Pengamat Kritik BSSN: Harusnya Jadi Institusi Paling Aman

Pada kejadian pekan lalu itu, Pratama menduga ada pelanggaran SOP seperti melewatkan proses Penetration Test sebelum mempublish situs tersebut. Pasalnya Pratama melihat sistem keamanan di BSSN saat ini sudah baik.

"Kalau di cek attack  (serangan)-nya, mungkin bisa dicari tahu kenapa bisa firewall-nya mem-bypass (meneruskan) serangan ke celah vulnerable (kelemahan)-nya. Attack yang sederhana pun, kalau lolos dari firewall bisa mengakibatkan kerusakan yang besar. Jangan dianggap semua serangan deface itu adalah serangan ringan, bisa jadi hackernya sudah masuk sampai ke dalam," ujar Pratama.

Lebih lanjut, Pratama menyebut perlunya dilakukan forensik digital dan audit keamanan informasi secara menyeluruh. Meski diretas, data pada situs BSSN disebut dalam keadaan aman karena disimpan dalam kondisi terenkripsi.

"Yang terpenting saat ini data di dalamnya tersimpan dalam bentuk encrypted. Jadi kalaupun tercuri, hacker tidak akan bisa baca isinya," jelasnya.

Melakukan tes penetrasi

Pratama menyebut untuk mengamankan situs dari serangan peretas perlu dilakukan sejumlah langkah keamanan, salah satunya tes penetrasi secara berkala.

"Salah satu solusinya yaitu, untuk security audit atau pentest (penetration test) bisa dilakukan secara berkala baik dengan pendekatan blackbox maupun white box. Metode yang digunakan bisa passive penetration atau active penetration," jelasnya.

Kemudian khusus untuk penetration test pada serangan web defacement, pengujian yang perlu dilakukan adalah Configuration Management Testing, Authentication Testing, Session Management Testing, Authorization Testing, Data Validation Testing dan Web Service Testing. Tools yg bisa digunakan antara lain Arachni, OWASP Zed Attack Proxy Project, Websploit dan Acunetic.

Selain itu, Pratama menyebut kehadiran Undang-undang Perlindungan Data Pribadi (UU PDP) juga dapat membantu meningkatkan keamanan siber di negeri ini.

Pasalnya kehadiran UU PDP akan menjadi paksaan atau amanat yang membuat semua lembaga negara melakukan perbaikan infrastruktur informasi teknologi, sumber daya manusia, bahkan adopsi regulasi yang mendukung pengamanan siber. Tanpa UU PDP, maka kejadian peretasan seperti situs pemerintah akan berulang kembali.