Cyber Crime: Pengertian, Jenis, dan Cara Mengatasinya

Masyarakat sudah tidak asing dengan penggunaan teknologi sebagai media informasi maupun komunikasi. Manfaat yang diberikan oleh perangkat elektronik memudahkan manusia untuk saling berinteraksi jarak jauh dan mencari sumber informasi.

Tetapi penggunaan media elektronik saat ini juga menimbulkan resiko munculnya tindak kejahatan baru yang disebut dengan cyber crime.

Tindak kejahatan ini dilakukan dengan memanfaatkan teknologi elektronik dan perangkat jaringan untuk mendapatkan data penting milik korban. Berikut penjelasan lebih lengkap mengenai cyber crime yang perlu kita simak!

Pengertian Cyber Crime

Cyber crime adalah perilaku kejahatan yang beroperasi di ruang maya, dimana pelaku mengambil keuntungan secara paksa dari korban. 

Cyber crime dalam Bahasa Indonesia diartikan sebagai kejahatan dunia maya, dimana pelau melakukan aksinya dengan melakukan penyadapan pada data-data yang terhubung dengan elektronik. Cyber crime merupakan tindak kejahatan yang masuk dalam hukum pidana yang dilakukan dengan memanfaatkan teknologi maupun perangkat jaringan lainnya.

Cyber crime banyak menimbulkan keresahan karena mengakibatkan kerugian besar, cyber crime bisa terjadi pada siapapun. Berbagai motif baru kejahatan ini terus berkembang dan mencari celah disaat korban sedang lengah.

Jenis-Jenis Cyber Crime

Kejahatan dunia maya atau cyber crime dibedakan dengan berbagai jenis. Hal ini untuk mengkategorikan sejumlah kejahatan kriminal dengan memanfaatkan elektronik.

  • Denial of Service Attack/DoS Attack

Jenis kejahatan cyber crime dengan cara mengirimkan permintaan palsu kepada sistem secara berkala sehingga sistem pada jaringan komputer akan mengalami overloading dan menyebabkan sistem tidak dapat beroperasi.

  • Hacking

Hacking atau hacker untuk mengistilahkan peretas yang memiliki keahlian dalam komputer. Kejahatan hacking adalah kejahatan cyber yang paling umum di masyarakat, karena kejahatan ini seringkali dimunculkan juga menjadi latar belakang cerita sebuah film.

Hacking adalah kejahatan cyber dimana pelaku mencari kelemahan pada sistem komputer untuk mencari celah masuk dalam program dan biasanya digunakan untuk mengancam korban atas data-data pribadi miliknya.

Tindakan hacking yang dilakukan dengan merugikan orang lain akan masuk dalam jenis kejahatan cyber.

  • Phising

Merupakan jenis kejahatan dengan metode penipuan untuk mendapatkan data penting milik korban seperti, password, rekening bank dan dokumen pribadi lainnya.

Tindak kejahatan ini akan sangat merugikan korban, karena data diri yang didapatkan akan mengancam privasi dan keamanan data atas nama dirinya.

  • Online Harassment

Kejahatan dunia maya yang biasanya dilakukan dengan motif balas dendam terhadap korban. Biasanya muncul dengan bentuk intimidasi untuk membuat korban takut dan menuruti segala permintaannya.

  • Information Warfare

Biasa dilakukan untuk menyerang lawan dengan menyebarkan informasi yang salah seperti propaganda, lawan dibuat percaya sehingga menyerah. Informasi yang disebarkan bertujuan untuk membuat lawan tertipu dengan mengacaukan sistem dan data di jaringan komputer.

Cara Mengatasi Cyber Crime

Tindakan kejahatan dunia maya memang dapat menyebabkan keresahan, tetapi bukan berarti tidak ada solusi untuk mengatasi kejahatan tersebut. Berikut beberapa hal yang dapat dilakukan, jika kamu mengalami kejahatan cyber:

  1. Hindari link yang dikirimkan dalam tautan di media sosial, pastikan bahwa tautan yang disematkan sesuai dengan format penulisan pada umumnya. Misalnya jika ingin klik tautan dengan URL bit.ly pastikan bahwa alamat URL asli, kamu bisa menambahkan ikon “+” di akhir tautan  untuk memastikan bahwa informasi alamat asli.
  2. Hindari download file ataupun software dari situs ilegal, karena biasanya situs ini akan meminta kamu untuk mematikan perangkat virus dalam laptop agar file dapat di download. Hal ini rentan virus dalam file atau software dan berpotensi merusak file sistem di perangkat elektronik terutama laptop maupun komputer.
  3. Jangan langsung percaya jika diminta untuk memberikan data diri asli pada orang lain, karena meskipun file terhapus data akan tetap tersimpan sebagai kepingan data dan masih memungkinkan jika sewaktu data akan muncul kembali oleh orang yang memiliki keahlian di bidang teknologi informasi.
  4. Upayakan untuk menggunakan sistem keamanan lebih dari satu dan password yang tidak terlalu mudah ditebak, misalnya password 123456.

Tindak kejahatan cyber berpotensi bagi setiap orang maka kita perlu lebih berhati-hati dalam menggunakan perangkat elektronik, untuk menghindari segala kemungkinan yang dapat terjadi. Jangan lupa lakukan solusi untuk mengatasinya agar tingkat keamanan elektronik milik kamu lebih aman!

Berkenalan dengan Sysbraykr, Startup Keamanan Siber Asal Yogyakarta

Ancaman kejahatan siber kian mengkhawatirkan. Menurut survei National Cyber Security Index (NCSI) pada 2022, Indonesia menempati urutan ke-6 dari 10 negara ASEAN dengan skor indeks 38,96 dari skala 100. Badan Sandi dan Siber Negara (BSSN) mengungkapkan selama 2022 telah terjadi 1.433 serangan siber ke berbagai lembaga dan instansi. Mayoritas serangan yang terjadi adalah data breach atau data-data pribadi dari smartphone yang dicuri atau bocor karena orang lain.

Kondisi ini menjadi ironis karena Indonesia sendiri digadang-gadang sebagai negara dengan pertumbuhan ekonomi digital yang paling prospektif di Asia Tenggara. Perlu kesadaran dari seluruh pihak untuk mengatasi isu tersebut. Mada Perdhana pun adalah salah satunya yang turut berpartisipasi dengan merintis Sysbraykr.

Menurutnya, alasan pertama ia menginisiasi Sysbraykr karena belakangan semakin banyak perusahaan di Indonesia, khususnya startup dan UMKM mengalami banyak serangan siber beberapa tahun belakangan ini.

“Alasan kedua, kami melihat banyak startup security dari luar yang masuk ke Indonesia. Padahal secara SDM, Indonesia memiliki banyak cyber security engineer. Kenapa kita tidak bisa memiliki perusahaan cyber security dari Indonesia yang bisa bisa besar di Indonesia dan Asia Tenggara,” ucap Founder dan CEO Sysbraykr Mada Perdhana kepada DailySocial.id.

Awalnya, ia mendirikan perusahaan keamanan siber di Malaysia yang sudah berjalan selama beberapa tahun. Kemudian pada Maret 2020, terjadi pandemi Covid-19 yang membuat ia harus kembali ke Indonesia. Lantas, ia pun mengubah pola dan model bisnis dari sebelumnya bergerak di bidang konsultasi keamanan siber dan pentester, kini menjadi layanan keamanan siber pribadi dengan kombinasi bisnis bug hunting.

Mada menuturkan pihaknya optimistis dengan bisnis keamanan siber di Indonesia. Menurutnya, secara sederhana pada umumnya manusia itu dapat berlogika. Teknologi sejatinya masuk ke hampir semua aspek ekonomi, mulai dari industri manufaktur, kesehatan, keuangan, perdagangan, bahkan pendidikan; semuanya melibatkan teknologi dan sistem informasi. Oleh karena itu, bisa dipastikan kebutuhan akan tetap ada karena semuanya butuh pengamanan data.

Selain itu, banyak pemerintah di berbagai negara juga mulai mewajibkan setiap sektor yang menggunakan sistem IT untuk mengamankan sistem dan data mereka, terutama data-data yang bersifat rahasia.

“Sysbraykr memiliki komitmen yang tinggi dalam membantu clients kami dalam menjaga keamanan data mereka. Itu sebabnya jasa layanan kami tidak saja hanya terfokus pada pengecekan keamanan di sisi teknologi, melainkan juga pada sisi proses dan manusianya, dengan melakukan audit pada proses bisnis yang mungkin saja bisa memunculkan banyak risiko dan ancaman pada produk atau bisnis perusahaan dan juga pada sisi manusianya.”

Dia melanjutkan, “Kami membantu untuk meningkatkan kesadaran akan pentingnya keamanan data dan informasi. Dengan begitu, client kami dapat menekan tingkat risiko yang ada. Prospeknya, sekali lagi seperti yang kami jelaskan di awal, ke depan akan semakin banyak sektor bisnis yang akan menggunakan teknologi informasi, dan semakin banyak kebutuhan untuk mengamankan data dan informasi, masa kami yakin prospek di bisnis ini akan sangat baik sekali.”

Solusi Sysbraykr

Sybraykr menyediakan solusi untuk startup, UMKM, dan perusahaan skala besar dengan solusi keamanan siber yang berkualitas dan harga terjangkau dalam satu produk. Salah satu solusinya adalah SysBraykr Mantra, yang dibangun untuk meningkatkan audit keamanan dan menguji alur kerja, serta untuk meningkatkan nilai dan efisiensinya.

Mantra menyatukan perusahaan, pengembang, dan insinyur keamanan untuk bekerja di satu platform secara bersamaan. Tujuannya adalah untuk mendeteksi dan memecahkan masalah keamanan dalam waktu sesingkat mungkin. Klien dapat dengan mudah membuat proyek terkait keamanan dunia maya seperti pentest, vulnerability assessment, secure coding analysis, redteaming testing, dan forensik komputer. SysBraykr Mantra juga dapat menargetkan aplikasi apa pun di platform manapun, termasuk perangkat lunak desktop, seluler, web, dan embedded software.

“Saat client subscribe, mereka akan mendapatkan full service, dari pengecekan keamanan, bug bounty triage, security awarenss, dan SSDLC. Hal ini berbeda dengan perusahaan yang lain di mana mereka menawarkan solusinya secara terpisah-pisah. Tentu saja membuat harga menjadi lebih mahal, sehingga startup belum tentu dapat menggunakan jasa atau service yang ditawarkan.”

Tak hanya itu, Mada juga menuturkan perusahaan menawarkan jasa talent untuk perusahaan yang membutuhkan cyber security engineer. Timnya akan menyeleksi kandidat yang ketat dengan standar industri global untuk talenta-talenta yang akan disalurkan ke perusahaan klien.

Hingga kini perusahaan telah memiliki klien dari dalam maupun luar Indonesia. Mereka datang dari lintas industri, seperti ritel, perbankan, pendidikan, kesehatan, dan startup digital.

Rencana berikutnya

Mada menuturkan dengan total tim 21 orang, perusahaan akan fokus untuk memasarkan produknya ke pasar Asia. Bersamaan dengan itu, perusahaan akan merilis aplikasi mobile untuk karyawan yang bekerja di perusahaan klien dari Sysbraykr (bundle package service). Nantinya aplikasi tersebut dapat membantu karyawan meningkatkan kesadaran terhadap pentingnya keamanan siber dan mengetahui tingkat risiko yang dimiliki secara personal.

