Celah-celah keamanan pada apliaksi web seperti SQL Injection, XSS, RFI, LFI, Arbitary File Upload/Download, masih saja dijumpai hingga kini.
Password. Salah satu hal yang sepertinya paling tidak dipedulikan keamanannya. hampir pada semua situs pemerintah masih terdapat account dengan password-password yang tidak secure: 123456, admin, administrator, depkominfo, password menggunakan kode SKPD, dan masih banyak lagi.
Sepertinya kesadaran tentang keamanan masih perlu ditingkatkan. kalau tidak, maka jangan protes jika ada script kiddie yang bermain-main di area Admin dan berbuat kekacauan.
Hal yang sama terjadi pada Sistem Informasi yang digunakan. Banyak sekali account dengan password yang sangat tidak secure. Padahal pekerjaan yang dilakukan berbulan-bulan bisa hilang dalam sekejap dan berantakan jika ada orang jahat yang mengacak-acak data didalamnya
Webmail pemerintah masih menjadi sasaran empuk. Masih banyak yang menggunakan Squirrelmail kendati sudah lama sekali banyak isu keamanan pada squirrelmail.
Prinsip-prinsip Pengembangan dan Keamanan Situs Web :
1. Dalam pengembangan suatu situs informasi, Administrator harus memperhatikan prinsip tata
kelola teknologi informasi yang baik (IT governance) untuk layanan informasi publik
dengan memperhatikan ketersediaan, keutuhan dan kerahasiaan data.
2. Dalam proses pengembangan dan pengoperasian Situs, Penyelenggara Negara harus memperhatikan
aspek teknis, organisasi dan manajemen serta ketentuan hukum yang berlaku
3. Secara teknis pengembangan akan melibatkan pihak internal Web-admin, programmer, supervisor,
dan pengguna.
4. Dalam proses pendaftaran nama domain harus menggunakan Country Code Top Level Domain
Indonesia (.id), sesuai dengan ketentuan yang berlaku pada penggunaan nama domain untuk
instansi pemerintah.
5. Alamat email yang tercatat pada sistem pendaftaran nama domain harus atas nama orang yang
bertanggung jawab secara ex-officio dan/atau bertindak untuk dan atas nama secara
institusional terhadap penyelenggaraan Situs Web.
6. Dalam hal situs web adalah situs dari sistem informasi pemerintah, maka Administrator adalah
penyelenggara Negara yang mempunyai Tugas Pokok dan Fungsi serta kewenangan untuk itu.
7. Dalam hal situs web adalah Sistem Informasi Pemerintah sebagai sarana penyelenggaraan layanan
publik, maka situs tersebut adalah sarana umum yang berfungsi sebagaimana layaknya maklumat
pemerintah kepada publik dan setiap perbuatan yang mengganggu dan/atau mengakibatkan sistem
menjadi tidak berfungsi sebagaimana mestinya adalah suatu tindak pidana berdasar ketentuan
pidana yang berlaku.
Kebijakan Sistem Keamanan (Security policy):
1. Penyelenggara Negara harus menetapkan dan menerbitkan kebijakan sistem keamanan sesuai
karakteristik organisasi dan manajemen yang berlaku, dan harus mempunyai program sosialisasi
untuk kejelasan informasi itu kepada pengguna, serta menjamin penerapan pelaksanaan
kepatuhannya.
2. Kebijakan Keamanan (Security Policy) mengacu pada sistem manajemen keamanan informasi yang
substansinya antara lain sebagai berikut:
a. Menjelaskan fungsi dan peranan serta tanggung jawab Pihak Ketiga yang terkait dengan
keberadaan Situs-Web.
b. Menjelaskan bagaimana kebijakan sistem keamanan tersebut;
c. Menjelaskan bagaimana Pengorganisasian Sistem Keamanan;
d. Memperhitungkan dengan seksama resiko (risk assessment) dan mengenali kelemahan atau
kerentanan terhadap penyelenggaraan Situs Web;
e. Menjelaskan bagaimana melakukan pengelolaan/Manajemen Aset dengan memperhatikan informasi
dan perangkat pengolah informasi sebagai asset yang sangat berharga dan sepatutnya
diperhitungkan dengan baik;
f. Menjelaskan keamanan personal terhadap Sumber Daya Manusia yang digunakan dengan
memperhitungkan reputasi baik serta informasi detil personal data yang bersangkutan dan
pendistribusian tanggung jawab serta kapabilitasnya dan kemampuan tanggapan terhadap
insiden keamanan;
g. Menjelaskan program kewaspadaan terhadap Sistem Keamanan;
h. Kejelasan prosedur ataupun aturan terhadap kewenangan mengakses;
i. Kejelasan prosedur ataupun aturan sehubungan dengan kewajiban menjaga data pribadi
konsumen/pengguna sistem;
j. Kejelasan prosedur ataupun aturan untuk pembuatan dan penggunaan kode kunci pengakses
(password) .
