Jakarta, Indonesia, 22 November 2018 – Palo Alto Networks® (NYSE: PANW), pemimpin global di kancah keamanan siber, hari ini menyampaikan ‘Cybersecurity Forecast 2019,’ sekaligus merinci potensi-potensi munculnya sejumlah ancaman keamanan yang kini mengemuka, serta bagaimana dapat menggugah kewaspadaan semua pihak sepanjang tahun 2019 yang akan datang. Dalam kesempatan yang sama, Palo Alto Networks juga menyampaikan beragam pendekatan keamanan strategis yang dirangkai secara khusus sebagai langkah antisipatif terhadap dinamika keamanan di tahun depan.
Tahun lalu, kita telah menyaksikan maraknya serangan siber yang berakibat fatal pada dibobolnya data substansial milik sejumlah perusahaan maupun lembaga organisasi, dan lebih jauh lagi, hal tersebut telah mengakibatkan kerugian finansial yang tak ternilai, serta jatuhnya reputasi perusahaan dan loyalitas pelanggan mereka. Setiap pemimpin bisnis perlu menjadikan potensi sekaligus risikokeamanan sebagai bahan pertimbangan dalam menerapkan strategi keamanan siber di lingkungan IT mereka.
Makin terkoneksinya lingkungan IT masa kini menjadi pembuka jalan bagi masuknya beragam ancaman keamanan siber yang membidik melalui titik-titikrentan di lingkungan yang menganga lebar, dari yang berupaya menjebak melalui situs-situs palsu yang mirip dengan situs asli sebuah perusahaan, hingga yang langsung mengarahkan serangan ke akun-akun personal pengguna media sosial guna menyuntikkan exploits.
Di tengah ketidakpastian yang menggelayuti lanskap masa depan keamanan siber, banyak hal tak terduga yang terjadi di industri keamanan siber. Palo Alto Networks menyoroti lima hal penting yang diprediksikan akan ramai di kancah keamanan siber tahun depan. Perumusan prediksi keamanan siber ini merupakan bentuk komitmen Palo Alto Networks dalam menyediakan informasi yang cukup bagi perusahaan maupun lembaga agar lebih matang dalam menyusun keputusan-keputusan strategis terkait keamanan.
Prediksi No. 1: Makin maraknya email-email bisnis yang disisipi lampiran jahat
Bisnis kerap dijadikan sebagai sasaran empuk oleh penjahat siber dalam melancarkan aksinya. Dalam lima tahun terakhir saja, lebih dari $US12 miliar dicuri oleh penjahat siber melalui email-email bisnis yang telah terkompromi. Tingginya tingkat pencurian kata sandi dan detil login di lingkungan enterprise membuat penjahat siber makin jemawa dan termotivasi lebih jauh untuk membidik ke beragam lingkungan organisasi, dari yang berskala kecil hingga besar, dengan menyaru sebagai mitra bisnis maupun stakeholders internal. Modus semacam ini diprediksikan akan kian marak dan bisa memakan korban lebih besar lagi apabila bisnis gagal untuk beradaptasi dengan situasi tersebut.
Meningkatnya kejahatan siber yang menyertai email-email bisnis yang telah terpapar menjadi penanda betapa canggih dan beragamnya metode yang digunakan dalam aksi kejahatan siber. Dari yang berupaya jebakan melalui situs-situs palsu yang mirip dengan situs asli sebuah perusahaan, hingga yang langsung mengarahkan serangan ke akun-akun personal pengguna media sosial guna menyuntikkan exploits. Penjahat siber kini makin lihai mengelabuhi sehingga lolos dari upaya penyaringan yang dilakukan secara internal. Akankah bisnis mampu mengatasi problematika ini di tahun 2019 mendatang?
TIP
Perusahaan disarankan untuk melakukan assessment terhadap seluruh lalu lintas informasi di internal perusahaan, serta mengimplementasikan proses-proses pengecekan dan perizinan secara komprehensif atas email-email bisnis yang masuk, khususnya terkait dengan pergerakan-pergerakan masing-masing sumber daya. Kata sandi saat ini menjadi salah satu titik paling lemah di lingkungan perusahaan karena rentan dibobol. Melindungi kata sandi bukan perkara mudah, ditambah lagi dengan banyaknya keterbatasan-keterbatasan pada proses verifikasi identitas pengguna. Kami melihat di tahun 2019 akan makin banyak perusahaan yang mengadopsi strategi keamanan email bisnis dengan menerapkan proses autentikasi dua-faktor maupun multi-faktor, serta autentikasi berbasis biometrik.