“Aplikasi ini akan membantu karyawan mengetahui apakah data pribadi nya bocor ke publik, kemudian juga apakah akun-akun sosial media yang dimiliki, dapat di hacking oleh orang lain, serta tambahan beberapa fitur lainnya. Tujuannya selain dapat meningkatkan knowledge dari karyawan, perusahaan client juga akan mendapatkan gambaran resiko dari sisi human pada perusahaan mereka.”

Untuk mewujudkan seluruh target di atas, saat ini perusahaan sedang membuka penggalangan dana, salah satunya memanfaatkan platform DSConnect. “Selain itu, sejak awal tahun 2023, kami sedang proses pitch dengan 2 VC. Kami tetap mencari pendanaan untuk mengembangkan Sysbraykr agar dapat memasuki pasar SEA dengan baik dan matang,” pungkas dia.

Para talenta lokal Sysbraykr ini berlatar belakang di bidang keamanan siber, terutama bug hunting baik di Indonesia dan luar negeri. Diklaim beberapa di antaranya terdaftar di Hall of Fame banyak bug bounty program dari perusahaan-perusahaan besar, seperti Google, Facebook, Tesla, dan lainnya.

Pemain sejenis Sysbraykr adalah Peris.ai, yang baru-baru ini mengumumkan pendanaan tahap awal dipimpin East Ventures dan diikuti Magic Fund.

Menelaah Peran UU PDP dalam Isu Keamanan Data di Indonesia

Isu keamanan data bukan hal baru di tengah masyarakat Indonesia. Mulai dari perusahaan teknologi hingga internal lembaga pemerintah pernah dikecam gagal melindungi data para penggunanya. Hal ini bermuara pada dirumuskannya draf rancangan Undang-Undang Perlindungan Data Pribadi pada tahun 2015.

Tepat pada tanggal 20 September 2022, melalui Rapat Paripurna DPR RI di Jakarta, Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) akhirnya disahkan menjadi undang-undang. Naskah final UU PDP yang telah dibahas sejak 2016 itu terdiri dari 16 bab serta 76 pasal. Jumlah ini bertambah 4 pasal dari usulan awal pemerintah pada akhir 2019, yakni sebanyak 72 pasal.

Meskipun begitu, banyak pertanyaan yang mencuat di masyarakat terkait efektivitas UU PDP ini dalam menjamin keamanan data mereka. Untuk mengetahui lebih dalam terkait UU baru ini serta pemanfaatannya di dalam masyarakat, DailySocial.id mengundang seorang pakar dan juga pendiri perusahaan teknologi yang fokus pada isu terkait keamanan data, PT Indo CISC, Budi Rahardjo, dalam diskusi #SelasaStartup.

Budi sendiri telah aktif mengawal isu keamanan data ini sejak 12 tahun yang lalu. Menurutnya pribadi, hal ini adalah sesuatu yang baik dalam hal kepastian hukum. Ia mengatakan bahwa UU PDP ini secara umum diperlukan sebagai pegangan hukum bagi masyarakat ke depannya.

Salah satu yang disoroti dalam pengesahan UU PDP ini adalah sanksi yang ditetapkan bagi perusahaan yang mengakses dan membocorkan data pribadi secara ilegal serta lalai dalam menjaga atau mengelola data pribadi pelanggan. Sanksinya pun bervariasi mulai dari denda dalam jumlah besar, hingga perampasan keuntungan.

Selain itu, ada kemampuan terbesar yang bisa dilakukan terhadap perusahaan yang mengumpulkan data seseorang dan kewajiban buat mereka jika pengguna meminta untuk menghapusnya. Di balik itu, hak terbesar –atau mungkin paling diperebutkan– yakni kemampuan untuk menghentikan perusahaan untuk menjual data ke pihak lain, seperti pengiklan.

Mengapa data perlu dilindungi?

Menurut buku Surveillance Capitalism yang dibaca ole Budi Rahardjo, ia mengungkapkan bahwa pengumpulan data pribadi sejatinya bertujuan untuk memberikan pelayanan yang lebih baik. Namun, ketika data pribadi itu digunakan untuk objektif yang lain daripada kepentingan awalnya, maka di situ telah terjadi penyalahgunaan.

Peraturan perlindungan data pribadi  mengacu pada praktik, perlindungan, dan aturan mengikat yang diberlakukan untuk melindungi informasi pribadi dan memastikan bahwa subjek data tetap mengendalikan informasinya. Singkatnya, pemilik data harus dapat memutuskan apakah ingin membagikan beberapa informasi atau tidak, siapa yang memiliki akses, untuk berapa lama, untuk alasan apa, dan dapat memodifikasi beberapa informasi ini.

Kebijakan seperti ini bukan hanya ada di Indonesia, namun juga banyak negara lain. Namun, Budi turut menyinggung terkait perbedaan kultur yang ada di Indonesia dengan negara-negara lain. Masyarakat Indonesia cenderung senang berbagi dan berinteraksi sehingga terkadang lupa bahwa ada orang yang berpotensi memanfaatkan data diri kita.

Lalu, apa yang bisa kita lakukan? Sesungguhnya, pelindungan data pribadi juga bisa dimulai dari diri sendiri. Seperti aplikasi media sosial sudah banyak yang menyediakan fitur verifikasi dua langkah, kode cadangan, dan notifikasi e-mail apabila ada pihak lain yang mengakses media sosial milik kita. Sebelumnya, DailySocial.id juga pernah menulis artikel terkait anjuran bagi individu untuk bisa menjaga keamanan data pribadi mereka.

Terlebih di era digital, lemahnya pelindungan data di Indonesia mengakibatkan maraknya kebocoran data. Terbukti dengan sering terjadinya kasus kejahatan siber, seperti hacking (peretasan) maupun cracking (pembajakan) media sosial yang berujung pada pembobolan data pribadi, pemerasan hingga penipuan daring. Pengesahan UU PDP ini disebut bisa memberi titik terang bagi kelamnya dunia maya di Indonesia.

Dampak bagi pelaku bisnis

Dalam rilis resmi yang diumumkan oleh Kominfo, Menteri Komunikasi dan Informatika, Johnny G. Plate mengungkapkan bahwa berlakunya UU PDP ini merupakan momentum bagi sejarah dalam tata kelola data pribadi di Indonesia dalam ruang lingkup digital. Lebih lanjut, ia menyampaikan bahwa UU PDP ini akan mengedepankan perspektif pelindungan data pribadi dalam setiap pengembangan teknologi baru, sehingga akan mendorong inovasi yang beretika dan menghormati hak asasi manusia.

Hal ini dilakukan sebagai upaya mengantisipasi kemajuan teknologi dan budaya digital, adanya UU PDP juga diharapkan mendorong kebiasaan baru pada masyarakat untuk lebih menerapkan pelindungan data pribadi. Dengan begitu, menurut Menteri Johnny, regulasi tersebut akan mendorong tumbuhnya ekosistem digital dalam memperbanyak talenta baru dalam bidang perlindungan data pribadi, baik di instansi pemerintahan, swasta ataupun publik.

UU PDP sendiri dirancang karena ada keinginan dari masyarakat agar datanya dilindungi. Namun, dari sisi pelaku bisnis, ada banyak aturan juga yang harus ditaati. Budi Rahardjo turut menyampaikan kekhawatirannya terkait aturan dalam UU PDP bagi pelaku bisnis, utamanya yang masih tahap awal.

“Kalau saya sebagai pengusaha baru, dan masih merintis bisnis, tapi sudah harus mengikuti banyak aturan, akan jadi lebih berat ya,” ujar Budi dalam sesi #SelasaStartup. Maka dari itu, pemerintah juga diharapkan bisa memberi panduan untuk para pelaku bisnis agar nantinya tidak menganggap UU PDP ini sebagai batu sandungan.

Terkait proyek-proyek besar yang melibatkan data masyarakat Indonesia, banyak yang masih meragukan kapabilitas pemerintah kita. Namun, Budi menanggapi hal ini dengan optimis. Inisiatif untuk mengintegrasikan data itu baik dan bisa menjadikan segala sesuatunya lebih efisien.

“Meskipun terkadang ada ketakutan karena sumber data yang hanya satu, ibaratnya kalau hancur satu hancur semua. Sanggup gak sanggup, ya harus sanggup. Kita juga harus bisa bersama-sama mengawasi pemerintah dan memantau eksekusinya,” tutupnya.

5 Pilihan Studi Profesional Demi Mempersiapkan Karir di Era Serba Digital

Sukses dalam berkarir tentu menjadi “goal” bagi setiap pekerja. Salah satu kunci dalam meraihnya adalah pekerja diharuskan memiliki penguasaan bidang pekerjaan profesional yang komprehensif. Hal itu menjadi krusial, sebab, di era digital seperti saat ini, para pekerja dituntut untuk memiliki keahlian yang relevan demi menjawab kebutuhan industri.

Bagi generasi muda, siasat berkiprah di dunia pekerjaan yang sesuai dengan kebutuhan di masa mendatang sangat penting, tatkala industri masa depan membutuhkan keahlian-keahlian baru. Secara garis besar, keahlian yang dibutuhkan terkait dengan revolusi industri yang cenderung mengarah ke arah digitalisasi. Untuk itu, buat Anda yang tengah mencari studi pendidikan tinggi, berikut ini ada 5 (lima) program perguruan tinggi dengan konsentrasi spesifik yang dibutuhkan di dunia kerja di masa mendatang yakni; Software Engineering, Cyber Security, Multimedia Technology, Business Management, dan Communication Studies.

Software Engineering

Dikutip dari laman IDS Digital College STMIK Indo Daya Suvana, ilmu Software Engineering umumnya memiliki peran dan posisi yang esensial, khususnya di industri startup teknologi yang kini sedang berkembang pesat. Seorang software engineer memiliki kemampuan untuk merekayasa perangkat lunak yang sesuai dengan teknologi mutakhir, untuk mengembangkan produk teknologi seperti aplikasi seluler, aplikasi web, serta perangkat lunak lainnya.

Software Engineer memiliki prospek karir yang cerah di masa depan. Menurut riset Mckinsey, keahlian software engineer masih dibutuhkan di beberapa dekade mendatang, dengan jangkauan karir di berbagai industri, khususnya startup teknologi. Kesempatan besar juga terbuka di industri media, komunikasi, finansial, kesehatan, manufaktur, sistem keamanan, distribusi, bahkan pemerintahan. Tertarik mengambil studi Software Engineering? Anda bisa cari informasinya sekaligus mendaftar di halaman ini.

Cyber Security

Produk digital yang saling terhubung antara satu sama lain kini semakin berkembang pesat di tengah masyarakat. Meski begitu, resiko keamanan siber juga turut berkembang, untuk itu sosok profesional yang menangani penanganan dan proteksi di dunia maya sangat diperlukan di industri. Ilmu Cyber Security berfokus kepada teknik merancang sistem sekuriti, pengujian sistem, teknik pertahanan dari cyber attack hingga teknik meretas (hacking) yang etis (sesuai hukum).

Prospek karir seorang cyber security sangat luas. Karir profesional cyber security mulai dari Cyber Security Consultant, Digital Forensics Analyst, Information Security Analyst, hingga Network Engineer.

