Langkah cepat yang dilakukan oleh BRI Life yang ditengarai mengalami kebocoran data patut dihargai dimana hanya dalam beberapa hari berhasil mengidentifikasi sumber kebocoran data dan segera melakukan mitigasi atas celah keamanan yang dieksploitasi.
Mengkomunikasikan hal ini secara terbuka dan melakukan antisipasi atas dampak negatif dari kebocoran data tersebut. Langkah cepat ini juga memberikan suatu gambaran yang lebih jelas sejauh mana kerusakan yang telah dan akan terjadi.
Apakah datanya “hanya” dikopi atau malahan sempat dirubah atau dimanipulasi oleh peretas. Logikanya kalau peretas ingin mengambil keuntungan dengan memanipulasi data sistem yang berhasil diretasnya;
Ia akan melakukan aksi senyap dan tidak akan mempublikasikan aksinya, apalagi menjual data dari sistem yang berhasil diretas.
Jadi memang kemungkinan besar tidak ada data nasabah yang dimanipulasi oleh peretas.
Hal ini sangat penting mengingat bisnis keuangan adalah bisnis kepercayaan dan data pengguna layanan keuangan sangat sensitif.
BRI sebagai bank terbesar di Indonesia tentu akan mengalami kerugian reputasi yang signifikan jika data yang dikelolanya sampai berhasil dieksploitasi.
“Untungnya” kali ini yang menjadi korban adalah anak usahanya yang kebetulan bergerak dalam bidang asuransi syariah dan menurut klaim pengelolaan datanya terpisah dari data perbankan atau asuransi BRI lainnya.
Hal menarik yang perlu menjadi perhatian adalah posting di Raid Forum yang menjual data tersebut seharga US$ 7.000 atau sekitar 100 jutaan juga langsung menghilang.
Ada banyak kemungkinan menghilangnya postingan tersebut. Bisa jadi pelakunya ketakutan karena kebocoran data ini memviral dan menjadi fokus perhatian banyak orang.
Jadi, pelakunya takut tertangkap oleh pihak berwenang karena melakukan intrusi kepada sistem komputer tanpa izin merupakan aksi melanggar hukum atau karena penyebab lain.
Misalnya ada pihak yang diam-diam membeli data tersebut dan bersedia membayar lebih jika usaha penjualan data tersebut dihentikan.
Apapun kemungkinan yang terjadi, hal ini memberikan sedikit keuntungan bagi korban peretasan karena datanya yang bocor sudah tidak dijual lagi.
Kemujuran lain dalam kasus ini adalah karena jumlah uang yang diminta untuk data ini hanya US$7.000 atau Rp100 jutaan.
Dan mungkin dengan menambahkan sedikit nominal tertentu, penjual bersedia mencabut penjualan data tersebut dari forum.,
Dengan harapan penjual ini adalah satu-satunya pemilik data yang dijual tersebut dan data tidak didapatkan dari pihak ketiga.
Namun jika data jatuh ke tangan aktor ekstorsi kelas berat seperti yang dialami oleh banyak perusahaan Amerika Serikat, maka kasusnya akan berbeda.
Karena, angka tebusan yang diminta sangat besar dan ekstorsionis tidak akan ragu-ragu menyebarkan data yang berhasil didapatkannya jika korban tidak bersedia membayar jumlah uang yang dimintanya.
Sebagai gambaran, Colonial Pipeline membayar US$4,4 juta atau sekitar 63 milyar rupiah untuk aksi penyanderaan data dan sistem yang dialaminya. Dan rata-rata pembayaran ransomware/extortionware di tahun 2021 adalah US$170.000.
Karena itu, adalah sangat penting disiplin menjaga server database, apalagi yang terekspose ke internet. Jika memungkinkan, sebaiknya database jangan disimpan di server web dan akses dari web ke server database dibatasi dan diawasi sedemikian rupa agar aman dari eksploitasi.
