Situs BSSN diretas, salah siapa?

Kurang lebih seminggu lalu santer berita tentang situs BSSN yang diretas. Hal tersebut langsung viral, mengingat BSSN atau Badan Siber dan Sandi Negara merupakan punggawa keamanan siber di Indonesia.

Situs yang diretas tepatnya adalah situs Pusmanas (Pusat Mallware Nasional) yang beralamatkan di https://pusmanas.bssn.go.id/. Melihat dari nama webnya aja kelihatan kalau web tersebut adalah web tentang mallware.

Situs Pusmanas di deface!

Serangan yang diberikan sebenarnya tidak muluk-muluk, yak, deface. Buat teman-teman yang belum tau, deface umumnya dilakukan dengan mengubah tampilan situs web menjadi bukan aslinya. Dengan mengubah tampilan ini, hacker ingin menunjukan eksistensinya. Biasanya mereka juga meninggalkan tanda-tanda kehadiran baik itu dengan nickname personal ataupun kelompok.

Tangkapan layar situs web Badan Siber dan Sandi Negara (BSSN) saat diduga diretas.

Yang menjadi masalah sebenarnya tidak sekedar defacenya, tapi dengan melakukan deface ada indikasi yang bersangkutan berhasil masuk kedalam sistem. Jika demikian, apakah source code atau data-data didalamnya didiamkan, diporak-porandakan, atau dicuri, kita jadi tidak tahu.

Meskipun demikian anggapan tersebut tidak sepenuhnya benar, karena bisa jadi juga yang bersangkutan hanya mengunggah homepage index.html tanpa mengganggu data didalamnya. Namun hal ini tetap harus menjadi perhatian, karena tetap saja itu merupakan sebuah serangan yang menyebabkan kerentanan IT.

Misalpun hanya deface, aspek CIA (Confidentiality, Integrity, dan Availibility) menjadi tidak terpenuhi. Katakanlah availibility, dengan didefacenya situs tersebut layanan menjadi terhambat. Bayangkan kalau yang dideface adalah situs dengan trafik transaksi ekonomi yang tinggi, tentunya itu akan sangat mengganggu dan berpotensi menimbulkan kerugian materil.

Salah siapa?

Saya karena orang luar tidak bisa mengatakan ini salah siapa. Meskipun saya bilan gini sepenuhnya bukan salah BSSN, namun mau tidak mau kita harus menyadari bahwa masyarakat umum tahunya BSSN itu adalah pusatnya keamanan siber, sehingga menjadi tumpuan dan parameter bagi masyarakat Indonesia.

Bayangkan saja jika BSSN kena hack, lalu, kira-kira bagaimana kepercayaan masyarakat terhadap mereka? Ini dari sisi umum saja, dari sisi publik.

Lalu, kalau dari sisi IT bagaimana? Kita sebagai oran gluar tidak bisa menjawab apakah proses penetration testing di BSSN sudah dilakukan dengan baik atau belum, apakah pengujian sudah dilakukan atau belum.

Kalau memang belum, berarti ini adalah salah BSSN, karena tidak melakukan prosedur yang sebagaimana mesitnya. Namun jika sudah, dan terjadi kerentanan, itu adalah hal yang wajar pula karena memang tidak ada sistem yang 100% aman.

Kalau pun terjadi kerentanan, hal yang selanjutnya menjadi perhatian adalah bagiamana rencana mitigasinya. Karena keamanan dalam dunia IT sebenarnya hanyalah upaya untuk meminimalisir risiko, mulai dari sebelum terjadinya serangan sampai dengan setelah terjadinya. Karena ini sudha terjadi, lalu rencana mitigasinya seperti apa? Apakah ada backup data? Apakah mudah untuk melakukan restrore data? Lalu, misal ada data yang kecolongan, bagaimana? Ada banyak hal yang perlu dipikirkan.

Sutriman

Halo, saya adalah seorang praktisi IT yang sehari-hari bekerja sebagai Software Engineer yang menggunakan Linux sebagai daily OS. Nulis juga di blog pribadi kalau lagi engga males :D

Search

Categories

Banyak dibaca

Bagaimana cara menggunakan dan menghapus cache di CodeIgniter 4?

Bagaimana cara menggunakan dan menghapus cache di CodeIgniter 4?

Membuat user dan mengatur hak akses atau grant privileges di MySQL

Membuat user dan mengatur hak akses atau grant privileges di MySQL

Menggunakan database transaction di CodeIgniter 4

Menggunakan database transaction di CodeIgniter 4

CodeIgniter 4: The framework needs the following extension(s) installed and loaded: intl

CodeIgniter 4: The framework needs the following extension(s) installed and loaded: intl

HMVC di CodeIgniter 4, sudah ada by default

HMVC di CodeIgniter 4, sudah ada by default