Serangan Siber Bisa Setiap Saat, Kesiapsiagaan Harus Terjaga
Pengamanan sistem harusnya beroperasi seharian penuh, tak seperti layanan publik yang hanya beroperasi saat jam kantor. Audit berkala sistem juga krusial untuk menemukan celah dalam sistem yang bisa diterobos peretas.
Oleh
Dian Dewi Purnamasari
·4 menit baca
JAKARTA,KOMPAS — Situs pemerintah selalu menjadi sasaran empuk peretasan karena jika berhasil diretas, akan mudah mengundang perhatian masyarakat luas. Untuk meningkatkan keamanan siber, diperlukan audit secara berkala. Pola pikir penanggung jawab pengamanan siber juga harus diubah mengingat serangan siber yang bisa datang setiap saat.
”Situs pemerintah ini dari waktu ke waktu memang selalu menjadi sasaran peretasan karena akan mudah mengundang perhatian masyarakat luas. Karena itu, perlu dilakukan banyak pengamanan dan secara rutin dilakukan uji penetrasi keamanan,” kata Direktur Eksekutif Lembaga Riset Siber Communication and Information System Security Research Center (CISSREC) Pratama Persada saat dihubungi, Rabu (11/8/2021).
Situs resmi Sekretariat Kabinet, Setkab.go.id, diretas beberapa waktu lalu. Pelakunya sudah ditangkap. Kejadian itu menambah panjang kasus peretasan pada laman resmi instansi pemerintah. Model serangan sering kali berupa deface atau mengubah tampilan situs.
Meskipun hanya diubah tampilan halamannya, menurut Pratama, perlu dilakukan analisis forensik digital di pusat data yang digunakan oleh situs Setkab. Ini untuk menemukan celah keamanan yang dilewati peretas (hacker) sehingga dapat diperbaiki ke depannya.
Pratama menjelaskan, pada prinsipnya, tidak ada sistem informasi digital yang 100 persen aman dari peretas. Oleh karena itu, tim teknologi dan informasi di setiap instansi pemerintah harus secara berkala melakukan cek pada level sistem operasi, web server, dan sistem aplikasinya.
Apalagi, jika situs web itu baru saja serah terima dari vendor, harus ada pengecekan lebih lanjut untuk mengecek celah cacat desain (bug) yang bisa dimanfaatkan oleh peretas. Misalnya, penghapusan seluruh file dokumentasi dari vendor untuk mengubah seluruh akun masuk ke website (login) yang dibuat saat instalasi.
”Harus ada manajemen yang memetakan dengan benar profile dan role user, matikan semua akses, kecuali yang sudah ditentukan. Audit sekuriti atau uji penetrasi keamanan bisa dilakukan secara berkala, baik dengan metode aktif maupun pasif,” kata Pratama.
Kesiapan
Direktur Cyber Security Binder Dijker Otte (BDO) Indonesia M Novel Ariyadi menambahkan, situs pemerintah juga mudah diterobos karena pola pikir penanggung jawab keamanan siber yang masih lemah.
Layanan pengamanan siber seharusnya beroperasi seharian penuh, berbeda dengan layanan publik yang hanya buka pada jam kantor. Pasalnya serangan siber bisa datang kapan saja. Karena itu, kewaspadaan, pengawasan, dan respons terhadap serangan siber harus dibenahi pada seluruh instansi.
Sumber daya manusia untuk menjalankan operasional pengamanan siber juga harus dipastikan tersedia sepanjang hari. Begitu pula kapasitas mereka harus mumpuni. Selain itu, menurut dia, perlu dilihat pula aspek manajemen pengawasan terhadap kerentanan situs tersebut. Aspek kerentanan harus dimonitor dan diperbarui secara berkala.
”Tak kalah penting, apakah sudah ada teknologi keamanan siber yang memadai untuk mendukung manajemen monitoring dan kerentanan terhadap serangan siber?” kata Novel.
Perbaikan keamanan
Juru Bicara Badan Siber dan Sandi Negara (BSSN) Anton Setiawan mengatakan, tata kelola keamanan siber di instansi pemerintah memang masih sangat kurang. Dari level kematangan skala empat, instansi pemerintah masih berada di level 2-2,5. Oleh karena itu, ada tiga program utama yang dilakukan BSSN untuk meningkatkan kematangan keamanan siber di instansi pemerintah.
Pertama, BSSN akan membuat standar tata kelola yang diatur dalam Peraturan BSSN Nomor 4 Tahun 2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik (SPBE).
Selain itu, BSSN juga membangun SDM keamanan siber pemerintahan melalui pengembangan jabatan fungsional sandiman dan jabatan fungsional manggala informatika. Mereka adalah aparatur sipil negara yang akan dididik untuk menjalankan dan mengawal sistem elektronik di pemerintahan. ”Selain itu, kami juga akan meningkatkan kapabilitas kesiapsiagaan instansi pemerintah dalam menghadapi insiden siber melalui pembentukan pasukan siber atau Computer Security Incident Response Team (CSIRT) di setiap instansi kementerian, lembaga, dan daerah,” kata Anton.
Pratama berpandangan, penerapan standar SPBE oleh BSSN memang bisa diharapkan untuk mengurangi potensi kebocoran data. Namun, untuk menghentikan serangan atau peretasan tidak bisa karena kehendak menyerang datang dari luar dan tidak bisa dikendalikan. Menurut dia, perbaikan sistem informasi elektronik harus diikuti dengan perbaikan SDM, dan kesadaran keamanan siber untuk mengurangi potensi kebocoran data akibat peretasan.
Tugas utama BSSN adalah mengamankan informasi. Adapun kementerian, lembaga, dan pemerintah daerah harus menyediakan SDM yang mumpuni dan kesadaran akan keamanan siber.
Novel juga berpendapat, SPBE hanya memberikan panduan pada aspek tata kelola dan manajemen informasi elektronik. Kementerian, lembaga, dan pemda harus diaudit dan diberi standar keamanan siber agar lebih patuh menaati aturan tersebut.
”Artinya, setiap instansi pemerintah harus bekerja keras untuk mengelola aspek keamanan digital seperti kepemimpinan, tata kelola keamanan siber, manajemen operasional keamanan siber, SDM keamanan siber, teknologi keamanan siber, dan kepastian hukum. Mereka tidak bisa hanya menyerahkan nasib pada BSSN,” terang Novel.