PERLUNYA MEWASPADAIANCAMAN TERHADAP e-PROCUREMENT

Author :

Ir. Adhi PramonoPerekayasa Madya

I. PENDAHULUAN

e-Procurement merupakan salah satu tools yang digunakan pemerintah dalam kerangka e-government. e-Procurement atau pengadaan secara elektronik adalah proses pengadaan barang/jasa yang dilakukan melalui media internet. Aplikasi e-procurement yang telah banyak digunakan di instansi pemerintah adalah SPSE (Sistem Pengadaan Secara Elektronik) yang dikembangkan oleh LKPP (Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah).

Dokumen yang dikelola dalam e-procurement pada umumnya adalah dokumen elektronik yang berupa Dokumen Pengadaan dan Dokumen Penawaran. Kedua dokumen ini berisi informasi yang bernilai strategis dalam proses pengambilan keputusan pengadaan barang/jasa, baik bagi Pokja ULP (Kelompok Kerja Unit Layanan Pengadaan) dalam penetapan pemenang lelang maupun penyedia barang/jasa dalam pemilihan barang/jasa yang akan ditawarkan dalam lelang. Proses pengambilan keputusan ini akan menimbulkan persaingan antar penyedia barang/jasa, karena semua penyedia berusaha untuk dapat menjadi pemenang lelang. Hal ini dapat mengundang ancaman terhadape-procurement, sehingga perlu untuk diwaspadai.

Ancaman terhadap e-procurement dapat berupa ancaman internal atau eksternal. Ancaman internal merupakan ancaman yang berasal dari dalam lingkungane-procurement. Sedangkan ancaman eksternal berupa ancaman yang ditimbulkan oleh unsur-unsur gangguan dari luar lingkungan e-procurement.

Dampak dari ancaman terhadap e-procurement dapat mengakibatkan gangguan yang sangat serius dan memerlukan penanganan yang khusus pula, seperti hilangnya data, pencurian informasi atau bahkan mengakibatkan server menjadi hang/down. Sudah tentu penanganannya membutuhkan perhatian yang serius dan dana yang tidak kecil. Oleh karena itulah perlu mewaspadai ancaman terhadap e-procurement.

1 / 12

II. ANCAMAN INTERNAL

Ancaman internal adalah segala bentuk ancaman yang berasal dari dalam lingkungan e-procurement, baik sarana, pengelolaan maupun penggunaannya, yang mengakibatkan operasional e-procurement dapat terganggu atau tidak berjalan normal sebagaimana mestinya. Ancaman ini dapat berupa gangguan yang berasal dari sarana pendukung e-procurement seperti lemahnya catu daya, gangguan pada peralatan jaringan, kegagalan server atau buruknya kondisi fisik lingkungan. Sedangkan ancaman yang berasal dari buruknya pengelolaan atau penggunaan e-procurement antara lain berupa tidak dipatuhinya SOP, kecerobohan pengelola/pengguna, kurangnya pengetahuan mengenai teknologi informasi, dan yang paling berbahaya adalah faktor kesengajaan seperti pencurian dan pembocoran informasi.

A. Gangguan Sarana Pendukung e-Procurement

Ancaman internal yang biasa terjadi adalah gangguan yang diakibatkan oleh lemahnya kinerja sarana pendukung e-procurement. Gangguan sarana pendukung ini pada umumnya berasal dari catu daya, peralatan jaringan, server dan lingkungan fisik.

Biasanya gangguan sarana pendukung yang berasal dari catu daya meliputi hal-hal sebagai berikut :

- Listrik PLN yang sering mengalami pemadaman secara tiba-tiba- Tegangan catu daya yang tidak stabil- Kapasitas catu daya yang terlalu kecil- Catu daya cadangan yang tidak siap/tidak cukup- Instalasi kelistrikan yang kurang tepat, tidak dilakukan pemisahan instalasi

antara peralatan e-procurement dengan peralatan lainnya.

Peralatan jaringan merupakan peralatan fisik yang berfungsi menghubungkan server dengan terminal pengguna, antara lain kabel data, hub, router, modem dan wifi. Pada umumnya, gangguan yang sering terjadi pada peralatan jaringan ini meliputi :

- Putusnya kabel data- Kecepatan peralatan yang rendah- Jangkauan yang terbatas- Gangguan pada sinyal- Jumlah port yang terbatas- Bandwidth yang kecil- Traffic yang padat- Gangguan koneksi.