Khusus untuk server yang mengolah database kritikal disarankan untuk dienkripsi untuk menghindari akses ekstorsi, sehingga jika terjadi kebocoran data, maka data yang berhasil dikopi tersebut juga tetap tidak bisa dibaca karena terenkripsi.
Asalkan ingat untuk melindungi server enkripsi dengan baik karena kalau kunci dekripsi berhasil dikuasai peretas, maka semua perlindungan enkripsi akan percuma karena data tersebut akan bisa di buka.
Bounty Hunter.
Sebenarnya, ada komunitas pencari celah keamanan yang secara rutin melakukan pemidaian guna mencari kelemahan sistem atau celah keamanan sistem yang terkoneksi ke internet.
Jika berhasil menemukan celah keamanan, bounty hunter akan menginformasikan kepada pengelola sistem tersebut dan administrator seharusnya berterimakasih kepada bounty hunter ini.
Namun, banyak juga administrator yang tidak menghargai atau malah memusuhi bounty hunter ini karena dianggap menyusahkan administrator dan menambah pekerjaan saja.
Padahal jika terjadi kebocoran data karena eksploitasi celah keamanan, administrator menjadi orang yang paling bertanggung jawab dan harusnya berterimakasih kepada bounty hunter.
Jika mendapatkan informasi kebocoran data dan segera memperbaiki kelemahan tersebut, kalau perlu secara teratur melakukan pentest untuk menjaga keamanan server yang menjadi tanggung jawabnya.
Kurangnya penghargaan terhadap bounty hunter ini juga secara tidak langsung menyebabkan aksi ekstorsi dengan mengeksploitasi dan menyandera data dari sistem yang mengandung celah keamanan.
Semoga hal ini tidak berlanjut dan menginspirasi bounty hunter menjadi extortionis yang karena sudah cape2 beritikad baik menginformasikan adanya kelemahan/celah keamanan tetapi bukannya di hargai malahan diabaikan, dihindari atau dimusuhi.
Work from Home
Salah satu celah keamanan terbesar yang sulit diantisipasi oleh administrator adalah pekerja yang terpaksa bekerja diluar jaringan intranet atau WFH Work from Home dan memiliki akses terhadap sistem, server atau database perusahaan.
Seperti kita ketahui, perkembangan teknologi cloud memungkinkan pekerja untuk mengakses data kantor dan melakukan pekerjaannya dari rumah. Apalagi dengan adanya pandemi ini memaksa lebih banyak karyawan melakukan pekerjaannya dari rumah.
Masalahnya, komputer WFH tersebut memanfaatkan jalur umum (internet) untuk berhubungan dengan jaringan intranet kantor dan komputer tersebut jelas lebih terekspose terhadap ancaman dibandingkan ketika bekerja di intranet kantor.
Karena tidak adanya perlindungan perimeter yang didapatkannya seperti ketika bekerja di kantor. Antivirus dan firewall konvensional yang bekerja dengan optimal di kantor akan kurang efektif ketika komputer berada diluar intranet karena kesulitan manajemen.
Ibarat pasukan yang tadinya terlindung dengan baik di dalam benteng, ketika keluar benteng, maka komputer rentan menjadi sasaran peretasan dan digunakan sebagai jembatan untuk mengakses sistem/jaringan di kantor.
Karena itulah perlindungan yang lebih handal seperti NGAV Next Generation Antivirus dan DNS Protection DNS over https yang memanfaatkan teknologi cloud seperti Webroot sangat dibutuhkan.
Karena akan tetap dapat memproteksi dan melakukan manajemen sekalipun komputer tersebut tidak ada di belakang perimeter/intranet atau WFH.
Akses terhadap sistem penting sebaiknya dibatasi dan diawasi sedemikian rupa menggunakan VPN, semaksimal mungkin menghindari membuka remote akses atau melakukan pengamanan maksimal.
Jika harus membuka akses remote seperti membatasi IP yang boleh melakukan remote, membatasi percobaan login yang salah guna mencegah brute force serta menggunakan Two Factor Authentication untuk otentikasi login ke sistem yang kritikal.
Pengamat Keamanan Siber, Alfons Tanujaya
