Cyber Security
Apa itu Cybersecurity? Menurut ISO (International Organization for Standardization), tepatnya ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity. Cybersecurity atau cyberspace security adalah upaya yang dilakukan dalam menjaga kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) dari informasi di cyberspace . Adapun cyberspace merujuk pada lingkungan yang kompleks yang merupakan hasil dari interaksi antara orang, perangkat lunak, dan layanan di internet, yang didukung oleh perangkat teknologi informasi dan komunikasi (TIK) dan koneksi jaringan yang tersebar di seluruh dunia. Sedangkan menurut CISCO, cybersecurity adalah praktik melindungi sistem, jaringan, dan program dari serangan digital. Cybersecurity biasanya ditujukan untuk mengakses, mengubah, atau menghancurkan informasi sensitif, memeras uang dari pengguna, atau mengganggu operasional proses bisnis. Jadi, dapat disimpulkan bahwa cybersecurity atau keamanan siber sebagai tindakan untuk melindungi sistem komputer dari serangan digital atau akses ilegal. Terdapat beberapa elemen dari cybersecurity antara lain, application security, information security, cloud security, network security, disaster recovery/business continuity planning, operational security, dan end-user education. Elemen-elemen ini sangat penting guna memastikan keamanan cybersecurity secara keseluruhan, karena risiko terkena ancaman digital terus meningkat dan ancamannya pun semakin beragam. Maka dari itu, penting untuk melindungi sistem bahkan dari risiko terkecil sekalipun. Ancaman Cybersecurity 1. Cyber Crime 2. Cyber Warfare 3. Cyber Terrorism Metode Cyber Attack 1. Malware (Malicious Software) Malware adalah salah satu ancaman cyber paling umum, berbentuk software berbahaya yang dibuat untuk menganggu atau merusak komputer pengguna. Malware seringkali menyebar melalui lampiran email atau unduhan yang nampak sah, beberapa jenis malware yang umum dikenal yaitu: 2. Social engineering Social engineering adalah istilah yang digunakan untuk menggambarkan serangan yang didasarkan oleh interaksi manusia, dilakukan dengan memanipulasi pengguna untuk memberikan informasi sensitif seperti password, jawaban untuk pertanyaan keamanan, dan lainnya. Jenis ancaman ini memanfaatkan rasa ingin tahu manusia dan memancingnya untuk melakukan hal-hal yang mungkin terasa biasa saja, tetapi sebenarnya membahayakan. Sebagai contoh, aksi social engineering yang marak menimpa pengguna ojek online. Modus yang dijalankan adalah dengan menelpon korban dan menanyakan kode OTP (One Time Password), kode ini cukup penting untuk dapat mengambil alih akun korban. 3. Injeksi SQL Injeksi SQL (Structured Query Language) adalah jenis ancaman cybersecurity yang digunakan untuk mengambil kendali dan mencuri data dari pusat data. Penjahat siber memanfaatkan kerentanan dalam aplikasi berbasis data untuk memasukkan kode berbahaya ke dalam basis data melalui pernyataan SQL. Ini memberi mereka akses ke informasi sensitif yang terdapat dalam pusat data. 4. E-mail Spam dan Phishing Phishing merupakan bentuk penipuan yang biasanya hadir melalui email, penipu akan mengirimkan email menggunakan alamat yang mirip dengan sumber terpercaya dan mengelabui target menggunakan fake form login pada situs palsu yang menyerupai situs aslinya. Penipuan ini bertujuan untuk mencuri data sensitif seperti nomor keamanan kartu kredit (CVC), password, dan informasi penting lainnya. 5. Ancaman Domain Name Domain name adalah aset yang berharga karena dapat diperjualbelikan, disewa, dapat menjadi situs pemasang iklan sehingga menjadi sumber keuangan, bahkan dapat dijaminkan. Ada beberapa jenis ancaman cybersecurity yang berhubungan dengan nama domain, yaitu: 6. DoS (Denial of Service) Metode cyber crime ini mencegah sistem komputer memenuhi permintaan akses yang, sehingga pengguna yang berhak atau yang berkepentingan tidak dapat menggunakan layanan tersebut. Serangan DoS menargetkan bandwidth dan koneksi sebuah jaringan untuk dapat mencapai misinya, dengan membanjiri jaringan dan server dengan traffic menggunakan perangkat yang sudah tersedia pada jaringan itu sendiri, sehingga membuat pengguna yang sudah terkoneksi di dalamnya mengalami hilang koneksi. //AZS referensi : [1][2]
Blowfish Algorithm
Blowfish adalah algoritma kriptografi simetris dengan panjang blok 64-bit dan kunci yang dapat diubah. Diciptakan oleh Bruce Schneier pada tahun 1993, algoritma ini dirancang sebagai pengganti yang cepat dan gratis untuk DES dan IDEA. Kelebihan dan Kekurangan Algoritma Blowfish Kelebihan: Kekurangan: Penggunaan Algoritma Blowfish Identifikasi Algoritma Blowfish Blowfish memiliki ukuran blok 64-bit dengan kunci yang dapat berukuran 32 bit atau 448 bit. Ini memiliki 16 iterasi yang mirip dengan Feistel network, di mana setiap iterasi melibatkan permutasi yang bergantung pada kunci dan penggantian yang bergantung pada kunci dan data. Blowfish menggunakan S-box dan sub kunci untuk mengenkripsi dan mendekripsi data. Proses Enkripsi Blowfish Contoh Enkripsi dan Dekripsi Blowfish Misalkan Blowfish digunakan untuk mengenkripsi pesan “Halo dunia”. Prosesnya adalah sebagai berikut: Blowfish digunakan secara luas dalam berbagai aplikasi kriptografi dan masih menjadi pilihan populer meskipun telah muncul algoritma pengganti seperti Twofish. //TC ref : [1][2]
