Pandemi COVID-19 mengubah cara kerja sebagian besar karyawan di dunia, termasuk di Indonesia. Berkat wabah COVID-19 di Indonesia, pemerintah beberapa waktu lalu menerapkan kebijakan untuk bekerja, belajar, dan beribadah dari rumah untuk masyarakat Indonesia. Sampai saat ini pun, antara lain karena wabah COVID-19 masih berlangsung, banyak perusahaan di Indonesia yang menerapkan kebijakan work from home alias bekerja dari rumah, setidaknya untuk sebagian karyawannya. Nah, Gojek yang merupakan startup decacorn asal Indonesia juga melakukan penyesuaian cara kerja karyawannya di tanah air berkat wabah COVID-19. Langkah perubahan yang dilakukan pun memperhatikan aspek keamanan siber agar tetap aman. Hal itu terungkap pada acara InfoKomputer Leap Ahead yang bertajuk "Secure Your Data in Work From Home Era" yang berlangsung secara virtual belum lama ini.
Pentingnya melakukan penyesuaian dengan memperhatikan aspek keamanan siber itu antara lain tercermin dari informasi IBM X-Force dan BSSN (Badan Siber dan Sandi Negara). IBM X-Force mencatat peningkatan sekitar 6.000% terhadap spam bertema virus corona di berbagai belahan dunia dari tanggal 11 Maret 2020 sampai tanggal 8 Mei 2020. Sementara, BSSN mencatat adanya serangan siber dengan jumlah sekitar 88 juta di tanah air dari tanggal 1 Januari 2020 sampai tanggal 12 April 2020. Jumlah serangan siber yang tercatat oleh BSSN tersebut meningkat lebih dari 400%, bahkan hampir 500%, dibandingkan periode yang sama tahun lalu. Dengan kata lain, selama pandemi COVID-19, jumlah serangan siber atau ancaman terhadap kemanan siber meningkat.
“Salah satu perubahan yang paling besar, yang kita prioritaskan dari sisi information security sebetulnya dengan adanya praktis kerja dari mana pun. Jadi semua employee sekarang kita gak kerja dari kantor, kita memberikan himbauan ke employee biar kerja dari rumah agar memprioritaskan kesehatan mereka juga. Nah, dengan adanya practice ini sebetulnya, menimbulkan impact ke tiga pilar information security ya. Jadi ada, dari sisi people-nya, dari sisi prosesnya, dari sisi teknologinya,” sebut Hana Abriyansyah (Vice President of Information Security, Gojek).
Dari sisi people, Gojek antara lain melakukan edukasi perihal ancaman terhadap kemanan siber yang mengintai. Meski merupakan perusahaan yang sudah menggunakan banyak teknologi digital, masih terdapat sebagian karyawan Gojek yang belum fasih akan teknologi digital; yang kini dipaksa untuk menggunakannya untuk bekerja dari luar kantor. Gojek misalnya melakukan edukasi perihal tren serangan siber saat sekarang yang mencakup spam, situs jahat alias malicious, rekayasa sosial, dan penipuan. Edukasi tersebut diberikan kepada seluruh karyawan Gojek secara teratur agar mereka bisa mengenali dan tidak menjadi korban akan serangan siber bersangkutan.
Menariknya, Gojek juga antara lain melakukan simulasi sehubungan ancaman siber tersebut. Salah satunya adalah phishing. Gojek menjalankan serangan siber berupa phishing terhadap karyawannya, misalnya dengan mengirimkan e-mail yang berisikan instruksi untuk mereset kata sandi atau password mereka yang seolah-olah berasal dari sumber terpercaya. Dengan simulai bersangkutan, Gojek bisa menilai tingkat kesadaran akan keamanan siber karyawannya; apakah meningkat atau menurun. Karyawan yang masih “gagal” dalam simulasi yang dilakukan Gojek akan diminta untuk mengikuti pelatihan sehubungan keamanan siber. Diharapkan, karyawan bersangkutan nantinya akan menjadi lebih sadar terhadap keamanan siber dan tidak terperangkap lagi oleh serangan siber yang dimaksud.
Sementara, untuk proses, Gojek mengklain telah merancang atau mendesain proses yang aman. Salah satunya adalah pada proses persetujuan. Berhubung melakukan kebijakan bekerja dari rumah atau dari mana saja, Gojek mengubah proses persetujuaanya yang sebelumnya mewajibkan tanda tangan basah menjadi tanda tangan digital. Gojek merancang proses persetujuan dengan tanda tangan digital ini sedemikan rupa agar yang sudah memberikan tanda tangan digital tidak bisa menyangkal telah memberikannya. Dengan kata lain, Gojek merancang proses tersebut agar tanda tangan digital yang diperoleh memang “pasti” datang dari orang bersangkutan.
Adapun sisi teknologi, Gojek mengadopsi sejumlah teknologi seperti VPN (virtual private network) dan pengamanan endpoint. VPN tentunya untuk mengamankan koneksi antara perangkat atau endpoint yang digunakan karyawan dan jaringan kantor, sedangkan pengamanan endpoint tentunya untuk mengamankan endpoint yang digunakan karyawan. Menurut Gojek, pada bekerja dari rumah atau dari mana saja, pengamanan endpoint adalah yang paling penting. Apalagi endpoint itu belum tentu berada di linkungan yang aman. Untuk pengamanan endpoint tesebut, Gojek menggunakan antara lain antivirus generasi berikutnya, MDM (mobile device management), dan e-mail gateway. Antivirus bertujuan untuk mengamankan endpoint dari virus dan malware tertentu lain, MDM untuk melakukan manajemen terhadap endpoint, dan e-mail gateway untuk menyaring seluruh e-mail yang masuk agar yang berbahaya bisa disetop.
Gojek juga melakukan pendekatan “zero trust model”. Dengan zero trust model ini, Gojek memberlakukan perlakuan yang sama terhadap semua sumber daya seperti aplikasi dan layanan tanpa memerdulikan di mana sumber daya tersebut berada; seolah-olah setiap sumber daya itu berada di tempat umum yang keamanannya belum tentu terjamin. Dengan kata lain, Gojek selalu “tidak memercayai” suatu sumber daya, bahkan bila sumber daya itu berada di kantor Gojek sendiri dan diakses dari sana. Hal ini berbeda dengan beberapa perusahaan lain yang memberlakukan sumber daya yang berada di kantornya dan dan diakses dari sana, secara berbeda dengan aplikasi atau sumber daya yang berada di tempat umum. Perusahaan itu contohnya memutuskan bahwa karyawan tidak memerlukan autentikasi tatkala memanfaatkan aplikasi yang berada di kantor dari kantor tersebut.
“Kenapa kita implementasi zero trust model ini, karena security control itu kadang fail, kadang gagal. Misalnya ada internal resource di kantor yang gak pakai autentikasi nih, trus kita implement VPN. Jadi, kalau misalnya mau diakses dari rumah harus lewat VPN dulu. Kalau misalnya si VPN-nya jebol, otomatis yang di dalam jadi jebol juga nih,” pungkas Hana Abriyansyah.