Contact Information

Alamat: Komplek Rumah Susun Petamburan Blok 1 Lantai Dasar, Tanah Abang - Jakpus 10260

We're Available 24/ 7. Call Now.
Keamanan Siber Tanggung Jawab Seluruh Pihak
SHARE:

Technologue.id, Jakarta - NotPetya, WannaCry, ShadowPad, dan Sunburst mungkin bukan sebuah istilah di dalam kehidupan sehari-hari, tetapi malware ini, dan masih banyak lagi, telah menimbulkan kerusakan signifikan di dunia.

Baru-baru ini, salah satu contoh malware digunakan untuk menyerang perusahaan layanan TI berbasis di Dublin, yang memasok perangkat lunak keamanan ke sejumlah kontraktor keamanan siber besar. Bekerja melalui perusahaan, peretas menginfeksi ratusan kliennya di seluruh dunia dengan serangan ransomware, dan meminta tebusan sebesar 50.000 - 5 juta USD dari setiap bisnis sebagai pengganti kunci dekripsi (decryption key).

Awal tahun ini, serangan lain menghantam perusahaan perangkat lunak TI Amerika, dan kemudian menyusup ke sembilan agen federal AS, termasuk Kantor Presiden, dan Departemen Keuangan dan Perdagangan.

Kesamaan dari serangan ini adalah modus operandinya: peretas menargetkan vendor perangkat lunak atau perusahaan TI untuk mendapatkan akses pintu belakang ke sistem klien mereka, menginfeksi ratusan dan ribuan sistem sekaligus.

Ini menjadi salah satu kemungkinan istilah "rantai pasokan (supply chain)" ditemukan - setiap bagian dari aliran proses pasti terkait dengan yang lain. Ketika satu bagian terpengaruh, maka efek domino segera menyusul.

Inti Masalah

Serangan siber rantai pasokan TIK (teknologi, informasi dan komunikasi) kini sedang berada di momentumnya– Uni Eropa untuk Keamanan Siber memperkirakan pertumbuhan serangan empat kali lipat pada tahun 2021 dibandingkan dengan tahun 2020. Risiko ini diperparah karena kerentanan dapat muncul pada setiap fase siklus TIK: mulai dari desain - melalui pengembangan, produksi, distribusi, akuisisi, dan penerapan - hingga pemeliharaan.

Dampak dari pelanggaran ini juga akan mencuat, mengingat adanya peningkatan interkoneksi sistem TI di seluruh organisasi, sektor, dan negara. Dalam survei tahun 2019 oleh Gartner, sebanyak 60% organisasi melaporkan telah bekerja dengan lebih dari 1000 pihak ketiga.

Setelah penyusupan berhasil, para pelaku kejahatan siber menikmati kebebasan untuk melakukan spionase dunia maya, mencuri data dan kekayaan intelektual, hingga melakukan pemerasan uang melalui serangan ransomware, yang saat ini sedang meningkat. Dari tahun 2019 hingga 2020, jumlah pengguna Kaspersky yang menghadapi ransomware yang ditargetkan - seperti perusahaan, lembaga pemerintah, dan organisasi kota - telah meningkat sebesar 767% .

"Sementara dampaknya terhadap pemerintah dan perusahaan mungkin lebih menonjol, masyarakat luas pun tidak luput sebagai incaran. Serangan pada rantai toko kebutuhan sehari-hari dapat menyebabkan penutupan sementara sejumlah supermarket, atau virus dapat menyebar ke jutaan pengguna PC melalui pembaruan perangkat lunak (seperti, misalnya, terjadi pada serangan ShadowHammer3+1, yang terdeteksi dan segera dimitigasi oleh Kaspersky pada tahun 2019 ). Dan ini merupakan hal sehari-hari yang memengaruhi individu seperti kita semua." Komentar Genie Sugene Gan, Head of Government Affairs, Asia Pasifik, Kaspersky.

Tanggapan Awal

Menyadari risiko dan dampak serangan siber rantai pasokan, semakin banyak negara yang mengambil tindakan untuk memitigasi hal ini. Sejak 2020, strategi keamanan siber nasional telah dirilis atau diperbarui di seluruh Asia-Pasifik, termasuk di Singapura, Malaysia, Australia, dan Jepang. Negara-negara lain, seperti Vietnam, India dan Indonesia, diharapkan juga segera merilis strategi nasional atau rincian implementasi nasional mereka.

Tetapi ketika menyangkut ketahanan rantai pasokan TIK, solusinya lebih kompleks mengingat banyaknya berbagai pemangku kepentingan yang terlibat. Beberapa pemerintah telah melakukan intervensi, dengan fokus melindungi rantai pasokan TIK dari Infrastruktur Informasi Kritis (Critical Information Infrastructure - CII):

  • Pada tahun 2018, Departemen Keamanan Dalam Negeri AS membentuk Satuan Tugas Manajemen Risiko Rantai Pasokan TIK (ICT Supply Chain Risk Management Task Force), kemitraan sektor publik-swasta untuk mengembangkan konsensus tentang strategi manajemen risiko guna meningkatkan keamanan rantai pasokan TIK global. Gugus Tugas telah merilis pedoman tentang berbagi informasi risiko rantai pasokan, dan pertimbangan risiko untuk pelanggan penyedia layanan terkelola.
  • Pusat Keamanan Siber Australia juga menerbitkan panduan tahun ini bagi bisnis untuk mengidentifikasi risiko keamanan siber yang terkait dengan rantai pasokan, dan untuk mengelola risiko ini.
  • Badan Keamanan Siber Singapura mengumumkan bahwa mereka akan segera meluncurkan Program Rantai Pasokan Infrastruktur Informasi Kritis bagi para pemangku kepentingan untuk mematuhi praktik dan standar terbaik internasional dalam manajemen risiko rantai pasokan.
Tindakan Lanjutan

Fenomena global dari rantai pasokan TIK membutuhkan respons yang lebih kuat dan terkoordinasi pada setiap tingkat.

