Hai Sobat eCampuz, sering dengar tentang hacker? Atau hacking? Pernahkah juga terdengar tentang hacking di server-server atau layanan kampus? Atau malah pernah menjadi pelaku, eh, maksudnya korban? Atau mungkin pernah mendengar issue bahwa seorang mahasiswa, portal akademiknya dibuka oleh pihak lain tanpa sepengetahuannya?
Salah satu data yang terbaru adalah tentang bocornya ratusan ribu data dari sebuah perguruan tinggi favorit di Indonesia. Mungkin ini bukan satu-satunya, namun kampus ini mungkin sedang sial, data bocor tersebut terpublikasi dalam wujud file berformat SQL text.
Berita tentang hal tersebut dapat diakses pada URL ini : https://jateng.inews.id/berita/ratusan-ribu-data-mahasiswa-bocor-ini-penjelasan-undip.
Data Kampus adalah Aset
Data kampus, seperti data akademik, data kepegawaian kampus, data keuangan kampus hingga data aset kampus, merupakan aset spesifik milik kampus yang perlu dilindungi. Pada item-item yang telah disebutkan tadi, hampir sebagian besar merupakan data-data dan informasi yang sifatnya confidential atau hanya untuk kalangan kampus saja. Pemerintah juga pernah mengatur hal-hal tersebut pada sebuah Peraturan Menteri dari Kementerian Riset, Teknologi dan Pendidikan Tinggi nomer 62 tahun 2017 berjudul “TATA KELOLA TEKNOLOGI INFORMASI DI LINGKUNGAN KEMENTERIAN RISET, TEKNOLOGI, DAN PENDIDIKAN TINGGI”. (Link source).
Dalam Permen tersebut dibahas juga mengenai hal-hal terkait manajemen risiko dan tata kelola keamanan TI di lingkungan institusi di bawah Kemenristekdikti (yang sekarang sudah melebur kembali menjadi Kementerian Pendidikan Nasional). Senada dengan Permen ini, ada UU ITE yang membahas lebih detail mengenai aturan-aturan penggunaan, serta sanksi-sanksi penyalahgunaan teknologi informasi untuk tujuan kejahatan TI. Dari poin ini dapat ditarik kesimpulan bahwa negara berusaha hadir dalam perlindungan data milik masyarakat. Hal ini memang sudah dipandang perlu, karena di masa modern ini, manusia sudah memiliki risiko hanya dari hal-hal yang sifatnya maya. Pencurian data NIK saja dapat memiliki risiko fatal bagi masyarakat, apa lagi data kampus. Dengan demikian keamanan data kampus menjadi wajib hukumnya, dan menjadi sesuatu yang perlu dikelola dengan baik.
Terkait keamanan data kampus, untuk kampus-kampus plat merah, alias kampus negeri, sudah ada panduan resmi dari pemerintah untuk seluruh instansi, termasuk institusi pendidikan ataupun perguruan tinggi. Hal ini dapat dilihat pada Peraturan Menteri / Permenpan RB NOMOR 32 TAHUN 2020 ( dapat diunduh di sini ), tentang Jabatan Fungsional Pranata Komputer. Pada permen itu telah disebutkan 38 kali kata “keamanan”, antara lain seperti berikut :
- keamanan jaringan (Pasal 8, ayat 1, huruf c, item no 11)
- melakukan pengaturan akses keamanan fisik teknologi informasi (Pasal 8, ayat 2, huruf a, item no 40)
- menyusun kebutuhan atau standar keamanan data (Pasal 8, ayat 2, huruf b, item no 36) tentang tugas Pranata Komputer Ahli Muda.
- dan item-item lainnya.
Hal ini memperbaharui dari Permen sebelumnya PERMENPAN NOMOR 66/KEP/M.PAN/7/2003 yang sama sekali tidak terdapat kata “keamanan” di sana. Dengan adanya Permenpan RB 32 (2020), maka institusi pendidikan negeri di bawah pemerintah dapat menggunakannya sebagai salah satu dasar manajemen keamanan teknologi informasi kampus.
