Instruksi ke Seluruh Pegawai, BNPT: Hapus Zoom dari Laptop dan Smartphone

Jakarta, Cyberthreat.id – Badan Nasional Penanggulangan Terorisme (BNPT) Republik Indonesia menerbitkan surat edaran larangan penggunaan aplikasi telekonferensi video Zoom bagi seluruh pegawainya.

Larangan tersebut ditekankan baik saat mengadakan rapat lingkup internal maupun saat bersama pihak luar instansi.

“Setiap pelaksanaan rapat video conference agar menggunakan aplikasi lain yang telah terjamin enkripsinya,” demikian surat edaran yang diteken oleh Sekretaris Utama BNPT Adang Supriyadi itu.

Surat edaran Kepala BNPT Nomor 8 Tahun 2020 tentang Larangan Penggunaan Aplikasi Video Conference Zoom di Lingkungan BNPT Terkait Pengamanan Informasi Data diteken per tanggal 24 April 2020.

Berita Terkait:

• Unduh Zoom 5.0: Enkripsi Baru hingga Lapor Zoombombing
• Server Cadangan di China Sudah Dicabut, Mengapa Kemhan Masih Larang Zoom?
• Kunci Enkripsi ke Server China, CEO: Kami Salah Langkah

Alasan larangan BNPT RI tak jauh beda dengan apa yang dikeluarkan oleh Kementerian Pertahanan RI pada 21 April lalu.

Pertama, BNPT menilai tidak adanya jaminan keamanan data dari pihak penyedia aplikasi Zoom. Kedua, adanya duplikasi trafik yang dilaporkan pihak penyedia aplikasi Zoom ke server yang berada di negara lain, yang dapat dimonitor oleh pihak yang tidak berkepentingan.

Sayangnya, seperti halnya Kementeriah Pertahanan, BNPT tak menjelaskan detail ancaman pencurian data atau duplikasi trafik yang dimaksud. Bahkan, disebutkan pula Zoom harus dicopot di seluruh perangkat guna menghindari scamming—penipuan online.

BNPT juga tak memaparkan apakah sebelumnya telah terjadi insiden scamming di lingkup pemerintahan atau di Indonesia secara umum.

“Seluruh pejabat dan staf yang masih menginstal aplikasi Zoom Meeting pada perangkat laptop maupun smartphoe agar segera dihapus/di-uninstall untuk menghindari terjadinya pencurian data atau scamming,” demikian salah satu poin yang ditekan dalam surat edaran itu.

Dalam surat edaran yang didapat Cyberthreat.id, Selasa (28 April 2020), disebutkan bahwa surat edaran dimaksudkan sebagai pedoman. Dasar pengambilan keputusan larangan itu merupakan arahan dari pimpinan BNPT.

“Tujuan [dari surat edaran] adalah untuk mencegah kebocoran data dan informasi ke pihak yang tidak bertanggung jawab,” tertulis dalam surat tersebut.

Zoom 5.0

Pada 27 April, Zoom Video Communication Inc, pengembang Zoom, baru saja merilis Zoom versi 5.0. Pengembang mengklaim bahwa aplikasi terbaru ini lebih aman dari sebelumnya.

Salah satu yang dibanggakan oleh Zoom adalah dukungan enkripsi AES-bit GCM karena memberikan perlindungan tambahan untuk data rapat online dan resistensi yang lebih besar.

“Pengaktifan akun di seluruh sistem untuk enkripsi GCM akan dimulai per 30 Mei 2020 dan hanya klien Zoom versi 5.0 atau yang lebih baru, termasuk Zoom Rooms, yang dapat bergabung dengan Zoom Meetings,” kata Chief Product Officer (CPO) Zoom, Oded Gal di blog perusahaan.

Berita Terkait:

• Makin Dilarang, Zoom Malah Raih 300 Juta Pengguna Harian
• Lindungi Rapat Zoom Anda: Perhatikan Sembilan Hal Ini
• Zoombombing: Yang Mungkin Lalai dari Host Wantiknas

Ikon enkripsi baru akan muncul di kiri atas jendela Zoom Meeting dan menunjukkan bahwa rapat aman. Setelah 30 Mei, ikon akan berwarna hijau untuk semua pengguna, menunjukkan peningkatan enkripsi GCM.

