Kelemahan Manusia Jadi Faktor Sentral Penyebab Peretasan
Dari pembobolan FireEye, Departemen Keuangan AS, hingga laman ”web” milik sejumlah pemda di Indonesia, faktor manusia dinilai menjadi celah keamanan terbesarnya.
Oleh
satrio pangarso wisanggeni
·4 menit baca
JAKARTA, KOMPAS — Faktor kelemahan pada sisi manusia dinilai berkontribusi penting terhadap berbagai insiden siber akhir-akhir ini. Dari spionase siber di pemerintah federal Amerika Serikat hingga peretasan sejumlah situs pemerintah daerah di Indonesia diperkirakan bermula pada inkompetensi sumber daya manusia.
Sepekan terakhir, dunia siber dihebohkan dengan insiden serangan siber terhadap firma keamanan siber top dunia FireEye serta spionase yang berhasil menembus Departemen Keuangan dan Departemen Perdagangan AS.
Di Indonesia, situs milik sepuluh pemerintah daerah berhasil diretas dan diubah laman depannya, biasa disebut dengan di-deface. Laman depan situs tersebut diganti dengan pesan yang meminta pemerintah untuk menindak pemimpin Front Pembela Islam (FPI) Muhamad Rizieq Shihab.
Hingga Rabu (16/12/2020) siang, masih ada lima dari sepuluh situs yang tidak bisa diakses. Adapun dua di antaranya masih menampilkan laman hasil peretasan, yakni situs Kecamatan Bacukiki Barat, Kota Parepare, Sulawesi Selatan (Bacukikibarat.pareparekota.go.id) dan jaringan Dokumentasi dan Informasi Hukum (JDIH) DPRD Kabupaten Bima (Jdihdprd.bimakab.go.id/).
Tiga situs lainnya, yakni Badan Kepegawaian dan Pengembangan Sumber Daya Manusia (BKPSDM) Kota Serang, Banten, tertulis masih dalam kondisi maintenance oleh Dinas Komunikasi dan Informatika Serang. Lalu, Dinas Perikanan (Disperikan) Kabupaten Sampang, Jawa Timur, masih belum bisa diakses, sama seperti situs Kantor Sandi Pemerintah Kota Medan, Sumatera Utara.
Kedua insiden ini, baik yang terjadi terhadap FireEye-Pemerintah AS dan situs pemda di Indonesia dinilai memiliki kesamaan, yakni kelemahan pada sisi manusianya.
Seperti yang diketahui, celah keamanan yang dimanfaatkan oleh peretas untuk menembus FireEye dan Pemerintah AS diduga diciptakan melalui pembaruan atau update aplikasi manajemen jaringan milik Solarwinds, yang digunakan oleh berbagai perusahaan dan lembaga negara di seluruh dunia.
Jadi, pada prinsipnya, peretas memodifikasi file update yang dikirimkan oleh Solarwinds kepada para pelanggannya. Bagaimana cara memodifikasi file update tersebut? Dengan menembus masuk update server milik Solarwinds. Cara peretas mengakses server milik Solarwinds masih misterius.
Namun, praktisi keamanan siber asal India, Vinoth Kumar, mengungkapkan bahwa tahun lalu, password atau kata sandi update server milik Solarwinds tercecer di laman platform pengembangan perangkat lunak Github. Kata sandi tersebut, kata Kumar, adalah ”solarwinds123”. Dengan password itu, siapa pun bisa mengakses update server milik Solarwinds. ”Serangan ini bisa dilakukan oleh siapa pun dengan mudah,” kata Kumar.
Peneliti keamanan siber Katie Moussouris melalui akun Twitternya menilai bahwa ini menunjukkan serangan yang canggih bisa menggunakan metode-metode yang sederhana. ”Motif serangan canggih tidak semata-mata menggunakan metode yang canggih,” kata Moussouris.
Ketua Forum Keamanan Siber Indonesia (Indonesia Cyber Security Forum/ICSF) Ardi Sutedja juga menyatakan pendapat yang senada.
Ia membenarkan bahwa sering kali celah keamanan siber berasal dari faktor manusianya. Bahkan, menurut dia, bobot kesalahan manusia sebagai faktor penentu keamanan dan ketahanan siber menduduki porsi 90 persen dan hanya 10 persen terkait dengan faktor kegagalan teknologi.
Dalam insiden peretasan situs milik pemda pun, ia juga menilai ada kelemahan pada faktor manusia yang mendesain laman web. Menurut dia, tidak semua pengembang web memiliki pemahaman yang mendalam mengenai kaidah keamanan siber.
”Semua yang sudah di-deface itu adalah web milik pemerintah di daerah yang masih lemah pengetahuannya tentang keamanan web,” kata Ardi.
Pelatihan dan uji penetrasi
Untuk mengurangi insiden peretasan yang bermula pada kelamahan manusia, kata Ardi, solusinya adalah peningkatan jumlah pelatihan untuk tenaga teknologi informasi di daerah serta penggelaran uji penetrasi (penetration test/pentest) terhadap situs-situs milik pemda tersebut.
Pentest adalah uji keamanan dan ketahanan siber terhadap sebuah obyek siber yang dilakukan oleh para peretas untuk menguji seberapa kuat pengamanan yang diterapkan.
”Pentest ini harus dilakukan oleh lembaga yang terdaftar. Jangan perorangan karena ada tanggung jawab hukum. Sembarangan pakai jasa pentest yang tidak terakreditasi bisa jadi malapetaka,” kata Ardi.
Pengujian keamanan siber untuk mencari celah keamanan ini juga dinilai menjadi hal yang kian penting dan populer di dunia keamanan siber.
Secara terpisah, CEO dari platform urun daya peretas HackerOne Marten Mickos mengatakan, dalam studi yang dilakukan pihaknya pada pertengahan 2020 terhadap 1.400 perusahaan di Amerika Utara, Eropa, dan Asia Pasifik, 30 persen perusahaan lebih terbuka untuk mendapatkan laporan celah keamanan dari pihak ketiga.
”Siapa pun yang bekerja pada bidang aplikasi paham bahwa celah keamanan adalah sesuatu yang tidak bisa dihindari. Namun, kita dapat meminta bantuan kepada hackers,” kata Mickos saat membuka konferensi Security@ yang digelar di platform Brighttalk pada Rabu dini hari waktu Indonesia.
HackerOne menjadi perantara antara perusahaan-perusahaan dan para peretas individual. Dengan melakukan kerja sama dengan HackerOne, perusahaan dapat mendapatkan layanan jasa pentest yang dilakukan oleh peretas dari seluruh dunia.