Penulis: Ian Hall, Asia-Pacific Client Services Manager, Synopsys
Salah satu isu penting yang kerap menghantui aplikasi trace & track adalah keamanan. Padahal, tingkat adopsi aplikasi yang tinggi akan membantu menghentikan pandemi COVID-19.
Penyebaran COVID-19 yang tak pernah terbayangkan sebelumnya membuat dunia kewalahan menghadapi New Normal. Organisasi Kesehatan Dunia (World Health Organisation) telah menggarisbawahi pentingnya identifikasi kasus COVID-19 dan mengisolasinya sebelum menyebar lebih lanjut. Testing & tracing adalah langkah vital untuk melakukan hal tersebut, dan semua orang yang melakukan kontak dengan pasien terinfeksi COVID-19 harus diidentifikasi untuk melakukan langkah mitigasi.
Teknologi aplikasi mobile menawarkan solusi jitu untuk memfasilitasi proses pengumpulan data terkait pergerakan pengguna dan titik-titik di mana user melakukan kontak. Untuk menghentikan COVID-19, harus ada aplikasi yang kokoh dan efektif untuk melakukan trace & track yang andal dalam menyediakan data untuk menghentikan penyebaran virus. Namun ada sejumlah kerumitan dalam prosesnya, dan semua kerumitan itu harus dipikirkan selama proses pengembangan aplikasi.
Dalam sebuah webinar interaktif tentang COVID-19, konsultan sekuriti dari Synopsys, Ian Ashworth dan Bhavin Shah, menyampaikan beberapa pertimbangan dan tantangan dalam kaitannya dengan pengembangan aplikasi track & trace. Inilah beberapa hal yang dapat membantu para pengembang membuat aplkasi track & trace yang lebih baik.
Keamanan Aplikasi
Tujuan dari aplikasi track & trace adalah secara cepat mengidentifikasi adanya kontak kasus positif COVID-19 sehingga mereka dapat segera diisolasi dan penyebaran virus dapat dihentikan. Untuk itu, akan ada data pribadi yang disimpan di dalam aplikasi sehingga menjaga keamanan aplikasi bukanlah hal yang berlebihan.
Keamanan aplikasi awalnya seperti dianggap enteng di era awal kehadiran aplikasi track & trace. Hal itu terlihat dari sejumlah laporan tentang kegagalan menjaga privasi pengguna, kasus hacking, dan perubahan-perubahan dalam pengembangannya. Beberapa kendala yang dihadapi oleh COVIDSafe dari Australia (yang awalnya dikembangkan berbasis aplikasi TraceTogether/BlueTrace milik Singapura) telah didokumentasikan.
Tantangan Adopsi Pengguna
Tantangan terbesar bagi kesuksesan aplikasi track & trace ini adalah adopsi oleh pengguna. Keprihatinan soal data, motivasi penggunaan aplikasi, dan keraguan tentang keamanan aplikasi secara keseluruhan menjadi tantangannya. Sebuah studi dari Oxford University menemukan bahwa 60% dari adopsi aplikasi track & trace adalah kunci untuk sepenuhnya menghentikan penyebaran virus.
Dalam studi tersebut, Professor Christophe Fraser dari Oxford University menyatakan, “Model yang kami buat memperlihatkan bahwa kita dapat menghentikan epidemi ini jika sekitar 60% dari populasi mau menggunakan aplikasi ini, dan bahkan dengan jumlah pengguna aplikasi yang lebih rendah, kita tetap dapat memperkirakan adanya pengurangan jumlah kasus dan kematian akibat virus corona.”
Angka 60% mungkin terlalu ambisius karena sebenarnya tingkat adopsi yang lebih rendah pun dapat memberikan manfaat. Namun yang jelas adopsi user di tingkat manapun tidak akan terjadi tanpa melakukan pengamanan serta antisipasi keamanan yang memadai dan kokoh. Apa sajakah “ramuan” jitu untuk desain aplikasi yang aman dan dapat meningkatkan adopsi user terhadap aplikasi?
