Panduan BSSN Cegah Penyusup ke Rapat Online Sektor IIKN

Jakarta, Cyberthreat.id – Di tengah pandemi Covid-19, orang-orang diminta bekerja dari rumah (work from home/WFH). Imbasnya, unduhan aplikasi telekonferensi video melonjak.

Sayangnya, aplikasi teleworking juga masih memiliki celah keamanan yang bisa dimanfaatkan penyerang. Merespons hal itu, Badan Siber dan Sandi Negara (BSSN) mengeluarkan saran keamanan pemanfaatan aplikasi konferensi video.

“Panduan ini berisi langkah-langkah yang dapat dilakukan oleh stakeholder sektor Infrastruktur Kritis Nasional,” tulis BSSN dalam situs webnya, Jumat (10 April 2020).

Ada empat langkah yang perlu disiapkan untuk melindungi diri saat menggunakan aplikasi teleworking, antara lain:

[1] Penyiapan sarana. Untuk menyiapkan sarana ini, yang perlu diperhatikan, antara lain:

• Gunakan aplikasi resmi dan diunduh dari sumber resmi/berlangganan. Pastikan versi terbaru.
• Disarankan peladen (server) aplikasi berada di organisasi pengguna dan dikelola secara mandiri (on-premise). Atau, jika belum on-premise, gunakan pengelolaan peladen di tingkat lokal (dalam negeri).
• Jika peladen aplikasi berada di kelola sendiri, konfigurasi untuk jaringan lokal dan setiap peserta yang bergabung dalam rapat online wajib memiliki akses jaringan pribadi virtual (VPN).
• Pilih aplikasi yang memiliki  fitur enkripsi end-to-end baik obrolan pribadi, tautan komunikasi, atau sejenisnya dan dapat diaktifkan pada rapat berlangsung.
• Pilih aplikasi yang memiliki fitur pembatasan pada jumlah peserta untuk menghindari pengguna lain tanpa konfirmasi dulu.
• Pastikan ID, PIN atau kata sandi selalu diperbarui dan diganti setiap rapat online.
• Pastikan akun yang digunakan adalah akun resmi dinas atau akun miliki pribadi, bukan milik orang lain.
• Pastikan nama profil sesuai dengan ketentuan yang disepakat sehingga mempermudah untuk kontrol peserta.
• Pastikan aplikasi meminta izin ketika mengaktifkan kamera atau mikrofon dan tidak ada permintaan akses kamera atau mikrofon yang tersembunyi

[2] Perangkat komunikasi. Dalam hal ini, ada dua sisi yaitu untuk administrator (host) dan klien (perangkat peserta). Untuk sisi host bisa menerapkan: kata sandi kuat untuk rapat; distribusikan identitas dan kata sandi secara aman, bukan secara publik; jika ada fitur pembatasan peserta, aktifkanlah; pastikan identitas dan kata sandi rapat diperbarui dan diganti; monitoring dan verifikasi setiap peserta.

Dari sisi klien disarankan untuk: gunakan perangkat dinas atau milik pribadi; pastikan sistem operasi perangkat pakai yang resmi dan versi terbaru; terinstal antivirus/antimalware yang diperbarui berkala; pakai akun resmi; nama profil yang disepakati bersama; berkoordinasi cara setting dan konfigurasi aplikasi dengan host; di ruangan yang nyaman; dan tidak menangkap layar saat rapat online yang menampilkan meeting ID, nama peserta atau informasi lain yang penting.

[3] Lingkungan kerja. Sebelum rapat online, pastikan bahwa lingkungan kerja yang dipakai tidak ada hal-hal sensitif atau pribadi di bagian latar berlakang pengguna. Jauhkan dari latar dokumen-dokumen kantor. Selain itu, jika rapat bersifat terbatas, pastikan tidak ada orang lain yang masuk ke ruangan Anda.

"Perhatikan setiap informasi yang akan disampaikan saat menggunakan aplikasi. Hal ini terkait dengan sensitivitas informasi yang berisiko ketika  disampaikan secara online atau bukan untuk konsumsi publik," tulis BSSN.

[4] Jaringan. Ini penting disiapkan agar rapat berjalan lancar. Namun, pastikan menggunakan jaringan internet pribadi atau jaringan internet yang tepercaya. Jangan menggunakan jaringan internet publik atau yang terpasang di tempat umum, seperti kafe, mal, atau restoran. Disarankan pula lebih memakai aplikasi VPN. Dan, terakhir, pastikan ketersediaan bandiwdth tercukupi selama rapat online.

Sementara, saat rapat berlangsung, BSSN menyarankan agar tidak melakukan hal-hal yang bisa mengancam keamanan. Oleh karenanya:

• Minta semua peserta membagikan tampilan video dan audio.
• Minta peserta mematikan mikropon jika lokasinya memiliki noise atau jika tidak sedang berbicara.
• Diperlukan fasilitator rapat yang akan menyampaikan agenda rapat dan mengatur jalannya rapat.
• Pastikan semua peserta memperoleh akses yang sama terhadao konten yang dibagikan selama video conference dan menggunakan tools daring jika mungkin.
• Batasi penggunaan berbagi layar, pastikan fitur berbagi layer dapat dikontrol oleh admin. Hal ini bertujuan untuk menghindari adanya peserta rapat yang berbagi layar yang tidak dibutuhkan.

Yang lebih penting, BSSN juga mengingatkan, “Selalu hapus riwayat percakapan yang dinilai berklasifikasi dan pastikan tidak tersimpan dalam database aplikasi,” demikian saran keamanan tersebut.

Umpan phishing

Sementara itu, BSSN juga mengingatkan terkait ancaman umpan phishing. Disebutkan dalam saran keamanan tersebut, sejak Januari 2020 beberapa sumber melaporkan aktivitas serangan siber dengan memanfaatkan isu pandemi Covid-19 mengalami peningkatan. Serangan dilakukan dengan dua taktik utama, yaitu

Pertama, memanfaatkan konten bertema Covid-19 sebagai umpan. Ini biasanya dilakukan oleh penjahat phishing untuk mencuri informasi dan kredensial korban. Beberapa jenis malware telah teridentifikasi melakukan trik ini, seperti AZORult, Cerberus, Lokibot, dan TrickBot.

“Adapun metode distribusinya menggunakan tautan-tautan yang dikirimkan melalui platform-platform yang ada, seperti e-mail, aplikasi pesan instan, SMS, serta situs web palsu,” tulis saran tersebut.

Kedua, menyamar sebagai otoritas dan/atau sumber resmi. Menurut BSSN, taktik ini memanfaatkan informasi-informasi resmi yang dikeluarkan lembaga terkait, seperti infografis, siaran pers, dan lain-lain yang digunakan sebagai umpan phishing.

“Organisasai Kesehatan Dunia juga ditargetkan oleh kelompok APT yang membuat situs web palsu untuk mengelabui pegawai internal WHO dalam rangka mencuri data,” tutur BSSN.[]

Selengkapnya panduan keamanan saat menggunakan aplikasi konferensi video bisa diunduh di sini (PDF).

Redaktur: Andi Nugroho