Menjelang pergantian tahun publik
Tanah Air dikejutkan oleh peretasan situs milik Sekretariat Kabinet dan Lembaga
Ketahanan Nasional. Dua lembaga pemerintah yang bisa dibilang tidak main-main. Para
peretas seolah ingin menunjukkan bagaimana mudahnya menembus fasilitas
pemerintah pusat di dunia maya. Bahkan sebelumnya situs revolusimental.go.id cukup
lama tak bisa diakses pasca serangan peretas.
Adopsi Lembaga Negara terhadap teknologi utamanya dengan internet adalah
tuntutan jaman. Pemerintah wajib membuka informasi seluas-luasnya pada
masyarakat, seperti amanah Undang-Undang Keterbukaan Informasi Publik, dan saat
ini lewat internetlah pemerintah bisa menjangkau masyarakat secara lebih luas
dan murah. Namun juga ada risiko yang harus dihadapi, yaitu peretasan.
Selama 2015, Karspersky Lab
mencatat lembaga pemerintah dan perbankan adalah sasaran utama para peretas.
Bila situs perbankan diretas karena faktor materi, situs pemerintah diretas
bisa karena berbagai faktor pendorong, yang paling utama adalah faktor politik
dan mencari popularitas. Anonymous
misalnya, kelompok peretas ini begitu tersohor karena terlibat dalam peretasan
berbau politik. Juga Julian Assange dengan Wikileaks-nya, yang membocorkan
banyak kabel diplomatik Amerika Serikat dan sekutunya. Dengan kondisi situasi seperti saat ini,
sudah semestinya pemerintah memberikan perhatian lebih kepada penataan
infrastruktur cyber dan keamanannya. Bila tidak, suatu saat akan menjadi
sasaran empuk peretas luar maupun dalam negeri dengan berbagai alasan. Lalu
sebenarnya apa saja yang menyebabkan situs milik pemerintah cukup mudah
ditembus oleh para peretas, berikut beberapa di antaranya.
1. Belum
Memakai Secure Hosting
Pemilihan
hosting provider yang kurang selektif, dapat menyebabkan sistem web menjadi
sangat rentan di-deface. Jauh lebih bagus jika sistem web dihosting di
infrastruktur mandiri, dalam hal ini milik pemerintah, dengan penambahan
perimeter-perimeter security yang kuat. Dalam kasus peretasan situs milik
pemerintah yang telah terjadi diketahui menggunakan share hosting. Padahal shared hosting adalah tempat favorit
bagi para peretas untuk melatih kemampuan. Sekuat apapun sistem web, akan
tetapi jika berada di share hosting, maka peretas tidak akan langsung menyerang
situs tersebut. Dengan shared hosting seorang peretas akan bisa mencari
kelemahan tidak langsung terhadap sistem target, tetapi ke sistem lain yang
lemah yang berada dalam satu hosting tersebut.
2. Belum
Menggunakan Secure Coding
OpenSource CMS
seperti wordpress, joomla, drupal, memang sangat memudahkan untuk mengembangkan
web. Tetapi CMS tersebut juga mempunyai banyak lubang keamanan yang sangat
mudah ditembus oleh peretas. Dalam kasus revolusimental.go.id dan setkab.go.id,
hal ini diperparah dengan masih defaultnya link login untuk admin, masih dapat
diakses dari internet beberapa konfigurasi dan tanpa ada filter sama
sekali. Hal ini terlihat dengan sangat
mudahnya membuka halaman admin. Akan jauh lebih aman jika sistem web dibangun
secara mandiri dengan memperhatikan aspek secure coding.
3. Jarang
Melakukan Penetration Test
Selayaknya
sebuah kendaraan bermotor yang secara berkala masuk ke bengkel, sebuah situs
milik pemerintah sudah selayaknya mendapatkan penetration test. Ini adalah
langkah untuk mendapatkan lubang keamanan yang ada di dalam sistem. Beberapa
raksasa teknologi seperti Google, Yahoo dan Facebook berani memberikan reward
yang sangat besar untuk para peretas yang berhasil menemukan lubang keamanan di
sistem mereka.
4. Poor
Patch Management
Setiap instansi
pemerintah yang memiliki infrastruktur IT wajib melakukan patch management. Itu
adalah proses perbaikan atau menutup celah keamanan yang ditemukan dalam
sistem, jelas tujuannya untuk menjaga keamanan jaringan. Namun sebagian besar
instansi pemerintah kurang mengindahkan hal ini. Inilah yang disebut sebagai
poor patch management. Para peretas ini
mengincar hal-hal yang dianggap remeh oleh banyak orang, seperti mengupdate
security browser, database dan aplikasi penunjang lainnya. Lewat celah keamanan
ini para peretas bisa menaruh exploit, malware, mencuri informasi, merusak
sistem mapun merusak reputasi instansi pemerintah lewat infrastruktur IT yang
ada. Minimal ada usaha menambahkan SSL certificate (Secured Socket Layer) untuk
mengamankan transmisi data melalui situs web. Transmisi data seperti nama
pengguna dan password account, serta informasi penting yang harus diamankan.
5. Kesadaran
SDM Masih Kurang.
Keamanan situs
maupun jaringan IT instansi pemerintah sebenarnya bukan hanya tanggungjawab admin
semata. Para pengambil kebijakan di tataran atas juga bertanggung jawab sejak
pembangunan situs dan jaringan IT. Pemilihan developer misalnya, bila pengambil
kebijakan tak paham benar mana yang aman, bisa jadi developer dengan tawaran
situs bertemplate wordpress mislanya, akan menang. Akibatnya jelas, dengan
template modifikasi Wordpress yang umum, celah keamanan lebih banyak dan
terbuka. Bahkan di forum-forum internet peretas pemula di bagikan celah
keamanan untuk banyak template, sehingga itu menjadi sasaran latihan melakukan
deface sebuah situs. Manusia sebagai pihak yang menjalankan sistem adalah kunci
sejak proses perencanaannya. Oleh karena itu perlu dibangun sebuah usaha untuk
meningkatkan kesadaran keamanan cyber untuk seluruh pegawai pemerintahan. Hal
ini bisa menekan risiko terjadinya serangan pada situs pemerintah, dan
meningkatkan keamanan jaringan IT yang ada di lembaga pemerintah.
*Penulis, Pratama Persadha adalah pegiat keamanan cyber dan kriptografi. Kini
aktif sebagai Chairman CISSReC (Communication and Information System Security
Research Center), lembaga riset non-profit di bidang keamanan cyber dan
komunikasi.