Secara global, negara-negara dan Organisasi Internasional (misalnya, INTERPOL, PBB, ASEAN, Europol) telah mengambil langkah-langkah untuk mempererat kerja sama dan berbagi praktik terbaik:

  • Platform multilateral - Saat ini, United Nations Group of Governmental Experts dan Open-ended Working Group adalah platform yang dapat digunakan oleh negara-negara untuk mengembangkan konsensus seputar proses dan norma dunia maya. Konferensi seperti Forum Tata Kelola Internet PBB memberikan peluang lebih lanjut untuk berdiskusi di tingkat kerja: pada tahun 2020, Kaspersky bersama dengan mitra kami menyelenggarakan lokakarya untuk membahas kebutuhan dan cara mengembangkan jaminan dan transparansi dalam rantai pasokan TIK global.
  • Kemitraan bilateral - Negara-negara di kawasan ini, termasuk Vietnam, India, Jepang, Singapura, Cina, dan Korea Selatan, telah berkomitmen untuk MoU tentang berbagai aspek keamanan siber - sebuah langkah penting dalam membuat kemajuan di dalam negeri dan global.

Sementara masing-masing platform ini memainkan peran penting dalam membangun konsensus, bertukar pengetahuan dan praktik terbaik, dan menyelaraskan standar, menjadi sangat penting pula untuk memiliki percakapan yang lebih berfokus tentang ketahanan rantai pasokan TIK global, mengingat beragamnya jenis pelaku dan dampak yang ditimbulkan secara global.

Secara nasional, pemerintah harus terus mendorong upaya nasional untuk menetapkan tingkat dasar keamanan siber di seluruh sektor melalui undang-undang, peraturan, pedoman, persyaratan pelatihan, dan pembangunan kesadaran. Contoh di atas memberikan gambaran tentang beberapa inisiasi yang telah dilakukan oleh pemerintah.

Mengingat sifat ketahanan dari rantai pasokan TIK yang terintegrasi, ada kebutuhan khusus untuk mengembangkan prinsip-prinsip inti (misalnya, keamanan berdasarkan desain), standar teknis, dan kerangka kerja legislatif/peraturan untuk memastikan tingkat keamanan siber dan akuntabilitas yang konsisten di seluruh pemangku kepentingan. Alat penilaian diri (self-assesment) juga dapat diterbitkan selain untuk melengkapi implementasi.

Secara individu, setiap orang bertanggung jawab untuk memastikan keamanan siber kolektif diri masing-masing. Secara alami, bisnis yang mengembangkan produk dan memelihara sistem harus memimpin di depan.

Di Kaspersky, kami percaya bahwa transparansi dalam komponen di dalam dan koneksi di seluruh rantai pasokan perangkat lunak adalah cara terbaik untuk memastikan integritas dan kepercayaan infrastruktur digital kami. Komitmen Kaspersky terhadap prinsip ini dibuktikan dengan Inisiatif Transparansi Global yang di antara lain:

  • Menyambut pihak ketiga untuk meninjau kode sumber kami. Baru-baru ini, Kaspersky mempermudah mitra dan publik untuk memahami apa yang ada di dalam produk dengan menyediakan kumpulan materi perangkat lunak – daftar semua komponen, informasi tentang produk, dan kegunaannya.
  • Mempraktikan pengungkapan kerentanan secara bertanggung jawab, dan dalam banyak kesempatan, turut menginformasikan perusahaan TI mengenai kerentanan dalam sistem mereka, untuk menghindari beberapa potensi serangan siber yang signifikan.

"Keamanan siber adalah kepentingan semua orang karena ittu dapat tercapai dengan kekuatan kolektif. Untuk tetap menjadi yang terdepan, diperlukan pendekatan holistik yang melibatkan semua pemangku kepentingan. Kita harus melihat lebih dari sekadar mengejar ketertinggalan dan bereaksi terhadap ancaman siber. Sangat penting untuk mengambil pendekatan jangka panjang dalam merancang ekosistem keamanan siber, yang mencakup membangun sumber daya manusia yang kuat untuk memenuhi kebutuhan CERT, tim analisis forensik dan departemen TI, dan merancang Infrastruktur Informasi Kritis yang aman secara default. Ide-ide di atas bukanlah daftar yang mutlak, tetapi kami mengharapkan inisiasi tersebut dapat memberikan ide tentang bagaimana cara untuk memulainya bersama mengingat jalan panjang yang terbentang di depan kita." Tutup Genie Sugene Gan, Head of Government Affairs, Asia Pasifik, Kaspersky.

SHARE:

Candu Game, Mayoritas Gamers Kalap Belanja di Momen Diskon

Studi Baru Kaspersky Ungkap Eksperimen Kejahatan Dunia Maya AI di Dark Web