MANAJEMEN-TI.COM — Sebuah kota mendadak gelap gulita karena pembangkit listriknya tiba-tiba out of service, jaringan perbankan tiba-tiba tersungkur, data-data rahasia tersebar dan rumah sakit tiba-tiba harus kembali ke zaman tulis menulis arsip kertas.
Kejadian-kejadian seperti itu bukan lagi cerita fiksi karangan sutradara film atau pembuat video game. Kisah serupa itu kini makin sering menghiasi berita yang kita baca dalam beberapa tahun belakangan ini.
Korbannya bervariasi, baik swasta ataupun pemerintah, baik di barat maupun di timur. Tidak ada yang dapat mengklaim terbebas dari ancaman serupa ini. Inilah ancaman keamanan di era cyber.
Permasalahan keamanan TI sebenarnya bukan masalah baru. Risiko keamanan TI telah muncul seiring dengan pemanfaatan TI pada berbagai bidang. Karena memang manfaat dan risiko merupakan dua sisi dari mata uang yang sama.
Tidak bisa kita memilih hanya mendapatkan manfaat dan membuang sama sekali risikonya. Melainkan yang dapat kita lakukan hanyalah memikirkan bagaimana manfaatnya bisa optimal dan risikonya dapat ditekan seminimal mungkin.
Risiko keamanan informasi merupakan salah satu risiko yang kian lama kian menjadi perhatian utama. Sejumlah framework standard dibuat untuk membantu para pengguna TI mengamankan informasi yang mereka kelola.
Sebut saja ISO 27001/27002, COBIT, NIST, ITIL, dsb yang dirancang dengan tingkat cakupan, penekanan dan kedalaman yang berbeda-beda tapi dapat digunakan untuk membantu para pengelola TI dalam memastikan keamanan informasi di lingkungan organisasinya. Dan memang terbukti cukup membantu berbagai organisasi di seluruh dunia dalam mengelola keamanan informasinya.
[Baca juga: Keamanan Siber dan Keamanan Informasi: Apa Bedanya?]
Tapi apakah framework-framework standar tersebut bisa digunakan untuk kasus-kasus serangan cyber seperti yang disebutkan di awal tulisan ini? Apakah pengelolaan keamanan informasi dapat disamakan dengan penanganan keamanan cyber?
Steven J. Ross, dalam beberapa rubriknya di jurnal ISACA mengatakan bahwa keamanan cyber itu sangat berbeda dengan keamanan informasi. Ia tak dapat ditangani dengan cara-cara yang biasa digunakan dalam manajemen keamanan informasi. Pelaku serangan cyber ini utamanya adalah ‘negara’ atau yang disponsori negara, atau kelompok kriminal cyber yang terkoordinasi.
[Baca juga: Tata Kelola Keamanan Siber]
Kelompok pertama punya tujuan geo-politis tertentu, sedangkan yang kedua lebih pada motif ekonomi. Hal ini pula yang membuat karakteristik ancaman keamanan cyber berbeda dengan keamanan informasi biasa.
Bagaimana mau disamakan sedangkan pelaku serangan cyber ini adalah sebuah negara, kelompok teroris, atau organisasi kriminal yang punya pasukan berkompetensi lengkap dalam jumlah besar yang punya waktu berlimpah dan fokus untuk menyerang sebuah organisasi terterntu yang menjadi targetnya. Oleh karenanya keamanan cyber memerlukan penanganan spesial yang berbeda dengan pengamanan informasi yang biasa.
Selain itu, berbagai negara memandang ini sebagai sebuah ancaman yang sangat serius. Salah satunya Amerika Serikat yang melalui Instruksi Presiden nomor 13636 yang dikeluarkan pada Februari 2013 memerintahkan pengembangan framework yang dapat dijadikan pedoman dalam penanganan keamanan cyber khususnya untuk infrastruktur-infrastruktur yang kritikal.
Sehingga sekitar setahun setelah instruksi Presiden tersebut yaitu Februari 2014, National Institute of Standards and Technology (NIST) merilis sebuah framework sebagai panduan perlindungan keamanan cyber dari infratruktur kritikal.
