Kebijakan dan Strategi Pengaturan Terhadap Infrastruktur ICT Vital Budi Rahardjo Institut Teknologi Bandung Dipresentasikan pada Seminar Nasional Tentang Cybercrime Kementrian Komunikasi dan Informasi, 7 Desember 2004

Budi Rahardjo 2Kominfo - Desember 2004 Ketergantungan Pada Infrastruktur ICT Kita (bisnis, individual, pemerintahan) sudah mulai tergantung kepada beberapa infrastruktur ICT vital Kita (bisnis, individual, pemerintahan) sudah mulai tergantung kepada beberapa infrastruktur ICT vital Listrik (power) Listrik (power) Telekomunikasi Telekomunikasi Sektor: Perbankan, Telekomunikasi, Energi, Transportasi, Polkam (Homeland Security), Critical Government Services (defence & emergency services) Sektor: Perbankan, Telekomunikasi, Energi, Transportasi, Polkam (Homeland Security), Critical Government Services (defence & emergency services) Hilangnya / terganggunya infrastruktur ICT tersebut dapat berdampak kepada kenyamanan dan bahkan kepada tingkat keamanan yang lebih kritis Hilangnya / terganggunya infrastruktur ICT tersebut dapat berdampak kepada kenyamanan dan bahkan kepada tingkat keamanan yang lebih kritis

Budi Rahardjo 3Kominfo - Desember 2004 Masalah Bagaimana dapat menjamin ketersediaan dan perlindungan terhadap informasi? Bagaimana dapat menjamin ketersediaan dan perlindungan terhadap informasi? Critical Information Protection & Assurance Critical Information Protection & Assurance Kebanyakan pemilik/pengelola infrastruktur masih belum memiliki wawasan terhadap keamanan. Penerapan keamanan masih cenderung didorong atas dasar kepatuhan terhadap aturan (compliance to regulation) Kebanyakan pemilik/pengelola infrastruktur masih belum memiliki wawasan terhadap keamanan. Penerapan keamanan masih cenderung didorong atas dasar kepatuhan terhadap aturan (compliance to regulation)

Budi Rahardjo 4Kominfo - Desember 2004 Terkait dengan “Information Assurance” Definisi Information Assurance: Definisi Information Assurance: 'Information operations that protect and defend information and information systems by ensuring their availability, integrity, authentication, confidentiality, and nonrepudiation. This includes providing for restoration of information systems by incorporating protection, detection, and reaction capabilities.‘ (NSTISSI 4009, August, 1997) 'Information operations that protect and defend information and information systems by ensuring their availability, integrity, authentication, confidentiality, and nonrepudiation. This includes providing for restoration of information systems by incorporating protection, detection, and reaction capabilities.‘ (NSTISSI 4009, August, 1997)

Budi Rahardjo 5Kominfo - Desember 2004 Inisiatif-Inisiatif Pemerintah perlu melakukan inisiatif untuk mengurangi potensi terjadinya gangguan dan mengurangi dampak yang ditimpulkan jika terjadi gangguan Pemerintah perlu melakukan inisiatif untuk mengurangi potensi terjadinya gangguan dan mengurangi dampak yang ditimpulkan jika terjadi gangguan Menggunakan konsep risk management Menggunakan konsep risk management Contoh-contoh inisiatif yang dilakukan pemerintah di luar negeri Contoh-contoh inisiatif yang dilakukan pemerintah di luar negeri

Budi Rahardjo 6Kominfo - Desember 2004

Budi Rahardjo 7Kominfo - Desember 2004

Budi Rahardjo 8Kominfo - Desember 2004 Kebijakan Mengharuskan pemilik / pengelola infrastruktur vital untuk memiliki rencana yang menjamin kelangsungan bisnis (BCP), layanan, dan operasional Mengharuskan pemilik / pengelola infrastruktur vital untuk memiliki rencana yang menjamin kelangsungan bisnis (BCP), layanan, dan operasional Mengharuskan pemerintah untuk bertanggung jawab dalam menyediakan dukungan dan kemudahan bagi upaya-upaya penjaminan ketersediaan infrastruktur ICT vital Mengharuskan pemerintah untuk bertanggung jawab dalam menyediakan dukungan dan kemudahan bagi upaya-upaya penjaminan ketersediaan infrastruktur ICT vital Tercermin dalam budget Tercermin dalam budget

Budi Rahardjo 9Kominfo - Desember 2004 Strategi Bermitra (partnership) dengan pemiliki / pengelola infrastruktur vital. Membuat forum industri? Bermitra (partnership) dengan pemiliki / pengelola infrastruktur vital. Membuat forum industri? Bermitra dengan regulator di bidang tertentu Bermitra dengan regulator di bidang tertentu Misalnya, bekerjasama dengan Bank Indonesia untuk membuat kebijakan dan pangaturan untuk dunia perbankan Misalnya, bekerjasama dengan Bank Indonesia untuk membuat kebijakan dan pangaturan untuk dunia perbankan Hal yang sama dapat dilakukan dengan regulator Telekomunikas, Energi Hal yang sama dapat dilakukan dengan regulator Telekomunikas, Energi Bermitra dengan perguruan tinggi untuk melakukan program awareness. Bermitra dengan perguruan tinggi untuk melakukan program awareness. Bermitra dengan bisnis, industri, ID-CERT yang dapat membantu meningkatkan keamanan ICT Bermitra dengan bisnis, industri, ID-CERT yang dapat membantu meningkatkan keamanan ICT Perlukah sebuah tim koordinasi/badan khusus? Perlukah sebuah tim koordinasi/badan khusus?

Budi Rahardjo 10Kominfo - Desember 2004 TO DO List Melakukan evaluasi tingkat kekritisan dari komponen infrastruktur ICT Melakukan evaluasi tingkat kekritisan dari komponen infrastruktur ICT Mengidentifikasi dan mendokumentasi kelemahan (vulnerability) dan ancaman (threat) Mengidentifikasi dan mendokumentasi kelemahan (vulnerability) dan ancaman (threat) Melakukan perbaikan terhadap kelemahan tersebut. (Memerlukan kebijakan. Misalnya kebijakan investasi? Mengharuskan semua pemiliki/pengelola infrastruktur vital untuk memiliki BCP) Melakukan perbaikan terhadap kelemahan tersebut. (Memerlukan kebijakan. Misalnya kebijakan investasi? Mengharuskan semua pemiliki/pengelola infrastruktur vital untuk memiliki BCP) Membuat panduan untuk meningkatkan keamanan (contoh: panduan BCP, bekerjasama dengan BSN?) Membuat panduan untuk meningkatkan keamanan (contoh: panduan BCP, bekerjasama dengan BSN?) Membuat indikator “current threat level” dalam sebuah “advisory system” yang dapat diakses oleh umum Membuat indikator “current threat level” dalam sebuah “advisory system” yang dapat diakses oleh umum Melakukan edukasi (contoh Ready.gov) Melakukan edukasi (contoh Ready.gov)

Budi Rahardjo 11Kominfo - Desember 2004

Budi Rahardjo 12Kominfo - Desember 2004 Penutup Perlu ada inisiatif proaktif dari pemerintah dan pengelola infrastruktur ICT vital agar ketersedian infrastruktur ICT dapat terjamin Perlu ada inisiatif proaktif dari pemerintah dan pengelola infrastruktur ICT vital agar ketersedian infrastruktur ICT dapat terjamin Masih banyak hal-hal yang harus diperinci yang merupakan pekerjaan rumah kita bersama Masih banyak hal-hal yang harus diperinci yang merupakan pekerjaan rumah kita bersama