Tag Archives: cybersecurity

Sysbraykr adalah startup penyedia keamanan siber untuk UKM dan startup yang berasal dari Yogyakarta didirikan oleh Mada Perdhana

Berkenalan dengan Sysbraykr, Startup Keamanan Siber Asal Yogyakarta

Interview, , , ,

Ancaman kejahatan siber kian mengkhawatirkan. Menurut survei National Cyber Security Index (NCSI) pada 2022, Indonesia menempati urutan ke-6 dari 10 negara ASEAN dengan skor indeks 38,96 dari skala 100. Badan Sandi dan Siber Negara (BSSN) mengungkapkan selama 2022 telah terjadi 1.433 serangan siber ke berbagai lembaga dan instansi. Mayoritas serangan yang terjadi adalah data breach atau data-data pribadi dari smartphone yang dicuri atau bocor karena orang lain.

Kondisi ini menjadi ironis karena Indonesia sendiri digadang-gadang sebagai negara dengan pertumbuhan ekonomi digital yang paling prospektif di Asia Tenggara. Perlu kesadaran dari seluruh pihak untuk mengatasi isu tersebut. Mada Perdhana pun adalah salah satunya yang turut berpartisipasi dengan merintis Sysbraykr.

Menurutnya, alasan pertama ia menginisiasi Sysbraykr karena belakangan semakin banyak perusahaan di Indonesia, khususnya startup dan UMKM mengalami banyak serangan siber beberapa tahun belakangan ini.

“Alasan kedua, kami melihat banyak startup security dari luar yang masuk ke Indonesia. Padahal secara SDM, Indonesia memiliki banyak cyber security engineer. Kenapa kita tidak bisa memiliki perusahaan cyber security dari Indonesia yang bisa bisa besar di Indonesia dan Asia Tenggara,” ucap Founder dan CEO Sysbraykr Mada Perdhana kepada DailySocial.id.

Awalnya, ia mendirikan perusahaan keamanan siber di Malaysia yang sudah berjalan selama beberapa tahun. Kemudian pada Maret 2020, terjadi pandemi Covid-19 yang membuat ia harus kembali ke Indonesia. Lantas, ia pun mengubah pola dan model bisnis dari sebelumnya bergerak di bidang konsultasi keamanan siber dan pentester, kini menjadi layanan keamanan siber pribadi dengan kombinasi bisnis bug hunting.

Mada menuturkan pihaknya optimistis dengan bisnis keamanan siber di Indonesia. Menurutnya, secara sederhana pada umumnya manusia itu dapat berlogika. Teknologi sejatinya masuk ke hampir semua aspek ekonomi, mulai dari industri manufaktur, kesehatan, keuangan, perdagangan, bahkan pendidikan; semuanya melibatkan teknologi dan sistem informasi. Oleh karena itu, bisa dipastikan kebutuhan akan tetap ada karena semuanya butuh pengamanan data.

Selain itu, banyak pemerintah di berbagai negara juga mulai mewajibkan setiap sektor yang menggunakan sistem IT untuk mengamankan sistem dan data mereka, terutama data-data yang bersifat rahasia.

“Sysbraykr memiliki komitmen yang tinggi dalam membantu clients kami dalam menjaga keamanan data mereka. Itu sebabnya jasa layanan kami tidak saja hanya terfokus pada pengecekan keamanan di sisi teknologi, melainkan juga pada sisi proses dan manusianya, dengan melakukan audit pada proses bisnis yang mungkin saja bisa memunculkan banyak risiko dan ancaman pada produk atau bisnis perusahaan dan juga pada sisi manusianya.”

Dia melanjutkan, “Kami membantu untuk meningkatkan kesadaran akan pentingnya keamanan data dan informasi. Dengan begitu, client kami dapat menekan tingkat risiko yang ada. Prospeknya, sekali lagi seperti yang kami jelaskan di awal, ke depan akan semakin banyak sektor bisnis yang akan menggunakan teknologi informasi, dan semakin banyak kebutuhan untuk mengamankan data dan informasi, masa kami yakin prospek di bisnis ini akan sangat baik sekali.”

Solusi Sysbraykr

Sybraykr menyediakan solusi untuk startup, UMKM, dan perusahaan skala besar dengan solusi keamanan siber yang berkualitas dan harga terjangkau dalam satu produk. Salah satu solusinya adalah SysBraykr Mantra, yang dibangun untuk meningkatkan audit keamanan dan menguji alur kerja, serta untuk meningkatkan nilai dan efisiensinya.

Mantra menyatukan perusahaan, pengembang, dan insinyur keamanan untuk bekerja di satu platform secara bersamaan. Tujuannya adalah untuk mendeteksi dan memecahkan masalah keamanan dalam waktu sesingkat mungkin. Klien dapat dengan mudah membuat proyek terkait keamanan dunia maya seperti pentest, vulnerability assessment, secure coding analysis, redteaming testing, dan forensik komputer. SysBraykr Mantra juga dapat menargetkan aplikasi apa pun di platform manapun, termasuk perangkat lunak desktop, seluler, web, dan embedded software.

“Saat client subscribe, mereka akan mendapatkan full service, dari pengecekan keamanan, bug bounty triage, security awarenss, dan SSDLC. Hal ini berbeda dengan perusahaan yang lain di mana mereka menawarkan solusinya secara terpisah-pisah. Tentu saja membuat harga menjadi lebih mahal, sehingga startup belum tentu dapat menggunakan jasa atau service yang ditawarkan.”

Tak hanya itu, Mada juga menuturkan perusahaan menawarkan jasa talent untuk perusahaan yang membutuhkan cyber security engineer. Timnya akan menyeleksi kandidat yang ketat dengan standar industri global untuk talenta-talenta yang akan disalurkan ke perusahaan klien.

Hingga kini perusahaan telah memiliki klien dari dalam maupun luar Indonesia. Mereka datang dari lintas industri, seperti ritel, perbankan, pendidikan, kesehatan, dan startup digital.