Jika Anda tertarik untuk mendalami profesi Cyber Security, Anda dapat bergabung di IDS Digital College STMIK Indo Daya Suvana jurusan Cyber Security yang dapat dikunjungi di halaman ini.

Multimedia Technology

Di era produk digital, konten yang tersaji di publik juga mesti dalam bentuk digital (multimedia). Untuk itu, kebutuhan para perancang teknologi multimedia juga diperlukan dalam industri profesional di tahun-tahun mendatang. Seorang ahli teknologi multimedia harus memiliki beberapa kemampuan taktis seperti; pengolahan citra dan komputasi multimedia yang meliputi: pemrosesan informasi berupa text, speech, music, still image, video, animation beserta sumber-sumber lain ke dalam suatu coherent datastream, serta interaksi antar sejumlah perangkat antarmuka.

Program studi Multimedia Technology kini juga tersedia di IDS Digital College STMIK Indo Daya Suvana. Klik laman ini untuk mengetahui informasi lebih lanjut.

Business Management

Program studi Manajemen Bisnis juga menjadi salah satu pendidikan yang memiliki relevansi di industri masa depan. Betapa tidak, industri startup teknologi yang berkembang pesat belakangan ini memicu dinamika kewirausahaan yang besar di generasi muda. Business Management secara garis besar berfokus pada tata ilmu manajemen dalam sebuah bisnis. Sederhananya, jurusan ini mempersiapkan calon profesional dalam mengelola bisnis baik yang sudah berjalan dalam skala kecil, menengah, dan besar, hingga mempersiapkan untuk kemampuan entreprenership.

Communication Studies

Ilmu komunikasi juga diklaim sebagai salah satu jurusan pendidikan dengan prospek karir yang cerah di masa mendatang. Ilmu komunikasi secara umum mempelajari tentang bagaimana proses penyampaian pesan secara efektif kepada sasaran yang dituju. Selain itu, umumnya ilmu komunikasi sangat adaptif terhadap perkembangan teknologi sehingga prospek karir pemegang titel Ilmu Komunikasi sangat terbuka lebar.

Advertorial ini didukung oleh IDS Digital College STMIK Indo Daya Suvana.

Melihat Kasus Serangan Siber di Indonesia yang Semakin Meningkat pada Tahun 2020

Teguh Aprianto adalah konsultan keamanan siber yang mendirikan komunitas bernama Ethical Hacker Indonesia pada tahun 2018. Seperti namanya, komunitas tersebut merupakan koalisi para peretas topi putih yang mengidentifikasi kelemahan keamanan pada sistem perusahaan swasta dan lembaga pemerintah sebelum dapat dimanfaatkan oleh pesta jahat.

Sebagai advokat yang konsisten mengawasi keamanan internet, Aprianto telah bertahun-tahun memposting temuannya di Twitter, di mana ia menggunakan akun @secgron. Dia menganalisis pelanggaran data utama di Indonesia, termasuk pelanggaran di mana peretas mencuri hingga 91 juta data pengguna dari raksasa e-commerce Tokopedia.

Namun sejak 5 Agustus, akun Twitter Aprianto telah dibekukan. I pun mengaku tidak tahu menahu mengapa situs tersebut melarangnya untuk melancarkan tweet.

“Saya menyadari ada yang salah ketika saya tidak dapat mengakses akun Twitter saya karena terkunci. Saya mengajukan banding ke Twitter, tetapi tidak ada tanggapan. Saya merasa aneh karena saya tidak melanggar aturan Twitter mana pun. Hal yang sama juga terjadi pada akun Instagram saya, jadi saya hanya bisa mengakses Facebook untuk saat ini,” kata Aprianto kepada KrASIA.

Ini menjadi kali kedua Aprianto kehilangan akses ke akun media sosial miliknya. Pada bulan Juni, akun Twitter-nya juga ditangguhkan selama beberapa hari, tidak lama setelah dia men-tweet serangkaian temuannya di RaidForums, forum pembobolan basis data dan pasar yang digunakan oleh peretas. Secara khusus, Aprianto memperhatikan bahwa pengguna dengan pegangan hojatking mengaku menawarkan akses untuk mengubah, menambah, atau menghapus informasi kepegawaian di database kepolisian Indonesia.

Tweet tersebut menarik perhatian media lokal dan Aprianto ditanyai oleh polisi tentang masalah ini. Tidak butuh waktu lama untuk menyelesaikan masalah tersebut, lalu Aprianto kembali melanjutkan kehidupan seperti biasa.

Atau begitulah pikirnya.

“Saya menyadari bahwa tweet dan kritik saya terlalu keras akhir-akhir ini dan mungkin mengganggu dan menyinggung beberapa orang,” kata peretas itu. Ketika ditanya tentang siapa yang mungkin mengajukan pengaduan yang akan menyebabkan akunnya ditangguhkan, Aprianto tidak menunjukkan apa-apa, tetapi dia mengatakan bahwa dia khawatir beberapa orang menjadi subyek kontroversi setelah mereka memposting tweet kontroversial. “Menurut saya masalah seperti ini sudah cukup umum di Indonesia akhir-akhir ini, jadi sepertinya kita sekarang hidup di era ini [dimana pendapat dibatasi].”

Twitter dapat menangguhkan akun karena beberapa alasan. Paling umum, perusahaan menghapus akses ke akun yang melanggar pedoman komunitasnya, seperti dengan menyebarkan konten yang terkait dengan terorisme, eksploitasi anak, pemujaan kekerasan, atau penjualan barang ilegal atau barang/layanan yang diregulasi.

Selain itu, pemerintah dan lembaga penegak hukum di negara mana pun dapat mengajukan permintaan atau tuntutan hukum untuk melarang konten tertentu atau akun tertentu. Twitter dan Facebook mengeluarkan laporan transparansi secara teratur, menunjukkan jumlah permintaan yang mereka terima dari entitas negara untuk menghapus postingan.

Menurut permintaan penghapusan transparansi di Twitter, dari Juli hingga Desember 2019, platform tersebut menerima lima permintaan dari otoritas Indonesia, yang mengutip jumlah pengguna terdaftar yang luar biasa besar di setiap permintaan, dengan total 42.550 akun. Twitter menetapkan bahwa sekitar 90% dari konten yang dilaporkan tidak melanggar persyaratan layanannya.

“Dari laporan tersebut, kami melihat bahwa pemerintah cukup sering mengirimkan permintaan,” kata Damar Juniarto, direktur eksekutif Safenet, kepada KrASIA. Safenet, atau Freedom of Expression Network Asia Tenggara, adalah mitra resmi Twitter, Google, dan Facebook di Indonesia, yang menjadi penasihat perusahaan-perusahaan ini dan memantau pelanggaran hak digital.

Juniarto mengatakan dirinya sendiri termasuk dalam daftar yang diajukan permintaan pemerintah untuk penghapusan konten dua tahun lalu. Dia langsung mengajukan banding ke Twitter dan berhasil menyelamatkan akunnya.

Safenet berkomunikasi dengan Twitter, Google, dan Facebook untuk memastikan bahwa semua pihak setuju tentang cara menavigasi permintaan pemerintah untuk menghapus konten atau akun: mereka harus mematuhi Deklarasi Hak Asasi Manusia PBB, khususnya terkait kebebasan berbicara. “Kami tentu berharap platform tersebut tetap netral, tidak terpengaruh tekanan politik, dan tetap berpegang pada referensi internasional ini. Kalau ada permintaan khusus karena dianggap pengkhianat dan membahayakan negara, misalnya harus dibuktikan lewat pengadilan, ”kata Juniarto.

Menanggapi pertanyaan KrASIA, Twitter mengatakan akan mengambil tindakan langsung jika mengetahui kasus di mana akun disusupi oleh pihak jahat. Platform tersebut mengatakan bahwa cara paling efektif untuk mencegah akun pengguna diretas adalah dengan mengaktifkan otentikasi dua faktor dan verifikasi penyetelan ulang sandi. Perusahaan merujuk pada Peraturan Twitternya untuk deskripsi keadaan yang dapat menyebabkan penangguhan akun. Pelanggaran berulang atas aturan dapat menyebabkan penangguhan permanen.

Serangan siber kerap menyasar aktivis dan jurnalis

Beberapa aktivis dan jurnalis Indonesia belakangan ini bermasalah dengan akun media sosialnya. Pada bulan Juli, Indonesia Corruption Watch melaporkan bahwa seseorang mencoba meretas akun Instagram dan Telegram mereka. Beberapa hari lalu, akun Twitter seorang ahli epidemiologi bernama Pandu Riono diretas dan ditangguhkan setelah dia mengkritik penanganan pemerintah terhadap pandemi COVID-19. Situs berita Tempo.co dan Tirto.id juga menjadi korban peretasan awal bulan ini, tidak lama setelah mereka menerbitkan laporan yang berisi kritik terhadap kebijakan pemerintah.

Safenet telah mengevaluasi insiden ini dan menetapkan bahwa mereka dapat dikategorikan sebagai ancaman dunia maya yang ditargetkan, yang mengacu pada upaya terus menerus untuk menyusup ke perangkat dan infrastruktur jaringan. Organisasi tersebut mencatat setidaknya 29 serangan dunia maya yang ditargetkan tahun ini. Enam di antaranya terjadi pada Agustus.

“Kami menemukan ancaman ini menyasar kelompok berisiko seperti jurnalis, akademisi, aktivis antikorupsi, pembela hak asasi manusia, dan lain sebagainya. Serangan ini dilatarbelakangi oleh tujuan politik dan biasanya semakin merajalela ketika ada isu panas yang terjadi, seperti kontroversi RUU Omnibus Law dan krisis COVID-19 saat ini, ”kata Safenet Juniarto, menambahkan bahwa peretasan media sosial adalah yang paling umum. jenis serangan. Omnibus bill dirancang oleh pemerintah Indonesia untuk mengatur berbagai sektor bisnis. Para pendukung mengatakan undang-undang tersebut akan mempermudah berbisnis di Indonesia dan menarik investasi asing yang lebih tinggi. Namun, para kritikus mengatakan itu merusak hak-hak pekerja.

Pelaku di balik pelanggaran tersebut kemungkinan adalah mereka yang tersinggung atau bahkan terkena dampak kritik dari korban. Safenet “mengutuk keras” penyebaran intrusi digital bermotif politik yang berdampak pada keselamatan pribadi para aktivis dan jurnalis. Sayangnya, kasus-kasus seperti itu tidak dipandang sebagai prioritas aparat, kata Juniarto, yang organisasinya mendampingi para korban untuk melaporkan kasus tersebut ke polisi. Investigasi berjalan sangat lambat.

Safenet juga melaporkan kasus-kasus tersebut ke Komnas HAM, karena serangan tersebut melanggar kebebasan berbicara korban.

“Kami berkomunikasi dengan dewan perwakilan rakyat di komisi III yang bertanggung jawab atas masalah hak asasi manusia, hukum, dan perundang-undangan, serta urusan keamanan. Kami juga menghubungi ombudsman Indonesia dan komisi polisi nasional, karena kami berharap dapat menemukan solusi untuk masalah ini. Namun, tampaknya tidak semua orang memahami bahaya serangan siber yang dapat mencederai prinsip demokrasi dan fair governance,” ungkap Juniarto.