2 / 12

Server adalah pusat data dan proses. Gangguan pada server merupakan ancaman yang paling serius terhadap sistem e-procurement. Pada umumnya kinerja server dapat terganggu apabila :

- Harddisk mengalami kondisi kritis, kapasitas sudah penuh- Memory (RAM) memiliki kapasitas kurang besar- Processor kurang cepat- Processor masih menggunakan model lama- Posisi penempatan server tidak baik, miring, tidak datar, dsb.

Gangguan dari lingkungan fisik di sekitar ruang server yang dapat memengaruhi kinerja sistem e-procurement biasanya meliputi hal-hal sebagai berikut :

- Suhu ruangan yang terlalu tinggi- Kelembaban yang tinggi- Getaran yang terlalu kuat- Kondisi udara yang kotor/berdebu- Pendinginan udara yang buruk- Adanya gas/uap yang korosif/beracun- Adanya kebocoran pipa air- Adanya gelombang elektromagnetik yang dapat mengganggu server.

Gambar 1 : Ancaman internal berupa gangguan sarana pendukung.

Gangguan-gangguan sarana pendukung tersebut harus dapat dicegah atau diminimalisasi. Hal ini membutuhkan pengelolaan dan pengamanan yang berstandar.

3 / 12

S is te mS is te me -P roc ure m e nte -P roc ure m e nt

GangguanJaringan

GangguanServer

GangguanCatu Daya

GangguanLingkungan

Dalam organisasi sistem e-procurement, unit kerja yang bertugas melaksanakan pengelolaan, pengamanan dan pemeliharaan sistem e-procurement adalah unit LPSE (Layanan Pengadaan Secara Elektronik). Dalam hal pengamanan hardware sarana pendukung e-procurement, unit LPSE harus melakukan hal-hal sebagai berikut :

1. Membuat mekanisme pengelolaan dan pengamanan server dan jaringan2. Pengelolaan server SPSE yang mengacu kepada standar pengelolaan data

center, dengan memperhatikan aspek pemeliharaan, pemantauan, dokumentasi dan penyimpanan data

3. Pengaturan ruang server SPSE dengan memperhatikan ketentuan suhu ruangan, cadangan catu daya dan keamanan fisik

4. Pengendalian pengunjung yang akan memasuki ruang server dan harus mendapat izin dari pejabat LPSE yang berwenang.

B. Gangguan dari Faktor Pengelola/Pengguna

Pengelola sistem e-procurement adalah unit LPSE, dan penggunanya adalah Pokja ULP dan penyedia barang/jasa. Ancaman internal yang berasal dari faktor pengelola/pengguna e-procurement meliputi kurangnya pengetahuan mengenai teknologi informasi, kecerobohan, ketidakpedulian/tidak patuh pada aturan dan kesengajaan.

Para pengguna aplikasi e-procurement yang terdiri dari Pokja ULP dan penyedia barang/jasa, masing-masing memiliki User ID dan Password. Tetapi tidak semua pengguna ini memiliki pengetahuan yang cukup dalam bidang teknologi informasi, bahkan mungkin ada yang baru pertama kali menggunakan komputer. Biasanya pengguna yang kurang memahami teknologi informasi tidak dapat memahami tanggungjawab pemegang/pemilik User ID dan Password. Mereka dengan mudahnya dapat meminjamkan User ID dan Password pada orang lain. Hal ini dapat membahayakan sistem e-procurement dan pengguna itu sendiri, karena orang yang tidak berhak dapat mengakses dan mengubah data e-procurement, sedangkan pengguna/pemilik User ID dan Password yang bersangkutan dapat dituntut secara pidana karena penggunaan User ID dan Password adalah tanggungjawab masing-masing pengguna yang sah.