Anti-Keylogger: Pengertian dan Fungsinya
KeyLogger: Software Dasar untuk Melacak Ketukan Keyboard KeyLogger adalah perangkat lunak dasar yang dirancang untuk menangkap dan melacak ketukan yang dimasukkan oleh pengguna pada sistemnya. Meskipun berguna, KeyLogger dapat menjadi berbahaya jika jatuh ke tangan hacker atau penyerang keamanan siber, yang dapat mengakibatkan pencurian informasi pribadi dan sensitif pengguna. Anti-KeyLogger: Alat untuk Melindungi dari KeyLogger Anti-KeyLogger adalah alat yang digunakan untuk mengidentifikasi keberadaan KeyLogger di dalam sistem dan mencegahnya dari melacak atau merekam informasi pengguna. Dengan fungsi deteksi berbasis tanda tangan dan deteksi perilaku, Anti-KeyLogger membantu melindungi data rahasia dan sensitif dari serangan keamanan siber. Fungsi Anti-KeyLogger: Kelebihan Anti-KeyLogger: Kekurangan Anti-KeyLogger: Penggunaan Anti-KeyLogger: Beberapa contoh Anti-KeyLogger: //TC ref : [1][2]
Sertifikasi Cyber Security
Sertifikasi dalam bidang keamanan siber dapat menjadi jalan menuju pekerjaan impian kita. Pada titik tertentu dalam kehidupan profesional, sertifikasi keamanan TI dari organisasi pihak ketiga yang terkenal mungkin diperlukan. Sertifikasi Cyber Security Sertifikasi Cyber Security tersedia dalam berbagai bentuk dan subjek, seperti forensik, intrusi, hingga peretasan etis. Biasanya, sertifikasi ini dikelola oleh organisasi terakreditasi independen seperti CompTIA, EC Council, GIAC, ISACA, dan (ISC)². Program sertifikasi dibagi menjadi tiga kategori dalam organisasi terakreditasi ini: Biaya Sertifikasi Cyber Security Mendapatkan sertifikasi keamanan siber bisa mahal dan memakan waktu. Setiap sertifikasi tingkat pemula memerlukan waktu tiga sampai sembilan bulan untuk diselesaikan dan biaya sekitar $300-$600 untuk ujian. Namun, sertifikasi ini dapat membawa promosi, prospek pekerjaan yang lebih baik, dan kenaikan gaji. Memilih Sertifikasi yang Tepat Untuk memulai pelatihan tingkat pemula, kita dapat mempertimbangkan sertifikasi berikut: Sertifikasi Populer Sertifikasi dalam Cyber Security adalah investasi dalam karir yang bisa memberikan dampak signifikan pada prospek pekerjaan dan penghasilan. Pemilihan sertifikasi harus disesuaikan dengan tingkat keahlian dan minat dalam bidang keamanan siber. //TC ref : [1][2]
Cyber Security Tools
Melindungi lingkungan TI kita sangat penting. Setiap organisasi perlu mengambil keamanan siber dengan serius. Ada banyak serangan peretasan yang mempengaruhi bisnis dari berbagai ukuran. Peretas, malware, dan virus adalah beberapa ancaman keamanan nyata di dunia maya. Sangat penting bahwa setiap perusahaan menyadari serangan keamanan yang berbahaya dan perlu menjaga diri mereka tetap aman. Ada banyak aspek pertahanan siber yang perlu dipertimbangkan. Berikut adalah enam alat dan layanan penting yang perlu dipertimbangkan setiap organisasi untuk memastikan keamanan siber mereka sekuat mungkin. Mereka dijelaskan di bawah ini: Cyber Security Tools //TC ref : [1][2]
Tanda Tangan Digital
Tanda tangan digital adalah teknik matematis yang memvalidasi keaslian dan integritas pesan, perangkat lunak, atau dokumen digital. Teknik ini memungkinkan kita untuk memverifikasi nama penulis, tanggal dan waktu tanda tangan, serta mengautentikasi isi pesan. Tanda tangan digital menawarkan keamanan yang lebih tinggi dan dirancang untuk mengatasi masalah pemalsuan dan penyamaran dalam komunikasi digital. Otentikasi informasi bisnis berbasis komputer menghubungkan antara teknologi dan hukum. Hal ini juga membutuhkan kerja sama antara orang-orang dengan latar belakang profesional dan bidang keahlian yang berbeda. Tanda tangan digital berbeda dari tanda tangan elektronik lainnya tidak hanya dalam hal proses dan hasil, tetapi juga membuat tanda tangan digital lebih dapat digunakan untuk tujuan hukum. Beberapa tanda tangan elektronik yang diakui secara hukum sebagai tanda tangan mungkin tidak seaman tanda tangan digital dan dapat menyebabkan ketidakpastian dan perselisihan. Penerapan Tanda Tangan Digital Alasan penting untuk menerapkan tanda tangan digital dalam komunikasi adalah: Otentikasi Otentikasi adalah proses yang memverifikasi identitas pengguna yang ingin mengakses sistem. Dalam tanda tangan digital, otentikasi membantu mengautentikasi sumber pesan. Non-repudiation Non-repudiation berarti jaminan bahwa sesuatu tidak dapat disangkal. Ini memastikan bahwa seseorang dalam sebuah kontrak atau komunikasi tidak dapat kemudian menyangkal keaslian tanda tangan mereka pada dokumen atau file atau pengiriman pesan yang mereka kirimkan. Integritas Integritas memastikan bahwa pesan adalah nyata, akurat, dan terlindungi dari modifikasi pengguna yang tidak sah selama transmisi. Algoritma dalam Tanda Tangan Digital Tanda tangan digital terdiri dari tiga algoritma: Cara Kerja Tanda Tangan Digital Tanda tangan digital dibuat dan diverifikasi dengan menggunakan kriptografi kunci publik, juga dikenal sebagai kriptografi