ISKANDAR
Security Team Leader, LOGIQUE
Selamat datang di edisi keenam Security Talk LOGIQUE. Pada kesempatan kali ini, kita akan mengulas secara mendalam mengenai insiden keamanan siber terkini yang menjadi sorotan di Indonesia dan dunia. Selain itu, kita juga akan mengulas Undang-Undang Pelindungan Data Pribadi (UU PDP) di Indonesia serta dampaknya bagi perusahaan di seluruh negeri.
Baiklah, teman-teman, hari ini saya kedatangan dua rekan hebat dari tim keamanan siber LOGIQUE. Ada Anggi dan Siraj. Anggi akan memberikan penjelasan teknis tentang keamanan siber, sementara Siraj akan menjadi moderator dan mengajukan beberapa pertanyaan untuk memperdalam diskusi kita hari ini.
Sebagai pembuka, mari kita bahas insiden keamanan siber terbaru yang menargetkan pusat data nasional Indonesia. Serangan ini menjadi peringatan serius bagi berbagai pihak, baik di sektor publik maupun swasta. Anggi, sebagai ahli teknis, bagaimana pandanganmu tentang situasi ini dari perspektif keamanan siber?
ANGGI
Anggota Tim Keamanan, Spesialis Teknis
Dari sudut pandang back end, jelas bahwa pengamanan basis data dan logika aplikasi sangat penting. Dengan diberlakukannya UU PDP, perusahaan harus melindungi data pribadi, jadi salah satu perhatian utama kita adalah bagaimana data tersebut disimpan dan dikelola. Kita harus memastikan bahwa informasi sensitif dienkripsi, baik saat disimpan maupun saat ditransmisikan. Selain itu, kontrol akses memainkan peran besar—siapa yang bisa mengakses data dan bagaimana kita memastikan data tersebut aman dari akses yang tidak sah.
Salah satu teknik utama yang digunakan dalam serangan semacam ini adalah vulnerability exploitation atau eksploitasi kerentanan. Singkatnya, eksploitasi kerentanan berarti peretas menggunakan kelemahan dalam perangkat lunak atau infrastruktur untuk mendapatkan akses ilegal. Ini bukan hanya soal memiliki pertahanan yang kuat, tetapi juga tentang secara terus-menerus mengelola dan mengatasi kerentanan, yang dikenal sebagai vulnerability management.
Note:
Vulnerability exploitation
:
penggunaan kelemahan dalam sistem untuk mendapatkan akses atau kontrol secara ilegal.
Vulnerability management
:
proses berkelanjutan untuk mengidentifikasi, mengevaluasi, dan mengatasi kerentanan keamanan.
Banyak organisasi, terutama di sektor pemerintah, masih kesulitan dengan patch management yang proaktif. Jika pembaruan dan patch keamanan yang diperlukan tidak diterapkan secara berkala, ini membuka pintu bagi serangan seperti yang kita lihat.
SIRAJ
Anggota Tim Keamanan, Moderator Pertanyaan
Poin menarik, Anggi. Tapi, Iskandar, menurutmu apakah ini hanya soal kegagalan teknis, atau ada faktor lain yang juga memengaruhi? Mungkin ada kaitannya dengan bagaimana organisasi mengelola keamanan siber di level administratif?
ISKANDAR
Security Team Leader, LOGIQUE
Pertanyaan bagus, Siraj. Selain faktor teknis, ada tantangan lebih besar di tingkat administratif. Salah satu masalah terbesar adalah kurangnya kesadaran dan komitmen dari pihak manajemen puncak di banyak organisasi.
SIRAJ
Anggota Tim Keamanan, Moderator Pertanyaan
UU PDP adalah langkah besar bagi Indonesia dalam hal perlindungan data. Undang-undang ini memberikan pedoman yang jelas tentang bagaimana data pribadi harus dikelola, serta menempatkan tanggung jawab pada organisasi untuk mengelola dan melindungi data dengan baik. Namun, tantangannya adalah banyak perusahaan yang belum siap untuk mematuhi.
Sebagian besar organisasi tidak sepenuhnya memahami ruang lingkup data yang mereka kelola, apalagi bagaimana cara melindunginya sesuai dengan regulasi. Di sinilah penetration testing berperan sebagai strategi penting. Penetration testing memungkinkan organisasi untuk mensimulasikan serangan nyata pada sistem sehingga mereka dapat mengidentifikasi kerentanan keamanan sebelum dieksploitasi.
Note:
Penetration Testing
:
pengujian keamanan di mana seorang hacker etis mencoba mengeksploitasi kerentanan dalam sistem untuk mengidentifikasi kelemahan.
