MODULE 1 - INFORMATION SECURITY FUNDAMENTALS (Peretasan Etis)

-

 



Tujuan Modul

• Memahami kebutuhan akan keamanan • Menjelaskan elemen-elemen keamanan informasi • Menjelaskan segitiga keamanan, fungsionalitas, dan kegunaan • Menjelaskan motif, tujuan, dan sasaran dari serangan keamanan informasi • Menjelaskan klasifikasi serangan • Menjelaskan vektor serangan keamanan informasi • Mengetahui tentang undang-undang dan peraturan keamanan informasi

Apa Itu Keamanan Informasi?

Keamanan informasi adalah “keadaan kesejahteraan informasi dan infrastruktur di mana kemungkinan pencurian, pengubahan, atau gangguan terhadap informasi dan layanan dijaga agar tetap rendah atau berada pada tingkat yang dapat ditoleransi.” Keamanan informasi mengacu pada perlindungan atau penjagaan terhadap informasi dan sistem informasi yang digunakan, disimpan, dan dikirim dari akses, pengungkapan, perubahan, dan penghancuran yang tidak sah.

Kebutuhan Akan Keamanan

  1. Evolusi teknologi yang berfokus pada kemudahan penggunaan
  2. Ketergantungan pada penggunaan komputer untuk mengakses, menyediakan, atau sekadar menyimpan informasi
  3. Peningkatan lingkungan jaringan dan aplikasi berbasis jaringan
  4. Dampak langsung dari pelanggaran keamanan terhadap aset dan reputasi perusahaan
  5. Meningkatnya kompleksitas administrasi dan manajemen infrastruktur komputer

Saat ini, organisasi semakin bergantung pada jaringan komputasi karena pengguna dan karyawan mengharapkan untuk dapat bertukar informasi secepat pikiran. Selain itu, dengan perkembangan teknologi, fokus yang lebih besar diberikan pada kemudahan penggunaan. Tugas-tugas rutin kini bergantung pada penggunaan komputer untuk mengakses, menyediakan, atau hanya menyimpan informasi. Namun, karena aset informasi membedakan organisasi yang kompetitif dari yang lain sejenisnya, maka kontribusi aset tersebut terhadap modal perusahaan semakin meningkat. Ada rasa urgensi dari pihak organisasi untuk mengamankan aset-aset ini dari ancaman dan kerentanan yang mungkin terjadi.

Topik mengenai keamanan informasi sangat luas, dan tujuan dari kursus ini adalah memberikan kepada peserta pemahaman menyeluruh yang diperlukan untuk mengamankan aset informasi yang menjadi tanggung jawabnya.

Kursus ini berasumsi bahwa kebijakan organisasi sudah ada dan didukung oleh manajemen tingkat atas, serta bahwa tujuan dan sasaran bisnis yang berkaitan dengan keamanan telah dimasukkan ke dalam strategi perusahaan. Kebijakan keamanan merupakan spesifikasi tentang bagaimana objek-objek dalam suatu domain keamanan diizinkan untuk berinteraksi.

Pentingnya keamanan dalam konteks informasi dan telekomunikasi modern tidak dapat dilebih-lebihkan. Ada banyak alasan untuk mengamankan infrastruktur TIK. Awalnya, komputer dirancang untuk memfasilitasi penelitian, sehingga aspek keamanan tidak terlalu ditekankan karena sumber daya tersebut, yang pada saat itu masih langka, memang dimaksudkan untuk digunakan bersama. Namun, masuknya komputer ke dalam ruang kerja rutin dan kehidupan sehari-hari telah menyebabkan lebih banyak kendali dialihkan kepada komputer dan meningkatnya ketergantungan terhadapnya dalam mendukung tugas-tugas penting sehari-hari. Hal ini semakin meningkatkan penggunaan lingkungan berjaringan dan aplikasi berbasis jaringan.

Setiap gangguan jaringan berarti hilangnya waktu, uang, dan kadang bahkan nyawa. Selain itu, meningkatnya kompleksitas administrasi dan manajemen infrastruktur komputer menimbulkan dampak langsung dari pelanggaran keamanan terhadap basis aset perusahaan dan reputasi baiknya.

Elemen-Elemen Keamanan Informasi

Keamanan informasi bergantung pada lima elemen utama: kerahasiaan (confidentiality), integritas (integrity), ketersediaan (availability), keaslian (authenticity), dan anti-penyangkalan (non-repudiation).

Kerahasiaan (Confidentiality)

Kerahasiaan adalah jaminan bahwa informasi hanya dapat diakses oleh pihak yang berwenang. Pelanggaran terhadap kerahasiaan dapat terjadi karena penanganan data yang tidak tepat atau upaya peretasan. Kontrol untuk menjaga kerahasiaan meliputi klasifikasi data, enkripsi data, dan pembuangan peralatan secara benar (seperti DVD, flashdisk, dan sebagainya).

Integritas (Integrity)

Integritas adalah keandalan data atau sumber daya dalam mencegah perubahan yang tidak tepat dan tidak sah — jaminan bahwa informasi cukup akurat untuk tujuan penggunaannya. Langkah-langkah untuk menjaga integritas data dapat mencakup checksum (angka yang dihasilkan oleh fungsi matematika untuk memverifikasi bahwa suatu blok data tidak berubah) dan kontrol akses (yang memastikan hanya orang yang berwenang yang dapat memperbarui, menambah, atau menghapus data).

Ketersediaan (Availability)

Ketersediaan adalah jaminan bahwa sistem yang bertanggung jawab untuk menyampaikan, menyimpan, dan memproses informasi dapat diakses ketika dibutuhkan oleh pengguna yang berwenang. Langkah-langkah untuk menjaga ketersediaan data dapat mencakup disk array untuk sistem redundan dan mesin kluster, perangkat lunak antivirus untuk melawan malware, serta sistem pencegahan serangan DDoS (Distributed Denial-of-Service).

Keaslian (Authenticity)

Keaslian mengacu pada karakteristik komunikasi, dokumen, atau data apa pun yang memastikan bahwa data tersebut asli atau tidak rusak. Peran utama dari autentikasi adalah untuk memastikan bahwa pengguna benar-benar sah. Kontrol seperti biometrik, kartu pintar (smart card), dan sertifikat digital digunakan untuk menjamin keaslian data, transaksi, komunikasi, dan dokumen.

Anti-Penyangkalan (Non-Repudiation)

Anti-penyangkalan adalah cara untuk menjamin bahwa pengirim pesan tidak dapat menyangkal bahwa ia telah mengirim pesan tersebut, dan penerima tidak dapat menyangkal bahwa ia telah menerima pesan tersebut. Individu dan organisasi menggunakan tanda tangan digital (digital signature) untuk memastikan adanya anti-penyangkalan.

