Investasi IT makin lama makin mahal, mulai waspada mulai dari diri sendiri

Menegaskan Kembali Kewaspadaan Serangan Siber di Seluruh Aspek

Makin canggihnya perkembangan teknologi, makin canggih pula serangan sibernya. Bentuknya beragam dan selalu mengancam setiap waktu. Namun belum semua orang sadar bagaimana tindakan preventif sebelum kejadian ini menimpa mereka.

Sebagian besar perusahaan, terutama yang bergerak di jasa keuangan dan teknologi, menggelontorkan miliaran dollar untuk meningkatkan infrastruktur IT-nya agar selalu terjaga. Bahkan digadang-gadang ke depannya investasi ke sektor ini bakal membludak, lantaran semakin matangnya infrastruktur teknologi.

Dari sisi edukasi ke konsumen pun juga mulai digalakkan oleh berbagai pihak, misalnya himbauan untuk tidak memberikan kode OTP ke siapapun, mengunci ganda akun agar tidak mudah diretas, dan hal lainnya. Topik ini diangkat dalam diskusi yang diselenggarakan Monroe: Securing Our Future pada pekan lalu.

Ada tiga pembicara yang hadir dalam kesempatan ini, Marshall Pribadi (Privy.id), Ardi Sutedja (Indonesia Cyber Security Forum/ICSF), dan Hadi Kuncoro (Power Commerce). Mereka berbagi update dan tips perlindungan data sesuai dengan keahlian di bidangnya masing-masing. Berikut rangkumannya:

Bahaya mengintai sembarang berbagi data

Marshall menekankan, data pribadi di era digital saat ini adalah alamat email. Masalahnya, siapapun kini bisa buat email, berapapun dan kapanpun yang mereka mau. Akhirnya masalah ini bermuara pada rentannya perlindungan diri terhadap serangan siber.

Tanda tangan di satu sisi adalah penanda bahwa diri si penanda tangan telah mengetahui isi dari dokumen, sebagai bentuk menjaga integritas isi dokumen. Ketika tanda tangan didigitalkan, ada masalah baru.

“Ada tinta basah yang dilekatkan ke kertas, memperlihatkan ada kekuatan hukum. Tapi masalahnya bagaimana saat tanda tangan dipindahkan ke digital,” terangnya.

Semua bisa di-screenshot dengan mudah dan copy paste ke dokumen lain, menghasilkan dokumen baru yang bisa jadi disalahgunakan fungsi tanda tangannya untuk kebutuhan lain.

Masalah lainnya, sambungnya, menjaga data pribadi di masa kini, tidak hanya berurusan di perangkat smartphone dan akun email saja. Tapi juga data pribadi yang di unggah secara online dan dibagi-bagikan untuk keperluan tertentu, juga menjadi ancaman.

Marshall mengingatkan, tanpa disadari, menitipkan kartu identitas diri saat masuk ke gedung adalah kemungkinan termudah data kita dicuri pihak yang tidak bertanggung jawab. Tidak ada yang bisa menjamin identitas yang dititipkan di resepsionis aman dari tindakan kejahatan.

Ini juga mengingatkan kita bahwa betapa mudahnya orang mendapatkan data pribadi tanpa harus bersusah payah karena dari kita sendiri yang tanpa sadar dengan mudahnya berbagi data.

Contoh keseharian lainnya yang sering terjadi, saat mengajukan rekening baru atau buat kartu kredit. Data pribadi calon nasabah ditulis manual oleh petugas, kopi identitas pribadi juga biasanya dipotret lewat kamera smartphone mereka. Begitu mudah data diambil, tanpa menyadari risiko besar di belakangnya.

“Betapa besar risikonya setiap kali kita harus buat kartu kredit dan prosedur itu berulang kali harus dilakukan. Selain tidak efisien, ini berisiko terhadap perlindungan data konsumen.”

Untuk perlindungan data, banyak pengembangan yang sudah dilakukan Privy.id, selain tanda tangan digital (public key infrastructure). Misalnya, facial recognition, liveness detection, smart authentication gateway, dan AI driven document checker.

Teknologi yang dikembangkan di atas, bukan berarti solusi sudah tuntas. Setiap solusi menciptakan masalah baru, akhirnya membutuhkan solusi baru, yang mengakibatkan investasi di sektor ini harganya mahal.

Serangan siber selalu mengintai

Ardi Sutedja menekankan pada serangan siber itu selalu mengintai setiap waktu, bahkan sejak dahulu. Salah satu serangan siber yang cukup menggegerkan Indonesia adalah Stuxnet dan WannaCry.

Merujuk dari data Statista, pada tahun 2010, sebanyak 58,31% infeksi malware Stuxnet terjadi di di Iren. Indonesia, secara mengejutkan ada di posisi kedua dengan 17,83%, AS hanya terkena 0,89%.

Sementara WannaCry menyerang Indonesia pada tahun 2017. Hasilnya jutaan serangan menggerogoti sistem perusahaan, di berbagai industri, salah satunya adalah rumah sakit.

Ardi bercerita, timnya menangani serangan malware tersebut di sejumlah rumah sakit dan menemukan bahwa salah satu penyebabnya karena mayoritas menggunakan software palsu. “Sementara, hanya 30% software yang mereka pakai asli,” katanya.

Dari sisi kesiapan SDM pun, menurut pandangannya, sangat minim. Literasi SDM bagaimana tindakan preventifnya dan bagaimana antisipasinya bila serangan siber terjadi, banyak dari mereka yang tidak paham.

Ada manajemen krisis siber dan reaksi insiden yang perlu diketahui SDM. Tujuan dari manajemn ini untuk mengambil tindakan dan proses yang harus diambil untuk melindungi dan mempertahankan reputasi, produk, dan jasa dari sebuah organisasi sebagai dampak terjadinya insiden siber.

Sedangkan reaksi insiden, lebih terfokus pada manajemen keamanan sehari-hari, seperti insiden malware dan serangan DDoS. Namun, untuk melakukan manajemen, sambung Ardi, punya tantangan tersendiri diantaranya memanfaatkan big data vs smart data, minimnya investasi IT, kurangnya keterampilan digital, dan akurasi data.

Tren serangan siber di situs e-commerce

Hadi Kuncoro menjelaskan, umumnya pelaku kejahatan siber dilakukan oleh pencari kesenangan, kejahatan terorganisir, grup teroris, dan negara itu sendiri. Cara mereka menyerang dengan phising, pencurian identitas, pemalsuan data, baik dari luar sistem atau menanamkan langsung dari internal.

Motifnya untuk keperluan ekonomi, politik, kebencian, rasisme, protes, dan sebagainya. Penipuan di situs e-commerce itu biasanya berkaitan dengan empat pihak, meliputi penjual, pembeli, penyedia software, dan penyerang.

Contoh nyata serangan siber yakni penipuan katalog. Hacker menyalin paten milik pemilik merek resmi untuk melakukan salinan gambar foto, salinan kreatif untuk digunakan untuk produk merek palsu.

Mereka juga menduplikasi nama brand, logo, domain, hingga kata kunci yang biasa brand pakai.

“Ada empat tren serangan siber yang sering terjadi di industri e-commerce adalah phising, pencurian data transaksi, serangan DDoS, pencurian data, dan penipuan refund,” pungkasnya.