Bagaimana Hasilnya?
Industrial Control System Cyber Emergency Response Team (ICS-CERT) melaporkan bahwa telah terjadi sedikitnya 245 kali serangan cyber pada sistem-sistem pengendali industri di Amerika Serikat dalam waktu 12 bulan (periode Oktober 2013 s.d September 2014). Dari serangan tersebut, 32% di antaranya adalah industri di sektor Energi, dan 27% di antaranya pada industri manufaktur kritikal.
Tidak lama setelah instruksi Presiden tersebut, kita juga tentu mendengar kehebohan aksi Edward Snowden, seorang anak muda yang berhasil menjebol pertahanan keamanan yang dikelola oleh lembaga super rahasia Amerika, NSA.
[Baca juga: Quo Vadis Perlindungan Data Pribadi di Indonesia]
Sementara itu Hewlett Packard Enterprise (HPE) dalam Cyber Risk Report 2016 menyebutkan bahwa tahun 2014 disebut sebagai tahun pembobolan (the year of breach), dan tahun 2015 adalah tahun kehancuran kolateral (the year of collateral damage).
Hal ini mengingat beberapa serangan yang terjadi berdampak secara masal bahkan pada orang-orang yang tidak pernah terbayang akan terkena dampak pembobolan keamanan, seperti misalnya pembobolan 21 juta data Pegawai Negeri Sipil Amerika.
Regulasi dibuat untuk mencegah terjadinya kejadian serupa di kemudian hari. Namun seringkali juga dibuatnya regulasi itu malah memicu ekses yang tidak diinginkan. Ketika maksud untuk membuat regulasi dalam rangka melindungi dari serangan tersebut begitu digembor-gemborkan, ternyata malah akan memicu usaha-usaha untuk menjebolnya.
Selain itu dinyatakan pula bahwa keamanan terkait erat dengan pemenuhan hak-hak perlindungan privasi, sesuatu yang jauh panggang dari api dipraktikkan oleh pemerintah Amerika Serikat, terutama setelah tragedi 11 September 2011. Pelanggaran hak privasi oleh Pemerintah ternyata berdampak buruk pada tingkat keamanan cyber mereka. Demikian sebagaimana dilaporkan dalam Cyber Risk Report 2016 yang dirilis oleh HPE.
Melihat perkembangan yang memburuk tersebut, pemerintah AS mencoba beberapa langkah lain. Di antara langkah yang dilakukan adalah melalui tuntutan pengadilan. Seperti belum lama ini pemerintahan Obama mendakwa 7 spesialis IT yang bekerja untuk Garda Revolusi Iran, salah satu sayap militer Iran.
Mereka didakwa atas serangkaian serangan cyber yang dilakukan pada sejumlah sistem perbankan dan bendungan. Dakwaan ini telah disangkal secara resmi oleh Iran yang melalui Menlu nya mengatakan bahwa tidak pernah ada dalam agenda negaranya untuk melakukan tindakan-tindakan yang membahayakan di ruang cyber dan tidak mendukung upaya-upaya serupa.
Dan AS tidak punya hak untuk menuntut warga negara lain, termasuk Iran, tanpa memberikan bukti dokumentasi yang kuat, lanjut menlu Iran. Berbagai pihak juga meragukan AS dapat berhasil dalam tuntutan ini mengingat hal serupa pernah mereka lakukan sebelumnya kepada sejumlah anggota sayap militer Cina 2 tahun lalu. Dan hingga kini para terdakwa tersebut tidak kunjung dapat ditahan.
Tahun ini, Presiden Obama meluncurkan Cybersecurity National Action Plan (CNAP) untuk mengambil langkah-langkah jangka pendek dan strategi jangka panjang untuk memberikan kontrol yang lebih baik pada keamanan cyber.
