Baca berita dengan sedikit iklan, klik di sini

Ekonomi

Bagaimana Hacker Putih Bekerja

Jasa ethical hacker kian dibutuhkan di tengah derasnya serangan ransomware. Uji tembus jadi syarat memperoleh sertifikat. 

28 Mei 2023 | 00.00 WIB

Image of Tempo
Perbesar

Baca berita dengan sedikit iklan, klik di sini

Poin penting

  • Para ethical hacker membantu memperkuat sistem keamanan siber.

  • Tarif jasa ethical hacker mencapai ratusan juta rupiah per proyek.

  • Butuh jasa peretas untuk mengetahui celah keamanan.

SEMI Yulianto mendadak sibuk setelah menerima kabar sistem PT Bank Syariah Indonesia (Persero) Tbk atau BSI mengalami gangguan pada Senin, 8 Mei lalu. Direktur utama sekaligus pendiri perusahaan keamanan siber PT SysTech Global Informasi (SGI) Asia ini dihubungi banyak klien yang khawatir gangguan itu disebabkan oleh serangan peretas. "Mereka takut kena serangan ransomware, meminta saya presentasi soal itu," katanya kepada Tempo pada Jumat, 26 Mei lalu.

Baca berita dengan sedikit iklan, klik di sini

Di hadapan para kliennya, Semi memaparkan materi tentang penilaian kerentanan dan pengujian penetrasi atau vulnerability assessment and penetration testing (VA/PT) untuk perangkat mereka. Salah satu isi paparannya adalah perihal mitigasi ketika jaringan komputer mereka terkena serangan ransomware atau virus pencuri data yang kemudian digunakan para peretas untuk memeras korbannya.

Baca berita dengan sedikit iklan, klik di sini

Direktur utama dan pendiri PT SysTech Global Informasi (SGI) Asia, Semi Yulianto. LinkedIn

SGI Asia yang berdiri pada 2012 menyediakan berbagai layanan, seperti tes penetrasi sistem, uji forensik jaringan komputer, pemulihan data, tinjauan kode, migrasi server, laboratorium virtual, dan pelatihan mengenai teknologi informasi. BSI adalah salah satu klien SGI Asia. Namun, Semi menjelaskan, SGI Asia tidak dilibatkan dalam penanganan gangguan pada sistem BSI. 

Pengujian sistem oleh pihak ketiga menurut Semi lumrah terjadi. Dengan kata lain, vendor jasa keamanan siber bisa jadi bertindak se­bagai pe­retas alias hacker yang ber­upa­ya men­jebol sistem keamanan klien­nya. Hal ini dilakukan guna meng­uji sekaligus mencari celah yang bisa dimanfaatkan peretas jahat untuk men­jebol sistem, mencuri data, hingga me­ru­sak perangkat. Semi menyebut peran ini se­bagai ethical hacker atau peretas etis. “Ethical hacker harus bisa menemukan ke­ren­tanan lalu mem­berikan rekomendasi un­tuk me­nutupi kerentanan tersebut,” ujar­nya.

Suasana kantor perusahaan kemanan siber dan antivirus Vaksincom, Jakarta, 26 Mei 2023. Tempo/Subekti

Untuk jasa ini, para ethical hacker bisa mendapat bayaran puluhan hingga ratusan juta rupiah. Semi memberi contoh, tarif jasa penetration test pada aplikasi digital Rp 50-80 juta per aplikasi. Sedangkan biaya jasa penetrasi jaringan komputer dan infrastruktur teknologi informasi Rp 100-500 juta. “Tergantung jumlah host, server, dan device yang diuji,” katanya.

Saat ini sudah banyak industri yang mempersyaratkan uji penetrasi keamanan siber untuk memperoleh standar atau sertifikat. Sertifikat ISO 27001, PCI DSS, hingga peraturan Bank Indonesia dan peraturan Otoritas Jasa Keuangan juga mewajibkan tes ini. Para ethical hacker, menurut Semi, bisa membantu perusahaan memenuhi standar itu hingga 70 persen. Sisanya bergantung pada personel internal dan teknologi yang dimiliki perusahaan atau lembaga tersebut. 

Pakar keamanan siber dan pendiri Vaksincom, Alfons Tanujaya, mengatakan ethical hacker yang juga disebut hacker putih merupakan profesi yang memiliki standar kerja ketat. Apalagi jika para peretas ini diminta membantu menguji sistem perbankan atau lembaga keuangan yang menampung dana masyarakat. “Pekerjaannya menerobos sistem orang lain, yang jika tidak hati-hati bisa menjadi pelanggaran hukum," tuturnya pada Selasa, 23 Mei lalu. 

Alfons mengatakan para ethical hacker bakal menandatangani kontrak perjanjian rahasia agar keamanan data tetap terjaga. Dia pun yakin profesi ini sangat menjanjikan karena tingkat kebutuhannya tinggi. Apalagi saat ini banyak lembaga mulai menjalankan digitalisasi layanan sehingga harus memenuhi standar keamanan siber.