Segitiga Keamanan, Fungsionalitas, dan Kegunaan

Teknologi berkembang dengan kecepatan yang belum pernah terjadi sebelumnya. Akibatnya, produk-produk baru di pasaran kini lebih berfokus pada kemudahan penggunaan dibandingkan pada keamanan komputasi. Meskipun teknologi awalnya dikembangkan untuk tujuan penelitian dan akademik yang “jujur”, evolusinya tidak sejalan dengan peningkatan kemampuan pengguna. Selain itu, dalam proses perkembangan ini, para perancang sistem sering kali mengabaikan kerentanan yang mungkin muncul pada saat sistem diterapkan. Namun, dengan menambahkan lebih banyak mekanisme keamanan bawaan (default), pengguna dapat menjadi lebih kompeten.

Dengan meningkatnya penggunaan komputer untuk berbagai aktivitas rutin, para profesional keamanan semakin kesulitan mengalokasikan sumber daya semata-mata untuk mengamankan sistem. Hal ini termasuk waktu yang dibutuhkan untuk memeriksa file log, mendeteksi kerentanan, dan menerapkan pembaruan keamanan (security patches).

Aktivitas rutin saja sudah menghabiskan sebagian besar waktu para profesional sistem, sehingga menyisakan waktu yang relatif sedikit untuk melakukan administrasi yang waspada atau penerapan langkah-langkah keamanan secara berkala dan inovatif terhadap sumber daya komputasi. Fakta ini meningkatkan permintaan terhadap profesional keamanan khusus yang secara terus-menerus memantau dan melindungi sumber daya TIK (Teknologi Informasi dan Komunikasi).

Awalnya, istilah “hack” berarti memiliki keterampilan komputer luar biasa untuk menjelajahi fitur tersembunyi dari sistem komputer. Dalam konteks keamanan informasi, hacking didefinisikan sebagai eksploitasi terhadap kerentanan sistem dan jaringan komputer, yang memerlukan tingkat keahlian tinggi. Namun, saat ini telah tersedia berbagai alat dan kode otomatis di Internet yang memungkinkan siapa pun yang memiliki kemauan dapat melakukan peretasan. Meski begitu, sekadar berhasil membobol sistem tidak berarti peretasan tersebut benar-benar sukses. Ada situs-situs yang menyerukan untuk “merebut kembali Internet”, serta orang-orang yang percaya bahwa mereka melakukan kebaikan dengan mempublikasikan detail hasil eksploitasi mereka.

Kemudahan dalam mengeksploitasi kerentanan sistem semakin meningkat, sementara tingkat pengetahuan yang dibutuhkan untuk melakukannya semakin menurun. Konsep tentang “super attacker” elit hanyalah ilusi. Salah satu penghambat utama dalam pengembangan infrastruktur keamanan adalah keengganan korban serangan untuk melaporkan insiden tersebut, karena takut kehilangan kepercayaan dari karyawan, pelanggan, atau mitra bisnis, serta kehilangan pangsa pasar. Tren di mana aset informasi memengaruhi posisi pasar membuat banyak perusahaan berpikir dua kali sebelum melapor kepada pihak berwenang karena takut terhadap “pemberitaan buruk” dan publisitas negatif.

Lingkungan yang semakin terhubung melalui jaringan — dengan banyak perusahaan menggunakan situs web mereka sebagai titik kontak tunggal lintas batas geografis — menjadikan penting bagi profesional keamanan untuk mengambil langkah-langkah pencegahan terhadap eksploitasi yang dapat menyebabkan kehilangan data. Inilah alasan mengapa perusahaan perlu berinvestasi dalam langkah-langkah keamanan untuk melindungi aset informasinya.

Tingkat Keamanan dalam Sistem

Tingkat keamanan dalam suatu sistem dapat didefinisikan berdasarkan tiga komponen utama berikut:

  1. Fungsionalitas (Functionality): Kumpulan fitur yang disediakan oleh sistem.
  2. Kegunaan (Usability): Komponen antarmuka pengguna (GUI) yang dirancang agar sistem mudah digunakan.
  3. Keamanan (Security): Pembatasan yang diberlakukan terhadap akses ke komponen sistem.

Hubungan antara ketiga komponen ini digambarkan dalam bentuk segitiga, karena peningkatan atau penurunan salah satu komponen akan secara otomatis memengaruhi dua komponen lainnya. Memindahkan posisi “bola” ke arah salah satu komponen berarti menurunkan intensitas dari dua komponen lainnya.

Gambar tersebut menggambarkan hubungan antara fungsionalitas, kegunaan, dan keamanan. Misalnya, jika bola bergerak ke arah keamanan, berarti tingkat keamanan meningkat namun fungsionalitas dan kegunaan menurun. Jika bola berada di tengah segitiga, maka ketiga komponen tersebut berada dalam keadaan seimbang. Sebaliknya, jika bola bergerak ke arah kegunaan, maka kegunaan meningkat sementara fungsionalitas dan keamanan menurun.

Untuk setiap penerapan kontrol keamanan, ketiga komponen ini harus dipertimbangkan dan diseimbangkan dengan cermat, agar diperoleh tingkat fungsionalitas dan kegunaan yang dapat diterima dengan tingkat keamanan yang juga dapat diterima.

Tantangan Keamanan

Percepatan digitalisasi telah membawa banyak manfaat bagi industri TI dalam berbagai aspek; namun, hal ini juga membuka jalan bagi serangan siber yang semakin canggih serta munculnya berbagai tantangan keamanan siber. Setiap organisasi membutuhkan profesional keamanan untuk melindungi data sensitif dan pribadi mereka. Para profesional keamanan menghadapi banyak tantangan dan ancaman dari penyerang siber yang berniat mengganggu jaringan dan aset mereka.

Berikut ini adalah beberapa tantangan keamanan yang dihadapi oleh profesional keamanan dan organisasi:

  1. Kepatuhan terhadap undang-undang dan peraturan pemerintah
  2. Kurangnya tenaga profesional keamanan siber yang berkualifikasi dan terampil
  3. Kesulitan dalam memusatkan sistem keamanan di lingkungan komputasi terdistribusi
  4. Kesulitan dalam memantau proses secara menyeluruh (end-to-end) akibat infrastruktur TI yang kompleks
  5. Peraturan perlindungan data dan privasi yang terfragmentasi dan rumit
  6. Penggunaan arsitektur tanpa server (serverless architecture) serta aplikasi yang bergantung pada penyedia layanan cloud pihak ketiga
  7. Masalah kepatuhan serta kesulitan dalam penghapusan dan pengambilan data akibat penerapan kebijakan Bring Your Own Device (BYOD) di perusahaan
  8. Pemindahan data sensitif dari pusat data lama (legacy data centers) ke cloud tanpa konfigurasi yang tepat
  9. Tautan lemah dalam manajemen rantai pasokan (supply chain management)
  10. Peningkatan risiko keamanan siber, seperti kehilangan data, kerentanan yang belum ditambal, dan kesalahan akibat penggunaan shadow IT (penggunaan sistem atau perangkat tanpa persetujuan resmi TI)
  11. Kurangnya visibilitas penelitian dan pelatihan bagi karyawan TI

Motif, Tujuan, dan Sasaran dari Serangan Keamanan Informasi

Penyerang umumnya memiliki motif (tujuan) dan sasaran di balik serangan keamanan informasi yang mereka lakukan. Sebuah motif muncul dari anggapan bahwa sistem target menyimpan atau memproses sesuatu yang berharga, yang kemudian menimbulkan ancaman serangan terhadap sistem tersebut. Tujuan dari serangan bisa jadi untuk mengganggu operasi bisnis organisasi target, mencuri informasi berharga demi rasa ingin tahu, atau bahkan melampiaskan dendam.

