INTERVIEW : Kantor Pemerintah Minim Tenaga Web Security
KEPALA PUSFID UII - YUDI PRAYUDI

Kantor Pemerintah Minim Tenaga Web Security

Kantor Pemerintah Minim Tenaga Web Security
Kepala Pusat Studi Forensik Digital Universitas Islam Indonesia (UII) Yogyakarta Yudi Prayudi. | Foto: Arsip pribadi
Tenri Gobel Kamis, 30 Januari 2020 - 09:16 WIB

Jakarta, Cyberthreat.id – Situs-situs web kantor pemerintah mudah sekali diretas para penjahat siber atau peretas (hacker). Di mata Kepala Pusat Studi Forensik Digital Universitas Islam Indonesia (UII) Yogyakarta Yudi Prayudi, kelemahan situs web pemerintah tersebut karena umumnya  kantor-kantor pemerintah tidak memiliki administrator yang secara spesifik mengelola situs web.

Menurut dia, membuat situs web memang hal yang mudah, tapi terkadang aspek keamanannya diabaikan. “Ya rata-rata kalau kita perhatikan, harus diakui dengan jujur, bahwa SDM yang terkait dengan keamanan siber, tidak hanya di dalam lingkungan pemerintah, tapi di semua institusi, mereka kadang-kadang tidak dibekali dengan kemampuan web security yang baik,” tutur dia kepada Cyberthreat.id, Jumat (24 Januari 2020).

Untuk menghindari agar situs web tidak diretas, menurut dia, sebenarnya sederhana saja, pertama, memastikan nama pengguna (username) dan kata sandi (password) betul-betul terjaga, terpelihara, dan terenkripsi.

Kedua, selalu rutin melakukan patching software. “Jadi aplikasi-aplikasi yang diinstal pada server, pada sistem operasi, pada CMS, pada plug in, atau aplikasi-aplikasi yang berjalan sebagai platform dari website tersebut, harus selalu di-update,” kata dia.

Berikut petikan wawancara Cyberthreat.id dengan Yudi Prayudi, beberapa waktu lalu:

Situs web pemerintah kerap diserang hacker, analisis Anda?

Sebenarnya tidak hanya situs pemerintah. Setiap hari kalau kita melihat situs web zone-h.org —yang merangkum atau mendaftar situs-situs yang terkena deface dari seluruh dunia—untuk Indonesia sendiri kita bisa melihat ada banyak situs yang menjadi korban deface.

Dari daftar zone-h.org tersebut hampir setiap hari pasti ada situs-situs yang nama domain dengan akhiran [.go.id]. Situs pemerintah memiliki nilai lebih kalau berhasil di-deface atau diambil alih oleh hacker.

Karena memang di situ ada nilai pretise sendiri apabila aktivitas hacking mereka diarahkan kepada situs atau lembaga pemerintah. Selain juga memang di sana [situs web] ada kerentanan, di sisi lain mereka memiliki kebanggaan tersendiri kalau berhasil meretas situs pemerintah.


Berita Terkait:


Bagaimana mengamankannya?

Sebenarnya di dunia sekuriti itu tidak ada suatu sistem yang 100 persen aman. Tidak ada. Kalau pun sekarang 100 persen aman, ya sebenarnya mungkin belum bisa tertembus sehingga yang harus dilakukan adalah upaya terus-menerus berkelanjutan dari pengelola website-nya untuk senantiasa melakukan upaya pembaruan server-nya, patching server-nya, kemudian melakukan assesstment terhadap sistem secara keseluruhan.

Apabila nanti ditemukan vulnerability atau celah-celah kemungkinan keamanan, bisa segera diatasi, ini disebut dengan istilah zero day attack.

Zero day attack ini sebenarnya celah yang bisa ditemukan oleh internal atau eksternal, tapi harusnya lebih dulu ditemukan oleh internal (institusi/perusahaan).

Mengapa harus tim internal?

Kalau ada sebuah celah situs ditemukan lebih dulu sama eksternal, itu tingkat risikonya lebih tinggi dibandingkan ditemukan lebih dulu oleh pihak internal. Sehingga upaya untuk senantiasa melakukan assessment, pemantauan, perbaikan kemudain updating itu jauh lebih bagus dilakukan pihak internal.

Ketika ada celah, itu harus bisa dengan cepat mereka menutupnya, jangan sampai celah-celah di sebuah website yang dikelola pemerintah lebih dulu diketahui oleh pihak eksternal. Ini karena berbahaya, bisa saja mereka kemudian akan menjual informasi tersebut ke pihak-pihak lain atau mereka sendiri yang memanfaatkannya.

Pemerintah harus merekrut tim internal yang paham keamanan siber?

Kita tahu bahwa dalam sebuah domain situs web itu ada banyak sub-sub domain. Setiap sub-domain itu kadang-kadang punya fungsionalitas yang berbeda-beda dan tidak jarang sub-sub domain tersebut dikelola secara terpisah. Sehingga kemampuan masing-masing di dalam mengelola domain tersebut itu juga tidak sama.

Permasalahannya, ternyata domain-domain dari situs-situs yang ada di bawah salah satu domain situs web pemerintah itu tidak ditangani dengan baik.

