Cybersecurity and Risk Management - dinus.ac.iddinus.ac.id/repository/docs/ajar/chapter05_MIS_Turban.pdfdari kartu kredit dan debit yang digesek melalui ... BlackPOS dijual di pasar

Cybersecurity and Risk Management

Chapter 5

Chapter 5 Cybersecurity and Risk Management

Outline : 1) The Face and Future of Cyberthreats 2) Cyber Risk Management 3) Mobile and Cloud Security 4) Defending Against Fraud 5) Compliance and Internal Control

1. breaches, targeted attacks, malware, and other IT security risks facing organizations and why they are so difficult to defend against.

2. Explain why cyber risk management is a business priority; outline an organizational model for cybersecurity; and describe the cybersecurity process.

3. Explain why mobile devices, apps, and cloud-based services are high-risk attack vectors, the importance of BYOD (bring your own devices) policies, and the defenses needed to counteract exposure to mobile malware.

4. Describe the characteristics of fraud and how enterprises can defend against and detect fraudulent activities.

5. Explain how internal controls help ensure compliance with industry and federal regulations. Assess the ability to maintain business operations in the event of a network crash, debilitating hacker attack, or other IT

disruption.

Learning Outcomes


Opening Case : BlackPOS Malware Steals Target’s Customer Data

BlackPOS adalah malware yang dirancang untuk diinstal pada perangkat POS untuk merekam data dari kartu kredit dan debit yang digesek melalui perangkat yang terinfeksi.

BlackPOS dijual di pasar gelap seharga > $ 1.800. Malware ini diiklankan di forum ilegal dengan nama

generik Dump Memory Grabber oleh Ree.

Perbedaan Malware, Virus, dan Trojan ?



Malware

malicious : berniat jahat, software :perangkat lunak

perangkat lunak yang dibuat dengan tujuan memasuki dan terkadang merusak sistem komputer, jaringan, atau server.

Trojan

Perangkat lunak berbahaya yang dapat merusak sebuah sistem, perangkat, atau jaringan. Tujuannya adalah untuk memperoleh informasi penting yang tercantum di dalam log komputer. Informasi ini dapat berupa password, transaksi, dan lain sebagainya.

Virus

perangkat lunak yang menyebar di dalam sebuah sistem dan mengganggu penggunaannya. Virus tidak ditujukan untuk mencuri data atau menganalisa penggunaan data. Virus komputer dapat merusak atau menghapus data di sebuah komputer, menggunakan program email untuk menyebarkan virus ke komputer lain, atau bahkan menghapus apa pun yang ada di dalam hard disk.



Tombol Download Palsu Pastejacking

Pesan dan Kiriman Teman Di Media Sosial Infeksi Server Penyedia Layanan Jaringan

Cara Penyebaran Malware :



HOW IT WORK ? BlackPOS menginfeksi komputer yang berjalan pada sistem operasi Windows yang memiliki pembaca kartu kredit yang terhubung dengan mereka dan merupakan bagian dari sistem POS

Komputer sistem POS dapat terinfeksi jika tidak memiliki sistem operasi terbaru dan program antivirus serta sistem database dengan login administrasi yang lemah. BlackPOS melakukan pengambilan memori standar pada sistem POS yang terinfeksi dengan mengidentifikasi proses yang berhubungan dengan pembaca kartu dan mencuri data kartu pembayaran Track 1 dan Track 2, informasi yang disimpan di strip magnetik kartu pembayaran, dari memori sistemnya. Informasi yang dicuri dapat dikloning ke kartu kredit kosong untuk dijual untuk digunakan di pasar gelap atau digunakan untuk alasan pribadi.


The Face and Future of Cyberthreats

Sejak 2013 jumlah catatan data yang dicuri oleh peretas meningkat pada tingkat yang mengkhawatirkan. Bahkan, 2013 telah dijuluki “Tahun Pelanggaran”. Ada 2.164 pelanggaran data yang dilaporkan yang mengekspos sekitar 823 juta catatan. Hampir setengah dari pelanggaran tahun 2013 terjadi di Amerika Serikat, di mana jumlah catatan terbanyak terpapar — lebih dari 540 juta catatan data atau 66 persen.

