Penjaga Keamanan Siber Pemerintah, Belajar Meretas Sebelum Diretas
Kejahatan siber yang terus berkembang menuntut banyaknya tenaga ”penjaga” keamanan siber. Bagaimana BSSN berupaya memenuhinya?
Sejumlah pegawai BSSN mengikuti pelatihan simulasi keamanan siber menggunakan platform daring di Pusat Pengembangan SDM BSSN, Sentul, Kabupaten Bogor, Jawa Barat, Rabu (16/3/2022). Mereka yang mengikuti pelatihan nantinya akan menjadi pelatih keamanan siber untuk aparatur sipil negara di kementerian/lembaga lain.
Sosok lelaki bersafari putih fokus menatap layar laptop. Jemarinya sibuk mengetikkan sejumlah perintah dari papan kibor. Berselang lima detik dari perintah terakhir yang ia masukkan, boom! Seisi kota menjadi gelap karena semua lampu padam.
Di tengah kegelapan, lelaki itu merogoh ponsel pintar dari sakunya. Ia membuka sebuah aplikasi, lalu kembali mengetikkan perintah-perintah dalam bahasa pemrograman. Berbeda dari pekerjaan di laptopnya, kali ini ia harus menunggu beberapa menit hingga muncul notifikasi berhasil di layar ponselnya.
Sekitar lima menit berselang, notifikasi yang dinantikan pun tiba. Bersamaan dengan itu, kehebohan terjadi di sekitar rel kereta listrik. Warga setempat bingung melihat kereta berjalan mundur sebelum benar-benar berhenti, padahal bukan di stasiun.
Mengetahui dua kejadian tersebut, lelaki bersafari putih itu tak resah. Wajahnya justru sumringah. Bahkan, terdengar suara tepuk tangan dari sejumlah orang yang duduk mengelilinginya.
Lelaki yang dimaksud adalah salah satu pengajar di Pusat Pengembangan Sumber Daya Manusia (Pusbang SDM) Badan Siber dan Sandi Negara (BSSN), Sentul, Kabupaten Bogor, Jawa Barat. Ia tengah mempraktikkan serangan siber yang kerap dilakukan peretas untuk mengambil alih kendali kota pintar (smart city) melalui sebuah simulator.
Simulator itu berbentuk maket kota yang diletakkan di atas meja berukuran sekitar 2 x 5 meter. Maket berisi infrastuktur transportasi, industri, pendidikan, hiburan, pengolahan limbah, pembangkit listrik, dan reaktor nuklir. Semuanya terintegrasi dalam sistem kontrol digital yang bisa dikendalikan dari jarak jauh.
Seorang pengajar di Pusat Pengembangan SDM Badan Siber dan Sandi Negara (BSSN) menjelaskan tentang cara kerja simulator smart city BSSN yang ada di Sentul, Kabupaten Bogor, Jawa Barat, Rabu (16/3/2022). Simulator tersebut digunakan untuk mempelajari sejumlah ancaman serangan siber yang umum terjadi pada kota yang terintegrasi dengan sistem elektronik.
Adapun simulasi yang dilakukan merupakan bagian dari pelatihan untuk beberapa pegawai BSSN. Mereka tengah dididik untuk menjadi pelatih teknik keamanan siber bagi aparatur sipil negara (ASN) dari kementerian dan lembaga (K/L) lain, yang nantinya akan bertugas di Ibu Kota Negara (IKN) Nusantara, Kalimantan Timur.
”Simulator ini kami buat karena memang mendapatkan mandat untuk mendukung pembangunan smart city di IKN,” kata Dony Harso, Koordinator Pelatihan Teknis dan Fungsional Pusbang SDM BSSN, Rabu (16/3/2022).
Ia menambahkan, dalam sebuah kota pintar ada beberapa ancaman yang umumnya dilakukan para peretas untuk mendudukinya. Di antaranya penyerangan sensor gas dan pengambilalihan turbin listrik. Guna mencegahnya, para peserta latihan harus lebih dulu menguasai teknik peretasan. Hal itu penting agar mereka bisa memahami logika peretas dan mengantisipasi serangan yang akan datang.
