Setahun belakangan ini, komunitas IT dan pengguna internet di Indonesia agak ”terganggu” dengan dibentuknya sebuah lembaga monitoring traffic internet yang diberi nama ID-SIRTII oleh pemerintah. Kecurigaan yang sering muncul adalah bahwa ini adalah bentuk penyadapan yang ilakukan oleh pemerintah sehingga “mengancam” privacy pengguna internet.
Nah, Jum’at (4 Januari) malam lalu penulis berkesempatan menghadiri sebuah diskusi kecil yang diselenggarakan oleh Komunitas Keamanan Informasi (KKI) di sebuah kantor di seputaran Kuningan, Jakarta Selatan. Diskusi ini adalah salah satu agenda rutin komunitas ini (disebut sebagai Security Night), dimana topik pada malam itu adalah presentasi dan diskusi dari tim ID-SIRTII mengenai apa dan bagaimana cara kerja ID-SIRTII. Presentasi dibawakan sendiri oleh Dr. Richardus Eko Indrajit, MSc, MBA dan Muhammad Salahuddien Manggalanny sebagai ketua pelaksana dan wakil ketua ID –SIRTII. (http://www.postel.go.id/update/id/baca_info.asp?id_info=815). Diskusi itu sendiri berlangsung dalam suasana informal, sopan dan hangat.
Beberapa hal yang berhasil saya catat dalam diskusi tersebut adalah:
1. ID-SIRTII dibentuk bersama oleh beberapa institusi yang berkepentingan terhadap ancaman yang terjadi dunia teknologi informasi khususnya internet, seperti: Kejaksaan, Kepolisian, Asosiasi Pengusaha Jasa Internet Indonesia, Dirjen Postel, dll.
2. ID-SIRTII berada di bawah Dirjen Postel.
3. ID-SIRTII tidak memiliki hubungan dengan ID-CERT. Adalah normal dalam satu negara memiliki lebih dari satu lembaga monitoring semacam SIRT atau CERT; faktor pembedanya adalah konstituen (stakeholder) dari lembaga2 tersebut.
Catatan: nama CERT adalah copy-right dari Carnegie Mellon University.
4. Misi utama dari ID-SIRTII adalah untuk meningkatkan pertumbuhan internet di Indonesia.
5. Saat ini ID-SIRTII masih berada pada stage I (development) dan akan memasuki stage II (implementasi).
6. Agar dapat melakukan pekerjaannya, ID-SIRTII akan mencatat seluruh log dari traffic internet (saat ini sudah dipasang sensor di sekitar 9 ISP di Indonesia). Adapun log yang dimaksud adalah IP pengirim, IP tujuan, protocol, port, dan time-stamp.
7. Meskipun ID-SIRTII menyatakan tidak akan membuka ”content” dari traffic tersebut, akan tetapi pada kenyataannya seluruh traffic dan isinya akan difilter dan dicatat.
Catatan: Hal ini terjadi karena secara teknis sulit (tidak mungkin?) untuk memilah-milah traffic itu sendiri. Adapun proses ekstraksi database ID-SIRTII meliputi proses ekstraksi untuk kepentingan internal Postel dan proses Peradilan, harus sesuai dengan prosedur. (http://www.postel.go.id/update/id/baca_info.asp?id_info=784)
Hal paling menarik dalam diskusi tersebut adalah isu penting mengenai integritas dari individu-individu yang akan berada di tim pelaksana ID-SIRTII tersebut. Sebagaimana diketahui bahwa faktor manusia adalah ”the weakest link” di security dan ID-SIRTII adalah sebagai custodian log yang berisikan seluruh log traffic internet di Indonesia (yah, anggap saja begitu –meski mungkin ada juga pihak-pihak yang berkepentingan lain yang melakukan pencatatan sejenis tapi memilih untuk beroperasi secara diam-diam seperti kepolisian dan BIN). Apabila salah pilih orang dan proses pengendalian tidak dilakukan dengan benar, ada risiko bahwa data ”maha penting” itu jatuh ke tangan pihak2 yang punya maksud lain, misalnya untuk kepentingan politis. ID-SIRTII sendiri menginginkan dilakukannya audit secara teratur untuk memastikan confidentiality, integrity dan availability.
Sebagai kesimpulan, pada akhirnya pengguna internet harus menyadari sepenuhnya bahwa "there's no such thing like confidentiality guarantee" begitu data/informasi telah keluar dari sistem kita dan dikirim melalui public network seperti internet. Tidak ada yang bisa menjamin bahwa data/informasi yang kita kirimkan melalui public network tidak dapat dibaca oleh orang lain. Keberadaan ID-SIRTII tidak mengubah apapun dalam arti yang dilakukan olehnya dapat juga dilakukan oleh pihak lain seperti ISP ataupun Administrator Warnet. Sehingga pengguna internet harus mempergunakan proteksi (seperti enkripsi) untuk mengurangi risiko bahwa data/informasi yang ia kirimkan tidak dibaca oleh pihak lain yang tdak berhak.
Tuesday, January 15, 2008
Subscribe to:
Posts (Atom)