asimetris. Dengan menggunakan algoritma kunci publik, seperti RSA, seseorang dapat menghasilkan dua kunci yang terhubung secara matematis – satu adalah kunci pribadi, dan yang lainnya adalah kunci publik. Pengguna yang membuat tanda tangan digital menggunakan kunci pribadi mereka untuk mengenkripsi dokumen terkait tanda tangan. Hanya ada satu cara untuk mendekripsi dokumen tersebut, yaitu dengan menggunakan kunci publik penandatangan. Teknologi ini memerlukan semua pihak untuk mempercayai bahwa individu yang membuat tanda tangan telah berhasil menjaga kerahasiaan kunci pribadi mereka. Jika seseorang memiliki akses ke kunci pribadi penandatangan, ada kemungkinan mereka dapat membuat tanda tangan palsu atas nama pemegang kunci pribadi. Langkah-langkah yang diikuti dalam membuat tanda tangan digital adalah: Jenis Tanda Tangan Digital Platform pemrosesan dokumen yang berbeda mendukung berbagai jenis tanda tangan digital. Mereka dijelaskan di bawah ini: Tanda Tangan Bersertifikat Dokumen tanda tangan digital bersertifikat menampilkan pita biru unik di bagian atas dokumen. Tanda tangan bersertifikat mencakup nama penanda tangan dokumen dan penerbit sertifikat yang menunjukkan kepenulisan dan keaslian dokumen. Tanda Tangan Persetujuan Tanda tangan digital persetujuan pada dokumen dapat digunakan dalam alur kerja bisnis organisasi. Mereka membantu mengoptimalkan prosedur persetujuan organisasi. Prosedur ini melibatkan penangkapan persetujuan yang dibuat oleh kita dan individu lain serta menyematkannya dalam dokumen PDF. Tanda tangan persetujuan mencakup detail seperti gambar tanda tangan fisik kita, lokasi, tanggal, dan stempel resmi. Tanda Tangan Digital Terlihat Tanda tangan digital terlihat memungkinkan pengguna untuk menandatangani dokumen secara digital. Tanda tangan ini muncul pada dokumen dengan cara yang sama seperti tanda tangan pada dokumen fisik. Tanda Tangan Digital Tak Terlihat Tanda tangan digital tak terlihat membawa indikasi visual dari pita biru dalam dokumen di bilah tugas. Kita dapat menggunakan tanda tangan digital tak terlihat ketika kita tidak memiliki atau tidak ingin menampilkan tanda tangan kita tetapi perlu memberikan keaslian dokumen, integritasnya, dan asalnya. //TC ref : [1][2]
Standar Keamanan
Untuk membuat langkah-langkah keamanan siber menjadi eksplisit, diperlukan norma tertulis yang dikenal sebagai standar keamanan siber: serangkaian ketentuan umum untuk pelaksanaan ideal dari langkah-langkah tertentu. Standar ini dapat mencakup metode, panduan, kerangka acuan, dll. Standar ini memastikan efisiensi keamanan, memfasilitasi integrasi dan interoperabilitas, memungkinkan perbandingan langkah-langkah yang bermakna, mengurangi kompleksitas, dan menyediakan struktur untuk perkembangan baru. Sebuah standar keamanan adalah “spesifikasi yang diterbitkan yang menetapkan bahasa umum, dan mengandung spesifikasi teknis atau kriteria lain yang tepat serta dirancang untuk digunakan secara konsisten, sebagai aturan, panduan, atau definisi.” Tujuan dari standar keamanan adalah untuk meningkatkan keamanan sistem teknologi informasi (TI), jaringan, dan infrastruktur kritis. Standar keamanan yang ditulis dengan baik memungkinkan konsistensi di antara pengembang produk dan berfungsi sebagai standar yang dapat diandalkan untuk pembelian produk keamanan. Standar keamanan umumnya disediakan untuk semua organisasi terlepas dari ukuran atau industri dan sektor tempat mereka beroperasi. Bagian ini mencakup informasi tentang setiap standar yang biasanya diakui sebagai komponen penting dari strategi keamanan siber. 1. ISO ISO adalah singkatan dari International Organization for Standardization. Standar Internasional membuat segala sesuatu dapat bekerja. Standar ini menyediakan spesifikasi kelas dunia untuk produk, layanan, dan komputer, untuk memastikan kualitas, keamanan, dan efisiensi. Mereka sangat penting dalam memfasilitasi perdagangan internasional. Standar ISO resmi didirikan pada 23 Februari 1947. Ini adalah organisasi internasional independen, non-pemerintah. Saat ini, ISO memiliki keanggotaan dari 162 badan standar nasional dan 784 komite teknis dan subkomite yang mengurus pengembangan standar. ISO telah menerbitkan lebih dari 22.336 Standar Internasional dan dokumen terkait yang mencakup hampir semua industri, mulai dari teknologi informasi, keamanan pangan, hingga pertanian dan perawatan kesehatan. Seri ISO 27000 Ini adalah keluarga standar keamanan informasi yang dikembangkan oleh International Organization for Standardization dan International Electrotechnical Commission untuk menyediakan kerangka kerja yang diakui secara global untuk manajemen keamanan informasi terbaik. Ini membantu organisasi untuk menjaga aset informasi mereka tetap aman seperti detail karyawan, informasi keuangan, dan kekayaan intelektual. Kebutuhan akan seri ISO 27000 muncul karena risiko serangan siber yang dihadapi organisasi. Serangan siber semakin hari semakin meningkat menjadikan peretas sebagai ancaman konstan bagi industri mana pun yang menggunakan teknologi. Seri ISO 27000 dapat dikategorikan menjadi beberapa jenis. Mereka adalah: 2. UU IT Undang-Undang