Tanpa melakukan penetration testing secara rutin, perusahaan mungkin tidak menyadari seberapa rentan mereka terhadap ancaman yang ada. Praktik ini sangat penting, tidak hanya untuk memastikan kepatuhan terhadap regulasi, tetapi juga untuk melindungi bisnis secara keseluruhan.
ANGGI
Anggota Tim Keamanan, Spesialis Teknis
Saya sepenuhnya setuju. Tantangan yang dihadirkan oleh UU PDP memaksa perusahaan untuk benar-benar memikirkan ulang cara mereka mengelola data sejak awal. Perusahaan harus memetakan alur data mereka, memastikan keamanan data tersebut, dan memberlakukan kontrol ketat terkait siapa saja yang dapat mengaksesnya.
Access control adalah salah satu elemen kunci di sini. Jika Anda tidak memiliki access control yang ketat, bahkan karyawan Anda sendiri dapat secara tidak sengaja membuka celah serangan. Itulah mengapa encryption juga harus menjadi prioritas utama dalam melindungi data sensitif. Dengan data yang terenkripsi, meskipun penyerang berhasil masuk, mereka tidak akan bisa berbuat banyak dengan itu.
Note:
Access control
:
langkah-langkah keamanan untuk membatasi siapa yang dapat melihat atau menggunakan sumber daya dalam sistem.
Encryption
:
proses mengonversi informasi atau data menjadi kode untuk mencegah akses yang tidak sah.
SIRAJ
Anggota Tim Keamanan, Moderator Pertanyaan
Berbicara soal serangan, ada insiden keamanan siber yang terjadi di Jepang baru-baru ini. Kadokawa, sebuah perusahaan besar, terkena serangan ransomware dan terpaksa menghentikan layanan mereka untuk waktu yang cukup lama. Ini menunjukkan bahwa bahkan perusahaan besar dengan sumber daya yang kuat bisa menjadi korban serangan siber. Menurutmu, pelajaran apa yang bisa kita ambil dari insiden keamanan siber ini?
ISKANDAR
Security Team Leader, LOGIQUE
Kasus ransomware yang dialami Kadokawa adalah contoh nyata bahwa tidak ada organisasi yang benar-benar kebal dengan serangan siber, terlepas dari skala perusahaan atau sumber daya yang dimilikinya. Serangan ransomware saat ini menjadi salah satu bentuk kejahatan siber yang paling sering terjadi dan paling merusak. Dalam kasus ini, Kadokawa terpaksa menghentikan operasionalnya sehingga menyebabkan gangguan dan kerugian finansial besar.
Pelajaran utamanya adalah tidak ada yang benar-benar aman. Organisasi harus mengadopsi pendekatan proaktif, bukan reaktif, terhadap keamanan siber. Ini bisa dilakukan dengan rutin melakukan penetration testing, memperkuat rencana respons insiden, dan memastikan sistem mereka selalu diperbarui secara teratur agar tidak mengalami insiden yang serupa.
Note:
Ransomware
:
jenis perangkat lunak berbahaya yang dirancang untuk memblokir akses ke sistem komputer sampai sejumlah uang tebusan dibayarkan..
SIRAJ
Anggota Tim Keamanan, Moderator Pertanyaan
Jadi, apa yang bisa dilakukan perusahaan di Indonesia untuk menghindari serangan seperti ini?
ANGGI
Anggota Tim Keamanan, Spesialis Teknis
Langkah pertama adalah melakukan penilaian risiko yang menyeluruh. Perusahaan harus mengetahui di mana letak titik kerentanan mereka. Perusahaan harus memulai dengan mengidentifikasi aset kritis—seperti database pelanggan, catatan keuangan, dan kekayaan intelektual—kemudian menerapkan langkah-langkah untuk melindungi aset-aset tersebut.
Kedua, perusahaan perlu menetapkan kebijakan keamanan yang komprehensif, termasuk access control, encryption, dan melakukan penetration testing secara berkala. Tapi yang paling penting, mereka perlu mengadopsi pola pikir bahwa keamanan siber adalah proses berkelanjutan, bukan hanya proyek satu kali.
ISKANDAR
Security Team Leader, LOGIQUE
Tepat sekali. Di LOGIQUE, kami percaya bahwa penetration testing adalah salah satu cara paling efektif untuk memastikan bahwa sistem Anda aman dan siap menghadapi ancaman siber. Dengan tim kami yang terdiri dari ethical hackers bersertifikat seperti Anggi dan Siraj, kami menyediakan layanan terbaik untuk membantu perusahaan di seluruh Indonesia selalu siap dalam menghadapi potensi ancaman yang terus berkembang.
Bagi perusahaan yang belum melakukan penetration testing secara rutin, kami sangat merekomendasikan untuk memulainya sekarang. Ini adalah langkah proaktif untuk mengamankan bisnis Anda & memastikan kepatuhan terhadap regulasi seperti UU PDP.
Narasumber