Baca berita dengan sedikit iklan, klik di sini
Poin penting
Para ethical hacker membantu memperkuat sistem keamanan siber.
Tarif jasa ethical hacker mencapai ratusan juta rupiah per proyek.
Butuh jasa peretas untuk mengetahui celah keamanan.
SEMI Yulianto mendadak sibuk setelah menerima kabar sistem PT Bank Syariah Indonesia (Persero) Tbk atau BSI mengalami gangguan pada Senin, 8 Mei lalu. Direktur utama sekaligus pendiri perusahaan keamanan siber PT SysTech Global Informasi (SGI) Asia ini dihubungi banyak klien yang khawatir gangguan itu disebabkan oleh serangan peretas. "Mereka takut kena serangan ransomware, meminta saya presentasi soal itu," katanya kepada Tempo pada Jumat, 26 Mei lalu.
Baca berita dengan sedikit iklan, klik di sini
Di hadapan para kliennya, Semi memaparkan materi tentang penilaian kerentanan dan pengujian penetrasi atau vulnerability assessment and penetration testing (VA/PT) untuk perangkat mereka. Salah satu isi paparannya adalah perihal mitigasi ketika jaringan komputer mereka terkena serangan ransomware atau virus pencuri data yang kemudian digunakan para peretas untuk memeras korbannya.
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik di sini
Direktur utama dan pendiri PT SysTech Global Informasi (SGI) Asia, Semi Yulianto. LinkedIn
SGI Asia yang berdiri pada 2012 menyediakan berbagai layanan, seperti tes penetrasi sistem, uji forensik jaringan komputer, pemulihan data, tinjauan kode, migrasi server, laboratorium virtual, dan pelatihan mengenai teknologi informasi. BSI adalah salah satu klien SGI Asia. Namun, Semi menjelaskan, SGI Asia tidak dilibatkan dalam penanganan gangguan pada sistem BSI.
Pengujian sistem oleh pihak ketiga menurut Semi lumrah terjadi. Dengan kata lain, vendor jasa keamanan siber bisa jadi bertindak sebagai peretas alias hacker yang berupaya menjebol sistem keamanan kliennya. Hal ini dilakukan guna menguji sekaligus mencari celah yang bisa dimanfaatkan peretas jahat untuk menjebol sistem, mencuri data, hingga merusak perangkat. Semi menyebut peran ini sebagai ethical hacker atau peretas etis. “Ethical hacker harus bisa menemukan kerentanan lalu memberikan rekomendasi untuk menutupi kerentanan tersebut,” ujarnya.
Suasana kantor perusahaan kemanan siber dan antivirus Vaksincom, Jakarta, 26 Mei 2023. Tempo/Subekti
Untuk jasa ini, para ethical hacker bisa mendapat bayaran puluhan hingga ratusan juta rupiah. Semi memberi contoh, tarif jasa penetration test pada aplikasi digital Rp 50-80 juta per aplikasi. Sedangkan biaya jasa penetrasi jaringan komputer dan infrastruktur teknologi informasi Rp 100-500 juta. “Tergantung jumlah host, server, dan device yang diuji,” katanya.
Saat ini sudah banyak industri yang mempersyaratkan uji penetrasi keamanan siber untuk memperoleh standar atau sertifikat. Sertifikat ISO 27001, PCI DSS, hingga peraturan Bank Indonesia dan peraturan Otoritas Jasa Keuangan juga mewajibkan tes ini. Para ethical hacker, menurut Semi, bisa membantu perusahaan memenuhi standar itu hingga 70 persen. Sisanya bergantung pada personel internal dan teknologi yang dimiliki perusahaan atau lembaga tersebut.
Pakar keamanan siber dan pendiri Vaksincom, Alfons Tanujaya, mengatakan ethical hacker yang juga disebut hacker putih merupakan profesi yang memiliki standar kerja ketat. Apalagi jika para peretas ini diminta membantu menguji sistem perbankan atau lembaga keuangan yang menampung dana masyarakat. “Pekerjaannya menerobos sistem orang lain, yang jika tidak hati-hati bisa menjadi pelanggaran hukum," tuturnya pada Selasa, 23 Mei lalu.
