Pada hari Rabu,
12 Maret 1997 lebih dari 2.000 staff pengajar Indiana University menerima email
yang pesannya berisi apakah anda tahu bahwa kerahasiaan di Indiana University
bisa terjamin? Apakah mereka menghubungi anda tentang hal ini?
Pengirim
dari pesan ini adalah Glen Roberts dari kota minyak Pencylvania, yang memuat
dirinya di web home page yang berprofesi sebagai pengacara pribadi dan
pengusaha internet. Dari internet Robert mendapatkan file IU yang berisi nama dari 2.760 pengajar di IU lengkap
dengan nomor keamanan sosial, alamat,
nomor telepon yang semuanya di download dan di taruh di website-nya.
File ini sebelumnya dibuat oleh tamatan mahasiswa IU untuk memberikan informasi
untuk kepentingan penelitian dari pengajar sehingga mereka bisa untuk
meningkatkan pendapatannya bila ada orang-orang yang memerlukannya.
Semua
informasi di website IU seharusnya di protect/dilindungi dengan kata sandi/password. Menurut Norma
Holland, Direktur Computing Services, dia mengatakan bahwa kita mempunyai apa
yang dinamakan firewall untuk menjaga data-data mana yang tidak boleh dilihat
oleh umum hanya yang memiliki kata sandi saja yang bisa memperoleh data atau
informasi tersebut. Akan tetapi data yang sangat sensitive ini tidak dilindungi
oleh firewall. Menurut Jeffrey Albertus, seorang associate dekan, ini adalah
data yang hilang tanpa terdeteksi ketika proses sistem di upgrade untuk menjadikannya lebih aman. IU secepatnya memindahkan
data tersebut dan disimpan di gate way service
yang lama.
Dalam
suasana yang disebutkan sebagai “suatu pembuka mata” oleh wakil presiden public affairs Cristopher Simpson, masih
beruntung dimana kebanyakan data-data sensitif tidak membahayakan walaupun
sangat sensitif jika data seperti ini tersebar luas seperti ini. Ini sangat
jauh berbeda dengan orang-orang yang mempunyai akses untuk melihat data-data
sensitif yang memang merupakan hak miliknya. Ini adalah peringatan yang sangat
bagus dan bagaimana kita belajar dari pengalaman ini.
Akan
tetapi Roberts mengajukan tentang kemungkinan permasalahan lainnya yang
berhubungan dengan keamanan data-data. Anda harus ingat, walaupun dalam website
ini adanya informasi yang disebarkan dengan cara yang tidak mengenakkan, bahaya
sesungguhnya adalah bila ada orang secara diam-diam mendapatkan informasi dari
website anda dan digunakan untuk hal-hal yang tidak bertanggung jawab. Hal ini
ditulis di webpage dialog dengan Mark S Bhrun, IU informasi security officer.
Roberts
mengklaim bahwa kegiatan yang bersifat pribadi yang dibuat tahun 1974 melarang
agen-agen seperti IU untuk menanyakan sosial security number. SSN (Social
Security Number) ini sudah termasuk dalam data bagi para pengajar di IU di muat
di internet. Walaupun data-data ini bukan diperuntukkan untuk umum, namun
pihak-pihak yang mengumpulkan data-data seperti di internet jelas-jelas tidak
mengerti tentang pokok-pokok persepsi tentang hal-hal yang bersifat
pribadi/rahasia.
Penjelasan
dari Roberts
Roberts
digambarkan di surat kabar Pennsylvania sebagai seorang teman yang menyenangkan
dan sekaligus sebagai perusak komputer. Menurut Erie Times yang memuat tentang
profile Roberts beberapa bulan sebelum kejadian, dimana dia datang ke Oil City
dari wilayah Chicago dimana dia mempublikasikan sebuah topik yang membahas
tentang isu-isu yang bersifat pribadi. Dia sudah mengoperasikan program
gelombang radio jarak dekat dan sekarang dia sedang memprogram radio di
internet. Dia juga sebagai konsultan di Jaringan Televisi dan tampil pada
diskusi-diskusi lokal. Roberts juga mempublikasikan beberapa webpage dan
bekerja sebagai konsultan computer.
Roberts
mengatakan bahwa dia sudah berkecimpung dalam mempublikasikan isu-isu yang
bersifat pribadi lebih kurang selama 15
tahun. Ketertarikannya dimulai dengan menggunakan kebebasan untuk
mendapatkan informasi dan mendapatkan salinan dari dokumen-dokumen pemerintah. Dia sangat
terkejut dari jumlah informasi yang tersedia, yang mana orang – orang tidak
selalu memperhatikannya. Dia sebenarnya sudah tertarik untuk melihat SSN yang
memungkinkan penggunaan identitas seseorang secara ilegal.
Roberts menyatakan bahwa isu ini adalah isu
universitas yang mengumpulkan informasi dan memasukkannya ke dalam database
tanpa bermaksud untuk menyebarkan ke seluruh dunia akan tetapi dengan maksud untuk memberikan akses
orang-orang yang membutuhkan informasi itu.