Number of reported data records breached worldwide, 2009–2013.


Tabel berisi daftar tujuh pelanggaran data terbesar di dunia pada tahun 2013. Konsekuensi dari keamanan dunia yang lemah termasuk reputasi yang rusak, hukuman keuangan, denda pemerintah federal dan negara bagian, kehilangan pangsa pasar, jatuhnya harga saham, dan reaksi balik konsumen.

The Face and Future of Cyberthreats

Para ahli keamanan cyber memperingatkan bahwa memerangi serangan penolakan layanan (distributed denial-of-service / DDoS) dan serangan malware telah menjadi bagian dari bisnis sehari-hari untuk semua organisasi.


Cyber Risk Management

Setiap perusahaan memiliki data yang diinginkan oleh para hacker. Data pelanggan, jaringan, situs web, sistem informasi eksklusif, dan paten adalah contoh aset sehingga perlu dilindungi. Semakin besar nilai aset maka semakin besar keamanan yang diperlukan.

Basic IT security concepts.



Three objectives of data and information systems security



Risiko adalah probabilitas ancaman yang berhasil mengeksploitasi kerentanan dan perkiraan biaya kerugian atau kerusakan

Pengguna Mengatur Diri untuk Cybermuggings Pada Juli 2012 grup hacker D33Ds Company menerbitkan hampir setengah juta alamat email dan kata sandi di situs bawah tanah yang diduga telah dicuri dari Yahoo. D33D mengklaim bahwa mereka meretas ke database Yahoo dengan mengeksploitasi kerentanan umum yang belum ditambal. Berikut ini adalah perincian pengguna yang kata sandinya mengundang cybermugging: Cyber risk didefinisikan sebagai segala risiko kerugian bagi keuangan perusahaan, baik itu berupa kekacauan, pencurian data rahasia, atau pencemaran nama baik, yang terjadi akibat kegagalan sistem teknologi informasi dan komunikasi internal.



Tata Kelola IT Berbasis COBIT IT Governance merupakan bagian dari implementasi Good Corporate Governance. Tujuannya adalah untuk memberikan suatu dasar terstruktur yang mengaitkan dan menyelaraskan proses-proses TI, sumberdaya TI, serta informasi yang dibutuhkan perusahaan dalam mengimplementasikan strateginya dalam meraih target yang dicanangkan.



Tata Kelola IT Berbasis Frame Work COBIT

Control Objective for Information and Related Technology (COBIT) merupakan suatu framework yang dijadikan panduan standar praktik terbaik untuk tata kelola dan manajemen teknologi informasi bagi organisasi. COBIT dikembangkan oleh ISACA (Information System Audit and Control Association) mulai dari tahun 1996 dengan versi pertama yakni COBIT 1. Dalam perekembangannya COBIT mengalami banyak evaluasi dan pengembangan hingga sampai pada tahun 2005, COBIT 4 diluncurkan dengan fokus pada tata kelola (governance) yang kemudian direvisi menjadi COBIT 4.1 di tahun 2007 dan selanjutnya pada bulan Juni 2012 dirilis COBIT terbaru yakni COBIT 5. Fokus dari COBIT 5 adalah governance enterprise.




Secara umum Kebutuhan bisnis terkait dengan implementasi IT terdiri dari beberapa kebutuhan (kriteria informasi) : o Informasi yang bersifat efektif o Informasi yang bersifat

efisien o Informasi yang bersifat

rahasia o Informasi yang bersifat Utuh o Informasi yang bersifat

tersedia o Informasi yang bersifat sesuai

dengan regulasi (compliance) o Informasi yang bersifat

Handal




Kerangka kerja COBIT mengidentifikasi 34 proses TI (Gambar samping) yang dikelompokkan ke dalam 4 domain utama (COBIT $), yaitu : o Planning and Organisation (PO) o Acquisition and Implementation (AI) o Delivery and Support (DS), o Monitoring (M) Setiap domain memiliki karakteristik yang berbeda.

