Tag Archives

2 Articles
Belajar Dari Kasus Equifax: Privasi, SNI, dan Payung Hukum Terpadu

Belajar Dari Kasus Equifax: Privasi, SNI, dan Payung Hukum Terpadu

Ada 3 perusahaan besar (swasta) di Amerika Serikat (AS) yang mencatat semua transaksi keuangan (kartu kredit, pinjaman, SSN/nomor sosial) warga negara AS. Mereka adalah Equifax, Experian, dan TransUnion. Pada tanggal 7 September 2017, Equifax mengumumkan bahwa datanya telah terjebol. Sebanyak 143 juta rakyat AS, sekitar 44% populasi total AS, terlepas mereka menggunakan Equifax atau tidak, memiliki kemungkinan bahwa identitasnya yang tercuri dapat digunakan untuk melakukan transaksi keuangan.

Ironisnya, menurut Michael Riley, data tersebut justru tercuri dari situs Equifax yang menawarkan produk perlindungan pencurian informasi. Situs tersebut teretas menggunakan kelemahan-kelemahan yang ada untuk mengakses 143 juta data tersebut. Equifax menunggu 6 minggu untuk mengumumkan peretasan tersebut.

 The twins looked at each other jubilantly but with some surprise. Although 70-534 answer analysis they 70-534 answer analysis considered themselves Scarlett’s favored suitors, they had never before gained tokens ADM-201 exam dumps of this favor so easily. Usually she made them beg and plead, while she put them off, CISSP exam topics refusing to give a 70-534 answer analysis Yes or No answer, laughing if they sulked, growing cool if they became angry. And here she had practically promised them 70-534 answer analysis the ADM-201 exam dumps whole of tomorrow—seats by her at 70-534 answer analysis the barbecue, all the waltzes (and they’d see to it that the dances were CISSP exam topics all waltzes!) and the supper intermission. This was worth getting expelled from the university.Filled ADM-201 exam dumps with new enthusiasm by their success, they CISSP exam topics lingered on, talking about the barbecue 70-534 answer analysis and the ball and Ashley Wilkes 300-208 study material CISSP exam topics and Melanie Hamilton, CISSP exam topics interrupting each other, making jokes and laughing at them, hinting broadly for invitations 300-208 study material to supper. ADM-201 exam dumps Some time had passed before they realized that Scarlett was having very little to say. The atmosphere had somehow changed. Just how, the twins did not know, but the fine glow had gone out of the afternoon. Scarlett seemed to ADM-201 exam dumps be paying little attention to 70-534 answer analysis what they 300-208 study material 70-534 answer analysis ADM-201 exam dumps said, although she made the correct answers. Sensing something they 300-208 study material could not understand, baffled and annoyed by it, the twins struggled along for a while, and then rose reluctantly, ADM-201 exam dumps looking at their 300-208 study material watches.The sun was low CISSP exam topics across the new-plowed fields and the tall woods across the river ADM-201 exam dumps were looming ADM-201 exam dumps blackly in silhouette. Chimney swallows were darting swiftly across the yard, and chickens, ducks and turkeys were waddling 70-534 answer analysis and strutting and straggling in from the fields.Stuart bellowed: “Jeems!” And after an interval a 70-534 answer analysis tall black boy of their own age ran breathlessly around CISSP exam topics the house and out toward the ADM-201 exam dumps tethered horses. Jeems was their 300-208 study material body servant and, like CISSP exam topics the dogs, accompanied them everywhere. He had been CISSP exam topics their childhood playmate and had been given to the twins for their own ADM-201 exam dumps on their tenth birthday. At the sight of him, CISSP exam topics CISSP exam topics the Tarleton hounds rose up out of the red dust and stood waiting expectantly for their masters. The 300-208 study material boys bowed, shook hands and 300-208 study material told CISSP exam topics Scarlett they’d be over 300-208 study material at the 300-208 study material Wilkeses’ early in the morning, waiting for her. Then CISSP exam topics they were ADM-201 exam dumps off down the 70-534 answer analysis walk CISSP exam topics at a rush, mounted their horses and, followed by ADM-201 exam dumps ADM-201 exam dumps Jeems, went down the avenue of cedars at a gallop, waving their hats and yelling back to her.When they had rounded the curve of the dusty road that hid them from Tara, Brent drew his horse to a ADM-201 exam dumps stop under a clump of dogwood. Stuart halted, 70-534 answer analysis too, and the darky boy pulled up a few paces behind 300-208 study material them. The horses, feeling slack reins, 300-208 study material stretched down their necks to crop the tender spring grass, and the patient hounds lay down again in the 300-208 study material CISSP exam topics soft red dust and looked up longingly at the chimney swallows circling in the gathering dusk. 300-208 study material Brent’s wide ingenuous face was puzzled and mildly indignant.“Look,” he said. “Don’t it look to you like she 70-534 answer analysis would of asked us to stay for supper?”  Nor did 70-534 answer analysis James and Andrew, who took him into their store in Savannah, regret his lack of education. His clear hand, his 300-208 study material accurate CISSP exam topics figures and his shrewd ADM-201 exam dumps ability in bargaining won their respect, where a knowledge 70-534 answer analysis of literature and a fine appreciation of music, had young 300-208 study material Gerald possessed them, would have moved them to snorts of contempt. America, in the early years of the century, had been kind to the Irish. James and Andrew, who had begun by hauling goods in covered wagons 70-534 answer analysis from Savannah to Georgia’s inland towns, had prospered into a store of their own, and Gerald prospered with them.

