Paruh kedua tahun 2019 yang lalu dunia, termasuk Indonesia, sangat dipusingkan oleh serangan pandemi Covid-19. Bukan hanya sektor kesehatan yang luluh lantak seiring banyaknya korban jiwa manusia, tetapi juga sektor ekonomi berada di ambang bencana. Mayoritas pelaku usaha terpaksa menghentikan operasinya. PHK terjadi dimana-mana.
Namun, tidak sedikit juga yang percaya bahwa masa itu merupakan tipping point dari teknologi digital yang semakin masif perkembangannya dan menegaskan eksistensi di dalam berbagai sektor kehidupan kita. Work From Home (WFH), online meeting, sekolah daring, dan lain sebagainya menjadi sesuatu yang makin jamak ditemui.
Digitalisasi menjadi keharusan, khususnya bagi para pelaku usaha yang getol beralih dari pola kerja manual menuju pola kerja digital. Para pelaku usaha di segala tingkatan saling berlomba-lomba untuk menjadi yang terdepan dalam peradaban digital.
Perusahaan tempatku bekerja juga berpandangan demikian. CEO perusahaan bahkan berulang kali mengompori anak buahnya untuk melihat betapa kerennya google setelah beberapa kali kunjungannya kesana. Teknologi digital adalah pilar krusial bagi perusahaan di masa depan.
Sebagai perusahaan yang bergerak di bidang manufaktur, kebutuhan akan sebuah sistem terintegrasi digital Enterprises Resource Planning (ERP) sangatlah penting dalam upaya kerja operasional perusahaan agar semakin produktif, efektif, dan efisien.
Dalam hal ini perusahaan tempatku bekerja sudah menggunakan Microsoft Dinamix AX sebagai sistem manajemen operasional perusahaan. Melalui penggunaan sistem ERP tersebut diharapkan akan mereduksi beberapa aktivitas kerja manual yang selama bertahun-tahun sebelumnya dikerjakan.
Ada empat Plant dan satu Head Office yang terkoneksi dalam sistem ERP kami. Harapan untuk menjadi perusahaan manufaktur modern pun makin membentang.
Namun, sebuah peristiwa tidak mengenakkan terjadi kemudian. Tepatnya di sekitaran tahun 2019 sebelum Indonesia ramai oleh pandemi Covid-19 ketika sebuah serangan cyber (cyber attack) melumpuhkan sistem ERP perusahaan. Data-data penting perusahaan dari tahun-tahun sebelumnya menghilang.
Aku kurang tahu tepatnya itu serangan langsung atau infeksi virus yang dikirimkan oleh tangan-tangan tidak bertanggung jawab. Tapi yang pasti perusahaan terpaksa mengalami gangguan selama beberapa waktu.
Transaksi yang biasanya berjalan melalui sistem ERP terpaksa untuk sementara beralih ke mode manual. Ibarat kata, kembali lagi ke zaman batu. Meski tidak terlalu manual-manual juga karena masih menggunakan aplikasi Microsoft Excel sebagai alat bantu.
Peristiwa tersebut cukup menguras emosi dan tenaga kami. Para karyawan, khususnya tim administrasi terpaksa harus bekerja lembur berhari-hari untuk melakukan input ulang data ke dalam sistem.
Belum lagi keluh kesah dari tim penjualan yang tertunda pengiriman barangnya karena hambatan teknis sistem untuk urusan administrasi pengeluaran barang. Entah berapa puluh atau ratus juta yang menguap gegara masalah tersebut.
Tim IT pun terlihat sibuk menutup celah keamanan; mencari biang kerok masalah; dan melakukan beberapa pertemuan dengan segenap pemimpin perusahaan. Singkat kata, ini adalah masalah keamanan cyber yang kebobolan.
Keamanan Cyber
Jumlah serangan cyber terus meningkat setiap tahunnya. Laporan Veizon Data Breach Investigation 2021 menyampaikan bahwa telah terjadi lebih dari 5.200 insiden keamanan serta 29.000 pelanggaran data pada tahun 2020.
Cybersecurity Ventures memperkirakan bahwa kerugian yang ditimbulkan oleh serangan cyber ini mencapai 6 triliun dollar pada tahun 2021 lalu.