Simulator ini kami buat karena memang mendapatkan mandat untuk mendukung pembangunan smart city di IKN.
Selain simulator kota pintar, Pusbang SDM BSSN juga membuka kelas simulasi keamanan siber menggunakan platform daring (cyber security online simulation platform/CSOSP). Sama halnya dengan simulator kota pintar, para peserta yang nantinya akan menjadi pelatih di K/L lain akan belajar meretas dan mempertahankan keamanan siber sebuah sistem elektronik di kelas ini. “Peserta perlu memahami cara meretas untuk mengetahui apa yang dilakukan peretas, targetnya ke mana, dan apa cara yang digunakan,” kata Widya Iswara Pusbang SDM BSSN Amrizal Arif.
Pada Rabu pagi, misalnya, sebanyak 25 orang berada di dalam satu kelas untuk mempelajari modul OWASP Top Ten atau sepuluh kerawanan yang paling sering mengancam aplikasi website. Dari 10 kerawanan itu, salah satu yang paling awal dipelajari adalah SQL (structured query language) injection atau teknik peretasan yang terkait dengan eksploitasi bank data (database) sistem elektronik. ”SQL injection adalah serangan siber yang paling banyak terjadi di dunia,” ujar Amrizal.
Baca juga: Situs Milik Badan Siber dan Sandi Negara Dibobol Peretas
Untuk itu, peserta diminta menembus celah keamanan sebuah sistem elektronik. Caranya dengan memodifikasi perintah SQL yang ada di database. Bila berhasil, mereka bisa masuk (login) ke dalam sistem elektronik tanpa harus memiliki akun. Dapat pula mengubah dan menghapus data yang ada di database, bahkan mematikan database, yang mengakibatkan sistem tak bisa lagi digunakan.
Seorang pengajar memberikan materi tentang kerawanan yang kerap terjadi pada aplikasi website di Pusat Pengembangan SDM BSSN, Sentul, Kabupaten Bogor, Jawa Barat, Rabu (16/3/2022). Para peserta yang mengikuti pelatihan nantinya akan menjadi pelatih keamanan siber untuk aparatur sipil negara di kementerian/lembaga lain.
Selain SQL injection sembilan skenario peretasan lain, di antaranya, kerusakan akses kontrol (broken access control), kegagalan kriptografi (cryptographic failures), desain yang tidak aman (insecure design), kesalahan konfigurasi keamanan (security misconfiguration), serta komponen yang rentan dan ketinggalan zaman (vulnerable and outdated components). Selain itu, ada pula kegagalan mengidentifikasi dan autentikasi (identification and authentication failures), kegagalan peranti lunak dan integritas data (software and data integrity failures), kegagalan pemantauan dan pencatatan keamanan (security logging and monitoring failures), dan pemalsuan permintaan server (server-side request forgery).
Amrizal mengatakan, sepuluh skenario itu dipelajari dalam waktu tiga hari. Diharapkan para peserta langsung mahir dalam kurun waktu tersebut dan bisa mengajarkannya kepada para ASN di K/L lainnya. Jika masih membutuhkan pendalaman, peserta harus belajar mandiri. ”Pendalaman bisa dilakukan masing-masing. Agar peserta lebih mantap penguasaan materinya, kami bisa bukakan akses lab simulasi tersebut sampai kurun waktu tertentu,” kata Amrizal.
Menurut dia, akses terhadap simulasi itu bisa dibuka selama dua minggu hingga satu bulan setelah pelatihan. Pihaknya tak bisa membuka lebih lama karena keterbatasan kemampuan sistem dan padatnya jadwal pelatihan.
Penuhi kebutuhan
Kepala BSSN Hinsa Siburian di Pusat Pengembangan SDM BSSN, Sentul, Kabupaten Bogor, Jawa Barat, Rabu (16/3/2022).
Kepala BSSN Hinsa Siburian mengatakan, pengembangan manusia merupakan aspek utama dalam mempersiapkan keamanan siber negara. Pihaknya terus berupaya meningkatkan kapasitas tenaga keamanan siber. Mulai dari membuat standardisasi dan sertifikasi SDM, menyusun regulasi pengembangan kompetensi, hingga membangun Direktorat Kebijakan SDM BSSN.
