Pengamat Kritik BSSN: Harusnya Jadi Institusi Paling Aman

CNN Indonesia

Senin, 25 Okt 2021 18:34 WIB

Pengamat mengkritik kasus peretasan dengan serangan deface terhadap situs BSSN yang dinilai semestinya menjadi situs paling aman.(dok. CNNIndonesia.com/Eka Santhika)

Jakarta, CNN Indonesia --

Ketua Lembaga Riset Siber Indonesia CISSReC Pratama Persadha mengkritik Badan Siber dan Sandi Nasional (BSSN) harusnya menjadi institusi paling aman.

Hal ini dilontarkan terkait peretasan dengan metode deface yang dialami oleh situs lembaga pemerintah tersebut.

"Sangat disayangkan BSSN sebagai institusi yang harusnya paling aman keamanan sibernya, hanya gara-gara kesalahan kecil yang tidak perlu, ternyata jadi gampang diretas," kata Pratama dalam keterangan resmi, Senin (25/10).

SCROLL TO CONTINUE WITH CONTENT

Pratama mengatakan serangan dengan metode deface kerap terjadi pada sejumlah situs milik pemerintah. Sebelumnya situs milik Sekretariat Kabinet setkab.go.id diretas oleh dua orang remaja dengan metode yang sama.

Rabu (20/10) pekan lalu, sebuah unggahan Twitter dari akun @son1x777 menunjukkan situs resmi milik BSSN www.pusmanas.bssn.go.id dilaporkan mengalami peretasan oleh peretas dengan nama alias 'theMx0nday' yang diduga berlandaskan motif balas dendam.

"Dituliskan oleh pelaku deface bahwa aksi ini dilakukan untuk membalas pelaku yang diduga dari Indonesia yang telah meretas website negara Brazil," kata Pratama.

Kemudian Pratama mengatakan serangan deface adalah peretasan ke sebuah website dan lalu mengubah tampilannya. Perubahan dapat meliputi seluruh halaman website ataupun beberapa bagian tertentu, seperti penggantian font, memunculkan iklan mengganggu, hingga mengubah konten pada laman website.

Lihat Juga :

Situs BSSN Diretas, Disebut Balas Dendam dari Brazil

Tidak 100 persen aman

Pratama mengatakan setiap data dalam dunia keamanan siber tidak pernah berada dalam status 100 persen aman. Situs penting Amerika seperti Federal Bureau of Investigation (FBI) dan Badan Antariksa dan Penerbangan Amerika (NASA) juga pernah diretas.

Selain itu, situs milik Badan Intelijen Amerika (CIA) pun pernah menjadi korban peretasan oleh hacker.

Sehingga, Pratama menyebut BSSN harusnya memiliki rencana mitigasi untuk menangkal serangan siber karena BSSN merupakan lembaga induk CSIRT.

"Seharusnya BSSN sejak awal mempunyai rencana mitigasi atau BCP (Business Continuity Planning) ketika terjadi serangan siber, karena induk CSIRT (Computer Security Incident Response Team) yang ada di Indonesia adalah BSSN," jelas Pratama.

Pada kejadian pekan lalu itu, Pratama menduga ada pelanggaran SOP seperti melewatkan proses Penetration Test sebelum mempublish situs tersebut. Pasalnya Pratama melihat sistem keamanan di BSSN saat ini sudah baik.

"Kalau di cek attack (serangan)-nya, mungkin bisa dicari tahu kenapa bisa firewall-nya mem-bypass (meneruskan) serangan ke celah vulnerable (kelemahan)-nya. Attack yang sederhana pun, kalau lolos dari firewall bisa mengakibatkan kerusakan yang besar. Jangan dianggap semua serangan deface itu adalah serangan ringan, bisa jadi hackernya sudah masuk sampai ke dalam," ujar Pratama.

Lebih lanjut, Pratama menyebut perlunya dilakukan forensik digital dan audit keamanan informasi secara menyeluruh. Meski diretas, data pada situs BSSN disebut dalam keadaan aman karena disimpan dalam kondisi terenkripsi.

"Yang terpenting saat ini data di dalamnya tersimpan dalam bentuk encrypted. Jadi kalaupun tercuri, hacker tidak akan bisa baca isinya," jelasnya.

Melakukan tes penetrasi

Pratama menyebut untuk mengamankan situs dari serangan peretas perlu dilakukan sejumlah langkah keamanan, salah satunya tes penetrasi secara berkala.

"Salah satu solusinya yaitu, untuk security audit atau pentest (penetration test) bisa dilakukan secara berkala baik dengan pendekatan blackbox maupun white box. Metode yang digunakan bisa passive penetration atau active penetration," jelasnya.

Kemudian khusus untuk penetration test pada serangan web defacement, pengujian yang perlu dilakukan adalah Configuration Management Testing, Authentication Testing, Session Management Testing, Authorization Testing, Data Validation Testing dan Web Service Testing. Tools yg bisa digunakan antara lain Arachni, OWASP Zed Attack Proxy Project, Websploit dan Acunetic.

Selain itu, Pratama menyebut kehadiran Undang-undang Perlindungan Data Pribadi (UU PDP) juga dapat membantu meningkatkan keamanan siber di negeri ini.

Pasalnya kehadiran UU PDP akan menjadi paksaan atau amanat yang membuat semua lembaga negara melakukan perbaikan infrastruktur informasi teknologi, sumber daya manusia, bahkan adopsi regulasi yang mendukung pengamanan siber. Tanpa UU PDP, maka kejadian peretasan seperti situs pemerintah akan berulang kembali.

[Gambas:Photo CNN]