Seberapa Besar Sih Data Milik Kampus itu?
Kampus adalah sebuah ekosistem yang cukup kompleks, melibatkan banyak hal di sana, baik dari internal kampus maupun eksternal kampus. Di masa sekarang, kampus tentu juga akan memiliki aplikasi sistem informasi cukup banyak, dan itu semua perlu dilakukan pemantauan. Sebut saja :
- Sistem Pembayaran
- Sistem Informasi Akademik
- Sistem Informasi Kepegawaian
- Sistem Informasi Aset
- Sistem Informasi Pustaka
- Sistem Informasi Keuangan dan Anggaran
Lebih lengkap contohnya, cek di sini : https://ecampuz.com/ecampuz-suite/
Setelah sistem tersebut terpublikasi, tentu sistem-sistem tersebut tidak akan lepas dari yang namanya : ancaman keamanan, seperti contohnya keamanan data kampus. Seluruh data tersebut menjadi hal yang krusial untuk dipertahankan kampus. Karena selain menjadi arsip dan data kampus, data-data dari sistem tersebut akan digunakan untuk pelaporan terhadap pihak lain, yaitu ke pemerintah, melalui laporan PDDIKTI. Pelaporan tersebut akan berpengaruh pada banyak hal, termasuk akreditasi dan kredibilitas kampus. Di lingkup kampus-kampus negeri, data tersebut akan menjadi lebih penting lagi, karena berkaitan dengan pengajuan anggaran dan pelaporan anggaran yang berasal dari pemerintah.
Manajemen Risiko Keamanan Data Kampus
Definisi risiko (risk) adalah potensi akan sesuatu yang kejadiannya tidak disukai, dan tidak diketahui secara persis kapan akan terjadi. Karena tidak disukai terjadinya, maka hal-hal terkait di dalamnya perlu dikelola dengan baik. Risiko baru bersifat sebagai potensi, belum terjadi. Jika telah terjadi namanya insiden. Dalam dunia teknologi informasi, ada banyak juga risiko-risiko yang dihadapi, atau insiden-insiden yang terjadi dalam dunia teknologi informasi. Sudah barang tentu kampus yang sudah masuk ke dunia IT, juga pasti akan berhadapan dengan risiko-risiko tersebut. Risiko-risiko IT yang dihadapi, sebut saja antara lain:
- Hardware Risk
- Pencurian hardware
- Bencana alam : kebakaran, ancaman petir, banjir, gempa bumi
- Kerusakan hardware, hal ini paling banyak terjadi adalah terkait usia hardware
- Software Risk
- Kerusakan data yang bersifat software
- Software Overload System
- Peretasan sistem
- dan lain-lain
Hal-hal tersebut di atas, seluruhnya berkaitan dengan keselamatan dan keamanan data kampus. Sudah banyak bukan, laporan-laporan terkait hilangnya data kampus karena masalah hardware, atau sistem dihack, atau justru event KRS yang harus molor karena server tidak dapat diakses saat overload pengakses KRS? Insiden-insiden seperti itu sudah sangat umum pada dunia kampus. Risiko tersebut perlu dikelola.
Rupanya, manajemen risiko, termasuk manajemen risiko keamanan data, juga telah diatur oleh pemerintah pada Permen yang sama dengan yang telah kita bahas di atas tadi : Peraturan Menteri / Permenpan RB NOMOR 32 TAHUN 2020 tentang Jabatan Fungsional Pranata Komputer. Pada dokumen itu disebutkan 45 kali kata “risiko”, memperbaharui dari Keputusan Menteri sebelumnya tahun 2003 (KEPMEN NOMOR 66/KEP/M.PAN/7/2003, tentang Pranata Komputer dan Angka Kreditnya), yang sama sekali tidak menyebutkan kata “risiko” di dalamnya, antara lain :
- menyusun rencana manajemen risiko (Pasal 8, ayat 2, huruf c, item 35 ) tentang tugas Pranata Komputer Ahli Madya
- melakukan review dokumen manajemen risiko; (Pasal 8, ayat 2, huruf b, item 41) tentang tugas Pranata Komputer Ahli Muda
- melakukan pengukuran risiko; (Pasal 8, ayat 2, huruf b, item 42) tentang tugas Pranata Komputer Ahli Muda
- dan lainnya
Permen itu jelas menjadi rujukan bagi seluruh instansi negeri, tak terkecuali institusi pendidikan negeri di bawah pemerintahan.