Sementara itu, kementerian TI telah meminta publik dan outlet media untuk tidak menuduh pemerintah mengarahkan peretasan ini tanpa mengutip bukti kuat. Dalam sesi diskusi dengan Tempo tentang “membungkam kritik selama pandemi” pada Kamis, Direktur Jenderal Penerapan dan Informasi Kementerian, Semuel Abrijani Pangerapan, mengatakan bahwa pemerintah terbuka untuk membantu menyelesaikan kasus-kasus tersebut dengan mengerahkan ahli forensik digital, selama korban melaporkan pengaduannya.

Sebagian besar pengguna media sosial, seperti Aprianto, percaya bahwa platform yang mereka masuki adalah tempat untuk diskusi terbuka, langsung, dan saling menghormati. “Maksud saya [menggunakan media sosial] adalah untuk mengedukasi masyarakat tentang pentingnya melindungi data dan privasi mereka di internet, serta terus mengingatkan perusahaan dan organisasi agar lebih optimal dalam melindungi data penggunanya,” ujar sang white hat hacker.

“Saya berharap pemerintah akan melakukan sesuatu tentang [serangan siber] ini untuk memastikan setiap orang memiliki kesempatan untuk berbicara dan mengekspresikan diri melalui platform digital.”


Artikel ini pertama kali dirilis oleh KrASIA. Kembali dirilis sebagai bagian dari kerja sama dengan DailySocial

Bagaimana Perusahaan Digital Antisipasi Isu Keamanan dan Privasi Data

Kemanan dan privasi data menjadi sorotan penting beberapa waktu terakhir. Beberapa platform di Indonesia memiliki isu di area ini yang berdampak bagi puluhan juta data pengguna. Tentu ini menjadi kabar kurang baik bagi ekosistem digital yang tengah berkembang, terlebih layanan yang akhir-akhir ini bocor cenderung dari perusahaan teknologi yang cukup besar – dari sisi skala bisnis maupun cakupan penggunanya.

Aspek keamanan dan privasi data (idealnya) menjadi komponen yang harus ada dalam sebuah proses pengembangan produk digital. Diskusi mengenai langkah antisipasi dari isu tersebut menjadi menarik – terlebih bagi ekosistem startup di Indonesia yang sebagian besar produknya digital dan melibatkan data-data pribadi pengguna.

Untuk mengulas seputar hal tersebut, DailySocial berkesempatan berbincang bersama AVP Information Security Blibli Ricky Setiadi.

AVP Information Security Blibli Ricky Setiadi / Dok. Pribadi Ricky Setiadi
AVP Information Security Blibli Ricky Setiadi / Dok. Pribadi Ricky Setiadi

Berikut hasil wawancara kami:

DailySocial (DS): Isu data breach sebenarnya bukan hal baru di Indonesia, namun menjadi buah bibir ketika melibatkan platform B2C/C2C dengan basis pengguna besar. Dari pengalaman Pak Ricky sebagai praktisi di bidang keamanan siber, bisa dijelaskan sebagai besar kejadian tersebut diakibatkan karena faktor apa?

Ricky Setiadi (RS): Risiko terhadap ancaman kebocoran data pada digital platform senantiasa dalam rentang yang sangat tinggi. Jika menggunakan matriks risiko, kebocoran terhadap data bisa dikategorikan ke dalam high to critical. Nilai ini akan didapatkan dari kombinasi dampak dari frekuensi (seberapa sering terjadi) dan skala (seberapa besar dampak) kejadian kebocoran data.

Ruang lingkup kebocoran data dalam skala besar biasanya dilakukan karena terdapatnya celah atau vulnerability dari sistem yang dibuat oleh sebuah organisasi. Celah disebabkan oleh berbagai macam faktor, namun secara umum menjadi tiga kelompok besar, yakni People, Process, dan Technology.

(1) People — Kebocoran data terjadi karena human error atau kelalaian manusia, bisa dari sisi pengembang atau pengguna. Pengguna kadang terlampau percaya kepada pengembang. Padahal keamanan data merupakan tanggung jawab bersama, sehingga keterlibatan dari sisi pengguna pun masih diperlukan. Beberapa penerapan keamanan dasar yang bisa dilakukan dari sisi pengguna antara lain adalah penggunaan password yang baik (kombinasi karakter password, menggunakan password yang berbeda untuk setiap platform, serta menggantinya secara berkala). Pengguna juga perlu memiliki kesadaran atau pengetahuan terhadap ancaman social engineering (seperti phishing).

Tidak dimungkiri banyak kejadian yang juga terjadi karena kesalahan pada proses pengembangan atau maintenance sebuah produk digital. Sebagai contoh, pengembang tidak menerapkan enkripsi untuk penggunaan variable username dan password, dan penyimpanan private key yang tidak aman, atau terdapatnya penggunaan account default untuk setiap sistem yang digunakan. Contoh lainnya adalah kelalaian dalam melakukan maintenance seperti pengembang menggunakan sertifikat digital yang sudah kedaluwarsa, penggunaan database yang tidak terproteksi, hingga kelalaian dalam melakukan design system (tidak mengindahkan kaidah standard practice berdasarkan risiko dalam pembagian sistem yang bisa diakses secara publik dan sistem yang hanya bisa diakses oleh internal).

(2) Process — Eksploitasi terhadap business proses. Terkadang pelaku tindak kejahatan memanfaatkan kesalahan atau kelalaian proses yang dimiliki sebuah organisasi (logic flaw exploitation). Paradigma bahwa security adalah tameng atau sebagai pelindung terakhir sebuah produk, bisa menjadi salah satu faktor utama kebocoran data. Di Blibli, kami selalu berusaha menguji produk kami dari fase awal pengembangannya untuk menghindari serangan pada setiap tahapan. Ketidakhadiran pengujian terhadap sistem dalam proses pengembangan juga merupakan salah satu kesalahan yang memberikan dampak terhadap terjadinya kebocoran data.

Pengembang juga harus ingat untuk menerapkan proteksi pada perangkat keras. Beberapa kasus kebocoran data juga terjadi karena eksploitasi perangkat keras yang berisikan data pelanggan, contohnya seperti keamanan server atau hard disk yang menyimpan data secara offline.

Technology – Pelaku kejahatan menemukan celah dari teknologi yang diterapkan pengembang. Teknologi merupakan hasil dari sebuah pengembangan produk logika manusia. Melalui pendekatan logika yang berbeda (terbalik), banyak para pelaku tindakan kejahatan memanfaatkan celah ini untuk kemudian dijadikan sebagai pintu dalam pengambilan data-data dari sebuah organisasi. Sebagai salah satu contoh adalah adopsi protokol keamanan data TLS 1.0, pada tahun 1999 teknologi ini banyak dimanfaatkan untuk mendukung layanan transaksi online. Namun seiringnya waktu, ditemukan satu celah keamanan pada TLS 1.0 ini yang memungkinkan terjadinya “Man in The Middle” attack. Dengan adanya celah ini, pelaku dapat melakukan intercept terhadap transaksi yang dilakukan oleh korban atau targetnya.

Jika melihat kepada ketiga komponen di atas dan berdasarkan data perkembangan incident report yang dikeluarkan oleh berbagai macam penelitian (salah satunya adalah cyware.com), kecenderungan serangan dan kebocoran data saat ini banyak terjadi karena faktor People melalui social engineering. Social engineering seperti phishing, memudahkan pelaku untuk mengelabui targetnya. Pada saat yang bersamaan, phishing juga dijadikan sebagai media utama dalam menyebarkan malware. Kombinasi ini kemudian di-maintain oleh pelaku untuk sebagai serangan baru yang biasa disebut dengan Advanced Persistent Threat (APT) attack. Dengan APT attack, pelaku kemudian melakukan pengembangan dan eksploitasi data yang kemudian bisa dikomersialisasi/dijual.

Untuk itu, edukasi mengenai social engineering kepada semua pihak yang terlibat dalam sebuah proses bisnis menjadi salah satu prioritas untuk menjaga keamanan data, terutama data pelanggan. Blibli, sebagai pengembang dan penyedia jasa digital, secara aktif mengedukasi seluruh stakeholder hingga para pelanggan. Edukasi dan penyebaran informasi dilakukan secara berkala agar Blibli dapat melakukan kontrol pengamanan yang komprehensif.

DS: Ditinjau dari sisi pengembang, hal apa saja yang perlu menjadi perhatian sejak dini agar sistem senantiasa mengakomodasi keamanan data dan privasi pelanggan? Faktor-faktor apa saja yang berkaitan erat dengan keamanan dan privasi data pengguna?

RS: Keamanan data dan informasi menjadi tanggung jawab bersama. Pelanggan harus jeli guna membatasi informasi yang diberikan ke penyedia jasa digital dan memahami risiko jika informasi yang diminta terlalu sensitif dan tidak berhubungan dengan jasa.

Keterbatasan pemahaman akan keamanan data ini lah yang membuat keterlibatan tim Security di setiap fase pengembangan sangatlah penting. Tim Security dapat meminimalkan terjadinya gangguan terhadap data pelanggan terutama data yang bersifat privacy atau rahasia (personally identifiable information atau PII). Pengamanan tidak hanya sebatas dari faktor keamanan teknis saat produk digital siap dibuat, namun penerapan pengamanan bahkan harus dilakukan saat produk didesain sesuai dengan standar best practice.

Berikut adalah beberapa faktor keamanan yang perlu diperhatikan, terutama ketika melakukan pemrosesan data pribadi, yaitu:

  • Regulasi pemerintah. Pastikan bahwa semua aspek regulasi yang dikeluarkan oleh pemerintah setempat sudah dijadikan sebagai salah satu referensi utama dalam proses pengambilan, pemrosesan, pengiriman, serta penyimpanan data pelanggan. Hal ini menjadi penting karena setiap wilayah akan memiliki hukum dan regulasi yang berbeda-beda.
  • Kebijakan keamanan. Setiap pengembang saat ini harus memiliki sebuah payung yang digunakan dalam pengamanan data terutama data pelanggan. Payung ini biasanya dibentuk dalam sebuah Kebijakan Privasi. Dalam pembuatan kebijakan ini, pastikan dibuatkan dalam format sesederhana mungkin dan dalam Bahasa yang mudah dimengerti dengan tanpa melupakan aspek transparansi dan keamanan.
  • Pengukuran risiko. Pertimbangan lain dalam penjagaan dan pengamanan pada saat pengembangan aplikasi adalah melalui pendekatan terhadap pengukuran untuk setiap risiko. Ada beberapa manfaat yang bisa diambil pada saat penilaian risiko yang dilakukan. Selain melakukan identifikasi terhadap setiap potensi ancaman yang akan terjadi, penggunaan kontrol yang efektif juga dapat mengurangi beban biaya dalam proses mitigasi, mengingat setiap risiko akan memiliki bobot dan nilai serta kontrol yang berbeda. Tentunya dalam pengukuran risiko ini, setiap organisasi harus menerapkan atau memiliki kriteria penerimaan (acceptance level) dan rencana penanggulangannya (risk treatment plan parameter).
  • PII data collection. Dalam pengembangan sebuah platform pasti akan menggunakan minimal salah satu dari data pribadi. Sebagai contoh adalah data nama lengkap, alamat email, atau nomor telpon. Pengembang harus memperhitungkan dan mempertimbangkan secara matang sejauh mana desain produk akan mengolah data tersebut. Misalnya dalam proses registrasi, apakah platform yang kita kembangkan akan membutuhkan data-data lengkap seperti nama ibu kandung padahal platform yang dikembangkan bukan untuk layanan perbankan. Contoh lainnya apakah kita membutuhkan data dalam bentuk kartu identitas atau Credit Card pada saat pengembangan sebuah fitur promo. Atau yang paling sering ditemukan dalam pengembangan produk untuk smartphone, terkadang pengembang tidak benar-benar memperhatikan kebutuhan aplikasinya, sehingga ada beberapa aplikasi yang secara default dapat mengakses contact, galeri, kamera, dan lain sebagainya. Usahakan penggunaan data pribadi dilakukan sesuai dengan kebutuhan dan pada saat menggunakan data tersebut dipastikan bahwa kita sudah memiliki kontrol yang tepat untuk setiap data yang dikumpulkan.
  • Fitur dan proses keamanan. Saat ini fitur keamanan adalah salah satu faktor yang akan dipertimbangkan oleh pelanggan dan calon pelanggan. Penggunaan enkripsi (https dalam mode web atau enkripsi lain dalam pengiriman data) merupakan salah satu fitur keamanan yang dapat membantu dalam keamanan data pelanggan. Selain itu fitur two factor authentication atau recovery methods lainnya adalah pendekatan pengembangan lainnya yang dapat digunakan sebagai daya tarik pelanggan dalam pengamanan data.