Rencana berikutnya

Mada menuturkan dengan total tim 21 orang, perusahaan akan fokus untuk memasarkan produknya ke pasar Asia. Bersamaan dengan itu, perusahaan akan merilis aplikasi mobile untuk karyawan yang bekerja di perusahaan klien dari Sysbraykr (bundle package service). Nantinya aplikasi tersebut dapat membantu karyawan meningkatkan kesadaran terhadap pentingnya keamanan siber dan mengetahui tingkat risiko yang dimiliki secara personal.

“Aplikasi ini akan membantu karyawan mengetahui apakah data pribadi nya bocor ke publik, kemudian juga apakah akun-akun sosial media yang dimiliki, dapat di hacking oleh orang lain, serta tambahan beberapa fitur lainnya. Tujuannya selain dapat meningkatkan knowledge dari karyawan, perusahaan client juga akan mendapatkan gambaran resiko dari sisi human pada perusahaan mereka.”

Untuk mewujudkan seluruh target di atas, saat ini perusahaan sedang membuka penggalangan dana, salah satunya memanfaatkan platform DSConnect. “Selain itu, sejak awal tahun 2023, kami sedang proses pitch dengan 2 VC. Kami tetap mencari pendanaan untuk mengembangkan Sysbraykr agar dapat memasuki pasar SEA dengan baik dan matang,” pungkas dia.

Para talenta lokal Sysbraykr ini berlatar belakang di bidang keamanan siber, terutama bug hunting baik di Indonesia dan luar negeri. Diklaim beberapa di antaranya terdaftar di Hall of Fame banyak bug bounty program dari perusahaan-perusahaan besar, seperti Google, Facebook, Tesla, dan lainnya.

Pemain sejenis Sysbraykr adalah Peris.ai, yang baru-baru ini mengumumkan pendanaan tahap awal dipimpin East Ventures dan diikuti Magic Fund.

Tim Peris.ai, startup keamanan siber Indonesia / Peris.ai

East Ventures Pimpin Pendanaan Startup Keamanan Siber Peris.ai

Berita, , , , , , ,

Startup keamanan siber lokal Peris.ai berhasil meraih pendanaan baru yang dipimpin East Ventures. Magic Fund berpartisipasi pada pendanaan ini. Peris.ai menawarkan produk dan layanan yang bertujuan untuk memastikan keselamatan dan keamanan data, serta infrastruktur digital di kawasan Indonesia dan Asia Pasifik.

Rencananya, dana segar yang didapat akan difokuskan untuk membangun dan meningkatkan platform keamanan sibernya, meningkatkan kemampuan kecerdasan buatan (artificial intelligence/AI) dan machine learning, serta membina komunitas peretas (hacker) etis.

Co-Founder &  CEO Peris.ai David Samuel adalah mantan Co-Founder & CTO Ritase. Ia mendirikan Peris.ai bersama mantan Cybersecurity Head di perusahaan yang sama, Deden Gobel, yang kini menjabat sebagai CTO Peris.ai. Pengalaman dan keahlian dari keduanya telah terbukti di industri teknologi, utamanya dalam keamanan siber.

Peris.ai menawarkan 4 produk utama yaitu Pandava, Korava, Bima, dan Ganesha. Masing-masing fitur menawarkan solusi yang berbeda. Salah satunya Korava yang menyediakan platform pencari celah keamanan perusahaan (platform bounty) yang didukung oleh peretas etis, pemantauan dan perlindungan tanpa henti terhadap jaringan, sistem, dan data, serta respons insiden dan layanan pemulihan.

Selain itu, perusahaan juga mengintegrasikan AI dan machine learning untuk memungkinkan perlindungan yang lebih efisien dan efektif karena sistem dapat terus belajar dan beradaptasi dengan ancaman baru. Penggunaan AI dan machine learning memungkinkan analisis dan interpretasi data yang masif, menyediakan ragam informasi dan rekomendasi yang lebih dipersonalisasi.

Saat ini, solusi yang ditawarkan oleh Peris.ai berbasis langganan dengan paket Starter seharga $350/bulan dan paket Pro di harga $413/bulan. Sementara untuk paket Enterprise, tingkatan harga akan berbeda disesuaikan kebutuhan organisasi. Perusahaan juga menyediakan platform berbasis SaaS khusus untuk industri berisiko tinggi dan perusahaan dengan infrastruktur TI yang kompleks.

Perusahaan memiliki misi untuk menghubungkan organisasi dengan peneliti keamanan TI independen di seluruh dunia dalam satu platform dengan satu tujuan, untuk menyediakan lingkungan digital yang lebih aman. Beberapa perusahaan yang sudah menggunakan layanan Peris.ai termasuk Xfers, CrediBook, Fita, dan lainnya.

Co-Founder dan Managing Partner East Ventures Willson Cuaca mengungkapkan, “Tingkat keamanan suatu organisasi hanya sekuat titik terlemahnya. Hal ini membutuhkan pendekatan yang holistik, termasuk relevansi ke pasar lokal. Kami yakin Peris.ai membangun solusi keamanan siber berdasarkan kearifan lokal dan regional.”

Keamanan siber di Indonesia

Indonesia dengan 210 juta pengguna internet saat ini telah menjadi salah satu penggerak ekonomi digital terbesar di Asia Tenggara. Meskipun begitu, pertumbuhan digital yang cepat ini juga diikuti dengan ancaman keamanan siber atau cyber security yang juga meningkat secara signifikan.

Berdasarkan data dari Laporan National Cyber Security Index (NCSI), skor indeks keamanan siber Indonesia tercatat sebesar 38,96 poin dari 100 pada 2022. Sementara itu, Indonesia berada di peringkat ke-24 pada Global Cybersecurity Index dari 194 negara di seluruh dunia dengan skor 94,88. Angka ini juga menempatkan Indonesia di posisi ke-6 dari negara-negara di ASEAN.

