Keamanan Sistem LPSE

8 Jun 2011

Materi yang disampaiakan Pak Budi Rahardjo pada Rakor ke-6 hari ini mengingatkan saya pada kejadian beberapa waktu yang lalu. Kata Pak Budi, jebolnya sistem IT justru sebagian besar karena ulah orang dalam. Setahun yang lalu ada gangguan di LPSE salah satu kementerian yang menyebabkan web LPSE tidak dapat diakses. Usut punya usut penyebabnya adalah ada serangan terhadap DNS Server. DNS server merupakan server yang melayani translasi domain (lpse.blogdetik.com misalnya) menjadi nomor IP (202.153.133.19 misalnya). Jika DNS terganggu maka website yang dimaksud tidak dapat diakses weskipun servernya baik-baik saja. Artinya, LPSE pada kasus ini tidak menjadi target serangan secara langsung.

Kasus berikutnya terjadi sekitar bulan April. Ada verifikator yang lalau tidak mengganti password default sehingga passwordnya dapat diketahui orang lain. Efeknya adalah, orang tersebut melakukan approal terhadap beberapa penyedia secara ilegal menggunakan User ID & password tersebut.

Kasus yang lebih buruk terjadi karena administator LPSE masuk ke sistem dan menggunakan data yang ada di sana. Saya tidak tahu detilnya namun intinya, adminitrator LPSE masuk ke sistem untuk mempengaruhi proses lelang. Jika pada proses manual fraud terjadi di panitia, maka pada proses elektronik ini dapat terjadi di LPSE, terutama adminitrator sistem. Dia bisa mendapatkan order dari penyedia untuk membuatnya menang. Caranya bisa macam-macam. Nah di sinilah perlunya good governance pengeloaan sistem IT.

Saya pernah juga mendengar cerita tentang programmer sistem bank yang berbuat curang. Di mengambil uang (melalui program) beberapa sen dan dimasukkan ke rekening tertentu. Karena jumlahnya sangat kecil (hitungan sen) maka tidak ada yang curiga. Hal ini ketahuan ketiga auditor melalukan pemerinsaan/audit terhadap aplikasi yang dikembangkan.


TAGS


-

Author

Follow Me