Perlu kolaborasi untuk menangkal ancaman siber dan ‘supply chain attack’ 

Setelah terjadinya serangan terhadap pusat data nasional yang melumpuhkan ratusan layanan publik beberapa waktu lalu, muncul kesadaran kolektif tentang betapa serangan siber terhadap infrastruktur vital telah menimbulkan dampak yang sangat besar. 

Karena itu, upaya bersama untuk mengatasi tantangan keamanan siber menjadi sorotan utama pada sesi diskusi panel tentang "Cybersecurity in critical infrastructure: safeguarding against digital threats" pada acara Digital Transformation Indonesia Conference and Expo (DTI-CX) tahun ini. 

Direktur Eksekutif Asosiasi Blockchain dan Pedagang Aset Crypto Indonesia Asih Karnengsih mengatakan, sektor swasta dan sektor publik dapat bekerja sama mencari formula yang tepat untuk mengatasi tantangan keamanan siber. 

“Pada bisnis tertentu, sektor swasta lebih aktif dalam mengembangkan teknologi keamanannya dan pengalaman ini dapat dipelajari oleh teman-teman dari sektor publik,” katanya.

Turut menjadi pembicara dalam panel tersebut Ahli Informatika Utama Badan Siber dan Sandi Negara (BSSN) Rinaldy, Security Adviser Bank BNI Kirby Chong, dan Sekretaris Jenderal Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) Zulfadly Syam. 

Asih mengambil contoh teknologi blockchain dalam bisnis crypto yang menerapkan pusat data yang terdesentralisasi dan didukung teknologi keamanan yang tinggi dan berlapis. Sistem yang terdesentralisasi akan mengurangi risiko serangan karena ketika satu server down, server lain masih bisa menjalankan layanan.  

Sejauh ini blockchain menjadi salah satu teknologi yang sulit diretas. Pemerintah bisa mempertimbangkan sebuah sistem yang terdesentralisasi dan tidak hanya bergantung pada satu jaringan, namun tetap transparan, ia menambahkan. 

Berlangganan Bulletin GovInsider untuk mendapatkan informasi terbaru mengenai inovasi sektor publik.

Keamanan siber tanggung jawab bersama 

Rinaldy menyoroti bahwa ancaman siber dapat mengintai siapapun mulai dari individu, organisasi hingga negara sehingga untuk mengantisipasinya dibutuhkan kolaborasi yang erat antara semua pihak.

“Regulasi tentang keamanan infrastruktur informasi vital (CII) dibuat dalam bentuk Peraturan Presiden dan bukan peraturan menteri/kepala lembaga. Semua entitas harus berperan serta (menjaga keamanan CII) dan bukan menjadi tanggung jawab satu lembaga saja.” 

Lebih lanjut, Rinaldy menjelaskan bahwa BSSN saat ini sudah membentuk tim respon insiden penanganan keamanan (Gov-CSIRT) yang sudah embedded di masing-masing kementerian dan lembaga untuk membantu memitigasi dan memberikan pedoman standar apa yang harus dilakukan ketika terjadi gangguan keamanan. 

BSSN juga mendorong pertukaran informasi dan membuka pintu konsultasi mengenai ancaman siber yang dialami oleh organisasi atau masyarakat luas, agar ancaman itu bisa diatasi sejak dini. 

Waspadai gangguan pada supply chain 

Aspek lain yang juga menjadi perhatian dalam sesi panel ini ialah bagaimana mewaspadai gangguan pada supply chain yang bisa berdampak pada sistem di dalam suatu organisasi. 

Berkaca dari insiden CrowdStrike yang menyebabkan pemadaman berbagai fasilitas layanan vital di berbagai negara, sebuah pertahanan siber organisasi bisa runtuh meskipun lembaga itu memiliki postur keamanan siber yang kuat dan didukung orang-orang yang terampil dalam pengoperasian komputer. 

“Gangguan mungkin terjadi bukan disebabkan oleh sistem keamanan organisasi kita yang lemah, melainkan karena gangguan yang terjadi pada mata-mata rantai pasok. Kita tidak boleh lengah, jangan sampai ada satupun titik yang luput dari perhatian kita,” kata Rinaldy.  

Meski insiden itu tidak berpengaruh secara langsung terhadap infrastruktur vital di Indonesia, namun kewaspadaan organisasi harus ditingkatkan. Pemerintah saat ini sedang mempelajari insiden CrowdStrike sambil berupaya secara serius meningkatkan ketahanan pada CII-nya. 

Kirby Chong menggarisbawahi bahwa gangguan supply chain merupakan sebuah bentuk ketidakpastian di dalam industri. Menurutnya, kemampuan perbankan dalam mengembangkan sistem keamanan siber sudah cukup bagus. Baginya, bank sekarang ibarat perusahaan IT yang mengantongi lisensi perbankan lantaran bank adalah perusahaan yang paling banyak memanfaatkan teknologi.

Sektor perbankan juga paling banyak comply dengan berbagai peraturan pemerintah, mulai dari peraturan keuangan, keamanan siber, transaksi data, hingga ke layanan konsumen.  

Dari sisi ancaman, hampir semua bank telah memanfaatkan teknologi cloud yang  mampu mengurangi risiko gangguan layanan secara signifikan. Beberapa kasus seperti serangan distributed denial of service (DDoS), malware ataupun virus masih kerap terjadi tetapi selalu bisa ditangani. 

“Tapi gangguan pada supply chain ini di luar kendali kami. Penyebabnya bukan karena kesalahan pada sistem kita, tetapi karena kegagalan sistem pendukung kita.” 

Memperbanyak cyber defender dan literasi 

Kirby berpendapat, penambahan jumlah talenta siber yang menguasai pertahanan siber dapat membantu pemerintah maupun swasta untuk menghadapi ancaman keamanan yang semakin rumit di masa depan.

“Pertanyaannya ialah di mana cyber defender kita? Kita tidak kekurangan talenta-talenta ahli di bidang keamanan, tetapi (kekurangan) orang yang benar-benar memiliki niat untuk melindungi negara ini.” 

Menurutnya, banyak talenta siber yang membekali dirinya dengan pendidikan tinggi dan mengikuti pelatihan-pelatihan teknologi, namun memilih untuk menjadi peretas karena alasan ekonomi atau alasan lainnya.  

Pemerintah dan swasta harus mengambil tindakan dengan merangkul talenta-talenta ini dan mengubah sudut pandang mereka dari "bagaimana untuk menyerang" menjadi "bagaimana untuk bertahan dan memulihkan", katanya. 

Zulfadly dari APJII menekankan pentingnya peran penyelenggara layanan internet untuk memberikan literasi tentang keamanan jaringan pada konsumen. Dengan tingkat penetrasi yang begitu tinggi, penyedia layanan memiliki kewajiban untuk memastikan jaringan mereka digunakan secara aman dan bermanfaat.  

Literasi dapat dilakukan secara sederhana, misalnya dengan mengajak setiap pengguna individu maupun organisasi untuk mengganti password secara berkala, kapan sebaiknya mengganti, dan bagaimana kombinasi yang kita gunakan.   

Survei APJII menunjukkan bahwa lebih dari 30 persen orang Indonesia belum pernah mengganti password. Jika hal sederhana ini saja belum menjadi kesadaran, maka celah masuknya serangan akan terbuka lebar, kata Zulfadly.