Pada hari Rabu, 12 Maret 1997 lebih dari 2.000 staff pengajar Indiana University menerima email yang pesannya berisi apakah anda tahu bahwa kerahasiaan di Indiana University bisa terjamin? Apakah mereka menghubungi anda tentang hal ini?
Pengirim dari pesan ini adalah Glen Roberts dari kota minyak Pencylvania, yang memuat dirinya di web home page yang berprofesi sebagai pengacara pribadi dan pengusaha internet. Dari internet Robert mendapatkan file IU yang berisi nama dari 2.760 pengajar di IU lengkap dengan nomor keamanan sosial, alamat, nomor telepon yang semuanya di download dan di taruh di website-nya. File ini sebelumnya dibuat oleh tamatan mahasiswa IU untuk memberikan informasi untuk kepentingan penelitian dari pengajar sehingga mereka bisa untuk meningkatkan pendapatannya bila ada orang-orang yang memerlukannya.
Semua informasi di website IU seharusnya di protect/dilindungi dengan kata sandi/password. Menurut Norma Holland, Direktur Computing Services, dia mengatakan bahwa kita mempunyai apa yang dinamakan firewall untuk menjaga data-data mana yang tidak boleh dilihat oleh umum hanya yang memiliki kata sandi saja yang bisa memperoleh data atau informasi tersebut. Akan tetapi data yang sangat sensitive ini tidak dilindungi oleh firewall. Menurut Jeffrey Albertus, seorang associate dekan, ini adalah data yang hilang tanpa terdeteksi ketika proses sistem di upgrade untuk menjadikannya lebih aman. IU secepatnya memindahkan data tersebut dan disimpan di gate way serviceyang lama.
Dalam suasana yang disebutkan sebagai “suatu pembuka mata” oleh wakil presiden public affairs Cristopher Simpson, masih beruntung dimana kebanyakan data-data sensitif tidak membahayakan walaupun sangat sensitif jika data seperti ini tersebar luas seperti ini. Ini sangat jauh berbeda dengan orang-orang yang mempunyai akses untuk melihat data-data sensitif yang memang merupakan hak miliknya. Ini adalah peringatan yang sangat bagus dan bagaimana kita belajar dari pengalaman ini.
Akan tetapi Roberts mengajukan tentang kemungkinan permasalahan lainnya yang berhubungan dengan keamanan data-data. Anda harus ingat, walaupun dalam website ini adanya informasi yang disebarkan dengan cara yang tidak mengenakkan, bahaya sesungguhnya adalah bila ada orang secara diam-diam mendapatkan informasi dari website anda dan digunakan untuk hal-hal yang tidak bertanggung jawab. Hal ini ditulis di webpage dialog dengan Mark S Bhrun, IU informasi security officer.
Roberts mengklaim bahwa kegiatan yang bersifat pribadi yang dibuat tahun 1974 melarang agen-agen seperti IU untuk menanyakan sosial security number. SSN (Social Security Number) ini sudah termasuk dalam data bagi para pengajar di IU di muat di internet. Walaupun data-data ini bukan diperuntukkan untuk umum, namun pihak-pihak yang mengumpulkan data-data seperti di internet jelas-jelas tidak mengerti tentang pokok-pokok persepsi tentang hal-hal yang bersifat pribadi/rahasia.
Penjelasan dari Roberts
Roberts digambarkan di surat kabar Pennsylvania sebagai seorang teman yang menyenangkan dan sekaligus sebagai perusak komputer. Menurut Erie Times yang memuat tentang profile Roberts beberapa bulan sebelum kejadian, dimana dia datang ke Oil City dari wilayah Chicago dimana dia mempublikasikan sebuah topik yang membahas tentang isu-isu yang bersifat pribadi. Dia sudah mengoperasikan program gelombang radio jarak dekat dan sekarang dia sedang memprogram radio di internet. Dia juga sebagai konsultan di Jaringan Televisi dan tampil pada diskusi-diskusi lokal. Roberts juga mempublikasikan beberapa webpage dan bekerja sebagai konsultan computer.
Roberts mengatakan bahwa dia sudah berkecimpung dalam mempublikasikan isu-isu yang bersifat pribadi lebih kurang selama 15 tahun. Ketertarikannya dimulai dengan menggunakan kebebasan untuk mendapatkan informasi dan mendapatkan salinan dari dokumen-dokumen pemerintah. Dia sangat terkejut dari jumlah informasi yang tersedia, yang mana orang – orang tidak selalu memperhatikannya. Dia sebenarnya sudah tertarik untuk melihat SSN yang memungkinkan penggunaan identitas seseorang secara ilegal.
Roberts menyatakan bahwa isu ini adalah isu universitas yang mengumpulkan informasi dan memasukkannya ke dalam database tanpa bermaksud untuk menyebarkan ke seluruh dunia akan tetapi dengan maksud untuk memberikan akses orang-orang yang membutuhkan informasi itu.