Di Indonesia sendiri, isu keamanan siber bukanlah hal baru. Mulai dari perusahaan teknologi hingga internal lembaga pemerintahan tidak imun terhadap ancaman siber. Masalah kebocoran data menjadi salah satu yang paling sering terjadi di Indonesia, seperti pada Bukalapak dan Youthmanual di tahun 2019.

Pemerintah melalui BSSN juga telah menyusun strategi keamanan siber Indonesia sebagai acuan bersama seluruh pemangku kepentingan keamanan siber nasional. Fokus dari strategi ini meliputi tata kelola, manajemen risiko, kesiapsiagaan dan keamanan, perlindungan infrastruktur informasi vital, kemandirian kriptografi nasional; pembangunan kapasitas, kapabilitas, dan kualitas; kebijakan keamanan siber; dan kerja sama internasional.

Tepat pada tanggal 20 September 2022, pemerintah juga telah resmi mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) yang telah dibahas sejak 2016. Pengesahan ini disebut sebagai sesuatu yang baik dalam hal kepastian hukum. Harapannya, UU PDP ini bisa memberi titik terang bagi kelamnya dunia maya di Indonesia.

Investasi IT makin lama makin mahal, mulai waspada mulai dari diri sendiri

Menegaskan Kembali Kewaspadaan Serangan Siber di Seluruh Aspek

Tips, , , , , ,

Makin canggihnya perkembangan teknologi, makin canggih pula serangan sibernya. Bentuknya beragam dan selalu mengancam setiap waktu. Namun belum semua orang sadar bagaimana tindakan preventif sebelum kejadian ini menimpa mereka.

Sebagian besar perusahaan, terutama yang bergerak di jasa keuangan dan teknologi, menggelontorkan miliaran dollar untuk meningkatkan infrastruktur IT-nya agar selalu terjaga. Bahkan digadang-gadang ke depannya investasi ke sektor ini bakal membludak, lantaran semakin matangnya infrastruktur teknologi.

Dari sisi edukasi ke konsumen pun juga mulai digalakkan oleh berbagai pihak, misalnya himbauan untuk tidak memberikan kode OTP ke siapapun, mengunci ganda akun agar tidak mudah diretas, dan hal lainnya. Topik ini diangkat dalam diskusi yang diselenggarakan Monroe: Securing Our Future pada pekan lalu.

Ada tiga pembicara yang hadir dalam kesempatan ini, Marshall Pribadi (Privy.id), Ardi Sutedja (Indonesia Cyber Security Forum/ICSF), dan Hadi Kuncoro (Power Commerce). Mereka berbagi update dan tips perlindungan data sesuai dengan keahlian di bidangnya masing-masing. Berikut rangkumannya:

Bahaya mengintai sembarang berbagi data

Marshall menekankan, data pribadi di era digital saat ini adalah alamat email. Masalahnya, siapapun kini bisa buat email, berapapun dan kapanpun yang mereka mau. Akhirnya masalah ini bermuara pada rentannya perlindungan diri terhadap serangan siber.

Tanda tangan di satu sisi adalah penanda bahwa diri si penanda tangan telah mengetahui isi dari dokumen, sebagai bentuk menjaga integritas isi dokumen. Ketika tanda tangan didigitalkan, ada masalah baru.

“Ada tinta basah yang dilekatkan ke kertas, memperlihatkan ada kekuatan hukum. Tapi masalahnya bagaimana saat tanda tangan dipindahkan ke digital,” terangnya.

Semua bisa di-screenshot dengan mudah dan copy paste ke dokumen lain, menghasilkan dokumen baru yang bisa jadi disalahgunakan fungsi tanda tangannya untuk kebutuhan lain.

Masalah lainnya, sambungnya, menjaga data pribadi di masa kini, tidak hanya berurusan di perangkat smartphone dan akun email saja. Tapi juga data pribadi yang di unggah secara online dan dibagi-bagikan untuk keperluan tertentu, juga menjadi ancaman.

Marshall mengingatkan, tanpa disadari, menitipkan kartu identitas diri saat masuk ke gedung adalah kemungkinan termudah data kita dicuri pihak yang tidak bertanggung jawab. Tidak ada yang bisa menjamin identitas yang dititipkan di resepsionis aman dari tindakan kejahatan.

Ini juga mengingatkan kita bahwa betapa mudahnya orang mendapatkan data pribadi tanpa harus bersusah payah karena dari kita sendiri yang tanpa sadar dengan mudahnya berbagi data.

Contoh keseharian lainnya yang sering terjadi, saat mengajukan rekening baru atau buat kartu kredit. Data pribadi calon nasabah ditulis manual oleh petugas, kopi identitas pribadi juga biasanya dipotret lewat kamera smartphone mereka. Begitu mudah data diambil, tanpa menyadari risiko besar di belakangnya.

“Betapa besar risikonya setiap kali kita harus buat kartu kredit dan prosedur itu berulang kali harus dilakukan. Selain tidak efisien, ini berisiko terhadap perlindungan data konsumen.”

Untuk perlindungan data, banyak pengembangan yang sudah dilakukan Privy.id, selain tanda tangan digital (public key infrastructure). Misalnya, facial recognition, liveness detection, smart authentication gateway, dan AI driven document checker.

Teknologi yang dikembangkan di atas, bukan berarti solusi sudah tuntas. Setiap solusi menciptakan masalah baru, akhirnya membutuhkan solusi baru, yang mengakibatkan investasi di sektor ini harganya mahal.

Serangan siber selalu mengintai

Ardi Sutedja menekankan pada serangan siber itu selalu mengintai setiap waktu, bahkan sejak dahulu. Salah satu serangan siber yang cukup menggegerkan Indonesia adalah Stuxnet dan WannaCry.

Merujuk dari data Statista, pada tahun 2010, sebanyak 58,31% infeksi malware Stuxnet terjadi di di Iren. Indonesia, secara mengejutkan ada di posisi kedua dengan 17,83%, AS hanya terkena 0,89%.

