Manajemen-TI.com— “Bagai musuh dalam selimut” adalah sebuah peribahasa Indonesia yang merujuk kepada musuh yang berasal dari kalangan sendiri alias orang dalam. Musuh seperti ini biasanya memang lebih berbahaya dibanding musuh yang berasal dari luar. Senada dengan hal tersebut, sejak lama para pakar sekuriti TI juga mengatakan bahwa ancaman keamanan dari orang dalam itu lebih besar dibanding ancaman dari peretas eksternal. Ancaman yang dimaksud disini bisa berasal dari sebuah kesengajaan dengan motif-motif tertentu ataupun dari ketidak-sengajaan akibat praktik-praktik pengelolaan dan penggunaan TI yang kurang baik.
Premis tersebut diatas belakangan semakin mendapatkan justifikasinya menyusul berita seputar terbongkarnya informasi penyadapan yang telah bertahun-tahun dilakukan oleh pemerintah Amerika Serikat melalui National Security Agency (NSA) terhadap komunikasi telepon maupun email. Edward Snowden, sang peniup peluit, telah membongkar praktik penyadapan tersebut dan menyampaikan informasi super rahasia tersebut ke The Guardian dan The Washington Post.
Tak pelak dunia pun gempar dibuatnya. Berbagai protes bermunculan dari segala penjuru negeri. Tindakan pelanggaran privasi ini jelas melanggar sejumlah konstitusi AS. Tak kurang dunia pun melancarkan protes atas tindakan tersebut. Sebagian pejabat pemerintah AS pun menghujat Snowden sebagai pengkhianat negara. Alhasil, kasus ini kemudian merembet kemana-mana. Bahkan terbongkarnya kasus ini dikatakan juga turut memelorotkan popularitas presiden Obama di dalam negeri AS. Sementara pengamat bahkan memperkirakan skandal ini bisa seserius skandal Watergate bagi sang Presiden.
(Baca juga: Pesan Penting Snowden bagi Para CIO)
Kembali ke masalah orang dalam (insider), sebenarnya Snowden bukanlah orang dalam NSA. Edward Snowden adalah mantan teknisi CIA yang kemudian bekerja untuk Booz Allen Hamilton sebagai seorang analis infrastruktur NSA. Ya, dia sebenarnya hanya seorang kontraktor di NSA. Tapi jangan salah, walau hanya berstatus kontraktor tapi ternyata dia punya privilege seperti layaknya orang dalam.
Bayangkan saja, dalam sebuah wawancaranya dengan The Guardian, Snowden mengklaim punya akses untuk menyadap siapa saja dari meja kerjanya. “Saya dapat menyadap siapa saja. Apakah itu Anda atau Akuntan Anda. Apakah Anda seorang hakim federal atau bahkan Presiden….” Luar biasa hak akses yang dimiliki oleh seorang berstatus kontraktor. Dampak dari apa yang berhasil dia lakukan tak akan dapat terbayarkan walau misalnya nanti dia berhasil diekstradisi dari Hongong dan kemudian dihukum.
Namun demikian Data Breach Investigation Report yang dirilis Verizon tahun 2013 ini mengatakan bahwa orang dalam hanya bertanggung-jawab terhadap 14 persen kasus saja. Sementara pihak eksternal masih mutlak mendominasi penyebab terjadinya insiden peretasan data. Rendahnya angka serangan insider yang diungkap oleh laporan tersebut bisa jadi disebabkan karena banyak insiden yang tidak dipublikasikan. Hal ini bisa dimaklumi karena tereksposnya berita insiden keamanan oleh orang dalam ke luar dapat merusak kepercayaan dan reputasi dari organisasi itu sendiri.
Di luar itu, bisa jadi memang secara frekuensi kejadian serangan oleh orang dalam memang lebih rendah dibandingkan frekuensi serangan dari eksternal. Tapi perlu diingat bahwa dampak yang ditimbulkannya bagi organisasi bisa jauh lebih dahsyat dibanding serangan oleh orang luar.
Lalu, pertanyaan yang penting berikutnya adalah mungkinkah risiko serangan dari orang dalam ini dihilangkan? Menghilangkan sama sekali, tentu tidak mungkin.
Yang bisa kita usahakan adalah menekan risikonya sekecil mungkin.
Kembali ke kasus Snowden. Ternyata ada ribuan orang lain seperti Snowden berkeliaran di lingkungan pemerintah Amerika Serikat. Banyak kontraktor pemerintah yang diberi hak akses terhadap informasi-informasi sangat rahasia. Laura Colarusso dari The Daily Beast –misalnya—mengungkapkan bahwa dalam laporan yang disampaikan oleh Obama kepada Kongres disebutkan bahwa hingga Oktober 2012 terdapat sekitar 1,4 juta orang yang memiliki akses pada informasi super rahasia. Dan lebih dari 480 ribu diantaranya adalah kontraktor pemerintah.
Sungguh sebuah angka yang mencengangkan. Bisa kita bayangkan bagaimana kerentanan yang ditimbulkan oleh kondisi tersebut.
Lagi, kita bertanya apa yang dapat dilakukan untuk menangani ancaman dari orang-orang dalam seperti ini? Berdasarkan hasil riset yang dilakukan Software Engineering Institute (SEI), insiden orang dalam ini dapat terjadi akibat kombinasi permasalahan-permasalahan teknis, perilaku, dan organisasi. Solusi dari permasalahan-permasalahan tersebut adalah kombinasi dari kebijakan, prosedur dan teknologi. Lebih lanjut riset tersebut mengungkapkan bahwa ancaman dari para insider ini dapat berupa pencurian hak kekayaan intelektual, sabotase TI, fraud, spionase, serta yang terjadi tanpa disengaja.
Betapapun, tidak ada obat sakti yang cocok untuk segala situasi dan kondisi. Pastilah akan diperlukan penyesuaian dan pengecualian. Kita pun tidak akan pernah dapat mengendalikan segalanya. Hal lain yang sepertinya sepele tapi seringkali terbukti amat penting adalah bahwa dalam dunia keamanan TI, hindari sikap jumawa, perbanyak sahabat dan kurangi musuh. Seperti kata pepatah, seribu satu sahabat masih terlalu sedikit, sementara satu musuh sudah terlalu banyak.[manajemen-ti]
Tentang Penulis:
Umar Alhabsyi, MT, CISA, CRISC.
Merupakan konsultan senior IT Management, pendiri sekaligus direktur iValueIT Consulting (PT IVIT Konsulindo). Berpengalaman ekstensif dalam berbagai proyek konsultansi di bidang IT Planning, IT Governance, IT Audit, IT Performance Management, IT Service Management, SDM TI, dll untuk berbagai sektor organisasi dan perusahaan. Umar juga aktif dalam memberikan training dan seminar di bidang IT Management.
twitter: @umaralhabsyi.