Selain itu dalam proses internal, pastikan terdapat aturan yang tegas dalam memberikan hak akses kepada setiap stakeholder yang terlibat. Segregation of duties atau pemisahan tugas menjadi pendekatan untuk mencegah ancaman dari dalam. Klasifikasi data merupakan pendekatan lain yang bisa dilakukan di dalam internal business process untuk menghindari terjadinya data PII terekspos keluar.

DS: Di masa pandemi ini tiba-tiba platform online groceries melonjak transaksinya. Maka startup perlu melakukan scale-up teknologi dari berbagai aspek. Menurut Pak Ricky, di masa scale-up tersebut investasi apa yang perlu digelontorkan oleh bisnis untuk menunjang keamanan sistem?

RS: Bagi kami, salah satu investasi terpenting adalah pada People dan Process. Dalam perspektif keamanan informasi, pada dasarnya setiap sistem dan teknologi adalah alat penunjang bisnis yang di dalamnya senantiasa mengandung kerentanan. Investasi pada People dan Process akan mengubah pola pikir dan kultur pada bisnis. Kedua investasi inilah yang kami coba terapkan di Blibli.

Perubahan pola pikir atau mindset memiliki sifat edukasi ke dalam dan ke luar. Seperti yang telah dijelaskan sebelumnya, organisasi juga harus terus menginformasikan bahwa keamanan data dan informasi pelanggan adalah merupakan tanggung jawab bersama dengan cakupan yang sesuai dengan porsinya masing-masing.

Prioritas lainnya adalah perubahan kultur terhadap risiko. Kultur pada sebuah bisnis dimulai dari proses implementasi, adopsi, hingga akuisisi teknologi. Jika proses ini dilakukan dengan efektif dan efisien, perusahaan dapat menurunkan profil risiko serta menerapkan kontrol pada organisasi. Organisasi pun dapat mempercepat perkembangan bisnis karena sudah dapat menentukan kontrol keamanan yang tepat dari surface attack pada saat melakukan scale-up.

DS: Ketika melakukan pengembangan, kadang engineer menemui kebimbangan. Di satu sisi, aplikasi harus didesain semulus dan secepat mungkin, dengan UX yang sangat sederhana. Di lain sisi, faktor keamanan harus menjadi perhatian. Menyebabkan beberapa pengembang mengacuhkan opsi penambahan keamanan tambahan dalam sistem. Bagaimana Pak Ricky menanggapi situasi tersebut?

RS: Permasalahan ini adalah permasalahan klasik antara tim pengembang dengan security. Beberapa startup masih menggunakan konsep konvensional dalam melakukan balancing atau penyeimbangan pada saat melakukan pengembangan aplikasi. Sehingga masalah klasik ini senantiasa terjadi dan berulang. Dalam menghadapi ini, sebenarnya kita bisa melakukan adopsi pendekatan Shifting Left. Berikut adalah penjelasan mengenai pendekatan konvensional dan Shifting Left.

gambar 1

Konvensional:

Jika melihat kepada beberapa tahun ke belakang, proses pengembangan sebuah aplikasi senantiasa akan menuliskan semua permintaan pada bagian awal pengembangan. Proses testing, termasuk security testing, akan dilakukan pada akhir pengembangan. Satu sisi, tahapan-tahapan ini akan menghasilkan sebuah aplikasi yang matang, namun di sisi lain akan memberikan dampak yang cukup serius pada saat terjadinya penemuan defect hasil testing yang banyak dan cukup kritis. Proses perbaikan terhadap hasil dari testing akan membutuhkan biaya tambahan baik untuk desain maupun implementasinya.

Metode ini sangat tidak efektif untuk diaplikasikan oleh organisasi startup yang senantiasa mengandalkan kepada jumlah release yang cepat. Adopsi pendekatan yang lebih agile dan shifting left bisa dilakukan untuk setiap organisasi startup dalam menghasilkan produk yang cepat tanpa meninggalkan aspek keamanan.

Shifting Left:

gambar 2

Metode konvensional menerapkan testing hanya di tahapan akhir (Testing and Verification). Pendekatan Shifting Left menerapkan proses pengujian mulai dari fase awal yaitu “Requirement”. Pada fase ini, Requirement tidak hanya akan melibatkan kebutuhan pelanggan dari sisi produk, bisnis, dan user experience, namun juga memasukan unsur keamanan sebagai salah satu parameter. Blibli pun telah menerapkan metode ini dalam proses pengembangan produk digitalnya.

Shifting left akan membentuk paradigma untuk melakukan pengujian semua aspek (test everything), pengujian yang dilakukan kapan pun (test everytime), pengujian yang lebih awal (test earlier), pengujian secara berkelanjutan (test continuously), dan melibatkan pihak penguji dalam setiap tahap. Tim pengembang dan security dapat berkerja sama untuk melakukan tindakan preventif daripada detective.

Metode dan pendekatan ini telah kami terapkan di Blibli sebelum kami meluncurkan produk IT. Dengan adopsi ini, proses deteksi terhadap bugs atau defect menjadi lebih cepat, meningkatkan efektifitas dari sisi waktu pengembangan dan biaya, serta meningkatkan kemudahan dan kualitas produk/aplikasi.

DS: Menurut Pak Ricky, apa urgensinya melakukan sertifikasi sistem, terkait dengan keamanan dan privasi data? Sertifikasi apa saja yang disarankan untuk diikuti?

RS: Sertifikasi akan menjadi sebuah competitive advantage. Karena melalui sertifikasi, sebuah organisasi telah menunjukkan kemampuan kinerja yang lebih tinggi dan sesuai dengan standar. Selain itu, sertifikasi juga menjadi sebuah comparative advantage dari sebuah organisasi. Proses bisnis akan menyesuaikan dengan standar sehingga mampu menghasilkan lebih banyak produk berkualitas yang efektif dan efisien serta mampu melakukan manajemen risiko.

Ada banyak sertifikasi yang bisa diterapkan untuk level organisasi dalam dunia keamanan informasi atau cybersecurity. Hal ini kembali lagi dengan kepentingan dan ranah bisnis yang dilakukan organisasi. Blibli, sebagai contoh, telah mendapatkan sertifikasi ISO/IEC 27001 tahun 2013 yang diakui secara global untuk pengelolaan sistem keamanan informasi. E-commerce merupakan bisnis yang mengolah data pelanggan, sehingga menjadi penting apabila bisnis serupa melakukan sertifikasi ini.

Proses sertifikasi juga perlu dilakukan oleh individu yang melakukan proses penerapan keamanan. Profesional yang menjalankan proses pengamanan akan senantiasa menjadi nilai tambah bagi perusahaan dalam menjalankan bisnisnya. Sertifikasi keamanan informasi ini banyak sekali untuk level individual seperti:

  • Managerial: CISSP, CCISO, CISM, CIPP, CIPM, CRISC, CGEIT, EISM
  • Technical: OSCP, OSCE, OSEE, OSWE, CEH, CSSLP, Security+ CHFI, ECIH, LPT Master, ECSA Master, CREST
  • Audit: CISA, ISO 2700 Lead Auditor, ISO2700 Internal Auditor

DS: Dalam tim teknis sebuah startup digital, idealnya tim keamanan ini terdiri dari bagian apa -saja?

RS: Startup digital akan senantiasa melakukan pengolahan terhadap data-data dalam bentuk digital. Fokus pengamanan sebuah organisasi harus lebih jauh, bukan hanya pada pengamanan data semata, namun jauh lebih besar ke dalam hasil pengolahan data tersebut – biasanya dikenal dengan informasi.

Kebutuhan tim teknis secara umum hanya membutuhkan tiga tim yaitu Yellow (architect), Red (attacker) dan Blue (defender).

  • Yellow: Pada saat melakukan pengembangan sebuah aplikasi, architecture review akan senantiasa dilakukan baik dari sisi aplikasi, infrastruktur, maupun security. Tim Security Architect akan melakukan review terhadap architecture dari aplikasi berdasarkan fungsi, obyektif, rencana pengujian, serta pemantauan terhadap risiko teknis melalui proses threat modelling.
  • Red: Selain tim Yellow, sebuah aplikasi perlu diuji secara internal sebelum merilisnya ke publik. Pengujian ini akan dilakukan oleh tim Red. Fungsi utama dari tim ini adalah melakukan simulasi penyerangan terhadap aplikasi, platform, dan infrastruktur. Skenarionya pun tidak hanya sebatas tes keamanan semata, namun melakukan berbagai simulasi hacking dan social engineering sebagai bagian dari pengujian yang dilakukan.
  • Blue: Selain simulasi penyerangan dijadikan sebagai metode dalam pengamanan aplikasi atau platform, metode lain yang dibutuhkan adalah metode defensif. Tim Blue akan bertanggung jawab terhadap implementasi skenario dan kontrol pertahanan dari serangan pelaku tindak kejahatan siber atau simulasi serangan dari Tim Red seperti implementasi web application firewall, firewall, logging, SIEM, incident handling, dan sejumlah tindakan defensif lainnya.

Dalam perkembangannya, dari ketiga tim ini akan membentuk tim tambahan hasil dari campuran ketiga warna tersebut. Blibli pun menerapkan campuran ini untuk memastikan tim IT dapat beroperasi dengan maksimal. Ketiga tim tambahan tersebut adalah:

  • Green Team (kombinasi dari Blue dengan Yellow): Tim ini akan banyak melakukan perbaikan dari security automation dan code yang dituliskan oleh developer (programmer).
  • Orange Team (kombinasi dari Yellow dengan Red): Tim ini akan membantu Tim Yellow untuk meningkatkan kapasitas tentang keamanan dalam bentuk awareness atau edukasi teknis keamanan.
  • Purple Team (kombinasi dari Red dan Blue): Tim ini adalah sebagai tim penyeimbang untuk meningkatkan kapasitas Tim Red dalam melakukan metode ofensif atau pertahanan serta melakukan evaluasi dan perbaikan dari Tim Blue dalam melakukan pertahanan.

DS: Sebagai studi kasus, bagaimana Blibli menerapkan standar keamanan dan privasi data? Fitur apa yang disajikan untuk mengantisipasi kegagalan sistem dari sisi konsumen dan dari sisi platform?