Dengan demikian, motif atau tujuan ini bergantung pada kondisi mental penyerang, alasan mereka melakukan aktivitas tersebut, serta sumber daya dan kemampuan yang mereka miliki. Setelah penyerang menentukan tujuannya, mereka dapat menggunakan berbagai alat, teknik serangan, dan metode untuk mengeksploitasi kerentanan pada sistem komputer, kebijakan keamanan, atau kontrol yang ada.

Rumus serangan:

Serangan = Motif (Tujuan) + Metode + Kerentanan

Motif di Balik Serangan Keamanan Informasi

  1. Mengganggu kelangsungan bisnis
  2. Melakukan pencurian informasi
  3. Memanipulasi data
  4. Menimbulkan ketakutan dan kekacauan dengan mengganggu infrastruktur penting
  5. Menyebabkan kerugian finansial bagi target
  6. Menyebarkan keyakinan agama atau politik
  7. Mencapai tujuan militer suatu negara
  8. Merusak reputasi target
  9. Melampiaskan dendam
  10. Menuntut tebusan (ransom)

Klasifikasi Serangan (Classification of Attacks)

Menurut IATF (Information Assurance Technical Framework), serangan keamanan diklasifikasikan menjadi lima kategori utama:

Passive, Active, Close-in, Insider, dan Distribution Attacks.

1. Passive Attacks (Serangan Pasif)

Serangan pasif melibatkan penyadapan dan pemantauan lalu lintas jaringan atau aliran data pada jaringan target tanpa mengubah data apa pun. Penyerang melakukan pengintaian terhadap aktivitas jaringan menggunakan sniffer.

Serangan ini sangat sulit dideteksi, karena tidak ada interaksi langsung dengan sistem atau jaringan target. Tujuannya adalah menangkap data atau file yang sedang ditransmisikan tanpa sepengetahuan pengguna.

Contoh serangan pasif:

  • Footprinting
  • Sniffing & Eavesdropping
  • Analisis lalu lintas jaringan (Network Traffic Analysis)
  • Dekripsi pada lalu lintas terenkripsi lemah

2. Active Attacks (Serangan Aktif)

Serangan aktif mengubah data dalam perjalanan (data in transit) atau mengganggu komunikasi dan layanan antar sistem untuk membobol sistem yang dilindungi. Penyerang mengirim lalu lintas berbahaya ke sistem target dan dapat terdeteksi.

Tujuannya adalah mengeksploitasi data, menembus jaringan internal, atau mendapatkan akses jarak jauh.

Contoh serangan aktif:

  • Denial-of-Service (DoS)
  • Bypassing protection mechanisms
  • Malware (virus, worm, ransomware)
  • Modifikasi informasi
  • Spoofing & Replay attacks
  • Password attacks
  • Session hijacking
  • Man-in-the-Middle (MitM)
  • DNS & ARP poisoning
  • Compromised-key attack
  • Firewall & IDS attack
  • Arbitrary code execution
  • Privilege escalation
  • Backdoor access
  • Cryptography attacks
  • SQL Injection
  • XSS Attack
  • Directory Traversal
  • Eksploitasi software aplikasi & OS

3. Close-in Attacks (Serangan Dekat/Fisik)

Serangan ini dilakukan ketika penyerang berada dekat secara fisik dengan sistem atau jaringan target.

Tujuan utama adalah mengumpulkan atau memodifikasi informasi atau mengganggu akses. Penyerang dapat memperoleh akses melalui masuk diam-diam (surreptitious entry) atau area yang terbuka.

Contoh close-in attacks:

  • Social Engineering (eavesdropping, shoulder surfing, dumpster diving, dll.)

4. Insider Attacks (Serangan dari Orang Dalam)

Serangan ini dilakukan oleh orang tepercaya yang memiliki akses fisik atau hak istimewa ke aset kritis organisasi.

Insider dapat dengan mudah mengabaikan aturan keamanan, merusak sumber daya, atau mencuri data sensitif. Serangan ini sangat berbahaya karena sulit dikenali.

Contoh insider attacks:

  • Eavesdropping & wiretapping
  • Pencurian perangkat fisik
  • Social engineering
  • Pencurian atau perusakan data
  • Pod slurping (mengambil data dengan USB/device)
  • Menanam keylogger, backdoor, atau malware

5. Distribution Attacks (Serangan Distribusi)

Serangan ini terjadi ketika penyerang memodifikasi perangkat keras atau perangkat lunak sebelum dipasang di sistem target, yaitu saat dalam proses produksi atau distribusi.

Contohnya: backdoor yang sengaja dibuat oleh vendor atau dimanfaatkan penyerang.

Contoh distribution attacks:

  • Modifikasi software/hardware saat produksi
  • Modifikasi software/hardware saat pengiriman atau distribusi

Information Security Attack Vectors (Vektor Serangan Keamanan Informasi)

Attack vector adalah jalur atau cara yang digunakan penyerang (attacker) untuk masuk ke sistem komputer atau jaringan guna menjalankan aksi berbahaya (payload), mencuri data, atau merusak sistem.

1. Cloud Computing Threats

Ancaman pada layanan cloud (penyimpanan/pelayanan data online). Jika ada celah pada sistem satu pengguna, penyerang bisa masuk dan mengakses data pengguna lain yang ada di cloud.

2. Advanced Persistent Threats (APT)

Serangan yang dilakukan secara diam-diam dan jangka panjang, bertujuan mencuri informasi tanpa diketahui korban.

Biasanya menarget

pemerintah atau perusahaan besar

, menyerang lewat celah pada aplikasi, OS, atau sistem tertanam.

3. Viruses and Worms

  • Virus: Menempel pada file atau program, lalu menyebar saat file dibuka.

  • Worm: Menyebar otomatis melalui jaringan tanpa bantuan pengguna.

    Keduanya bisa masuk lewat file berbahaya, email spam, atau website jahat.

4. Ransomware

Jenis malware yang mengunci file atau sistem, lalu menuntut uang tebusan (ransom) agar akses dipulihkan. Masuk melalui lampiran email, aplikasi terinfeksi, atau situs berbahaya.

5. Mobile Threats

Ancaman pada perangkat mobile (smartphone).

Pengguna bisa mengunduh aplikasi berisi malware yang dapat:

  • Mengambil data pribadi
  • Mengakses kamera/mikrofon secara diam-diam
  • Memantau aktivitas pengguna

6. Botnet

Jaringan besar komputer yang sudah dikendalikan penyerang (disebut bot atau zombie).

Digunakan untuk:

  • Menyerang (DDoS)
  • Mengirim spam
  • Mencuri data

Antivirus biasa kadang tidak mendeteksi botnet.

