Pentingnya Kesadaran dan Pendidikan Cybersecurity untuk Menghadapi Ancaman Siber

KOMPAS.com – Telepon genggam dari seorang direktur di perusahaan konsultan cybersecurity dalam negeri, Kalpin Erlangga Silaen, berdering.

Seorang klien tiba-tiba menghubunginya dan menyampaikan kabar bahwa perusahaannya baru saja terkena serangan siber.

Serangan tersebut terjadi melalui aksi penipuan yang dilakukan melalui surel atau email. Akibatnya, perusahaan klien Kalpin itu pun merugi hingga ratusan juta rupiah.

“Kejadiannya baru saja. (Klien) ada yang menghubungi dan dia kena business email compromise. Dia meminta saya melakukan investigasi dan menanyakan saran untuk memperkuat keamanan siber mereka,” ujar Kalpin dalam siaran pers yang diterima Kompas.com, Senin (1/7/2024).

Menurut pengakuan Kalpin, kasus seperti itu bukan kali pertama terjadi. Setidaknya, sepanjang pandemi Covid-19, dia telah menangani tiga sampai empat kasus terkait business email compromise.

“Penipu masuk via email dengan memalsukan email address. Kami menyebutnya spoofing. Ini akibat penerima email memiliki awareness yang kurang terhadap kejahatan siber. Dia percaya saja karena nama pengirim dan tampilan signature email sama sehingga mau saat diminta transfer uang,” kata Kalpin.

Kasus penipuan siber serupa juga terjadi belum lama ini. Kasus tersebut dilakukan oleh grup cyber criminal yang terorganisasi dan melibatkan lintas negara.

Kasus tersebut diceritakan kembali oleh Aditya Kurniawan yang merupakan pakar digital forensik lulusan program Doctor of Computer Science (DCS) di BINUS University.

“Kebetulan, cyber criminal ini berasal dari Indonesia dan Nigeria. Mereka bekerja sama menargetkan perusahaan properti di Singapura dengan melakukan peretasan pada email-nya. Biasanya, (departemen) yang menjadi target adalah finance, terutama staf yang bisa mengesahkan transaksi,” jelas Aditya.

Pada kasus yang ditangani Aditya, pelaku cyber criminal berhasil menipu dan mengecoh salah satu perusahaan properti Singapura untuk mentransfer uang sebesar Rp 32 miliar.

Beruntung, sistem Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK) langsung memberikan peringatan untuk transaksi anomali yang masuk ke dalam negeri sehingga uang tersebut berhasil diamankan.

“Kasus-kasus seperti ini membuat cybersecurity penting bagi semua orang, terutama bagi perusahaan. Saya banyak menangani kasus siber yang technical hacking-nya itu (tidak terlalu canggih) sehingga berdampak kerugian hingga ratusan miliar,” tuturnya.

Semua pihak rentan jadi korban kejahatan siber

Kejahatan siber tidak hanya menargetkan perusahaan berbasis teknologi, seperti e-commerce atau financial technology (fintech), tapi juga semua perusahaan dari berbagai sektor.

Kalpin yang saat ini sedang menempuh pendidikan doktor (S3) di BINUS menggarisbawahi bahwa keamanan siber penting untuk semua pihak. Bahkan, bagi perusahaan yang hanya menjadikan information technology (IT) sebagai penyokong bisnis.

“Pengalaman saya beberapa waktu lalu itu ada perusahaan multinasional terkena ransomware dan kebetulan sistem distribusi dari produknya sudah 100 persen menggunakan sistem IT. Sistem mereka ini terdampak sehingga tidak bisa beroperasi. Selama satu minggu, produk mereka tidak bisa didistribusi. Jadi, dampaknya luas bukan hanya terhadap industri tersebut, tapi juga secara nasional,” kata Kalpin.

Selain perusahaan, Kalpin juga menyebutkan bahwa masyarakat umum juga bisa menjadi korban kejahatan siber.

Senada dengan Kalpin, Aditya menuturkan bahwa masyarakat Indonesia juga kerap menjadi korban dari kasus penipuan daring.

“Pertama, kasus penipuan online. Mungkin yang terbaru seperti yang ada di TikTok. Korban dikatakan menerima telepon dari pihak yang meminta mereka melakukan sesuatu dengan iming-iming uang. Ujungnya nanti ditransfer via siber. Ini tidak perlu technical hacking sama sekali,” kata Aditya yang sudah berkarier di dunia forensik digital sejak 2011.

Jenis penipuan siber yang kedua, tambah Aditya, membutuhkan sedikit teknik hacking, yakni dengan mengirimkan email phising ke akun email konsumen.

Sementara, jenis yang terakhir jarang terjadi karena membutuhkan teknik hacking tingkat tinggi, yaitu cyber criminal yang berusaha mengambil uang perusahaan.

“Sekarang tinggal mengelolanya gimana. Salah satunya adalah dengan cybersecurity awareness dan mempersiapkan peraturan perusahaan yang benar-benar kritis dan ketat sehingga membuat karyawan mengikutinya. Contoh, karyawan tidak boleh meninggalkan laptop dalam keadaan terbuka atau USB tidak boleh digunakan pada laptop kantor,” terang Aditya.