Sementara WannaCry menyerang Indonesia pada tahun 2017. Hasilnya jutaan serangan menggerogoti sistem perusahaan, di berbagai industri, salah satunya adalah rumah sakit.

Ardi bercerita, timnya menangani serangan malware tersebut di sejumlah rumah sakit dan menemukan bahwa salah satu penyebabnya karena mayoritas menggunakan software palsu. “Sementara, hanya 30% software yang mereka pakai asli,” katanya.

Dari sisi kesiapan SDM pun, menurut pandangannya, sangat minim. Literasi SDM bagaimana tindakan preventifnya dan bagaimana antisipasinya bila serangan siber terjadi, banyak dari mereka yang tidak paham.

Ada manajemen krisis siber dan reaksi insiden yang perlu diketahui SDM. Tujuan dari manajemn ini untuk mengambil tindakan dan proses yang harus diambil untuk melindungi dan mempertahankan reputasi, produk, dan jasa dari sebuah organisasi sebagai dampak terjadinya insiden siber.

Sedangkan reaksi insiden, lebih terfokus pada manajemen keamanan sehari-hari, seperti insiden malware dan serangan DDoS. Namun, untuk melakukan manajemen, sambung Ardi, punya tantangan tersendiri diantaranya memanfaatkan big data vs smart data, minimnya investasi IT, kurangnya keterampilan digital, dan akurasi data.

Tren serangan siber di situs e-commerce

Hadi Kuncoro menjelaskan, umumnya pelaku kejahatan siber dilakukan oleh pencari kesenangan, kejahatan terorganisir, grup teroris, dan negara itu sendiri. Cara mereka menyerang dengan phising, pencurian identitas, pemalsuan data, baik dari luar sistem atau menanamkan langsung dari internal.

Motifnya untuk keperluan ekonomi, politik, kebencian, rasisme, protes, dan sebagainya. Penipuan di situs e-commerce itu biasanya berkaitan dengan empat pihak, meliputi penjual, pembeli, penyedia software, dan penyerang.

Contoh nyata serangan siber yakni penipuan katalog. Hacker menyalin paten milik pemilik merek resmi untuk melakukan salinan gambar foto, salinan kreatif untuk digunakan untuk produk merek palsu.

Mereka juga menduplikasi nama brand, logo, domain, hingga kata kunci yang biasa brand pakai.

“Ada empat tren serangan siber yang sering terjadi di industri e-commerce adalah phising, pencurian data transaksi, serangan DDoS, pencurian data, dan penipuan refund,” pungkasnya.

Perusahaan digital perlu mengevaluasi standardisasi berdasarkan ISO 27001 dan ISO 31000 untuk meminimalisir potensi peretasan ke basisdata pengguna

Pasca Isu Peretasan Data Bukalapak dan Youthmanual, Upaya yang Perlu Dilakukan

Interview, , , , , , ,

Hari ini tersiar kabar mengenai peretasan data situs dengan basis pengguna yang besar. Dilansir The Hacker News, ada dua situs Indonesia turut terdampak, yakni Bukalapak dan Youthmanual. Diklaim setidaknya ada sekitar 13 juta record data pengguna Bukalapak (per Juli 2017) yang tercuri. Sementara untuk situs karier milenial Youthmanual data yang tercuri sekitar 1,12 juta record data (per Februari 2019).

Data-data tersebut kini diperjualbelikan melalui Dream Market atau dikenal sebagai pasar gelap di dunia maya — memanfaatkan cryptocurrency sebagai alat tukar. Data yang diambil disebut meliputi nama pengguna, username, email, kata sandi yang terenkripsi dengan hash, dan detail pribadi lainnya.

Klarifikasi Bukalapak dan Youthmanual

Kami sudah mencoba mengonfirmasi langsung ke pihak Bukalapak maupun Youthmanual. Pihak Bukalapak membenarkan bahwa memang ada upaya peretasan situs dalam beberapa waktu lalu. Namun pihaknya memastikan tidak ada data penting seperti user password, informasi finansial, dan informasi pribadi yang didapatkan.

“Kami mengonfirmasi bahwa memang ada upaya untuk meretas Bukalapak beberapa waktu yang lalu, namun tidak ada data penting seperti user password, finansial atau informasi pribadi lainnya yang berhasil didapatkan. Kami selalu meningkatkan sistem keamanan di Bukalapak, demi memastikan keamanan dan kenyamanan para pengguna Bukalapak, dan memastikan data-data penting pengguna tidak disalahgunakan. Upaya peretasan seperti ini memang sangat berpotensi terjadi di industri digital,” ujar Head of Corporate Communications Bukalapak Intan Wibisono.

Salah satu tindakan preventif yang disarankan pihak Bukalapak kepada pengguna ialah dengan melakukan penggantian kata sandi secara berkala dan mengaktifkan fitur Two-Factor Authentication (TFA).

Sementara kepada DailySocial pihak Youthmanual juga mengonfirmasi, telah terjadi upaya peretasan di dalam platformnya. Upaya represif yang dilakukan ialah dengan melakukan pengaturan ulang kata sandi seluruh pengguna.

“Sore ini, kami konfirmasi bahwa telah terjadi upaya peretasan namun Youthmanual telah melakukan pencegahan dengan me-reset password seluruh pengguna. Kami juga menghimbau seluruh pengguna untuk mengubah seluruh informasi password saat login kembali. Saat ini tim engineering Youthmanual melakukan audit dan evaluasi sistem secara komprehensif untuk memastikan sistem dan infrastruktur kami aman dibantu oleh praktisi-praktisi keamanan siber terbaik di regional,” ujar Founder & CEO Youthmanual Rizky Muhammad.

Tindakan antisipasi

Menanggapi kejadian ini, kami mencoba menghubungi beberapa pakar keamanan siber, salah satunya Onno W. Purbo. Dalam keterangannya Onno mengatakan bahwa setidaknya ada empat hal yang perlu dilakukan oleh platform digital yang mendapati serangan hacker. Pertama harus dilakukan evaluasi keamanan secara komprehensif, dalam istilah teknis disebut dengan “penetration test”, untuk memastikan celah-celah yang berhasil disusupi dapat segera ditambal.