Berkaca juga pada peristiwa yang terjadi di perusahaan tempatku bekerja pada tahun 2019, perihal keamanan cyber ini memang perlu menjadi prioritas perhatian. Apalagi dengan gaung digitalisasi yang semakin masif dilakukan, mau tidak mau hal itu harus diimbangi oleh cyber security yang memadai.
Sebuah penelitian terhadap rumah-rumah yang terhubung dengan jaringan teknologi digital berjudul Penetration Testing of Connected Households menyebutkan bahwa dari 22 perangkat pintar yang diuji, ditemukan 17 kerentanan yang dipublikasikan sebagai CVEs baru.
CVEs ini adalah singkatan dari Common Vulnerabilities and Exposures atau daftar publik dari kerentanan perangkat lunak, sistem, dan layanan. Dengan kata lain, kerentanan yang berisiko meloloskan datangnya serangan cyber memang besar sekali kemungkinannya untuk terjadi dalam berbagai skala tingkatan. Perorangan ataupun perusahaan.
Oleh karena itu, diperlukan upaya preventif untuk mencegah serta menghindari terjadinya ancaman-ancaman tersebut.
Penetration Testing
Ada yang pernah nonton film Die Hard 4.0 : Live Free or Die Hard ? Plot utama di film tersebut berkisah tentang pembobolan sistem keamanan sebuah kawasan oleh hacker yang ternyata merupakan mantan anggota tim yang ikut membangun sistem kemanan disana.
Dia merasa sakit hati karena celah keamanan cyber yang ia sampaikan diabaikan oleh para chief. Sampai kemudian ia memutuskan keluar dari tim dan mulai berulah melakukan pembobolan sistem dan menunjukkan betapa rapuhnya sistem keamanan tersebut.
Lantas apa kaitannya film Die Hard 4.0 tersebut dengan ulasan diatas?
Pada dasarnya, kualitas dari keamanan cyber itu bisa diuji daya tahannya. Seberapa baik atau buruknya cyber security yang dibangun akan terlihat melalui sebuah mekanisme evaluasi keamanan yang disebut dengan Penetration Testing (Pentest).
Secara umum, mekanisme ini dilakukan untuk mengidentifikasi dan mengeksploitasi kerentanan dalam sistem komputer, jaringan, ataupun aplikasi yang tujuan utamanya adalah untuk menilai sejauh mana sistem tersebut rentan terhadap serangan pihak luar yang tidak sah.
Berbeda dengan tindakan kriminal dari tokoh antagonis pada film Die Hard 4.0, proses uji yang bernama penetration testing ini dikerjakan secara etis dan sesuai kebijakan keamanan yang berlaku.
Prosesi langkahnya melibatkan beberapa tahap seperti perencanaan dan pengumpulan informasi, pemindaian, identifikasi kerentanan, eksploitasi kerentanan, dan pelaporan hasil.
Agar hasil yang diperoleh optimal, aktivitas penetration testing ini sebaiknya memang melibatkan pihak ketiga. Harapannya adalah hasil yang didapat lebih objektif, mewakili perspektif eksternal, lebih terlatih karena merupakan spesialisasinya, serta memiliki tanggung jawab hukum seiring kontrak kerja yang dijalin sebelum melakukan kerjasama.
Widya Security merupakan salah satu pemain yang sudah cukup teruji dalam bidang ini. Beberapa klien seperti AstraPay, CIMB Niaga, sampai dengan smartfren pernah menjadi bagian dari klien yang menggunakan layanan pentest.
Para klien dari Widya Security akan mendapatkan Vulnerability Assesment berkaitan dengan celah keamanan, level ancaman, dan dampak yang dapat ditimbulkannya pasca melalui pentest. Disamping itu, akan ada pelaporan secara menyeluruh terkait temuan hasil uji berikut saran dan rekomendasi untuk membuat sistem keamanan menjadi lebih baik.
Terhubung dengan Widya Security
Serahkan pekerjaan pada ahlinya, agar hasilnya memuaskan. Begitupun dengan urusan cyber security ini. Terdapat beberapa aspek yang perlu dipertimbangkan dalam memilih partner untuk bekerja sama dalam rangka menjalankan peran pentest tersebut.
