Era modern identik dengan penggunaan teknologi yang begitu intensif dan termasuk di antaranya berkaitan dengan jaringan internet. Data We Are Social per Januari 2024 menunjukkan bahwa pengguna internet global mencapai 66,2% dari populasinya, besaran yang kurang lebih sama dengan pengguna internet di Tanah Air yang mencapai 66,5% dari populasinya. Apakah internet kita aman dan dapat dipercaya?
Penggunaan terbesar internet di Tanah Air sampai saat ini masih seputar berhubungan dengan pihak lain melalui media sosial. Internet juga digunakan untuk berbelanja, bekerja, melakukan transaksi perbankan, sampai berinvestasi. Bisa dibayangkan betapa besarnya perputaran data pribadi dan uang di internet, sehingga keamanan internet itu sangat penting.
Sayangnya, keamanan data masih belum maksimal. Databoks Katadata mencatat bahwa Indonesia menempati peringkat ketiga negara dengan kebocoran data terbanyak sepanjang kuartal ketiga tahun 2022 lalu di dunia. Tempo.co mencatat bahwa kebocoran data di Indonesia terjadi dari berbagai sumber, mulai dari lembaga keuangan, e-commerce, sampai BPJS Kesehatan dan KPU yang merupakan lembaga negara. Kemudian menjadi wajar ketika warganet ragu dan khawatir atas penggunaan data digital mereka, termasuk berusaha membuat koneksinya menjadi lebih aman.
Berperilaku digital dengan cara, perangkat, dan jaringan yang aman memang harus dilakukan oleh para warganet dan tidak memberitahukan rahasia digitalnya kepada pihak lain agar data tidak dicuri. Akan tetapi, situs dan aplikasi yang digunakan juga harus aman agar data yang tersimpan tidak mudah dicuri oleh pihak yang tidak bertanggung jawab atau bahkan mudah disusupi oleh kode-kode asing untuk menipu para penggunanya. Keamanan ini menjadi tanggung jawab para pengelola situs dan aplikasi, di mana perencanaan awalnya harus dilakukan dengan baik, pemeliharaan teratur dijalankan, dan pengelola tidak boleh menutup mata bahwa kemampuan para peretas terus meningkat seiring waktu sehingga peningkatan teknologi keamanan di masa depan itu tidak dapat dihindari.
Misalnya ketika kita mengelola situs web, membangun situs di dalam server berbayar yang digunakan secara khusus (dedicated) untuk situs kita akan lebih baik daripada menggunakan server gratisan. Memastikan penggunaan perangkat lunak yang selalu diperbarui dan pemasangan pendukung keamanan seperti firewall, sistem enkripsi, serta sertifikat SSL dari penyedia terpercaya itu penting. Membatasi akses administrator, meminimalkan penggunaan kode dan plugin dari pihak ketiga khususnya dalam mengelola data pribadi, hanya memilih pihak ketiga yang terpercaya untuk berkolaborasi dalam penyediaan layanan, menciptakan situs sedemikian rupa sehingga tidak mudah dijebol dan dipalsukan, sampai membuat backup situs juga penting. Memastikan pengguna membuat kata sandi yang tidak terlalu simpel, menyediakan fitur two-factor authentication untuk keamanan tambahan, dan membatasi penggunaan robot dengan fitur sejenis validasi Captcha akan lebih baik lagi. Mengembangkan fasilitas dan fitur pada situs juga dilakukan dengan hati-hati dan menyimpan dokumentasi yang dijaga dengan baik, bukan secara asal-asalan tanpa pertimbangan dan pengujian yang memadai.
Kontrol internal tidak sepenuhnya dapat diandalkan. Menunggu pengaduan pengguna yang dirugikan juga sama sekali merupakan cara yang salah, apalagi Undang-Undang Perlindungan Data Pribadi secara tegas dapat memberikan sanksi baik kepada lembaga maupun individu pengurus yang lalai menjaga keamanan data pribadi yang dikelolanya. Seringkali data yang bocor tidak langsung disadari oleh pemilik data tersebut, mengingat datanya bisa jadi terlebih dulu dijual oleh peretasnya dan baru disalahgunakan oleh pembeli data tersebut.
Penjualan data ini belum tentu disadari dan diketahui serta bisa memakan waktu yang cukup panjang. Misalnya, pencurian data di situs Yahoo dengan memalsukan web cookies sepanjang tahun 2013 dan 2014 baru diketahui secara luas pada tahun 2016 dan 2017. Dampaknya luas, mulai dari menurunkan kepercayaan pengguna yang beralih ke layanan lain, menurunkan harga jualnya ketika diakuisisi Verizon, sampai mendapatkan denda dari regulator.
Pengujian keamanan situs atau aplikasi internet membutuhkan kemampuan pihak eksternal terkait keamanan data yang dapat melakukan simulasi peretasan. Bagaimana mungkin menjaga situs tetap aman dengan menyuruh secara sengaja pihak lain meretasnya? Jangan salah, raksasa teknologi sekelas Google pun melakukannya bahkan dengan memberikan tantangan berhadiah besar bagi mereka yang berhasil menemukan celah keamanan di produk mereka. Meskipun demikian, kita tetap perlu berhati-hati dengan memastikan pihak penguji ini adalah "peretas etis" atau "peretas topi putih" yang benar-benar hanya menguji celah keamanan dan tidak mengusik data dalam sistem yang diujinya.
