Saatnya Standar Keamanan Siber Dunia Usaha Disusun

img

Ketua Lembaga Keamanan Siber Communication Information System Security Research Center (CISSReC), Pratama Dahlian Persadha, mengatakan, saat Indonesia belum memiliki standar keamanan siber yang wajib diterapkan oleh para pelaku usaha berbasis teknologi.

Di satu sisi, ancaman dan serangan siber yang menyasar para pelaku usaha semakin masif dilakukan. Hal ini berkaca dengan kasus penjualan data pelanggan Tokopedia, Bukalapak, dan Bhinneka.com.

Pratama mengatakan, standar keamanan siber harus dibuat secara detail. Tidak hanya mencakup pusat data (data center), komputer canggih, rutin melakukan pembaruan (patched), atau memakai perangkat lunak antivirus.

"Enggak gitu doang. Kan harus dites. Misalkan, harus ada pentest (pengujian aplikasi) secara rutin. Kemudian, siapa yang melakukan pentest. Ada program bug bounty yang bisa dilakukan untuk mencari celah-celah keamanan dalam sistemnya," ujar Pratama kepada Cyberthreat.id, Selasa (23 Juni 2020) malam.

Pratama juga menyinggung perlunya pengawasan terhadap sistem keamanan informasi. Tujuannya, memastikan bahwa setiap institusi baik pemerintah maupun swasta yang menyimpan data masyarakat benar-benar melakukan pengamanan maksimal.

"Sekarang kan enggak ada [yang mengawasi],” ujar dia.

Sementara, peretas tidak selalu hanya mengacak-acak sistem atau tampilan website. Peretas yang serius bisa masuk ke dalam sistem informasi secara diam-siam, mengambil data. Mereka bisa membuat pintu belakang (backdoor) pakai trojan dan kapan-kapan masuk kembali sesukanya.

Peran BSSN

Menurut Pratama, sebetulnya Badan Siber dan Sandi Negara (BSSN) memiliki Indeks KAMI (Keamanan Informasi). Indeks ini sebuah aplikasi yang digunakan sebagai alat bantuk untuk penilaian dan evaluasi tingkat kesiapan, kelengkapan dan kematangan penerapan keamanan informasi di sebuah organisasi berdasarkan kriteria ISO/IEC 27001.

“Faktanya, Indeks KAMI tidak ditujukan untuk menganalisis kelayakan atau efektivitas bentuk pengamanan yang ada,” kata Pratama.

“Melainkan, sebagai perangkat untuk memberikan gambaran kondisi kesiapan keamanan informasinya. Singkatnya, tidak bisa digunakan sebagai standar keamanan bagi para pelaku usaha.”

Pratama mengatakan, Indeks KAMI sebatas survei untuk meninjau keamanan informasi suatu institusi. Padahal, untuk melihat kuat atau tidaknya sistem keamanan ini diperlukan audit sistem secara menyeluruh. "Iu sebenarnya kemampuan yang belum dimiliki oleh BSSN," ujar dia.

Selain Indeks KAMI, kata Pratama, pemerintah juga memiliki Sistem Manajemen Pengamanan Informasi (SMPI) yang tertuang dalam Peraturan Menteri Komunikasi dan Informatika RI Nomor 4 Tahun 2016.

Dijelaskan dalam regulasi itu, para penyelenggara sistem elektronik (PSE) wajib menerapkan standar keamanan informasi SNI ISO/IEC 27001.  Ada pun sanksi yang diberikan jika tidak menerapkannya, berupa teguran tertulis dan penghentian sementara (tertuang dalam Pasal 25 ayat 2).

Sayangnya, kata Pratama, ketentuan-ketentuan soal standar keamanan informasi tidak disosialisasikan dengan baik dan hanya dibuat secara umum. Padahal, “Industri di Tanah Air ini berbeda-beda. Maka, diperlukan standar keamanan yang komprehensif dan detail,” kata dia.

Sumber:cyberthreat.id