Bagaimana dengan kampus swasta? Kampus swasta tetap dapat melakukan adopsi beberapa hal dari Peraturan Menteri tersebut, dengan kustom sesuai dengan kebutuhan kampus. Penerapan standar keamanan menggunakan referensi standar internasional juga cukup disarankan, seperti melakukan adopsi item-item pada ISO-27001, atau bahkan COBIT, atau standar operasional pengelolaan IT lainnya.
Tiga fase Pengelolaan Insiden
Disebut risiko adalah jika ancaman belum terjadi. Jika telah terjadi, disebut insiden. Karena risiko ini tidak diketahui kapan terjadinya, maka perlu dikelola dan dipantau. Pada dunia keamanan data kampus, karena banyak hal yang perlu dikelola, maka ada cukup banyak hal yang perlu dipantau. Ada tiga fase masa pengelolaan insiden, yaitu didasarkan pada waktu, yaitu:
- Apa saja yang perlu dilakukan sebelum terjadi insiden (before)
- Persiapan backup
- Anjuran pengamanan kredensial (menganjurkan user password aman, dan diupdate)
- Mempersiapkan monitoring dan logging
- Mempersiapkan sistem keamanan (firewall, SIEM)
- External Information Gathering (google dorking, forum-forum)
- Security Testing (Penetration Testing, Vulnerability Assessment)
- Apa saja yang perlu dilakukan saat terjadi insiden (during)
- Penutupan akses sementara
- Persiapan dan pengamanan backup
- Peningkatan monitoring
- Analisis insiden
- Apa saja yang perlu dilakukan setelah terjadi insiden (after)
- Mitigasi
- Patching
- Restore Backup
- Clone
- Forensik
- Laporan pada pihak terkait (CSIRT, manajemen, vendor)
- Mitigasi
Profil Risiko dan Proses Umum Risiko
Dalam dunia Risk Management (RM), semua kegiatan yang dilakukan manusia akan memiliki risiko. Tak terkecuali seluruh penyelenggaraan Sistem Informasi dan infrastruktur IT Kampus. Masing-masing kegiatan tersebut akan memiliki risiko yang cukup banyak, yang akhirnya akan dimunculkan dalam daftar profil risiko. Sebuah Profil Risiko pada Sistem Informasi Akademik misal, dia akan memiliki banyak deskripsi risiko. Masing-masing deskripsi risiko itu biasanya akan dianalisis risikonya. Analisis tentang satu deskripsi risiko biasanya meliputi :
- Penyebab
- Dampak
- Analisis level : Likelihood (tingkat kemungkinan terjadi)
- Analisis level : Impact level
- Indikator risiko
- Treshold
- PIC
Sebagai contoh, sebuah sistem informasi yang telah terpublikasi biasanya akan memiliki risiko-risiko keamanan ancaman serangan yang dideskripsikan seperti berikut :
- Risiko serangan DDOS
- Risiko serangan SQL Injection
- Risiko hardware error
- Risiko overload
- Risiko kebocoran data
- dan lain sebagainya.
Misalnya, suatu tim keamanan data kampus, akan mendeskripsikan sebuah deskripsi risiko untuk “Serangan DDOS”, maka akan ditentukan indikator risiko, tingkat kemungkinan terjadi, hingga skala dampak. Jika jumlah indikator tersebut sudah mencapai treshold, maka perlu dilakukan mitigasi. Mitigasi adalah tindakan untuk mengurangi dampak risiko. Insiden mungkin tidak bisa dicegah, namun dampaknya dapat diminimalisir hingga zero impact.
