Langkah Pencegahan terhadap Peretasan Harus Dikedepankan
Selama 4 tahun terakhir, setidaknya ada 5 kasus peretasan terhadap lembaga negara. Sejumlah organisasi besar di AS pun tak kebal dari peretasan. Langkah pencegahan melalui "security audit" perlu dilakukan secara berkala.
Kasus peretasan terhadap situs milik pemerintah hampir kerap terdengar. Berbagai kasus tersebut merefleksikan sistem keamanan instansi pemerintahan masih sangat lemah. Untuk itu, langkah-langkah pencegahan perlu terus dilakukan karena tak ada satu pun organisasi di seluruh dunia yang bebas dari peretasan.
Dari catatan Kompas, dalam empat tahun terakhir saja, setidaknya ada lima kasus peretasan terhadap lembaga negara. Pada 29 Juni 2018, misalnya, peretas mencoba membobol situs Komisi Pemilihan Umum (KPU). Mereka mengincar penghitungan pemilihan kepala daerah.
Selanjutnya, pada 22 September 2019, situs Kementerian Dalam Negeri juga diserang. Saat itu, peretas menampilkan kode yang disertakan tulisan ”Your Files is Mine”. Berkaitan kasus tersebut, polisi menangkap peretas berusia 21 tahun di Pasuruan, Jawa Timur.
Baca Juga: Digitalisasi Harus Dibarengi Penguatan Sistem Keamanan
Tak berhenti, situs DPR juga sempat diretas pada 5 Oktober 2020. Kemudian, pada 31 Juli 2021, giliran situs Sekretariat Kabinet diretas dengan menampilkan sosok pemuda dengan membawa bendera merah putih. Dua remaja pun ditangkap dalam kasus ini.
Belakangan, pada 20 Oktober 2021, situs Pusat Malware Nasional (Pusmanas) milik Badan Siber dan Sandi Negara (BSSN) ikut terkena peretasan. Ini disebut-sebut menjadi ”pukulan telak bagi negara” karena lembaga yang bertanggung jawab menjaga keamanan siber secara nasional justru dibobol peretas.
Di dalam dunia siber, tidak ada sistem informasi yang 100 persen aman. Untuk itu, salah satu solusinya adalah security audit secara berkala.
Upaya peretasan seperti ini rupanya tak hanya dialami oleh Indonesia. Sejumlah organisasi besar di negara adidaya seperti Amerika Serikat, juga pernah diretas. Sebut saja, Federal Bureau of Investigation (FBI), National Aeronautics and Space Administration (NASA), Central Intelligence Agency (CIA), semua pernah diretas.
Pakar keamanan siber dari Communication & Information System Security Research Center (CISSRe) Pratama Persadha mengatakan, di dalam dunia siber, tidak ada sistem informasi yang 100 persen aman. Untuk itu, salah satu solusinya adalah security audit secara berkala.
Mencari celah sistem keamanan
Pratama menjelaskan, salah satu celah yang banyak ditemukan di situs-situs pemerintahan berawal dari masalah perawatan yang tidak diperbarui. Pemeliharaan situs pemerintahan cenderung dilakukan dalam jangka pendek. Padahal, pemeliharaan sistem mestinya bersifat jangka panjang karena celah keamanan baru biasanya akan selalu ditemukan.
Baca Juga: Situs BSSN Diretas, DPR Minta Evaluasi yang Serius
Sejumlah perusahaan teknologi besar di luar negeri bahkan memiliki cara sendiri untuk menemukan celah dalam sistem keamanannya, misal lewat sayembara. Pada 2015, Apple membuat sayembara bagi mereka yang mampu menemukan celah di sistem operasi iOS. Seperti dilansir dari The Next Web, jika celah keamanan itu dapat ditemukan, peretas akan diberi imbalan sebesar 1 juta dollar Amerika Serikat atau sekitar Rp 15 miliar.
Bukan hanya Apple, perusahaan teknologi Google juga memberikan iming-iming hadiah mencapai 1 juta dollar AS bagi mereka yang mampu membobol ponsel pintar, Google Pixel. Begitu pula, perusahaan otomotif Tesla membuka sayembara bagi mereka yang berhasil membobol sistem pada mobilnya. Penghargaannya pun tak main-main, sampai miliaran rupiah.
Namun, menurut Pratama, ada cara lain. Pengamanan situs tak melulu harus mengeluarkan anggaran yang besar, apalagi untuk pembelian sistem. Sebab, ada banyak alat untuk melakukan peretasan dan pengetesan sistem yang bisa diunduh secara gratis. Ini tinggal bergantung pada pegawai di organisasi tersebut bagaimana mereka harus rutin melakukan pengecekan terhadap celah keamanan yang ada.