Kecerobohan pengguna juga dapat menjadi ancaman bagi e-procurement. Masalah kecerobohan ini biasanya diakibatkan oleh kurangnya pengetahuan mengenai teknologi informasi, ketidaktahuan akan ancaman yang mengintai atau adanya sifat masa bodoh. Tindakan ceroboh yang biasa dilakukan oleh pengguna adalah mengetikkan password di hadapan orang lain tanpa ditutupi sehingga orang lain tersebut dapat dengan jelas melihat dan mengetahui password pengguna tersebut. Tindakan ceroboh lainnya adalah meninggalkan aplikasi e-procurement dalam keadaan masih login (belum logout), sehingga orang lain yang tidak berhak dapat dengan mudahnya mengubah/menghapus data e-procurement yang ditinggalkan tersebut. Biasanya pengguna meninggalkan

4 / 12

aplikasi e-procurement untuk keperluan ke toilet, rapat, dipanggil atasan dsb dengan anggapan bahwa hal ini cuma sebentar dan menganggap tidak mungkin ada orang lain yang akan bertindak jahat atau mengganggu. Anggapan seperti ini justru akan mengakibatkan kelalaian.

Masalah ketidakpedulian dari para pengelola/pengguna e-procurement merupakan ancaman yang cukup serius. Ketidakpedulian ini juga mencakup tidak dipatuhinya aturan/SOP, masa bodoh dan tidak menghiraukan resiko yang akan terjadi.

Gangguan yang paling berbahaya adalah gangguan yang diakibatkan oleh unsur kesengajaan, yaitu adanya pengelola/pengguna yang dengan sengaja melakukan tindakan pelanggaran berupa perusakan, pencurian atau pembocoran informasie-procurement yang masih bersifat rahasia, sehingga pengelola/pengguna yang melakukannya dapat dituntut secara pidana.

Gambar 2 : Ancaman internal berupa gangguan faktor pengelola/pengguna.

Untuk mengatasi gangguan dari faktor pengelola/pengguna, perlu dibuat suatu kebijakan sebagai berikut :

1. Mekanisme pengamanan informasi yang berhubungan dengan sumber daya manusia, termasuk pengaturan hak akses dalam sistem e-procurement

2. Membuat batasan tanggungjawab pengelola dan pengguna e-procurement3. Mengadakan sosialisasi untuk meningkatkan kepedulian terhadap keamanan

informasi dalam sistem e-procurement4. Melakukan pendidikan dan pelatihan mengenai kebijakan pengamanan

informasi dalam sistem e-procurement.

5 / 12

S is te mS is te me -P roc ure m e nte -P roc ure m e nt

Kurang Pengetahuan

Kecerobohan

Tidak Peduli

Kesengajaan

Gangguan Alam

Gangguan Manusia

III. ANCAMAN EKSTERNAL

Ancaman eksternal berasal dari luar lingkungan sistem e-procurement. Pada umumnya ancaman ini timbul akibat dari server e-procurement yang terhubung secara terus menerus ke jaringan publik/internet. Infrastruktur peralatan juga bisa menjadi target ancaman eksternal. Oleh karena itu sumber ancaman eksternal dapat berasal dari gangguan secara fisik atau logic.

A. Gangguan Fisik

Gangguan fisik ini meliputi segala bentuk gangguan dari luar yang dapat mengancam keamanan server, peralatan dan ruangannya secara fisik. Sumber gangguan fisik dapat berasal dari faktor alam atau manusia.

Gangguan dari faktor alam biasanya berupa bencana alam seperti banjir, gempa, tsunami, petir dsb. Bencana alam dapat merusak atau memusnahkan ruangan, server dan peralatan jaringan. Apalagi Indonesia yang merupakan daerah rawan bencana alam, sudah tentu pencegahan dampak bencana alam terhadap infrastruktur peralatan sistem e-procurement harus mendapat perhatian yang serius.

Sedangkan gangguan fisik yang disebabkan oleh faktor manusia pada umumnya berupa pencurian/kehilangan, kebakaran dan perusakan secara fisik. Perlu diperhatikan mengenai fasilitas penunjang keamanan seperti penjagaan keamanan 24 jam, alat pemadam kebakaran, sistem peringatan dini dsb. Perusakan secara fisik merupakan gangguan yang sangat serius dan bisa dianggap sebagai tindak pidana. Untuk daerah yang rawan gangguan bisa juga dipasang peralatan CCTV untuk memantau kegiatan di sekitar ruang server.

