Ketua Indonesia Security Incident Response Team of Internet Infrastructure (ID-SIRTII) Rudi Lumanto menjabarkan ada lima prinsip information security dalam menghadapi tantangan dan peluang terkini di bidang ICT untuk Perbankan.
- ICT yang merupakan pisau bermata dua.
Rudi menggambarkan bahwa ICT selain sebagai tool dan enabler, juga merupakan pintu masuk ancaman yang langsung menuju aset. Seperti yang terjadi pada fenomena aplikasi GoJek, dimana benefit dari aplikasi ini memang dirasakan sangat membantu warga di beberapa kota besar. Namun belum siapnya mental masyarakat dalam menerima kemajuan teknologi, serta munculnya kecemburuan sosial mengakibatkan kerap muncul konflik antara GoJek dengan ojek konvesional ujar Rudi. Kerawanan lainnya adalah terdapatnya identitas pribadi pengguna, seperti nomer handphone contohnya, “saya pernah mendapatkan cerita bahwa ada beberapa driver GoJek yang meneror pengguna karena memberi rate yang buruk terhadap pelayananya”. Hal ini menggambarkan bahwa dengan adanya ICT, ancaman-ancaman tersebut tidak hanya sampai pagar rumah atau sampai dalam rumah, namun bahkan sampai ke tempat tidur anda, jelas Rudi.
- Dimana ada kerentanan, disitulah ada ancaman.
Melihat keadaannya saat ini ujar Rudi, harus disadari bahwa strategi risk management berbasis vulnerability tradisional kebanyakan tidak berhasil, dikarenakan zero-day vulnerability dalam jumlah besar pada industri teknologi selalu berkembang dan terus berkembang. Salah satu kasus vulnerabilities yang sempat menggemparkan adalah Shellshock vulnerability. Dimana pada sebuah bug hole yang ditemukan pada september 2014 dari bash version 4.3 yang mana bug hole tersebut ternyata telah ada selama 25 tahun lamanya. Indonesia sendiri ujar Rudi menepati peringkat pertama dalam jumlah serangan hacker terbanyak, yaitu dengan jumlah 48.4 juta serangan. Ditambahkan Rudi untuk urusan malware sendiri saat ini Indonesia menempati peringkat pertama dalam top countries yang terinfeksi malware dengan jumlah 90.925 infeksi atau 26,27% dari total malware infection di dunia.
- Bad guys tend to go where the masses go.
Rudi mencontohkan seperti yang menimpa salah satu perusahaan perusahaan ritel terbesar di Amerika Serikat, TARGET. Perusahaan tersebut mengalami peretasan melalui celah yang terdapat pada perusahaan Fazio, yang merupakan refrigerator supplier mereka. Hal ini membuat investasi 1 juta USD pada cyber security mereka terlihat sia-sia. Dengan kata lain harga mahal bukanlah jaminan suatu sistem menjadi aman tambah Rudi.
- Tidak ada sistem atau perangkat yang 100 persen aman.
Rudi mengingatkan bahwa setiap perangkat keras ataupun piranti lunak, tidak ada satupun yang dapat dijamin seratus keamanannya. Ujarnya, hal ini senada dengan yang pernah dikatakan oleh Eugene H. Spafford, “The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards – and even then I have my doubts.”
- Memberdayakan People, Process dan Technology.
Dalam pemberdayaan rumusan tersebut, Rudi memaparkan bahwa harus adanya Revolusi Cyber Indonesia, sebagai bentuk pergerakan menuju iklim siber yang lebih baik di negara ini. Bagaimana mengubah budaya cyber secara mindset dan kultur masyarakat Indonesia. Rudi kemudian menyinggung seharusnya saat ini pemerintah menyelenggarakan semacam National Bug Bounty Program. Dimana partisipasi masyarakat diharapkan memiliki andil cukup besar dalam meminimalisir ancaman serta kerentanan lainnya. Lalu perlu diperkenalkan suatu secure technology generasi berikutnya yaitu authentication system yang kebanyakan saat ini masih menggunakan What you know, what you have, what you are. kini perlu ditambahkan dua elemen lagi yaitu, how much you know dan how much you have.
Sumber: ciso.co.id