Teknologi Informasi juga dikenal sebagai ITA-2000, atau UU IT yang bertujuan utama untuk menyediakan infrastruktur hukum di India yang menangani kejahatan siber dan e-commerce. UU IT didasarkan pada Model Hukum PBB tentang E-Commerce 1996 yang direkomendasikan oleh Majelis Umum PBB. Undang-undang ini juga digunakan untuk memeriksa penyalahgunaan jaringan siber dan komputer di India. Undang-undang ini secara resmi disahkan pada tahun 2000 dan diubah pada tahun 2008. Undang-undang ini dirancang untuk memberikan dorongan kepada perdagangan elektronik, transaksi elektronik, dan kegiatan terkait lainnya yang berhubungan dengan perdagangan dan perdagangan. Ini juga memfasilitasi pemerintahan elektronik melalui catatan elektronik yang dapat diandalkan. UU IT 2000 memiliki 13 bab, 94 pasal, dan 4 jadwal. 14 pasal pertama berkaitan dengan tanda tangan digital dan pasal lainnya berkaitan dengan otoritas yang bersertifikat yang berlisensi untuk mengeluarkan sertifikat tanda tangan digital, pasal 43 hingga 47 memberikan hukuman dan kompensasi, pasal 48 hingga 64 berkaitan dengan banding ke pengadilan tinggi, pasal 65 hingga 79 berkaitan dengan pelanggaran, dan pasal 80 hingga 94 yang tersisa berkaitan dengan hal-hal lain dari undang-undang tersebut. 3. UU Hak Cipta Undang-Undang Hak Cipta 1957 yang diubah oleh Undang-Undang Amandemen Hak Cipta 2012 mengatur subjek hukum hak cipta di India. Undang-undang ini berlaku sejak 21 Januari 1958. Hak cipta adalah istilah hukum yang menggambarkan kepemilikan kontrol atas hak-hak kepada penulis “karya cipta asli” yang diabadikan dalam bentuk ekspresi berwujud. Karya cipta asli adalah distribusi karya ekspresi kreatif tertentu termasuk buku, video, film, musik, dan program komputer. Hukum hak cipta telah disahkan untuk menyeimbangkan penggunaan dan penggunaan ulang karya kreatif dengan keinginan para pencipta seni, sastra, musik untuk memonetisasi karya mereka dengan mengendalikan siapa yang dapat membuat dan menjual salinan karya tersebut. Undang-undang hak cipta mencakup hal-hal berikut: Undang-undang hak cipta tidak mencakup hal-hal berikut: 4. Hukum Paten Hukum paten adalah hukum yang mengatur penemuan baru. Hukum paten tradisional melindungi penemuan ilmiah berwujud, seperti papan sirkuit, elemen pemanas, mesin mobil, atau ritsleting. Seiring waktu, hukum paten telah digunakan untuk melindungi berbagai penemuan yang lebih luas seperti praktik bisnis, algoritma pengkodean, atau organisme yang dimodifikasi secara genetik. Ini adalah hak untuk mengecualikan orang lain dari membuat, menggunakan, menjual, mengimpor, mendorong orang lain untuk melanggar, dan menawarkan produk yang secara khusus disesuaikan untuk praktik paten. Secara umum, paten adalah hak yang dapat diberikan jika suatu penemuan: 5. Hak Kekayaan Intelektual (HKI) Hak kekayaan intelektual adalah hak yang memungkinkan pencipta, atau pemilik paten, merek dagang, atau karya berhak cipta untuk mendapatkan manfaat dari rencana, ide, atau aset tidak berwujud mereka sendiri atau investasi dalam sebuah kreasi. Hak-hak HKI ini diuraikan dalam Pasal 27 Deklarasi Universal Hak Asasi Manusia. Ini memberikan hak untuk mendapatkan manfaat dari perlindungan kepentingan moral dan material yang dihasilkan dari kepenulisan karya ilmiah, sastra, atau seni. Hak-hak kekayaan ini memungkinkan pemegangnya untuk menjalankan monopoli atas penggunaan barang tersebut untuk jangka waktu tertentu. //TC ref : [1][2]
Ancaman terhadap E-Commerce
E-Commerce merujuk pada aktivitas membeli dan menjual barang secara online. Secara sederhana, ini merujuk pada transaksi komersial yang dilakukan secara online. E-commerce dapat mengandalkan banyak teknologi seperti perdagangan seluler, pemasaran internet, pemrosesan transaksi online, transfer dana elektronik, manajemen rantai pasokan, pertukaran data elektronik (EDI), sistem manajemen inventaris, dan sistem pengumpulan data otomatis. Ancaman terhadap e-commerce terjadi dengan menggunakan internet untuk tujuan yang tidak adil dengan niat mencuri, penipuan, dan pelanggaran keamanan. Ada berbagai jenis ancaman e-commerce. Beberapa adalah kecelakaan, beberapa sengaja, dan beberapa dari mereka disebabkan oleh kesalahan manusia. Ancaman keamanan yang paling umum adalah sistem pembayaran elektronik, uang elektronik, penyalahgunaan data, penipuan kartu kredit/debit, dll. Sistem pembayaran elektronik: Dengan perkembangan pesat teknologi komputer, seluler, dan jaringan, e-commerce telah menjadi bagian rutin dari kehidupan manusia. Dalam e-commerce, pelanggan dapat memesan produk dari rumah dan menghemat waktu untuk melakukan hal lain. Tidak perlu mengunjungi toko atau tempat belanja. Pelanggan dapat memilih berbagai toko di Internet dalam waktu yang sangat singkat dan membandingkan produk dengan berbagai karakteristik seperti harga, warna, dan kualitas. Sistem pembayaran elektronik memainkan peran yang sangat penting dalam e-commerce. Organisasi e-commerce menggunakan sistem pembayaran elektronik yang merujuk pada transaksi moneter tanpa kertas. Ini merevolusi proses bisnis dengan mengurangi kertas kerja, biaya transaksi, dan biaya tenaga