Apa yang dilakukan Equifax dalam 6 minggu?

Mereka membuat sebuah laman www.equifaxsecurity2017.com yang dibuat di sebuah penyedia situs umum dengan DNS yang terdaftar secara anonim, bukan atas nama Equifax. Situs ini sepertinya dibuat secara tergesa-gesa sehingga masih ada beberapa data sensitif yang belum dilindungi. Situs ini bahkan sempat ditandai sebagai situs yang mencurigakan. Padahal, situs ini menyediakan layanan kepada rakyat AS apakah data mereka terjebol.

Situs ini mensyaratkan setiap orang yang menggunakan layanan untuk mengetahui datanya terjebol atau tidak harus secara otomatis melepaskan haknya untuk menuntut Equifax untuk hal yang terjadi sebagai syarat penggunaan (Terms of Use). Artinya, semua orang yang akan menggunakan layanan itu akan secara otomatis tidak bisa lagi menuntut kecerobohan Equifax. Namun, Jaksa Umum New York mengatakan bahwa syarat arbitrasi tersebut tidak benar dan meminta Equifax untuk mengubah/menghapus syarat penggunaan tersebut.

Beberapa hari setelah terjebolnya data Equifax, 3 orang eksekutif dalam perusahaan tersebut menjual sahamnya. Mereka berdalih bahwa ini hanya kegiatan yang biasa dan, menurut perusahaan, tidak mengetahui adanya kejadian terjebolnya data sebelum penjualan saham tersebut. Terlepas dari itu semua, para analis pasar modal justru menyarankan yang lain untuk membeli saham Equifax atau menahan diri untuk menjual saham tersebut.

Pelajaran

Banyak orang berasumsi bahwa tidak ada yang perlu ditakutkan bila kita tidak melakukan hal-hal yang salah. Nyatanya, penggunaan data secara ilegal pada era digital justru memerlukan privasi. Privasi bukan hanya mengatur data apa saja yang perlu dilindungi (boleh dibuka/tidak), namun juga mengatur kewajiban apa yang diperlukan untuk sebuah entitas (perusahaan/orang/apa pun) yang memegang info sensitif tersebut. Itu sebabnya, sebuah entitas bisnis diperlukan untuk membuat pernyataan privasi pada banyak negara.

Hal-hal yang dilakukan oleh Equifax ketika terjadi peretasan menandakan bahwa mereka tidak siap. Bahkan, mereka terkesan hendak cuci tangan. Padahal, ISO27001 dan standar keamanan sistem informasi (COBIT, ITIL, TOGAF) lainnya sudah ada.

Apakah standar-standar keamanan organisasi ini wajib diterapkan?