Prediksi No. 2: Rantai suplai menjadi titik lemah baru di lini keamanan
Kehadiran era digital menyebabkan luruhnya batasan-batasan dalam bangunan rantai suplai global yang saling terkoneksi. Dari menjalin koneksi bisnis dengan penyuplai, hingga mencari layanan alih daya di tataran global kini tak serumit dahulu. Jalinan yang terbangun, berikut keterikatan antar data dan jaringan, memberdayakan organisasi dalam menciptakan efisiensi melalui bangunan konektivitas dan teknologi analitik. Namun di sisi lain, hal tersebut juga turut membuka celah-celah baru bagi penjahat siber untuk membidik di titik-titik lemah di bangunan keamanan yang ada.
Risiko keamanan tersebut dapat kita amati dengan jelas di sektor kesehatan. Peranti-peranti medis terkoneksi, seperti mesin MRI dan X-ray yang tersambung ke jaringan internal, menjadi area yang rentan serangan yang tak mudah diawasi.
Dalam rantai suplai global yang makin kompleks, tak mudah bagi kita untuk memastikan titik-titik mana yang sarat risiko keamanan siber, alih-alih menghindarinya. Hal ini menuntut perlunya pemahaman perusahaan atas pihak-pihak ataupun individu-individu di perusahaan yang mengakses atau terkoneksi ke jaringan mereka, serta sistem atau layanan mana yang krusial bagi mereka.
TIP
Tingginya jumlah peranti minim proteksi, seperti internet of things (IoT) yang terkoneksi ke jaringan korporasi justru rentan menggiring IoT menjadi ‘internet of cyberthreats.’ Meski penggunaan aplikasi maupun peranti terkoneksi dari pihak ketiga merupakan suatu keniscayaan, namun hendaknya perusahaan tertib dalam menerapkan standar keamanan internal dalam proses pengadaan peranti maupun layanan, seperti memastikan bahwa firmware atau aplikasi selalu terbarui setiap saat. Perusahaan juga wajib memastikan bahwa konfigurasi login telah diubah dari konfigurasi default.
Bila sistem dan perangkat pihak ketiga harus dimukimkan di jaringan, maka terapkan mode Zero Trust untuk memastikan bahwa proses inspeksi dan verifikasi lalu lintas dilaksanakan hanya oleh pengguna atau aplikasi yang telah mendapatkan otoritas dalam melakukan komunikasi. CSO perlu memastikan bahwa lalu lintas informasi sensitif dapat dipisahkan dan selalu dalam kondisi aman di dalam jaringan, dan tidak memungkinkan untuk dijangkau oleh peranti atau sistem dari luar. Butuh kewaspadaan tinggi bagi sektor layanan kesehatan di tahun mendatang, bahwa sistem pompa insulin maupun CCTV yang tanpa proteksipun bisa menjadi gerbang masuk serangan bagi penjahat siber, semudah serangan yang masuk melalui komputer ataupun ponsel pintar.
Prediksi No. 3: Proteksi data dijadikan sebagai agenda utama di Asia Pasifik
Negara-negara di Asia Pasifik mengusung komitmen bersama dalam mendukung inisiatif keamanan siber. Hal ini membawa angin segar bagi disusunnya kerangka kerja perlindungan data secara formal di kawasan tersebut. Australia dan Singapura menjadi negara pertama yang mengawali inisiatif perlindungan data di negara mereka, disusul negara-negara lainnya seiring mulai terbangunnya kesadaran akan arti penting perlindungan data dan keamanan nasional. Kemapanan digital yang tidak seragam di masing-masing negara membawa kendala pada penyusunan aturan-aturan perlindungan data semacam GDPR. Namun diprediksikan bahwa di tahun 2019 negara-negara mulai beranjak menyusun inisiatif-inisiatif perlindungan data bagi warga negara mereka.