Gambar 3 : Ancaman eksternal berupa gangguan secara fisik.

6 / 12

S is te mS is te me -P ro c ure m e nte -P ro c ure m e nt

S is te mS is te me -P ro c ure m e nte -P ro c ure m e nt

Phishing

Virus

Cracker

B. Gangguan Logic

Sebagai salah satu tools dalam kerangka e-government, aplikasi e-procurement harus dapat diakses secara terus menerus. Oleh karena itu server e-procurement selalu terhubung secara terus menerus ke jaringan publik melalui internet. Hal ini justru dapat memicu timbulnya gangguan secara logic terhadap sistem e-procurement dan mengancam data yang tersimpan dalam basis data e-procurement. Gangguan secara logic dapat berupa gangguan yang ditimbulkan oleh cracker dan virus atau pencurian password melalui phishing.

Gambar 4 : Ancaman eksternal berupa gangguan secara logic.

B.1. Cracker

Cracker adalah orang yang menerobos/menyusup masuk ke sistem komputer pihak lain yang terhubung ke jaringan komputer dengan tujuan untuk merusak data/sistem komputer tersebut. Cracker mampu menembus lubang keamanan yang lemah pada suatu sistem komputer tanpa disadari oleh pemiliknya. Apabila cracker sudah berhasil menembus keamanan suatu sistem komputer, maka selanjutnya dia akan melakukan hal-hal yang merugikan seperti mengubah tampilan website (defacing), menghapus data/file, mengubah data, mencuri data dsb. Bahkan cracker dapat melakukan sabotase dengan menyusupkan suatu logic bomb atau program virus, sehingga sistem komputer tidak berjalan sebagaimana mestinya atau server mengalami kegagalan (Denial of Service Attack). Apabila hal ini terjadi pada sistem e-procurement, maka akan menghentikan seluruh proses pelelangan di suatu instansi pemerintah. Oleh karena itu sistem e-procurement telah dilengkapi dengan Firewall dan Access Control untuk mencegah penyusupan cracker, yang meliputi Access Attack dan Denial of Service Attack. Sedangkan untuk melindungi data, sistem e-procurement dilengkapi dengan APENDO (Aplikasi Pengaman Dokumen).

7 / 12

B.2. Virus

Virus termasuk ancaman yang dapat merusak data dan software komputer. Virus komputer merupakan suatu program komputer yang dapat memperbanyak dirinya sendiri dan menyebar ke komputer lain dengan cara menyisipkan salinan dirinya ke dalam program atau file lain. Biasanya proses penyebaran virus ini terjadi pada saat melakukan download/upload file.

Berdasarkan cara kerjanya, virus komputer dapat dikelompokkan menjadi beberapa macam sebagai berikut :

1. Worm, memperbanyak diri dalam harddisk sehingga harddisk menjadi penuh2. Trojan, mencuri data3. Backdoor, menyamar sebagai file biasa untuk mencuri data4. Spyware, memata-matai proses komputer5. Rogue, menyamar sebagai program anti virus dan minta bayaran6. Rootkit, menyerupai kerja sistem komputer biasa7. Polymorphic, sering berubah-ubah8. Metamorphic, mengubah kode sendiri9. Virus ponsel, khusus menyebar di telepon selular.

Pada tahun 2011 yang lalu terdapat 10 virus komputer paling ganas, yaitu(1) Stuxnet, (2) Ramnit, (3) Webmoner, (4) FontAgent, (5) Kolab, (6) FakeAV, (7) Slugin, (8) BitCoinMiner/DorkBot, (9) MacSecurity dan (10) Virus Android. Virus-virus ini merupakan virus perusak data/program, pencuri password, pengirim spam, pencuri uang dan menyamar sebagai anti virus untuk minta bayaran.