Roberts mengatakan bahwa dia mempublikasikan daftar dari IU sebab isu-isu yang bersifat pribadi tidak selalu menjadi hal yang menarik bagi orang lain sampai itu bisa berpengaruh pada dirinya. Intinya bahwa hal-hal yang bersifat pribadi adalah sangat penting tetapi hanya penting ketika mempengaruhi diri kita sendiri. Itu yang sudah saya lakukan di web page yang lainnya. Orang-orang bisa merasakan terlebih dahulu dan dengan pengalaman itu akan memunculkan lebih banyak debat-debat publik dan langkah-langkah yang akan dilakukan yang berhubungan dengan isu-isu tersebut. Dia menambahkan bahwa dia merasa terganggu dengan orang-orang yang merasa tidak secara gratis yang tidak seorangpun memikirkan bahwa informasi-informasi ini sudah terjual di seluruh dunia. Hal semacam ini seharusnya diberlakukan juga di perusahaan-perusahaan, walaupun mereka sudah menjual informasi-informasi tersebut.
Reaksi dari Para Dosen
Banyak dari dosen-dosen IU yang sudah dipublikasikan tidak setuju dengan taktik yang diterapakan oleh Roberts. Mereka pada intinya mempermasalahkan bahwa SSN itu sangat mudah didapatkan dan lebih dari 100 dosen memprotes taktik yang dilakukan oleh Roberts. Saya pergi ke Roberts dan berkata “Saya menyukai orang-orang yang waspada tetapi, perlukah informasi-informasi ini dimasukkan ke website kamu untuk mencapai tujuanmu?” kata Kurt Zorn, urusan umum dan lingkungan IU. Saya pikir dia lebih merusak dengan melakukan hal ini daripada keteledoran yang dilakukan oleh IU. Akan lebih effective bila dia mengingatkan kita akan masalah ini.
Profesor hukum Ed Greenebaum menambahkan bahwa dia yakin telah membuat penialian tantang IU tanpa informasi yang lengkap dan ini sangat tidak adil. Pengaruhnya dengan mempublikasikan kita atau membawa kita ke dalam situasi yang berbahaya yang mana dia beralasan untuk melakukan langkah antisipasi. Greenebaum mengatakan bahwa perhatian saya tidak pada maksud dari IU akan tetapi kenapa data pribadi ini diperlakukan. Dalam pandangan saya itu tidak konsisten untuk memfasilitasikan pendistribusian dari SSN kita.
Dengan adanya ancaman dari IU untuk melakukan tindakan hukum dan protes secara besar-besaran dari team dosen IU, Roberts memindahkan data-data IU dari webpage-nya dan dia berkata bahwa dia tidak punya maksud untuk memasukkan nama dan SSN tadi lagi.
Pengaruhnya
Pada tanggal 27 Maret, profesor yang menekuni keagamaan James Ackerman mengatakan bahwa dia menerima tagihan telepon untuk penggunaan internet pada kredit cardnya yang bukan merupakan kepunyaannya. Walaupun itu tidak dapat dibuktikan, dia yakin sudah menggunakan namanya dan social security number dari webpagenya Robert.
Dalam dua minggu, Ackerman meneerima tagihan telepon untuk internet, menerima telepon dari AT&T yang menyatakan bahwa mereka siap melakukan telepon conference yang mana dia tidak pernah melakukan permintaan tersebut, menerima pertanyaan dari Ameritech menanyakan apakah dia melakukan telepon dari Jerman ke Portland, Oregon dan menemukan adanya kartu telepon terbuka atas namanya.
William Boone, profesor pendidikan mengatakan bahwa istrinya menerima pertanyaan dari MCI, departemen yang mengurusi masalah penipuan. Mereka menanyakan tentgang telepon yang dilakukan dari Jerman menggunakan nomer kartunya Boone. Walaupun tidak ada bukti itu berasal dari webpage-nya Roberts, Boone dan yang lainnya yakin bahwa kejadian nini bukan merupakan kejadian yang kebetulan. Bagaimana mungkin dua profesor IU mendapatkan adanya penggunaan telepon tanpa seijinnya dari Jerman? Bagaimana mungkin ini tiodak berhubungan dengan isu web di seluruh dunia? kata Boone.
Istrinya Boone mengatakan bahwa isuue ini belum terselesaikan. Ini merupakan pelanggaran. Ini seperti seseorang mengenal kamu tapi kamu tidak mengenal mereka. Ini sangat membuat kita tidak nyaman. Situasi ini membuat Ackerman frustasi, dimana perusahaan creditcard bilang bahwa mereka tidak bisa memblock social security numbernya. Ackerman juga menghubungi kantor penasehat hukum IU, yang tidak bisa memberikan banyak bantuan. Menurut mereka bahwa ini tidak hubunganya dengan webpage-nya Roberts kata Michael Klein. Ada kalanya ini merupakan suatu kebetulan tapi kamu tidak tahu. Akan tetapi, universitas sedang menyelidiki apakah Roberts bisa dikenakan sanksi hukum bila dosen-dosen IU mengalami kerugian secara finansial atau sebaliknya.
