Mempertanyakan BSSN Jaga Keamanan Siber RI, Usai Situs Diretas

Rencana mitigasi untuk menangkal serangan siber

Senada, Pratama mengatakan setiap data dalam dunia keamanan siber tidak pernah berada dalam status 100 persen aman. Situs penting Amerika seperti Federal Bureau of Investigation (FBI) dan Badan Antariksa dan Penerbangan Amerika (NASA) juga pernah diretas.

Selain itu, situs milik Badan Intelijen Amerika (CIA) pun pernah menjadi korban peretasan oleh hacker.

Sehingga, Pratama menyebut BSSN harusnya memiliki rencana mitigasi untuk menangkal serangan siber karena BSSN merupakan lembaga induk CSIRT.

"Seharusnya BSSN sejak awal mempunyai rencana mitigasi atau BCP (Business Continuity Planning) ketika terjadi serangan siber, karena induk CSIRT (Computer Security Incident Response Team) yang ada di Indonesia adalah BSSN," jelas Pratama.

Terkait penyebab peretasan, Pratama mempunyai jawaban tersendiri, Ia menduga ada pelanggaran SOP seperti melewatkan proses Penetration Test sebelum mempublish situs tersebut. Pasalnya Pratama melihat sistem keamanan di BSSN saat ini sudah baik.

"Kalau dicek attack (serangan)-nya, mungkin bisa dicari tahu kenapa bisa firewall-nya mem-bypass (meneruskan) serangan ke celah vulnerable (kelemahan)-nya. Attack yang sederhana pun, kalau lolos dari firewall bisa mengakibatkan kerusakan yang besar. Jangan dianggap semua serangan deface itu adalah serangan ringan, bisa jadi hackernya sudah masuk sampai ke dalam," ujarnya.

Lebih lanjut, Pratama menyebut perlunya dilakukan forensik digital dan audit keamanan informasi secara menyeluruh. Meski diretas, data pada situs BSSN disebut dalam keadaan aman karena disimpan dalam kondisi terenkripsi.

Kurangnya kesadaran pada keamanan siber

Belakangan memang banyak situs pemerintah yang menjadi korban peretasan, menurut Pratama ada beberapa alasan khusus. Yang paling serius adalah rendahnya kesadaran keamanan siber.

"Setidaknya ini bisa dilihat dari anggaran dan tata manajemen yang mengelola sistem informasi. Di lembaga yang masih tidak memprioritaskan keamanan siber, penanggung jawab sistem informasi ini tidak diberikan perhatian besar, artinya dari sisi SDM, infrastruktur dan anggaran diberi seadanya,"

Hal tersebut berbeda dengan di perusahaan teknologi, biasanya sudah ada direktur yang membawahi teknologi dan keamanan siber, itu pun mereka masih mengalami kebobolan akibat peretasan.

Pratama menyebut untuk mengamankan situs dari serangan peretas perlu dilakukan sejumlah langkah keamanan, salah satunya tes penetrasi secara berkala.

Lihat Juga : Pengamat Kritik BSSN: Harusnya Jadi Institusi Paling Aman

Menurutnya salah satu solusinya yaitu, untuk security audit atau pentest (penetration test) bisa dilakukan secara berkala baik dengan pendekatanblack boxmaupunwhite box. Metode yang digunakan bisapassive penetrationatauactive penetration.

Kemudian khusus untuk penetration test pada serangan web defacement, pengujian yang perlu dilakukan adalah Configuration Management Testing, Authentication Testing, Session Management Testing, Authorization Testing, Data Validation Testing dan Web Service Testing. Tools yg bisa digunakan antara lain Arachni, OWASP Zed Attack Proxy Project, Websploit dan Acunetic.

Selain itu, Pratama menyebut kehadiran Undang-undang Perlindungan Data Pribadi (UU PDP) juga dapat membantu meningkatkan keamanan siber di negeri ini.

Pasalnya kehadiran UU PDP akan menjadi paksaan atau amanat yang membuat semua lembaga negara melakukan perbaikan infrastruktur informasi teknologi, sumber daya manusia, bahkan adopsi regulasi yang mendukung pengamanan siber. Tanpa UU PDP, maka kejadian peretasan seperti situs pemerintah akan berulang kembali.