Penulis: Kyle Gaede (Principal Manager Data Center Segment Group Microchip)
Pada zaman digital sekarang ini, data menjadi raja. Perusahaan dapat memperoleh keunggulan kompetitif yang signifikan dengan menerapkan analisis data untuk produk atau layanan baru. Selain itu, teknologi seperti 5G dan IoT makin mempermudah penyambungan perangkat ke internet untuk berbagi data. Hal ini telah menimbulkan tsunami data baru secara virtual.
Firma analis riset Statista memperkirakan bahwa pembuatan data global akan mencapai 180 zettabyte pada tahun 2025. Banyaknya informasi yang diperoleh dalam data ini seperti nomor kartu kredit, nomor jaminan sosial, dan IP kepemilikan menjadikannya target yang menarik bagi peretas. Seiring dengan bertambahnya jumlah data yang dikumpulkan dan disimpan di pusat data, kreativitas dan kecanggihan serangan siber (cyber attack) terhadap data tersebut juga meningkat.
Firmware pada CPU, GPU, dan NIC merupakan target yang menarik karena sebagai elemen fundamental dalam sistem elektronik: jika rusak maka akan lebih sulit untuk dideteksi. Perlindungan untuk perangkat ini dari pihak yang ingin mencuri data menjadi hal yang krusial. Bahkan, di pusat data terbesar, perangkat seperti ini sekarang cenderung terlindungi dengan baik; CPU, GPU, dan NIC di berbagai pusat data besar memiliki keamanan siber (cyber security) yang baik.
Dengan mencari potensi kerentanan lainnya, peretas berbahaya makin menargetkan komponen server ketika mencoba menyusupi pusat data. Banyak komponen semikonduktor umum di server; seperti kontroler tertanam yang mengatur urutan boot, kontrol kipas, dan manajemen baterai; dapat disusupi firmware-nya atau diganti dengan yang palsu untuk mendapatkan akses yang tidak sah ke data pada server atau mengganggu operasi server normal.
Serangan firmware sangat berbahaya karena firmware komponen server dimuat sebelum sistem operasi (operating sistem — OS) server berjalan dan peranti lunak antimalware berfungsi. Hal ini membuat serangan firmware sulit ditemukan dan sulit dihilangkan setelah ditemukan.
Namun, banyak perusahaan tidak memberikan perhatian yang layak pada keamanan firmware. Dalam sebuah survei yang dilakukan terhadap pengambil keputusan TI dan keamanan yang dilakukan oleh Microsoft, responden menilai pelanggaran firmware hampir sama mengganggunya dengan pelanggaran peranti lunak atau peranti keras. Namun, perusahaan hanya menghabiskan kurang dari sepertiga anggaran keamanannya untuk melindungi firmware.
| Pelanggaran yang mengganggu | Porsi dari anggaran keamanan | Dinilai paling rentan terhadap ancaman siber | |
| Peranti lunak | 78% | 39% | 63% |
| Peranti keras | 75% | 32% | 20% |
| Firmware | 73% | 29% | 17% |
Sumber: Microsoft Security Signals, March 2021
Perusahaan harus memperhatikan keamanan firmware di pusat data mereka dengan serius. Jika tidak, mereka akan menanggung akibatnya. Untuk itu, tim TI dan keamanan siber harus fokus pada tiga faktor terkait keamanan firmware: menetapkan keaslian perangkat, menetapkan keaslian kode, dan mengamankan data.
Menetapkan Keaslian Perangkat
Mainboard server, akselerator beban kerja, dan board tambahan perusahaan yang dipasang setelah pembelian dirancang oleh vendor yang berbeda dan diproduksi di seluruh dunia. Rantai pasokan untuk perangkat ini rentan, dan firmware atau peranti lunak yang tidak sah dapat diinstal pada board di berbagai titik selama produksi dan pengujian. Hanya masalah waktu hingga pelanggan yang tidak menaruh curiga menginstal perangkat yang disusupi pada server. Tim TI harus memastikan bahwa setiap peranti keras yang ditambahkan ke server dapat diverifikasi bahwa peranti keras baru tersebut berfungsi sesuai spesifikasi.
Menetapkan Keaslian Kode
Pencurian data bukan satu-satunya masalah yang disebabkan oleh firmware yang disusupi. Pencurian kekayaan intelektual bahkan dapat berdampak pada profitabilitas dan reputasi produsen komponen. Sebagaimana telah disinggung di atas, semikonduktor seringkali diproduksi oleh satu negara dan dikemas di negara lain sebelum akhirnya diintegrasikan ke dalam sistem di negara ketiga.