Prosedur pengujiannya bernama penetration testing. Pelakunya ada pihak ketiga yang memiliki sedikit pengetahuan atau bahkan tidak sama sekali tentang sistem yang kita uji, dalam hal ini adalah situs web. Untuk memastikan kualitas yang mumpuni, kita bisa memilih pihak ketiga terpercaya yang berasal dari negara kita sendiri yaitu Widya Security. Uji keamanan yang dilakukan dipastikan sesuai dengan prosedur Panduan Metodologi Pengujian Keamanan Sumber Terbuka (OSSTMM) ISECOM dan Proyek Keamanan Aplikasi Web Terbuka (OWASP), serta untuk lembaga keuangan juga dipastikan menaati kewajiban pentest yang diatur pada PBI (Peraturan Bank Indonesia) No. 9/15/PBI/2017 dan SEOJK Nomor 21/SEOJK.03/2017.
Terkait website, secara garis besar Widya Security akan menguji seberapa rentan situs web kita menghadapi upaya mendapatkan data sensitif melalui database tempat kita menyimpan data, source code yang digunakan untuk mengoperasikan situs, serta jaringan back-end yang menghidupi situs tersebut untuk bisa diakses banyak orang. Termasuk persiapan dan penilaian awal terhadap spesifikasi sistem yang dites, proses pengerjaan memakan waktu sekitar tiga sampai sepuluh hari tergantung pada kompleksitas sistem dengan hasil akhir berupa analisis celah dan ancaman di berbagai level, potensi dampaknya pada reputasi bisnis, laporan hasil temuan dan kerentanan secara menyeluruh, sampai saran terkait keamanan website yang lebih baik.
Secara umum, penetration testing dimulai pada tahap perencanaan dan pengumpulan informasi. Baik dengan informasi awal dari pengelola situs maupun tidak, penguji akan mencari informasi dari sumber lain untuk membantu pengelola menemukan celah yang tidak mereka sadari. Sumber ini termasuk pada pencarian informasi publik di internet dan media sosial. Ruang lingkup, durasi, dan sumber daya yang terlibat dalam pengujian juga ditentukan di sini, termasuk apakah pengguna sistem akan diberitahu terlebih dahulu atas keberadaan pengujian.
Langkah berikutnya adalah penguji akan mencari dan menganalisis kelemahan yang dapat digunakan untuk mencuri data atau melakukan aktivitas tanpa teridentifikasi. Serangan yang umumnya diantisipasi dapat berupa injeksi SQL, cross site scripting, DDoS attack, dan serangan mencoba-coba alias bruteforce. Penguji dapat memanfaatkan alat uji seperti web application scanners atau proxy tools dan mengombinasikannya dengan teknik-teknik manual. Dengan staf ahli berpengalaman lebih dari sepuluh tahun dan juga bersertifikat, termasuk di antaranya membantu klien besar seperti Astrapay dan CIMB Niaga Auto Finance, Widya Security memiliki serangkaian prosedur uji mumpuni berstandar ISO 27001 untuk memastikan penemuan celah keamanan secara menyeluruh baik yang terbuka jelas maupun sulit ditembus, juga termasuk oleh aplikasi yang digunakan khususnya yang bersifat open source.
Setelah celah keamanan ditemukan, penguji akan menentukan target yang akan dicoba untuk simulasi serangan lebih lanjut. Penguji akan mencoba mengeksploitasi target tersebut, termasuk dengan menjebol pelindung keamanan yang ada untuk mengetahui apakah data terkait bisa diisolasi dan dicuri. Penguji akan mencoba memelihara aksesnya untuk mengetahui seberapa lama serangan dapat berlangsung, apakah mereka bisa memodifikasi dan menonaktifkan sistem, serta seberapa banyak data yang bisa dicuri. Mereka akan menghapus jejak mereka dan juga memastikan data dari sistem tidak mereka bawa sebelum akhirnya menganalisis dan melaporkan hasil pengujian secara keseluruhan untuk ditindaklanjuti oleh pengelola.
Peningkatan keamanan yang umumnya perlu dilakukan berada di sekitar teknologi keamanan dan perangkat lunak yang digunakan. Kita juga perlu membatasi akses yang berlebihan pada website kita oleh satu sumber tertentu, misalnya batas coba-coba yang salah untuk login atau traffic yang masuk ke situs tersebut khususnya ketika menggunakan API. Setelah peningkatan tersebut dilakukan, penting untuk menjalankan retesting di mana penguji akan mengukur dan memverifikasi apakah peningkatan berhasil memperbaiki kerentanan yang sebelumnya ditemukan. Widya Security menggunakan mekanisme black box penetration testing untuk memastikan pengujian bersifat independen tanpa penguji merasa punya pengetahuan atau asumsi awal dan persyaratan pengujian merepresentasikan kemungkinan serangan di dunia nyata.
Setelah infrastrukturnya aman, tenaga kerja pengelola situs juga perlu dibekali dengan kemampuan mumpuni. Widya Security juga menyediakan pelatihan keamanan siber untuk memastikan pengelola situs web mampu membuat source code yang aman, mengelola data dan server dengan aman, mencegah social engineering yang dapat membuat celah masuk, menganalisis secara internal kerentanan sistem secara berkala, sampai siap merespon dengan cepat dan tepat serangan keamanan yang masuk ke situs web. Semua kemampuan ini diperlukan secara efektif dan efisien untuk menjaga keamanan dan reputasi situs tanpa menimbulkan beban berlebihan secara finansial.
Sekian tips dan trik terkait strategi menjaga keamanan data pada situs web. Membangun situs web yang aman dan memeliharanya dengan baik itu penting, tetapi membuka mata bahwa sebaik apapun usaha yang dilakukan akan tetap ada celah juga penting. Melakukan pengujian secara berkala dengan melibatkan pihak ketiga membuka mata dan kemampuan untuk menghadapi serangan keamanan yang tidak terprediksi sebelumnya.
Mari kita berdayakan anak bangsa untuk menjaga dan menguji keamanan situs web secara keseluruhan demi kedaulatan dan keamanan data Indonesia yang lebih baik!
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H