Roberts
mengatakan bahwa dia mempublikasikan daftar dari IU sebab isu-isu yang bersifat
pribadi tidak selalu menjadi hal yang menarik
bagi orang lain sampai itu bisa
berpengaruh pada dirinya. Intinya bahwa hal-hal yang bersifat pribadi
adalah sangat penting tetapi hanya penting ketika mempengaruhi diri kita
sendiri. Itu yang sudah saya lakukan di web page yang lainnya. Orang-orang bisa
merasakan terlebih dahulu dan dengan pengalaman itu akan memunculkan lebih
banyak debat-debat publik dan langkah-langkah yang akan dilakukan yang
berhubungan dengan isu-isu tersebut. Dia menambahkan bahwa dia merasa terganggu
dengan orang-orang yang merasa tidak secara gratis yang tidak seorangpun
memikirkan bahwa informasi-informasi ini sudah terjual di seluruh dunia. Hal
semacam ini seharusnya diberlakukan juga di perusahaan-perusahaan, walaupun
mereka sudah menjual informasi-informasi tersebut.
Reaksi
dari Para Dosen
Banyak
dari dosen-dosen IU yang sudah dipublikasikan tidak setuju dengan taktik yang
diterapakan oleh Roberts. Mereka pada intinya mempermasalahkan bahwa SSN itu
sangat mudah didapatkan dan lebih dari 100 dosen memprotes taktik yang
dilakukan oleh Roberts. Saya pergi ke Roberts dan berkata “Saya menyukai
orang-orang yang waspada tetapi, perlukah informasi-informasi ini dimasukkan ke
website kamu untuk mencapai tujuanmu?” kata Kurt Zorn, urusan umum dan
lingkungan IU. Saya pikir dia lebih merusak dengan melakukan hal ini daripada
keteledoran yang dilakukan oleh IU. Akan
lebih effective bila dia mengingatkan kita akan masalah ini.
Profesor hukum
Ed Greenebaum menambahkan bahwa dia yakin telah membuat penialian tantang IU tanpa informasi yang
lengkap dan ini sangat tidak adil. Pengaruhnya dengan mempublikasikan kita atau
membawa kita ke dalam situasi yang berbahaya yang mana dia beralasan untuk
melakukan langkah antisipasi. Greenebaum mengatakan bahwa perhatian saya tidak
pada maksud dari IU akan tetapi kenapa data pribadi ini diperlakukan. Dalam
pandangan saya itu tidak konsisten untuk memfasilitasikan pendistribusian dari
SSN kita.
Dengan adanya
ancaman dari IU untuk melakukan tindakan hukum dan protes secara besar-besaran
dari team dosen IU, Roberts memindahkan data-data IU dari webpage-nya dan dia
berkata bahwa dia tidak punya maksud untuk memasukkan nama dan SSN tadi lagi.
Pengaruhnya
Pada tanggal 27
Maret, profesor yang menekuni keagamaan James Ackerman mengatakan bahwa dia
menerima tagihan telepon untuk penggunaan internet pada kredit cardnya yang
bukan merupakan kepunyaannya. Walaupun itu tidak dapat dibuktikan, dia yakin
sudah menggunakan namanya dan social security number dari webpagenya Robert.
Dalam dua
minggu, Ackerman meneerima tagihan telepon untuk internet, menerima telepon
dari AT&T yang menyatakan bahwa mereka siap melakukan telepon conference
yang mana dia tidak pernah melakukan permintaan tersebut, menerima pertanyaan
dari Ameritech menanyakan apakah dia melakukan telepon dari Jerman ke Portland,
Oregon dan menemukan adanya kartu telepon terbuka atas namanya.
William Boone,
profesor pendidikan mengatakan bahwa istrinya menerima pertanyaan dari MCI,
departemen yang mengurusi masalah penipuan. Mereka menanyakan tentgang telepon
yang dilakukan dari Jerman menggunakan nomer kartunya Boone. Walaupun tidak ada
bukti itu berasal dari webpage-nya Roberts, Boone dan yang lainnya yakin bahwa
kejadian nini bukan merupakan kejadian
yang kebetulan. Bagaimana mungkin dua profesor IU mendapatkan adanya penggunaan
telepon tanpa seijinnya dari Jerman? Bagaimana mungkin ini tiodak berhubungan
dengan isu web di seluruh dunia? kata Boone.
Istrinya Boone
mengatakan bahwa isuue ini belum
terselesaikan. Ini merupakan pelanggaran. Ini seperti seseorang mengenal
kamu tapi kamu tidak mengenal mereka. Ini sangat membuat kita tidak nyaman.
Situasi ini membuat Ackerman frustasi, dimana perusahaan creditcard bilang
bahwa mereka tidak bisa memblock social security numbernya. Ackerman juga
menghubungi kantor penasehat hukum IU, yang tidak bisa memberikan banyak bantuan.