Pemerintah Indonesia saat ini terus berupaya mendorong penguatan-penguatan infrastruktur teknologi informasi untuk mendukung pertumbuhan ekonomi digital di negara tersebut, di samping upaya pemerintah untuk mewujudkan rencana pita lebar demi terbangunnya konektivitas serat optik di seluruh negeri pada tahun 2019,[1] serta mendorong tumbuhnya penetrasi jaringan broadband mencapai angka 100% di wilayah perkotaan dan 52% di wilayah pedesaan, dengan kecepatan hingga 1 Mbps, di samping penyusunan petajalan e-commerce,[2] dan visi smart city[3] yang tengah mereka canangkan.
Pemerintah juga menunjukkan keseriusannya dalam upaya memenuhi kebutuhan keamanan data pribadi dan privasi bagi warganya melalui penerbitan peraturan Menteri Komunikasi dan Informasi No. 20 tahun 2016 mengenai Perlindungan Data Personal dalam Sistem Elektronik, untuk melaksanakan untuk melaksanakan ketentuan Pasal 15 ayat (3) dalam Peraturan Pemerintah No. 82 Tahun 2012 mengenai Penyelenggaraan Sistem dan Transaksi Elektronik.[4]
TIP
Aturan GDPR yang dikeluarkan oleh Uni Eropa telah memantik organisasi-organisasi di kawasan Asia Pasifik untuk lebih serius dalam menangani permasalahan terkait penggunaan dan penyimpanan data. GDPR dapat dijadikan sebagai acuan dasar bagi bisnis dalam melakukan assessment untuk melihat sejauh mana kesenjangan dalam pemenuhan aturan kelaikan dan dalam memperkuat postur keamanan perusahaan secara keseluruhan. Sambil menunggu kesiapan hingga terbitnya kerangka kerja aturan keamanan dan privasi data yang serupa, kebijakan yang tertuang dalam GDPR bisa dijadikan sebagai acuan bagi bisnis dalam meminimalkan adanya proses koleksi data yang tak perlu, yang pada akhirnya dapat membantu dalam memangkas risiko keamanan.
Prediksi No. 4: Saatnya bagi Cloud Provider-Enterprise lebih serius dalam membangun fondasi IT yang aman
Di era yang segalanya bertumpu pada aplikasi seperti sekarang ini, layanan komputasi awan menyuguhkan sumber-sumber daya siap pakai bagi bisnis dalam menghadirkan produk dan layanan dengan investasi yang tidak terlalu memberatkan. Meski komputasi awan mampu mendukung bisnis dalam proses simplifikasi keamanan di area-area tertentu, namun kehadirannya bukan tanpa kendala. Perusahaan yang mengimplementasikan strategi komputasi awan harus siap dengan kenyataan bahwa data krusial milik perusahaan ditempatkan bersama data milik pihak ketiga. Itulah mengapa perusahaan perlu memastikan keamanan dalam penyimpanan dan transmisi data, dan memastikan bahwa hanya personel resmi dan berizin saja yang dapat mengakses.
Keamanan infrastruktur awan bukan saja menjadi tanggung jawab penyedia layanan. Perusahaan juga punya peran yang tak kalah krusial dalam menjaga keamanan data, aplikasi, jaringan sistem operasi, konfigurasi firewal dan lain sebagainya. Ekosistem yang rumit membawa kompleksitas tersendiri pada sistem keamanan, khususnya bagi organisasi yang terkendala dalam mencari talenta-talenta di bidang keamanan siber.
TIP
Di tengah tingginya tuntutan bisnis untuk cepat dalam berinovasi dan menghadirkan layanan-layanan baru, ditambah lagi dengan kompleksitas web pada sumber-sumber komputasi, menerapkan disiplin dalam meningkatkan pergerakan keamanan bukan hal yang rumit. DevOps dapat bergerak lebih cepat dalam melakukan pengembangan. Terdapat tantangan tersendiri untuk selalu memastikan bahwa sistem keamanannya berjalan dengan baik, khususnya terkait dengan proses transisi dari manajemen IT tradisional ke DevOps.
Agar bisnis sukses, perusahaan wajib memiliki proses, teknologi, dan yang paling utama adalah sumber daya manusia yang siap menjaga sistem selalu terlindungi dengan baik.