Dalam hal ini, Widya Security memiliki setidaknya enam poin plus yang membuatnya layak diperhitungkan :
1- Expert dalam Pentest
Widya Security memiliki keahlian dan pengalaman yang luas dalam melakukan pentest terhadap sistem, jaringan, dan aplikasi. Tim mereka terdiri dari para ahli yang telah memiliki sertifikasi dan pengalaman praktis yang solid dalam bidang keamanan siber.
Para instruktur di Widya Security tidak hanya memiliki pengetahuan teoritis yang mendalam, tetapi juga pengalaman praktis dalam uji penetrasi dan keamanan siber. Mereka memiliki sertifikasi internasional yang diakui dalam industri, seperti CEH (Certified Ethical Hacker) dan CHFI (Computer Hacking Forensic Investigator).
Dengan kombinasi pengetahuan teoritis dan pengalaman praktis tersebut, maka tim Widya Security dapat melakukan penilaian risiko keamanan secara menyeluruh dan mengidentifikasi potensi kerentanan dengan akurat.
2- Penilaian Risiko yang Komprehensif
Pendekatan yang komprehensif dalam melakukan penilaian risiko keamanan infrastruktur digital klien menjadi kelebihan lain dari Widya Security. Tim mereka memahami sistem, jaringan, dan aplikasi secara mendalam, serta menggunakan strategi yang efektif.
3- Vulnerability Assessment
Evaluasi kerentanan dilakukan oleh Widya Security secara sistematis menggunakan langkah-langkah berikut:
- Penentuan Lingkup dan Tujuan, dalam hal ini lingkup evaluasi dan tujuan ditetapkan secara spesifik.
- Pemilihan Alat yang Tepat, ketika melakukan proses evaluasi tim Widya Security akan menggunakan alat pemindaian seperti Nessus, OpenVAS, atau Qualys.
- Perencanaan Berkala, tim akan merencanakan dan menjadwalkan evaluasi secara teratur, misalnya bulanan atau kuartalan.
- Identifikasi Kerentanan Signifikan, dalam hal ini tim akan memfokuskan pada kerentanan dengan risiko tinggi atau dampak besar.
- Rencana Tindakan, rencana tindakan yang mencakup langkah-langkah perbaikan konkret akan dibuat berdasarkan prosesi sebelumnya.
- Keterlibatan Tim yang Tepat, tim keamanan siber, administrator sistem, dan pemilik aplikasi akan dilipatkan secara proporsional.
- Pelajari dari Hasil, tim terkait akan menggunakan hasil evaluasi untuk mengidentifikasi tren dan pola kerentanan yang muncul.
- Perhatian Terhadap Aspek Keamanan Fisik, pemeriksaan terhadap aspek keamanan fisik seperti akses fisik ke server.
Melalui beberapa pendekatan ini, Widya Security membantu perusahaan untuk mengidentifikasi dan mengatasi kerentanan sebelum dieksploitasi oleh penyerang, meningkatkan integritas dan keamanan sistem mereka.
4- Penyesuaian Pendekatan Uji
Widya Security mengambil pendekatan pengujian yang dioptimalkan sesuai kebutuhan dan lingkungan setiap klien mereka. Mereka merancang skenario pengujian yang spesifik untuk mencerminkan ancaman yang paling mungkin dihadapi oleh klien.
Dengan demikian, tim pengujian dapat mengidentifikasi kerentanan potensial yang relevan dengan sistem dan jaringan klien, memberikan rekomendasi yang tepat, dan meningkatkan keamanan infrastruktur secara efektif. Setiap pengujian dirancang dengan cermat untuk memenuhi kebutuhan unik dan menciptakan solusi yang optimal dalam menghadapi ancaman siber.
5- Laporan dan Rekomendasi
Laporan hasil pengujian secara menyeluruh disajikan setelah menyelesaikan tahap pentest. Laporan ini mencakup identifikasi kerentanan, tingkat ancaman, dan potensi dampak pada sistem dan infrastruktur klien.