RS: Blibli berkomitman untuk mengutamakan kepuasan pelanggan. Salah satu caranya adalah memastikan bahwa keamanan data pelanggan terlindungi dan terkelola dengan baik.

Keamanan data pelanggan merupakan subset atau bagian dari proses pengendalian keamanan informasi, sehingga dalam pelaksanaannya kami melakukan tiga metode pengendalian yang meliputi:

  • Preventive: Pengendalian dengan pendekatan pencegahan ini kami lakukan dengan melakukan perubahan budaya paradigma keamanan informasi. Beberapa kegiatan yang kami lakukan termasuk kampanye yang meningkatkan awaraness pelanggan akan keamanan data, menerapkan kendali terhadap akses dan teknologi sesuai kebutuhan stakeholder, serta bekerja sama dengan pihak eksternal resmi seperti Badan Sandi dan Siber Negara, komunitas Keamanan Informasi untuk meningkatkan keamanan yang lebih luas.
  • Detective: Dalam proses ini, pengendalian lebih ditekankan kepada aspek deteksi dengan harapan terdapatnya perbaikan terhadap peningkatan keamanan informasi dan melihat tingkat efektivitas terhadap kontrol yang kita miliki. Analisis log, pengujian keamanan, dan laporan secara berkala merupakan langkah-langkah deteksi yang kami lakukan.
  • Corrective: Pengendalian ini bertujuan untuk memperbaiki kondisi tingkat keamanan pada saat sebuah insiden terjadi. Pembentukan tim Computer Incident Response Team (CIRT) dan Cyber Security Incident Response Team (CSIRT), serta proses pengelolaan manajemen insiden merupakan salah satu metode yang diterapkan oleh Blibli.

Kami akui bahwa saat ini tindakan kejahatan dalam dunia siber semakin hari semakin meningkat baik secara kualitas maupun kuantitas. Dalam pengamanannya kami menerapkan banyak kontrol keamanan baik dari sisi pelanggan maupun platform kami. Berikut ini adalah beberapa poin yang telah kami kembangkan demi menjaga keamanan data dan kenyamanan bertransaksi.

(1) Pengamanan terhadap sistem e-commerce.

Penggunaan 100% secure communication untuk layanan yang dapat diakses oleh publik. Selain memudahkan pelanggan dalam berbelanja, juga memastikan semua layanan transaksi tersebut berjalan dengan aman.

Implementasi Bot Detection System (BDS) untuk melakukan deteksi transaksi yang dilakukan oleh bot. Tindakan ini kami lakukan untuk memastikan pelanggan riil dapat menikmati promosi yang sifatnya terbatas (flash sale, kode voucher, dan lainnya), bukan bot yang disiapkan untuk melakukan eksploitasi.

Menjalankan Secure Software Development Lifecycle (SDLC). Dengan adopsi shifting left, Blibli sudah menjalankan proses SDLC yang aman sehingga kami dapat melakukan antisipasi tehadap kerentanan yang mungkin terjadi pada aplikasi.

Implementasi Security Operations Center (SOC) sehingga kami dapat melakukan deteksi terhadap traffic yang berpotensi menjadi ancaman. Selain itu dengan SOC ini Blibli dapat menjaga keamanan lingkungan digital perusahaan dari pihak yang tidak berwenang agar tidak dapat mengakses Data Pelanggan.

Pengembangan aplikasi dan produk senantiasa mengedepankan aspek pengelolaan risiko, di mana setiap risiko akan dikendalikan melalui kontrol yang sesuai.

(2) Perlindungan pelanggan.

Blibli telah menambahkan fitur Phone Number Verification dan Email Recovery sebagai salah satu kontrol untuk melindungi dan meningkatkan keamanan akun pelanggan.

Dalam menghadapi ancaman tindakan fraud, kami menerapkan fitur 3D Secure for credit card payment dan mengirimkan OTP kepada pelanggan saat bertransaksi dengan Blipay dan BCA OneKlik.

Menjalankan phishing site detection, fitur yang memberikan kemudahan kepada pelanggan Blibli dalam proteksi terhadap percobaan phishing.

End-to-end encryption untuk semua fitur yang mengandung informasi kritis dari pelanggan seperti password, credit card, dan informasi sensitif lainnya.

DS: Sebagai sebuah worst case scenario, ketika sistem mendapati isu data breach, apa yang seharusnya dilakukan oleh perusahaan — baik dari sisi tim pengembang, tim komunikasi ke pelanggan dll?

RS: Sebuah organisasi harus sedini mungkin menyiapkan mekanisme skenario terburuk dari sebuah serangan termasuk skenario kebocoran data. Tindakan pencegahan dan respons terhadap kebocoran data harus melibatkan semua pihak baik dari sisi tim IT, Security, komunikasi, legal, serta jajaran manajemen.

Setiap organisasi setidaknya harus memiliki prosedur baku dalam persiapan penanganan insiden. Setiap insiden yang terjadi tidak harus diinformasikan kepada pelanggan. Perusahaan juga harus melakukan kategorisasi insiden yang terjadi (apakah insiden termasuk ke dalam kategori aktivitas malicious code, penggunaan akses yang tidak normal, percobaan phishing spear atau insiden lain yang menyebabkan data terekspos).

Selain kategori tersebut di atas, tim incident handling harus menganalisis dampak dari kejadian tersebut. Penggunaan matriks yang diturunkan dari matriks risiko akan membantu tim melakukan perhitungan dengan lebih tepat dan cepat. Analisis ini perlu juga ditunjang dengan proses validasi dan klasifikasi dari insiden tersebut. Apakah insiden ini benar-benar valid atau hanya sebatas false positive, apakah kejadian ini memiliki dampak yang sesuai dengan laporan pertama, serta data atau sistem apa saja yang terkena dampak dari insiden ini.

Setelah melakukan analisis dan klasifikasi, langkah berikutnya adalah menentukan prioritas baik dari jenis insiden maupun langkah kontrol untuk perbaikan yang sifatnya sementara supaya insiden ini tidak memberikan dampak yang lebih besar. Proses investigasi awal dengan melakukan analisis, validasi, klasifikasi, serta penentuan prioritas ini biasanya dikenal dengan Incident Triage. Incident Triage ini harus dilakukan dengan teliti dan matang, mengingat ini akan menjadi input utama untuk menentukan langkah selanjutnya.

Jika pada fase incident triage menghasilkan kesimpulan bahwa insiden terjadi, proses notifikasi harus secepatnya diberikan kepada setiap komponen organisasi yang terlibat. Notifikasi cepat ini harus melibatkan:

  • Tim Legal untuk melihat dari aspek regulasi dan hukum yang berlaku.
  • Tim IT untuk secepatnya berkoordinasi dalam melakukan penanganan awal dari insiden yang terjadi, termasuk tim infrastructure dan developer untuk melakukan perbaikan secepatnya.
  • Management representative untuk memberikan laporan terbaru dari status insiden serta meminta saran, rekomendasi, serta arahan untuk keputusan.
  • Tim Komunikasi untuk memberikan pernyataan resmi (baik secara reaktif atau proaktif) kepada publik mengenai kondisi insiden saat ini dan apakah insiden ini valid atau tidak valid.

Seiring dengan proses notifikasi tersebut, tim penanganan insiden harus secepatnya menjalankan proses containment. Fungsi dari proses ini adalah menghentikan laju dari dampak insiden tidak semakin meluas ke aset dan sistem lain. Tujuan lain containment adalah mengurangi kerugian atas dampak yang lebih besar dari insiden tersebut.

Tim penanganan insiden juga harus mampu melakukan pengumpulan bukti-bukti dari setiap insiden ini. Pengumpulan bukti ini menjadi bagian penting dalam pembuatan laporan dan menentukan proses forensic dari insiden tersebut. Hasil forensic ini akan menjelaskan detail informasi dari insiden tersebut seperti:

  • Metode penyerangan.
  • Jenis kerentanan yang digunakan untuk melakukan eksploitasi.
  • Kontrol keamanan yang mampu menahan serangan.
  • Jenis aplikasi atau sistem yang digunakan sebagai dormant host atau jalan masuk penyerang serta informasi detailnya.

Setelah ditemukan inti permasalahan, tim penanganan insiden secepatnya melakukan pembetulan pada kesalahan pemrograman atau patching terhadap sejumlah kerentanan yang ditemukan dan dijadikan sebagai jalan masuk dari insiden tersebut. Dalam penanganan insiden, melakukan patching ini biasa disebut dengan proses pemberantasan atau eradication process. Beberapa contoh lain dari proses ini adalah dengan penggantian perangkat yang malfungsi, mengubah konfigurasi baik dari perangkat infrastruktur, security maupun code dari developer, serta melakukan improvement (instalasi) baru untuk meningkatkan keamanan.

Langkah selanjutnya yang harus dilakukan oleh tim penanganan adalah melakukan pemulihan sistem, layanan, serta data yang terkena dampak dari insiden tersebut. Tim penanganan harus dapat memastikan bahwa semua layanan kembali normal.

Tim penanganan harus membuat laporan lengkap mengenai insiden dan melaporkannya ke pihak terkait. Selain manajemen perusahaan, tim dapat melaporkannya kepada pemerintah apabila insiden termasuk dalam kategori kritis dan berhubungan dengan pelanggan. Pada saat memberikan informasi kepada stakeholder, setidaknya ada beberapa poin yang harus dilakukan atau disampaikan:

  • Komunikasikan insiden ini dengan bahasa yang sederhana kepada stakeholder yang tepat.
  • Berikan informasi yang transparan, termasuk informasi tentang keterlibatan semua pihak dalam melakukan perencanaan persiapan insiden merupakan salah satu pendekatan terbaik. Informasikan juga bahwa kejadian ini di luar kontrol organisasi, mengingat organisasi sudah melakukan serangkaian kegiatan preventif.
  • Berikan informasi secara wajar dan akurat terkait dengan dampak dari insiden tersebut. Termasuk di dalamnya informasi tentang
  • Apa yang terjadi dengan data, semisal meski datanya terekspos tapi masih terlindungi oleh enkripsi.
  • Langkah atau tindakan yang harus dilakukan pelanggan jika proses penanganan masih dalam tahap investigasi atau perbaikan, seperti mengganti password semua akun digital dan pengecekan saldo (untuk platform finansial) secara reguler

Melakukan tindakan (incident response) terhadap kebocoran data merupakan sebuah tindakan kritis yang harus segera dilakukan. Namun demikian tindakan pencegahan merupakan kunci utama dalam melakukan reaksi dan respons terhadap kebocoran data tersebut.

DS: Terakhir, mungkin ada buku, online course atau sumber belajar lain yang dirasakan oleh Pak Ricky untuk dapat dipelajari penggiat startup terkait metodologi, konsep, hingga praktik keamanan dan privasi data?

RS: Saat ini banyak platform yang bisa digunakan untuk meningkatkan kapasitas dalam keamanan informasi baik untuk pelaku bisnis startup atau individual. Baik dari yang sifatnya free, freemium maupun premium baik dari sisi managerial maupun dari sisi teknis. Platform yang biasa kami gunakan adalah O’reilly, udemy, cybrary.it, hackerone, hackthebox, hacking-lab, pwnable, coursera, opensecurity training, heimdal security, san cyberaces, owasp, openSAMM project dan masih banyak lagi beberapa platform community yang bisa digunakan.