kerja. Pengolahan e-commerce ramah pengguna dan membutuhkan waktu lebih sedikit daripada pengolahan manual. E-commerce membantu organisasi bisnis memperluas jangkauan pasar mereka. Namun, ada risiko tertentu dengan sistem pembayaran elektronik. Beberapa di antaranya adalah: Risiko Penipuan Sistem pembayaran elektronik memiliki risiko penipuan yang besar. Perangkat komputasi menggunakan identitas seseorang untuk mengotorisasi pembayaran seperti kata sandi dan pertanyaan keamanan. Otentikasi ini tidak sepenuhnya memastikan identitas seseorang. Jika kata sandi dan jawaban pertanyaan keamanan cocok, sistem tidak peduli siapa yang ada di sisi lain. Jika seseorang memiliki akses ke kata sandi atau jawaban pertanyaan keamanan kita, dia akan mendapatkan akses ke uang kita dan bisa mencurinya dari kita. Risiko Penghindaran Pajak Hukum Internal Revenue Service mensyaratkan setiap bisnis untuk menyatakan transaksi keuangannya dan menyediakan catatan kertas sehingga kepatuhan pajak dapat diverifikasi. Masalah dengan sistem elektronik adalah bahwa mereka tidak masuk dengan baik ke dalam paradigma ini. Hal ini membuat proses pengumpulan pajak sangat menjengkelkan bagi Internal Revenue Service. Adalah pada pilihan bisnis untuk mengungkapkan pembayaran yang diterima atau dibuat melalui sistem pembayaran elektronik. IRS tidak memiliki cara untuk mengetahui apakah itu mengatakan kebenaran atau tidak yang membuatnya mudah untuk menghindari pajak. Risiko Konflik Pembayaran Dalam sistem pembayaran elektronik, pembayaran ditangani oleh sistem elektronik otomatis, bukan oleh manusia. Sistem ini rentan terhadap kesalahan ketika menangani jumlah pembayaran besar secara berkala dengan lebih dari satu penerima yang terlibat. Penting untuk terus memeriksa slip gaji kita setelah setiap periode pembayaran berakhir untuk memastikan semuanya masuk akal. Jika tidak, ini dapat mengakibatkan konflik pembayaran yang disebabkan oleh gangguan teknis dan anomali. E-cash E-cash adalah sistem uang tanpa kertas yang memfasilitasi transfer dana secara anonim. E-cash gratis untuk pengguna sementara penjual membayar biaya untuk ini. Dana e-cash dapat disimpan baik di kartu itu sendiri atau dalam akun yang terkait dengan kartu itu. Contoh-contoh umum dari sistem e-cash adalah kartu transit, PayPal, GooglePay, Paytm, dll. E-cash memiliki empat komponen utama- Dalam e-cash, kami menyimpan informasi keuangan di komputer, perangkat elektronik, atau di internet yang rentan terhadap hacker. Beberapa ancaman utama terkait dengan sistem e-cash adalah- Backdoors Attacks Ini adalah jenis serangan yang memberikan penyerang akses tidak sah ke sistem dengan melewati mekanisme otentikasi normal. Ini bekerja di latar belakang dan menyembunyikan dirinya dari pengguna yang membuatnya sulit dideteksi dan dihapus. Denial of service attacks Denial of service attack (DoS attack) adalah serangan keamanan di mana penyerang mengambil tindakan yang mencegah pengguna yang sah (benar) dari mengakses perangkat elektronik. Ini membuat sumber daya jaringan tidak tersedia untuk pengguna yang dituju dengan sementara mengganggu layanan host yang terhubung ke Internet. Direct Access Attacks Direct Access Attacks adalah serangan di mana seorang peretas mendapatkan akses fisik ke komputer untuk melakukan aktivitas tidak sah dan menginstal berbagai jenis perangkat lunak untuk mengompromikan keamanan. Perangkat lunak ini dimuat dengan cacing dan mengunduh sejumlah besar data sensitif dari korban target. Eavesdropping Ini adalah cara tidak sah untuk mendengarkan komunikasi pribadi melalui jaringan. Ini tidak mengganggu operasi normal sistem yang ditargetkan sehingga pengirim dan penerima pesan tidak menyadari bahwa percakapan mereka dilacak. Penipuan Kartu Kredit/Debit Kartu kredit memungkinkan kita meminjam uang dari bank penerima untuk melakukan pembelian. Penerbit kartu kredit memiliki syarat bahwa pemegang kartu akan mengembalikan uang yang dipinjam dengan biaya yang disepakati. Kartu debit adalah kartu plastik yang dikeluarkan oleh organisasi keuangan kepada pemegang rekening tabungan yang dapat digunakan sebagai pengganti uang tunai untuk melakukan pembelian. Kartu debit dapat digunakan hanya ketika dana tersedia di rekening. Beberapa ancaman penting yang terkait dengan kartu debit/kredit adalah- ATM (Automated Teller Machine)- Ini adalah tempat favorit para penipu di mana mereka dapat mencuri detail kartu kita. Beberapa teknik penting yang digunakan penjahat untuk mendapatkan informasi kartu kita adalah: Skimming- Ini adalah proses menempelkan perangkat pengambil data pada pembaca kartu ATM. Ketika pelanggan menggesekkan kartu mereka di pembaca kartu ATM, informasi disalin dari strip magnetis ke perangkat. Dengan cara ini, para penjahat mengetahui rincian Nomor Kartu, nama, nomor CVV, tanggal kadaluarsa kartu, dan rincian lainnya. Kehadiran yang Tidak Diinginkan- Ini adalah aturan bahwa tidak lebih dari satu pengguna harus menggunakan ATM pada satu waktu. Jika kita menemukan lebih dari satu orang mengintip bersama-sama, niat di balik ini adalah untuk melihat rincian kartu kita saat kami melakukan transaksi kami. Vishing/Phishing Phishing adalah aktivitas di mana seorang peretas mendapatkan informasi sensitif seorang pengguna seperti kata sandi, nama pengguna, dan rincian kartu kredit, seringkali untuk tujuan jahat, dll. Vishing adalah aktivitas di mana seorang peretas mendapatkan informasi sensitif seorang pengguna melalui mengirimkan SMS di ponsel. SMS dan Panggilan ini tampak berasal dari sumber yang dapat dipercaya, tetapi sebenarnya palsu. Tujuan utama vishing dan phishing adalah mendapatkan PIN pelanggan, rincian rekening, dan kata sandi. Transaksi Online Transaksi online dapat dilakukan oleh pelanggan untuk berbelanja dan membayar tagihan mereka melalui internet. Ini mudah bagi pelanggan, tetapi juga mudah bagi peretas untuk masuk ke sistem kita dan
