Kebijakan Institusi untuk
meningkatkan keamanan TIK
Ashwin Sasongko Sastrosubroto(Puslit Informatika LIPI/ DeTIKNas/ForTIK Jabar)
Bandung, 3 Desember 2015
Sejarah singkat Internet
• 1970 an, ARPANET dibangun oleh DARPA, termasuk 11 fungsi terkait penomoran, nama domain dll, dikenal sbg IANA
• 1990 an, dihentikan. Dibentuk MilNet dan jaringan lainnya diintegrasikan menjadi Jaringan Internet, fungsi2 IANA tetap dijalankan berdasarkan kontrak dgn US DoD.
• Thn 1998 dibentuk ICANN, Non Profit Organization di California.
• IANA ditransfer dari US DoD kpd US DoC
• Fungsi2 IANA dioperasikan ICANN berdasarkan kontrak dgn US DoC. ICANN bekerja berdasarkan pola Multistakeholders
Fungsi IANA (1)
• IANA memiliki 11 fungsi :
1.Protocol Parameters tmsk TLD ARPA –Address and Routing Parameter Area
2. Administrative Root Zone management
3. Root Zone File Change
4. Manage WHOIS
5. Manage ccTLD
6. Manage gTLD
7. Root Zone Automation
Fungsi IANA (2)
8. Manage DNSSEC keys
9. Provide Customer Service Complain
Resolution Process (CSCRP)
10. Allocates Internet Numbering
11. Performs other services
Lapisan sektor TIK dan Regulasi nya
Source : Pengantar tentang tata kelola internet, APJII, Hal, 39
2. Jaringan Internet
Ref UU 11/08 & 36/99
1. Infrastruktur Telekomunikasi
(tmsk Jaringan Penyiaran)
Ref. UU 36/99
3. Aplikasi n Konten
Ref UU 11/08,
32/02 dan 40/99
1. Infrastruktur telekomunikasi, tempat seluruh lalu-lintas internet mengalir; Juga digunakan utk Penyaiaran; Diatur oleh UN-ITU.
2. Standar teknis dan layanan internet, infrastruktur yang membuat internet berfungsi (Misalnya TCP/IP, DNS, SSL); Dioperasikan dan diatur ICANN
3. Standar isi dan aplikasi (Misalnya HTML, XML); Dioperasikan dan diatur ICANN.
3 lapisan infrastruktur sektor TIK
Tata Kelola di Indonesia untuk (1,2,3)
- UU No. 36/1999 Terutama yang terkait infrastruktur telekomunikasi (1); Di Indonesia diatur oleh Kominfo dan BRTI.
- UU No. 11/2008 Terutama untuk konten dan aplikasi yang terkait standar teknis & Layanan, standar isi & aplikasi (2 dan 3). Kebijakan operasional pada PP 82/2012 dan Detail diatur Permen2 Kominfo
-UU 32/2002 mengatur usaha Penyiaran yg juga merupakan Konten (3).-UU 40/1999 mengatur konten Pers saat ini juga merupakan konten (3)
Pola kerja Jaringan Internet yg dikelola ICANN, dan digunakan di Indonesia
7Source : Pengantar tentang tata kelola internet, APJII, Hal, 46
3 diantaranya
di Indonesia
server ISP
Pengorganisasian ICANN utk
mengelola Jaringan Internet
Pengelolaan Aspek2 Internet di Indonesia (1)
• Pengelolaan ccTLD (.id) : PANDI• Pelaksana Redelegasi : Neil el Himam dan Aidil
Cinderamata (dari KemKominfo)• Multistakeholders utk nama domain : Forum Nama
DomainCatatan : Status penelolaan nama domain diatas sudah
diakui ICANN cq IANA• Filter: Trust Positip Kominfo dan Nawala (komunitas
AWARI)
• Pengaturan Root CA : Baru Root CA Nasional (tahap awal) yg sdh mulai dilaksanakan.
Pengelolaan Aspek2 Internet di Indonesia (2)
• Pengelola IDNIC saat ini : APJII
• Pengelola IDCERT/CSIRT : Komunitas
• Pengelola ID-SIRTII : KemKominfo
• Pengelola IP Address dan AS Numbers saat ini : APJII dan juga Berbagai Institusi lain
CSIRT (1)
• CSIRT - Computer Security Incident Response Team
• Awalnya Komunitas dan/atau Pemerintah membentuk CERT -
Computer Emergency Response Team. Disempurnakan
kegiatannya dgn RFC 2350)* dan disebut CSIRT. Institusi yg sdh
menggunakan nama CERT banyak yg tetap menggunakan istilah
CERT.
