Sejumlah Chief Information Officers (CIO) mengungkap keamanan siber akan menjadi prioritas mereka pada 2023. Hal ini menunjukkan keamanan siber menjadi prioritas utama lantaran ancaman dan risiko yang dihadapi perusahaan kian kompleks. Sehingga, pelaku bisnis mulai berfokus untuk melakukan mitigasi dan mengurangi risiko dari ancaman siber yang makin canggih.
Institusi finansial tak lepas dari ancaman ini. Di Singapura, terjadi kerugian S$13,7 juta (Rp156,5 miliar) akibat SMS phishing yang menjerat 790 korban. Bank yang terkena serangan siber tentu terancam kerugian. Menurut ahli, hal ini bisa menyebabkan penurunan peringkat kredit bank tersebut, kehilangan kepercayaan pelanggan, serta berbagai kerugian finansial lainnya.
Sehingga, diperlukan strategi keamanan siber yang efektif dan terstruktur. Strategi yang dibangun juga perlu menjaga kewaspadaan menyeluruh pada sistem teknologi informasi (TI) yang dikelola sembari tetap menjaga keselarasan dengan hukum yang berlaku.
Di Singapura, Otoritas Moneter telah mengeluarkan “Pedoman TRM MAS” untuk memandu organisasi dan bisnis dalam menerapkan manajemen risiko yang berkaitan dengan teknologi (MRT). Pedoman ini memberikan sejumlah rekomendasi untuk membantu lembaga keuangan dalam menyiapkan tata kelola dan pengawasan yang baik terhadap sistem mereka. Sehingga, rekomendasi ini bisa menjadi dasar bagi CIO dan Chief Risk Officer (CRO) perusahaan untuk menjaga ketahanan sistem informasi mereka.
OpenGov Breakfast Insight dengan para petinggi perusahaan finansial Singapura pada 9 Maret 2023 membahas teknologi terkini untuk menangani ancaman serta menyiapkan antisipasi terbaik dari serangan siber yang makin canggih.
Cara baru hadapi serangan siber
Di era internet yang serba terhubung ini, Mohit Sagar, CEO and Editor-in-Chief dari OpenGov Asia mengungkap bahwa saat ini sudah berkembang berbagai cara baru untuk memandang keamanan siber. Tim teknologi informasi (TI) di perusahaan mesti lebih lincah melakukan mitigasi.
Jika pada sebelumnya arsitektur perlindungan siber didirikan dengan perspektif defensif dan pasif, maka saat ini mereka harus lebih aktif dan agresif. Perlindungan pasif dilakukan dengan menyiapkan ‘benteng’ untuk melindungi sistem mereka, baik berupa cloud, jaringan, dan juga lingkungan Internet of Things (IoT).
Di sisi penyedia layanan (dalam hal ini bank dan institusi finansial), perlindungan defensif biasanya dilakukan mulai dari pemasangan firewall dan VPN untuk menjaga penyusup masuk ke jaringan, menerapkan standar keamanan ketika membangun software, menyiapkan rencana ketika terjadi insiden, dan memastikan kepatuhan pada aturan dan hukum.
Sementara perlindungan aktif dilakukan dengan melakukan pencegahan, sehingga tim TI mesti selangkah lebih maju dari para penjahat siber. Mereka juga mesti menyiapkan perlindungan di sisi pengguna, baik bagi karyawan maupun nasabah. Mereka mesti memastikan perangkat yang digunakan karyawan untuk mengakses sistem, baik laptop, ponsel, tablet, memiliki aplikasi keamanan siber, pencegah intrusi, hingga enkripsi. Untuk menjaga keabsahan akses, sejumlah langkah otentikasi (multi-factor authentification) mutlak dilakukan.
“Mereka pun mesti mengembangkan sistem keamanan dengan perspektif baru: zero trust (tanpa kepercayaan),” tegas Mohit.
Model ini menganggap tidak ada pengguna, perangkat, dan aplikasi yang bisa dipercaya ketika mereka masuk ke dalam sistem dan jaringan TI perusahaan. Sistem hanya bisa memberikan kepercayaan begitu para peminta akses ini bisa memberikan otentifikasi dan verifikasi, bahkan ketika para pengguna dan penyusup sudah masuk ke dalam jaringan.
Pembuka
Sebelum membahas lebih jauh mengenai ‘zero trust’, Nick Savvides, Field CTO & Senior Director of Strategic Business APAC Forcepoint membeberkan sejumlah perubahan cara kerja di perusahaan TI membuat ancaman keamanan siber baru. Ia pun membeberkan sejumlah tren terbaru sebagai berikut.
