Benar, seperti berita kemarin pagi? Salah, sesuai bantahan yang disebarkan langsung oleh para penyihir komputer Sogei kemarin sore? Dugaan serangan peretas pada Badan Pendapatan, dengan ritual ancaman yang biasa untuk menyebarkan data yang dicuri tanpa adanya tebusan yang besar, adalah satu lagi serangan terhadap keamanan sistem komputer besar yang saat ini memiliki esensi kehidupan kita. Itu terjadi, tidak perlu disangkal. Bahkan yang hebat menundukkan kepala dan membayar, kata para ahli. Bagaimana ini bisa terjadi? Bisakah sistem yang secara teoretis terlalu dilindungi seperti menara pengawas pajak Italia, yang dibuat dan dikelola oleh Sogei, raksasa TI publik yang terhormat, menjadi rentan? Corrado Giustozzi, salah satu pakar keamanan dunia maya Italia terkemuka, jurnalis, penulis, pemopuler, pelopor solusi terintegrasi pertama di dunia web, membalas FIRSTonline.
Apakah ada sistem komputer yang terbuka, atau adakah yang menganggap diri mereka aman?
Yang benar adalah bahwa semua sistem komputer terkena serangan. Tingkat keamanan mereka hanya relatif. Jika saya harus membela diri dari rekan kerja, hambatannya bisa relatif rendah, jika dinas rahasia menyerang kita, hambatannya pasti jauh lebih tinggi. Di sini juga merupakan pertarungan abadi antara teknologi serangan dan pertahanan yang semakin canggih. Tidak ada yang pasti, juga karena ada faktor yang mengintai yang tidak mudah dikendalikan: human error. Masalahnya terlalu sering pada orangnya, pada perilakunya, pada kecerobohan yang membuka celah. Saya tidak berbicara tentang masalah khusus mengenai serangan terhadap Badan Pendapatan, nyata atau diduga. Mereka yang membela diri selalu dirugikan.
Bagaimana kinerja Badan Pendapatan?
Memang benar apa yang saya katakan. Mobilnya canggih. Itu dikelola di level terbaik. Tapi itu tidak cukup untuk membuatnya aman dari kemungkinan serangan.
Apakah ada contoh yang harus diikuti untuk meningkatkan tingkat keamanan?
Sulit untuk dijawab. Mari kita pikirkan institusi besar yang berurusan dengan keamanan dan kita menemukan bahwa subjek yang dianggap tidak dapat diserang ini sebenarnya tidak tahu. Sebuah contoh? Beberapa tahun yang lalu sebuah organisasi kriminal, karena ini tentangnya dan saya menganggap tidak pantas menyebut mereka peretas, melanggar situs CIA dengan mencuri data dan aplikasi yang bahkan digunakan untuk mengembangkan malware baru.
Apa lagi yang bisa atau harus dilakukan untuk membela diri, setidaknya untuk menahan risikonya?
Ini adalah masalah menemukan kompromi terbaik antara kebutuhan dan pilihan yang juga sangat berbeda satu sama lain. Mari kita pikirkan tentang apa yang telah dan sedang terjadi di administrasi lokal dan dalam hubungan mereka dengan administrasi publik: ada kekhawatiran bahwa kota kecil tidak dapat mengelola sistem TI mereka dan ada rencana untuk memusatkan pengelolaan sumber daya mereka di beberapa negara. pusat, untuk mengontrol dan melindungi mereka dengan lebih baik. Tapi inilah sisi sebaliknya: semua data terpusat di beberapa tempat. Singkatnya, semua telur dalam satu keranjang. Dengan hasil pembuatan jalur preferensial bagi mereka yang ingin menyerang sistem ini, yang dapat berkonsentrasi pada beberapa inti besar meskipun secara teoritis lebih terlindungi.
Apakah lebih baik kembali membagi sumber daya TI?
Tidak. Ini justru contoh kompromi terbaik, dalam hal apa pun bukan yang menentukan: sentralisasi adalah kejahatan yang lebih kecil, bahkan jika itu bukan solusi sempurna.
Jangan pernah membayar, saran pihak berwenang. Tetapi jika terjadi serangan, banyak yang menyerah, mungkin menyangkal telah melakukannya. Bagaimana kita bisa yakin bahwa korban tidak membayar uang tebusan, mungkin menyamarkannya sebagai nasihat untuk membersihkan sistem dari peretasan?
Masalah raksasa, yang memiliki analogi yang jelas dengan penculikan. Bedanya disini sangat sulit untuk memverifikasi apakah uang tebusan dari data yang dicuri sudah dibayarkan atau belum. Ada dompet bitcoin, triangulasi, tepatnya masking dengan konsultasi desinfeksi. Di hari-hari penculikan yang panas, sebuah undang-undang tentang pembekuan aset disahkan sebagai pencegah bisnis penculikan besar. Beberapa menyerukan standar serupa untuk sektor data komputer. Saya khawatir ini sulit diterapkan. Bagaimana cara memblokir dana perusahaan besar tanpa melumpuhkannya? Saya akan mengajukan masalah dengan cara lain: membayar uang tebusan adalah pilihan terakhir dan bagaimanapun juga seseorang tidak boleh tidak siap untuk kemungkinan ini. Sebuah kemungkinan yang bagaimanapun harus diperhitungkan. Sedikit seperti yang terjadi, misalnya untuk pencegahan kebakaran. Karena terlalu sering praktik berhenti pada pencegahan dan bukan pada persiapan dan perencanaan perilaku yang akan diterapkan jika terjadi serangan yang berhasil. Dan di sini pedoman diketahui tetapi tidak semua orang menerapkannya dengan hati-hati, dimulai dengan strategi pencadangan data yang efektif dan berkelanjutan. Yang memungkinkan untuk dipulihkan kapan saja dan di mana saja. Dengan demikian data disimpan, betapapun amannya. Tentu saja, masalah difusi oleh orang yang mencurinya tetap ada, teknik yang digunakan oleh penjahat dalam kasus pencurian terbaru.
Dengan tepat. Apa yang harus dilakukan?
Satu-satunya langkah keamanan yang layak adalah penggunaan kriptografi, sebuah operasi yang tidak sederhana dan dengan tergesa-gesa diminta oleh banyak orang sebagai obat mujarab. Di sini juga, keamanan jauh dari terjamin. Jika hard disk dicuri pada saat itu mati, jika dienkripsi dengan baik, praktis tidak dapat diganggu gugat. Tetapi jika mereka mencuri data yang dienkripsi dalam tahap operasionalnya bersama dengan kunci enkripsinya, yang sangat sering terjadi, keamanan sama sekali tidak terjamin.