Pentingnya cybersecurity awareness

Di era digital saat ini, isu keamanan siber menjadi semakin krusial. Guru Besar BINUS University Profesor Benfano Soewito menekankan bahwa perkembangan teknologi digital yang merambah ke berbagai bidang juga meningkatkan risiko serangan siber.

“Serangan siber itu sekarang lebih cenderung menyerang kerentanan manusia. Pelatihan mengenai cybersecurity awareness menjadi salah satu solusi untuk mengedukasi bahwa keamanan digital adalah tanggung jawab semua orang di dalam perusahaan, bukan hanya orang IT,” ujar Benfano.

Sebagai contoh, Kalpin pernah melakukan kampanye cybersecurity untuk mengukur sekaligus memperkuat pemahaman karyawan tentang keamanan siber.

Salah satu upaya yang ia lakukan saat itu adalah phishing campaign untuk mengukur awareness di internal perusahaan mereka.

Dalam kampanye itu, Kalpin menyiapkan website, email, dan webmail yang sama persis dengan perusahaan tersebut sebagai contoh pelaku penipuan.

“Kami akan mengirimkan email campaign phishing tadi. Di dalamnya, ada link ke arah berbagai website palsu yang kami buat. Nanti, kami ukur dari 100-200 orang ini, berapa orang yang mengeklik, berapa yang sampai submit informasi rahasia, seperti user dan password, dan berapa orang yang sama sekali tidak membuka tautan,” tutur Kalpin.

Dalam kampanye itu, para karyawan juga mendapatkan pelatihan singkat, yakni selama satu sampai dua bulan. Di pelatihan ini, mereka dikirimkan email phishing serupa.

Statistik tersebut kemudian coba dibandingkan antara sebelum dan setelah melakukan pelatihan untuk mengukur efektivitasnya.

Di sisi lain, Benfano mengamati bahwa tren keamanan siber kini tidak hanya berfokus pada pencegahan, tetapi juga pada penanganan ketika serangan terjadi.

Oleh karena itu, pendidikan cybersecurity diperlukan dan harus mencakup langkah-langkah yang harus diambil jika menjadi korban serangan.

Kebutuhan riset di bidang cybersecurity

Meningkatnya ancaman siber tak ayal menimbulkan urgensi terhadap kebutuhan sumber daya manusia (SDM) yang ahli.

Pasalnya, pertumbuhan teknologi, khususnya internet, semakin membuka pintu ancaman baru.

“Cybersecurity itu pada dasarnya memang bidang yang harus ngulik. Misalkan saat ingin mencari celah keamanan, kita kan harus riset. Ini seperti mencari jarum di tumpukan jerami. Jadi, praktisi cybersecurity harus mempertajam mekanisme riset,” kata Aditya.

Menurut Aditya, kemampuan riset tersebut mampu mengasah strategic thinking yang berdasarkan pada analisis proses ilmiah. Kompetensi ini hanya bisa dikuasai dalam jenjang pembelajaran S3.

“S3 itu membuka pola pikir baru yang mana kita melihatnya secara ilmiah, melakukan penilaian berdasarkan fakta dan tidak subyektif. Kemampuan ini banyak saya dapatkan di S3. Sebab, saya dituntut untuk melakukan analisis data, membuat korelasi, validasi, evaluasi. Kalau salah, diulangi lagi,” ujar Aditya.

Ke depan, Aditya menargetkan untuk terus mengembangkan alat keamanan siber buatan anak negeri.

Hal tersebut penting dilakukan karena perusahaan di Indonesia lebih banyak menggunakan alat dari luar negeri sehingga menyebabkan datanya mudah terbaca oleh pihak luar.

“Caranya, dengan meningkatkan kapasitas praktisi. Dengan riset lebih lanjut, kita juga bisa membangun benteng keamanan sendiri. Urgensinya di sana,” ucapnya.

Senada dengan Aditya, Kalpin mengungkapkan alasannya melanjutkan studi S3 adalah untuk meningkatkan inovasi di bidang research and development (R&D).

Bidang tersebut merupakan penyokong utama dalam pengembangan produk dan kebijakan terkait regulasi terbaru dalam keamanan siber.

“Setidaknya, dari 10 tahun pengamatan saya, tim R&D perlu terus melakukan inovasi. Kejahatan siber terus berkembang sehingga diperlukan waktu cepat untuk mengatasinya,” jelas Kalpin.

Pentingnya kemauan belajar juga disampaikan Benfano. Ia pun mengingatkan bahwa selama hidup, manusia perlu mengulangi proses belajar, terutama di bidang teknologi.

“Belajar itu tidak akan berhenti karena ilmu di teknologi ini berkembang terus,” terang Benfano.

Keamanan siber adalah isu kompleks dan sangat penting di era digital ini. Oleh karena itu, peningkatan kesadaran, penerapan kebijakan yang ketat, dan pendidikan yang mendalam dapat menjadi kunci untuk menjaga keamanan di dunia digital.

Dengan demikian, baik individu maupun organisasi bisa secara proaktif dalam melindungi diri dari ancaman siber.