Klein menambahkan dimana universitas sedang mempel;ajari isu penggunaan sosial security number dalam proses belajar mengajar. Sebagai lembaga, kita sedang mempelajari lebih mendalam apakah ada alternatif yang lainnya.
Permasalahan
Permasalahan yang paling mendasar adalah kenapa data-data dari penelitian dan informasi pribadi para dosen IU dapat diakses dengan mudah oleh semua orang dengan menggunakan social security number?
Pembahasan Masalah
Data atau informasi mungkin diakses dan dibaca oleh orang yang salah dengan akibat yang mungkin merugikan. Untuk itu keamanan data-data dan informasi di websitenya IU harus dijaga. Pembetasan akses sangat diperlukan, yaitu untuk mencegah pengaksesan data dan informasi oleh orang-orang yang tidak berhak dan untuk membatasi persetujuan oleh orang-orang yang tidak berhak dan untuk membatasi persetujuan oleh orang-orang yang berhak membatasi informasi dan data tertentu.
Tindakan keamanan sangat bermanfaat untuk membatasi persetujuan dalam pekerjaan seperti pemisalan, pengesahan, dan otorisasi. Tindakan ini berhubungan dengan sistem komputer.
a. Pemisahan. Data dan informasi merupakan rahasia perusahaan secara fisik dan harus terisolasi dari akses-akses yang tidak legal. Dengan demikian file acuan, file rahasia, program-program dan dokumentasi suatu perpustakaan dijamin keamanannya. Proses utama sistem dan pengaturan data oleh para pemakai harus terpisah dalam penyimpanan serta harus ada pembatasan dalam perlindungannya.
b. Pengesahan dan Otorisasi. Para pemakai pengesahan mempunyai kaitan dengan pengidentifikasian dan persetujuan para pemakai dalam memeriksa prosedur. Apabila seseorang telah dipercaya sebagai pemakai sistem, ia akan mendapatkan otorisasi istimewa untuk mengakses sumber daya dan jasa tertentu. Para pemakai memerlukan kata sandi, lencana, kartu magnetik, atau kartu cerdas modul keamanan yang digunakan dalam sistem ooperasi itu. Mencegah akses orang yang tidak berwenang tidaklah cukup. Semua akan mencoba untuk mengakses sistem komputer dan semua akses yang tidak memiliki otoritas seharusnya dimonitor. Aktivitas yang tidak terjamin dapat diinvestigasi dan dihentikan sebelum melakukan pelanggaran-pelanggaran keamanan.
Dua tipe dari log dan jenis khusus dari software control acces yang memfasilitasi proses monitoring ini adalah:
a. Access Log. Sebuah access log umumnya merupakan sebuah komponen dari sebuah modul sistem keamanan operasi, merekam semua percobaan untuk berinteraksi dengan database. Log ini merefleksikan waktu, data, kode dari seseorang yang mencoba mengakses, tipe dari pemeriksaan atau mode dari permintaan akses dan data dapat diakses. Hal ini menciptakan jejak audit yang seharusnya di-review oleh sistem keamanan.
b. Console Log. Console Log atau sebuah internal run log cocok untuk komputer mainframe yang menggunakan pemrosesan batch. Hal itu merekam semua aktivitas atau kegiatan dari sistem operasi dan operator komputer.
c. Access Control Software. Menyediakan pengendalian akses level paling tinggi dibanding akses lain atau console log. Seperti software yang berhubungan dengan sistem operasi komputer untuk membatasi akses file. Paket ini juga dapat menghasilkan jejak audit dan dapat mendeteksi akses yang tidak berhak.
Kesimpulan
Data-data dan informasi yang ada di website IU sangat mudah diakses oleh umum karena tidak adanya tindakan pengamanan terhadap data-data dan informasi tersebut yaitu yang berhubungan dengan pengesahan dan otorisasi para pemakai. Para pemakai memerlukan kata sandi, lencana, kartu magnetik, atau kartu cerdas modul keamanan yang digunakan dalam sistem operasi itu.
Tanpa adanya kata sandi ini, semua data-data dan informasi termasuk social security number bisa didapat dengan mudah di website IU. Mengacu dari kasus diatas, bahwa social security number ini bisa digunakan oleh orang-orang yang tidak bertanggung jawab untuk melakukan penipuan dalam penggunaan credit card ataupun telepon.
0 komentar:
Posting Komentar