Di Blibli, kami senantiasa melakukan peningkatan kapasitas dari tim IT, salah satunya adalah melakukan edukasi terhadap pengembangan produk melalui secure coding training, seminar, dan internal sharing session secara periodik. Kami juga mengajak rekan-rekan IT di Blibli untuk bergabung dalam komunitas IT. Fungsi dari keikutsertaaan karyawan di komunitas adalah memperluas network serta mendapatkan update mengenai isu-isu terkini, baik yang terjadi di dalam maupun luar negeri.

On Privacy and Data Security: Users Must be Aware Not to Rely only on The Platform

Recently, the news of data breach has made the highlight for dozens of digital service users in Indonesia. It is due to the platform where the data breach happens, is e-commerce with massive users, Tokopedia. Also, the latest news comes from Bhinneka.

In early May 2020, 91 million user data – several parties had proven the validity of the data and accordingly – were monitored for sale via the Dark Web for 73.5 million Rupiah. Only passwords are encrypted, while other information such as names, addresses, and contacts can be read with the naked eye. Then a few days ago, a hacker reportedly managed to infiltrate several sites, one of which was Bhinneka with 1.2 million data stolen.

This is not the first time, in previous years the cybersecurity issue has been reported several times to the public.

Incomprehensive Regulation

Regulations regarding the protection of privacy and personal data are mentioned in various laws, precisely in 32 regulations from the ITE Law, the Telecommunications Law, the Public Information Openness Act, the State Intelligence Act, to the Criminal Procedure Code. The fragmented regulation encourages the government to draft a Personal Data Protection Act – until now the status has reached the President and the Parliament, waiting to be reviewed and ratified.

“However, these laws and regulations [32 regulations] are yet to comprehensively regulate the protection of personal data. A comprehensive law is needed as a legal basis in providing protection, regulation and imposition of sanctions for personal data misuse as regulated,” said the Minister of Communication and Information Johnny G. Plate.

Regarding the recent issue of a data breach, the Minister of Communication and Information also gave his formal response after discussion with several parties, including Tokopedia and the national cyber and security agency (BSSN). “Every data hacking effort will be followed up, therefore, not to disrupt the e-commerce operational,” he further explained the details regarding the follow-up plan by the government.

Self-taught preventive steps

In fact, digital platforms such as e-commerce have certification related to information security, for example by getting ISO / IEC 27001: 2013. However, on the user’s side, they can also take several preventive steps to reduce the potential loss if the current system has been hacked.

Here are some simple preventive steps that can be done:

Perform regular application updates

Various digital applications with massive users are almost certain to experience a continuous development process. Not only a matter of adding features but also updates often rolled out to improve system performance and security to close the gaps. For this reason, it is important for users to keep the application up-to-date.

Nevertheless, for the operating system, it is strongly recommended to use the latest version supported by the device. The intensity is indeed not as often as the applications, but an update usually provides significant improvisation.

For smartphone users, application updates or operating system updates are usually done automatically when connected to a WiFi network. The user will get an update notification and approve the update process. However, for those who use mobile connectivity, updates are usually not automatic, users need to look periodically at Google Play / App Store or the update page in the system update section.

Use different passwords on each application

This tip is quite tedious for some people, but actually good anticipation if a data breach occurs in one of the applications. At least, distinguish personal account passwords such as an e-mail with passwords used for other applications. Email is crucial for recovery if an account is successfully taken over by a hacker.

The password manager application can actually help if users want to use a different password for each service. The application saves and records the password it has – some applications also make it easier when you want to login to certain services – without having to retype the password. Some examples of password management applications are LastPass or 1Password.

Then, as suggested in every digital security tips, it is highly targeted to use passwords with varying characters. For example, by including uppercase letters, lowercase letters, numbers, and symbols. Some applications have a password level indicator during the registration process.

Apply multiple authentications

For the sake of increasing security, some applications provide Multi-Factor or Two-Step Authentication features. In addition, users can choose the type of extended security, for example using a PIN, SMS token, or biometrics. The latter is very recommended, especially smartphones today are mostly equipped with fingerprint and facial recognition systems. On average, this feature is not automatically activated, the user must set it up for each application.

Be more aware of application in use

Always use an application from a credible developer, especially if the application requires personal data. Because credible developers will have discipline related to privacy and information protection policies. In addition, it’s good as the user also knows what applications are accessed from our device – for example the applications in the Play Store always informing the “Permission” section about the components of the device accessed by the application.


Original article is in Indonesian, translated by Kristin Siagian

Soal Privasi dan Keamanan Data Jangan Hanya Andalkan Platform, Pengguna Harus Peka

Beberapa waktu terakhir kabar mengenai data breach alias pembobolan data kembali menjadi buah bibir pengguna layanan digital di Indonesia. Pasalnya pelanggaran data tersebut terjadi pada platform yang cukup masif digunakan, yakni pada situs e-commerce Tokopedia, dan baru-baru ini dikabarkan juga terjadi pada Bhinneka.

Awal Mei 2020 ini, 91 juta data pengguna – beberapa pihak sempat membuktikan validitas data tersebut dan sesuai – terpantau dijualbelikan melalui Dark Web seharga 73,5 juta Rupiah. Hanya kata sandi yang terenkripsi, sementara informasi lain seperti nama, alamat, dan kontak dapat dibaca dengan mata telanjang. Kemudian beberapa hari lalu, seorang hacker dikabarkan berhasil menyusup ke beberapa situs, salah satunya Bhinneka dengan 1,2 juta data berhasil dicuri.

Kejadian ini bukan yang pertama, di tahun-tahun sebelumnya isu keamanan siber ini juga beberapa kali terungkap ke publik.

Regulasi belum komprehensif

Beleid tentang perlindungan privasi dan data pribadi disebutkan dalam berbagai undang-undang, tepatnya ada di 32 regulasi mulai dari UU ITE, UU Telekomunikasi, UU Keterbukaan Informasi Publik, UU Intelijen Negara, sampai KUHAP. Aturan yang masih cukup terfragmentasi tersebut mendorong pemerintah menyusun UU Perlindungan Data Pribadi – hingga saat ini statusnya sudah sampai Presiden dan DPR, menunggu ditinjau dan disahkan.

“Namun peraturan perundang-undangan tersebut [32 regulasi] belum mengatur secara komprehensif mengenai pelindungan data pribadi. UU yang komprehensif diperlukan sebagai landasan hukum dalam memberikan pelindungan, pengaturan dan pengenaan sanksi atas penyalahgunaan data pribadi sebagaimana diatur,” ujar Menkominfo Johnny G. Plate.

Terkait isu pembobolan data akhir-akhir ini, Menkominfo juga memberikan tanggapan formalnya setelah melakukan pertemuan dengan beberapa pihak, termasuk Tokopedia dan Badan Siber dan Sandi Negara (BSSN). “Setiap usaha peretasan data akan ditindaklanjuti agar tidak mengganggu jalannya e-commerce,” terangnya kendati tidak diungkapkan detail mengenai rencana tindaklanjut yang akan dilakukan pemerintah.

Langkah preventif dari diri sendiri

Sebenarnya untuk platform digital seperti e-commerce dapat mengupayakan sertifikasi terkait keamanan informasi, misalnya dengan mendapatkan ISO/IEC 27001:2013. Namun demikian, dari sisi pengguna pun dapat melakukan beberapa langkah preventif untuk mengurangi potensi kerugian jika sistem digunakan yang digunakan berhasil dibobol datanya.

Berikut beberapa langkah preventif sederhana yang dapat dilakukan:

Melakukan pembaruan aplikasi secara berkala

Berbagai aplikasi digital yang banyak digunakan pengguna hampir dipastikan mengalami proses pengembangan secara berkelanjutan. Tidak hanya soal penambahan fitur, pembaruan juga sering digulirkan untuk meningkatkan performa dan keamanan sistem menutup celah-celah yang ditemukan. Untuk itu, penting bagi pengguna tetap memastikan aplikasi selalu up-to-date.

Pun demikian untuk sistem operasi, sangat disarankan untuk menggunakan versi teranyar yang didukung oleh perangkat. Ketimbang aplikasi intensitasnya memang lebih jarang, namun ketika ada pembaruan biasanya memberikan improvisasi yang cukup signifikan.

Bagi pengguna ponsel pintar, biasanya pembaruan aplikasi atau sistem operasi dilakukan secara otomatis jika terkoneksi ke jaringan wifi. Pengguna akan mendapatkan notifikasi pembaruan dan menyetujui proses pembaruan. Namun bagi yang menggunakan konektivitas mobile, umumnya pembaruan tidak dilakukan otomatis, pengguna perlu melihat secara berkala di Google Play/App Store atau laman pembaruan di bagian pembaruan sistem.

Gunakan kata sandi berbeda di tiap aplikasi

Kiat ini cukup menjemukan bagi beberapa orang, namun sebenarnya jadi antisipasi baik jika terjadi pembobolan di salah satu aplikasi yang digunakan. Minimal selalu bedakan kata sandi akun personal seperti email dengan kata sandi yang digunakan untuk aplikasi-aplikasi lain. Email jadi krusial untuk kebutuhan pemulihan jika suatu akun berhasil diambil alih oleh hacker.

Aplikasi password manager sebenarnya juga bisa membantu jika pengguna menginginkan penggunaan kata sandi berbeda di setiap layanan. Aplikasi menyimpan dan mendokumentasikan kata sandi yang dimiliki – beberapa aplikasi juga memudahkan ketika hendak masuk layanan tertentu – tanpa harus mengetikkan ulang akta sandi. Beberapa contoh kata aplikasi pengelola kata sandi LastPass atau 1Password.

Kemudian, seperti yang disarankan di setiap tips keamanan digital, sangat diasarkan untuk menggunakan kata sandi dengan karakter yang bervariasi. Misalnya dengan menyertakan huruf besar, huruf kecil, angka, dan simbol. Beberapa aplikasi memiliki indikator tingkat keamanan kata sandi ketika proses pendaftaran.

Aktifkan autentikasi berlapis

Demi meningkatkan keamanan, beberapa aplikasi menyediakan fitur Multi-Factor atau Two-Step Authentication. Selain dengan kata sandi, pengguna bisa memilih tipe keamanan pendampingnya, misalnya menggunakan PIN, token SMS, atau biometrik. Yang terakhir ini juga cukup disarankan untuk digunakan, terlebih perangkat ponsel pintar masa kini kebanyakan dilengkapi dengan sistem sidik jari dan pengenalan wajah. Rata-rata fitur ini tidak aktif secara otomatis, pengguna harus menyetelnya secara manual di tiap aplikasi.

Lebih “aware” terhadap aplikasi yang digunakan

Selalu gunakan aplikasi dari pengembang yang kredibel, terlebih jika aplikasi tersebut memerlukan data personal. Karena pengembang yang kredibel akan memiliki disiplin terkait dengan kebijakan privasi dan perlindungan informasi. Selain itu, ada baiknya sebagai pengguna juga mengetahui apa saja yang diakses aplikasi tersebut dari perangkat kita – misalnya di aplikasi yang ada di Play Store selalu menginfokan di bagian “Permission” mengenai komponen dari perangkat yang diakses oleh aplikasi tersebut.

Menegaskan Kembali Kewaspadaan Serangan Siber di Seluruh Aspek

Makin canggihnya perkembangan teknologi, makin canggih pula serangan sibernya. Bentuknya beragam dan selalu mengancam setiap waktu. Namun belum semua orang sadar bagaimana tindakan preventif sebelum kejadian ini menimpa mereka.

