INDONESIA SECURITY INCIDENT RESPONSE

TEAM

ON INTERNET INFRASTRUCTURE

Iwan Sumantri
Wakil Ketua ID-SIRTII/CC
Founder JABAR-CSIRT
The Brief Profile of the National CSIRT of Indonesia The Coordination Center

Halaman 2

Masalah Keamanan Informasi

Manajemen / Pimpinan tidak peduli dengan Keamanan
Sistem Informasi (KSI)
Staf IT tidak memahami tentang KSI
Sistem keamanan rendah (Jaringan, OS & Aplikasi)
Tidak ada / sedikit investasi untuk pengembangan dan
pemeliharaan.
Pengembang / Konsultan tidak memperhatikan
keamanan sistem & aplikasi (bukan security
professional
Masih mempertahankan teknologi lama.
Hacking Tools sangat mudah didapat dan mudah
digunakan
Setiap orang bisa melakukan serangan (click kiddies)

CYBER ATTACK
to take over the resources

Trend Serangan Internet Dunia

Tingkat Keamanan Internet Nasional

Agustus 2013
Sangat
Buruk

Buruk

Sedang

Baik

Sangat Baik

September 2013
Sangat
Buruk

Buruk

Sedang

Baik

Sangat
Baik

Pemantauan Trafik Nasional (Jumlah Serangan)

Jumlah serangan Jan Sept 2013 : 39,9 Juta, 110.000/hari.

82% serangan kategori SQL, Malware, Web Base & Botnet.

Jumlah Insiden Website terbesar terjadi pada bulan Mei

2013, 3.126 insiden website.

Rata-rata 67% tingkat serangannya sangat berbahaya

Negara Sumber serangan :

CN, ID, BR.

Negara Target Serangan :

ID, US, CN, JP.

Insiden :
Statistik Serangan Website domain Indonesia
Tahun 2013
Jumlah Deface Perbulan Tahun 2013
Jumlah Deface 2013
3500
3126

3000
2500
2000
1500
1339

1000
500
0

980

1201
876

846

1401

1337

722

CYBER SECURITY
defending information assets

HOW TO PROTECT
Level Regulasi
Dokumen (Security Policy, Prosedur, dll)
Level Teknis (Operasional)
Security Design / Planning
Aplikasi
Topologi
Hardware

Regulasi
Regulasi
UU ITE (Undang-Undang Informasi dan Transaksi
Elektronik)
PP No. 82tahun 2012 tentang : Penyelenggaran Sistem
dan Transaksi Elektronik
Peraturan Pemerintah No. 05/SE/M.KOMINFO/07/2011
tentang : Penerapan Tata Kelola Keamanan Informasi
Bagi Penyelenggara Pelayanan Publik
Perbankan : PBI (Peraturan Bank Indonesia) no.
9/15/PBI/2007

Regulasi
UU ITE
Pasal 15
(1)Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan
Sistem Elektronik secara andal dan aman serta bertanggung
jawab terhadap beroperasinya Sistem Elektronik sebagaimana
mestinya.
Penjelasan :
Andal artinya Sistem Elektronik memiliki kemampuan yang sesuai
dengan kebutuhan penggunaannya.
Aman artinya Sistem Elektronik terlindungi secara fisik dan
nonfisik.

Kebijakan Keamanan Informasi

Kebijakan Keamanan
sebagai :

Informasi

didefinisikan

Sebuah rencana tindakan untuk menangani

masalah keamanan informasi,
atau satu set peraturan untuk mempertahankan
kondisi atau tingkat keamanan informasi
tertentu

Contoh
Seluruh akses terhadap sistem komputasi dan
informasi serta periferalnya harus dibatasi dan
koneksi ke jaringan, termasuk logon pengguna,
harus dikelola secara benar untuk menjamin
bahwa hanya orang/ peralatan yang diotorisasi
yang dapat terkoneksi ke jaringan.
Semua kejadian pelanggaran keamanan dan
setiap kelemahan sistem informasi harus segera
dilaporkan dan administrator harus segera
mengambil langkah-langkah keamanan yang
dianggap perlu.

Contoh
Akses jaringan nirkabel (private AP) yang
terhubung dengan jaringan internal (LAN) harus
dibatasi hanya untuk mereka yang berwenang
(authentication) dan mendapat persetujuan dari
Pengelola Jaringan Nirkabel dan Pengelola
Jaringan LAN.
Penggunaan password yang unik.