Proses-Proses TI




Domain Planning & Organization (PO) Merupakan domain yang menitikberatkan kepada proses perencanaan penerapan TI dan keselarasannya dengan tujuan yang ingin dicapai oleh perusahaan secara umum

Domain Acquired & Implement (AI) Domain ini menyangkut permasalahan pemenuhan layanan TI, keamanan sistem, kesinambungan layanan, pelatihan, dan pendidikan untuk pengguna, dan pengelolaan data yang sedang berjalan.

Domain Deliver & Support (DS) Domain ini menitikberatkan kepada strategi dan proses pemilihan teknologi yang akan digunakan dan proses implementasinya

Domain Monitoring & Evaluasi (ME) Seluruh kendali-kendali yang diterapkan pada setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala


Cyber Risk Management Tata Kelola IT Berbasis Frame Work COBIT








Mobile and Cloud Security

Isu Keamanan Untuk Cloud Computing Dan Mobile Digital Platform Layanan cloud computing di Indonesia semakin berkembang, bahkan sudah memasuki perangkat mobile sehingga dibutuhkan keamanan jaringan.

Saat ini Indonesia belum memiliki regulasi Cloud Computing secara tertulis (ditetapkan), tetapi ada beberapa aturan-aturan yang terkait. Berbeda dengan negara tetangga seperti Singapura yang sudah membuat regulasi tentang Cloud Computing.

Cloud Computing adalah pemanfaatan teknologi komputer (komputasi) dan pengembangan berbasis internet (awan) di mana informasi secara permanen tersimpan di server di internet dan di komputer pengguna (client) termasuk pada desktop, komputer tablet, notebook, gadget dan lainnya



Jenis-jenis ancaman pada cloud computing :

Pelanggaran Data Layanan Cloud yang sangat mudah diakses dan data dalam jumlah besar menjadi target yang menarik untuk pelanggaran data.

Berikut beberapa kasus pencurian data terbesar yang terjadi di sepanjang tahun 2017. o Equifax, 143 juta data sensifif nasabah kredit bocor! o 1.2 Juta Catatan Pasien Dicuri dari Rumah Sakit di Inggris o Taringa, Bocornya 28 Data Pengguna Akun Sosial Media o SVR Tracking, Data Pelanggan Mobil Sewaan Dibocorkan Secara

Online o Bank UniCredit, Italia. 400.000 data nasabah bank terancam kena

Phishing o CarWise ICT, Belanda, Rental Mobil Di Retas o Sonic Drive-In, Restoran Cepat Saji Tersangkut Kasus Transaksi

Kartu Kredit Ilegal o Penerobosan Sistem Pembayaran Kartu di Whole Sale Food

Market o Sistem Kasir Kmart Terinfeksi Malware o Bocornya 14 Juta Data Pelanggan Verizon o Data Penting Kantor Akuntan Publik di Bajak




Identitas dan Manajemen Akses Yang Lemah

Otentikasi merupakan salah satu bagian penting dari proses pengamanan data, yang bertujuan untuk membatasi tingkatan hak akses pengguna. Kehilangan data akibat kebocoran hak akses atau mekanisme otentikasi yang lemah diduga sebagai resiko dan ancaman paling rentan pada cloud computing




Pembajakan Akun Salah satu ancaman keamanan pada cloud computing yaitu pembajakan account atau service.

Upaya pembajakan akun menggunakan teknik social engineering dengan memanfaatkan kelemahan prosedur akun email gratisan . cracker mencoba mendapatkan akses tidak sah dan membajak akun email dengan mengikuti prosedur kehilangan password. Cara lain : Keylogger, Sniffing, Phising




Malicious Insiders

Seorang system administrator yang mempunyai privilege terluas sehingga bisa mengakses data/informasi yang tersimpan di cloud. Resiko yang mungkin muncul adalah Confidentiality dimana information disclosure oleh system administrator.