Penting untuk diingat bahwa sistem keamanan warisan, yang tersusun dari beragam produk, terbukti tak mampu mencegah serangan siber yang kini melimpah dan kian canggih. Terlalu banyak peranti keamanan yang bergantung pada intervensi manual. Akibatnya, begitu terjadi serangan yang dibidikkan ke sistem, sistem tersebut gagal menyediakan proteksi yang ampuh dengan segera. Untuk memangkas risiko siber, perusahaan perlu membangun sebuah sistem kendali yang efektif, terintegrasi dan terotomatisasi guna mendeteksi, sekaligus mencegah segala bentuk ancaman keamanan, baik yang sudah dikenali maupun belum dikenali, dalam semua lingkup serangan.
Prediksi No. 5: Makna penting membangun keamanan siber pada infrastruktur krusial
Definisi dari infrastruktur kritikal saat ini telah mengalami pergeseran berarti, yakni bukan lagi sekadar infrastruktur dan sumber daya publik saja, namun mencakup hingga ke sektor-sektor krusial lainnya, seperti layanan perbankan dan finansial, telekomunikasi, hingga industri media. Makin banyaknya infrastruktur krusial yang bertransformasi ke digital dan terotomatisasikan.
Persilangan antara jaringan korporasi dengan industri membuka titik-titik lemah baru yang rentan dijadikan sebagai target oleh penjahat siber. Hal tersebut menimbulkan potensi bahaya tersendiri bagi industri, terlebih kini masih banyak sistem industri, seperti supervisory control and data acquisition (SCADA) dan industrial control systems (ICS) yang dianggap krusial bagi sejumlah industri di sektor energi, air, hingga transportasi publik dan masih bergantung pada sistem legacy yang belum mendukung untuk diterapkannya patch.
Pusat Keamanan Siber Nasional Inggris baru-baru ini menerbitkan peringatan bahwa serangan siber merupakan sebuah keniscayaan, dan berpotensi akan membidikkan serangan pada infrastruktur-infrastruktur krusial negara, bahkan ke sistem pemilu. Peringatan tersebut disampaikan pada World Economic Forum Global Risk Report 2018, yang menganggap bahwa serangan siber menempati urutan atas sebagai penyebab utama yang menimbulkan disrupsi global, di bawah kejadian bencana dan cuaca ekstrim. Bagaimana kesiapan Asia menjelang tahun 2019 nanti?
TIP
Sejauh ini, pemilik infrastruktur fokus pada kerahasiaan informasi dan menjaga dijalankannya dua prinsip utama dalam hal keamanan informasi, yakni integritas dan ketersediaan. Hal tersebut krusial maknanya bagi negara yang tengah giat dalam mengadopsi teknologi industri 4.0, misalnya seperti teknologi machine learning untuk kendaraan otonom. Inovasi-inovasi tersebut bergantung pada telemetri dan konektivitas always-on. Menempatkan urusan publik sepenuhnya ke sistem yang bergantung pada akurasi dan aksesibilitas data. Sebagai langkah awal, pengelola infrastruktur krusial, baik di sektor publik maupun swasta, hendaknya menerapkan sistem keamanan Zero Trust dan memastikan dilakukannya segregasi akses.
Perspektif IT mengenai aturan kelaikan juga perlu diubah. Pengelola infrastruktur krusial perlu beranjak dari pendekatan berbasis kelaikan ke keamanan, menuju paradigma baru yang menempatkan sistem keamanan sebagai nyawa dari sebuah sistem. Regulator dan pengelola perlu bergandengan tangan dalam menyusun kerangka kerja regulasi yang mampu mengayomi keduanya, sekaligus menerapkan pendekatan security-first dalam merancang dan mengelola seluruh infrastruktur krusial.
[1] Ministry of National Development and Planning, Indonesia Broadband Plan for 2014-2019, October 2017
[2] Indonesia e-Commerce Roadmap of 2017-2019
[3] The Ministry of Communications, Information and Technology of Indonesia: 100 Smart Cities National Movement
[4] Ministry of Communications and Informatics of Indonesia, Regulation no. 20 of 2016