Biasanya setiap profil risiko akan diberikan kode tersendiri, dan akan diletakkan pada visualisasi peta risiko. Jika sebuah deskripsi risiko yang memiliki skala dampak tinggi dan tingkat kemungkinan terjadi juga tinggi, maka dia akan dimasukkan dalam zona merah peta risiko, yang artinya malapetaka, atau risiko tersebut tidak dapat diterima, dan segera harus dilakukan mitigasi.
Pentingnya PIC Keamanan Data Kampus
Dengan semakin pentingnya dunia online bagi semua proses di Perguruan Tinggi, maka kepedulian keamanan data menjadi semakin penting. Sementara, sebuah puskom Perguruan Tinggi, dalam pengelolaan ekosistem teknologi informasinya, akan selalu melibatkan pihak yang cukup banyak. Antara lain misal :
- Mahasiswa
- Orang tua mahasiswa
- Vendor-vendor
- Penyedia sistem informasi
- Vendor infrastruktur bangunan
- Vendor dan konsultan pengkondisian udara (AC)
- Vendor kelistrikan
- Vendor penyedia layanan internet
- Vendor penyedia layanan jaringan internal
- Vendor server
- Vendor sistem pengelolaan kebakaran
- Vendor Cloud, contohnya ada di sini
- dan lain-lain
- Kampus lain
- Jalur struktural seperti misal LLDIKTI/Kopertis
- Bank
- Dan sebagainya
Semakin luas keterlibatan pihak lain, maka risiko itu akan semakin tinggi. Sementara, kadang masalah keamanan data kampus kadang dapat bermula dari hal yang sangat kecil. Misalnya kurang pedulinya sang mahasiswa dengan user password akses Sistem Informasi Akademiknya. Atau kurang pedulinya staff Sistem Informasi Akademik terhadap komputer yang dia gunakan.
Ancaman keamanan lain juga dapat muncul dari tidak amannya aplikasi yang digunakan. Mulai dari software yang digunakan, aplikasi berbasis web yang dideploy, hingga sistem database yang tidak aman. Di sisi infrastruktur server lebih krusial lagi. Kesalahan konfigurasi, atau tidak amannya sebuah setting network / server, dapat menjadikan malapetaka bagi seluruh ekosistem IT kampus.
Pertanyaannya, dalam hal ini, siapakah yang seharusnya bertanggung jawab?
Keamanan data, sebenarnya menjadi tanggung jawab semua pihak. Dalam dunia IT, masalah user password jebol saja dapat menjadi masalah besar bagi keseluruhan sistem. Kadang pengguna yang sama sekali awam tentang teknologi informasi, memilih penggunaan password lemah agar tidak kesulitan mengingat-ingat password, namun hal ini menjadi bumerang bagi pengguna itu dan pihak lain. Contoh lain, sebuah user mail misal, yang jebol passwordnya, akunnya dapat disalahgunakan untuk melakukan spamming, sehingga seluruh isi server terkena drop reputation, yang berimbas pada terblokirnya mail server tersebut mengirim data ke luar.
Dengan menilik dari Peraturan-peraturan Pemerintah, dan juga standar Manajemen Risiko, maka sudah selayaknya kampus memiliki tim penanggung jawab keamanan data kampus. Tim ini nantinya akan melakukan pengelolaan banyak hal untuk meningkatkan keamanan data kampus, beserta infrastruktur kampus. Tugas-tugas tersebut tentu akan sangat banyak, baik non teknis hingga hal teknis, misal antara lain :
- Menentukan grand plan terkait keamanan teknologi informasi lingkungan kampus
- Menentukan standardisasi operasional berkaitan dengan keamanan ekosistem IT kampus. Hal ini bisa juga dilanjutkan dengan standardisasi internasional, seperti penggunaan ISO 27001.
- Memberikan saran-saran, anjuran, sosialisasi dan peringatan terkait kepedulian keamanan data, pada seluruh komponen kampus, mulai dari rektor, hingga mahasiswa.
- Pendekatan pada komunitas-komunitas IT baik di lingkungan internal kampus, ataupun eksternal
- Menegakkan SOP akses ke infrastruktur IT kampus, baik untuk kalangan internal kampus, maupun vendor dari luar.