- Bekerja dari rumah
Tren bekerja dari rumah mulai marak ketika pandemi COVID-19. Ketika hal ini terjadi, tim TI perusahaan pun disibukkan dengan berbagai solusi untuk mengamankan jaringan dari perangkat-perangkat yang dipakai pekerja di luar kantor.
Ancaman keamanan siber meningkat karena pekerja jadi lebih sembrono mengakses situs-situs berbahaya. Di rumah masing-masing, mereka tidak mendapat tekanan sosial soal apa yang mereka buka di perangkat kantor. Sementara di kantor, pekerja akan lebih segan untuk mengakses situs-situs berbahaya itu.
Selain itu, lebih sulit menjaga siapa mengakses perangkat mereka, bisa jadi perangkat kantor dipinjam oleh anak atau kerabat yang lain. Hal ini merujuk pada masalah otorisasi dan keamanan data pribadi.
- Penimbun data
Dalam sepuluh tahun terakhir, perusahaan berlomba mengumpulkan data dan tidak rela membuangnya. Namun, menurut Savvides, makin banyak data ditimbun perusahaan malah makin menarik penjahat siber untuk masuk.
“Orang berpikir data adalah sumber minyak baru. Bukan, itu adalah bom waktu, sampah nuklir,” Savvides memperingatkan.
Menurutnya, data memang bisa berguna di satu waktu. Namun, setelah tidak diperlukan lagi, sebaiknya data segera dibuang. Menyimpan data yang tidak digunakan dapat membuat perusahaan menjadi sasaran empuk penjahat siber.
- Kompleksitas sistem
Menjaga keamanan sistem perusahaan membuat sistem TI semakin rumit. Hal ini merupakan imbas dari terlalu lamanya menggunakan cloud hibrida, memiliki terlalu banyak data, dan kekurangan pekerja. Untuk mengatasi kompleksitas ini, Savvides mengusulkan untuk melakukan otomasi, misal mengotomatiskan perangkat keamanan ketika terjadi krisis.
- Zero trust
Terakhir, Savvides memaparkan soal konsep zero trust bagi tim TI. Menurutnya, konsep ini pada dasarnya mesti membuat sistem keamanan skeptis dengan para pengakses data perusahaan. Sistem TI mesti melakukan pemeriksaan ulang apakah pengakses memang memiliki hak dan otoritas untuk mengakses data tersebut atau mereka sebenarnya adalah penyusup yang menyamar.
“Hal ini serupa seperti menjaga anak-anak, Anda tidak akan menyerahkan mereka ke orang yang tidak Anda kenal baik dan percaya,” tutupnya.
Wawasan pengguna
Belakangan ini, penjahat siber makin populer dan terorganisir, jelas Lionel Bruchez, Chief Information Security Officer, UBS Singapore. Menurutnya, model kejahatan lewat internet cenderung lebih minim usaha, berisiko rendah, dan dapat disertai dengan keuntungan yang lebih menggiurkan.
Ia lantas membeberkan sejumlah keuntungan yang didapat para penjahat siber dengan membobol sejumlah perusahaan. Perusahaan finansial asal Amerika Serikat, CNA Financial, menderita kerugian US$40 juta (Rp617 miliar) sebagai imbas dari serangan siber yang berpengaruh pada 75 ribu pelanggan mereka.
Peretasan pengelola aset kripto DeFi, Wormhole, kehilangan US$326 juta (Rp5 triliun). Penyedia aset kripto Axie Infinity merugi lebih besar, mereka kebobolan US$625 juta (Rp9,6 triliun) imbas peretasan. Kasus terparah dialami oleh FBI yang kecolongan US$43 miliar (Rp663,3 triliun) antara Juni 2016 hingga Desember 2021.
“Kejahatan siber lebih menguntungkan dan lebih aman ketimbang melakukan tindakan kriminal seperti merampok bank,” jelas Bruchez.
Bruchez lantas membeberkan setidaknya terdapat empat tipe penjahat siber, hacktivist dan teroris, grup kriminal terorganisasi, orang dalam, serta pemerintah dan dalang berbasis negara.
- Hacktivist dan teroris
Mereka lebih idealis dan berisik, didorong oleh motivasi ideologis. Kecanggihan, kemampuan serangan siber, dan motivasi finansial kelompok ini tergolong rendah.