Kalau di Indonesia, sejauh ini saya baru menemukan POJK Nomor 38/POJK.03/2016 mengenai ketentuan bank umum untuk menerapkan standar-standar keamanan sistem informasi. Belum secara spesifik menyebutkan standar apa yang dipakai, misalnya SNI ISO/IEC 27001:2013. Jadi, standar apa pun yang digunakan asalkan disebutkan standar keamanan yang memenuhi kaidah tersebut, bolehlah. Lalu, bagaimana dengan industri telekomunikasi dan lembaga-lembaga lainnya yang non-bank umum?

Anda mungkin percaya kepada entitas yang memegang data Anda. Namun, ketidaktahuan bagaimana cara mereka menyimpannya dapat membuat data Anda tercuri. Alangkah baiknya pada era digitalisasi dan pertukaran data, payung hukum terpadu yang mendukung privasi dan prinsip keamanan dikembangkan. Hal ini dapat memaksa mereka untuk menerapkan standar keamanan yang cukup untuk melindungi data yang sudah dipercayakan.

Mungkin, suatu hari nanti apa bila itu terjadi, penipuan berbasis SMS sudah tidak laku lagi. Amin.

Maaf, ya, karena penjabaran berita Equifax kepanjangan, saya tidak menulis secara lengkap pendapat saya seperti biasanya. Nanti bila saya ada waktu℠ 😛

 

Membuat Pemerintahan yang Tangkas dengan Metodologi Tangkas (Agile Method)

Membuat Pemerintahan yang Tangkas dengan Metodologi Tangkas (Agile Method)

Mark Schwartz berbicara mengenai bagaimana dia mau mengubah Departemen Imigrasi Amerika Serikat menjadi lebih mudah dan efisien. Berikut apa yang saya tangkap dari apa yang dia bagikan ditambah beberapa addendum dari saya.

  • Problem pertama Schwartz adalah adanya aturan MD 102 (Management Directive #102) dari Homeland Security untuk pengadaan proyek TIK. Dokumen tersebut menyediakan falsafah pengembangan menggunakan sebuah pengembangan air terjun (Waterfall SDLC) yang komprehensif. Pada buku tersebut, tercantum proses apa saja yang dilakukan dan dokumen apa saja yang harus dilakukan. Setelah mempelajarinya, Beliau mengumpulkan semua pelatih tangkas dan membuat sebuah sabda MD001, “mulai sekarang kita semua tangkas.” Beliau mendefinisikan 8 nilai inti dalam metodologi tangkas yang hendak diimplementasi.
  • Lebih lanjut, yang perlu dilakukan oleh Schwartz adalah menerjemahkan semua kebutuhan yang dicakup dalam MD102 dan memetakannya ke dalam sebuah Praktik Tangkas sehingga menjadi Birokrasi Ramping (Lean Bureaucracy).
    • Menggunakan Continues Integration (Integrasi Berkesinambungan) dan semua perkakas yang biasa digunakan: Chef (Infrastruktur sebagai pemrograman, otomatisasi deployment), Jenkins (perkakas pembangunan secara berkesinambungan), GIT (DVCS), Gradle, New Relic (Manajemen Log), AWS (Infrastruktur Awan), Gradle (perkakas kompilasi), Spring (Java).
    • Menerjemahkan aturan-aturan hukum menjadi Test Driven Methodology: (Metodologi Berbasis Pengujian)
      • Misalnya, untuk UU Disabilitas dibuatkan pengujian kode yang dapat mendukung disabilitas.
      • Menerapkan standarisasi keamanan menjadi analisis kode statik (Static Code Analysis).
      • Menerapkan level permainan yang sama bagi semua kontraktor yang menang tender. Mereka dapat langsung masuk dan menyelesaikan aplikasi tanpa bergantung kepada dokumentasi yang sebelumnya. Hal ini diakibatkan dari sifat Metodologi Tangkas yang menyediakan unit test dan berbagai macam penunjang sehingga pengembang bisa langsung masuk.
    • Menyediakan grafik-grafik dari data yang dapat dikumpulkan dari hulu ke hilir sehingga menghasilkan dokumen empirik yang dapat dinilai secara obyektif.
      • Semua Komponen pada Integrasi Berkesinambungan dapat dicatat!
      • Hal ini karena infrastruktur sendiri dijahit dalam kode-kode (Chef) yang dapat dimonitor (debug) dan dihitung.
      • Jenkins dapat menghasilkan catatan mengenai hasil kompilasi dan deployment setiap versi pembangunan (build).
      • Spring menyediakan instrumentasi untuk mengukur. (Lihat Spring Boot)
      • Infrastruktur Awan dapat menyediakan seberapa besar penggunaan sumber daya secara menyeluruh.
    • Menjalankan Chaos Monkey! 😛