Tim pentesting merinci metode yang digunakan, analisis kerentanan, serta hasil dari upaya penyerangan yang dilakukan. Laporan ini juga memuat rekomendasi yang disusun berdasarkan temuan untuk memperbaiki keamanan sistem dan infrastruktur klien.
Dengan demikian, klien dapat memahami risiko yang dihadapi dan mengambil langkah-langkah yang tepat untuk meningkatkan keamanan mereka. Dengan begitu, pelanggan tidak hanya mendapatkan laporan komprehensif, tetapi juga panduan tindakan yang spesifik untuk mengatasi masalah keamanan yang diidentifikasi.
6- Dukungan Pasca Implementasi
Widya Security tidak hanya menjadi mitra konsultasi terbaik selama proses pentest, tetapi juga memberikan dukungan pasca implementasi yang komprehensif. Tim profesional yang bersertifikasi akan terus membantu klien dalam memperbaiki kerentanan yang diidentifikasi dan meningkatkan keamanan secara keseluruhan.
Menawarkan dukungan berkelanjutan untuk memastikan bahwa standar keamanan informasi dipertahankan dengan baik. Dukungan ini mencakup konsultasi langsung dengan ahli untuk menjawab pertanyaan dan memberikan panduan praktis dalam menjaga kepatuhan dan keamanan data. Hal ini akan meyakinkan klien bahwa keamanan informasi mereka dikelola dengan baik bahkan setelah implementasi selesai.
Masa Depan Keamanan Data Indonesia
Yang paling krusial dari teknologi digital sekarang ini adalah data. Dengan kata lain, cyber security dibangun dan dipersiapkan dalam rangka untuk melindungi keamanan data.
Apabila dalam konteks serangan cyber yang menerpa perusahaan tempatku bekerja sampai bisa membuat perusahaan lumpuh untuk beberapa saat dan menimbulkan kerugian berjuta-juta rupiah, maka tatkala hal itu terjadi dalam skala yang lebih besar seperti negara maka tidak bisa dibayangkan betapa dahsyat dampaknya.
Terlebih makin kesini dunia makin terhubung. Sehingga potensi serangan cyber bisa datang dari mana saja dan kapan saja. Ketika sistem keamanan tidak cukup handal menangkal serangan, pastilah kerugian yang ditimbulkannya akan luar biasa.
Seperti yang kita tahu, jumlah pengguna internet di Indonesia sangatlah besar. Di satu sisi hal ini mungkin menjadi keuntungan tersendiri. Akan tetapi, di sisi lain, risiko keamanan yang ditimbulkannya juga akan ikut meningkat.
Jangan dikira interaksi individu seseorang dengan “dunia maya” tidak mendatangkan risiko ancaman, khususnya bagi organisasi yang didalamnya bernaung sebuah sistem, aplikasi, server, jaringan, ataupun website yang menjadi alat dukung operasional sebuah organisasi.
Pintu masuk serangan bisa bermula dari mana saja. Aku memahami ini dari kasus yang pernah terjadi di tempat kerjaku. Pasca perisitwa serangan cyber tahun 2019 itu, CEO perusahaan langsung merombak akses penggunaan sistem ERP perusahaan.
Apabila sebelumnya semua komputer bisa melakukan login ke sistem ERP, sekarang hanya beberapa komputer saja yang bisa. Jumlah user pun dibatasi agar pintu masuk ke sistem semakin mudah dipantau oleh tim IT.
Pembatasan akses jaringan internet juga dilakukan, sehingga beberapa situs tidak bisa diakses menggunakan jaringan internet milik perusahaan. Tidak setiap layar komputer bisa mengakses facebook, youtube, dan sejenisnya.
Nah, bagaimana kesimpulan yang mendorong lahirnya kebijakan tersebut muncul ? Sepertinya ada peran penetration testing disini.
Hal itu pula hendaknya dilakukan dalam skala yang lebih besar dan lebih krusial seperti negara untuk mengukur sejauh mana kualitas keamanan cyber negara kita berjalan.
Jangan sampai kasus-kasus serangan cyber pada data-data penting negara terjadi karena itu akan sangat memalukan dan merendahkan kedaulatan kita.
Maturnuwun,
Agil Septiyan Habib