Mempertanyakan BSSN Jaga Keamanan Siber RI, Usai Situs Diretas

INFO DAN KEGIATAN news Post Tekno

PT. BESTPROFIT FUTURES

Situs resmi milik Badan Siber dan Sandi Negara (BSSN) menjadi korban peretasan. Sebagai lembaga negara yang bergerak di bidang keamanan informasi dan keamanan siber, cukup andal kah BSSN untuk menjaga keamanan Teknologi Informasi (TI) negara? Peretasan yang menimpa BSSN sejak Rabu (20/10) disebut menggunakan metode Deface yang mengubah tampilan muka dari laman website www.pusmanas.bssn.go.id.

Tampilan situs milik lembaga negara ini diganti dengan gambar bertuliskan Hacked by theMx0nday. Lalu dibagian bawah tulisan itu muncul logo BSSN disertai tulisan, “NSA da indonesia pwnetada fds KKKKKKKKKKKK,” seperti tertulis dalam situs tersebut. BESTPROFIT

Padahal lembaga negara ini memiliki sejumlah tugas yang diantaranya perumusan dan penetapan kebijakan teknis di bidang keamanan siber dan sandi dan pelaksanaan kebijakan teknis di bidang keamanan siber dan sandi.

Sehingga, peretasan yang menyerang lembaga yang mengurus keamanan siber negara ini menjadi sebuah ironi.

Ironi

Lembaga Studi dan Advokasi Masyarakat (ELSAM) menilai bahwa peretasan pada situs BSSN sangat ironis. Mengingat BSSN seharusnya memiliki manajemen keamanan siber yang kuat, sesuai kewenangan yang dimilikinya, sebagaimana diatur di dalam Peraturan Presiden No. 28 Tahun 2021 tentang Badan Siber dan Sandi Negara.

Sebagai lembaga utama dalam tata kelola keamanan siber nasional, BSSN memiliki fungsi, diantaranya, untuk merumuskan standar keamanan siber, membuat kebijakan teknis di bidang identifikasi, deteksi, proteksi, penanggulangan, hingga pemulihan insiden keamanan siber nasional. PT. BESTPROFIT

Ketua Lembaga Riset Siber Indonesia CISSReC, Pratama Persadha, mengkritik BSSN harusnya menjadi institusi paling aman.

“Sangat disayangkan BSSN sebagai institusi yang harusnya paling aman keamanan sibernya, hanya gara-gara kesalahan kecil yang tidak perlu, ternyata jadi gampang diretas,” kata Pratama dalam keterangan resmi, Senin (25/10).

Terkait kemampuan untuk menjaga keamanan teknologi informasi dari Lembaga pemerintah yang lainnya, menurut Pratama, tidak bisa bergantung pada BSSN saja, tetapi pada instansinya masing-masing.

“Tidak bisa kalau cuma ngandalin BSSN. BSSN kan titik beratnya lebih ke arah kebijakan dan petunjuk teknis saja. Pelaksananya ya harus instansinya masing-masing,” kata Pratama saat dihubung CNNIndonesia.com, Selasa (26/10).

Sementara itu, IT Security Consultant PT Prosperita ESET Indonesia, Yudhi Kukuh, menyebut bahwa BSSN dikenal sebagai penjaga TI pemerintah. Sudah sepatutnya menjadi andalan.

“Walau tidak ada sistem yang 100 persen aman, deface ini seharusnya menjadi pengingat untuk menjaga seluruh aset online yang ada, tanpa kecuali,” ujar Yudhi saat dihubungi oleh CNNIndonesia.com, Selasa (26/10).

Yudhi juga menerangkan bahwa peretasan dengan metode deface umumnya terjadi karena ada kelemahan yang belum ditambal. Dalam kasus BSSN yang ditembus bukan web utama, melainkan web dengan subdomain yang kabarnya untuk database malware. PT. BEST PROFIT

Menurut Yudhi biasanya admin tidak terlalu menaruh perhatian pada web yang tidak utama, atau penyelenggaranya diserahkan ke admin lain atau server lain dengan wewenang lain. Seharusnya, dalam suatu organisasi untuk keamanan tetap dalam satu pengawasan sehingga peretasan tidak seharusnya terjadi.