7. Insider Attack

Serangan dari orang dalam organisasi yang memiliki akses resmi. Karena mereka tahu sistem internal, serangan ini sangat berbahaya dan sulit dideteksi.

8. Phishing

Upaya penipuan melalui email atau pesan palsu yang meniru situs resmi untuk mencuri:

  • Password
  • Nomor kartu kredit
  • Data pribadi

Biasanya lewat link palsu yang mirip situs asli.

9. Web Application Threats

Serangan melalui aplikasi web, contohnya:

  • SQL Injection

  • Cross-Site Scripting (XSS)

    Terjadi karena kesalahan coding atau kurangnya validasi input/output.

    Penyebab: deface, pencurian data, hingga membuat situs phishing.

10. IoT Threats

Perangkat IoT (kamera, smart home, wearables) sering minim keamanan karena keterbatasan hardware.

Penyerang bisa:

  • Mengambil kendali perangkat
  • Memata-matai pengguna
  • Menyerang jaringan utama

Bahas Berbagai Hukum dan Regulasi Keamanan Informasi

Hukum adalah suatu sistem aturan dan pedoman yang ditegakkan oleh negara atau komunitas tertentu untuk mengatur perilaku. Sebuah Standar adalah “dokumen yang ditetapkan berdasarkan konsensus dan disetujui oleh suatu badan yang diakui yang menyediakan, untuk penggunaan umum dan berulang, aturan, pedoman, atau karakteristik untuk aktivitas atau hasilnya, yang ditujukan untuk pencapaian tingkat keteraturan yang optimal dalam konteks tertentu.” Bagian ini membahas berbagai hukum dan regulasi yang berkaitan dengan keamanan informasi di berbagai negara.

Payment Card Industry Data Security Standard (PCI DSS)

Sumber: https://www.pcisecuritystandards.org

Payment Card Industry Data Security Standard (PCI DSS) adalah standar keamanan informasi proprietari untuk organisasi yang menangani informasi pemegang kartu untuk kartu debit, kredit, prabayar, e-purse, ATM, dan POS utama. Standar ini menawarkan standar yang kuat dan komprehensif serta materi pendukung untuk meningkatkan keamanan data kartu pembayaran. Materi ini mencakup kerangka kerja spesifikasi, alat, pengukuran, dan sumber daya pendukung untuk membantu organisasi memastikan penanganan informasi pemegang kartu yang aman. PCI DSS berlaku untuk semua entitas yang terlibat dalam pemrosesan kartu pembayaran, termasuk pedagang, pemroses, penerima, penerbit, dan penyedia layanan, serta semua entitas lain yang menyimpan, memproses, atau mengirimkan data pemegang kartu. PCI DSS terdiri dari seperangkat persyaratan minimum untuk melindungi data pemegang kartu. Payment Card Industry (PCI) Security Standards Council telah mengembangkan dan memelihara gambaran tingkat tinggi dari persyaratan PCI DSS.

PCI Data Security Standard – Gambaran Tingkat Tinggi

Bangun dan Pertahankan Jaringan yang Aman

  • Instal dan pertahankan konfigurasi firewall untuk melindungi data pemegang kartu
  • Jangan gunakan default yang disediakan vendor untuk kata sandi sistem dan parameter keamanan lainnya

Lindungi Data Pemegang Kartu

  • Lindungi data pemegang kartu yang disimpan
  • Enkripsi transmisi data pemegang kartu melalui jaringan publik terbuka

Pertahankan Program Manajemen Kerentanan

  • Gunakan dan perbarui secara berkala perangkat lunak atau program anti-virus
  • Kembangkan dan pertahankan sistem serta aplikasi yang aman

Terapkan Langkah-Langkah Kontrol Akses yang Kuat

  • Batasi akses ke data pemegang kartu berdasarkan kebutuhan bisnis untuk mengetahui
  • Tetapkan ID unik untuk setiap orang dengan akses komputer
  • Batasi akses fisik ke data pemegang kartu

Pantau dan Uji Jaringan Secara Berkala

  • Lacak dan pantau semua akses ke sumber daya jaringan dan data pemegang kartu
  • Uji secara berkala sistem dan proses keamanan

Pertahankan Kebijakan Keamanan Informasi

  • Pertahankan kebijakan yang membahas keamanan informasi untuk semua personel

ISO/IEC 27001:2013

Sumber: https://www.iso.org

ISO/IEC 27001:2013 menetapkan persyaratan untuk menetapkan, menerapkan, memelihara, dan terus meningkatkan sistem manajemen keamanan informasi dalam konteks suatu organisasi. Standar ini mencakup persyaratan untuk penilaian dan perlakuan terhadap risiko keamanan informasi yang disesuaikan dengan kebutuhan organisasi.

Regulasi ini dimaksudkan agar sesuai untuk beberapa penggunaan berbeda, termasuk:

  • Penggunaan dalam organisasi untuk merumuskan persyaratan dan tujuan keamanan
  • Penggunaan dalam organisasi sebagai cara untuk memastikan bahwa risiko keamanan dikelola secara efektif dari segi biaya
  • Penggunaan dalam organisasi untuk memastikan kepatuhan terhadap hukum dan regulasi
  • Mendefinisikan proses manajemen keamanan informasi baru
  • Mengidentifikasi dan memperjelas proses manajemen keamanan informasi yang ada
  • Penggunaan oleh manajemen organisasi untuk menentukan status aktivitas manajemen keamanan informasi
  • Menerapkan keamanan informasi yang mendukung bisnis
  • Penggunaan oleh organisasi untuk menyediakan informasi yang relevan tentang keamanan informasi kepada pelanggan

Health Insurance Portability and Accountability Act (HIPAA)

Sumber: https://www.hhs.gov

Aturan Privasi HIPAA memberikan perlindungan federal untuk informasi kesehatan yang dapat diidentifikasi secara individu yang dimiliki oleh entitas yang tercakup dan rekan bisnis mereka serta memberi pasien berbagai hak atas informasi tersebut. Pada saat yang sama, Aturan Privasi mengizinkan pengungkapan informasi kesehatan yang diperlukan untuk perawatan pasien dan keperluan penting lainnya.

Aturan Keamanan menetapkan serangkaian perlindungan administratif, fisik, dan teknis bagi entitas yang tercakup dan rekan bisnis mereka untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi kesehatan elektronik yang dilindungi.

