Heboh soal Bjorka sayangnya sama sekali tidak mengejutkan untuk saya. Para praktisi cybersecurity sudah lama tahu berbagai masalah ini. Faktanya memang kita masih lemah dari sisi cybersecurity. Si Bjorka menguak realita ini dengan cukup brutal.

Tidak masalah jika pemerintah ingin menindak Bjorka, karena aturan hukumnya memang ada.
Tapi, yang paling penting, adalah juga melakukan tindakan pencegahan. 

Fokus harus pada tindakan preventif (mencegah) dan bukan kuratif (mengobati). Dan ini sangat bisa untuk dilakukan, bahkan, terutama, di institusi-institusi pemerintahan.

cyber

WASPADA

Yang sangat disayangkan adalah munculnya berbagai oportunis. Mereka berusaha memanfaatkan insiden Bjorka ini untuk kepentingan mereka sendiri.

Berbagai "aktivis cybersecurity" muncul, tapi justru malah memberikan saran-saran yang tidak konstruktif. Atau malah akan merugikan masyarakat. 

Pemerintah perlu waspada terhadap para charlatan ini. Jangan sampai menjadi korban bualan mereka.

APA YANG BISA KITA LAKUKAN ?

Jika institusi kita suatu hari menjadi korban serangan hacker, sebaiknya apa yang kita lakukan? 
Berikut ini panduannya:

1/ Cek data kita dan backupnya : beberapa jenis serangan bisa melenyapkan data kita.

2/ Tambal lubang security yang ada.

3/ Go public : ini penting untuk menjaga kepercayaan stakeholders. 
Respons yang terbuka & transparan selalu mendapatkan reaksi yang positif & suportif. 

4/ Segera buat rencana kerja, untuk memperbaiki seluruh proses terkait IT security.

5/ Buat mekanisme pelaporan Cybersecurity : ada komunitas yang namanya White Hat hackers - mereka ini baik, tidak punya niat jahat. Tapi kasihannya kawan-kawan ini suka bingung ketika menemukan security hole; kemana mau memberitahukannya? 

Akhirnya mereka tidak jadi melaporkan - dan kita yang rugi, karena biasanya kemudian security hole tsb akan ditemukan oleh para kriminal, dan dieksploitasi dengan brutal.

Maka mari kita sediakan jalur pelaporan Cybersecurity, untuk keselamatan kita sendiri.

Langkah-langkah tersebut dilakukan sesuai urutan.

***

Poin 4 ini adalah kunci - karena security adalah proses. Bukan produk.

Tidak bisa hanya membeli perangkat Firewall seharga Rp3 Milyar, lalu sudah aman. 
Padahal vendor-vendor kita masih belum menerapkan metode defensive programming. Berbagai sistem kita belum pernah di audit keamanannya, dan seterusnya.

Atau melakukan perubahan proses - namun keliru dan malah cuma menambah rumit, tanpa memberikan perbaikan kondisi yang signifikan. Ini juga banyak saya saksikan dimana-mana.

YES, WE CAN

Memperbaiki proses itu tidak mudah. Namun, bukan sesuatu yang mustahil. Kawan-kawan di BSSN bisa sangat mendukung, dan mereka dengan senang hati membantu.

Ketika kami sedang membantu di KPU, mereka turut menolong memeriksa sistem yang kami bangun. Alhamdulillah tidak pernah ada masalah kebocoran data yang terjadi.

Jadi start-nya bisa dari sini. Jika Anda sedang membangun sebuah sistem IT, kontak kawan-kawan ini untuk mendapatkan bantuan kerjasama dari mereka. 

Lalu lanjutkan dengan diskusi tentang bagaimana untuk memperbaiki proses IT security di institusi Anda, dan pada akhirnya jadi meningkatkan pertahanan siber Anda secara keseluruhan.

Semoga tulisan pendek ini bisa membantu Anda dalam meningkatkan ketahanan siber kita semua, amin.

Ikuti tulisan menarik Harry Sufehmi lainnya di sini.