Pada umumnya komputer/server sudah dilindungi dengan program anti virus untuk mencegah penularan virus dengan cara mendeteksi dan menghapus virus komputer. Tetapi kita tidak boleh lengah dengan menganggap bahwa komputer kita sudah dilindungi dengan program anti virus versi terbaru/terbaik. Prosedur pengamanan komputer harus selalu diperhatikan dan dipatuhi serta dilakukan dengan benar sesuai standar yang berlaku. Kita tidak boleh terlalu percaya bahwa file yang akan di-upload/copy ke komputer atau server adalah file yang tidak terinfeksi virus sebelum dilakukan proses virus scanning sesuai prosedur pengamanan yang berlaku untuk mencegah penularan virus ke komputer atau server kita. Oleh karena itu file Dokumen Pengadaan sebelum di-upload ke dalam aplikasi e-procurement harus di-scanning terlebih dahulu, begitu pula file Dokumen Penawaran setelah di-download juga harus di-scanning untuk mendeteksi adanya virus dan membersihkannya dari virus.

8 / 12

B.3. Phishing

Phishing (Password Harvesting Fishing) adalah suatu metode kejahatan dalam bidang teknologi informasi yang digunakan untuk mencuri User ID dan Password dengan cara memancing pengguna mengetikkan User ID dan Password pada website palsu yang sangat menyerupai website aslinya. Biasanya pelaku phishing membuat beberapa nama domain dengan tampilan yang sangat mirip dengan website aslinya, sehingga pengguna yang tidak teliti dapat terkecoh dan menganggapnya sebagai website yang benar dan langsung login dengan mengetikkan User ID dan Password seperti biasanya. Padahal semua domain tersebut adalah palsu. User ID dan Password yang telah diketikkan oleh pengguna tersebut dapat dengan mudah diambil dan dibaca oleh pelaku phishing yang dapat disalahgunakan untuk login ke dalam website yang asli.

Metode phishing ini sangat berbahaya bagi sistem e-procurement. User ID dan Password merupakan kunci untuk membuka pintu masuk ke sistem e-procurement. Apabila ada pelaku phishing yang sengaja membuat beberapa domain dan tampilan yang mirip dengan website e-procurement untuk menjaring User ID dan Password, maka mungkin ada beberapa pengelola/pengguna aplikasi e-procurement (unit LPSE, Pokja ULP, Penyedia barang/jasa) yang dapat terjaring/tertipu mengetikkan User ID dan Password pada website e-procurement palsu itu. Selanjutnya pelaku phishing dapat memanfaatkan User ID dan Password itu untuk melakukan tindak kejahatan yang dapat merugikan pengelola/pengguna e-procurement dan bahkan dapat merugikan negara.

Phishing dapat menimbulkan dampak yang sangat fatal terhadap prosese-procurement, antara lain :

1. Jika User ID dan Password yang terjaring milik Admin LPSE, maka pelaku phishing dapat melakukan perusakan hingga menghentikan sisteme-procurement suatu instansi pemerintah.

2. Jika User ID dan Password yang terjaring milik Verifikator LPSE, maka pelaku phishing dapat mengubah atau menghapus data penyedia barang/jasa, sehingga dapat mengakibatkan penyedia tersebut tidak dapat mengikuti pelelangan. Jika seluruh data penyedia barang/jasa dihapus, maka seluruh pelelangan di suatu instansi dapat mengalami kegagalan karena tidak ada penyedia barang/jasa yang dapat mengikuti pelelangan.

3. Jika User ID dan Password yang terjaring milik Pokja ULP, maka pelaku phishing dapat merusak data lelang, jadwal lelang, hasil evaluasi lelang dan bahkan dapat membatalkan pelelangan.

4. Jika User ID dan Password yang terjaring milik Penyedia barang/jasa, maka pelaku phishing dapat mengubah data kualifikasi dan Dokumen Penawaran sehingga penyedia barang/jasa yang bersangkutan bisa menjadi kalah dalam pelelangan.

9 / 12

Gambar 5 : Contoh alamat website palsu buatan pelaku phishing.

Tampak bahwa phishing dapat menimbulkan permasalahan yang sangat serius dan fatal. Untuk itu perlu dilakukan usaha-usaha untuk mencegah dan menghindari tindakan phishing dengan cara sebagai berikut :

1. Unit LPSE perlu selalu melakukan sosialisasi mengenai alamat websitee-procurement yang benar kepada masyarakat luas terutama kepada pengelola dan pengguna aplikasi e-procurement.