Kantor Hak Sipil mengimplementasikan Statuta dan Aturan Penyederhanaan Administratif HIPAA, sebagaimana dibahas di bawah ini:

Electronic Transactions and Code Set Standards

Transaksi adalah pertukaran elektronik yang melibatkan transfer informasi antara dua pihak untuk tujuan tertentu. Health Insurance Portability and Accountability Act of 1996 (HIPAA) menetapkan jenis organisasi tertentu sebagai entitas yang tercakup, termasuk rencana kesehatan, clearinghouse perawatan kesehatan, dan penyedia layanan kesehatan tertentu. Dalam regulasi HIPAA, Sekretaris Health and Human Services (HHS) mengadopsi transaksi standar tertentu untuk Electronic Data Interchange (EDI) dari data perawatan kesehatan. Transaksi ini meliputi klaim dan informasi pertemuan, pembayaran dan nasihat remitansi, status klaim, kelayakan, pendaftaran dan pembatalan pendaftaran, rujukan dan otorisasi, koordinasi manfaat, dan pembayaran premi. Berdasarkan HIPAA, jika entitas yang tercakup melakukan salah satu transaksi yang diadopsi secara elektronik, mereka harus menggunakan standar yang diadopsi — baik dari ASC, X12N, atau NCPDP (untuk transaksi farmasi tertentu). Entitas yang tercakup harus mematuhi persyaratan konten dan format untuk setiap transaksi. Setiap penyedia yang melakukan bisnis secara elektronik harus menggunakan transaksi perawatan kesehatan, set kode, dan pengidentifikasi yang sama.

Privacy Rule

Aturan Privasi HIPAA menetapkan standar nasional untuk melindungi catatan medis dan informasi kesehatan pribadi lainnya serta berlaku untuk rencana kesehatan, clearinghouse perawatan kesehatan, dan penyedia layanan kesehatan yang melakukan transaksi perawatan kesehatan tertentu secara elektronik. Aturan ini mengharuskan perlindungan yang sesuai untuk menjaga privasi informasi kesehatan pribadi. Aturan ini menetapkan batasan dan kondisi atas penggunaan dan pengungkapan yang dapat dilakukan terhadap informasi tersebut tanpa otorisasi pasien. Aturan ini juga memberikan hak kepada pasien atas informasi kesehatan mereka, termasuk hak untuk memeriksa dan memperoleh salinan catatan kesehatan mereka serta meminta koreksi.

Security Rule

Aturan Keamanan HIPAA menetapkan standar nasional untuk melindungi informasi kesehatan pribadi elektronik individu yang dibuat, diterima, digunakan, atau dipelihara oleh entitas yang tercakup. Aturan Keamanan mengharuskan perlindungan administratif, fisik, dan teknis yang sesuai untuk memastikan kerahasiaan, integritas, dan keamanan informasi kesehatan elektronik yang dilindungi.

Employer Identifier Standard

HIPAA mengharuskan setiap pemberi kerja memiliki nomor nasional standar yang mengidentifikasi mereka pada transaksi standar.

National Provider Identifier Standard (NPI)

National Provider Identifier (NPI) adalah Standar Penyederhanaan Administratif HIPAA. NPI adalah nomor identifikasi unik yang diberikan kepada penyedia layanan kesehatan yang tercakup. Penyedia layanan kesehatan yang tercakup serta semua rencana kesehatan dan clearinghouse perawatan kesehatan harus menggunakan NPI dalam transaksi administratif dan finansial yang diadopsi berdasarkan HIPAA. NPI adalah pengidentifikasi numerik bebas kecerdasan dengan 10 posisi (nomor 10 digit). Ini berarti bahwa nomor tersebut tidak memuat informasi lain tentang penyedia layanan kesehatan, seperti negara bagian tempat mereka tinggal atau spesialisasi medis mereka.

Enforcement Rule

Aturan Penegakan HIPAA berisi ketentuan yang berkaitan dengan kepatuhan dan investigasi, serta penerapan denda moneter sipil atas pelanggaran terhadap Aturan Penyederhanaan Administratif HIPAA dan prosedur untuk sidang.

Sarbanes-Oxley Act (SOX)

Sumber: https://www.sec.gov

Disahkan pada tahun 2002, Sarbanes-Oxley Act bertujuan untuk melindungi publik dan investor dengan meningkatkan akurasi dan keandalan pengungkapan korporasi. Undang-undang ini tidak menjelaskan bagaimana sebuah organisasi harus menyimpan catatan, tetapi menjelaskan catatan apa yang harus disimpan oleh organisasi dan lamanya penyimpanan tersebut. Undang-undang ini mewajibkan beberapa reformasi untuk meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan memerangi penipuan korporasi serta akuntansi.

Persyaratan utama dan ketentuan SOX diatur dalam 11 judul:

Title I: Public Company Accounting Oversight Board (PCAOB)

Title I terdiri dari sembilan bagian dan membentuk Public Company Accounting Oversight Board untuk menyediakan pengawasan independen terhadap firma akuntansi publik yang memberikan jasa audit ("auditors"). Undang-undang ini juga menciptakan dewan pengawas pusat yang bertugas mendaftarkan jasa audit, menentukan proses dan prosedur spesifik untuk audit kepatuhan, memeriksa dan mengawasi perilaku serta pengendalian kualitas, dan menegakkan kepatuhan terhadap mandat khusus SOX.

Title II: Auditor Independence

Title II terdiri dari sembilan bagian dan menetapkan standar independensi auditor eksternal untuk membatasi konflik kepentingan. Ini juga membahas persyaratan persetujuan auditor baru, rotasi mitra audit, dan persyaratan pelaporan auditor. Undang-undang ini membatasi perusahaan audit untuk tidak memberikan layanan non-audit (seperti konsultasi) kepada klien yang sama.

Title III: Corporate Responsibility

Title III terdiri dari delapan bagian dan mewajibkan eksekutif senior untuk mengambil tanggung jawab individual atas akurasi dan kelengkapan laporan keuangan perusahaan. Undang-undang ini mendefinisikan interaksi antara auditor eksternal dan komite audit korporasi serta menentukan tanggung jawab pejabat perusahaan atas akurasi dan validitas laporan keuangan perusahaan. Undang-undang ini menetapkan batasan perilaku pejabat korporat dan menggambarkan kehilangan manfaat serta sanksi perdata untuk ketidakpatuhan.

Title IV: Enhanced Financial Disclosures

Title IV terdiri dari sembilan bagian. Undang-undang ini menjelaskan persyaratan pelaporan yang ditingkatkan untuk transaksi keuangan, termasuk transaksi off-balance-sheet, angka pro-forma, dan transaksi saham pejabat korporat. Ini mewajibkan pengendalian internal untuk memastikan akurasi laporan keuangan dan pengungkapan, serta mewajibkan audit dan laporan atas pengendalian tersebut. Undang-undang ini juga mewajibkan pelaporan tepat waktu atas perubahan material dalam kondisi keuangan dan tinjauan khusus atas laporan korporat oleh SEC atau agen-agen mereka.

Title V: Analyst Conflicts of Interest

Title V terdiri dari satu bagian yang membahas langkah-langkah yang dirancang untuk membantu memulihkan kepercayaan investor dalam pelaporan analis sekuritas. Undang-undang ini mendefinisikan kode etik bagi analis sekuritas dan mengharuskan mereka mengungkapkan konflik kepentingan yang diketahui.

Title VI: Commission Resources and Authority

Title VI terdiri dari empat bagian dan mendefinisikan praktik untuk memulihkan kepercayaan investor terhadap analis sekuritas. Ini juga mendefinisikan kewenangan SEC untuk menegur atau melarang profesional sekuritas dari praktik, dan menentukan kondisi untuk melarang seseorang berpraktik sebagai broker, penasihat, atau dealer.