Onno menyarankan perusahaan digital yang sudah memiliki basis pengguna besar perlu segera melakukan evaluasi prosedur, setidaknya hingga memenuhi ISO 27001 (standardisasi global sistem manajemen keamanan informasi) dan ISO 31000 (standardisasi global untuk manajemen risiko berkaitan dengan keamanan informasi).

Kegiatan pelatihan terhadap internal dan pengguna berkaitan dengan keamanan informasi juga dinilai dapat mulai dijadikan inisiatif rutin oleh perusahaan digital. Sebagai pangsa pasar internet terbesar di Asia Tenggara, memang peningkatan literasi digital untuk masyarakat masih menjadi pekerjaan rumah bagi para pihak. Idealnya industri juga turut serta dalam meningkatkan kapabilitas tersebut.

“Serangan yang banyak berhasil adalah pada titik-titik paling lemah pada sebuah sistem. Bisa dari sisi pengguna, kelalaian admin, dan lainnya,” ujar Onno menerangkan asal serangan hacker bermula.

Fortinet meluncurkan laporan ancaman keamanan siber Q2 2018 dengan highlight perangkat IoT menjadi target cryptojacking

Fortinet: Cryptojacking Perangkat IoT Mulai Jadi Salah Satu Fokus Ancaman Keamanan Siber

Berita, , , , ,

Kejahatan siber senantiasa menjadi momok bagi industri digital. Fortinet, sebuah perusahaan penyedia jasa dan solusi keamanan, meluncurkan laporan bertajuk “Fortinet Threat Landscape Report Q2 2018”. Dalam laporan tersebut Fortinet menyoroti beberapa hal secara khusus, seperti serangan Cryptojacking yang mulai menyerang IoT untuk perangkat rumahan hingga botnet yang mulai berevolusi.

Laporan Fortinet ini menyoroti beberapa aspek keamanan digital, mulai dari exploit, malware, botnet, hingga prediksi tren ancaman ke depan. Semua perusahaan yang memiliki layanan digital dan infrastruktur IT disebut punya risiko yang sama dalam serangan siber, hanya antisipasi dan tindakan pencegahan yang membedakannya.

Untuk exploit, Forninet mendeteksi ada 7.230 exploit yang ditemukan dengan rata-rata 811 temuan per perusahaan. Bahkan Fortinet menyebutkan hampir 96% perusahaan mengalami setidaknya satu eksploitasi besar.

“Analisis berfokus pada deteksi kritis dan tingkat keparahan yang tinggi menunjukkan kecenderungan yang mengkhawatirkan dengan 96% perusahaan mengalami setidaknya satu eksploitasi hebat,” tulis Fortinet dalam rilisnya.

Temuan lain yang dilaporkan dan menjadi sorotan adalah adanya exploit atau cryptojacking yang mulai menyasar ke perangkat IoT untuk rumahan. Cryptojacking adalah istilah yang diberikan kepada perangkat lunak yang menggunakan sumber daya perangkat keras target atau korban untuk melakukan minning cryptocurrency. Perangkat keras yang terinfeksi akan menjadi “mesin tambang” bagi penyerang.

Cryptojacking sempat booming beberapa waktu lalu lantaran disematkan dalam situs web dan membuat pengguna yang membuka web bertindak sebagai minner yang tentunya membuat performa komputer menurun. Dalam kasus yang ditemui Fortinet, serangan cryptojacking sudah mengarah ke perangkat IoT yang sudah diimplementasikan di rumah-rumah, seperti lampu, CCTV, alarm, dan perangkat lainnya.

“Penyerang mengambi keuntungan dari mereka dengan memuat malware yang terus menambang karena perangkat ini selalu aktif dan terhubung. Selain itu, antarmuka untuk perangkat ini sedang dieksploitasi sebagai peramban web yang dimodifikasi, yang memperluas kerentanan dan mengeksploitasi vektor di dalamnya. Segmentasi akan semakin penting untuk perangkat yang terhubung ke jaringan perusahaan karena tren ini terus berlanjut,” tulis pihak Fortinet.

Fortinet menemukan 23.945 varian malware dengan deteksi harian mencapai 13 untuk setiap perusahaan. Untuk cryptojacking, Fortinet mendeteksi kemunculan malware mencapai 23,3%. Fortinet juga mendeteksi adanya serangan botnet unik mencapai 265 kali dengan botnet aktif rata-rata 1,8 untuk setiap perusahaan. Botnet sendiri adalah istilah untuk perangkat yang terinfeksi malware dan difungsikan sebagai “robot” yang bisa dikendalikan untuk serangan seperti spam hingga serangan DDoS (Distributed Denial-of-Service).

Fortinet juga menggarisbawahi bahwa malware terus berkembang dan berevolusi. Menghindari deteksi dan pencegahan sehingga memiliki banyak cara untuk menginfeksi komputer atau jaringan.

“Musuh siber tidak pernah berhenti. Semakin banyak, mereka mengotomatisasi alat-alat mereka dan menciptakan variasi dari eksploitasi yang diketahui. Akhir-akhir ini, mereka juga semakin lebih tepat dalam penargetan mereka, tidak bergantung pada upaya selimut untuk menemukan korban yang bisa dieksploitasi,” terang Chief Information Security Officer (CISO) Fortinet Phil Quade.

Kebocoran data perusahaan mayoritas disebabkan kelalaian karyawan, contohnya sengaja mengklik email phishing meski sadar itu merupakan bentuk serangan siber

Mendalami Penyebab Kebocoran Data Perusahaan dan Cara Mencegahnya

Berita, , , , , , , , ,

Berkembangnya teknologi internet ke dalam seluruh aspek kehidupan turut mendorong merajalelanya serangan siber dari berbagai bentuk. Apalagi Indonesia dinobatkan sebagai salah satu negara di dunia yang rentan dengan serangan dunia maya.