”Situs yang tampak aman pun bisa jadi sudah disusupi oleh peretas jika tidak dilakukan pengecekan secara rutin. Padahal, bisa saja peretas sudah masuk ke dalam sistem dan menanamkan malware atau disisipi situs-situs judi daring yang tidak disadari oleh admin,” kata Pratama.
Jangan sampai pelaku kejahatan siber lebih mengetahui seluk beluk aset informasi ketimbang pengelolanya. Dan lebih penting lagi, jangan sampai kita tidak bisa melindungi aset informasi yang tidak kita ketahui.
Lima perspektif
Co-Founder Indonesia Cyber Security Forum M Novel Ariyadi sependapat dengan Pratama. Di dunia siber akan selalu ditemukan kerentanan. Lalu, hanya dengan satu kerentanan tersebut, peretas bisa mengambil alih seluruh sistem.
Untuk itu, dalam peningkatan keamanan siber, lanjut Novel, setidaknya organisasi harus memiliki lima perspektif. Pertama, perspektif pengelolaan aset informasi. Dari perspektif ini, organisasi wajib mendapatkan full visibility terhadap seluruh aset informasi. Organisasi juga perlu mengidentifikasi dan menginventarisasi seluruh aset informasi, baik dalam konteks pengembangan (development), pengujian (testing), operasional (production) serta cadangan (backup).
”Jangan sampai pelaku kejahatan siber lebih mengetahui seluk beluk aset informasi ketimbang pengelolanya. Dan lebih penting lagi, jangan sampai kita tidak bisa melindungi aset informasi yang tidak kita ketahui,” tutur Novel.
Baca Juga: Peretasan Ini Urusan Serius
Kedua, perspektif ancaman pelaku kejahatan siber. Dari perspektif ini, organisasi harus mampu mereduksi kerentanan pada aset-aset informasi agar tidak dieksploitasi oleh pelaku kejahatan siber. Ketiga, perspektif kesadaran situasional di mana organisasi harus mampu membedakan antara kondisi normal dan kondisi anomali.
Keempat, perspektif respons terhadap insiden. Dari perspektif ini, penting bagi organisasi untuk membuat berbagai skenario dan perencanaan dalam menghadapi serangan siber. Adanya perencanaan menghadapi serangan siber pun perlu diuji dan disimulasikan agar kesiapan dan kesiapsiagaan menghadapi insiden semakin baik. Dengan demikian, organisasi dapat mengantisipasi dan mengatasi adanya insiden siber dengan efektif dan efisien.
Terakhir, perspektif sumber daya manusia keamanan siber. Organisasi harus menjamin ketersediaan SDM yang kompeten dan berintegritas dalam jumlah yang memadai. Karier dan masa depan SDM tersebut harus dibuat sehingga mereka merasa nyaman dan terus mengembangkan diri mereka.
Apabila organisasi tidak memiliki prospek karier yang menjanjikan, tentu para SDM tersebut tidak terdorong untuk melakukan diri di bidang keamanan siber. Padahal, hal ini sangat penting dalam menghadapi dinamika ancaman keamanan siber yang terus berkembang dinamis.
Baca Juga: Peretasan Data Mencemaskan, Apa yang Harus Dilakukan?
Sementara itu, Direktur Operasi Keamanan Siber Nasional BSSN Ferdinand Mahulette menyadari, potensi peretasan tinggi pada instansi pemerintahan karena selama ini yang digenjot hanya soal pembangunan sistem teknologi informasi dan komunikasi (TIK), sedangkan sistem keamanan diabaikan.
”Jadi, mengebut dulu yang penting sudah maju teknologinya, punya sistem ini, punya aplikasi ini, tetapi tidak memahami masalah keamanan. Itu ibarat dua sisi mata uang, yang satu ada nilai keuntungan, yang satu ada kekurangan di baliknya,” ujar Ferdinand.
Ia pun menyayangkan sikap kementerian dan lembaga yang masih acuh tak acuh saat diperingatkan oleh BSSN bahwa telah terjadi serangan siber di instansi tersebut. Instansi biasanya merasa jaringannya tetap aman.
”Mereka ngakunya, ’kita baik-baik saja’. Lho, gimana baik-baik? Orang mencuri data itu, bukan saya curi handphone kamu, lalu hilang. Tetapi, kalau saya curi data kamu, itu enggak hilang datanya. Tetapi, itu kayak saya sudah copy (salin) datanya. Jadi sudah diambil. Jadi, jangan bilang, ’saya baik-baik saja’,” tutur Ferdinand.