2. Bagi pengelola/pengguna e-procurement yang akan melakukan login, pastikan bahwa alamat website e-procurement yang diketikkan/dibuka adalah alamat website e-procurement yang benar.

3. Agar tidak merepotkan, sebaiknya alamat website e-procurement yang benar disimpan dalam menu bookmark pada browser yang digunakan.

10 / 12

Contoh :http://lpse.bbpt.go.id/eprochttp://lpse.bpt.go.id/eprochttp://lpse.bppt.co.id/eprochttp://lpse.bppt.com/eprochttp://spse.bppt.co.id/eproc

IV. PENUTUP

e-Procurement merupakan aplikasi pengadaan barang/jasa yang secara terus menerus terhubung ke jaringan internet, dan informasi yang tersimpan dalam basis datae-procurement bernilai strategis, sehingga dapat mengundang ancaman, baik internal maupun eksternal.

Ancaman internal merupakan ancaman dari dalam lingkungan e-procurement sendiri, berasal dari gangguan sarana pendukung dan faktor pengelola/penggunae-procurement. Gangguan dari sarana pendukung relatif lebih mudah diatasi daripada gangguan yang berasal dari faktor pengelola/pengguna, karena faktor pengelola/ pengguna menyangkut mekanisme pengelolaan e-procurement. Salah satu cara untuk meningkatkan kepedulian terhadap keamanan sistem e-procurement adalah dengan sosialisasi agar para pengelola/pengguna dapat mengetahui ancaman yang dapat mengganggu operasional sistem e-procurement.

Ancaman eksternal berasal dari luar lingkungan e-procurement, meliputi gangguan secara fisik dan logic. Gangguan secara fisik berupa bencana alam dan faktor manusia yang menyebabkan data hilang dicuri, kebakaran dan kerusakan peralatan. Sedangkan gangguan secara logic meliputi gangguan yang diakibatkan oleh perbuatan cracker, virus dan phishing.

Sistem e-procurement telah dilengkapi dengan mekanisme pengamanan informasi, baik secara fisik maupun logic. Aplikasi e-procurement telah dilindungi dengan Firewall dan Access Control serta APENDO untuk mengamankan dokumen elektronik. Memang pengamanan sistem e-procurement sudah cukup kuat dan handal, tetapi janganlah kita meremehkan situasi atau ancaman yang mungkin dapat terjadi melainkan harus tetap mewaspadai segala bentuk ancaman ataupun kejahatan teknologi informasi terhadap sistem e-procurement.

11 / 12

DAFTAR PUSTAKA

1. "Cyber Crime", http://wartawarga.gunadarma.ac.id/2012/03/cyber-crime-9, Jakarta, 8 Mei 2012.

2. "Virus Komputer", http://id.wikipedia.org/wiki/Virus_komputer, Jakarta, 8 Mei 2012.

3. Adi Saputra, "10 Virus Komputer Paling Ganas di 2011", http://inet.detik.com/read/2011/12/26/164720/1799900/323/10-virus-komputer-paling-ganas-di-2011, Jakarta, 8 Mei 2012.

4. Roni Amardi, "Definisi Hacker & Cracker", http://roniamardi.wordpress.com/ definisi-hacker-cracker, Jakarta, 8 Mei 2012.

5. Khalid Mustafa, "Pentingnya Keamanan Web Pada e-Procurement", http://www. khalidmustafa.info/2010/12/03/pentingnya-keamanan-web-pada-e-procurement.php, Jakarta, 17 Januari 2012.

6. Nunil Pantjawati, "Implementasi Persandian pada Tata Naskah Dinas Elektronik & Kearsipan", Lembaga Sandi Negara, Jakarta, 2011.

7. Yudho Giri Sucahyo, "Pentingnya Manajemen Keamanan Informasi", Pertemuan Koordinasi ke-5 LPSE Nasional, Balikpapan, 2010.

8. Khalid Mustafa, "Pentingnya Keamanan Sistem Informasi Pada LPSE", Pertemuan Koordinasi ke-5 LPSE Nasional, Balikpapan, 2010.

9. Deris Stiawan, "Kebijakan Sistem Informasi Manajemen Keamanan IT (Information Security Management Policy) Standard ISO 17799:27002", Universitas Sriwijaya, Palembang, 2009.

12 / 12