Berdasarkan laporan, Indonesia menjadi “hotspot global” untuk aktivitas web yang mencurigakan, lebih dari 150 juta dari 255 juta pengguna rentan terhadap serangan siber.

Sebagai contoh, serangan perusakan web domain go[dot]id mencapai 22.780 situs dari 2008 sampai Juni 2017. Sementara situs domain [dot]id serangannya lebih besar mencapai 84.005 situs untuk periode waktu yang sama. Serangan fireball malware menginfeksi 13,1 juta komputer orang Indonesia.

Kendati demikian, mirisnya masih banyak perusahaan konvensional yang masih menganggap keamanan siber sebagai pengeluaran yang paling dihindari. Alasan utamanya kebanyakan tidak bisa mengomunikasikan ke level C, kurangnya data yang bisa ditindaklanjuti dan ketidakmampuan untuk memproyeksikan ROI.

Salah satu diskusi panel yang diadakan Indonesia Security Summit 2018 di Jakarta, menghadirkan Faisal Yahya (IBS Broking Service), Mike Stephens (Senetas), Sterry Yulius Kosasih (IPay88), dan dimoderatori Setiaji (Jakarta Smart City). Diskusi banyak memfokuskan soal kebocoran data dalam perusahaan dan bagaimana cara menanggulanginya.

Peretasan disebabkan internal perusahaan

Faisal Yahya menekankan meski perusahaan sudah menerapkan berbagai perlindungan keamanan data, menggunakan internal domain, membatasi akses, dan bentuk lainnya justru akan sia-sia karena biasanya kebocoran itu terjadi karena kelalaian dari karyawan perusahaan itu sendiri.

Karyawan banyak yang tidak sadar, ketika mendapat email phising sebaiknya jangan di buka sama sekali. Karena ketika di-klik, hacker bisa masuk pada saat itu juga.

“Hacker itu selalu mencari segala cara untuk bisa meretas. Umumnya karyawan sudah tahu email phishing, tapi sayangnya masih ada yang sengaja meng-klik karena sekadar ingin memastikan apakah itu benar phishing atau tidak. Padahal cukup dengan cara seperti itu saja, data perusahaan sudah bisa diretas,” terang Faisal.

Pernyataan Faisal diamini Sterry Yulius. Menurutnya, justru hacker itu paling senang meretas internal domain karena itulah sumber yang paling rapuh. Karyawan banyak yang tidak sadar, memakai internal domain dirasa paling aman. Justru anggapan mereka salah, sebab dilihat dari situs konten yang mereka jelajahi hacker bisa masuk dari situ.

Makanya, sebut Sterry, IPay88 memulai proteksi sistem keamanan mulai dari internal, apalagi di perusahaan yang notabene adalah perusahaan fintech yang bergerak di payment gateway. Mereka harus benar-benar peduli dengan data keamanan pelanggan, tidak boleh ada kebocoran, dan karyawan tidak boleh lengah sama sekali terhadap segala risikonya.

“Tiap tahun kami diaudit Mastercard dan Visa untuk memeriksa integritas kita dalam menjaga data konsumen, dan disaster recovery plan-nya bagaimana.”

IPay 88 juga menerapkan cara membatasi akses terhadap suatu akses data hanya berlaku buat tim-tim tertentu saja. Cara tersebut diklaim bisa meminimalisir potensinya terjadinya kebocoran data.

Memahami tahapan perusahaan sebelum melindungi data

Sterry menyarankan, sebelum mengambil sejumlah langkah dalam melindungi perusahaan dari kebocoran data, pemilik perusahaan harus paham betul sudah ada di tahapan mana internal organisasi perusahaan. Apakah sudah matang dengan teknologi atau belum.

Menanggapi hal tersebut, Faisal menambahkan cara melindungi keamanan data perusahaan itu sangat bergantung pada karakteristik data seperti apa yang ingin di lindungi, sebab tidak bisa disamaratakan. Data apa yang mau dilindungi, apakah data pribadi atau lainnya.

Faisal melanjutkan, ketika perusahaan sudah menerapkan perlindungan sistem, maka secara berlaku diperlukan tes simulasi (drill test) untuk melihat seberapa besar awareness karyawan terhadap kebocoran data dengan mengirim email phishing berisi topik yang random. Dari sekian banyak email yang dikirim, apabila ada karyawan yang meng-klik-nya segera jadikan mereka sebagai “murid” untuk dilatih soal awareness serangan siber.


Disclosure: DailySocial adalah media partner Indonesia Security Summit 2018

Kemitraan antara BRI, Telkomsel, dan BlackBerry / DailySocial

BRI Buat Perangkat Khusus Mantri, Hasil Kemitraan dengan Telkomsel dan BlackBerry

Berita, , , , , , ,

BRI bermitra Telkomsel dan BlackBerry untuk pengadaan perangkat khusus mantri BRI demi permudah proses bekerja saat di lapangan jadi lebih digital dengan jaminan keamanan tinggi. Perangkat yang disebar BRI sudah ter-install secara default oleh jaringan Telkomsel yang didukung oleh sistem keamanan BlackBerry Unified Endpoint Management (UEM).

Mantri BRI adalah singkatan dari marketing dan analisis mikro yang bertugas tidak hanya mengurusi bagian kredit, tapi juga simpanan. Diklaim total mantri BRI saat ini sekitar 34 ribu orang tersebar di seluruh Indonesia. Mantri berbeda dengan agen BRILink yang merupakan layanan Laku Pandai dari Bank BRI.

Dengan perangkat khusus ini, seluruh informasi berharga pelanggan akan lebih terjamin keamanannya. Staf BRI dimungkinkan untuk berbagi data pelanggan yang sensitif dalam lingkungan terpercaya, mengurangi ancaman siber, dan risiko pencurian data.