Alfons mengatakan para ethical hacker bakal menandatangani kontrak perjanjian rahasia agar keamanan data tetap terjaga. Dia pun yakin profesi ini sangat menjanjikan karena tingkat kebutuhannya tinggi. Apalagi saat ini banyak lembaga mulai menjalankan digitalisasi layanan sehingga harus memenuhi standar keamanan siber.
•••
SERANGAN ransomware menjadi pembicaraan setelah kelompok peretas LockBit 3.0 mengaku sudah menjebol sistem Bank Syariah Indonesia pada awal Mei lalu. Dalam pernyataan yang mereka sebar pada Sabtu, 13 Mei lalu, LockBit mengaku mengantongi 15 juta catatan pelanggan, informasi karyawan, serta sekitar 1,5 terabita data internal BSI. Mereka mengancam akan menjual data itu jika BSI tak memberi uang tebusan. Masalah ini kian membuat heboh setelah pada Selasa, 16 Mei lalu, LockBit menebar sampel data yang mereka curi di sejumlah forum peretas dan media sosial. Alasannya, negosiasi dengan BSI gagal.
Saat berkunjung ke kantor Tempo pada Kamis, 25 Mei lalu, Direktur Penjualan dan Distribusi BSI Anton Sukarna membantah klaim LockBit. Menurut dia, informasi data BSI yang bocor dan tersebar di media sosial mungkin hanya berasal dari sebuah komputer, bukan sistem inti atau server. Data itu pun, Anton menambahkan, bukan data kredensial seperti kata sandi. “Itu rasanya bukan data inti yang kami miliki,” ujarnya.
Anton juga membantah adanya kebocoran data nasabah sekaligus menyatakan ragu akan kebenaran data yang disebar LockBit. Dia pun menepis pernyataan LockBit tentang negosiasi uang tebusan. “Kami tidak tahu soal permintaan tersebut, apalagi negosiasinya,” katanya. Menurut Anton, BSI sedang melakukan audit forensik digital untuk mengetahui obyek serangan, menganalisis dampaknya, dan mengetahui titik kelemahan keamanan jaringannya. “Belum selesai, masih butuh waktu."
Tapi, sekali dijebol, kondisi sistem dan data digital di dalamnya tak lagi sama. Ketua Indonesia Cyber Security Forum Ardi Sutedja mengatakan, saat sebuah jaringan komputer atau teknologi informasi ditembus peretas, data di dalamnya sudah tidak aman. “Yang terjadi dalam peretasan adalah penyalinan atau kloning data yang kemudian diperjualbelikan di forum-forum gelap," tuturnya pada Sabtu, 27 Mei lalu.
Pakar keamanan siber Alfons Tanujaya mengingatkan, saat ini ransomware dan extortionware adalah ancaman paling berbahaya di dunia maya. Menurut dia, korbannya sudah sangat banyak dan berakibat kerugian triliunan rupiah. Alfons pun yakin serangan yang menimpa BSI adalah ransomware. “Sudah banyak yang tahu LockBit mendapatkan data BSI dan sudah dipublikasikan,” ucapnya.
Kepala Eksekutif Pengawas Perbankan Otoritas Jasa Keuangan Dian Ediana Rae mengatakan lembaganya masih melakukan pemeriksaan forensik pada sistem BSI yang kemungkinan besar rampung akhir bulan ini. OJK, dia menambahkan, belum memutuskan langkah yang akan diambil terhadap BSI. “Nanti setelah pemeriksaan selesai bisa disimpulkan kelemahannya seperti apa, akan ada pembinaan, tergantung kesalahannya. Dari situ bisa menentukan apakah ada sanksi atau tidak,” ujarnya. Dian menekankan yang paling penting saat ini adalah layanan BSI pulih dan dana nasabah tetap aman.
AISHA SHAIDRA, KHAIRUL ANAM, RETNO SULISTYOWATI
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo
Khairul Anam dan Retno Sulistyowati berkontribusi dalam penulisan artikel ini. Di edisi cetak, artikel ini terbit di bawah judul "Butuh Jasa Peretas Etis"