Selasa, 22 Maret 2011

CyberLaw

CyberLaw merupakan aspek hukum yang istilahnya berasal dari Cyberspace Law, yang berhubungan dengan orang perorangan atau subyek hukum yang menggunakan dan memanfaatkan teknologi internet yang dimulai pada saat mulai "online" dan memasuki dunia cyber atau maya. Pada negara yang telah maju dalam penggunaan internet sebagai alat untuk memfasilitasi setiap aspek kehidupan mereka, perkembangan hukum dunia maya sudah sangat maju. Berikut tiga contoh Hukum mengenai kejahatan didunia maya di tiga negara :

Di India, Cyber adalah kejahatan kelas baru yang berkembang pesat karena luas penggunaan internet. Mendapatkan memimpin yang tepat dan membuat interpretasi yang tepat sangat penting dalam memecahkan kejahatan Cyber Law. Kebijakan Telekomunikasi Baru, 1999 (NTP 1999) membantu lebih lanjut liberalisasi sektor telekomunikasi India. Para Teknologi Informasi Undang-undang 2000 diciptakan prosedur hukum untuk transaksi elektronik dan e-commerce. IPC (PenalCode India) menciptakan atau yang bertanggung jawad dalam memberikan hukuman untuk tindakan tertentu tanpa membuat referensi khusus untuk komuter.

Bagian 66 (2) UU TI : berhubungan dengan Hacking

Sementara di Singapura terdapat Electronic Transaction Act (ETA) sebagai Cyber Law negaranya. ETA telah ada sejak 10 Juli 1998 untuk menciptakan kerangka yang sah tentang undang-undang untuk transaksi perdagangan elektronik di Singapore yang memungkinkan bagi Menteri Komunikasi Informasi dan Kesenian untuk membuat peraturan mengenai perijinan dan peraturan otoritas sertifikasi di Singapura. ETA 2010 membahas diantaranya mengenai :

Pasal 3, 4 : mengatur mengenai aplikasi untuk otoritas sertifikasi yang terakreditasi dan mengatur pembaharuan akreditasi.

Pasal 5-9 : mengatur penolakan, pembatalan dan penghentian sementara akreditasi

Pasal 10-12 : mengatur persyaratan akreditasi

Pasal 13-26 : mengatur penyelenggaraan usaha oleh otoritas sertifikasi yang terakreditasi

Pasal 27, 28 : mengatur persyaratan untuk repositori

Pasal 29 : mengatur tanda bukti akreditasi, jika melanggar peraturan ini, dikenakan denda $50000 atau penjara 12 bulan.

Pasal 30 : mengatur aplikasi untuk lembaga publik

Pasal 35 : mengatur sanksi yang diberikan jika melanggar undang-undang Pasal 13 ayat 2, Pasal 14, Pasal 16 ayat 2 atau ayat 11, Pasal 17 ayat 3, Pasal 18 ayat 10, Pasal 19 ayat 5, Pasal 21 ayat 7 atau ayat 8 atau Pasal 25, yaitu antara $5000 sampai dengan $10000.

Cyber Law di Indonesia terdapat Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) Sebagai solusi atas penggunaan internet di Indonesia maka pada tanggal 25 Maret 2008 DPR mengesahkan Undang-Undang Informasi dan Transaksi Elektronik (UU ITE). UU ITE ini merupakan undang-undang yang mengatur berbagai perlindungan hukum atas kegiatan yang pemanfaatan informasinya. Pada UU ITE ini juga diatur berbagai ancaman hukuman bagi kejahatan melalui internet.

Pada UU ITE 2008 yang dibahas antara lain :

Pasal 5, 6 : mengatur ketentuan mengenai informasi elektronik yang dianggap sah.

Pasal 7, 8 : hak seseorang atas informasi/dokumen elektronik.

Pasal 9 : mengatur informasi yang disediakan oleh pelaku usaha yang menawarkan produk melalui sistem elektronik.

Pasal 11 : mengatur keabsahan tanda tangan elektronik.

Pasal 12 : mengatur mengenai kewajiban pemberian keamanan atas tanda tangan elektronik.

Pasal 13, 14 : mengatur mengenai penyelenggaraan sertifikasi elektronik.

Pasal 15, 16 : mengatur mengenai penyelenggaraan sistem elektronik.

Pasal 17-22 : mengatur mengenai penyelenggaraan transaksi elektronik.

Pasal 23 : mengatur hak kepemilikan dan penggunaan nama domain.

Pasal 24 : mengatur mengenai pengelolaan nama domain.

Pasal 27 : melarang beredarnya informasi/dokumen elektronik yang melanggar kesusilaan, memuat perjudian, penghinaan dan/atau pencemaran nama baik, serta pemerasan dan/atau pengancaman.