Sebagian besar perusahaan, terutama yang bergerak di jasa keuangan dan teknologi, menggelontorkan miliaran dollar untuk meningkatkan infrastruktur IT-nya agar selalu terjaga. Bahkan digadang-gadang ke depannya investasi ke sektor ini bakal membludak, lantaran semakin matangnya infrastruktur teknologi.

Dari sisi edukasi ke konsumen pun juga mulai digalakkan oleh berbagai pihak, misalnya himbauan untuk tidak memberikan kode OTP ke siapapun, mengunci ganda akun agar tidak mudah diretas, dan hal lainnya. Topik ini diangkat dalam diskusi yang diselenggarakan Monroe: Securing Our Future pada pekan lalu.

Ada tiga pembicara yang hadir dalam kesempatan ini, Marshall Pribadi (Privy.id), Ardi Sutedja (Indonesia Cyber Security Forum/ICSF), dan Hadi Kuncoro (Power Commerce). Mereka berbagi update dan tips perlindungan data sesuai dengan keahlian di bidangnya masing-masing. Berikut rangkumannya:

Bahaya mengintai sembarang berbagi data

Marshall menekankan, data pribadi di era digital saat ini adalah alamat email. Masalahnya, siapapun kini bisa buat email, berapapun dan kapanpun yang mereka mau. Akhirnya masalah ini bermuara pada rentannya perlindungan diri terhadap serangan siber.

Tanda tangan di satu sisi adalah penanda bahwa diri si penanda tangan telah mengetahui isi dari dokumen, sebagai bentuk menjaga integritas isi dokumen. Ketika tanda tangan didigitalkan, ada masalah baru.

“Ada tinta basah yang dilekatkan ke kertas, memperlihatkan ada kekuatan hukum. Tapi masalahnya bagaimana saat tanda tangan dipindahkan ke digital,” terangnya.

Semua bisa di-screenshot dengan mudah dan copy paste ke dokumen lain, menghasilkan dokumen baru yang bisa jadi disalahgunakan fungsi tanda tangannya untuk kebutuhan lain.

Masalah lainnya, sambungnya, menjaga data pribadi di masa kini, tidak hanya berurusan di perangkat smartphone dan akun email saja. Tapi juga data pribadi yang di unggah secara online dan dibagi-bagikan untuk keperluan tertentu, juga menjadi ancaman.

Marshall mengingatkan, tanpa disadari, menitipkan kartu identitas diri saat masuk ke gedung adalah kemungkinan termudah data kita dicuri pihak yang tidak bertanggung jawab. Tidak ada yang bisa menjamin identitas yang dititipkan di resepsionis aman dari tindakan kejahatan.

Ini juga mengingatkan kita bahwa betapa mudahnya orang mendapatkan data pribadi tanpa harus bersusah payah karena dari kita sendiri yang tanpa sadar dengan mudahnya berbagi data.

Contoh keseharian lainnya yang sering terjadi, saat mengajukan rekening baru atau buat kartu kredit. Data pribadi calon nasabah ditulis manual oleh petugas, kopi identitas pribadi juga biasanya dipotret lewat kamera smartphone mereka. Begitu mudah data diambil, tanpa menyadari risiko besar di belakangnya.

“Betapa besar risikonya setiap kali kita harus buat kartu kredit dan prosedur itu berulang kali harus dilakukan. Selain tidak efisien, ini berisiko terhadap perlindungan data konsumen.”

Untuk perlindungan data, banyak pengembangan yang sudah dilakukan Privy.id, selain tanda tangan digital (public key infrastructure). Misalnya, facial recognition, liveness detection, smart authentication gateway, dan AI driven document checker.

Teknologi yang dikembangkan di atas, bukan berarti solusi sudah tuntas. Setiap solusi menciptakan masalah baru, akhirnya membutuhkan solusi baru, yang mengakibatkan investasi di sektor ini harganya mahal.

Serangan siber selalu mengintai

Ardi Sutedja menekankan pada serangan siber itu selalu mengintai setiap waktu, bahkan sejak dahulu. Salah satu serangan siber yang cukup menggegerkan Indonesia adalah Stuxnet dan WannaCry.

Merujuk dari data Statista, pada tahun 2010, sebanyak 58,31% infeksi malware Stuxnet terjadi di di Iren. Indonesia, secara mengejutkan ada di posisi kedua dengan 17,83%, AS hanya terkena 0,89%.

Sementara WannaCry menyerang Indonesia pada tahun 2017. Hasilnya jutaan serangan menggerogoti sistem perusahaan, di berbagai industri, salah satunya adalah rumah sakit.

Ardi bercerita, timnya menangani serangan malware tersebut di sejumlah rumah sakit dan menemukan bahwa salah satu penyebabnya karena mayoritas menggunakan software palsu. “Sementara, hanya 30% software yang mereka pakai asli,” katanya.

Dari sisi kesiapan SDM pun, menurut pandangannya, sangat minim. Literasi SDM bagaimana tindakan preventifnya dan bagaimana antisipasinya bila serangan siber terjadi, banyak dari mereka yang tidak paham.

Ada manajemen krisis siber dan reaksi insiden yang perlu diketahui SDM. Tujuan dari manajemn ini untuk mengambil tindakan dan proses yang harus diambil untuk melindungi dan mempertahankan reputasi, produk, dan jasa dari sebuah organisasi sebagai dampak terjadinya insiden siber.

Sedangkan reaksi insiden, lebih terfokus pada manajemen keamanan sehari-hari, seperti insiden malware dan serangan DDoS. Namun, untuk melakukan manajemen, sambung Ardi, punya tantangan tersendiri diantaranya memanfaatkan big data vs smart data, minimnya investasi IT, kurangnya keterampilan digital, dan akurasi data.

Tren serangan siber di situs e-commerce

Hadi Kuncoro menjelaskan, umumnya pelaku kejahatan siber dilakukan oleh pencari kesenangan, kejahatan terorganisir, grup teroris, dan negara itu sendiri. Cara mereka menyerang dengan phising, pencurian identitas, pemalsuan data, baik dari luar sistem atau menanamkan langsung dari internal.

Motifnya untuk keperluan ekonomi, politik, kebencian, rasisme, protes, dan sebagainya. Penipuan di situs e-commerce itu biasanya berkaitan dengan empat pihak, meliputi penjual, pembeli, penyedia software, dan penyerang.

Contoh nyata serangan siber yakni penipuan katalog. Hacker menyalin paten milik pemilik merek resmi untuk melakukan salinan gambar foto, salinan kreatif untuk digunakan untuk produk merek palsu.

Mereka juga menduplikasi nama brand, logo, domain, hingga kata kunci yang biasa brand pakai.

“Ada empat tren serangan siber yang sering terjadi di industri e-commerce adalah phising, pencurian data transaksi, serangan DDoS, pencurian data, dan penipuan refund,” pungkasnya.

Pasca Isu Peretasan Data Bukalapak dan Youthmanual, Upaya yang Perlu Dilakukan

Hari ini tersiar kabar mengenai peretasan data situs dengan basis pengguna yang besar. Dilansir The Hacker News, ada dua situs Indonesia turut terdampak, yakni Bukalapak dan Youthmanual. Diklaim setidaknya ada sekitar 13 juta record data pengguna Bukalapak (per Juli 2017) yang tercuri. Sementara untuk situs karier milenial Youthmanual data yang tercuri sekitar 1,12 juta record data (per Februari 2019).

Data-data tersebut kini diperjualbelikan melalui Dream Market atau dikenal sebagai pasar gelap di dunia maya — memanfaatkan cryptocurrency sebagai alat tukar. Data yang diambil disebut meliputi nama pengguna, username, email, kata sandi yang terenkripsi dengan hash, dan detail pribadi lainnya.

Klarifikasi Bukalapak dan Youthmanual

Kami sudah mencoba mengonfirmasi langsung ke pihak Bukalapak maupun Youthmanual. Pihak Bukalapak membenarkan bahwa memang ada upaya peretasan situs dalam beberapa waktu lalu. Namun pihaknya memastikan tidak ada data penting seperti user password, informasi finansial, dan informasi pribadi yang didapatkan.

“Kami mengonfirmasi bahwa memang ada upaya untuk meretas Bukalapak beberapa waktu yang lalu, namun tidak ada data penting seperti user password, finansial atau informasi pribadi lainnya yang berhasil didapatkan. Kami selalu meningkatkan sistem keamanan di Bukalapak, demi memastikan keamanan dan kenyamanan para pengguna Bukalapak, dan memastikan data-data penting pengguna tidak disalahgunakan. Upaya peretasan seperti ini memang sangat berpotensi terjadi di industri digital,” ujar Head of Corporate Communications Bukalapak Intan Wibisono.

Salah satu tindakan preventif yang disarankan pihak Bukalapak kepada pengguna ialah dengan melakukan penggantian kata sandi secara berkala dan mengaktifkan fitur Two-Factor Authentication (TFA).

Sementara kepada DailySocial pihak Youthmanual juga mengonfirmasi, telah terjadi upaya peretasan di dalam platformnya. Upaya represif yang dilakukan ialah dengan melakukan pengaturan ulang kata sandi seluruh pengguna.

“Sore ini, kami konfirmasi bahwa telah terjadi upaya peretasan namun Youthmanual telah melakukan pencegahan dengan me-reset password seluruh pengguna. Kami juga menghimbau seluruh pengguna untuk mengubah seluruh informasi password saat login kembali. Saat ini tim engineering Youthmanual melakukan audit dan evaluasi sistem secara komprehensif untuk memastikan sistem dan infrastruktur kami aman dibantu oleh praktisi-praktisi keamanan siber terbaik di regional,” ujar Founder & CEO Youthmanual Rizky Muhammad.

Tindakan antisipasi

Menanggapi kejadian ini, kami mencoba menghubungi beberapa pakar keamanan siber, salah satunya Onno W. Purbo. Dalam keterangannya Onno mengatakan bahwa setidaknya ada empat hal yang perlu dilakukan oleh platform digital yang mendapati serangan hacker. Pertama harus dilakukan evaluasi keamanan secara komprehensif, dalam istilah teknis disebut dengan “penetration test”, untuk memastikan celah-celah yang berhasil disusupi dapat segera ditambal.

Onno menyarankan perusahaan digital yang sudah memiliki basis pengguna besar perlu segera melakukan evaluasi prosedur, setidaknya hingga memenuhi ISO 27001 (standardisasi global sistem manajemen keamanan informasi) dan ISO 31000 (standardisasi global untuk manajemen risiko berkaitan dengan keamanan informasi).

Kegiatan pelatihan terhadap internal dan pengguna berkaitan dengan keamanan informasi juga dinilai dapat mulai dijadikan inisiatif rutin oleh perusahaan digital. Sebagai pangsa pasar internet terbesar di Asia Tenggara, memang peningkatan literasi digital untuk masyarakat masih menjadi pekerjaan rumah bagi para pihak. Idealnya industri juga turut serta dalam meningkatkan kapabilitas tersebut.

“Serangan yang banyak berhasil adalah pada titik-titik paling lemah pada sebuah sistem. Bisa dari sisi pengguna, kelalaian admin, dan lainnya,” ujar Onno menerangkan asal serangan hacker bermula.