"Seharusnya BSSN sejak awal mempunyai rencana mitigasi atau 'BCP' ketika terjadi serangan siber karena induk 'CSIRT' (Computer Security Incident Response Team) di Indonesia adalah BSSN," kata Pratama Persadha melalui percakapan WhatsApp kepada ANTARA di Semarang, Senin.
Ketua Lembaga Riset Siber Indonesia CISSReC ini menjelaskan bahwa serangan dengan deface memang sering terjadi ke website pemerintah. Sebelumnya, pada situs Sekretariat Kabinet (Setkab) Republik Indonesia, Kali ini dikabarkan laman BSSN terkena deface.
Diungkapkan pula bahwa serangan tersebut diunggah pada hari Rabu (20/10) oleh akun Twitter @son1x777. Di unggahan tersebut dituliskan telah di hack oleh "theMx0nday". Dituliskan oleh pelaku deface bahwa aksi ini untuk membalas pelaku yang diduga dari Indonesia yang telah meretas website negara Brazil.
Pratama mengemukakan bahwa deface pada website merupakan peretasan ke sebuah web situs dan mengubah tampilannya. Perubahan tersebut bisa meliputi seluruh halaman atau di bagian tertentu saja. Misalnya, font website diganti, muncul iklan mengganggu, hingga perubahan konten halaman secara keseluruhan.
Menurut dia, kalau melihat sistem keamanan yang sudah baik di BSSN, sepertinya ada pelanggaran standar operasional prosedur (SOP) terhadap link pada www.pusmanas.bssn.go.id, karena mungkin tidak melewati proses penetration test terlebih dahulu ketika akan di publish.
Kalau dicek attack-nya, kata dia, mungkin bisa dicari tahu kenapa bisa firewall-nya mem-bypass serangan ke celah vulnerable-nya. Attack yang simpel pun kalau lolos dari firewall bisa mengakibatkan kerusakan yang besar.
"Jangan dianggap semua serangan deface itu adalah serangan ringan, bisa jadi hacker-nya sudah masuk sampai ke dalam," kata Pratama yang pernah sebagai pejabat Lembaga Sandi Negara (Lemsaneg) yang kini menjadi BSSN.
Kendati demikian, kata dia, perlu melakukan digital forensik dan audit keamanan informasi secara keseluruhan.
Dikatakan pula bahwa kejadian ini sangat disayangkan BSSN sebagai institusi yang harusnya paling aman keamanan sibernya hanya gara-gara kesalahan kecil yang tidak perlu, ternyata jadi gampang diretas.
"Saat ini yang terpenting adalah data di dalamnya tersimpan dalam bentuk encrypted. Dengan demikian, kalaupun tercuri, hacker tidak akan bisa baca isinya," kata pria asal Cepu, Kabupaten Blora, Jawa Tengah ini.
Ditambahkan pula bahwa di dalam dunia keamanan siber, tidak ada sistem informasi yang benar-benar aman 100 persen.
Ia mencontohkan situs penting Amerika seperti FBI (Federal Bureau of Investigationan) dan Badan Antariksa Amerika (National Aeronautics and Space Administration/NASA) juga pernah diretas. Selain itu, situs web badan intelijen Amerika, yaitu Central Intelligence Agency (CIA) pun juga menjadi korban serangan peretas.
"Salah satu solusinya, untuk security audit atau pentest, bisa dilakukan secara berkala baik dengan pendekatan blackbox maupun white box. Metode yang digunakan bisa passive penetration atau active penetration," tutur Pratama.
Khusus untuk pentest web defacement, lanjut dia, pengujian yang perlu dilakukan adalah configuration management testing, authentication testing, session management testing, authorization testing, data validation testing, dan web service testing. Tools yang bisa digunakan, antara lain Arachni, OWASP Zed Attack Proxy Project, Websploit, dan Acunetic.
Solusi lain, lanjut dia, secara kenegaraan adalah dengan menyelesaikan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) dengan segera. Dengan demikian, ada paksaan atau amanat dari UU PDP untuk memaksa semua lembaga negara melakukan perbaikan infrastruktur IT, SDM, bahkan adopsi regulasi yang pro pengamanan siber.
"Tanpa UU PDP, maka kejadian peretasan seperti situs pemerintah akan berulang kembali," kata dosen pascasarjana pada Sekolah Tinggi Intelijen Negara (STIN) ini.
Pewarta: D.Dj. Kliwantoro
Editor: Chandra Hamdani Noor
Copyright © ANTARA 2021