Pasal 28 : melarang penyebaran berita yang merugikan konsumen dalam transaksi elektronik, serta informasi yang berbau SARA.

Pasal 29 : melarang pengiriman informasi/dokumen elektronik yang berisi ancaman kekerasan atau menakut-nakuti individu secara pribadi.

Pasal 30-37 : melarang orang dengan sengaja tanpa hak atau melawan hukum atas komputer, sistem elektronik, informasi elektronik, dan/atau dokumen elektronik oleh pihak yang tidak berwenang.

Pasal 45-51 : mengatur sanksi yang diberikan jika melanggar undang-undang Pasal 27 sampai dengan Pasal 36, yaitu denda antara Rp 600 juta sampai dengan Rp 12 milyar, atau pidana penjara antara 6 sampai 12 tahun.

.

Referensi :

http://www.ida.gov.sg/doc/Policies%20and%20Regulation/Policies_and_Regulation_Level2/20061220102423/ETR2010.pdf

http://www.lipi.go.id/intra/informasi/1250035982.pdf

http://www.law.upenn.edu/bll/archives/ulc/ecom/ueta_final.pdf

http://id.wikipedia.org/wiki/Undang-undang_Informasi_dan_Transaksi_Elektronik

http://en.wikipedia.org/wiki/Uniform_Electronic_Transactions_Act

http://prastowo.staff.ugm.ac.id/files/130M-09-final2.0-laws_investigations_and_ethics.pdf

http://www.bi3licious.co.cc/2010/05/perbandingan-uu-ite-dengan-5-negara-di.html

Senin, 21 Maret 2011


IT AUDIT DAN FORENSIK

Audit merupakan proses dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilaiseberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, danmengkomunikasikan hasilnya kepada pihak terkait.

IT audit sendiri adalah proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakantelah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien.

Tujuan IT audit adalah:

  1. -> Availabilityketersediaan informasi, apakah informasi pada perusahaan dapat menjamin ketersediaan informasi dapat dengan mudah tersedia setiap saat.

  1. -> Confidentialitykerahasiaan informasi, apakah informasi yang dihasilkan oleh sistem informasi perusahaan hanya dapat diakses oleh pihak-pihak yang berhak dan memiliki otorisasi.

  1. -> Integrityapakah informasi yang tersedia akurat, handal, dan tepat waktu.

IT Forensic dapat dikatakan sebagai penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk mengekstrak dan memelihara barang bukti tindakan criminal.

Tujuan IT Forensic -> mendapatkan fakta-fakta obyektif dari sebuah insiden / pelanggaran keamanan sistem informasi. Fakta-fakta tersebut setelah diverifikasi akan menjadi buktibukti (evidence)

yang akan digunakan dalam proses hukum.


PROSEDUR

Prosedur Audit merupkan tindakan yang di lakukan atau metode dan taknik yang digunakan oleh auditor untuk mendapatkan atau mengevaluasi bukti audit.

Berikut adalah komponen Audit TI:

  1. pendefinisian tujuan perusahaan.
  2. penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian TI.
  3. review terhadap pengorganisasian bagian TI yang meliputi perencanaanproyek, status dan prioritasnya, staffing levels, belanja TI dan IT changeprocess management.
  4. assessment infrastruktur teknologi, assessment aplikasi bisnis.
  5. Temuan-temuan.
  6. laporan rekomendasi.

Subyek yang perlu diaudit mencakup:

1. Aspek keamanan

Masalah keamanan mencakup tidak hanya keamanan file servers dan penerapan metoda cadangan, melainkan juga penerapan standar tertentu, seperti C-ICT.

2. Keandalan

Keandalan meliputi penerapan RAID V disk subsystems untuk server dengan critical applications dan prosedur penyimpanan data di file server, bukan di drive lokal C.

3. Kinerja

Kinerja mencakup persoalan standarisasi PC, penggunaan LAN serta cadangan yang sesuai dengan beban kerja.

4. Manageability

manageability menyangkut penerapan standar tertentu dan pendokumentasian secara teratur dan berkesinambungan

Audit itu harus dilakukan terhadap :

  1. sistem informasi secara keseluruhan.
  2. perangkat TI yang digunakan
  3. software, hardware, jaringan saja
  4. aspek yang terlibat dan relevan dalam sistem informasi.