1.Hardware
Aplikasi harus berjalan di perangkat keras (hardware) yang khusus atau menggunakan berbagai jenis perangkat mobile yang tersedia dewasa ini. Namun ada tantangan dalam menggunakan perangkat mobile karena power management dapat menyebabkan aplikasi yang berjalan di belakang (background apps) tidak berfungsi.
2.Identitas
Pengguna dan mereka yang ada di sekitar pengguna harus direpresentasikan secara anonim dan aman. Kegagalan mengamankan identitas akan berdampak negatif terhadap tingkat adopsi aplikasi.
3.Kedekatan (proximity)
Aplikasi harus dapat mengidentifikasi pertemuan dengan pengguna ponsel lain, baik dari sisi jarak maupun durasi pertemuan. Lagi-lagi, keamanan harus diterapkan pada fungsi ini.
4.Motivasi
Pengguna harus memercayai aplikasi. Tanpa keyakinan pengguna, motivasi untuk mengunduh aplikasi akan sangat rendah.
Kunci Keberhasilan dan Keamanan Aplikasi
Pengamatan terhadap kelemahan di awal pengembangan aplikasi COVIDSafe dari Australia, TraceTogether dari Singapura, dan Corona 100m (Co100) dikombinasikan dengan best practice keamanan aplikasi terkini adalah sebuah langkah awal bagi mereka yang ingin mengembangkan aplikasi track & trace.
Desain yang baik menghapus 50% kekhawatiran terhadap keamanan. Dengan melibatkan pertimbangan keamanan dalam fase desain dapat mencegah terjadinya kerentanan yang berbiaya tinggi nantinya dalam SDLC.
Dokumentasikan dan bersikap transparan, kepercayaan pengguna sangat penting. Keterbukaan akan mendorong adopsi aplikasi. Aplikasi TraceTogether dan COVIDSafe dibangun dengan platform open source untuk mendukung transparansi.
Pilih komponen open source dengan hati-hati. Gunakan security dan testing measure yang memadai ketika memilih open source code untuuk mencegah terjadinya kerentanan dan legal complication. Adalah penting untuk mengetahui risiko-risiko yang mungkin tersembunyi dalam kode-kode pemrograman aplikasi.
Lakukan otomatisasi security testing dalam tahap implementasi. Menggunakan solusi dan layanan testing terotomatisasi akan melindungi Anda tanpa melambatkan kerja Anda.
Lakukan pen test final pada solusi yang sudah di-deploy. Layanan pen testing akan membantu mengidentifikasi kerentanan yang mungkin tidak terdeteksi oleh solusi testing yang lebih tradisional.
Tinjau ulang (review) deployment yang sudah dilakukan dan lakukan patching terhadap aplikasi. Lakukan pemeriksaan keamanan final dengan tool AppSec untuk menjamin keamanan aplikasi.
Kompleksitas dalam mengembangkan aplikasi track & trace, menanganinya dengan benar sejak awal, dan memastikan aplikasi benar-benar bekerja adalah pekerjaan yang sulit. Melihat tekanan kebutuhan aplikasi semacam itu beberapa waktu lalu, tak heran jika pertimbangan keamanan tidak menjadi prioritas di iterasi awal beberapa aplikasi COVID-19.
Tim pengembang aplikasi harus membangun keamanan di keseluruhan SLDC. Keamanan bukanlah gerbang uji akhir di bagian akhir produksi. Keamanan adalah sebuah metodologi yang harus diaplikasikan sejak dini, mulai dari proses desain hingga implementasi dan deployment.
Keamanan dan risiko harus dikelola dengan hati-hati dalam pengembangan aplikasi ini: kegagalan, pencurian data, dan hilangnya kepercayaan/reputasi dapat menjadi kendala adopsi. Dengan menggunakan tool-tool automasi seperti yang tersedia di lingkungan AppSec dapat membawa aplikasi pada kesuksesan, dan tidak menjadi bencana bagi pengguna.