KOMPAS.com - Kondisi keamanan dunia maya Indonesia sangat mengkhawatirkan. Data dari Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII) menunjukkan, tahun 2014 lalu, ada 48 juta insiden serangan cyber di Indonesia. Artinya, ada hampir 100 serangan yang dilakukan oleh peretas setiap menitnya di Tanah Air.
Itu baru yang terpantau. “Riilnya jauh lebih besar lagi, seperti fenomena gunung es,” kata Pratama D Persadha, pakar keamanan cyber dari Communication & Information System Security Research Centre (CISSReC).
Padahal, sekarang semua pihak menggebu untuk menerapkan digitalisasi. “Semua di-online-kan, di-e-kan, tapi pengamanan lemah,” ujarnya.
Ini terjadi karena mindset masyarakat, industri, dan pemerintah masih menggampangkan urusan keamanan cyber. Apa, sih, yang mau disadap? Ruginya apa kalau di-hack? Paling tampilan website menjadi berantakan. Begitu banyak orang berpikir. “Padahal, yang berbahaya itu serangan yang menembus sistem tanpa diketahui dan tak meninggalkan jejak sedikit pun,” kata Pratama.
Karena meremehkan, banyak pihak yang membangun sistem keamanan seadanya atau bahkan tanpa pengaman sama sekali. Repotnya, ini terjadi pada banyak institusi penting, seperti lembaga pemerintah dan institusi keuangan. Yang terjadi, ketika diintrusi, jangankan merespons, tahu saja tidak.
Pratama mencontohkan kasus pembobolan bank beberapa waktu lalu. “Pasti mereka baru tahu setelah nasabahnya mengadu,” ucap bekas Direktur Pengamanan Sinyal Lembaga Sandi Negara ini. Kalau sudah kejadian, institusi seperti bank tidak akan mau mengaku kalau sistem mereka yang dijebol karena menyangkut reputasi dan nama baik perusahaan.
Makanya, upaya membangun keamanan cyber harus dilakukan dengan mengubah pola pikir. Dari level individu, misalnya, jangan pakai USB sembarangan, jangan mengeklik sembarangan, dan berhati-hati dengan layanan penyimpan data. Begitu juga di level institusi, pendekatan keamanan harus dijalankan secara menyeluruh.
“Bukan cuma membangun sistem, tapi juga aspek kapasitas dan integritas sumber daya manusia (SDM),” kata Pratama.
Lalu, perlu ada regulasi yang lebih serius untuk memastikan institusi publik menjamin keamanan sistemnya. Sekarang, tidak ada pihak yang berwenang mengaudit kelayakan sistem pengamanan cyber lembaga swasta atau institusi pemerintah yang menyediakan layanan online buat publik. Hal ini penting untuk menjamin sistem mereka memang aman.
Ambil contoh, sengkarut program e-KTP. Untuk mengakhiri polemik, sistem e-KTP sebaiknya diaudit. Hanya dengan audit akan ketahuan ada di mana data dalam server, di mana saja application server, disaster recovery center, dan apakah ada remote accessdari vendor. ”Karena sangat rawan sekali data e-KTP disalahgunakan,” ungkap Pratama.(Kontan/Amal Ihsan)
Penulis: Ibnu Dwi Cahyo