Metodologi Audit Teknologi Informasi:
Fase 1 : Merencanakan Audit
Fase 2 : Mengidentifikasikan risiko dan kendali
Fase 3 : Mengevaluasi kendali dan mengumpulkan bukti-bukti
Fase 4 : Mendokumentasikan temuan-temuan dan mendiskusikan dengan auditee
Fase 5 : Laporan akhir dan mempresentasikan hasil-hasil

Secara garis besar prosedur atau metodologi Audit Forensik tidak jauh berbeda dengan prosedur atau metodologi IT Audit diatas. Metodologi Audit Forensik adalah:

  1. Pengumpulan data/fakta dari sistem komputer (harddisk usb-stick, log, memory-dump, internet, dll) – termasuk di dalamnya data yang sdh terhapus
  2. Mendokumentasikan fakta-fakta yang ditemukan dan menjaga integritas data selama proses forensik dan hukum dengan proteksi fisik, penanganan khusus, pembuatan image, dan menggunakan algoritma HASH untuk pembuktian / verifikasi
  3. Merunut kejadian (chain of events) berdasarkan waktu kejadian
  4. Memvalidasi kejadian2 tersebut dengan metode “sebab-akibat”
  5. Dokumentasi hasil yang diperoleh dan menyusun laporan
  6. Proses hukum (pengajuan delik, proses persidangan, saksi ahli, dll)

LEMBAR KERJA IT AUDIT

Lembar kerja audit adalah semua berkas-berkas yang di kumpulkan oleh auditor dalam menjalankan pemeriksaan,yang berasal :

1. Dari pihak client
2. Dari analisa yang di buat oleh auditor
3. Dari pihak ke tiga

Fungsi lembar kerja :
• menyediakan penunjang utama bagi laporan audit
• membantu auditor dalam melaksanakan dan mensupervisi audit
• menjadi bukti bahwa audit telah di laksanakan sesuai dengan standar auditing

hasil akhir audit adalah berupa laporan yang berisi:

  • ruang lingkup audit.
  • Metodologi
  • Temuan-temuan.
  • Ketidaksesuaian
  • kesimpulan

Susunan lembar kerja:

  1. Draft laporan audit (audit report)
  2. laporan keuangan auditan
  3. ringkasan informasi bagi reviewer
  4. program audit
  5. laporan keuangan atau lembar kerja yang dibuat oleh klien.
  6. Ringkasan jurnal adjustment
  7. working trial balance
  8. skedul utama
  9. skedul pendukung.

TOOLS YANG DIGUNAKAN

Tools yang digunakan untuk IT Audit dan Forensik :

  1. Hardware
    • Harddisk IDE dan SCSI kapasitas sangat besar, CD-R, DVR drives
    • Memori yang besar (1 – 2 GB RAM)
    • Hub, Switch, keperluan LAN
    • Legacy hardware (8088s, Amiga)
    • Laptop Forensic Workstations
  2. Software
    • ACL
      ACL (Audit Command Language) merupakan sebuah software CAAT (Computer Assisted Audit Techniques) yang sudah sangat populer untuk melakukan analisa terhadap data dari berbagai macam sumber.


    • Hash utility (MD5, SHA1)
    • Text search utilities (dtsearch http://www.dtsearch.com/ )
    • Drive imaging utilities (Ghost, Snapback, Safeback)
    • Forensic toolkits
      • Unix/Linux : TCT The Coroners Toolkit / ForensiX
      • Windows : Forensic Toolkit
    • Disk editors (Winhex)
    • Forensic aquisition tools (DriveSpy, EnCase, Safeback, SnapCopy)
    • Write-blocking tools (FastBloc http://www.guidancesoftware.com/ ) untuk memproteksi bukti-bukti
    • Forensic software tools for Windows (dd for Windows, Encase 4, FTK, MD5, ISOBuster)
    • Image and Document Readers (ACDSee, DecExt)
    • Data Recovery/Investigation (Active Partition Recovery, Decode – Forensic Date/Time Decoder)
    • Dll.

Minggu, 20 Maret 2011

Kelebihan dan Kekurangan Open Source

Pemikiran terhadap program berbasis open source di masyarakat indonesia sering di anggap positif, selain opensource tidak menyalahi Undang-undang No 19 Tahun 2002 tentang HAKI (Hak Atas Kekayaan Intelektual) dan persepsi masyarakat bahwa opensource adalah program gratis tanpa ada lisensi berbayar. Arti dari Open source itu sendiri adalah kode yang terbuka, sehingga semua kode program aplikasi bisa dilihat, diedit dan diubah sesuai dengan kebutuhkan kita. Sehingga pemerintah Indonesia menggalakkan program EGOS. Berikut beberapa kelebihan dan kelemahan jika menggunakan Open Source :