Ya rata-rata kalau kita perhatikan, kita harus akui dengan jujur, bahwa SDM yang terkait dengan keamanan siber tidak hanya di dalam lingkungan pemerintah, tapi di semua institusi, termasuk swasta dan institusi pendidikan, atau semua yang sudah melakukan sistem secara online, mereka kadang-kadang tidak dibekali dengan kemampuan web security yang baik.


Berita Terkait:


Problemnya di mana?

Sekarang itu ketika sebuah institusi melakukan online, yang lebih diutamakan itu adalah konten dan interaksi, diprioritaskan tampilan. Mereka lupa bahwa interaksi di balik tampilan tersebut ternyata ada sesuatu yang harus juga diperhatikan yaitu security.

Celah-celah keamanan ini jarang diperhatikan dengan baik dan mereka baru merasakan pentingnya keamanan ini ketika ternyata mereka menjadi korban.

Kita harus akui juga bahwa kadang-kadang admin dari suatu situs web pemerintah itu tidak disiapkan dari orang-orang yang memang punya kompetensi yang baik. Kadang-kadang mungkin karena masalah jabatan atau masalah lowongan kerja atau karena posisi yang kosong, akhirnya beberapa orang dipaksa menjadi pengelola dari situs web tertentu, bukan karena kompetensinya.

Ini akan bermasalah ketika mereka tidak terlalu punya pemahaman yang baik secara kemampuan teknis berkaitan web security.

Solusi...

Alangkah lebih baiknya ke depan, selain juga memiliki web admin yang bertanggung jawab terhadap konten, terhadap tampilan, terhadap layout, juga ada web admin secara fokus itu berkaitan dengan infrastruktur keamanan situs web.

Di situlah pentingnya berbagi peran antara pengelola web yang sifatnya adalah fokus kepada konten dan layout dengan pengelola web yang fokus pada web security.

Anda melihat situs web pemerintah berstandar ISO 27001?

Sebenarnya dalam Undang-Undang ITE, hal yang berkaitan dengan transaksi data itu sangat ketat sekali. Ketika kita sedang melakukan transaksi data secara online, banyak kewajiban-kewajiban yang harus dipenuhi untuk menjaga dan mengamankan data tersebut.

ISO 27001 itu salah satu langkah baik untuk melakukan assessment secara internal dan eksternal, yaitu sejauh mana sistem situs web itu cukup aman, cukup punya infrastruktur, cukup punya ekosistem yang baik sehingga keamanan menjadi perhatian utama.

Sebelum masuk ke ISO 27001, sebenarnya pemerintah yang dulu diinisiasi oleh Kementerian Kominfo, sekarang diambil alih oleh Badan Siber dan Sandi Negara juga telah memiliki standar lain, yaitu standar Indeks Keamanan Informasi Indonesia. Ini versi sederhana dari ISO 27001 yang bisa diadopsi langsung sebuah perusahaan atau sebuah pengelola situs web untuk mengevaluasi tingkat kesiapan dan kematangan dalam menerapkan keamanan informasinya.

Saran Anda untuk pemerintah?

Untuk menghindari agar website tidak diretas maka sebenarnya kuncinya sederhana saja. Pertama, biasanya proses peretasan itu dimulai dari upaya untuk mengambil alih sistem dari akun-akun atau username yang tidak dikelola dengan baik.

Harus dipastikan betul username dan password betul-betul terjaga, terpelihara, terenkripsi.

Ketika kita membuat password, kita bisa menggunakan password meter untuk mengetahui sejauh mana password kita aman. Kemudian secara berkala melakukan pembaruan password.

Kedua, secara rutin melakukan patching software. Jadi, aplikasi-aplikasi yang diinstal pada server, pada sistem operasi, pada CMS, pada plug in atau aplikasi-aplikasi yang berjalan sebagai platform dari situs web selalu di-update.

Pengelola atau penyedia aplikasi biasanya sangat concern terhadap keamanan sehingga apabila ada bug atau celah pada aplikasi mereka. Mereka selalu melakukan patching atau mengeluarkan versi terbaru yang sifatnya itu mengatasi celah-celah keamanan.

Salah satu permasalahan dari keamanan situs web itu, biasanya admin tidak terlalu concern dengan updating ini. Dalam beberapa kasus tersebarnya malware, tersebarnya ransomware, itu terjadi pada server-server atau pada aplikasi-aplikasi yang sudah out-of-date.

Dengan versi lama yang banyak celah itulah, masuklah berbagai macam attack terhadap sistem tersebut. Jadi, penting melakukan pembaruan server, software, atau aplikasi-aplikasi lainnya.

Ketiga, secara rutin melakukan internal pentest berkaitan dengan keamanan sistem.

Selanjutnya, melakukan kajian terkait dengan akses kontrol policy berkaitan security; sejauh mana akses kontrol policy yang selama ini telah diterapkan dalam sistem, seperti siapa yang bisa mengakses, adakah catatan log-nya dan seterusnya.

Kadang-kadang celah di dalam peretasan itu ada karena ada akses kontrol yang tidak sesuai. Jadi, harus selalu ada upaya yang berkaitan dengan peninjauan kebijakan dengan akses kontrol.[]

Redaktur Andi Nugroho


Standardisasi dan Validasi Teknologi