Keamanan Siber dan Tantangan Startup

Ilustrasi | Foto: freepik.com

DI TENGAH pandemi Covid-19, interaksi kita dengan internet begitu tinggi. Mau tidak mau, kita dipaksa—mulai anak-anak hingga orangtua—harus beralih ke dunia maya.

Kita tak bisa membayangkan, andaikata Covid-19 melanda dunia pada tahun-tahun sebelum kelahiran Facebook, Twitter, Instagram,WhatsApp, Google Meet, Zoom, atau Microsoft Teams, seluruh aspek kehidupan pastilah karut-marut.

Jika itu terjadi, tergambar di kepala saya: bisnis tidak jalan. Pendapatan macet. PHK besar-besaran. Sekolah sunyi. Pelajaran mandek. Guru-guru bingung. Orang-orang belingsatan karena kehilangan penghasilan.

Untungnya—orang Jawa selalu bilang begitu meski mendapati musibah—saat ini kita memiliki internet. Ada aplikasi-aplikasi yang bisa dimanfaatkan untuk bekerja dan belajar secara jarak jauh meski itu pun tidak optimal. Setidaknya roda ekonomi masih berputar meski tak seoptimal di luar pandemi. Begitu pula sekolah masih bisa berjalan meski di daerah-daerah juga dikabarkan tak ada askes untuk pelajaran daring.

Namun, seperti halnya dunia nyata, internet memiliki sisi yang baik juga sisi buruk. Ketika orang-orang dengan mudah membangun situs web, blog pribadi, dan aplikasi-aplikasi seluler, tampaknya masih banyak yang memandangnya dalam tatapan takjub. Keren!

Ketakjuban itu lumrah, memang. Tapi, juga kadang naif. Tak sedikit dari kita hanya takjub pada segi tampilan web/aplikasi, tapi lupa mencegah sang pengganggu datang. Siapa? Jelas, penjahat siber atau peretas.

Perlindungan data

Gencarnya usaha rintisan (startup) di bidang teknologi lima tahun terakhir adalah bukti kita sudah masuk dunia maya, dunia internet. Ini sebuah keniscayaan. Anda semua tak perlu membantah, “saya tidak akan online agar tetap aman.”

Pada akhir pekan lalu, Sabtu (25 Juli 2020), saya ikut mengisi sebuah diskusi tentang startup dan keamanan siber di era normal baru yang digelar oleh Pendekarsiber.id, sebuah komunitas keamanan siber. Hadir di situ sebagai pembicara adalah Head of Public Sector Nokia Indonesia, Barito Rivera.

Pak Barito mengatakan, selama ini tak pernah memakai atau menginstal aplikasi mobile banking. Dia tak pernah yakin dengan keamanan di ponselnya untuk transaksi sejumlah uang. Ia memilih untuk manual via ATM.

Pak Barito jelas tipikal generasi tua yang jauh berbeda dengan generasi masa kini; generasi yang lebih memilih memakai aplikasi daripada jalan ke ATM. Namun, Pak Barito selama pandemi ini “dipaksa” untuk menginstal aplikasi mobile banking karena kekhawatiran Covid-19 di ruang publik.

Gambaran yang dialami Pak Barito jamak dijumpai di masyarakat kita. Masih ada publik yang berperilaku seperti itu. Namun, kini para golongan tua itu, mau tak mau, juga bakal beradaptasi dan membaur dalam teknologi informasi. Sulit untuk kemudian memilih “saya tidak akan online agar tetap aman.”

Maka, startup-startup digital harus menjawab dan menjamin kenyamanan serta keamanan bagi orang-orang seperti Pak Barito ini. Jangan hanya berdalih dan berlindung dari kredo klasik: “perlindungan data konsumen adalah konsen tinggi kami” atau “kami telah menjalankan keamanan informasi seperti anjuran ISO 27001”.

Publik tak butuh jawaban defaulti seperti itu, tapi bukti nyata: Anda pakai data saya, maka amankan saya! Titik.

Menambah wawasan

Kebebalan kita terhadap sesuatu terkadang karena hal sepele: merasa sudah tahu dan merasa tak perlu lagi menambah ilmu. Pendek kata, malas untuk membaca. Buktinya, banyak pengguna media sosial termakan hoaks lantaran tak “pandai” membaca.

Malas membaca adalah tahapan awal dari insiden siber. Maka, perlu bagi setiap individu-individu menambah pengetahuan tentang berbagai bentuk ancaman dan serangan siber. Lebih-lebih bagi lembaga atau perusahaan.

Sebuah riset yang dikeluarkan Black Hat pada April lalu, menyebutkan, serangan siber di masa pandemi ini mengalami perubahan signifikan baik dari segi jumlah maupun metode. (Baca: Survei: Covid-19 Bikin Orang Makin Sadar Keamanan Siber)

Maka, jangan hanya paham satu jenis metode serangan, tim keamanan perusahaan juga karyawan perlu update isu-isu terkini: bagaimana peretas bisa masuk ke sistem database perusahaan. Saat ini peretas tidak hanya berfokus pada pengacauan perangkat sistem informasi, tapi juga pencurian data. Karena data kini bagai “ladang minyak” yang menjadi  sumber pendapatan miliaran rupiah di forum peretas.

