Dear Bloggers,
Kita berjumpa lagi dengan tema yang lumayan berat, sebab tulisan ini terinspirasi dari pertanyaan Pak Budi Raharjo (PAU ITB). Pada artikel tersebut di http://rahard.wordpress.com/2010/11/24/aspek-hukum-penelitian-security/, ditanyakan : "Apakah peneliti boleh langsung menggunakan data yang dia miliki untuk mencobakan password tersebut kepada account pengguna yang bersangkutan?"
Memang terdapat banyak kontroversi atas pertanyaan tersebut, sehingga pakar hukum dan praktisi serta akademisi khususnya di institusi yang menjalankan tupoksi pengamanan informasi di Indonesia, memiliki pandangan berbeda. Jika kita memandang penelitian tersebut sangat baik sekali dalam konteks security awareness khususnya social engineering (seberapa sering pengguna mengganti password, seberapa kuat password yang dipilihnya, dan seterusnya).
Kami perlu konfirmasi terlebih dahulu mengenai pernyataan "peneliti sudah mendapatkan satu set password (secara legal tentunya) dari sebuah aplikasi". Aplikasi apakah yang dapat melegalkan seseorang mendapatkan satu set password? Apabila dinilai dari aspek hukum, legal (mendapatkan akses secara sah) berarti peneliti sudah mendapatkan otorisasi dari pemilik password baik berupa surat kuasa ataupun perjanjian. Didalamnya juga harus detil sampai dengan menguji apakah password yang sama ini digunakan oleh pengguna untuk aplikasi yang lain, seperti misalnya facebook, yahoo, gmail, dan seterusnya.
Tindakan demikian sesuai dengan prinsip hukum yakni pencegahan cyber crime dan sebagai pertanggungjawaban administratif dalam suatu karya ilmiah. Jika dicermati sebenarnya hal tersebut secara ilmiah dalam pendekatan kriptanalisis password yakni teori brute force attack, dimana peneliti berperan sebagai hacker.
Kemudian apabila dilihat dari UU ITE, pada pasal 30 dijelaskan sebagai berikut :
(1)Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun.
(2)Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik.
(3)Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.
Pada pasal tersebut, menimbulkan ketentuan pidana yang terdapat pada pasal 46 yang berbunyi :
Pasal 46
(1)Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp600.000.000,00 (enam ratus juta rupiah).
(2)Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp700.000.000,00 (tujuh ratus juta rupiah).
(3)Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (3) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp800.000.000,00 (delapan ratus juta rupiah).
Untuk itu sebagai win-win solution, penelitian tersebut didasari oleh surat kuasa atau perjanjian terhadap responden yang anonim. Justru peneliti akan membuktikan "jika pengguna ditanya, maka pengguna akan mengatakan passwordnya beda. Padahal dalam kenyataannya belum tentu. Ini yang menyebabkan peneliti mencoba langsung" . Justru klausul pernyataan bahwa password yang digunakan berbeda dimasukkan dalam surat kuasa atau perjanjian sebagai pembuktian dalam karya ilmiah.
memang, turunan dari UU ITE belum ada yang terbit, seperti RPP PITE yang didalamnya mengatur mengenai PIN pada Bagian Keenam, Kewajiban Penyelenggara Agen Elektronik, Pasal 63 ayat (1) yaitu (1) Penyelenggara Agen Elektronik harus melakukan langkah-langkah yang memadai untuk menguji keaslian (authentication) identitas dan kewenangan (authorization) konsumen yang melakukan transaksi elektronik dengan memperhatikan hal-hal sebagai berikut:
a.harus memiliki kebijakan dan prosedur tertulis untuk memastikan bahwa mampu menguji keaslian identitas dan kewenangan konsumen.
b.menggunakan metode untuk menguji keaslian dengan memperhatikan :
kombinasi sekurang-kurangnya 2 faktor otentikasi (two factor authentication) yaitu “what you know” (PIN, password), “what you have” (kartu magnetis dengan chip, token, digital signature), “something you are” atau “biometric” (retina, sidik jari); dan adanya batasan maksimum kesalahan memasukkan PIN untuk menghambat upaya akses secara tidak sah/legal; serta harus memastikan penerapan prinsip kehati-hatian dalam penggunaan metode pengujian keaslian.
Sebagai informasi, Penetration Test dalam suatu uji coba sistem atau peralatan di tempat kami yang dilakukan oleh pihak lain, harus mendapatkan ijin dari pihak terkait. Hal tersebut berlaku untuk kegiatan kedinasan, apalagi untuk kegiatan yang sifatnya pribadi. Aparat intelijen pun yang melakukan penyadapan password, hasilnya tidak dapat dijadikan alat bukti di persidangan, ini berbeda halnya dengan aparat penegak hukum dan itu pun harus jelas status orang itu sebagai tersangka dalam kasus terorisme, korupsi dan pencucian uang.
Demikian sekedar saran atau pendapat saya, pastinya banyak kesalahan dan kekurangan. Untuk itu mohon tulisan ini dikoreksi.
Wassalam
Tidak ada komentar:
Posting Komentar