BRI pun kini memiliki manajemen endpoint yang lengkap dan kontrol kebijakan untuk beragam perangkat dan aplikasi yang semakin berkembang. Membantu mengembangkan dan mengelola pekerjaan seperti loan applications. Hal ini juga memastikan bank selalu siap untuk peraturan privasi dan keamanan baru.

“BRI memilih BlackBerry UEM tidak hanya karena kemampuannya melindungi file dan data, tetapi untuk skalabilitas dan pengelolaannya yang sederhana untuk berbagai hal yang terkoneksi di tempat kerja,” ucap Direktur TI BRI Indra Utoyo, Rabu (8/8).

Sebelumnya, para mantri BRI harus menggunakan dokumen fisik untuk memproses pengajuan kredit dari calon nasabah. Mereka juga harus membuat laporan harian setiap harinya untuk mengukur produktivitasnya.

Kini proses kredit sudah bisa disetujui kurang dari 12 jam dari awalnya perlu menunggu hingga berhari-hari. Dengan demikian, produktivitas para mantri meningkat lebih tajam. BRI juga bisa mendeteksi secara langsung produktivitas mantri berdasarkan lokasi GPS. Dari data BRI disebutkan, terjadi peningkatan penjualan antara 30%-40%.

“Digitalisasi itu membuat risiko manajemen dan operasional bisa lebih ditekan, sehingga risikonya jadi lebih termitigasi dengan baik saat menyalurkan kredit mikronya.”

VP Enterprise Mobile Product Marketing Telkomsel Arief Pradetya menambahkan perangkat yang disediakan BRI itu didesain khusus untuk kerja, sudah dikunci sehingga tidak bisa ditambah atau dihapus oleh mantri. Hanya berisi delapan aplikasi, mayoritas adalah aplikasi internal dari BRI dilengkapi aplikasi pendukung kerja.

“Perangkat sudah di-roll out ke seluruh mantri, selesainya sudah dari bulan lalu. Karena ini corporate device, jadi memang didesain untuk kerja saja, tidak bisa untuk yang lain. Mantri bisa langsung kerja dengan jaringan Telkomsel di mana saja mereka berada,” terang Arief.

BlackBerry UEM adalah sebuah perangkat lunak yang merupakan bagian dari BlackBerry Enterprise Mobile Suite menyediakan satu tampilan untuk semua perangkat, aplikasi dan manajemen konten, dengan keamanan dan konektivitas yang terintegrasi.

Perangkat lunak BlackBerry dimanfaatkan untuk menghubungkan dan mengamankan endpoint, bersifat fisik dan digital, serta membantu perusahaan mengembangkan sistem yang pintar dengan solusi embedded yang aman dan bersertifikasi. Diklaim BlackBerry memiliki lebih dari 80 sertifikasi keamanan dan telah menerima beberapa penghargaan tertinggi di industri, salah satunya Gartner, Inc.

1Password Kini Bisa Mengecek Apakah Kata Sandi Anda Pernah Bocor atau Tidak

Internet, , , , , , ,

Meracik kata sandi yang kompleks tapi gampang diingat bukanlah pekerjaan mudah. Itulah mengapa belakangan layanan password manager macam LastPass dan 1Password terus bertambah populer. Salah satu fitur yang paling bermanfaat adalah password generator, yang akan membuatkan kata sandi secara acak.

Ini penting mengingat ada cukup banyak kasus kebocoran informasi yang menimpa beragam layanan, bahkan yang setenar Dropbox sekalipun. Begitu banyaknya kasus-kasus seperti ini, seorang ahli cybersecurity bernama Troy Hunt berhasil membuat database berisikan lebih dari 500 juta kata sandi yang pernah dibocorkan.

Supaya konsumen lebih mudah mengakses database-nya, Troy membuatkan interface berbasis web yang ia juluki dengan istilah Pwned Passwords. Cukup masukkan kata sandi Anda, maka situsnya akan mengecek apakah kata sandi tersebut pernah muncul sebagai salah satu dari jutaan kata sandi yang sempat terbocorkan.

Pwned Password integration in 1Password

Cara yang lebih mudah lagi adalah kalau Anda merupakan pengguna 1Password. Pengembangnya, AgileBits, memutuskan untuk mengintegrasikan layanan Pwned Passwords ke dalam 1Password, sehingga pengguna bisa langsung mengecek apakah kata sandinya pernah bocor atau tidak.

Dengan mengklik satu tombol “Check Password”, aplikasi akan langsung merujuk pada database yang dibangun Troy Hunt itu tadi. Sebelum Anda khawatir, AgileBits memastikan bahwa tidak ada kata sandi yang dikirimkan ke server guna mengecek status kebocorannya.

Andai hasil pengecekannya menunjukkan kata sandi Anda pernah bocor, ini bukan berarti seluruh dunia langsung tahu password yang Anda gunakan pada suatu akun. Bisa jadi ada orang lain yang menggunakan kata sandi yang sama, lalu orang tersebut menjadi salah satu korban dari kasus kebocoran informasi itu tadi. Demi berjaga-jaga, lebih baik buat password baru saja kalau yang lama pernah bocor.

Sumber: AgileBits.

Indonesia Masuk Jajaran Lima Negara Paling Rentan Serangan Siber

Berita, , , , , ,

Microsoft Asia Pasifik merilis sebuah laporan bertajuk Security Intelligence. Salah satu kesimpulannya, Indonesia kini berada di lima besar negara Asia Pasifik yang paling ter-expose program berbahaya. Pada kuartal kedua tahun 2016, 45,2% komputer di Indonesia terserang malware.

Kategori perangkat lunak berbahaya yang paling sering ditemui di Indonesia pada ialah Trojan dengan total infeksi di komputer mencapai 41,5%. Worms menempati posisi kedua, dengan 24,5% total serangan yang ditemui.

“Bagaimanapun, kita tidak akan selamanya tetap aman dan dapat mencapai kapasitas secara penuh pada dunia yang selalu terhubung ini, tanpa memahami ancaman keamanan siber dan menambah pemahaman mengenai perkembangan cybercrime,” ujar Antony Cook selaku Associate General Counsel Microsoft Asia Pasifik.

