- http://fajardwimaarif.blogspot.com/
Nama Jim Geovedi, mungkin masih belum terlalu akrab dengan telinga banyak orang. Beda, bagi orang yang berkecimpung di dunia keamanan informasi. Pemilik nama itu bukan orang Italia atau orang bule. Melainkan, pria kelahiran Bandar Lampung, 30 tahun silam, yang kini bekerja sebagai konsultan keamanan informasi di Bellua Asia Pacific.
Bellua adalah perusahaan konsultan keamanan ternama, yang saban tahun menggelar konferensi tahunan tentang keamanan informasi dan hacking. Tahun ini, hajatan itu akan digelar sekitar pertengahan bulan depan dan Jim akan menjadi salah satu pembicaranya. VIVAnews sempat mewawancarai pria berkaca mata minus tebal ini, di kantornya di Jakarta, beberapa waktu lalu. Berikut petikannya.
Apa tantangan terbesar perusahaan di Indonesia menyangkut keamanan komputer?
Tergantung seberapa besar perusahaan tersebut. Saya ambil contoh, perusahaan kecil tidak mempunyai ancaman yang sama dengan perusahaan besar. Tapi terlepas itu perusahaan besar ataupun kecil, yang harus diwaspadai adalah ancaman internal dan eksternal. Untuk eksternal, yang paling mudah adalah kompetitor atau marketnya. Mungkin regulasi dari pemerintah juga bisa jadi ancaman. Yang lainnya, bisa jadi random hackers, dengan niat atau tidak dengan niatan.
Dari sisi internal, karyawan dalam mungkin menjadi ancaman nomor satu. Jadi, perlu ada perlakuan perusahaan kepada karyawan, mungkin si karyawan merasa tidak diperlakukan dengan sebagaimana mestinya dan jangan sampai mereka melakukan hal-hal sifatnya konyol.
Namun, ada juga pihak lain yg memanfaatkan kelemahan-kelemahan pihak internal untuk melakukan aktivitas yang tidak semestinya, istilahnya adalah penyusupan, baik disengaja maupun tidak disengaja, karena motivasi aktivitas ini banyak sekali.
Misalnya, karyawan yang membuka e-mail dengan attachment virus, yang kemudian merusak jaringan, yang mana e-mail tersebut berasal dari luar. Apakah virus tersebut menargetkan pada perusahaan tertentu? Tidak. Tapi ternyata dampaknya untuk perusahaan tersebut lumayan merugikan.
Nah, tapi ada juga virus yang memang ditujukan kepada perusahaan tertentu. Ya kita bisa menebak siapa yang melakukannya. Entah itu kompetitor, atau orang lain yang dibayar dengan sengaja. Atau ada suatu perusahaan yang menawarkan jasa ke perusahaan lain. Pihak-pihak ketiga ini yang punya andil. Ini yang tidak bisa kita hindarkan. Tidak menutup kemungkinan serangan-serangan justru berasal dari dia.
Jadi, kesimpulannya, sangat variatif. Mungkin the big five virus masih menjadi momok serius bagi sebagian besar perusahaan-perusahaan menengah, yang sudah tergantung pada internet. Mereka juga punya ancaman berupa serangan dari hacker atau cracker, baik dari kompetitor atau pihak yang ingin mengambil keuntungan.
Misalnya lewar phising (phishing adalah kegiatan pengiriman e-mail palsu yang di dalamnya terkandung link ke sebuah situs web, yang bisa mengarahkan seseorang untuk menyerahkan identitas pribadinya), ataupun clickjacking (Click-jacking adalah kode jahat yang tersembunyi di balik tombol klik di sebuah situs yang dikunjungi oleh seseorang).
Memang, beberapa riset malah menunjukkan bahwa ancaman justru banyak berasal dari pihak orang dalam, karyawan perusahaan sendiri. Bagaimana perusahaan harus mengantisipasinya?
User-awareness. Kami di Bellua tidak pernah mereferensikan produk tertentu untuk sebuah Firewall. Klien yang menentukan. Tapi yang lebih penting adalah agar karyawan aware. Mereka harus berhati-hati, dan mereka juga memperhatikan Standar Operation Procedure yang mengatur bagaimana cara karyawan bekerja setiap harinya dan apa saja yang boleh dan tidak boleh dilakukan.