Teknologi Cyber Security
Dengan pertumbuhan pesat di Internet, keamanan cyber telah menjadi perhatian utama bagi organisasi di seluruh dunia. Fakta bahwa informasi dan alat & teknologi yang diperlukan untuk menembus keamanan jaringan organisasi korporat tersedia luas telah meningkatkan kekhawatiran keamanan tersebut. Hari ini, masalah mendasar adalah bahwa sebagian besar teknologi keamanan bertujuan untuk mencegah penyerang masuk, dan ketika itu gagal, pertahanan telah gagal. Setiap organisasi yang menggunakan internet memerlukan teknologi keamanan untuk mencakup tiga jenis kontrol utama – preventif, detektif, dan korektif serta memberikan audit dan pelaporan. Sebagian besar keamanan didasarkan pada salah satu dari jenis ini: sesuatu yang kita miliki (seperti kunci atau kartu ID), sesuatu yang kita ketahui (seperti PIN atau kata sandi), atau sesuatu yang kita adalah (seperti sidik jari). Beberapa teknologi keamanan penting yang digunakan dalam keamanan cyber dijelaskan di bawah ini- Firewall Firewall adalah sistem keamanan jaringan komputer yang dirancang untuk mencegah akses yang tidak sah ke atau dari jaringan pribadi. Ini dapat diimplementasikan sebagai perangkat keras, perangkat lunak, atau kombinasi keduanya. Firewall digunakan untuk mencegah pengguna Internet yang tidak sah mengakses jaringan pribadi yang terhubung ke Internet. Semua pesan yang masuk atau keluar dari intranet melewati firewall. Firewall memeriksa setiap pesan dan memblokir yang tidak memenuhi kriteria keamanan yang ditentukan. Kategori Firewall Firewall dapat dikategorikan menjadi jenis-jenis berikut- 1. Mode pemrosesan: Lima mode pemrosesan yang dapat dikategorikan firewall adalah- Packet Filtering Firewall filtering paket memeriksa informasi header dari paket data yang masuk ke dalam jaringan. Firewall ini diinstal pada jaringan TCP/IP dan menentukan apakah akan meneruskannya ke koneksi jaringan berikutnya atau menjatuhkan paket berdasarkan aturan yang diprogram dalam firewall. Ini memindai paket data jaringan mencari pelanggaran aturan database firewall. Sebagian besar firewall sering didasarkan pada kombinasi: Firewall filtering paket dapat dikategorikan menjadi tiga jenis- Gerbang aplikasi Ini adalah firewall proxy yang sering diinstal pada komputer yang didedikasikan untuk menyediakan keamanan jaringan. Firewall proxy ini bertindak sebagai perantara antara peminta dan perangkat yang dilindungi. Firewall proxy ini menyaring lalu lintas node masuk ke spesifikasi tertentu yang berarti hanya data aplikasi jaringan yang ditransmisikan yang disaring. Aplikasi jaringan tersebut meliputi FTP, Telnet, Real Time Streaming Protocol (RTSP), BitTorrent, dll. Gerbang sirkuit Gerbang level sirkuit adalah firewall yang beroperasi di lapisan transportasi. Ini menyediakan keamanan koneksi UDP dan TCP yang berarti dapat merakit, memeriksa, atau memblokir semua paket dalam koneksi TCP atau UDP. Ini bekerja antara lapisan transportasi dan lapisan aplikasi seperti lapisan sesi. Berbeda dengan gerbang aplikasi, ini memantau penanganan paket data TCP dan pemenuhan sesi aturan dan kebijakan firewall. Ini juga dapat berfungsi sebagai Jaringan Pribadi Virtual (VPN) melalui Internet dengan melakukan enkripsi dari firewall ke firewall. Firewall lapisan MAC Firewall ini dirancang untuk beroperasi di lapisan kontrol akses media model OSI. Ini dapat mempertimbangkan identitas komputer host tertentu dalam keputusan penyaringannya. Alamat MAC komputer host tertentu terhubung ke entri daftar kontrol akses (ACL). Entri ini mengidentifikasi jenis paket tertentu yang dapat dikirim ke setiap host dan semua lalu lintas lainnya diblokir. Ini juga akan memeriksa alamat MAC peminta untuk menentukan apakah perangkat yang digunakan dapat membuat koneksi diotorisasi untuk mengakses data atau tidak. Hybrid firewalls Ini adalah jenis firewall yang menggabungkan fitur dari empat jenis firewall lainnya. Ini adalah elemen dari penyaringan paket dan layanan proxy, atau penyaringan paket dan gerbang sirkuit. 