Manajemen Keamanan Situs Web
Manajemen Keamanan Situs Web adalah serangkaian tindakan pengamanan termasuk namun tidak terbatas pada pembuatan atau penetapan prosedur-prosedur penggunaan/akses bagi staf atau kontraktor dalam rangka meminimalkan resiko keamanan, antara lain:
a. Menjamin keutuhan dan ketersediaan konten dan infrastruktur
b. Menjamin pengoperasian yang benar dan aman atas Situs Web, seperti kendali/kontrol atas server dan tidak meninggalkan sistem manajemen konten dalam keadaan tidak terjaga;
c. Menjamin perlindungan keutuhan informasi elektronik dan program komputer yang digunakan;
d. Mencegah kerusakan aset dan terhentinya aktifitas bisnis dan manajemen organisasi;
e. Melindungi keutuhan dan kerahasiaan data/informasi baik yang dikirimkan via situs maupun yang
tersimpan dalam infrastruktur Situs Web.
Standar Sistem Keamanan :
1) Keberadaan sistem keamanan setidaknya memperhatikan beberapa aspek antara lain sebagai
berikut;
a) Aspek Fisik dan Lingkungan Keamanan, yang mencakup proteksi perangkat dan informasi dari
kerusakan fisik dengan cara mengontrol akses terhadap informasi dan perangkat, termasuk
penentuan lokasi dan pengenalan siapa saja yang terkoneksi kedalam sistem.
b) Aspek Manajemen Operasi dan Komunikasi serta Manajemen Keberlanjutan Bisnis yang meliputi
antara lain:
(i) manajemen/tata kelola yang semestinya dan pengoperasian yang aman terhadap fasilitas
pengolahan informasi selama dilakukannya kegiatan harian dan menjaga sedapat mungkin
agar aktivitas bisnis atau penyelenggaraan layanan publik tidak terhenti sekiranya
terjadinya gangguan atau kerusakan terhadap sistem.
(ii) Pembagian dan/atau pemisahan tugas dan kewenangan, dan
(iii) Pemantau ketersediaan baik performa maupun kapasitasnya, serta keakuratan dan
kemutakhiran data, dan kerahasiaannya.
c) Aspek Teknis: Standar teknis keamanan paling tidak memperhatikan 3 tingkatan pertahanan
yakni:
(i) Tingkatan Sistem Operasi (OS Level);
(ii) Tingkatan Web Server,
(iii) Tingkatan Aplikasi Web (Web Aplication Level).
d) Aspek Legal: Desain dan Penyelenggaraan Situs Web serta pengadaan komponen-komponen dari
Situs Web harus diperoleh dan diselenggarakan secara sah.. Para Administrator atau
Penyelenggara Situs Web diharapkan berkonsultasi dan/atau berkoordinasi dengan ahli hukum
baik inhouse ataupun professional untuk meminta opini hukum agar penyimpanan informasi
yang sensitif dan data personal milik seseorang tidak salah secara hukum. Pada prinsipnya
hukum melindungi kerahasiaan informasi yang sensitif dan informasi individual, yang
mencakup tidak hanya tindakan perolehan dan penggunaan saja melainkan juga bagaimana
kewajiban standar penyimpanan ataupun pengumuman informasi kepada pihak ketiga. Pada
intinya, hukum akan melihat apakah perolehan informasi telah dilakukan secara sah (lawful
obtained) dan penanganannya sebagaimana-mestinya (treated fairly). Terhadap perolehan dan
penggunaan data personal yang tidak sebagaimana mestinya akan menuai gugatan si pemilik
informasi dan kemungkinan ancaman pidana.
