Badan Siber dan Sandi Negara (BSSN) mendorong setiap organisasi dan perusahaan terutama penyelenggara sistem elektronik (PSE) di bidang perbankan dan keuangan untuk mempunyai tim taktis yang bertugas menjaga dan menangani cyber security atau keamanan siber.
"Setiap organisasi itu harus mempunyai tim tanggap. Pertama, kalau ada apa-apa, tim itu bisa dihubungi BSSN. Kedua, memang harus ada orang yang kalau terjadi apa-apa, dia tahu apa yang harus dilakukan," kata Sandiman Ahli Madya BSSN Anton Setiyawan.
BSSN memiliki pusat operasi keamanan siber nasional yang memonitor trafik internet di seluruh Indonesia. Jika terjadi serangan, BSSN melakukan notifikasi kepada instansi yang terdampak. Sayangnya, saat BSSN melakukan notifikasi, masih banyak instansi yang tak memberikan respon karena tidak mempunyai tim tanggap keamanan siber.
"Tahun lalu, ada sekitar 2.200 (notifikasi) kalau tidak salah, dan yang membalas atau merespon notifikasi itu hanya 182 atau 8,5 persen. Jadi kita teriak-teriak 'instansimu dimaling, nih', enggak ada yang menanggapi karena tidak ada orang yang khusus didedikasikan untuk itu," kata Anton.
Anton mengungkapkan ada 10 risiko tinggi yang harus diwaspadai oleh organisasi atau perusahaan yaitu kebocoran informasi sensitif karena kurangnya pengawasan terhadap layanan yang diberikan oleh pihak ketiga, kebocoran informasi sensitif karena saluran komunikasi yang tidak dilindungi, dan serangan phishing karena kurangnya kesadaran keamanan informasi.
"Phishing ini serangannya sudah lama, tapi masih ada sampai sekarang. Misalnya Anda phishing ke saya, saya kan PNS, kirim aja (dengan judul) 'Rancangan Tunjangan Gaji Terbaru', nah 8 dari 10 PNS pasti ngeklik. Jadi (pelakunya) pintar, tergantung Anda sebagai apa, tinggal dihubungkan interest Anda apa atau apa yang membuat Anda khawatir," imbuh Anton.
Pada 2021, Anton mengatakan ada 14.098 email phishing yang melampirkan file dengan extension. Adapun subjek email yang paling populer adalah rencana aktivitas kantor sebanyak 2.057 email, keuangan dan perbankan sebanyak 1.924 email, engineering, procurement, and construction (EPC) sebanyak 1.378 email, industri minyak dan gas 793 email.
Kemudian risiko lainnya yang harus diwaspadai adalah gangguan ketersediaan dan integritas karena pengelolaan konfigurasi yang buruk, gangguan ketersediaan dan integritas karena kesalahan arsitektur keamanan, dan hilangnya aspek ketersediaan pada sistem karena serangan Distributed Denial of Service (DDoS).
Ada juga kebocoran data karena kerentanan keamanan pada aplikasi, kebocoran data karena kredensial yang lemah, serangan Advanced Persistent Threat (APT) yang memanfaatkan kesalahan atau lemahnya kesadaran keamanan informasi personel, serta serangan APT yang memanfaatkan Brute Force Attack.
Penulis | : | Adam Rizal |
Editor | : | Adam Rizal |
KOMENTAR