Berita Internet (IT) N3, yang memberikan informasi terbaru kepada users N3 tentang IT pada khususnya dan lainnya pada umumnya. Server Anthem Diduga Tidak Terenkripsi
Steven M. Bellovin, profesor pada jurusan ilmu komputer di Columbia University mengatakan bahwa server yg dimiliki oleh Anthem diduga kuat tidak menggunakan sistem enkripsi. Peristiwa ini mengajarkan perusahaan yg lain untuk memiliki sistem enkripsi yg baik, kata Bellovin. Dalam tulisannya ia mengatakan juga bahwa enkripsi adalah sistem perlindungan data yg cukup efektif. Namun, Bellovin mengatakan bahwa enkripsi akan efektif jika digunakan pada waktu yg tepat. Penggunaan enkripsi seperti kasus Anthem ini tidak akan berguna, tutur Bellovin. Menurutnya, jika sebuah sistem operasi sudah aman maka enkripsi tidak perlu digunakan. Sebaliknya, jika sebuah sistem operasi tidak aman maka enkripsi pun tidak akan efektif. Pendapat Bellovin ini cukup menuai pro kontra di kalangan para praktisi.
Dalam kasus Anthem ini, Bellovin menuturkan bahwa perusahaan sekelas Anthem pasti selalu berinteraksi dengan data-data sensitif. Masalahnya menurut Bellovin adalah apakah data tersebut terlindungi dengan sistem enkripsi? Bellovin yakin bahwa database management systems (DBMS) beroperasi dalam bentuk plain text. Artinya adalah DBMS tersebut sudah terdekripsi. Saat disinggung berada di manakah cipher key untuk membuka enkripsi tersebut, Bellovin mengatakan ada banyak kemungkinan. Bisa saja penyerang menemukannya di RAM, server, OS or mungkin aplikasinya itu sendiri. Banyak kemungkinan, tutur Bellovin.
Bellovin secara teori mengatakan bahwa sistem DBMS yg dimiliki oleh Anthem bisa saja sudah mempunyai sistem pertahanannya sendiri.Terkait kemungkinan penyerang bisa membobol sistem pertahanan Anthem, Bellovin mengatakan bahwa bisa saja sistem pertahanan yg dimiliki oleh Anthem tidak terkonfigurasi dengan baik or tidak bisa menjalankan fungsi sebagaimana mestinya. Dalam hal ini, sistem perlindungan enkripsi tidak akan berjalan dengan tepat. Penyerang hanya perlu mengakali enkripsinya, kata Bellovin. Ia mengatakan juga bahwa sistem enkripsi akan berguna ketika sistem perlindungan OS tidak berjalan.
Pembobolan data sensitif Anthem ini menurut Bellovin dimungkinkan bahwa penyerang mempunyai akses terhadap data-data fisik perusahaan. Oleh karenanya, Bellovin mengungkapkan bahwa membuat sistem perlindungan enkripsi di sistem server adalah ide yg bagus. Tim keamanan informasi perusahaan harus mulai berpikir kenapa enkripsi bisa diakali. Mereka perlu mengetahui di mana penyerang mendapatkan kunci tersebut jika sebuah sistem crash & reboot, kata Bellovin. Ia menyimpulkan bahwa penggunaan cloud bisa menjadi salah satu alternatif. Perusahaan sebesar Anthem memiliki data yg besar. Implementasi sistem keamanan yg baik harus bisa diterapkan di kelas enterprise seperti itu, kata Bellovin.
Sebagai catatan, HIPAA (Health Insurance Portability Accountable Act) menyatakan bahwa setiap data kesehatan yg ditransmisikan melalui Internet harus dienkripsi. Artinya adalah setiap data kesehatan yg dibagi via surel antar pegawai pun harus dilindungi sistem enkripsi. HIPAA pun menekankan bahwa data-at-rest yg artinya data yg ada di dalam server pun harus dilindungi. Hal ini sudah diatur oleh un&g-un&g & setiap perusahaan yg tidak mematuhinya akan terkena sanksi.
Comments
comments
N3 tidak bisa memberikan klarifikasi berita diatas adalah benar 100% karena kontenServer Anthem Diduga Tidak Terenkripsi diatas dikutip dari Internet secara gamblang.