Yang namanya sosialiasi user awareness terhadap karyawan harus dilakukan secara kontinyu. Bagaimanapun caranya, baik itu melalui seminar, training, lewat flyer, e-mail himbauan, dan lainnya. Ini yg banyak dilupakan oleh institusi dewasa ini. Sekarang, secanggih apapun firewall, tidak bisa mengalahkan manusia. Pasti ada kekurangannya.
||Jim memang tak pernah mengecap pendidikan formal di perguruan tinggi. Ia pernah malang melintang di jalanan. Berasal dari keluarga kurang mampu, Jim bahkan sempat membuat menjual lukisan hasil karyanya untuk menyambung hidup. Dari Lampung ia merantau ke Jogja, Bandung, Bogor. Ia sempat membantu kawannya yang membuka rental Internet dan mulai berkenalan dengan dunia bawah tanah para peretas, alias dunia hacker.||
Bagaimana trend aksi phising di Indonesia?
Indonesia cenderung menjadi target phishing. Tapi dalam beberapa bulan terakhir, orang-orang di sini sudah banyak yang aware. Sudah ada yang situs-situs lokal e-banking palsu, seperti milik Bank Mandiri, Bank Danamon, Bank Bukopin, juga sudah menjadi pilot dari aktivitas phising yang dicurigai dilakukan oleh orang lokal.
Mereka menggunakan cara phising yang menarik dan berbeda dengan kaedah phising, misalnya dalam bentuk lowongan pekerjaan. Seperti pada kasus Maxgain, sebuah perusahaan fiktif yang membuka lowongan sebanyak-banyaknya, kemudian mengumpulkan informasi dari pelanggan. Kemudian kita kita tidak tahu lagi info yang mereka dapatkan digunakan untuk apa.
Mungkin mereka akan menjual data-data tersebut, Mungkin ke perusahaan lain yang lebih membutuhkan. Ini tak hanya terjadi di Web, tetapi juga lewat mailing list. orang Indonesia yang putus asa mencari pekerjaan tidak akan berpikir panjang, karena sulit juga memastikan kebenaran informasi tersebut.
Apa hanya yang belum ‘akrab’ dengan internet saja yang menjadi korban phishing seperti ini?
Bahkan yang sudah melek internet pun bisa jadi korban. Karena sulit sekali untuk mengetahui, melacak kebenaran sebuah informasi. Kecuali Anda tiap hari memperhatikan milis. kita kan tidak punya info pembanding. Jangan-jangan suatu perusahaan memang benar menggunakan e-mail gratis ini utk menampung lowongan.
Saya sempat berfikir, bisa jadi, data pelamar tersebut dimanfaatkan oleh situs-situs head-hunter atau penyalur tenaga kerja. mereka kan mendapat uangnya bukan dari si pelamar, tetapi dari perusahaan yang mencari pelamar. Mereka tentu butuh info pelamar sebanyak-banyaknya dengan beragam range skill.
Sebagian orang sudah mulai aware tetapi masih banyak juga yang belum tahu. Jadi, bagi pelamar via online, saya imbau untuk lebih berhati-hati dan waspada.
||Kini, karir Jim sedang bersinar. Ia seringkali diundang untuk menjadi pembicara seminar hacking tingkat dunia, di beberapa negara. Ia sempat mendemokan cara meretas informasi dari satelit VSAT hanya dengan sebuah antena parabola berukuran 3,7 meter. Namanya juga sempat menghiasi berbagai pemberitaan media internasional.||
Secara keseluruhan, perusahaan-perusahaan di indonesia sudah aman atau belum?
Tidak pernah ada kondisi secure, tidak ada yang pernah sampai ke sana. Selalu ada saja hole (lubang), atau sistem yang misconfigured atau semacamnya. Kenapa? Karena, pertama, teknologi kan berubah terus dari waktu ke waktu.
Yang kedua, teknologi juga butuh SDM, sejauh mana sebuah perusahaan bisa men-treat orang-orang tersebut. Yang ketiga, bagamana proses implementasi teknologi dikontrol oleh orang-orang tersebut. Tiga hal ini yang bisa mewujudkan kondisi yang aman, walaupun aman yang saya maksud tidak bisa 100 persen.
Berdasarkan riset Symantec, spam dan malware meningkat drastis. Bagaimana cara perusahaan meminimalisir risiko?
Banyak perusahaan yang tidak memperhatikan pembagian pekerjaan. Tidak sedikit pula perusahaan yang mengesampingkan urusan sekuriti. Saya ambil contoh, perusahaan 1000 karyawan yang memiliki 10 karyawan TI, dan kesepuluh-puluhnya mengurus operasional. Siapa yang mengurus sekuriti? Nanti sekuritinya baru diurus kalo ada kasus. Seperti itu contoh yang tidak bagus.
