Mempersiapkan SDM Pertahanan Siber di Ibu Kota Baru

Cyberthreat.id – Kereta listrik yang menjadi tulang punggung transportasi di sebuah kota pintar (smart city) itu tiba-tiba berhenti.

Operator kereta bingung. Penumpang bertanya-tanya: apa yang sedang terjadi? Tak biasanya kereta bermasalah. Cuaca cerah. Listrik juga tak padam. Semua terlihat normal.

Di lokasi lain, seorang lelaki menatap layar laptop berukuran 13 inci. Ia mengetikkan sejumlah baris perintah. Wajahnya sumringah. Kerjanya membuahkan hasil: jaringan kereta listrik telah dikuasai dan dalam kendali dirinya secara jarak jauh.

Insiden itu hanyalah gambaran atau simulasi peretasan terhadap jaringan infrastruktur publik di sebuah kota yang saling terintegrasi secara elektronik. Peretas mampu mengambil alih operasi sebuah sistem elektronik kereta listrik kota secara jarak jauh.

Simulasi itu diperagakan oleh pegawai Pusat Pengembangan Sumber Daya Manusia (Pusbang SDM) Badan Siber dan Sandi Negara (BSSN) di Sentul, Kabupaten Bogor, Jawa Barat, Rabu (16 Maret 2022).

Di ruangan simulasi sekitar 10 x 3 meter itu, terdapat miniatur sebuah kota pintar yang memiliki infrastruktur bandara, pusat data, kereta api, pembangkit listrik, billboard, rumah sakit, smart parking, token listrik hingga sektor industri.

Juga, terpasang layar lebar yang menggambarkan bagaimana cara peretas melakukan perintah serangan siber.

Selain kereta listrik, pegawai itu juga memperagakan bagaimana meretas jaringan sebuah perusahaan/industri dan mengendalikan sensor gas: mengubah batas normal CO2 sehingga membuat sensor berbunyi.

Ia juga mampu mengambil alih operasional pembangkit listrik yang mematikan listrik seluruh kota. “Ini seperti di film-film,” kata Dony Harso, Koordinator Pelatihan Teknis dan Fungsional Pubang SDM BSSN.

Dalam sebuah serangan siber, peretas tidak ujug-ujug melakukan serangan. Peretas membutuhkan waktu dengan mulai mengumpulkan berbagai informasi, sehingga mendapatkan gambaran tentang target yang akan diserang.

Peretas akan melakukan pemindaian dengan tools tertentu untuk mendapatkan: protokol internet (IP), domain, port yang dipakai, jenis sistem operasi, basis data, atau apa pun yang menggambar sistem target.

Untuk mendapatkan informasi itu banyak cara, salah satunya teknik social engineering atau phishing. Selanjutnya, peretas mencoba mendapatkan kredensial akses ke sistem, mencari kelemahan port, kesalahan konfigurasi sistem, dan lain-lain.

Ketika berhasil masuk, peretas bisa melakukan apa pun, termasuk menanam perangkat lunak jahat (web shell) yang bisa digunakan untuk akses ke sistem sewaktu-waktu—inilah yang disebut dengan backdoor

Saat menyerang, biasanya peretas telah memiliki senjata atau exploit. Dalam simulasi, pegawai BSSN itu menggunakan komputer yang terinstal sistem operasi Kali Linux dan perangkat lunak Metasploit.

Secara umum, Kali Linux yang berbasis debian Linux biasa dipakai untuk keperluan pengujian sistem (penetration testing). Sistem operasi ini juga tergolong mudah untuk dipakai kalangan pemula karena memiliki ratusan alat untuk pentesting gratis.

Sementara, Metsploit ialah perangkat lunak umum yang dipakai untuk menemukan kerentanan pada sistem elektronik baik jaringan maupun server. Alat yang ditulis dalam bahasa Ruby ini biasanya telah terinstal di Kali Linux.

Suasana pelatihan pegawai Badan Siber dan Sandi Negara (BSSN) di Pusbang SDM di Sentul, Kabupaten Bogor, Jawa Barat, Rabu (16 Maret 2022). Para peserta pelatihan ini disiapkan sebagai pelatih dan membantu pengembangan keamanan siber di daerah. | Foto: Cyberthreat.id/Andi Nugroho

Pelatihan

Di Pusbang SDM inilah, BSSN melatih para pegawainya untuk bisa menguasai teknik peretasan maupun pertahanan.