- Kelompok organisasi kriminal
Mereka memiliki kemampuan teknis dan intensi kejahatan siber moderat. Kerap kali, kelompok organisasi kriminal bekerja sama dengan negara tertentu untuk melancarkan aksi mereka.
- Orang dalam
Punya motivasi yang sangat tinggi, namun memiliki level kecanggihan dan kemampuan peretasan yang rendah. Mereka biasanya sudah masuk ke perusahaan dan mengambil informasi tertentu yang dibutuhkan untuk mencapai motif mereka, baik secara finansial atau motif lain.
- Pemerintah dan dalang berbasis negara
Penjahat siber model ini bekerja untuk negara tertentu, memiliki motivasi dan kemampuan peretasan yang tinggi. Kebanyakan dilakukan untuk memata-matai dan untuk keuntungan jangka panjang bagi negara yang menjadi induk semang mereka.
Lebih lanjut, para penjahat siber sekarang sudah lebih terorganisir. Mereka membuka lowongan kerja dengan tawaran gaji, paket liburan, dan tunjangan perangkat, sehingga tak heran jika serangan siber semakin marak terjadi kian hari.
Mereka juga memiliki struktur layaknya perusahaan. Ada kepala yang menjadi CEO organisasi dan memiliki sistem jabatan penting layaknya perusahaan, seperti CIO, COO, dan CFO. CIO membawahi para pengembang malware dan penyerang jaringan. COO bertugas mengorganisasikan para peretas. Sementara CFO memastikan keuntungan organisasi. Ia membawahi wewenang terkait strategi bisnis dan monetisasi, hingga pengembalian investasi (return of investment / ROI).
Sejumlah ancaman di 2023 juga diutarakan. Menurut Bruchez, ketegangan geopolitik akan meningkatkan kejahatan siber antar negara. Cloud masih akan jadi target para hacker untuk menyusup ke dalam sistem organisasi.
UBS juga memperkirakan serangan ransomware dengan motif keuntungan finansial masih akan terus naik di 2023. Tak cukup sekali ransomware, variasi serangan ini diperkirakan makin marak dengan melakukan pemerasan kedua bahkan ketiga. Perangkat Internet of Things (IoT) dan operasional lain menjadi celah baru bagi penjahat siber.
Rantai pasokan (supply chain) pun rentan, sehingga menjadi celah masuk lain para peretas. Model peretasan C2 (command and control) juga masih akan marak. Para penjahat siber juga akan memanfaatkan model AI seperti ChatGPT untuk melakukan serangan social engineering. Bahkan, model peretasan ini kerap berkembang dengan menyebarkan disinformasi politik atau finansial terlebih dulu.
Untuk itu, keamanan siber perlu ditingkatkan dengan keamanan yang berlapis. Pertama, identifikasi risiko dan kelemahan yang mungkin dapat diserang dengan mengenali titik lemah, melihat konteks serangan, menyelia jejaring distribusi penyerangan, dan mengetahui kapan kemungkinan serangan akan dilakukan.
Kedua, tim TI juga perlu mengurangi titik-titik, melakukan pengawasan, dan manajemen penambalan lubang keamanan. Terakhir, membuat mitigasi bencana dengan membuat dan memperbarui petunjuk mitigasi, pendidikan dan pelatihan, serta mengevaluasi ketahanan siber perusahaan.
Penutup
Menurut Nick, seiring dengan semakin banyak aktivitas yang dilakukan dalam jaringan, isu keamanan siber menjadi makin kritis. Namun, kepatuhan pada aturan keamanan siber saja tidak cukup untuk menghadapi variasi dan kecanggihan serangan siber saat ini.
“Meskipun kepatuhan terhadap peraturan dan standar keamanan dunia maya itu penting, memahami prinsip dasar dan praktik terbaik akan membantu Anda melindungi diri dari ancaman dunia maya.”
Kolaborasi juga penting dalam keamanan siber. Organisasi, perusahaan, pemerintah dan organisasi internasional perlu merapatkan barisan, berbagi informasi tentang ancaman dan kerentanan terbaru, bersama-sama mengembangkan strategi yang efektif untuk mencegah dan menghadapi serangan dunia maya.
Lebih lanjut, Mohit sepakat bahwa kerjasama menjadi hal utama untuk membangun komunitas yang kuat dan suportif dalam menghadapi bahaya penjahat siber. Sehingga, komunitas TI dapat mengatasi tantangan, beradaptasi dengan perubahan, dan bangkit dari keterpurukan bersama-sama.