Title VII: Studies and Reports

Title VII terdiri dari lima bagian dan mewajibkan Comptroller General dan Securities and Exchange Commission (SEC) untuk melakukan berbagai studi dan melaporkan temuan mereka. Studi dan laporan yang diperlukan mencakup dampak konsolidasi firma akuntansi publik, peran lembaga pemeringkat kredit dalam operasi pasar sekuritas, pelanggaran sekuritas, tindakan penegakan hukum, dan apakah bank investasi membantu Enron, Global Crossing, dan lainnya dalam memanipulasi pendapatan serta menyembunyikan kondisi keuangan sebenarnya.

Title VIII: Corporate and Criminal Fraud Accountability

Title VIII, juga dikenal sebagai “Corporate and Criminal Fraud Accountability Act of 2002,” terdiri dari tujuh bagian. Undang-undang ini menjelaskan hukuman pidana spesifik untuk manipulasi, penghancuran, atau perubahan catatan keuangan atau gangguan terhadap investigasi, serta menyediakan perlindungan tertentu bagi pelapor pelanggaran (whistle-blowers).

Title IX: White-Collar-Crime Penalty Enhancement

Title IX, juga dikenal sebagai “White Collar Crime Penalty Enhancement Act of 2002,” terdiri dari enam bagian. Judul ini meningkatkan hukuman pidana terkait kejahatan kerah putih dan konspirasi. Undang-undang ini merekomendasikan pedoman hukuman yang lebih kuat dan secara khusus menambahkan kegagalan untuk mensertifikasi laporan keuangan korporat sebagai pelanggaran pidana.

Title X: Corporate Tax Returns

Title X terdiri dari satu bagian yang menyatakan bahwa Chief Executive Officer harus menandatangani pengembalian pajak perusahaan.

Title XI: Corporate Fraud Accountability

Title XI terdiri dari tujuh bagian. Bagian 1101 merekomendasikan nama berikut untuk judul ini: “Corporate Fraud Accountability Act of 2002.” Undang-undang ini mengidentifikasi penipuan korporasi dan pengubahan catatan sebagai pelanggaran pidana dan menghubungkan pelanggaran tersebut dengan hukuman tertentu. Undang-undang ini juga merevisi pedoman hukuman dan memperkuat sanksi. Dengan melakukan itu, SEC diberdayakan untuk sementara membekukan transaksi atau pembayaran yang “besar” atau “tidak biasa.”

The Digital Millennium Copyright Act (DMCA)

Sumber: https://www.copyright.gov

DMCA adalah undang-undang hak cipta Amerika Serikat yang mengimplementasikan dua perjanjian tahun 1996 dari World Intellectual Property Organization (WIPO): WIPO Copyright Treaty dan WIPO Performances and Phonograms Treaty. Untuk memenuhi kewajiban perjanjian AS, DMCA mendefinisikan larangan hukum terhadap upaya pengelakan (circumvention) terhadap langkah-langkah perlindungan teknologi yang digunakan oleh pemilik hak cipta untuk melindungi karya mereka, dan terhadap penghapusan atau perubahan informasi manajemen hak cipta. DMCA terdiri dari lima judul:

Title I: Implementasi Perjanjian WIPO (WIPO TREATY IMPLEMENTATION)

Title I mengimplementasikan perjanjian WIPO. Pertama, ia membuat amandemen teknis tertentu pada hukum AS untuk memberikan referensi dan tautan yang sesuai ke perjanjian tersebut. Kedua, ia menciptakan dua larangan baru dalam Title 17 Kode AS—satu tentang pengelakan terhadap langkah-langkah teknologi yang digunakan oleh pemilik hak cipta untuk melindungi karya mereka dan satu lagi tentang pengubahan informasi manajemen hak cipta—dan menambahkan upaya hukum perdata serta sanksi pidana bagi pelanggaran terhadap larangan tersebut.

Title II: Pembatasan Tanggung Jawab atas Pelanggaran Hak Cipta Daring (ONLINE COPYRIGHT INFRINGEMENT LIABILITY LIMITATION)

Title II dari DMCA menambahkan bagian baru 512 ke dalam Undang-Undang Hak Cipta untuk menciptakan empat pembatasan baru atas tanggung jawab pelanggaran hak cipta oleh penyedia layanan daring.

Seorang penyedia layanan mendasarkan pembatasan ini pada empat kategori perilaku berikut:

  • Komunikasi transitory
  • System caching
  • Penyimpanan informasi yang diarahkan oleh pengguna pada sistem atau jaringan
  • Alat lokasi informasi

Bagian baru 512 juga mencakup aturan khusus mengenai penerapan pembatasan ini untuk institusi pendidikan nirlaba.

Title III: Pemeliharaan atau Perbaikan Komputer (COMPUTER MAINTENANCE OR REPAIR)

Title III dari DMCA memungkinkan pemilik salinan program untuk membuat reproduksi atau adaptasi ketika diperlukan untuk menggunakan program tersebut dalam kaitannya dengan komputer. Amandemen ini mengizinkan pemilik atau penyewa komputer untuk membuat atau mengizinkan pembuatan salinan program komputer dalam proses pemeliharaan atau perbaikan komputer tersebut.

Title IV: Ketentuan Lain-Lain (MISCELLANEOUS PROVISIONS)

Title IV berisi enam ketentuan lain-lain. Ketentuan pertama mengumumkan Klarifikasi Wewenang Kantor Hak Cipta; ketentuan kedua memberikan pengecualian untuk pembuatan “rekaman sesaat” (ephemeral recordings); ketentuan ketiga mendorong studi melalui pendidikan jarak jauh; ketentuan keempat memberikan pengecualian untuk Perpustakaan dan Arsip Nirlaba; ketentuan kelima mengizinkan Amandemen Webcasting terhadap Hak Pertunjukan Digital dalam Rekaman Suara, dan terakhir, ketentuan keenam membahas kekhawatiran tentang kemampuan penulis, sutradara, dan aktor film untuk mendapatkan pembayaran residual atas eksploitasi film ketika produser tidak lagi mampu melakukan pembayaran tersebut.

Title V: Perlindungan Desain Asli Tertentu (PROTECTION OF CERTAIN ORIGINAL DESIGNS)

Title V dari DMCA, yang disebut Vessel Hull Design Protection Act (VHDPA), menciptakan sistem baru untuk melindungi desain asli dari artikel berguna tertentu yang membuat artikel tersebut menarik atau berbeda secara tampilan. Untuk tujuan VHDPA, “artikel berguna” terbatas pada lambung kapal (hulls) (termasuk dek) dari kapal yang panjangnya tidak lebih dari 200 kaki.