Penolakan Layanan Denial of Service merupakan suatu bentuk serangan yang mengakibatkan terhambatnya akses para pengguna terhadap suatu server/service tertentu. Serangan ini sering digunakan oleh para hacker untuk melumpuhkan server lawan. Cara penyerangan : Traffic Flooding, Request Flooding, dll




Kehilangan Data Kehilangan data adalah sebuah ancaman yang sangat mengerikan yang mungkin muncul oleh karena penggunaan cloud. Ini disebabkan oleh kemungkinan kebocoran private key yang memungkinkan menyebabkan kehilangan data. Penyebab kehilangan data juga terjadi karena : penghapusan file tanpa sengaja yang dilakukan oleh service provider, bencana katastropik seperti kebakaran, bajir/tsunami, maupun gempa juga menjadi penyebab kejadian kehilangan data.




Masalah Teknologi Bersama

Bila suatu teknologi digunakan secara berbagi, maka ancaman yang muncul juga akan terjadi secara berbagi pula. Pada SaaS, serangan yang terjadi pada salah satu customer akan berakibat pada seluruh customer yang akan pula merasakan akibatnya.




Due Diligence Yang Tidak Cukup

Kesalahan pemahaman antara penyedia jasa cloud dan calon pelanggan sering kali justru merugikan pelanggan. Misal, untuk mencapai suatu level pengamanan tertentu ada beberapa hal yang harus dilakukan oleh client dan beberapa hal yang lain dilakukan oleh penyedia jasa.




Penyalahgunaan dan Penggunaan Layanan Cloud Penyalahgunaan layanan cloud sangat mungkin bisa terjadi bila tidak ada monitoring dan enforcement dari kebijakan yang berlaku dalam rangka penggunaan layanan cloud. Penyalahgunaan layanan cloud juga bisa terjadi secara politis oleh karena adanya standar ganda dari penerapan kebijakan tersebut. Misalnya pengguna cloud menggunakan hak nya atas cloud tersebut untuk meyebarluaskan permusuhan, distribusi software illegal, ataupun penyebarluasan maicious software.




Antarmuka Yang Tidak Aman

Manajemen antar mukamerupakan fitur yang harus ada pada cloud computing, dengan tujuan untukmemudahkan pengguna mengakseslayanan yang tersedia baginya. Aksesyang tidak terotorisasi pada manajemenantar-muka merupakan salah satu celahkebocoran pada cloud computing




Kerentanan Terhadap Sistem dan Aplikasi

Dengan munculnya multi tenancy di komputasi awan, sistem dari berbagai organisasi ditempatkan di dekat satu sama lain, dan diberi akses ke memori dan sumber daya bersama sehingga menciptakan jenis serangan baru




Advanced Persistent Threats (APTs) APTs adalah serangan melalui jaringan dimana orang yang tidak sah mendapatkan akses ke suatu jaringan dan menetap disana tanpa terdekteksi untuk waktu yang lama. Tujuannya untuk melakukan pencurian data. Ancaman APT hanya menyerang industri atau organisasi tertentu dan biasanya untuk motif ekonomi maupun politis. Penyerangan ini biasanya menggunakan kemampuan social engineering untuk memperoleh akses ke jaringan dengan cara yang sah. Setelah akses diperoleh, penyerang akan menciptakan sebuah back door.



Ancaman Serangan Terhadap Mobile Device

Berbagai macam data dan informasi yang tersimpan dalam perangkat mobile bisa berupa foto, dokumen video maupun nomorkontak bisa saja diserang malware.




POLA SERANGAN MALWARE TERHADAP MOBILE DEVICE

Malware Cabir

Malware ini merupakan virus pertama yang menyerang mobile device Nokia Seri 60. Serangan ini memunculkan kata <<Caribe>> pada layar ponsel yang terinfeksi. Cabir ini menyebar melalui jaringan bluetooth ponsel.





Malware CommWarrior

Malware ini menginfeksi melalui Bluetooth dan MMS. Malware ini bekerja dengan mengakses file kontak ponsel yang terinfeksi dan mengirimkan diri sendiri melalui layanan MMS ke masing-masing kontak tersebut. Dari setiap pesan MMS yang dikirimkan ini pemilik ponsel akan terkena biaya dari penyedia layanan MMS mereka.





