“Kelemahan keamanan prosesor Intel adalah fakta yang sangat serius, terutama dalam metodenya: bagaimana mungkin menempatkan produk yang rentan seperti itu di pasar?”. Untuk menjelaskan fenomena cybercrime dan keamanan cyber, meninggalkan sejak kasus sensasional terakhir setelah 2017 di mana hanya pada paruh pertama tahun ini (dan hanya menghitung kasus yang dikonfirmasi) serangan dunia maya tumbuh sebesar 8,35% secara global, itu adalah Gabriel Faggioli, direktur ilmiah Observatorium Keamanan & Privasi Informasi Politeknik Milan, presiden Clusit (asosiasi Italia untuk keamanan informasi) dan CEO P4I, perusahaan penasihat grup Digital360. “Bagaimana melindungi diri kita sendiri? Selalu unduh pembaruan yang tersedia dan beri tahu kami lebih lanjut. Menurut Tobagi, peretas bukanlah samurai yang tak terkalahkan."
Mari kita mulai dengan kasus terbaru: prosesor "gagal" dari tiga raksasa TI seperti Intel, Amd, dan Arm, yang dapat membuat miliaran PC terkena serangan peretas. Apa yang sebenarnya terjadi?
“Pertama-tama, mari kita perjelas satu hal: dalam hal ini bukan masalah serangan, tetapi kerentanan sistem teknologi. Cacat keamanan utama telah melibatkan miliaran peralatan di seluruh dunia, semuanya diproduksi baru-baru ini, membahayakan data perusahaan dan individu yang terkandung dalam peralatan TI. Secara potensial tidak ada yang bisa terjadi jika tidak ada orang yang tidak jujur di dunia, tetapi sayangnya tidak demikian dan oleh karena itu bahaya yang penting dan tersebar luas tidak dapat dikesampingkan. Namun, aspek yang paling serius bukanlah teknologi tetapi metodis: menempatkan produk dengan kerentanan serius di pasar sama dengan menjual mobil yang tidak mengerem bahkan saat hujan normal. Bagaimana masalah ini bisa diabaikan dalam penelitian, desain dan pengembangan?”.
Siapa target yang paling sensitif dan bagaimana mereka melindungi diri mereka sendiri?
“Siapa pun, karena operasi kejahatan dunia maya, ayolah malware al Phishing yang paling tersebar luas, bermain dalam jumlah besar. Miliaran orang terkena, mungkin tanpa menargetkan siapa pun secara khusus, berharap seseorang akan tertipu. Jelas orang tua berisiko, tetapi secara paradoks juga orang muda yang lebih banyak menggunakan alat elektronik dan, meskipun lebih berpengalaman dalam penggunaan praktis, seringkali kurang memperhatikan karena mereka cenderung tidak percaya dan berpikir sebelum bertindak. Sarannya adalah untuk selalu mengunduh semua pembaruan yang tersedia, mulai dari sistem operasi hingga browser, lalu cari tahu lebih lanjut. Ini juga harus menjadi tugas masyarakat: sudah saatnya pendidikan ilmu komputer masuk sekolah secara permanen”.
Laporan oleh Clusit (Asosiasi Italia untuk Keamanan Informasi) menyoroti bahwa risiko kejahatan dunia maya sebagian besar masih terkait dengan kerusakan ekonomi yang dapat mereka timbulkan pada para korban. Apa saja macam-macam risiko?
“Dalam 75% kasus, penjahat dunia maya menargetkan korbannya dengan tujuan memeras uang. Namun, hanya sebagian kecil yang terjadi melalui penyusupan ke dalam sistem pembayaran elektronik, yang semakin aman saat ini, sementara sebagian besar adalah penipuan yang dilakukan melalui email, mempermainkan penipuan. Misalnya, saya ingat kasus penipuan Nigeria, tetapi juga kasus lain yang menjadi mode di tahun 2017. Inilah mengapa saya bersikeras perlunya informasi lebih lanjut. Lalu ada cyberbullying, perusakan citra, pencurian data pribadi, pencurian identitas. Dan spionase."
Di sini, pada tahun 2017 cyberespionage telah berkembang pesat, menjadi berita utama dengan kasus-kasus seperti Russiagate: dapatkah ini menjadi perbatasan baru kejahatan dunia maya?
“Sulit untuk mengatakan apakah itu akan menjadi tren dominan baru. Tentu saja kasus yang diketahui telah tumbuh sebesar 126% dalam satu tahun, meskipun secara numerik masih sedikit dari total, meskipun sangat penting seperti kasus Russiagate. Namun, saya yakin bahwa praktik tersebut dapat terus menyebar, tidak hanya di ranah geopolitik tetapi juga di ranah korporasi, sebagai instrumen persaingan tidak sehat”.
Siapa yang biasanya berada di balik peretasan?
“Organisasi kriminal, dari seluruh dunia, yang sekarang menjadikannya sumber pendapatan yang pasti dan substansial. Kemudian serigala penyendiri, dan bahkan beberapa negara, seperti Rusia dan China, meskipun mereka secara alami menyangkalnya".