The Federal Information Security Management Act (FISMA)

Sumber: https://csrc.nist.gov

Undang-Undang Manajemen Keamanan Informasi Federal tahun 2002 (FISMA) disahkan untuk menghasilkan beberapa standar dan pedoman keamanan utama yang diwajibkan oleh legislasi Kongres. FISMA menyediakan kerangka kerja komprehensif untuk memastikan efektivitas pengendalian keamanan informasi terhadap sumber daya informasi yang mendukung operasi dan aset federal. Undang-undang ini mewajibkan setiap lembaga federal untuk mengembangkan, mendokumentasikan, dan menerapkan program tingkat lembaga yang menyediakan keamanan informasi bagi informasi dan sistem informasi yang mendukung operasi dan aset lembaga tersebut, termasuk yang disediakan atau dikelola oleh lembaga lain, kontraktor, atau sumber lainnya. Kerangka kerja FISMA mencakup:

  • Standar untuk mengkategorikan informasi dan sistem informasi berdasarkan dampak terhadap misi
  • Standar untuk persyaratan keamanan minimum bagi informasi dan sistem informasi
  • Panduan untuk memilih pengendalian keamanan yang sesuai bagi sistem informasi
  • Panduan untuk menilai pengendalian keamanan dalam sistem informasi dan menentukan efektivitasnya
  • Panduan untuk otorisasi keamanan sistem informasi

General Data Protection Regulation (GDPR)

Sumber: https://gdpr.eu

General Data Protection Regulation (GDPR) adalah salah satu undang-undang privasi dan keamanan yang paling ketat di dunia. Meskipun dirancang dan disahkan oleh Uni Eropa (EU), peraturan ini memberlakukan kewajiban kepada organisasi di mana pun, selama mereka menargetkan atau mengumpulkan data yang berkaitan dengan orang-orang di EU. Peraturan ini mulai berlaku pada 25 Mei 2018. GDPR akan memberikan denda berat terhadap pihak yang melanggar standar privasi dan keamanannya, dengan penalti yang mencapai puluhan juta euro.

Dengan GDPR, Eropa menandakan sikap tegasnya terhadap privasi dan keamanan data ketika semakin banyak orang mempercayakan data mereka kepada layanan cloud, dan pelanggaran data menjadi kejadian sehari-hari. Peraturan ini sendiri bersifat luas, berdampak luas, dan relatif minim spesifikasi, sehingga membuat kepatuhan GDPR menjadi prospek yang menakutkan, terutama bagi usaha kecil dan menengah (UKM).

Prinsip Perlindungan Data GDPR

GDPR mencakup tujuh prinsip perlindungan dan akuntabilitas yang diuraikan dalam Pasal 5.1-2:

  • Lawfulness, fairness, and transparency: Pemrosesan harus sah, adil, dan transparan bagi subjek data.
  • Purpose limitation: Anda harus memproses data untuk tujuan sah yang ditentukan secara eksplisit kepada subjek data saat Anda mengumpulkannya.
  • Data minimization: Anda hanya boleh mengumpulkan dan memproses sebanyak mungkin data yang diperlukan untuk tujuan yang ditentukan.
  • Accuracy: Anda harus menjaga data pribadi tetap akurat dan mutakhir.
  • Storage limitation: Anda hanya boleh menyimpan data identifikasi pribadi selama diperlukan untuk tujuan yang ditentukan.
  • Integrity and confidentiality: Pemrosesan harus dilakukan sedemikian rupa untuk memastikan keamanan, integritas, dan kerahasiaan yang sesuai (misalnya, dengan menggunakan enkripsi).
  • Accountability: Pengendali data bertanggung jawab untuk menunjukkan kepatuhan GDPR terhadap semua prinsip ini.

Data Protection Act 2018 (DPA)

Sumber: https://www.legislation.gov.uk

DPA 2018 menetapkan kerangka kerja untuk undang-undang perlindungan data di Inggris. Undang-undang ini memperbarui dan menggantikan Data Protection Act 1998 dan mulai berlaku pada 25 Mei 2018. Undang-undang ini diamandemen pada 01 Januari 2021 melalui peraturan di bawah European Union (Withdrawal) Act 2018 untuk mencerminkan status Inggris di luar EU.

DPA adalah sebuah undang-undang untuk membuat ketentuan mengenai regulasi pemrosesan informasi yang berkaitan dengan individu; membuat ketentuan sehubungan dengan fungsi Information Commissioner berdasarkan regulasi tertentu yang berkaitan dengan informasi; membuat ketentuan untuk kode praktik pemasaran langsung, dan tujuan-tujuan yang terkait. DPA juga menetapkan aturan perlindungan data terpisah untuk otoritas penegak hukum, memperluas perlindungan data ke beberapa area lain seperti keamanan nasional dan pertahanan, serta menetapkan fungsi dan kewenangan Information Commissioner.

Perlindungan data pribadi

DPA melindungi individu terkait dengan pemrosesan data pribadi, khususnya dengan:

  • Mengharuskan data pribadi diproses secara sah dan adil, berdasarkan persetujuan subjek data atau dasar lain yang ditentukan,
  • Memberikan hak kepada subjek data untuk memperoleh informasi tentang pemrosesan data pribadi dan untuk meminta perbaikan atas data pribadi yang tidak akurat, dan
  • Memberikan fungsi kepada Commissioner, yang memberi pemegang jabatan tersebut tanggung jawab untuk memantau dan menegakkan ketentuan mereka.

Saat menjalankan fungsi berdasarkan GDPR, GDPR yang diterapkan, dan Undang-undang ini, Commissioner harus mempertimbangkan pentingnya memastikan tingkat perlindungan yang sesuai bagi data pribadi, dengan memperhatikan kepentingan subjek data, pengendali, dan pihak lain, serta hal-hal yang menjadi kepentingan publik umum.

Hukum Siber di Berbagai Negara

Cyberlaw atau hukum Internet mengacu pada setiap undang-undang yang berkaitan dengan perlindungan Internet dan teknologi komunikasi online lainnya. Cyberlaw mencakup topik seperti akses dan penggunaan Internet, privasi, kebebasan berekspresi, dan yurisdiksi. Hukum siber memberikan jaminan atas integritas, keamanan, privasi, dan kerahasiaan informasi di organisasi pemerintahan maupun swasta. Undang-undang ini menjadi menonjol karena peningkatan penggunaan Internet di seluruh dunia. Hukum siber berbeda berdasarkan yurisdiksi dan negara, sehingga penerapannya cukup menantang. Pelanggaran hukum ini mengakibatkan hukuman mulai dari denda hingga penjara.