- Ikut menentukan keputusan, apakah sebuah aplikasi layak untuk dipublikasi atau tidak.
- Pemantauan masalah-masalah hardware, terutama berkaitan dengan umur dan kapasitas penggunaan
- Mempersiapkan penganggaran perangkat-perangkat keamanan, seperti firewall, SIEM atau perangkat lainnya untuk memperkuat keamanan data kampus
- External Information Gathering, penelusuran dan investigasi adanya kemungkinan data-data kampus yang tersebar di luar secara ilegal. Juga tentang penelusuran kemungkinan adanya aplikasi kampus yang dijadikan suspect web defacement misal via http://zone-h.org, atau situs hacking expose lainnya. Pencarian masalah melalui situs-situs security seperti https://sitecheck.sucuri.net/ atau https://transparencyreport.google.com/safe-browsing/search, untuk mendeteksi dini adanya kemungkinan domain kampus terblokir oleh situs-situs search engine, atau bahkan penyedia browser.
- Penentuan SOP dan prosesi Security Testing (penetration test, vulnerability assessment), baik oleh pihak luar maupun dalam
- Penentuan sistem pencadangan (backup)
- Penentuan perangkat monitoring
- Mengelola proses mitigasi terhadap masalah-masalah ancaman keamanan data kampus
- Melakukan prosedur forensik dalam kasus-kasus insiden keamanan
- Mempersiapkan pelaporan-pelaporan kepada pihak terkait masalah keamanan data. (CSIRT, ataupun laporan pada level struktural)
- dan lain sebagainya.
Banyak ya? Iya memang. Tentang prosedur penanggung jawab keamanan data kampus dapat saja menjadi sebuah buku sendiri. Namun memang inilah kenyataan yang dihadapi. Permenpan terbaru tentang jabatan fungsional Pranata Komputer, sudah menampilkan 35 kata keamanan, dibanding sebelumnya yang sama sekali belum dibahas.
Q: Lho bagaimana jika sebuah kampus, tidak menggunakan infrastruktur sendiri, alias sewa ataupun berhosting?
A : Penanggung jawab keamanan data kampus haruslah tetap ada. Kelak beliau akan bertugas berkoordinasi dengan tim vendor untuk masalah keamanan infrastruktur. Beliau juga akan bertugas memberikan sosialisasi, saran, anjuran dan peringatan pada para user, terkait dengan kepedulian keamanan data.
Q : Apakah pemegang profesi tersebut haruslah seorang hacker?
A : Tidak, namun seseorang yang memiliki kemampuan melakukan pengelolaan keamanan data secara luas. Karena kemungkinan beliau bekerja tidak sendirian.
Q : Kan di kampus saya ada para tim network dan system administrator dong, mereka bisa kan diarahkan ke sana?
A : Bisa banget bos, namun seperti yang tim eCampuz lihat, selama ini jarang sekali ada sebuah kampus yang telah memiliki tugas spesifik penanggung jawab keamanan data kampus.
Keamanan Data Kampus, Tanggung Jawab Siapa?
Pernahkah sobat kampus menghadapi masalah email? Email gagal dibuka, atau email kita tidak pernah terkirim? Email kita masuk folder spam? Email yang dikirim ke kita tidak sampai?
Sobat kampus, operasional server email adalah salah satu pekerjaan paling berat untuk para sysadmin. Hal ini karena email server bekerja dengan model trust score. Trust score ini melibatkan pihak eksternal, seperti mail-mail server lain dan juga RBL. RBL (Reputation Block List). Sebagian besar mail server dunia, menggunakan RBL-RBL yang sudah disediakan oleh para penyedia RBL.
Jika sebuah server email dinyatakan tidak dipercaya oleh email server lainnya, maka server email tersebut akan selalu gagal mengirim email secara normal. Jika server mail kita dinyatakan memiliki skor buruk oleh RBL, sudah pasti kita akan kesulitan mengirimkan email. Belum lagi berhadapan dengan GMail yang sangat galak dalam masalah spam. Sementara kita tahu, GMail adalah layanan email dengan pengguna paling banyak di dunia.