Hiraki Kebijakan, Standar, Pedoman,

Prosedur dan Praktek

Kebijakan, Standar, Pedoman, dan

Prosedur
Kebijakan : semua informasi bisnis harus dilindungi saat
ditransfer data.
Standar : semua informasi sensitif harus dienkripsi pada
saat transfer data dengan metode tertentu
Pedoman : menjelaskan cara terbaik melakukan dan
merekam transfer data sensitif & menyediakan
template untuk mencatat proses transfer tersebut.
Prosedur: Instruksi langkah demi langkah melakukan
transfer data terenkripsi dan memastikan kepatuhan
dengan kebijakan, standar & pedoman terkait.

Hiraki Kebijakan, Standar, Pedoman,

Prosedur dan Praktek

Hiraki Kebijakan, Standar, Pedoman,

Prosedur dan Praktek

3 Kategori Umum Kebijakan Keamanan

Informasi
Enterprise Information Security Policy (EISP)
Menentukan kebijakan keamanan informasi pada Organisasi
dan menciptakan kondisi keamanan informasi di setiap bagian
Organisasi.
Menetapkan arah strategi, jangkauan, & sifat Untuk berbagai
area keamanan organisasi
Menugaskan tanggung jawab untuk berbagai area Keamanan
Informasi.

3 Kategori Umum Kebijakan Keamanan

Informasi
Enterprise Information Security Policy (EISP)
Contoh :
Kebijakan Perlindungan data Perusahaan :
Informasi harus dilindungi dengan suatu cara dari sisi
kerahasiaan, integritas dan ketersediaannya.
Informasi perusahaan harus digunakan hanya untuk tujuan
bisnis dan diotorisasi dengan jelas oleh manajemen

Kebijakan SDM
BCP
Compliance

3 Kategori Umum Kebijakan Keamanan

Informasi
Issue Spesific Security Policy (ISSP)
Sebuah peraturan yang menjelaskan perilaku yang
dapat diterima dan tidak dapat diterima dari segi
keamanan informasi pada setiap teknologi yang
digunakan, misalnya e-mail atau penggunaan internet.
Menyediakan secara rinci, petunjuk dan sasaran untuk
menginstruksikan organisasi didalam penggunaan
sistem teknologi yg aman.
Dipakai untuk melindungi staf & organisasi dari
inefficiency.

3 Kategori Umum Kebijakan Keamanan

Informasi
Issue Spesific Security Policy (ISSP)
Contoh :

Penggunaan email
Penggunaan Internet dan akses website
Penggunaan peralatan pribadi untuk akses jaringan di kantor.
Konfigurasi minimum untuk melindungi terhadap malware.
Larangan terhadap hacking atau pengujian keamanan di
lingkungan organisasi tanpa ijin.

3 Kategori Umum Kebijakan Keamanan

Informasi
System Spesific Policy (SSP)
Pengendali konfigurasi penggunaan perangkat atau
teknologi secara teknis atau manajerial.
Boleh sering diciptakan untuk fungsi sebagai standar
atau prosedur untuk digunakan ketika melakukan
konfigurasi atau pemeliharaan sistem.

3 Kategori Umum Kebijakan Keamanan

Informasi
System Spesific Policy (SSP)
Contoh :

Desktop Policy
Windows Password Policy
Access Control List
Configuration Rules

Dokumen
SOP Keamanan Jaringan Nirkabel
Kebijakan KJN
Checklist Standar KJN
Prosedur
Prosedur Monitoring Aset dan KJN
Prosedur Pengujian KJN
Prosedur Pemetaan & Penilaian KJN

Instruksi Kerja Operasional

Pendeteksian WAP dan Status Enkripsi

Pendeteksian Kekuatan Sinyal dan Pelacakan
Monitoring Traffic
Langkah Mitigasi
Pengujian WAP
Langkah Mitigasi
Pemetaan dan Penilaian keamanan populasi WAP

Dokumen
SOP Keamanan Jaringan Nirkabel
Checklist, Daftar dan Form

Checklist Standar Keamanan Jaringan Nirkabel.

Hasil pendeteksian WAP
Temuan Keamanan Pada Perangkat WAP
Mitigasi dan Penanganan Ancaman
Laporan Temuan Perangkat WAP Palsu
Laporan Pemetaan Populasi WAP
Laporan Penilaian Keamanan Populasi WAP

Terima Kasih
Q and A
Iwan Sumantri
iwan@idsirtii.or.id
iwan@hotmail.com