Dalam pelatihan, para peserta harus bisa memahami bentuk-bentuk serangan siber, salah satunya 10 serangan utama, OWASP Top 10, yang disusun oleh Open Web Application Security Project Foundation.

Ada perbedaan materi yang disampaikan selama pelatihan terkait 10 serangan itu antara program 2017 dan 2021. Ini lantaran OWASP Foundation selalu memperbarui  daftar kerentanan aplikasi web setiap tiga tahun sekali.

Pada 2017, serangan yang dipelajari, meliputi SQL injection, broken authentication, sensitive data exposure, XML external entities (XXE), broken access control, security misconfiguration, cross-siste scripting (XSS), insecure deserialization, using component with known vulnerabilities, dan insufficient logging & monitoring.

Sementara, hal baru yang dipelajari sejak tahun lalu yaitu, insecure design, software and data integrity failure, dan server-side request forgery (SSRF).

Pada tahun ini, BSSN memang memfokuskan pada pengembangan diri SDM. Terdapat 250 skenario serangan dalam cyber security online simulation platform (CSOSP) yang akan diberikan selama pelatihan.

“Tidak semua diajarkan karena sesuai kebutuhan job role dari peserta didik dari institusi tersebut. Contoh yang sekarang dipelajari selama tiga hari ini adalah OWASP Top 10,” kata Amrizal Arif, pengajar di Pusbang SDM.

Dalam waktu dekat, Pusbang SDM juga akan memberikan pelatihan keamanan siber kepada para pengawai Sekretariat Kabinet.

Pengembangan SDM tersebut sebagai langkah mendukung kebijakan smart city yang akan diterapkan di ibu kota negara Nusantara di Kalimantan Timur.

Ibu kota negara baru yang ditargetkan mulai beroperasi bertahap mulai 2024 dirancang menjadi sebuah smart city, yang menuntut penggunaan internet of things (IoT) dan ketergantungan tinggi pada infrastruktur digital, pengumpulan data, dan analisis data.

Oleh karenanya, perlindungan dan antisipasi terhadap aset dan infrastruktur informasi vital terhadap risiko kegagalan fungsi atau serangan siber menjadi fokus utama BSSN.

Tugas Pusbang BSSN cukup besar. Mereka harus melatih sebanyak 2.618 peserta yang berasal dari berbagai unsur pemerintah baik pusat maupun daerah. Tahun ini, dijadwalkan terdapat 84 paket pelatihan.

Pendidikan keamanan siber tersebut diharapkan bisa mendukung operasional smart city di ibu kota baru.

“Dalam mendukung persiapan IKN yang menerapkan smart city, pengembangan SDM, kami mulai tahun ini,” ujar Kepala BSSN Hinsa Siburian.

Kepala BSSN Hinsa Siburian (kiri) didampingi Kepala Pusbang SDM Dame Ria Munthe saat menjelaskan kebutuhan SDM keamanan siber di Indonesia. Kebutuhan SDM yang diperkirakan mencapai 168.504 orang. | Foto: Cyberthreat.id/Andi Nugroho

Ruang simulator

BSSN membangun simulator smart city dan cyber security online simulation platform (CSOSP) sejak tahun lalu di Sentul, Kabupaten Bogor.Keduanya dipakai sebagai sarana belajar untuk merespons sebuah insiden siber dalam bentuk platform laboratorium.

Terdapat empat komponen utama dalam simulator smart city, yaitu (1) cyber physical labs (CPS) berupa maket fisik tiga dimensi sebagai miniatur perkotaan. (2) Red team & adversary simulation platform berupa platform untuk melakukan pengujian serangan di suatu jaringan. (3) Aplikasi simulasi security operaton center (SOC) berupa pemantauan emulasi serangan, termasuk tanggap insiden, pencarian ancaman, dan manajemen insiden.

Terakhir, (4) virtual labs berupa sistem yang menyediakan berbagai skenario serangan, meliputi pentesting, digital forensic, social engineering, password hacking dan sebagainya.

Semua pelatihan yang diajarkan di Pusbang SDM tidak hanya mencakup satu sektor infrastruktur kritis, tapi berbagai sektor, seperti industri, transportasi, energi, kesehatan, sumber daya air, finansial, dan telekomunikasi.[]