Jadi, mesti ada pembagian pekerjaan, yang memang spesifik mengurusi sekuriti. Kalo perusahaan itu memang concern, ya silahkan buat divisi TI khusus menangani masalah sekuriti, yang kerjanya memantau tren atau info-info terbaru seputar sekuriti. Idealnya seperti itu.
Mungkin banyak yang tidak sependapat sama saya soal ini. Banyak perusahaan di Indonesia yang tidak siap jadi perusahaan besar. Mereka berangkat dari perusahaan yang kecil. Bisnis meningkat, perdagangan semakin bagus, tapi manajemen mereka tidak disesuaikan dengan besarnya mereka sekarang.
Saya umpamakan, warung yang sudah jadi supermarket, manajemennya masih warung. Dan itu, yang masih banyak terjadi di sini.
Perusahaan yang sudah dibangun 30 tahun, mereka berpikir, buat apa divisi TI, buat apa komputer? Kenapa saya harus pakai software ERP (Enterprise Resource Planning) kalau pakai Microsoft Excel bisa? Kenapa saya harus pakai password? Ya, pertanyaan seperti itu banyak sekali muncul ketika mereka besar.
Ini terjadi di Indonesia dan pada dasarnya mental mereka yang belum siap untuk besar. Penjajakan ke perusahaan mereka memakan waktu yang cukup lama. Kadang-kadang, kalau kita deliver proyek soal sekuriti, banyak perusahaan-perusahaan yang baru merestrukturisasi divisi TI, mengikuti pola yg seharusnya.
||Selain mahir di bidang keamanan komputer, Jim ternyata juga lihai beraksi di depan meja turn-table Disk Jockey. Bila Anda melantai di Centro atau kelab-kelab malam Jakarta lain, jangan kaget bila Anda bertemu Jim sedang nge-DJ. Pria yang dulu gandrung musik cadas itu juga tak tahu mengapa kemudian ia menyukai musik-musik techno. Sejak 2001 ia sudah mulai memproduksi musik ajep-ajep. Bersama DJ Andre Dunant, ia membuat kelompok bernama SEGO (Artinya Nasi dalam bahasa Jawa). Rencananya, Maret tahun depan SEGO akan merilis album mereka.||
Apa di Indonesia corporate intelligent juga mengancam informasi perusahaan? Apa ini akan menjadi sebuah tren?
Iya, tapi tidak dalam waktu dekat, 1-2 tahun ini sih nggak mungkin. Ketika semua orang menyadari bahwa informasi sangat penting. Saat itu, baru corporate intelligent akan berlaku.
Sekarang? IT engineer di perusahaan A dan perusahaan B justru saling kenal dan berteman, bahkan mereka justru saling membantu memecahkan masalah di salah satu perusahaan.
Sebagai karyawan yang juga home-user, apa prinsipnya supaya komputer di rumah tetap aman?
Don't trust anyone, don't trust anything! Karena dengan kita tidak percaya, secara otomatis kita akan menambahkan fungsi kontrol. Sebagai contoh, kalo saya tidak percaya sama Internet Service Provider (ISP), saya akan mengontrol ISP tersebut. Atau kalo saya tidak percaya sama semua e-mail yang masuk, saya akan mengontrol semua e-mail.
Misalnya, salah satu klien saya. Keamanan mereka bisa dibilang canggih, butuh orang yang punya kemampuan tinggi untuk menembus keamanannya. Tapi, nyatanya bisa ditembus oleh orang yang tidak terlalu andal. Kenapa?
Karena pada satu sisi, semakin besar perusahaan tersebut, maka ia akan semakin membutuhkan pihak ketiga, baik klien, vendor, birokrasi pemerintah, intinya butuh interkoneksi. Ujung-ujungnya butuh kepercayaan dengan pihak lain. Dan pada akhirnya kepercayaan itu menjadi blind trust.
Begitu suatu perusahaan bekerja sama dengan perusahaan lain, mau tidak mau si perusahaan harus membuka rasa kepercayaan. Dan si pelaku, bisa menyerang target melalui perusahaan partner yang notabene tidak terlalu memperhatikan masalah keamanan, sedangkan si target peduli.
Masalah ini pernah saya bahas saat konferensi keamanan ‘Hack in the Box’ di Kuala Lumpur, tahun lalu. Bagaimana kita bisa meng-compromize sebuah bank, ISP besar, industri telko, yang ketiga-tiganya bisa dibilang mempunyai keamanan yang kuat.
Semua bisa dilakukan dengan waktu singkat, walau membutuhkan waktu yang panjang untuk pengumpulan informasinya, untuk mencari tahu hubungan antara perusahaan target dengan perusahaan lainnya. Tapi, hal itu bisa dilakukan.
(Transkrip: Muhammad Chandrataruna)