Menurut mereka bahwa ini tidak hubunganya dengan webpage-nya Roberts kata
Michael Klein. Ada kalanya ini merupakan suatu kebetulan tapi kamu tidak tahu.
Akan tetapi, universitas sedang
menyelidiki apakah Roberts bisa dikenakan sanksi hukum bila dosen-dosen IU
mengalami kerugian secara finansial atau sebaliknya.
Klein
menambahkan dimana universitas sedang mempel;ajari isu penggunaan sosial
security number dalam proses belajar mengajar. Sebagai lembaga, kita sedang
mempelajari lebih mendalam apakah ada alternatif yang lainnya.
Permasalahan
Permasalahan yang paling mendasar
adalah kenapa data-data dari penelitian dan informasi pribadi para dosen IU
dapat diakses dengan mudah oleh semua orang dengan menggunakan social security
number?
Pembahasan
Masalah
Data atau
informasi mungkin diakses dan dibaca oleh orang yang salah dengan akibat yang
mungkin merugikan. Untuk itu keamanan data-data dan informasi di websitenya IU
harus dijaga. Pembetasan akses sangat diperlukan, yaitu untuk mencegah
pengaksesan data dan informasi oleh orang-orang yang tidak berhak dan untuk membatasi persetujuan oleh
orang-orang yang tidak berhak dan untuk
membatasi persetujuan oleh orang-orang yang berhak membatasi informasi
dan data tertentu.
Tindakan
keamanan sangat bermanfaat untuk membatasi persetujuan dalam pekerjaan seperti
pemisalan, pengesahan, dan otorisasi. Tindakan ini berhubungan dengan sistem
komputer.
a.
Pemisahan.
Data dan informasi merupakan rahasia
perusahaan secara fisik dan harus terisolasi dari akses-akses yang tidak legal.
Dengan demikian file acuan, file rahasia, program-program dan dokumentasi suatu
perpustakaan dijamin keamanannya. Proses utama sistem dan pengaturan data oleh
para pemakai harus terpisah dalam penyimpanan serta harus ada pembatasan dalam
perlindungannya.
b.
Pengesahan
dan Otorisasi. Para pemakai pengesahan mempunyai
kaitan dengan pengidentifikasian dan persetujuan para pemakai dalam memeriksa
prosedur. Apabila seseorang telah
dipercaya sebagai pemakai sistem, ia akan mendapatkan otorisasi istimewa
untuk mengakses sumber daya dan jasa
tertentu. Para pemakai memerlukan kata
sandi, lencana, kartu magnetik, atau kartu cerdas modul keamanan yang digunakan
dalam sistem ooperasi itu. Mencegah akses orang yang tidak berwenang tidaklah
cukup. Semua akan mencoba untuk
mengakses sistem komputer dan semua akses yang tidak memiliki otoritas
seharusnya dimonitor. Aktivitas yang tidak terjamin dapat diinvestigasi dan dihentikan sebelum melakukan
pelanggaran-pelanggaran keamanan.
Dua tipe dari log dan jenis khusus
dari software control acces yang memfasilitasi proses monitoring ini adalah:
a.
Access Log. Sebuah
access log umumnya merupakan sebuah
komponen dari sebuah modul sistem keamanan operasi, merekam semua percobaan
untuk berinteraksi dengan database. Log ini merefleksikan waktu, data, kode
dari seseorang yang mencoba mengakses, tipe dari pemeriksaan atau mode dari
permintaan akses dan data dapat diakses. Hal ini menciptakan jejak audit yang
seharusnya di-review oleh sistem keamanan.
b.
Console Log. Console Log atau
sebuah internal run log cocok untuk komputer mainframe yang menggunakan
pemrosesan batch. Hal itu merekam semua aktivitas atau kegiatan dari sistem
operasi dan operator komputer.
c.
Access Control
Software. Menyediakan pengendalian akses
level paling tinggi dibanding akses lain atau console log. Seperti software yang berhubungan dengan sistem
operasi komputer untuk membatasi akses file. Paket ini juga dapat menghasilkan
jejak audit dan dapat mendeteksi akses yang tidak berhak.
Kesimpulan
Data-data
dan informasi yang ada di website IU sangat mudah diakses oleh umum karena
tidak adanya tindakan pengamanan terhadap data-data dan informasi tersebut
yaitu yang berhubungan dengan pengesahan dan otorisasi para pemakai. Para
pemakai memerlukan kata sandi, lencana, kartu magnetik, atau kartu cerdas modul
keamanan yang digunakan dalam sistem operasi itu.
Tanpa
adanya kata sandi ini, semua data-data dan informasi termasuk social security number bisa didapat
dengan mudah di website IU. Mengacu dari kasus diatas, bahwa social security number ini bisa digunakan oleh orang-orang yang tidak
bertanggung jawab untuk melakukan penipuan dalam penggunaan credit card ataupun telepon.
Tidak ada komentar:
Posting Komentar