Ini Titik Paling Lemah Keamanan Siber yang Gampang Dijebol
loading...
A
A
A
JAKARTA - Ekonomi digital di Indonesia mengalami pertumbuhan yang pesat. Tentunya, itu perlu diimbangi dengan keamanan siber agar memberikan rasa aman dan percaya terhadap masyarakat untuk bertransaksi secara digital.
Pengamat teknologi informasi (TI) Marsudi Wahyu Kisworo menerangkan ada tiga komponen penting dalam keamanan teknologi informasi. Tiga komponen itu adalah teknologi, prosedur, dan manusia. Dengan perkembangannya yang pesat, hampir tidak mungkin peretasan dilakukan melalui teknologi kendati kemungkinan itu tetap ada.
“Yang paling lemah itu manusianya karena sering teledor. Password dan PIN gampang ditebak, misalnya, tanggal lahir. Atau kita sering lihat whatsapp diretas. Itu bukan diretas, tetapi ada yang meregister dengan nomor itu. Lalu, yang bersangkutan ditelepon seseorang dan menyerahkan kode OTP,” ujarnya saat dihubungi SINDOnews, Rabu malam (11/10/2020).
(Baca: Mencegah Peretasan dan Pemulihan Website yang Dibajak)
Menurut Marsudi, peristiwa peretasan fintech atau jasa keuangan itu lebih banyak karena kelengahan masyarakat, bukan karena teknologinya. Peretasan langsung ke server atau pusat penyimpanan data jauh lebih sulit. Dia mencontohkan peristiwa bocornya data pengguna dua raksasa e-commerce di Indonesia beberapa waktu lalu.
“Sampai sekarang kasus Tokopedia dan Bukalapak tidak ada pernyataan resmi dibobol melalui teknologi. (Mungkin melalui) social engineering, ada petugas di sana yang teledor akhirnya orang lain bisa masuk karena pasword mudah ditebak. Sekarang ini paspor cracker itu banyak. Makanya, paspor diatur harus ada huruf besar dan kecil, kombinasi angka, simbol, dan sebagainya,” jelasnya.
Marsudi berharap pemerintah lebih aktif dalam mengawasi keamanan perusahaan digital melalui audit sistem setiap perusahaan. Badan Siber dan Sandi Negara (BSSN) melakukan sertifikasi terhadap teknologi dan sistem yang digunakan perusahaan digital.
Selain pengawasan, diperlukan undang-undang (UU) khusus mengenai TI, yang memperkuat pidana bagi pelaku kejahatan TI. Saat ini jaminan keamanan data diatur dalam beberapa aturan, seperti Undang-Undang (UU) Perlindungan Konsumen, Telekomunikasi, Informasi dan Transaksi Elektronik (ITE).
“Hanya memang faktor keamanan data ini masih menjadi masalah, baik dari sisi penegakkan hukum, perlindungan data itu sendiri, teknis, dan keberdayaan pengguna. Itu menjadi tanggung jawab semua pihak dan masing-masing memiliki tanggung jawab,” ujar Heru Sutadi, pengamat teknologi informasi kepada SINDOnews, Kamis (12/11/2020).
(Baca: Pemerintah Dituntut Perkuat Keamanan Siber di Masa Corona)
Menurut dia, mengusulkan pemerintah dan DPR perlu merumuskan perlindungan data pribadi yang kuat dan aturannya bisa ditegakkan. Kemudian, penyedia layanan, termasuk platform harus memiliki prosedur dan standar keamanan informasi dengan minimal ISO 27001. Pengontrol data harus menempatkan semua data di Indonesia, tidak boleh berada di luar negeri. “Pemroses data harus dapat lisensi dan sertifikat keamanan data,” ucapnya.
Pemerintah dan penyedia jasa pun harus mengedukasi masyarakat mengenai cara-cara melindungi data pribadi. Hal tersebut tidak lepas banyaknya celah keamanan siber dan sifatnya dinamis.