Nama Negara Undang-Undang/Akta Website
United States Section 107 of the Copyright Law mentions the doctrine of “fair use” https://www.copyright.gov
Online Copyright Infringement Liability Limitation Act
The Lanham (Trademark) Act (15 USC §§ 1051 - 1127) https://www.uspto.gov
The Electronic Communications Privacy Act https://fas.org
Foreign Intelligence Surveillance Act https://fas.org
Protect America Act of 2007 https://www.justice.gov
Privacy Act of 1974 https://www.justice.gov
National Information Infrastructure Protection Act of 1996 https://www.nrotc.navy.mil
Computer Security Act of 1987 https://csrc.nist.gov
Freedom of Information Act (FOIA) https://www.foia.gov
Computer Fraud and Abuse Act https://energy.gov
Federal Identity Theft and Assumption Deterrence Act https://www.ftc.gov
Australia The Trade Marks Act 1995 https://www.legislation.gov.au
The Patents Act 1990
The Copyright Act 1968
Cybercrime Act 2001
United Kingdom The Copyright, Etc. and Trademarks (Offenses And Enforcement) Act 2002 https://www.legislation.gov.uk
Trademarks Act 1994 (TMA)
Computer Misuse Act 1990
The Network and Information Systems Regulations 2018
Communications Act 2003
The Privacy and Electronic Communications (EC Directive) Regulations 2003
Investigatory Powers Act 2016
Regulation of Investigatory Powers Act 2000
China Copyright Law of the People’s Republic of China (Amendments on October 27, 2001) http://www.npc.gov.cn
Trademark Law of the People's Republic of China (Amendments on October 27, 2001)
India The Patents (Amendment) Act, 1999, Trade Marks Act, 1999, The Copyright Act, 1957 http://www.ipindia.nic.in
Information Technology Act https://www.meity.gov.in
Germany Section 202a. Data Espionage, Section 303a. Alteration of Data, Section 303b. Computer Sabotage https://www.cybercrimelaw.net
Italy Penal Code Article 615 ter https://www.cybercrimelaw.net
Japan The Trademark Law (Law No. 127 of 1957), Copyright Management Business Law (4.2.2.3 of 2000) https://www.iip.or.jp
Canada Copyright Act (R.S.C., 1985, c. C-42), Trademark Law, Canadian Criminal Code Section 342.1 https://laws-lois.justice.gc.ca
Singapore Computer Misuse Act https://sso.agc.gov.sg
South Africa Trademarks Act 194 of 1993 http://www.cipc.co.za
Copyright Act of 1978 https://www.nlsa.ac.za
South Korea Copyright Law Act No. 3916 https://www.copyright.or.kr
Industrial Design Protection Act https://www.kipo.go.kr
Belgium Copyright Law, 30/06/1994 https://www.wipo.int
Computer Hacking https://www.cybercrimelaw.net
Brazil Unauthorized modification or alteration of the information system https://www.domstol.no
Hong Kong Article 139 of the Basic Law https://www.basiclaw.gov.h

Ringkasan Modul

Modul ini telah membahas kebutuhan akan keamanan; elemen-elemen keamanan informasi; segitiga keamanan, fungsionalitas, dan kegunaan; serta tantangan dalam keamanan. Modul ini juga mencakup motif, tujuan, dan sasaran dari serangan keamanan informasi secara mendetail. Selain itu, modul ini membahas klasifikasi serangan dan vektor serangan keamanan informasi. Terakhir, modul ditutup dengan pembahasan rinci mengenai berbagai undang-undang dan regulasi keamanan informasi.

Modul berikutnya akan memperkenalkan konsep-konsep dasar ethical hacking, termasuk metodologi cyber kill chain, konsep peretasan, klasifikasi peretas, dan berbagai fase dalam siklus peretasan.

Komentar

Posting Komentar

Postingan populer dari blog ini

Lab 1: Setup Topologi & Analisis ICMP dengan Wireshark (Keamanan Jaringan)

-
Gambar
Tujuan Di sesi ini kita akan: Menyiapkan topologi jaringan sederhana antara Windows Host dan Kali Linux VM . Menguji konektivitas dua arah dengan ping . Melakukan capture paket ICMP menggunakan Wireshark (Windows) dan tcpdump (Kali) . Menganalisis paket untuk memahami lapisan Ethernet, IP, dan ICMP.   Prasyarat & Topologi Host : Windows (sudah terinstal Wireshark). VM : Kali Linux. Jenis jaringan VM : Host-Only (direkomendasikan) atau Bridged . Contoh alamat IP jika Host-Only: Windows: 192.168.56.1 Kali: 192.168.56.101   Persiapan VM VirtualBox Settings → Network → Adapter 1 → Host-Only Adapter VMware VM Settings → Network Adapter → Host-Only Boot Windows & Kali . Pastikan Wireshark ada di Windows, dan tcpdump tersedia di Kali.   Langkah-Langkah Praktikum A. Cek alamat IP Di Kali: ip addr show # atau hostname -I   Catat IP (misalnya 192.168.56.102). ...
Baca selengkapnya

Panduan Lengkap: Cara Melindungi Perangkat dari Malware dan Ancaman Online

-
Di dunia digital yang semakin terhubung, melindungi perangkat Anda dari malware dan ancaman online adalah prioritas utama. Berikut adalah beberapa tips penting yang dapat membantu Anda menjaga keamanan perangkat Anda: 1. Berhati-hatilah Saat Mengklik Tautan atau Membuka Lampiran Email Mengapa : Tautan dan lampiran email dapat berisi malware yang dapat menginfeksi perangkat Anda. Tips : Hanya klik tautan dan buka lampiran dari sumber yang Anda kenal dan percayai. 2. Gunakan Kata Sandi yang Kuat dan Unik untuk Setiap Akun Mengapa : Kata sandi yang kuat dan unik dapat mencegah akses tidak sah ke akun Anda. Tips : Kata sandi yang kuat harus terdiri dari minimal 12 karakter dan menyertakan kombinasi huruf besar, huruf kecil, angka, dan simbol. 3. Aktifkan Autentikasi Dua Faktor (2FA) Mengapa : Autentikasi dua faktor menambahkan lapisan keamanan ekstra ke akun Anda. Tips : Selain kata sandi, Anda perlu memasukkan kode verifikasi dari ponsel Anda. 4. Berhati-hatilah Saat Mengunduh Perangkat L...
Baca selengkapnya

Tutorial Setup dan Pengujian Snort IDS (Keamanan Jaringan)

-
Gambar
  1. Beralih ke Root User Gunakan root agar memiliki akses penuh administrator: sudo su 2. Update Sistem Pastikan paket up-to-date. Import GPG key dari repo Kali: curl -fsSL https://archive.kali.org/archive-key.asc | sudo gpg --dearmor -o /usr/share/keyrings/kali-archive-keyring.gpg apt update 3. Install Snort Install Snort dengan: apt install snort -y Cek versi untuk memastikan berhasil: snort -V 4. Masuk ke Direktori Konfigurasi Snort cd /etc/snort/ ls -l 5. Konfigurasi Snort Utama Edit file konfigurasi: pico /etc/snort/snort.lua Tambahkan blok konfigurasi IPS: ips = { variables = default_variables, rules = [[ include /etc/snort/rules/local.rules ]] } Simpan (Ctrl+O, Enter, Ctrl+X). 6. Membuat Snort Rules Buat/ubah local.rules : pico /etc/snort/rules/local.rules Tambahkan rules deteksi scanning umum (1 baris tiap rule): alert tcp any any -> any any (msg:"Nmap SYN Scan Detected"; flags:S; sid:1000001; rev:1;) alert tcp an...
Baca selengkapnya