2) Akses Kontrol: Mengendalikan akses kedalam informasi dan sistem informasi berdasarkan
kebutuhan aktifitas bisnis dan keamanan, menentukan siapa-siapa saja yang berhak mengakses
(3rd party, sys admin, content author), dan Proses Pemantauan dan Pengkajian Kembali terhadap
Akses secara berkala.
3) Keamanan situs ditentukan oleh konfigurasi yang benar dan aman, antara lain sebagai berikut:
i. Penentuan Aplikasi web server yang sesuai dengan interoprabilitas atau kompatibilitas
sistem yang telah ada;
ii. Penentuan Sistem operasi komputer dari web server;
iii. Penataan Jaringan Komputer Lokal dari web server;
iv. Sistem aplikasi pendukung yang berada di dalam web server (‘Back end’);
v. Otorisasi nama domain dari jaringan web server;
vi. Kendali akses jarak jauh terhadap web-server (Remote web server) seperti penggunaan FTP
dan server extensions lainnya;
vii. Keamanan fisik dan personel;
viii. Verifikasi regular terhadap kehandalan sistem.
Beberapa Langkah-langkah Pelengkap Keamanan Yang Direkomendasikan :
a. Pada dasarnya setiap program komputer menyimpan potensi kesalahan pemrograman (bug) yang baru
akan diketahui dibelakang hari. Umumnya setiap vendor akan selalu memperbaiki sistemnya
berdasarkan komentar dan/atau temuan permasalahan dari penggunanya dan mereka telah
mempersiapkan paket-paket program yang menyempurnakan kelemahan tersebut (patches). Upayakan
untuk selalu mengupdate paket-paket perbaikan tersebut secara berkala, ikuti cara
instalasinya dan perhatikan baik-baik kelemahan apa yang telah ditutup dengan keberadaan
paket tersebut.
b. Pada saat melakukan konfigurasi pada web server, yakinkan bahwa pengaturan terhadap kendali
akses (akses kontrols) telah disiapkan secara baik untuk semua direktori termasuk root
direktori dari web, antara lain sebagai berikut;
i. Pastikan bahwa struktur direktori web hanya dapat dimodifikasi oleh web-server
administrator
ii. Akses kepada halaman web hanya diperkenankan untuk membaca informasi sebagaimana adanya,
meskipun pengguna web mungkin akan meminta izin untuk memasukkan scripts atau program
agar informasi yang dimintanya menjadi lebih dinamis
iii. Pengguna Web tidak dapat melihat daftar direktori dalam web-server
iv. Jangan berikan akses bagi pengguna untuk melihat konfigurasi file dalam web-server
v. Tidak ada level yang lebih tinggi dari administrator dan tidak ada struktur direktori
diatas root dalam struktur direktori dari web-server
vi. Hindarkan semua konten yang tidak perlu, dan jangan aktifkan program atau mekanisme yang
tidak diperlukan
vii. Hapus semua halaman yang salah karena akan menampilkan informasi yang tidak patut
c. Terkait dengan akses kontrol dan privilege, jangan buat akses kontrol melebihi kewenangan
atau hak privilege kepada pengguna web karena akan dapat disalahgunakan.
d. Terkait dengan sistem pencatatan akses (Logging), perlu diperhatikan sebagai berikut:
i. Aktifkan sistem pencatatan kegiatan akses (log) pada web-server yang dapat melihat
aktivitas-aktivitas yang dilakukan pengguna dan melihat upaya-upaya untuk menjalan suatu
script yang tidak ada pada web-server. Log harus dapat menampilkan informasi tentang
koneksi yang dilakukan kepada web-server, kewenangan pengguna, tampilan pesan kesalahan,
dan informasi yang lain yang dapat dipergunakan untuk melakukan penelusuran sekiranya
terjadi akses illegal.
ii. Logs harus secara otomatis menyimpan dan mengupdate datanya dan mengirimkan data tersebut
kepada central management server. Hal ini dapat membuat tambahan pekerjaan bagi para
penyelusup untuk menghilangkan data tersebut pada lokal log files.
iii. Sistem pencatatan akses akan lebih baik jika dilengkapi sistem pendeteksi gangguan
penyusupan (Intrusion Detection Sistem).
Source : http://black-it.net/home/print-4da792cedb7eca78027800dd2912ed94.jsp
Tidak ada komentar:
Posting Komentar