Malware Geinimi

Malware ini dirancang untuk menyerang platform Android dan menggunakan ponsel yang terinfeksi tersebut sebagai bagian di mobile Botnet. Malware ini bekerja dengan cara berkomunikasi dengan server jarak jauh dan merespon berbagai macam perintah, seperti menginstal/uninstal aplikasi, sehingga dapat mengambil alih kontrol ponsel secara efektif.




CIRI-CIRI MOBILE DEVICE TERINFEKSI MALWARE

Baterai Boros

Dropped Call

Boros Pulsa

Konsumsi Data Naik Drastis

Salah satu jenis virus yang secara terus menerus mengirim iklan kapada device sehingga aktivitas device bertambah sehingga mengkonsumsi daya yang tinggi.

malware ini mempengaruhi panggilan masuk ketika melakukan percakapan telepon tiba-tiba suara-suara noise yang mengganggu

Malware ini mencuri pulsa meggunakan berbagai macam teknik misalnya mengirim SMS ke no tertentu dengan tarif premium

Malware jenis ini menyerang penggunaan paket data.

Performa HP menurun

Malware ini dapat membuat kinerja device menurun, disebabkan karena program jahat ini sangan menguras source seperti memori

dan terus menerus


Defending Against Fraud

Fraud adalah tindakan curang, yang dilakukan sedemikian rupa, sehingga menguntungkan orang / kelompok tertentu atau merugikan pihak lain (perorangan, perusahaan atau institusi)

Computer Fraud merupakan segala bentuk penipuan yang membutuhkan pengetahuan dalam teknologi komputer untuk melakukan tindakan awal, penyelidikan, ataupun dalam pelaksanaan langsung penipuan tersebut

Tindakan computer fraud meliputi: o Pencurian, penggunaan, pengaksesan, pemodifikasian, penyalinan, dan

pengrusakan software atau data secara tidak sah. o Pencurian asset dengan mengubah catatan computer. o Pencurian atau pengrusakan hardware atau software. o Penggunaan sumber daya komputer untuk melakukan tindak pidana. o Pengambilan informasi secara ilegal dengan menggunakan komputer.



Klasifikasi Computer Fraud :

Input Fraud Pengubahan input komputer merupakan cara yang paling umum dan sederhana untuk melakukan pengrusakan maupun penipuan. Pelaku hanya perlu memahami bagaimana sistem beroperasi sehingga mereka dapat menutupi perbuatan mereka.

Processor Fraud Pencurian waktu termasuk dalam klasifikasi ini. Misalnya, karyawan yang menyia-nyiakan waktu untuk menggunakan fasilitas internet untuk keperlua pribadi mereka, sehingga waktu kerja produktif mereka terpakai untuk hal tersebut.

Computer Instructions Fraud Pengrusakan software untuk memproses data perusahaan. Pengrusakan tersebut dapat berupa pemodifikasian software, mengopi software secara ilegal, penggunaan maupun pengembangan tanpa adanya otoritas. Pelaku memang harus mempunyai pengetahuan khusus tentng pemrogaman komputer.



Klasifikasi Computer Fraud :

Data Fraud Hal ini dapat diawali dengan mengubah atau merusak file-file data perusahaan. Dapat juga berupa menyalin, menggunakan, maupun mencari file dari data perusahaan tanpa otorisasi. Kasus ini lebih lebih mudah dilakukan pada file perusahaan yang disimpan di web site.

Output Fraud Output sebuah sistem biasanya ditampilkan pada layar atau dicetak di kertas. Output tersebut dapat menjadi subjek mata-mata salinan file yang tidak sah. Ada sebuah penelitian bahwa banyak monitor komputer memancarkan sinyal mirip dengan televisi, sehingga dapat diambil dari berbagai terminal hinga sejauh 2 mil.