2. Era Pengembangan: Firewall dapat dikategorikan berdasarkan jenis generasi. Ini adalah- Generasi Pertama: Generasi firewall pertama dilengkapi dengan firewall penyaringan paket statis. Filter paket statis adalah bentuk perlindungan firewall yang paling sederhana dan murah. Pada generasi ini, setiap paket yang masuk dan keluar dari jaringan diperiksa dan akan dilewati atau ditolak tergantung pada aturan yang ditentukan pengguna. Keamanan ini bisa dibandingkan dengan penjaga klub yang hanya mengizinkan orang di atas usia 21 tahun masuk dan yang di bawah 21 tahun akan ditolak. Generasi Kedua: Generasi firewall kedua dilengkapi dengan server level aplikasi atau proxy. Generasi firewall ini meningkatkan tingkat keamanan antara jaringan yang dipercayai dan tidak dipercayai. Firewall level aplikasi menggunakan perangkat lunak untuk menangkap koneksi untuk setiap IP dan melakukan pemeriksaan keamanan. Ini melibatkan layanan proxy yang bertindak sebagai antarmuka antara pengguna di jaringan internal yang dipercayai dan Internet. Setiap komputer berkomunikasi satu sama lain dengan melewati lalu lintas jaringan melalui program proxy. Program ini mengevaluasi data yang dikirim dari klien dan memutuskan mana yang akan dilanjutkan dan mana yang akan ditolak. Generasi Ketiga: Generasi firewall ketiga dilengkapi dengan firewall inspeksi berdasarkan status. Generasi firewall ini telah berkembang untuk memenuhi persyaratan utama yang diminta oleh jaringan korporat untuk meningkatkan keamanan sambil meminimalkan dampak pada kinerja jaringan. Kebutuhan firewall generasi ketiga akan lebih menuntut karena dukungan yang semakin berkembang untuk VPN, komunikasi nirkabel, dan perlindungan virus yang ditingkatkan. Hal paling menantang dari evolusi ini adalah menjaga kesederhanaan firewall (dan karenanya keberlanjutan dan keamanannya) tanpa mengorbankan fleksibilitas. Generasi Keempat: Generasi firewall keempat dilengkapi dengan firewall penyaringan paket dinamis. Firewall ini memonitor status koneksi aktif, dan berdasarkan informasi ini, menentukan paket jaringan mana yang diizinkan melewati firewall. Dengan mencatat informasi sesi seperti alamat IP dan nomor port, filter paket dinamis dapat menerapkan posisi keamanan yang jauh lebih ketat daripada filter paket statis. Generasi Kelima: Generasi firewall kelima dilengkapi dengan firewall kernel proxy. Firewall ini bekerja di bawah kernel Windows NT Executive. Proxy firewall ini beroperasi di lapisan aplikasi. Di sini, ketika sebuah paket tiba, sebuah tabel tumpukan virtual baru dibuat yang hanya berisi proxy protokol yang diperlukan untuk memeriksa paket tertentu. Paket-paket ini diselidiki di setiap lapisan tumpukan, yang melibatkan evaluasi header data link bersama dengan header jaringan, header transport, informasi lapisan sesi, dan data lapisan aplikasi. Firewall ini bekerja lebih cepat dari semua firewall level aplikasi karena semua evaluasi dilakukan di lapisan kernel dan bukan di lapisan lebih tinggi dari sistem operasi. 3. Struktur Penyusunan yang Dimaksud: Firewall juga dapat dikategorikan berdasarkan struktur. Ini adalah- Alat Komersial Ini berjalan pada sistem operasi kustom. Sistem firewall ini terdiri dari perangkat lunak aplikasi firewall yang berjalan pada komputer umum. Ini dirancang untuk memberikan perlindungan bagi jaringan bisnis skala menengah hingga besar. Sebagian besar firewall komersial cukup kompleks dan sering memerlukan pelatihan khusus dan sertifikasi untuk memanfaatkan fitur-fiturnya
Pertimbangan Keamanan Data
Keamanan data adalah perlindungan program dan data dalam komputer dan sistem komunikasi terhadap akses, modifikasi, penghancuran, pengungkapan, atau transfer yang tidak sah, baik itu disengaja maupun tidak, dengan membangun pengaturan fisik dan pemeriksaan perangkat lunak. Ini mengacu pada hak individu atau organisasi untuk menolak atau membatasi pengumpulan dan penggunaan informasi tentang akses yang tidak sah. Keamanan data memerlukan manajer sistem untuk mengurangi akses yang tidak sah ke sistem dengan membangun pengaturan fisik dan pemeriksaan perangkat lunak. Keamanan data menggunakan berbagai metode untuk memastikan bahwa data benar, asli, disimpan secara rahasia, dan aman. Ini termasuk: Pertimbangan keamanan data melibatkan perlindungan data terhadap akses, modifikasi, penghancuran, kerugian, pengungkapan, atau transfer yang tidak sah, baik itu disengaja maupun tidak. Beberapa pertimbangan keamanan data penting dijelaskan di bawah ini: Cadangan Data Cadangan data merujuk pada menyimpan salinan tambahan data kita di lokasi fisik atau cloud yang terpisah dari file data yang disimpan. Penting bagi kita untuk menyimpan, menyimpan, dan mencadangkan data kita secara teratur. Mengamankan data akan membantu kita mencegah dari: Menjaga cadangan yang andal dan teratur dari data kita melindungi terhadap risiko kerusakan atau kehilangan akibat kegagalan listrik, kegagalan perangkat keras, kesalahan perangkat lunak atau media, virus atau peretasan, atau bahkan kesalahan manusia. Menggunakan Aturan Cadangan 3-2-1 sangat populer. Aturan ini mencakup: Beberapa opsi cadangan penting adalah sebagai berikut: Beberapa pertimbangan teratas untuk mengimplementasikan cadangan dan pemulihan yang aman adalah: Penyimpanan Arsip Arsip data adalah proses mempertahankan atau menyimpan data di tempat yang aman untuk penyimpanan jangka panjang. Data mungkin disimpan di lokasi yang aman sehingga dapat digunakan kapan pun diperlukan. Data arsip masih penting bagi organisasi