Semarang (ANTARA) - Pakar keamanan siber doktor Pratama Persadha memandang penting rencana mitigasi atau business continuity planning (BCP) terkait dengan salah satu unggahan Twitter yang menyebutkan peretasan terhadap situs web www.pusmanas.bssn.go.id milik Badan Siber dan Sandi Negara (BSSN).
"Seharusnya BSSN sejak awal mempunyai rencana mitigasi atau 'BCP' ketika terjadi serangan siber karena induk 'CSIRT' (Computer Security Incident Response Team) di Indonesia adalah BSSN," kata Pratama Persadha melalui percakapan WhatsApp kepada ANTARA di Semarang, Senin.
Ketua Lembaga Riset Siber Indonesia CISSReC ini menjelaskan bahwa serangan dengan deface memang sering terjadi ke website pemerintah. Sebelumnya, pada situs Sekretariat Kabinet (Setkab) Republik Indonesia, Kali ini dikabarkan laman BSSN terkena deface.
Baca juga: Pratama: Perlu kesadaran keamanan soal penyusupan judi online di K/L
Diungkapkan pula bahwa serangan tersebut diunggah pada hari Rabu (20/10) oleh akun Twitter @son1x777. Di unggahan tersebut dituliskan telah di hack oleh "theMx0nday". Dituliskan oleh pelaku deface bahwa aksi ini untuk membalas pelaku yang diduga dari Indonesia yang telah meretas website negara Brazil.
Pratama mengemukakan bahwa deface pada website merupakan peretasan ke sebuah web situs dan mengubah tampilannya. Perubahan tersebut bisa meliputi seluruh halaman atau di bagian tertentu saja. Misalnya, font website diganti, muncul iklan mengganggu, hingga perubahan konten halaman secara keseluruhan.
Menurut dia, kalau melihat sistem keamanan yang sudah baik di BSSN, sepertinya ada pelanggaran standar operasional prosedur (SOP) terhadap link pada www.pusmanas.bssn.go.id, karena mungkin tidak melewati proses penetration test terlebih dahulu ketika akan di publish.
Kalau dicek attack-nya, kata dia, mungkin bisa dicari tahu kenapa bisa firewall-nya mem-bypass serangan ke celah vulnerable-nya. Attack yang simpel pun kalau lolos dari firewall bisa mengakibatkan kerusakan yang besar.
"Jangan dianggap semua serangan deface itu adalah serangan ringan, bisa jadi hacker-nya sudah masuk sampai ke dalam," kata Pratama yang pernah sebagai pejabat Lembaga Sandi Negara (Lemsaneg) yang kini menjadi BSSN.
Kendati demikian, kata dia, perlu melakukan digital forensik dan audit keamanan informasi secara keseluruhan.
Dikatakan pula bahwa kejadian ini sangat disayangkan BSSN sebagai institusi yang harusnya paling aman keamanan sibernya hanya gara-gara kesalahan kecil yang tidak perlu, ternyata jadi gampang diretas.
"Saat ini yang terpenting adalah data di dalamnya tersimpan dalam bentuk encrypted. Dengan demikian, kalaupun tercuri, hacker tidak akan bisa baca isinya," kata pria asal Cepu, Kabupaten Blora, Jawa Tengah ini.
Ditambahkan pula bahwa di dalam dunia keamanan siber, tidak ada sistem informasi yang benar-benar aman 100 persen.
Ia mencontohkan situs penting Amerika seperti FBI (Federal Bureau of Investigationan) dan Badan Antariksa Amerika (National Aeronautics and Space Administration/NASA) juga pernah diretas. Selain itu, situs web badan intelijen Amerika, yaitu Central Intelligence Agency (CIA) pun juga menjadi korban serangan peretas.
"Salah satu solusinya, untuk security audit atau pentest, bisa dilakukan secara berkala baik dengan pendekatan blackbox maupun white box. Metode yang digunakan bisa passive penetration atau active penetration," tutur Pratama.
Khusus untuk pentest web defacement, lanjut dia, pengujian yang perlu dilakukan adalah configuration management testing, authentication testing, session management testing, authorization testing, data validation testing, dan web service testing. Tools yang bisa digunakan, antara lain Arachni, OWASP Zed Attack Proxy Project, Websploit, dan Acunetic.
Solusi lain, lanjut dia, secara kenegaraan adalah dengan menyelesaikan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) dengan segera. Dengan demikian, ada paksaan atau amanat dari UU PDP untuk memaksa semua lembaga negara melakukan perbaikan infrastruktur IT, SDM, bahkan adopsi regulasi yang pro pengamanan siber.
"Tanpa UU PDP, maka kejadian peretasan seperti situs pemerintah akan berulang kembali," kata dosen pascasarjana pada Sekolah Tinggi Intelijen Negara (STIN) ini.
Baca juga: Pratama: Peretasan IG pemkot tunjukkan pengamanan digital perlu dibenahi
Baca juga: CISSReC: Perlu cek kebenaran Thanos serang sejumlah kementerian/lembaga
Berita Terkait
Pemkab Purbalingga terima Surat Tanda Registrasi CSIRT dari BSSN
Jumat, 11 Oktober 2024 11:19 Wib
DPR koordinasi dengan Bareskrim dan BSSN telusuri peretas akun YouTube
Rabu, 6 September 2023 11:00 Wib
Central Java becomes first province to get data center : BSSN
Rabu, 4 Januari 2023 9:30 Wib
BSSN ajak generasi milenial perlu literasi beraktivitas di ruang siber
Rabu, 14 Desember 2022 9:38 Wib
Ada 1,6 miliar serangan siber sepanjang 2021 di Indonesia
Selasa, 27 September 2022 16:31 Wib
Pakar: Komisi PDP tidak akan maksimal di bawah BSSN
Kamis, 7 April 2022 14:14 Wib
Kementerian Kominfo usut kebocoran data pelamar kerja anak perusahaan Pertamina
Kamis, 13 Januari 2022 9:09 Wib
Anggota DPR desak BSSN audit forensik sistem seleksi tes CASN
Selasa, 16 November 2021 7:38 Wib