Ilmu Ekonomi dan Keamanan Informasi

Gagasan bahwa Ilmu Ekonomi punya hubungan erat dengan keamanan komputer termasuk gagasan yang relatif baru. Ross Anderson dan Bruce Schneier sudah sering melontarkan gagasan tersebut secara lepas. Anderson, dalam artikelnya yang brilian tahun 2001, "Why Information Security Is Hard -- An Economic Perspective," dan Schneier dalam beberapa essai dan presentasi  yang berbeda dari periode yang kurang lebih sama.

Adalah WEIS (Workshop on the Economics of Information Security) yang dimulai beberapa tahun lalu di University of California at Berkeley merupakan satu-satunya workshop di mana para teknolog keamanan duduk bersama dengan para ahli ekonomi dan ahli hukum mencoba untuk memahami masalah keamanan komputer dan keamanan informasi.

Ilmu ekonomi harus banyak mengajarkan keamanan komputer. Secara umum kita berpikir bahwa keamanan komputer sebagai bagian dari masalah teknologi, tetapi sering kali sistem gagal karena salah tempat dalam memberikan insentif-insentif ekonomi: orang-orang yang dapat memproteksi suatu sistem bukanlah orang-orang yang menderita kerugian karena kegagalan suatu sistem.

Sebenarnya kita dapat melihat bahwa pemikiran ekonomi terdapat dalam setiap keamanan komputer. Sistem Medical-Record Rumah Sakit menyediakan fitur-fitur "billing management" yang komprehensif untuk para administrator yang mengoperasikannya, tetapi tidak terlalu baik dalam melindungi kerahasiaan pribadi para pasien. ATM mengalami pengetatan akibat fraud di negara-negara (mungkin sebaiknya disebutkan negara yang seperti apa, misalnya negara maju atau Eropa) seperti Inggris dan Belanda, di mana regulasi yang minim membuat perbankan menjalankan roda bisnisnya tanpa insentif yang cukup untuk mengamankan sistem mereka, dan mengizinkan mereka untuk membiayai perlawanan terhadap fraud secara langsung kepada para customer mereka. Dan satu alasan internet tidak aman karena akuntabilitas terhadap serangan-serangan begitu tersebar merata.

Dalam semua contoh tersebut, kesadaran akan nilai-nilai ekonomis dari keamanan menjadi lebih penting dari pada sekedar kesadaran akan persoalan teknis semata. Apakah kita sepenuhnya menjaga hacker di luar dari sistem komputer kita? Ataukah kita terlalu berlebihan menjauhi mereka? Apakah untuk masalah tersebut, kita menghabiskan sejumlah uang yang cukup untuk jasa kepolisian dan Angkatan Bersenjata? Dan apakah kita menghabiskan anggaran keamanan pada hal yang tepat?

Ilmu ekonomi dapat secara aktual menjelaskan banyak kenyataan yang membingungkan dari keamanan internet. Firewall itu adalah hal yang sudah biasa, email enkripsi adalah mutlak; tetapi itu semua bukan disebabkan keefektifan yang relatif dari teknologi, melainkan lebih karena tekanan-tekanan ekonomis yang memacu perusahaan-perusahaan untuk menerapkannya. Rata-rata perusahaan mempublikasikan informasi tentang intrusi karena problem ekonomis lah yang menjadi pendorongnya. Operating System yang tidak aman adalah standard internasional, sebagian karena dampak ekonominya lebih besar lahir bukan oleh perusahaan yang mengembangkannya, tetapi oleh konsumen yang membelinya.

Beberapa dari banyak kebijakan "ruang maya" yang kontroversial diterbitkan bersebelahan antara keamanan informasi dan nilai ekonomisnya. Sebagai contoh, persoalan hak-hak management digital: Apakah hukum copyright  -- terlalu restriktif atau tidak cukup restriktif -- untuk memaksimalkan keluaran masyarakat yang kreatif? Dan jika ia butuh lebih restriktif, apakah teknologi Digital Right Management (DRM) menguntungkan industri musik atau vendor-vendor teknologi saja? Apakah Trusted Computing Initiative milik Microsoft merupakan gagasan yang baik, atau hanya sekedar cara bagi perusahaan untuk mengunci konsumen-konsumennya ke dalam Windows, Media Player dan Office? Usaha apapun untuk menjawab pertanyaan-pertanyaan ini menjadi semakin mempercepat argumentasi yang membingungkan antara keamanan informasi dan nilai ekonomisnya.

Dalam hal ini, makalah-makalah yang ada dalam WEIS mengungkapkan hal-hal tersebut dan persoalan-persoalan lain dalam ekonomi dan keamanan komputer. Makalah-makalah yang dipresentasikan dalam persoalan nilai ekonomis digital forensic dari telepon selular -- jika anda memiliki telepon yang tidak biasa, kepolisian mungkin tidak memiliki alat-alat untuk melakukan analisa forensiknya -- dan dampak dari spam yang menumpuk pada harga saham, kelihatannya akan dapat diterapkan secara aktual pada jangka pendek. Kita juga dapat belajar bahwa user-user pengguna(yang mau digunakan user atau pengguna?) jaringan wireless yang semakin terdidik tidak sungguh-sungguh mengamankan access point mereka, dan bahwa prediksi yang terbaik dari keamanan wireless adalah menerapkan default configuration dari router.

Ada peneliti lain yang mempresentasikan model-model ekonomi untuk menjelaskan management patch, peer-to-peer worms, investasi pada teknologi keamanan informasi dan pilihan untuk menerapkan kebijakan privat atau tidak. Ada juga wilayah studi yang mencoba untuk menghitung biaya ekonomi Amerika Serikat untuk kegagalan-kegagalan infrastruktur informasinya; yang ternyata lebih sedikit dari yang kita bayangkan. Dan satu dari banyak makalah yang menarik terlihat pada hambatan-hambatan ekonomis untuk mengadopsi protokol-protokol keamanan terbaru, khususnya Ekstensi Keamanan dalam DNS.

Melihat dan membaca makalah-makalah WEIS sejak yang pertama hingga yang terakhir penyelenggaraan pada 26 - 28 Juni 2006 lalu di Cambridge University, merupakan hasil kerja keras. Di tahun-tahun pertama, ada sedikit perlawanan ketika para ahli ekonomi serta teknolog keamanan komputer dan informasi mencoba untuk mempelajari masing-masing bahasa. Tetapi sekarang kelihatan ada banyak sinergi dan kolaborasi di antara kedua belah pihak.

Sudah lama masalah mendasar dalam keamanan komputer -- baik teknologi dan sistem informasinya -- tidak lagi tentang teknologi an sich; tetapi juga tentang penerapan dari teknologi-teknologi tersebut. Workshop-workshop seperti WEIS dapat membantu kita untuk memahami mengapa teknologi keamanan yang baik gagal dan yang buruk berhasil, dan pengetahuan seperti itu adalah penting sekali jika kita semua melakukan improvisasi keamanan dalam zaman dan abad informasi ini. [RN]