> kelemahan dari open source :
  • Satu keyakinan bahwa software tidak akan ada masalah adalah keliru, dan ini adalah sebuah bencana jika kita sudah memakai program opensource untuk semua infrastruktur yang besar, dan ketika itu menemukan hole atau bug yang tidak ada yang paham. Maka langkah yang mungkin ditempuh adalah : searching problem solving di forum-forum, tanya sana sini. Jika tidak ketemu juga, kita bisa-bisa harus menganggarkan dana yang tidak sedikit untuk mendatangkan jasa konsultan dari pakar opensource tersebut.
  • Mungkin untuk skala kecil, anda tidak akan merasakan impack yang diakibatkan. Namun jika sudah melibatkan sistem yang sudah ada, data-data penting, kadang-kadang manajemen biasanya tidak akan ambil pusing, mending mencari yang berbayar sedikit mahal diawal, tetapi ada jaminan support dan problem solving yang akuntabel dari vendor. Dari pada mengorbankan data-data dan infrastruktur yang sudah terinstall hanya karena berorientasi penghematan dana di awal.
  • Open source sangat erat kaitannya dengan versi dan kestabilan kualitas softwarenya, ini merupakan celah besar yang ditinggalkan baik disengaja atau tidak disengaja. Kepastian stabil dan tidak stabil kadang menjadi keraguan pilihan para petinggi IT untuk memilih software opensource. Bayangkan saja, versi software yang terinstall di server anda statusnya masih unstable, bisa dibayangkan bisa terjadi apa-apa. Dan patch-nya harus menunggu orang yang sukarela membetulkan masalah yang terjadi itu.

  • Beberapa software dikembangkan oleh sebuah komunitas yang mempunya tujuan khusus, jaminan dan kepercayaan kualitas produk hasil perlu dicompare dengan produk komersil yang jauh lebih mumpuni dari segala sisi.


> Kelebihan dari open source :

  • Perkembangan dunia komputer makin ramai dan menarik dengan adanya pendekatan-pendekatan baru dalam pengembangan perangkat lunak (software). Salah satu yang populer adalah adanya open source, yaitu source code dari sebuah program atau paket software dapat diperoleh atau dilihat oleh publik meskipun source code tersebut belum tentu public domain.
  • Proyek open source biasanya bermula dari kebutuhan pribadi. Akan tetapi ternyata persoalan tersebut juga merupakan persoalan orang banyak (typical problem). Dari kebutuhan pribadi dan komunitas inilah muncul proyek open source. Dalam perjalannya banyak aspek non-teknis (sosial) yang mempengaruhi pengembangan proyek tersebut.

  • Kegiatan Open Source biasanya melibatkan banyak orang. Memobolitas banyak orang dengan biaya rendah (bahkan gratis) merupakan salah satu kelebihan open source. Kasus Linux, programmer yang terlibat dalam pengembangan Linux mencapai ribuan orang. Bayangkan jika mereka harus digaji sebagaimana layaknya programmer yang bekerja di perusahaan yang khusus mengembangkan software untuk dijual. Kumpulan skill ini memiliki nilai yang berlipat-lipat tidak sekedar ditambahkan saja.
  • Untuk menentukan kesalahan (bugs) dalam software diperlukan usaha yang luar biasa, menentukan sumber kesalahan ini merupakan salah satu hal yang tersulit dan mahal. Kegiatan debugging dapat dilakukan secara paralel. Coding masih merupakan aktivitas yang mandiri (solitary). Akan tetapi, nilai tambah yang lebih besar datang dari pemikiran komunitas.
  • Peningkatan Kualitas : Adanya peer review meningkatkan kualitas, reliabilitas, menurunkan biaya dan meningkatkan pilihan (choice). adanya banyak pilihan dari beberapa programmer membuat pilihan jatuh kepada implementasi yang lebih baik. Contoh nyata dari hal ini adalah web server Apache yang mendominasi pasar server web.
  • Menjamin Masa Depan Software : Konsep open source menjamin masa depan (future) dari software. Dalam konsep closed-source, software sangat bergantung kepada programmer atau perusahaan. Bagaimana jika programmer tersebut bekerja atau pindah ke perusahaan lain? hal ini tentunya akan merepotkan perusahaan pembuat software tersebut. Di sisi pembeli juga ada masalah, bagaimana jika perusahaan tersebut gulung tikar? Nilai closed-source software akan cenderung menjadi nol jika perusahaan tersebut bangkrut. Dengan kata lain, “the price a consumer will pay” dibatasi oleh “expected future value of vendor service”. Open source tidak memiliki masalah tersebut.
  • Bisnis Open Source : Sebuah produk software memiliki dua nilai (value): use value dan sale value. Use value merupakan nilai ekonomis yang diperoleh dari penggunaan produk tersebut sebagai tool. Sementara sale value merupakan nilai dari program tersebut sebagai komoditi.