Ia menambahkan, salah satu pekerjaan rumah saat ini adalah memenuhi kebutuhan tenaga keamanan siber secara nasional. Berdasarkan perhitungan BSSN, dari 1.650 instansi yang ada di Indonesia, setidaknya dibutuhkan 8.250 orang tenaga keamanan siber. Perhitungan itu berangkat dari asumsi bahwa setiap instansi setidaknya harus memiliki lima penjaga siber. Sementara untuk sektor swasta, hingga saat ini didapatkan 9.804 lowongan pekerjaan terkait yang belum terisi.
Baca juga: Indonesia Krisis Ahli Keamanan Siber
”Artinya, saat ini Indonesia membutuhkan lebih dari 18.000 tenaga keamanan siber,” kata Hinsa. Namun, Hinsa tidak merinci seberapa banyak tenaga keamanan siber yang saat ini sudah dimiliki Indonesia. Ia pun tak menyebutkan, berapa target peserta pelatihan yang diselenggarakan oleh instansinya.
Serangan Siber Infografik – Tiurma
Kendati demikian, kebutuhan tenaga keamanan siber itu harus segera dipenuhi seiring dengan ancaman yang kian mengkhawatirkan. Catatan BSSN, sepanjang 2021 terdapat 1,6 miliar serangan siber yang didominasi infeksi malware. Serangan mendera berbagai sektor mulai dari akademik, swasta, pemerintah pusat, pemerintah daerah, hukum, hingga personal.
Berbagai peretasan dan kebocoran data pun menjadi kasus yang seolah tak pernah berhenti dilaporkan ke penegak hukum. Berdasarkan catatan Direktorat Tindak Pidana Siber Bareskrim Polri yang dipublikasikan pada situs patrolisiber.id, dalam kurun waktu Januari-Desember 2021 terdapat setidaknya 20.333 laporan kejahatan siber.
Puluhan ribu laporan itu terbagi dalam 14 jenis kejahatan, di antaranya terkait pornografi anak (72), kriminal (101), hoaks atau berita bohong (414), pemalsuan surat/dokumen (376), pemerasan (2.247), dan pengancaman (5.276). Selain itu, ada pula penghinaan (4.080), penistaan agama (138), penjualan narkotika di internet (20), perdagangan hewan yang dilindungi (6), perdagangan orang (16), perjudian (4.601), provokasi (220), dan lainnya (1.723).
Keberlanjutan
Pakar digital forensik Ruby Alamsyah mengapresiasi pelatihan yang diselenggarakan BSSN. Hal itu bermanfaat untuk meningkatkan kapasitas orang-orang yang akan bertugas menjaga sistem elektronik instansi negara.
Praktisi forensik digital Ruby Alamsyah.
Akan tetapi, ia mengingatkan bahwa program yang dilakukan selama beberapa hari tidak serta-merta bisa menjadikan seseorang ahli di suatu bidang. Pemerintah tidak bisa berharap untuk mencetak ahli-ahli keamanan siber secara instan. ”Para ahli perlu memiliki pengetahuan yang luas di bidang teknologi informasi serta jam terbang yang cukup,” ujarnya.
Oleh karena, BSSN juga semestinya tidak menjadikan Pusbang SDM yang dimiliki sebagai satu-satunya sumber pelatihan dan pengetahuan bagi para ASN. Mereka perlu belajar di tempat-tempat yang lain untuk mendapatkan pengetahuan dan keterampilan yang lebih beragam.
Selain itu, lanjutnya, pelatihan hanya salah satu bagian dari cara peningkatan keahlian dan kesadaran akan keamanan siber. Lebih dari itu, BSSN perlu mempertimbangkan jenjang karier orang-orang yang sudah dilatih. ”Sering kali masalah yang terjadi di instansi pemerintahan adalah SDM terlatih di bidang khusus harus pindah atau dimutasi ke bidang lain sehingga akhirnya membuka celah kekurangan kembali,” kata Ruby.