dan mungkin diperlukan untuk referensi di masa depan. Selain itu, arsip data diindeks dan memiliki kemampuan pencarian sehingga file dan bagian dari file dapat dengan mudah ditemukan dan dipulihkan. Penyimpanan arsip data berfungsi sebagai cara untuk mengurangi konsumsi penyimpanan utama data dan biaya yang terkait. Penyimpanan data arsip berbeda dari cadangan data dalam artian bahwa cadangan data membuat salinan data dan digunakan sebagai mekanisme pemulihan data untuk memulihkan data dalam kejadian ketika data tersebut rusak atau hancur. Di sisi lain, arsip data melindungi informasi lama yang tidak diperlukan dalam operasi sehari-hari tetapi mungkin perlu diakses sesekali. Arsip data dapat memiliki banyak bentuk yang berbeda. Ini dapat disimpan sebagai Penyimpanan Online, offline, atau cloud- Daftar pertimbangan berikut akan membantu kita meningkatkan kegunaan jangka panjang arsip kita: Media penyimpanan Hal pertama adalah media penyimpanan apa yang kita gunakan untuk arsip. Data arsip akan disimpan untuk jangka waktu yang lama, jadi kita harus memilih jenis media yang akan hilang sejauh kebijakan retensi kita menentukan. Perangkat penyimpanan Pertimbangan ini memperhitungkan tentang perangkat penyimpanan yang kita gunakan untuk arsip kita yang akan dapat diakses dalam beberapa tahun. Tidak ada cara untuk memprediksi jenis perangkat penyimpanan mana yang akan paling baik bertahan. Jadi, penting untuk mencoba memilih perangkat yang memiliki peluang terbaik untuk didukung dalam jangka panjang. Mengunjungi kembali arsip lama Karena kita tahu kebijakan arsip kita dan mekanisme penyimpanan yang kita gunakan untuk mengarsipkan data akan berubah dari waktu ke waktu. Jadi kita harus meninjau data arsip kita setidaknya sekali setahun untuk melihat apakah ada yang perlu dimigrasikan ke media penyimpanan yang berbeda. Misalnya, sekitar sepuluh tahun yang lalu, kami menggunakan drive Zip untuk arsip kemudian kami telah mentransfer semua arsip kami ke CD. Tetapi pada saat ini, kami menyimpan sebagian besar arsip kami di DVD. Karena DVD modern juga dapat membaca CD, jadi kami tidak perlu memindahkan arsip lama kami dari CD ke DVD. Ketergunaan data Dalam pertimbangan ini, kami melihat satu masalah utama di dunia nyata adalah data arsip yang dalam format yang sudah ketinggalan zaman. Misalnya, beberapa tahun yang lalu, file dokumen yang telah diarsipkan pada awal tahun 1990-an dibuat oleh aplikasi yang dikenal sebagai PFS Write. Format file PFS Write didukung pada akhir 80-an dan awal 90-an, tetapi saat ini, tidak ada aplikasi yang dapat membaca file itu. Untuk menghindari situasi ini, mungkin berguna untuk mengarsipkan tidak hanya data tetapi juga salinan media instalasi untuk aplikasi yang membuat data. Arsip selektif Dalam pertimbangan ini, kita harus yakin tentang apa yang harus diarsipkan. Itu berarti kita akan mengarsipkan hanya bagian data tertentu karena tidak semua data sama pentingnya. Pertimbangan ruang Jika arsip kita menjadi besar, kita harus merencanakan retensi jangka panjang dari semua data kita. Jika kita mengarsipkan data kita ke media yang dapat dilepas, perencanaan kapasitas mungkin sederhana yang memastikan bahwa ada ruang kosong di brankas untuk menahan semua pita itu, dan itu memastikan bahwa ada ruang di anggaran IT kita untuk terus membeli pita. Penyimpanan online vs offline Dalam pertimbangan ini, kita harus memutuskan apakah akan menyimpan arsip kita secara online (pada server arsip yang didedikasikan) atau offline (pada media yang dapat dilepas). Kedua metode arsip mengandung kelebihan dan kekurangan. Menyimpan data online menjaga data tetap mudah diakses. Tetapi menyimpan data online mungkin rentan terhadap pencurian, perusakan, korupsi, dll. Penyimpanan offline memungkinkan kita untuk menyimpan jumlah data yang tidak terbatas, tetapi tidak mudah diakses. Pembuangan Data Penghancuran data atau pembuangan data adalah metode menghancurkan data yang disimpan di pita, hard disk, dan media elektronik lainnya sehingga data tersebut tidak dapat dibaca, tidak dapat digunakan, dan tidak dapat diakses untuk tujuan yang tidak sah. Ini juga memastikan bahwa organisasi menyimpan catatan data selama yang diperlukan. Ketika data tidak lagi diperlukan, sebaiknya dihancurkan atau dibuang dengan cara lain, misalnya, dengan mentransfernya ke layanan arsip. Proses yang dikelola dari pembuangan data memiliki beberapa manfaat penting- Pembuangan data biasanya dilakukan sebagai bagian dari proses manajemen catatan normal. Ada dua keadaan penting di mana penghancuran data perlu ditangani sebagai tambahan dari proses ini- Daftar pertimbangan berikut akan membantu kita untuk pembuangan data yang aman: Hapus akses Dalam pertimbangan ini, kita harus memastikan bahwa akun yang menghapus akses tidak memiliki hak untuk mengakses data yang dibuang lagi. Menghancurkan Data Dalam pertimbangan ini, tidak perlu menghapus data dari media penyimpanan akan aman. Bahkan di era sekarang ini, mereformat atau repartisi drive untuk “menghapus” data yang disimpan tidaklah cukup. Banyak alat yang tersedia hari ini yang dapat membantu kita menghapus file dengan lebih