Kembali ke kelemahan teknologi, yang kemudian dapat mendukung kejahatan dunia maya: banyak yang menuduh nama-nama besar di Silicon Valley mengadopsi sikap yang terlalu dangkal terhadap masalah ini. Setuju?
“Saya tidak akan mengatakan bahwa ada pengabaian mutlak, tetapi pendekatan yang agak ringan kadang-kadang tampak ada bahkan jika difusi besar-besaran dari peralatan yang terhubung membawa masalah ke rumah tidak hanya dari nama-nama besar di Silicon Valley tetapi juga dari seluruh perusahaan yang membuat atau meminta terwujudnya produk dan jasa informatika dan telematika. Bisakah mereka berbuat lebih banyak? Jelas ya, tapi saya pikir mereka akan: ada peningkatan kesadaran, terima kasih juga atas perhatian media yang menerima kasus berkelanjutan yang baru-baru ini muncul".
Data Clusit malah mengatakan bahwa justru Eropa yang rentan terhadap serangan siber. Mengapa, dan bagaimana dia mencoba memperbaiki masalahnya?
“Di Eropa ada lebih banyak korban tetapi itu normal, karena beberapa negara, termasuk Italia, mengalami keterlambatan historis dalam komputerisasi, dibandingkan dengan Amerika Utara tetapi tidak hanya itu. Komputerisasi juga berarti budaya komputer, dan dalam hal ini kita tertinggal, meskipun langkah-langkah penting sedang diambil. Undang-undang yang sedang dibahas di Parlemen Eropa (disebut tindakan keamanan siber) harus memperkuat ENISA, Badan Keamanan Jaringan dan Informasi Eropa, dan harus mengarah pada kerangka organik sertifikasi keamanan TI untuk produk dan layanan. Ini langkah yang bagus."
Ini Italia?
"Semakin baik. Pertama-tama, perhatian publik telah tumbuh: pemerintah yang keluar telah menyetujui rencana nasional baru untuk perlindungan dunia maya dan keamanan informasi. Langkah-langkah keamanan TIK minimum untuk administrasi publik yang telah diadopsi oleh AgID (Agen untuk Digital Italia) dalam beberapa bulan terakhir juga berjalan dengan baik. Saya selalu percaya bahwa administrasi publik Italia terlalu terfragmentasi dalam hal pengorganisasian infrastruktur dan aplikasi TI dengan konsekuensi peningkatan biaya dan risiko TI. Sebaliknya, menurut saya akan tepat untuk memusatkan pengelolaan infrastruktur dan aplikasi untuk memungkinkan rasionalisasi, penghematan biaya, dan keamanan yang lebih besar. Nyatanya, tidak ada keraguan bahwa hanya pemain yang dapat mengandalkan skala ekonomi penting yang dapat berinvestasi secara memadai: pikirkan saja platform komputasi awan terpenting di dunia, seperti Dropbox. Tidak ada individu pribadi, pekerja lepas, atau bahkan UKM atau perusahaan besar mana pun yang mampu melakukan investasi besar dan berkelanjutan untuk keamanan. Outsourcing dan agregasi membuat sistem lebih aman dan efisien. Bagaimanapun, jalannya benar, bahkan jika saya khawatir sumber daya akan habis: miliaran diperlukan untuk mengamankan PA".
Di tingkat perusahaan saja?
“Di kelas atas, yaitu di antara perusahaan terbesar, saya percaya bahwa masalah keamanan komputer kini menjadi agenda. UKM, di sisi lain, tertinggal. Temanya adalah bahwa investasi dalam keamanan TI terlalu rendah: pengeluaran TIK (Teknologi Informasi dan Komunikasi) di Italia adalah 66 miliar pada tahun 2016. Politeknik Milan memperkirakan bahwa dari 66 miliar ini, kurang dari 1 miliar dialokasikan untuk keamanan, yaitu 1,5 % (0,05% dari PDB): terlalu sedikit. Lagi pula, siapa di antara kita yang akan mempercayai kita untuk membeli mobil mengetahui bahwa pabrikan hanya mendedikasikan satu dari 100 sumber daya untuk keandalannya?”.
Terakhir, sebuah provokasi: kita telah berbicara tentang kelambatan teknologi, bahkan di Italia, tetapi terkadang justru difusi teknologi di wilayah yang semakin luas yang menentukan risiko yang lebih besar. Faktanya, laporan Clusit juga memasukkan kerja cerdas, Internet of things dan Industri 4.0 di antara faktor-faktor bahaya…
“Ini fisiologis, karena meningkatkan permukaan serangan, tetapi teknologi tidak boleh diremehkan. Seolah-olah untuk menghindari kecelakaan di dalam mobil, kita kembali bergerak di dalam gerbong. Terserah perusahaan untuk membuat produk semakin aman dan terserah publik untuk menentukan aturan dan berkontribusi pada pendidikan warga negara. Namun sayangnya akan selalu ada masalah, seperti dalam segala hal: karena kecerobohan, ketidaktahuan, informasi yang salah. Kami membutuhkan budaya dan pemahaman tentang risiko dan karena itu kemampuan untuk memahami di mana sebaiknya berhenti untuk kebaikan sendiri, tetapi juga untuk orang lain".