Sumber
Steven M. Bellovin, profesor pada jurusan ilmu komputer di Columbia University mengatakan bahwa server yg dimiliki oleh Anthem diduga kuat tidak menggunakan sistem enkripsi. Peristiwa ini mengajarkan perusahaan yg lain untuk memiliki sistem enkripsi yg baik, kata Bellovin. Dalam tulisannya ia mengatakan juga bahwa enkripsi adalah sistem perlindungan data yg cukup efektif. Namun, Bellovin mengatakan bahwa enkripsi akan efektif jika digunakan pada waktu yg tepat. Penggunaan enkripsi seperti kasus Anthem ini tidak akan berguna, tutur Bellovin. Menurutnya, jika sebuah sistem operasi sudah aman maka enkripsi tidak perlu digunakan. Sebaliknya, jika sebuah sistem operasi tidak aman maka enkripsi pun tidak akan efektif. Pendapat Bellovin ini cukup menuai pro kontra di kalangan para praktisi.
Dalam kasus Anthem ini, Bellovin menuturkan bahwa perusahaan sekelas Anthem pasti selalu berinteraksi dengan data-data sensitif. Masalahnya menurut Bellovin adalah apakah data tersebut terlindungi dengan sistem enkripsi? Bellovin yakin bahwa database management systems (DBMS) beroperasi dalam bentuk plain text. Artinya adalah DBMS tersebut sudah terdekripsi. Saat disinggung berada di manakah cipher key untuk membuka enkripsi tersebut, Bellovin mengatakan ada banyak kemungkinan. Bisa saja penyerang menemukannya di RAM, server, OS or mungkin aplikasinya itu sendiri. Banyak kemungkinan, tutur Bellovin.
Bellovin secara teori mengatakan bahwa sistem DBMS yg dimiliki oleh Anthem bisa saja sudah mempunyai sistem pertahanannya sendiri.Terkait kemungkinan penyerang bisa membobol sistem pertahanan Anthem, Bellovin mengatakan bahwa bisa saja sistem pertahanan yg dimiliki oleh Anthem tidak terkonfigurasi dengan baik or tidak bisa menjalankan fungsi sebagaimana mestinya. Dalam hal ini, sistem perlindungan enkripsi tidak akan berjalan dengan tepat. Penyerang hanya perlu mengakali enkripsinya, kata Bellovin. Ia mengatakan juga bahwa sistem enkripsi akan berguna ketika sistem perlindungan OS tidak berjalan.
Pembobolan data sensitif Anthem ini menurut Bellovin dimungkinkan bahwa penyerang mempunyai akses terhadap data-data fisik perusahaan. Oleh karenanya, Bellovin mengungkapkan bahwa membuat sistem perlindungan enkripsi di sistem server adalah ide yg bagus. Tim keamanan informasi perusahaan harus mulai berpikir kenapa enkripsi bisa diakali. Mereka perlu mengetahui di mana penyerang mendapatkan kunci tersebut jika sebuah sistem crash & reboot, kata Bellovin. Ia menyimpulkan bahwa penggunaan cloud bisa menjadi salah satu alternatif. Perusahaan sebesar Anthem memiliki data yg besar. Implementasi sistem keamanan yg baik harus bisa diterapkan di kelas enterprise seperti itu, kata Bellovin.
Sebagai catatan, HIPAA (Health Insurance Portability Accountable Act) menyatakan bahwa setiap data kesehatan yg ditransmisikan melalui Internet harus dienkripsi. Artinya adalah setiap data kesehatan yg dibagi via surel antar pegawai pun harus dilindungi sistem enkripsi. HIPAA pun menekankan bahwa data-at-rest yg artinya data yg ada di dalam server pun harus dilindungi. Hal ini sudah diatur oleh un&g-un&g & setiap perusahaan yg tidak mematuhinya akan terkena sanksi.
Comments
comments
N3 tidak bisa memberikan klarifikasi berita diatas adalah benar 100% karena kontenServer Anthem Diduga Tidak Terenkripsi diatas dikutip dari Internet secara gamblang.
Sumber