Beliau juga berbicara pada AWS Government, Education and Nonprofits Symposium. Pada forum tersebut, Beliau menyatakan sebenarnya kebutuhan proses dalam birokrasi adalah

The speed from when we [government] realize a mission need to the time when we deploy a capability to meet that mission need.

Atau diterjemahkan sebagai berikut:

Waktu yang dibutuhkan untuk pemerintah mendapatkan sebuah kebutuhan misi sampai waktu yang diperlukan saat sebuah kemampuan yang dihasilkan untuk memenuhi kebutuhan tersebut.

Biasanya yang terjadi adalah Pemerintah mendapatkan sebuah kebutuhan dan menunggu sampai lebih banyak lagi kebutuhan sehingga dapat dibundel menjadi satu Program Kerja. Akibat satu bundel Proker ini, mereka harus menulis sekitar 105 dokumen tebal yang kemungkinan tidak ada yang membaca. Baru, setelah itu mereka masuk ke Lelang. Setelah lelang berbagai hal (barang-barang, jasa pemasangan ke Pusat Data, jasa pengembangan, dll.), aplikasi dikembangkan. Setelah selesai pengembangan, aplikasi diuji untuk memenuhi kebutuhan. Terakhir, aplikasi diuji keamanan. Baru setelah itu (kemungkinan) digunakan.

Proses ini dapat menghabiskan waktu 12 tahun. Artinya, ada 12 tahun masa yang diperlukan untuk sebuah kebutuhan Pemerintah untuk dapat benar-benar dikerjakan. Bisa jadi, kebutuhan tersebut sudah berubah.

Yang dilakukan adalah Schwartz dan tim menciptakan sebuah Sistem Integrasi Berkesinambungan (Continues Integration System) yang memiliki sejumlah pengujian. Hal yang dilakukan oleh pengembang, setelah mereka menguji kode mereka, mereka pun menerbitkan (push) kode mereka ke sistem ini. Lalu, sistem ini yang kemudian menjalankan berbagai proses tes secara otomatis. Sehingga, setelah selesai proses ini sehingga menghasilkan satu versi pembangunan yang sukses, sistem ini langsung secara otomatis dapat diterbitkan ke infrastruktur awan untuk dijalankan langsung.

Untuk setiap pembaca yang belum begitu paham Metodologi Tangkas, Metodologi Tangkas menekankan pada “code often, deploy often”. Dalam Metodologi Tangkas Scrum, hal ini diterjemahkan dengan menyediakan solusi dari hulu ke hilir untuk Kebutuhan yang tidak terlalu besar. Bahkan, Scrum menyarankan untuk memotong-motong sebuah kebutuhan yang besar menjadi kebutuhan-kebutuhan yang kecil (atomik).

Kebutuhan-kebutuhan kecil ini menjadi semacam sayembara (bounty) yang dapat diambil oleh pengembang. Setiap kebutuhan atomik ini dihargai dengan poin. Dengan adanya poin ini, pengembang dapat menghitung berapa waktu yang dibutuhkan untuk menghasilkan produk. Semua berlangsung secara empirik karena ada nilai dan proses. Kegiatan pengembangan pun dilakukan dari hulu (back end) ke hilir (front end). Sehingga, pada setiap akhir kegiatan pengembangan kebutuhan atomik, ada aplikasi yang berjalan (berfungsi/dapat diakses dan digunakan).

Dari sisi Pemerintahan, dengan kebutuhan yang kecil, maka risiko yang dapat dihasilkan pun mengecil. Sehingga, dokumentasi yang dibutuhkan, penilaian yang dilakukan, dan audit yang diperlukan tidak sebanyak yang lama. Waktu yang dibutuhkan pun menjadi kecil!

