Ancaman cyber security kini semakin ditakuti. Fakta ini tercermin dari studi yang dilakukan PwC terhadap 1600 CEO dari berbagai perusahaan di seluruh dunia. Ketika ditanya risiko paling besar terhadap bisnis, 80% responden menunjuk cyber attack di posisi teratas.
Salah satu tantangan cyber security adalah mendeteksi titik lemah dari infrastruktur TI yang dimiliki perusahaan. Selama ini, perusahaan mengandalkan penetration test untuk mengecek keamanan jaringan TI-nya.
Namun sebuah startup bernama SecurityScorecard menawarkan solusi alternatif yang lebih cepat dan efektif. “SecurityScoreCard adalah platform untuk menghitung cyber risk dari perusahaan,” ungkap Royston Chng, Regional Director SecurityScoreCard untuk kawasan Asia Pasifik.
Menangkap Sinyal Eksternal
Secara prinsip, SecurityScoreCard bekerja dengan cara melakukan pengecekan keamanan domain perusahaan yang terhubung ke internet. Penilaian dilakukan dengan “menangkap” berbagai sinyal eksternal, sehingga tidak ada software atau tools yang harus dipasang di jaringan internal perusahaan. “Jadi kami memotret security sebuah domain dari kacamata hacker,” ungkap pria yang akrab dipanggil Roy ini.
Proses pengecekan meliputi 10 aspek, mulai dari network security, DNS health, patching cadence, sampai hacker chatter. Dari seluruh aspek tersebut, SecurityScoreCard akan mengeluarkan skor (skala 1-100 dan Grade A-E) sebagai gambaran keamanan domain sebuah perusahaan.
Selain penilaian, SecurityScorecard juga menyajikan penjelasan mendetail mengenai sumber kelemahan dan bagaimana mengatasinya. Contohnya sebuah bank di Indonesia yang mendapat skor Network Security rendah karena memiliki SQL Server yang salah satu port-nya terbuka. “Jadi SecurityScorecard dapat mendeteksi ketika ada kelemahan, sekaligus memberikan rekomendasi untuk mengatasi kelemahan tersebut,” tambah Roy yang akan menjadi pembicara di acara ICION Conference 2020 itu.
Menurut Roy, perusahaan dapat menggunakan skor ini untuk berbagai tujuan. Yang utama adalah mendapatkan benchmark atas kelemahan infrastruktur IT yang mereka miliki. Setiap kelemahan yang ditemukan SecurityScorecard dikelompokkan severity level atau tingkat kekritisannya.
Walhasil, perusahaan dengan mudah menyusun strategi menambal kelemahan yang memiliki severity level tinggi. “Pendekatan ini cocok dengan kondisi umum saat ini, ketika anggaran untuk IT security relatif kecil,” tambah Roy. Sistem SecurityScorecard juga menyimpan naik-turunnya skor sebuah domain selama 12 bulan, sehingga perusahaan bisa mengetahui apakah langkah pengamanan yang telah dilakukan membuahkan hasil.
Selain menilai diri sendiri, solusi SecurityScorecard juga bisa digunakan untuk menilai tingkat keamanan dari mitra bisnis, utamanya yang sistem TI-nya terhubung ke perusahaan Anda. Hal ini penting karena pengalaman menunjukkan, sistem sebuah perusahaan bisa bobol akibat kelemahan security dari perusahaan mitra.
“Contohnya insiden kebocoran data di Mindef (Ministry of Defence Singapura, Red) akhir 2019 kemarin yang terjadi karena kelemahan dua vendor yang menjadi mitra bisnis Mindef,” ungkap Roy. Dengan mengetahui kelemahan mitra bisnis, kita pun bisa melakukan cara pencegahan.
Saat ini, SecurityScorecard sendiri saat ini telah melakukan penilaian terhadap lebih dari 1,2 juta domain yang terhubung ke internet. Jika perusahaan Anda (atau mitra bisnis Anda) tidak termasuk dari 1,2 juta domain tersebut, SecurityScorecard dapat melakukan analisa dalam dua hari kerja.
Model bisnis SecurityScorecard sendiri berupa subscription minimal 12 bulan. Untuk tier paling dasar, perusahaan bisa mengetahui skor untuk 10 domain. Namun karena baru beroperasi empat bulan di Indonesia, Roy mengaku belum memiliki skema harga untuk pasar Indonesia.
Langkah Awal
SecurityScorecard sendiri adalah startup asal New York yang berdiri sejak tahun 2013. Berkat kemampuannya yang unik, SecurityScorecard terus mendapat kepercayaan dari berbagai investor seperti Sequoia Capital, Google Ventures, Moody’s, sampai Intel Growth Partner. “Intel sebelumnya adalah klien kami yang akhirnya tertarik untuk melakukan investasi,” cerita Roy.
Roy sendiri sedikit mengungkap cara bagaimana SecurityScorecard melakukan penilaian. “Kami memulai dengan melakukan pengumpulan data, termasuk memasang berbagai’ “sensor” untuk melihat pergerakan data di internet,” cerita Roy. Pengumpulan data juga dilakukan dengan memasang honeypot dan bekerjasama dengan berbagai institusi untuk melihat tren cyber attack yang sedang terjadi.
Selain itu, SecurityScorecard juga memiliki software crawling khusus untuk melihat digital footprint dari sebuah domain di seluruh dunia maya. Dengan mencocokkan berbagai data tersebut, SecurityScorecard pun bisa melihat risiko dan kelemahan sebuah domain.
Roy meyakini, solusi SecurityScorecard cocok untuk perusahaan Indonesia, seperti perusahaan enterprise yang memiliki banyak anak perusahaan. “Karena solusi kami memudahkan holding companies ini memotret postur keamanan dari tiap anak perusahaan,” ungkap Roy. Badan regulator, seperti Bank Indonesia atau OJK, juga bisa memanfaatkan platform ini untuk melihat postur keamanan bank di Indonesia, untuk kemudian melakukan usaha perbaikan.
“Dengan SecurityScorecard, perusahaan bisa melihat seluruh kelemahan yang ada, untuk kemudian menyusun prioritas untuk memperbaiki kelemahan yang paling penting,” tambah Roy.
Penulis | : | Wisnu Nugroho |
Editor | : | Wisnu Nugroho |
KOMENTAR