Setelah mengetahui risiko atau vektor-vektor serangan siber, selanjutnya menyiapkan benteng pertahanan: infrastruktur keamanan siber. Ini yang perlu disadari, dipahami, dan dipikirkan ke depan oleh pelaku bisnis, terutama startup-startup digital saat ini, wabilkhusus yang mengelola data pribadi pelanggan atau pengguna.

Startup-startup yang tak becus mengelola dan menyimpan data pengguna menjadi target utama serangan mereka. Jika mereka tak mampu menjaga data pengguna, maka ekosistem digital kita tak akan pernah maju. Semua akan enggan menggunakan layanan daring dengan alasan takut datanya dicuri peretas dan dijualbelikan di forum dark web.

Startup-startup digital jangan pongah bahwa ini eranya mereka berkembang. Namun, tanggung jawab Anda sebagai pemilik sistem juga harus kredibel, andal, dan tangguh dari pengganggu siber.

Keamanan siber sudah bukan lagi pilihan ke sekian bagi lembaga publik atau startup digital. Keamanan siber adalah sebuah kewajiban yang tak ditunda-tunda. Semakin ditunda, semakin Anda menumpuk kerugian yang besar di masa depan. Ini istilahnya technical debt.

Tak sedikit para pengembang aplikasi baik berbasis web maupun seluler yang mengambil jalur pintas karena desakan sang pemodal. Dalam membuat program atau kode pastilah terdapat kecacatan (bug). Tapi, karena desakan-desakan agar cepat selesai dan mengambil momentum menarik keuntungan permintaan pasar, kode-kode yang dikerjakan tidak sempurna, terlupakan atau sejenak dilupakan—kapan-kapan kode itu bisa diperbaiki. Mudah-mudahan saja tidak terjadi insiden siber, bagaimana jika tiba-tiba sebuah serangan ransomware datang?

Kita ambil contoh kasus peretasan terhadap Garmin, aplikasi pelacak kebugaran dan pencatat rute para pesepeda, yang baru-baru ini terjadi. Ransomware menyerang sistem informasi mereka. Membuat situs web tak jalan. Aplikasi turunan Garmin pun ikutan di-offline-kan. Konsumen mengeluh. Ekonomi mandek sementara waktu.

Di sisi lain, perusahaan siap-siap saja menghadapi perkara hukum, berupa denda atau bisa saja gugatan class action dari pengguna lantaran data mereka juga dicuri oleh geng ransomware—tipikal peretas yang mengunci sistem informasi dan mencuri data perusahaan, lalu menjualnya di forum dark web.

Garmin sebagai startup besar saja memiliki kelemahan, bagaimana dengan stratup yang baru saja berdiri. Dan, bayangkan berapa kerugian yang siap-siap dihadapi perusahaan jika menyepelekan keamanan siber?

Maka, kelatahan berjamaah untuk membangun startup digital (seperti fintech A atau B) di era internet ini, tanpa peduli dengan keamanan siber, lebih baik jangan ditiru.

Masyarakat bukanlah kelinci percobaan sebagai umpan kepada penjahat siber. Jangan keruk keuntungan dari publik, sedangkan perlindungan terhadap mereka diabaikan.

Kesadaran atau eksosistem keamanan siber tersebut, saya yakin dimiliki oleh startup digital besar di Tanah Air, seperti Tokopedia, Gojek, Grab, dan Bukalapak.  Tapi, mereka tak bisa sendiri, peran pemerintah untuk mendorong kesadaran cybersecurity juga sangat penting.

Kementerian Komunikasi dan Informatika juga bersama Badan Siber dan Sandi Negara harus bergerak lebih giat lagi untuk membuat ekosistem cybersecurity menjadi layaknya kebutuhan primer layaknya listrik atau langganan internet.

Sayangnya, sejauh ini kita juga belum pernah mendengar keamanan siber menjadi sorotan utama dari pemerintah. Kita belum pernah melihat, pemerintah mengumumkan di pidato kenegaraan: tahun ini kami alokasikan anggaran cybersecurity sekian miliar atau triliun. Yang kebanyakan terjadi di instansi adalah pengadaan perangkat keras alias komputer dan lain-lain.

Padahal, pandangan cybersecurity bukan sebatas pada perangkat, melainkan lebih mendasar lagi adalah manusianya. Sebab, serangan siber biasanya cenderung memanfaatkan kelemahan individual yang salah mengklik sebuah email phishing atau pesan berisi malware.

Menggandeng komunitas peretas topi putih juga bisa menjadi jalan lain yang lebih mudah bagi para pemilik sistem melindungi serangan siber. Terkadang, para peretas ini memiliki pikiran “out of the box” dalam melihat sebuah celah. Begitu.[]