatan Kejahatan Komputer Pemakai makin melek teknologi dan kemudahan mendapatkan software Ada kesempatan untuk menjajal. Tinggal download software dari Internet. (Script kiddies) Zero-day exploit System administrator harus selangkah di depan. Security Awareness 74

76 Pencurian Server Secara Fisik Security Awareness 75

77 Hacker kecil Security Awareness 76

78 Peningkatan Kejahatan Komputer Kesulitan penegak hukum untuk mengejar kemajuan dunia telekomunikasi dan komputer. Cyberlaw (UU ITE) masih membutuhkan penyempurnaan Tingkat awareness masih belum menyebar secara merata Technical capability masih belum optimal Security Awareness 77

79 Peningkatan Kejahatan Komputer Meningkatnya kompleksitas sistem (teknis & bisnis) Program menjadi semakin besar. Megabytes. Gigabytes. Terrabytes. Pola bisnis berubah: partners, alliance, inhouse development, outsource, Jaringan semakin cepat 1999 IIX ~7 Mbps 2004 IIX ~1 Gbps 2009 IIX ~11 Gbps 2010, 2011, 2012, 2016 akan semakin cepat Potensi lubang keamanan juga semakin besar. Security Awareness 78

80 Contoh peningkatkan kompleksitas Operating System Year Lines of Codes Windows million Windows NT million Windows million Windows NT million Windows million Windows NT 5.0/2K beta million Debian GNU/Linux million Windows million Windows XP million Red Hat million Windows Vista (beta 2) million Security Awareness 79

81 Penutup Masalah keamanan akan tetap muncul dengan pola baru meskipun prinsip tetap sama Masalah keamanan tetap menjadi prioritas dan membutuhkan dukungan dari pucuk pimpinan Security merupakan sebuah proses Security Awareness 80