Langkah penting dalam CNAP tersebut antara lain adalah: (1) membentuk komisi nasional cybersecurity, (2) Modernisasi sistem IT pemerintah senilai USD 3,1 miliar; (3) Memperkuat warga Amerika untuk mengamankan akun onlinenya; (4) Investasi lebih dari USD 19 miliar untuk cybersecurity pada anggaran 2017. Fakta-fakta ini seharusnya semakin membuka mata betapa seriusnya tantangan yang dihadapi terkait keamanan cyber ini di masa kini dan akan datang.
Bagaimana dengan Indonesia?
Kebijakan pemerintah saat ini di bawah Presiden Joko Widodo sangat mendorong diimplementasikannya sistem IT pada berbagai sektor untuk mendorong tansparansi, akuntabilitas dan pelayanan publik.
Belum lagi kalau kita melihat mulai tumbuhnya penggunaan Internet of Things melalui program-program seperti Smart City yang tampaknya akan semakin diminati dan diterapkan di berbagai wilayah di Indonesia.
Hal ini tentu pada saat yang sama juga akan meningkatkan risiko serangan cyber. Terbukti berdasarkan data dari ID-SIRTII, jumlah serangan cyber meningkat lebih dari dua kali lipat dalam beberapa bulan terakhir 2015. Sementara itu di sisi lain, menurut laporan yang dikeluarkan oleh BSA tahun 2015, negara kita belum punya kebijakan dan strategi yang memadai terkait cyber security.
Pada tataran operasional, terdapat tumpang tindih fungsi organisasi yang mengurusi masalah ini, seperti antara lain: Desk Ketahanan dan Keamanan Informasi Cyber Nasional (D2KICN) dibawah koordinasi Menkopulhukam; Tim Koordinasi Keamanan Informasi dibawah Kemenkominfo; Direktorat Keamanan Informasi juga di bawah Kemenkominfo; Id-SIRTII.
Belum lagi kalau kita menyebut Dewan TIK Nasional yang sudah mati suri itu. Padahal berdasarkan berbagai laporan menunjukkan bahwa Indonesia merupakan negara yang punya kontribusi sangat signifikan dalam lalu lintas serangan cyber dunia.
Hal ini pula yang mungkin semakin membulatkan tekad Presiden untuk segera membentuk sebuah Badan yang kuat dengan tugas mengkoordinasikan seluruh kegiatan pertahanan cyber nasional.
Badan itu memang dibutuhkan. Hal yang sama juga dilakukan oleh negara-negara lain. Tapi jangan sampai ia bernasib sama dengan DeTIKNas di masa lampau yang tidak memiliki taji walaupun dipimpin sendiri oleh Presiden waktu itu.
Untuk dapat berjalan dengan baik mencapai tujuannya dibutuhkan kepemimpinan yang kuat karena tugas utamanya adalah mengkoordinasikan, struktur organisasi dan SDM yang kuat, serta dukungan kebijakan dan prosedur yang memadai.
Semoga dengan demikian Badan ini akan dapat mencapai tujuannya dalam melindungi kepentingan nasional di dunia cyber, bersanding setara dengan badan-badan serupa dari negara lain dengan tetap mempertahankan haluan bebas aktifnya.
Di samping itu penting juga untuk tetap menjaga hak-hak privasi warga negara karena — sebagaimana hasil studi HPE di atas — akan berpengaruh positif pada keamanan.
Last but not least, seluruh pihak terkait mesti duduk bersama. Saya tidak percaya apabila hanya pemerintah — sekuat apapun organisasi dan komposisi tim yang akan dibentuk — dapat bekerja sendirian mengatasi masalah ini.
Semua pihak harus sadar dan rendah hati untuk saling menguatkan untuk berpartisipasi dalam pembangunan keamanan cyber ini. Wahai pembuat kebijakan, industri, akademisi, maupun masyarakat, we all need to get involved! [mti]
Penulis: Umar Alhabsyi, ST, MT, CISA, CRISC.
Founder & CEO iValueIT Consulting (PT IVIT Konsulindo)
Artikel ini sebelumnya dimuat di Detikcom.