“Meski cara lama masih suka dipakai, seperti phising dan hacking. Akan tetapi, cara-cara baru juga dijalankan para penjahat siber dengan menggabungkan cara offline dan online, seperti SIM Swap, pembajakan OTP, peretasan, dan pengambilalihan akun media sosial dan pesan instan,” ujar dia.
Pengamat teknologi informasi (TI) Marsudi Wahyu Kisworo menerangkan ada tiga komponen penting dalam keamanan teknologi informasi. Tiga komponen itu adalah teknologi, prosedur, dan manusia. Dengan perkembangannya yang pesat, hampir tidak mungkin peretasan dilakukan melalui teknologi kendati kemungkinan itu tetap ada.
“Yang paling lemah itu manusianya karena sering teledor. Password dan PIN gampang ditebak, misalnya, tanggal lahir. Atau kita sering lihat whatsapp diretas. Itu bukan diretas, tetapi ada yang meregister dengan nomor itu. Lalu, yang bersangkutan ditelepon seseorang dan menyerahkan kode OTP,” ujarnya saat dihubungi SINDOnews, Rabu malam (11/10/2020).
(Baca: Mencegah Peretasan dan Pemulihan Website yang Dibajak)
Menurut Marsudi, peristiwa peretasan fintech atau jasa keuangan itu lebih banyak karena kelengahan masyarakat, bukan karena teknologinya. Peretasan langsung ke server atau pusat penyimpanan data jauh lebih sulit. Dia mencontohkan peristiwa bocornya data pengguna dua raksasa e-commerce di Indonesia beberapa waktu lalu.
“Sampai sekarang kasus Tokopedia dan Bukalapak tidak ada pernyataan resmi dibobol melalui teknologi. (Mungkin melalui) social engineering, ada petugas di sana yang teledor akhirnya orang lain bisa masuk karena pasword mudah ditebak. Sekarang ini paspor cracker itu banyak. Makanya, paspor diatur harus ada huruf besar dan kecil, kombinasi angka, simbol, dan sebagainya,” jelasnya.
Marsudi berharap pemerintah lebih aktif dalam mengawasi keamanan perusahaan digital melalui audit sistem setiap perusahaan. Badan Siber dan Sandi Negara (BSSN) melakukan sertifikasi terhadap teknologi dan sistem yang digunakan perusahaan digital.
Selain pengawasan, diperlukan undang-undang (UU) khusus mengenai TI, yang memperkuat pidana bagi pelaku kejahatan TI. Saat ini jaminan keamanan data diatur dalam beberapa aturan, seperti Undang-Undang (UU) Perlindungan Konsumen, Telekomunikasi, Informasi dan Transaksi Elektronik (ITE).
“Hanya memang faktor keamanan data ini masih menjadi masalah, baik dari sisi penegakkan hukum, perlindungan data itu sendiri, teknis, dan keberdayaan pengguna. Itu menjadi tanggung jawab semua pihak dan masing-masing memiliki tanggung jawab,” ujar Heru Sutadi, pengamat teknologi informasi kepada SINDOnews, Kamis (12/11/2020).
(Baca: Pemerintah Dituntut Perkuat Keamanan Siber di Masa Corona)
Menurut dia, mengusulkan pemerintah dan DPR perlu merumuskan perlindungan data pribadi yang kuat dan aturannya bisa ditegakkan. Kemudian, penyedia layanan, termasuk platform harus memiliki prosedur dan standar keamanan informasi dengan minimal ISO 27001. Pengontrol data harus menempatkan semua data di Indonesia, tidak boleh berada di luar negeri. “Pemroses data harus dapat lisensi dan sertifikat keamanan data,” ucapnya.
Pemerintah dan penyedia jasa pun harus mengedukasi masyarakat mengenai cara-cara melindungi data pribadi. Hal tersebut tidak lepas banyaknya celah keamanan siber dan sifatnya dinamis.
“Meski cara lama masih suka dipakai, seperti phising dan hacking. Akan tetapi, cara-cara baru juga dijalankan para penjahat siber dengan menggabungkan cara offline dan online, seperti SIM Swap, pembajakan OTP, peretasan, dan pengambilalihan akun media sosial dan pesan instan,” ujar dia.
(muh)