Satu Akun Mail Terambil Alih, Seisi Server Mail Bermasalah
Password email, sering menjadi target pencurian akun. Cara pencuriannya dengan banyak cara.
- Brute Force
- Phising
- Key Logging
- Sniffing
- Cara-cara lain, seperti mencuri data yang tercecer di publik internet, (git server, konfigurasi aplikasi, catatan-catatan yang tanpa sengaja terpublikasi)
Jika email account ini terambil alih oleh seseorang, maka si penyerang dapat menggunakan email account itu untuk spamming. Karena spam muncul dari domain/server kita, maka kita akan segera diblacklist. Email-emalil yang dikirim dianggap tidak trusted. Maka seluruh isi server dalam masalah. Membersihkan, mengkonfigurasi ulang, hingga merequest unblock dari pihak-pihak lain. Biasanya akan memakan waktu beberapa hari.
Kasus ini menunjukkan bahwa keamanan data, keamanan sistem bukan menjadi tanggung jawab satu orang saja, melainkan seluruh pihak, termasuk pengguna. Kasus lain yang dapat diambil adalah kasus akun aplikasi. Jika akun aplikasi kita mudah diakses pihak lain, maka seluruh sistem dapat saja menjadi masalah.
“Pada kenyataannya, hanya dengan membuka forlap dikti, seorang penyerang dapat dengan mudah membuka sistem informasi akademik milik mahasiswa di suatu universitas. Mengapa? Karena user dan password pada sistem akademik tersebut menggunakan NIM”.
Ini kenyataan, bahwa para pengguna layanan data masih merasa bahwa akunnya aman atau tidak berharga. Kasus tersebut, tergolong cukup banyak. Dari satu kasus tersebut, dapat saja memunculkan banyak masalah lainnya, karena satu pintu telah terbuka untuk para intruder.
Keamanan Data Kampus adalah Tanggung Jawab Bersama
Segitiga Keamanan, Kelengkapan dan Kemudahan adalah hal yang tidak akan pernah terjadi secara bersama. Jika ingin aman, kita memang diharapkan mau ribet. Mengubah password berkala memang ribet. Ribet mengingat-ingat juga. Memasang otentikasi dua faktor (2FA , Two Factor Authentication) juga hal yang ribet. Namun dari sana setidaknya ada hal yang dapat diharapkan, aplikasi kita akan setingkat lebih aman.
Yes, kita tahu bahwa para pengguna sistem di kampus, tidak selalu orang yang muda yang masih lincah dan suka dengan dunia IT. Kadang ada orang-orang yang sudah berusia yang sudah kesulitan mengejar ketertinggalan jaman. Namun bagaimanapun juga mereka bisa dilatih, bisa dianjurkan, bisa diberikan prosedur dalam bekerja. Salah satu tugas para penanggung jawab IT di kampus adalah memberikan prosedur dan layanan konsultasi akan hal itu. Akan lebih ringan lagi jika tugas tanggung jawab keamanan data kampus ini dapat secara spesifik diassign pada person tertentu.
Membahas keamanan data adalah hal yang tidak akan berakhir, kasus dan teknologi pendukungnya terus berkembang. Namun hal ini bukan menjadi halangan kita untuk meningkatkan keamanan data mulai dari kita sendiri. Saling mengingatkan juga hal yang baik, karena ancaman terhadap keamanan data ini sifatnya mencari kelemahan dan kelengahan. Beberapa waktu lalu, tim eCampuz sempat menggelar podcast dan juga webinar tentang keamanan data. Nah, kita nantikan lagi episode yang serupa tentang keamanan data lagi. Tentu hal ini sangat menarik, meskipun secara teknis belum dibahas di sini.
Akhirnya, saya sampaikan ada quote menarik yang berkembang di dunia maya, bagus juga untuk kita terapkan dalam kehidupan sehari-hari, ataupun juga dalam dunia password-password kita. Mari kita coba terapkan bersama.
Security start fom visibility