• Dibentuk oleh berbagai kalangan karena banyaknya serangan
terhadap peralatan/ sistem Computer kita melalui jaringan Internet
atau melalui bebagai alat yang digunakan Computer kita spt USB
dll.
)* RFC - Request For Comment merupakan Standard/Guideline untuk
Internet yg dikeluarkan oleh IETF-Internet Engineering Task Force.
Merupakan referensi ICANN
CSIRT (2)
• CERT/CSIRT diharapkan dapat mensupport seluruh lapisan masyarakat untruk mengatasi serangan kepada peralatan/ Computer. Institusi ini melaksanakan kegiatan sesuai dgn kebutuhan masyarakat/komunitas.
• ID CERT : Didirikan komunitas, aktivitas umumnya bersifat koordinativ antar komunitas dan juga dgn komunitas global, spt APCERT - Asia Pacific CERT
• ID- SIRTII/CC: Indonesian Security Incident Response Team on Internet Infrastructure/Coordination Center didirikan oleh KemKominfo. Berdasarkan Permen Kominfo 26/PER/M.KOMINFO/5/2007, bertugas mengwasi keamanan jaringan Telekomunikasi berbasis Internet
• Direktorat Keamanan Informasi : Sebagai Regulator dan Penegakkan Hukum (koordinasi utk PPNS - Penyidik PNS)
CSIRT Jawa Barat
• CSIRT Jabar yg di inisiasi Pemda Jabar, ruang lingkup kerjanya di
Propinsi Jabar dan mengacu pada RFC 2350. Kegiatannya dapat
dikembangkan sesuai degan kebutuhan komunitas Jabar.
• Perlu koordinasi erat dengan seluruh institusi dan Komunitas
Internet di Jawa Barat.
• Perlu koordinasi dengan seluruh CERT/CSIRT yang ada di
Indonesia dan Internasional seperti AP CERT, FIRST dll.
• Mengingat tingkat kapabilitas internet saat ini, dimana secara
umum, kesadaran masyarakat tentang keamanan IT masih harus
ditingkatkan, maka sosialisasi tentang hal ini kepada seluruh
masyarakat di Jawa Barat perlu segera dilaksanakan secara
intensiv. Kegiatan ini juga dapat meningkatkan koordinasi CSIRT
Jabar dengan masyarakat TIK di Jabar.
Berbagai Serangan dan
Penangkalan nya
• Malware, Pengambilan Data, DDOS, Web Defacement, Spam, Phishing, dsb
• Pengelola harus melengkapi sistem Computernya dengan Sistem Manajemen Keamanan Informasi, termasuk berbagai keperluan mulai ruangan kerja yg aman, perangkat lunak untuk pengamanan terhadap serangan2 seperti diatas sampai seritifikasi karyawannya.
Berbagai Regulasi terkait
• Penggunaan seri SNI ISO/IEC 27000 : 2014, standard ttg Sistem Manajemen Keamanan Informasi. SNI dikeluarkan BSN dan Standard ini direkomendasikan oleh KemKominfo sebagai standard keamanan.
• Sbg langkah awal, KemKominfo telah menggunakan index KAMI (Keamanan Informasi) untuk menilai secara umum tingkat keamanan.
• PP 82/2012 tentang Penyelenggaraan Sistem dan Trransaksi Elektronik mengatur berbagai hal terkait keamanan.
Diskusi : Issue2 umum yg perlu
diperhatikan ttg Keamanan
• Siapa pengelola sistem IT anda ? Dapat
dipercaya ? Apa pengamanan anda thd
pengelola tsb ?
• Apakah anda menggunakan dot id (.id)
sbg Top Level Domain ?
• Seringkah anda membuka e-mail dan data
kiriman dari orang/ TLD yg patut anda
ragukan ?
Diskusi : Issue2 umum yg perlu
diperhatikan ttg Keamanan (2)
• Sudah anda sertifikasikah sistem IT anda
dgn SNI yg ada ? Misal SNI 27000 utk
keamanan ?
• Utk ktr pemerintah, anda menggunakan
.go.id ?
• Tahukah anda pengelola2 / contact
person, jika terjadi insiden keamanan ?
Lain lain : Kenali sistem anda
Terima [email protected]
19
Top Related