Apa artinya ini?

Inovasi sebenarnya lebih mudah di pemerintahan. Kalau secara personal, akan banyak diketemukan banyak inovasi dari hampir semua orang. Namun, yang sebenarnya terjadi adalah banyak orang yang memiliki ide untuk meningkatkan berbagai proses merasa tak berkuasa. Mereka takut untuk harus terpenjara membuat 105 dokumentasi per ide mereka.

Dengan adanya Manajemen Identitas (SSO) yang sudah ada, infrastruktur awan yang sudah tersertifikasi fedRAMP, dan Infrastruktur Integrasi Berkesinambungan yang memenuhi kaidah-kaidah hukum, maka dapat dibuat eksperimen dengan biaya hampir tidak ada dengan potensi risiko yang rendah. Hal ini dapat dicapai asalkan ide yang ditawarkan dapat diterjemahkan menjadi aplikasi yang kemudian dapat dipublikasikan melalui Infrastruktur Integrasi Berkesinambungan tadi.

Eksperimen ini dapat langsung dijalankan dan diuji apakah berjalan baik atau tidak. Bila tidak, maka dapat langsung ditutup dengan hanya mematikan VM tersebut. Potensi kerugian pun minimal. Dengan potensi risiko dan biaya yang kecil, orang-orang tinggal diyakinkan untuk tidak malu untuk berinovasi. Hal ini mendukung inovasi dalam pemerintahan.

Satu catatan kecil, apa yang dilakukan Schwartz ini belum resmi karena menunggu Pemilu AS berakhir. Untuk mencari contoh yang berhasil, cari tidak lebih jauh ke Singapura. Singapura memiliki Badan Teknologi tersendiri untuk itu.

Singapura

Pada simposium yang sama, Chan Cheow Hoe menunjukkan bagaimana cara menerapkan layanan publik pada infrastruktur awan. Sebelum lebih lanjut membahas isinya, berikut hal menarik yang saya dapatkan dari Singapura:

  • Singapura telah mereformasi Depkominfo dan Departemen Penerangannya menjadi IMDA dan GovTech.
    • GovTech bertugas membangun platform kunci yang mendukung perkembangan infrastruktur teknologi yang aman untuk dapat dimanfaatkan oleh berbagai individu dan bisnis di Singapura. Misi mereka mendefinisikan Singapura sebagai Smart Nation. Sumber inovasi untuk TIK, IoT, dan membantu meningkatkan kemampuan Pemerintah Singapura dalam domain-domain ini.
    • IMDA bertujuan untuk membangun konten yang menghubungkan komunitas dan kepentingan. [sejujurnya saya tidak tertarik membahas peran IMDA, silakan baca sendiri di situs ;-P]
  • Ada beberapa hal yang hendak dicakup oleh GovTech:
    • Pemimpin dalam transformasi digital.
    • Program kerja Smart Nation dan Digital Gov.
    • Meningkatkan Kemitraan Teknologi
    • Membuat Open Data/OpenGov [Jakarta SmartCity seharusnya, UU Keterbukaan Informasi tujuannya, KPU C1 2014 contohnya] data.gov.sg yang dapat dimanfaatkan oleh berbagai pihak melalui API.

Berikut hal-hal yang dibicarakan oleh Chan Cheow Hoe:

  • Membuat sebuah pedoman dengan empat nilai berikut:
    • Meminimalisasi gesekan saat berhubungan dengan pemerintah. Intinya, mengurangi pertemuan langsung dengan pemerintah. Misalnya, pembuatan data terintegrasi dengan banyak perusahaan sehingga dapat membantu warga dalam membuat laporan pajak secara otomatis. (e-Filing yang terintegrasi)
      There should be no transaction if it’s not necessary.
    • Membuat komunitas digital dan ekosistem yang bermakna. Intinya, sih, sistem pelaporan Jakarta SmartCity plus beberapa eksperimen fungsionalitas.
    • Mengantisipasi isu-isu dan menyelesaikannya. Intinya, Big Data Analysis.
    • Menjembatani jurang digital. Intinya, berbagai program kerja pengentasan buta teknologi.
  • Menyediakan Infrastruktur Hibrida:
    • Managed Hosting. Untuk aplikasi-aplikasi tradisional.
    • Government cloud. Untuk sistem dengan data negara yang sensitif.
    • Public cloud. Untuk sistem yang menghasilkan data yang berhubungan dengan masyarakat.
  • Menerbitkan standarisasi Multi-Tier Cloud Security (MTCS) untuk menyeragamkan setiap penyedia layanan awan. Standarisasi MTCS ini sejajar dengan ISO27001. Dengan demikian, infrastruktur yang aman pun terjamin untuk kebutuhan Singapura (baik pemerintah mau pun sektor privat).