“Patching system, patching aplikasi sudah menjadi kewajiban. Audit aplikasi yang dipakai, untuk memastikan tidak ada celah keamanan. Penyerang umumnya menggunakan bot untuk mengetahui system yang digunakan, selanjutnya mencari kelemahan berdasarkan data CVE terkini dan mencoba untuk membuka,” papar Yudhi.

Rencana mitigasi untuk menangkal serangan siber

Senada, Pratama mengatakan setiap data dalam dunia keamanan siber tidak pernah berada dalam status 100 persen aman. Situs penting Amerika seperti Federal Bureau of Investigation (FBI) dan Badan Antariksa dan Penerbangan Amerika (NASA) juga pernah diretas.

Selain itu, situs milik Badan Intelijen Amerika (CIA) pun pernah menjadi korban peretasan oleh hacker.

Sehingga, Pratama menyebut BSSN harusnya memiliki rencana mitigasi untuk menangkal serangan siber karena BSSN merupakan lembaga induk CSIRT.

“Seharusnya BSSN sejak awal mempunyai rencana mitigasi atau BCP (Business Continuity Planning) ketika terjadi serangan siber, karena induk CSIRT (Computer Security Incident Response Team) yang ada di Indonesia adalah BSSN,” jelas Pratama.

Terkait penyebab peretasan, Pratama mempunyai jawaban tersendiri, Ia menduga ada pelanggaran SOP seperti melewatkan proses Penetration Test sebelum mempublish situs tersebut. Pasalnya Pratama melihat sistem keamanan di BSSN saat ini sudah baik.

“Kalau dicek attack (serangan)-nya, mungkin bisa dicari tahu kenapa bisa firewall-nya mem-bypass (meneruskan) serangan ke celah vulnerable (kelemahan)-nya. Attack yang sederhana pun, kalau lolos dari firewall bisa mengakibatkan kerusakan yang besar. Jangan dianggap semua serangan deface itu adalah serangan ringan, bisa jadi hackernya sudah masuk sampai ke dalam,” ujarnya. BEST PROFIT

Lebih lanjut, Pratama menyebut perlunya dilakukan forensik digital dan audit keamanan informasi secara menyeluruh. Meski diretas, data pada situs BSSN disebut dalam keadaan aman karena disimpan dalam kondisi terenkripsi.

Kurangnya kesadaran pada keamanan siber

Belakangan memang banyak situs pemerintah yang menjadi korban peretasan, menurut Pratama ada beberapa alasan khusus. Yang paling serius adalah rendahnya kesadaran keamanan siber.

“Setidaknya ini bisa dilihat dari anggaran dan tata manajemen yang mengelola sistem informasi. Di lembaga yang masih tidak memprioritaskan keamanan siber, penanggung jawab sistem informasi ini tidak diberikan perhatian besar, artinya dari sisi SDM, infrastruktur dan anggaran diberi seadanya,”

Hal tersebut berbeda dengan di perusahaan teknologi, biasanya sudah ada direktur yang membawahi teknologi dan keamanan siber, itu pun mereka masih mengalami kebobolan akibat peretasan.

Pratama menyebut untuk mengamankan situs dari serangan peretas perlu dilakukan sejumlah langkah keamanan, salah satunya tes penetrasi secara berkala.

Menurutnya salah satu solusinya yaitu, untuk security audit atau pentest (penetration test) bisa dilakukan secara berkala baik dengan pendekatanblack boxmaupunwhite box. Metode yang digunakan bisapassive penetrationatauactive penetration.

Kemudian khusus untuk penetration test pada serangan web defacement, pengujian yang perlu dilakukan adalah Configuration Management Testing, Authentication Testing, Session Management Testing, Authorization Testing, Data Validation Testing dan Web Service Testing. Tools yg bisa digunakan antara lain Arachni, OWASP Zed Attack Proxy Project, Websploit dan Acunetic.

Selain itu, Pratama menyebut kehadiran Undang-undang Perlindungan Data Pribadi (UU PDP) juga dapat membantu meningkatkan keamanan siber di negeri ini.

Pasalnya kehadiran UU PDP akan menjadi paksaan atau amanat yang membuat semua lembaga negara melakukan perbaikan infrastruktur informasi teknologi, sumber daya manusia, bahkan adopsi regulasi yang mendukung pengamanan siber. Tanpa UU PDP, maka kejadian peretasan seperti situs pemerintah akan berulang kembali.

Sumber : cnnindonesia