Negara di Asia Pasifik yang paling rentan terhadap serangan siber, khususnya malware:

  1. Bangladesh
  2. Kamboja
  3. Indonesia
  4. Myanmar
  5. Vietnam

Serangan Ransomware kian meningkat

Ransomware adalah salah satu jenis malware yang paling terkenal pada tahun 2017. Pada paruh pertama tahun ini, dua gelombang serangan ransomware, yakni WannaCrypt dan Petya, memanfaatkan kerentanan pada sistem operasi Windows usang di seluruh dunia dan menonaktifkan ribuan perangkat dengan membatasi akses data secara tidak sah melalui enkripsi. Hal ini tidak hanya mengganggu kehidupan sehari-hari individu tapi juga melumpuhkan banyak operasional perusahaan.

Penyerang mengevaluasi beberapa faktor saat menentukan wilayah mana yang harus ditargetkan, seperti GDP suatu negara, usia rata-rata pengguna komputer dan metode pembayaran yang tersedia. Bahasa juga dapat menjadi faktor pendukung utama karena serangan yang sukses sering kali bergantung pada kemampuan penyerang untuk melakukan personalisasi pada pesan untuk meyakinkan pengguna untuk mengaktifkan data berbahaya tersebut.

Komputasi awan menjadi target selanjutnya

Seiring dengan meningkatnya migrasi ke layanan SaaS atau sejenisnya, komputasi awan telah menjadi pusat data utama bagi sebagian besar organisasi. Ini juga berarti data berharga dan aset digital yang tersimpan di awan, membuatnya menjadi target bagi penjahat dunia maya.

Sebagian besar serangan terhadap akun konsumen dan perusahaan yang dikelola pada komputasi awan ini diakibatkan oleh kata kunci yang lemah dan dapat ditebak serta pengelolaan kata sandi yang buruk, diikuti oleh serangan phishing yang ditargetkan dan pelanggaran layanan pihak ketiga. Seiring dengan frekuensi dan kecanggihan serangan terhadap akun pengguna pada komputasi awan yang meningkat, kebutuhan untuk pengamanan data melampaui kata sandi untuk otentikasi sangatlah diperlukan.

Kiat memperkuat cybersecurity yang disarankan

Perusahaan harus rutin mengatur pembaruan sistem operasi dan program, supaya memastikan patch terbaru telah diinstalasi. Ini kegiatan yang perlu dibudayakan dalam bisnis, seiring lanskap ancaman terus berkembang dan berevolusi.

Lain halnya dengan individu, memperkuat keamanan salah satunya dengan menghindari pemakaian hotspot Wi-Fi umum yang kurang meyakinkan dan jauhkan kata kunci sederhana pada penerapan sistem keamanan data pribadi.

Keamanan Berbelanja Online Diklaim Jadi Perhatian Utama Lazada Indonesia

Berita, , ,

Berbelanja online dianggap menawarkan pengalaman baru membeli kebutuhan. Hal tersebut turut memberikan serta meningkatkan perhatian dan tantangan baru dalam prosesnya. Lazada Indonesia mengklaim enggan berkompromi dengan urusan keamanan berbelanja online dengan menjanjikan fitur yang mengizinkan pelanggan mendapatkan barang yang dibutuhkan dengan tepat guna dan tepat waktu.

Idealnya, memastikan keseluruhan proses transaksi aman tidak hanya dari sisi marketplace saja, tetapi juga keterlibatan penjual dan pembeli. CMO Lazada Indonesia Sebastian Sieber memaparkan bahwa untuk memastikan transaksi online aman ada beberapa poin yang harus diperhatikan pengguna.

Memastikan situs e-commerce memiliki kontak pelayanan yang valid dan dapat dihubungi

Proses transaksi tak segera selesai setelah pembayaran dilakukan, tetapi ketika konsumen merasa puas akan pesanannya. Sieber juga mengajak konsumen untuk lebih jeli perihal syarat dan ketentuan pengembalian barang dan pengembalian uang.

Pengguna juga bisa melakukan pengecekan perihal metode pembayaran yang tersedia. Jika menjalin kerja sama dengan bank nasional yang memiliki kredibilitas baik seharusnya menjadi bukti cukup keabsahan situs e-commerce tersebut.

“Konsumen seharusnya tidak perlu menghadapi terlalu banyak resiko [dalam berbelanja online]. Peran Lazada bisa dibilang adalah perantara untuk meyakinkan bahwa apapun yang kalian dapatkan senilai dengan jumlah yang kalian bayarkan,” kata Sieber ketika ditemui DailySocial siang tadi (25/11).

Konsumen memastikan sertifikasi keamanan di layanan e-commerce

Konsumen harus mengecek sertifikasi keamanan kartu kredit yang tertera di halaman belanja. Lazada sendiri memiliki dua label khusus yang bisa dijadikan acuan penggunanya untuk keamanan berbelanja yakni “Perlindungan Pembeli 100%” dan “Jaminan Kepuasan”.

Kedua label tersebut menjamin untuk mengembalikan uang dan memvalidasi seller yang dimaksud. Kebijakannya juga memiliki parameter dan penilaian tertentu. Konsumen tidak bisa begitu saja menggagalkan pesanan hanya karena alasan sepele dan tidak masuk akal.

Sieber menuturkan bahwa dengan kebijakan tersebut konsumen bisa mengembalikan barang tujuh hari setelah pembelian, sementara Jaminan Kepuasan memiliki masa tenggang 14 hari kepada pelanggan untuk mengembalikan barang.

“Skema ini dilaksanakan untuk memberikan keamanan dan kenyamanan konsumen. Kami juga meminimalisir permintaan informasi pada konsumen Lazada Indonesia. Hal ini demi meningkatkan kepercayaan, dan mengurangi resiko kebocoran data penting,” katanya.