Bahkan Schwartz menyadari bahwa Pemerintah Singapura merupakan “kompetitor” yang luar biasa. Dia bahkan melucu bahwa dia jadi tertarik mau pindah ke Singapura. Aduh, kok, tulisan ini jadi panjang lebar, yah? Oh, tidak, waktu bermain game saya habis menulis ini.

Indonesia

Tadi saya perasaan mau menulis sesuatu, tapi hasrat bermain saya meninggi. Saya rasa rekan-rekan punya ide yang lebih baik. Ini beberapa hasil analisis saya.

  • PENTING: Perbanyak bergaul dengan Agile coach (pelatih tangkas). Baik AS mau pun Singapura merangkul profesional dalam membangun infrastruktur dan kebijakan.
  • Hukum: Anehnya, Hukum di Indonesia justru mendorong inovasi ini. Tidak ada MD102, bahkan adanya UU yang mendorong pembukaan (sebagian) data pemerintah ke sektor publik.
  • Hukum: Bahkan, ada hukum yang mengharuskan data ada di Indonesia untuk memproteksi kepentingan rakyat Indonesia.
  • Infrastruktur: Perkaya dan perkuat koneksi IIX! Kenyataannya, kebanyakan bisnis lebih percaya AWS. Bahkan, mereka lebih mempercayai Digital Ocean dan Microsoft Azure yang baru saja loncat ke sektor awan. Semuanya tidak ada satu pun di Indonesia.
  • Infrastruktur: PLN memiliki layanan yang semakin baik, demikian dari hasil survei kecil-kecilan saya dengan teman-teman Facebook saya. Seharusnya, ini bisa jadi modal untuk penyediaan datacenter yang lebih terpadu. Berapa, sih, biaya untuk membangun satu infrastruktur kecil untuk menyokong datacenter?
  • Infrastruktur: Sebagian besar (semua) pemain Indonesia yang menyediakan infrastruktur awan tidak menawarkan teknologi DevOps, tetapi teknologi kuno yang sulit untuk menerapkan Sistem Integrasi Berkesinambungan dan Infrastruktur Sebagai Kode.
  • Standarisasi: Baik AS (fedRAMP) mau pun Singapura (MTCS) memiliki standarisasi infrastruktur awan. Di Indonesia apa, ya?

Sejauh mana Indonesia mengantisipasi DevOps? Saya tahu Pak Utian sedang membangun pasukan OpenStack. Semoga pemerintah lebih aktif lagi mendorong infrastruktur TIK di Indonesia. Menghapus peraturan-peraturan non-UU yang konyol. Jangan sampai “produk Indonesia, dikode oleh perusahaan India, dan dipublikasikan di AWS Singapura.”***

Bisa, ‘kah, 99,9% produk Indonesia?

Sebelum Anda menuduh saya juga berpangku tangan. Tadinya, sih, saya mau menulis tentang Gradle dan teknologi terbaru lainnya. Tetapi, komentar yang saya terima hanya komentar SPAM dan SEO. Di blog tanpa iklan, bisa diambil langsung RSS-nya, dan bisa diaktifkan tanpa Javascript dan Cookies begini masih saja dibegitukan. Malas, ah, jadinya.

Lagi pula, saya juga termasuk yang masih aliran Stallmanisme, termasuk yang masih anti awan (agak murtad, sih). Tapi, kenyataan pahit. Mau tak mau, kita harus belajar terbang di awan. Ha… ha… ha….

 

***Saya bukannya anti globalisasi, tapi setidaknya Indonesia juga menjadi produsen dalam beberapa hal sehingga seimbanglah neracanya.