Mencegah dan Mendeteksi Computer Fraud

Membuat computer fraud lebih jarang terjadi o Memperkerjakan dan memberhentikan

karyawan dengan semestinya. o Mengelola dan menelusuri keamanan

software o Adanya perjanjian kerahasiaan kerja o Tersosialisanya standar keamanan

Meningkatkan kesulitan untuk melakukan computer fraud o Mengembangkan sistem pengendalian

internal o Adanya pemisahan/ pembatasan tugas

karyawan dan diberlakukannya pengambilan cuti wajib maupun rotasi pekerjaan

o Mengendalikan data yang sensitive dan adanya pengamanan sistem maupun saluran informasi

Memperbaiki metode deteksi o Melakukan audit secara berkala o Adanya konsultan atau pengawas

khusus

Mengurangi kerugian akibat computer fraud Menggunakan jaminan asuransi Adanya penyimpanan cadangan file-file perusahaan


Compliance and Internal Control

Lingkungan pengendalian internal merupakan atmosfer kerja yang ditetapkan perusahaan untuk karyawannya. Kontrol internal (IC) adalah proses yang dirancang untuk mencapai:

o Keandalan pelaporan keuangan, untuk melindungi investor

o Efisiensi operasional o Kepatuhan terhadap hukum,

peraturan, dan kebijakan o Menjaga aset



Unsur pengendalian internal COSO (The Committee Of Sponsoring Organizations Of Treadway Commission).

COSO merupakan model pengendalian internal yang banyak digunakan oleh auditor sebagai dasar untuk mengevaluasi dan mengembangkan pengendalian internal.

COBIT adalah alat pendukung yang digunakan oleh manajer untuk menjembatani kesenjangan antara persyaratan kontrol, masalah teknis, dan risiko bisnis. COBIT dibuat untuk 3 pengguna yang antara lain yaitu manajer, user, dan auditor.

COSO pada tahun 1970-an digunakan untuk mengatasi maraknya terjadi tindak korupsi di Amerika.

COBIT merupakan sebuah framework yang dikembangkan oleh ISACA (Information Systems Audit and Control Association) pada tahun 1996, sebagai rangkaian alat pengendalian objektif untuk aplikasi bisnis




Five integrated components 1. Control Environment

2. Risk Assessment

3. Control Activities

4. Information And Communication

5. Monitoring Activities"




Control Environment (Lingkungan Pengendalian)

Seperangkat standar, proses, dan struktur yang memberikan dasar untuk melaksanakan pengendalian internal di seluruh organisasi.

Lingkungan pengendalian merupakan landasan untuk semua komponen pengendalian internal yang membentuk disiplin dan struktur




Risk Assessment (Penilaian Resiko)

Risiko merupakan kemungkinan bahwa suatu peristiwa dapat terjadi dan mempengaruhi pencapaian tujuan. Penilaian risiko membentuk dasar untuk menentukan bagaimana risiko harus dikelola oleh organisasi




Control Activities (Aktifitas Pengendalian )

Aktivitas pengendalian meliputi :

otorisasi, verifikasi, rekonsiliasi,

analisis, prestasi kerja, menjaga

keamanan harta perusahaan dan

pemisahan fungsi.

Aktifitas pengendalian adalah Tindakan -

tindakan yang ditetapkan melalui kebijakan-

kebijakan dan prosedur-prosedur untuk

memastikan pengurangan risiko terhadap

pencapaian tujuan.




Informasi Dan Komunikasi (Information And Communication)

Informasi yang diperlukan manajemen adalah informasi yang relevan dan berkualitas baik yang berasal dari sumber internal maupun eksternal . Informasi diperoleh ataupun dihasilkan melalui proses komunikasi antar pihak internal maupun eksternal yang dilakukan secara terus- menerus, berulang, dan berbagi




Monitoring

Kegiatan pemantauan meliputi proses penilaian kualitas kinerja pengendalian internal sepanjang waktu, dan memastikan apakah semuanya dijalankan seperti yang diinginkan

Documents

Cybersecurity and Risk Management - dinus.ac.iddinus.ac.id/repository/docs/ajar/chapter05_MIS_Turban.pdfdari kartu kredit dan debit yang digesek melalui ... BlackPOS dijual di pasar