•••

SERANGAN ransomware menjadi pembicaraan setelah kelompok peretas LockBit 3.0 mengaku sudah menjebol sistem Bank Syariah Indonesia pada awal Mei lalu. Dalam pernyataan yang mereka sebar pada Sabtu, 13 Mei lalu, LockBit mengaku mengantongi 15 juta catatan pelanggan, informasi karyawan, serta sekitar 1,5 terabita data internal BSI. Mereka mengancam akan menjual data itu jika BSI tak memberi uang tebusan. Masalah ini kian membuat heboh setelah pada Selasa, 16 Mei lalu, LockBit menebar sampel data yang mereka curi di sejumlah forum peretas dan media sosial. Alasannya, negosiasi dengan BSI gagal.

Saat berkunjung ke kantor Tempo pada Kamis, 25 Mei lalu, Direktur Penjualan dan Distribusi BSI Anton Sukarna membantah klaim LockBit. Menurut dia, informasi data BSI yang bocor dan tersebar di media sosial mungkin hanya berasal dari sebuah komputer, bukan sistem inti atau server. Data itu pun, Anton menambahkan, bukan data kredensial seperti kata sandi. “Itu rasanya bukan data inti yang kami miliki,” ujarnya.

Anton juga membantah adanya kebocoran data nasabah sekaligus menyatakan ragu akan kebenaran data yang disebar LockBit. Dia pun menepis pernyataan LockBit tentang negosiasi uang tebusan. “Kami tidak tahu soal permintaan tersebut, apalagi negosiasinya,” katanya. Menurut Anton, BSI sedang melakukan audit forensik digital untuk mengetahui obyek serangan, menganalisis dampaknya, dan mengetahui titik kelemahan keamanan jaringannya. “Belum selesai, masih butuh waktu."

Tapi, sekali dijebol, kondisi sistem dan data digital di dalamnya tak lagi sama. Ketua Indonesia Cyber Security Forum Ardi Sutedja mengatakan, saat sebuah jaringan komputer atau teknologi informasi ditembus peretas, data di dalamnya sudah tidak aman. “Yang terjadi dalam peretasan adalah penyalinan atau kloning data yang kemudian diperjualbelikan di forum-forum gelap," tuturnya pada Sabtu, 27 Mei lalu. 

Pakar keamanan siber Alfons Tanujaya mengingatkan, saat ini ransomware dan extortionware adalah ancaman paling berbahaya di dunia maya. Menurut dia, korbannya sudah sangat banyak dan berakibat kerugian triliunan rupiah. Alfons pun yakin serangan yang menimpa BSI adalah ransomware. “Sudah banyak yang tahu LockBit mendapatkan data BSI dan sudah dipublikasikan,” ucapnya.

Kepala Eksekutif Pengawas Perbankan Otoritas Jasa Keuangan Dian Ediana Rae mengatakan lembaganya masih melakukan pemeriksaan forensik pada sistem BSI yang kemungkinan besar rampung akhir bulan ini. OJK, dia menambahkan, belum memutuskan langkah yang akan diambil terhadap BSI. “Nanti setelah pemeriksaan selesai bisa disimpulkan kelemahannya seperti apa, akan ada pembinaan, tergantung kesalahannya. Dari situ bisa menentukan apakah ada sanksi atau tidak,” ujarnya. Dian menekankan yang paling penting saat ini adalah layanan BSI pulih dan dana nasabah tetap aman.

AISHA SHAIDRA, KHAIRUL ANAM, RETNO SULISTYOWATI
Image of Tempo
Image of Tempo
Berlangganan Tempo+ untuk membaca cerita lengkapnyaSudah Berlangganan? Masuk di sini
  • Akses edisi mingguan dari Tahun 1971
  • Akses penuh seluruh artikel Tempo+
  • Baca dengan lebih sedikit gangguan iklan
  • Fitur baca cepat di edisi Mingguan
  • Anda Mendukung Independensi Jurnalisme Tempo
Lihat Benefit Lainnya

Khairul Anam dan Retno Sulistyowati berkontribusi dalam penulisan artikel ini. Di edisi cetak, artikel ini terbit di bawah judul "Butuh Jasa Peretas Etis"

Aisha Shaidra

Aisha Shaidra

Bergabung di Tempo sejak April 2013. Menulis gaya hidup dan tokoh untuk Koran Tempo dan Tempo.co. Kini, meliput isu ekonomi dan bisnis di majalah Tempo. Bagian dari tim penulis liputan “Jalan Pedang Dai Kampung” yang meraih penghargaan Anugerah Jurnalistik Adinegoro 2020. Lulusan Sastra Indonesia Universitas Padjadjaran.

Image of Tempo

Baca berita dengan sedikit iklan, klik di sini

Image of Tempo
Logo Tempo
Unduh aplikasi Tempo
download tempo from appstoredownload tempo from playstore
Ikuti Media Sosial Kami
© 2024 Tempo - Hak Cipta Dilindungi Hukum
Beranda Harian Mingguan Tempo Plus