“Jika Anda mengklik ikon tersebut, akan ada halamann Statistik untuk detail enkripsi tambahan,” ujar Oded. Berikut ini tahapan menuju enkripsi baru:

Pusat data diubah

Keamanan lain, menurut Oded, bahwa informasi pusat data (data center) telah diubah. “Host atau admin rapat sekarang dapat memilih wilayah pusat data pada tingkat penjadwalan untuk rapat dan webinar,” kata dia.

Zoom akan menunjukkan pusat data mana yang terhubung dengan pengguna di ikon “Info” di sebelah kiri atas jendela Zoom saat rapat berlangsung.

Selain itu, “Jika organisasi di luar China tidak memilih ke pusat data China sebelum 25 April, akun-akun itu tetap tidak akan dapat terhubung ke China daratan untuk transit data,” kata Oded.

Berita Terkait:

• Mulai 18 April, Pelanggan Zoom Bisa Pilih Rute Server
• Peneliti Ungkap Kunci Enkripsi Zoom Dikirim ke Server China
• Enkripsi End-To-End-nya Dikritik, Zoom Minta Maaf

Sebelumnya, pada 31 Maret 2020 media investigasi The Intercept mengungkapkan bahwa Zoom tidak menerapkan enkripsi end-to-end (E2E) seperti yang dipasarkan. Namun, enkripsi yang digunakan Zoom untuk melindungi rapat adalah TLS (transport layer security), teknologi yang sama yang digunakan server web untuk mengamankan situs web HTTPS.

Ini berarti bahwa koneksi antara aplikasi yang berjalan di komputer atau ponsel pengguna dengan server Zoom dienkripsi dengan cara yang sama koneksi antara browser web Anda dan artikel yang Anda baca ini (https://cyberthreat.id telah memakai TLS versi 1.3.), ini dikenal sebagai transport encryption, yang berbeda dari enkripsi E2E.

"Kami meminta maaf atas kebingungan yang kami sebabkan karena salah memberi kesan bahwa rapat Zoom menggunakan enkripsi E2E,” tulis Oded Gal ketika menanggapi temuan The Intercept.

Gal menyatakan, pihaknya selalu berupaya menggunakan enkripsi untuk melindungi konten. “Dengan semangat itu kami menggunakan istilah enkripsi E2E,” Gal menjelaskan.

“Meski kami tidak pernah bermaksud menipu pelanggan kami, kami menyadari ada perbedaan antara definisi enkripsi E2E yang diterima publik dengan yang kami gunakan,” tutur dia.

Yang jelas, kata dia, meski rapat daring tidak direkam, perusahaan mengenkripsi semua video, audio, berbagi layar, dan konten obrolan di klien (perangkat) pengirim dan tidak mendekripsinya di sembarang titik sebelum mencapai klien penerima, kata Gal.

Fitur lapor Zoombombing

Insiden Zoombombing adalah yang paling menohok nyata bagi Zoom selama kepopulerannya di kuartal pertama 2020 ini. Adanya perusuh online di pertemuan daring atau webinar, akhirnya membuat Zoom menampilkan ikon baru, yaitu “Security”. Di fitur ini, pengguna bisa mematikan pilihan “Share Screen” yang biasa dipakai perusuh untuk menampilkan video-video pornografi atau lain yang sengaja mengganggu pertemuan daring.

Merespons hal itu, Oded mengatakan, di Zoom 5.0 pihaknya telah menyediakan fitur pelaporan terhadap pengguna yang menyalahgunakan platform.

Fitur pelaporan ini berada di ikon “Security”. Di situ akan terlihat, host atau admin dapat mengirimkan laporan ke tim Trust & Safety Zoom.

“Laporan dapat mencakup pelanggaran spesifik, deskripsi, dan tangkapan layar opsional. Fungsi “Report a User” diaktifkan secara default, tetapi dapat dimatikan pada tingkat akun, grup, dan pengguna di portal web Zoom,” tutur Oded.

Selain itu, di versi terbaru ini, host juga dapat dengan mudah memilih host baru. Dengan pilihan ini, kian memudahkan narasumber webinar untuk menggunakan “share screen”. Admin tinggal mengalihkan status “host” kepada narasumber tersebut, untuk kemudian bisa mengaktifkan fitur berbagi layar.

Untuk Zoom 5.0 bisa diunduh versi baru di sini. Sementara, bagi Anda yang biasa menjadi Admin/Host Zoom bisa mempelajari informasi terbaru cara mengelola rapat dari Zoom 5.0 di sini.[]