Gangguan yang terjadi pada Pusat Data Nasional (PDN) makin menambah pelik proyek kebanggaan Presiden Joko Widodo. Pemerintah berambisi melakukan efisiensi pengelolaan data dengan membangun data center hingga menitipkannya dahulu data yang ada ke Telkom.  Saat ini data center yang disanjung-sanjung pemerintah itu masih dalam tahap konstruksi.

Alhasil, pemerintah masih menitipkan server beberapa lembaga dan kementerian ke PT Telkom Indonesia (Persero) Tbk. (TLKM). Sayang, data center tersebut kemudian alami gangguan selama 3 hari dan belum pulih.  Pada Juni 2023, Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Semuel A. Pangerapan mengatakan bahwa pemerintah tengah berusaha membangun Pusat Data Nasional (PDN).

Dalam agenda Rapat Dengar Pendapat (RDP), lelaki yang akrab disapa Semmy itu mengatakan bahwa pembangunan PDN merupakan upaya melakukan efisiensi pengelolaan data center yang kini tersebar hingga mencapai 2.700 data center. Setiap lembaga pemerintah telah menyiapkan fasilitas data center sendiri sehingga terjadi pemborosan. 

Dengan adanya data center nasional, server pemerintahan dapat diletakan di PDN. “Kami melakukan assessment. Semua instansi berlomba-lomba untuk menyiapkan komputerisasi dan digitalisasi akhirnya menyiapkan ruangan server, jadilah data center. Oleh karena itu, Kominfo melakukan penyederhanaan sistem ini, menjadi satu pusat data,” tuturnya.

Sembari menunggu pembangunan PDN selesai, Kemenkominfo menggunakan PDN Sementara bekerja sama dengan Telkom. PDNS itu pun digunakan oleh puluhan kementerian ratusan pemerintah kabupaten.  “Dari sisi penggunaan, tercatat ada 75 kementerian dan lembaga, 20 provinsi, 169 kabupaten dan 59 kota yang menggunakan,” ujarnya.  Pada 2020 silam, mantan Wali Kota Solo itu menilai pengembangan pusat data di Tanah Air bakal mendatangkan banyak manfaat bagi perusahaan rintisan lokal yang saat ini masih banyak menggunakan pusat data di luar negeri.

Selain itu, PDN dinilai mampu mengundang para pemain global seperti Microsoft, Amazon, Alibaba, dan Google untuk menanamkan modal, dan mengembangkan pusat data di Indonesia. Proyek kerja sama kemudian dilakukan dengan pemerintah Prancis dengan nilai kontrak 164,6 juta Euro atau setara dengan Rp2,59 triliun tersebut nantinya akan mengikuti standar internasional Tier-4 dan memiliki kapasitas prosesor 25.000 core, storage 40 petabyte dan memori 200 TB. Pembangunan Pusat Data Nasional pertama di kawasan industri Deltamas, Cikarang, Bekasi, Jawa Barat tengah berlangsung dan ditargetkan bisa selesai pada 2024.

Namun, hingga saat ini pemerintah masih menggunakan fasilitas sementara berbasis cloud. Hal ini pun lantas diatur melalui Peraturan Presiden Nomor 132 Tahun 2022 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE). Seiring dengan PDN yang masih dalam proses pembangunan, Kominfo menyajikan PDN Sementara yang dapat digunakan oleh semua instansi pemerintah maupun Kementerian/Lembaga. 

Harapannya, proses migrasi pusat data  dari instansi pemerintah sudah bisa berjalan secara bertahap. Adapun, PDN sementara memiliki fitur atau layanan layaknya Government Cloud Computing, integrasi, serta konsolidasi pusat data dari instansi Pemerintah Pusat dan Daerah (IPPD) ke PDN. Selain itu, platform proprietary dan Open Source Software juga tersedia untuk mendukung penyelenggaraan aplikasi umum atau khusus SPBE, dan penyediaan teknologi yang mendukung big data dan artificial intelligence bagi IPPD.
 

Sumber: teknologi.bisnis.com

PT Telkom Indonesia Tbk (TLKM) merespons serangan ransomware yang menimpa Pusat Dana Nasional (PDN) yang dikelola oleh PT Telkomsigma, anak usaha Telkom. Untuk mengatasi kendala teknis pada sistem, Telkom telah mengaktifkan Crisis Center Gangguan PDNS di Grha Merah Putih (GMP) Telkom Gatot Subroto pada 20 Juni 2024 pukul 10.30 WIB. Octavius Oky Prakarsa, VP Investor Relations Telkom Indonesia, mengatakan bahwa PT TelkomSigma, sebagai bagian dari kemitraan Telkom-Lintasarta-Sigma-NeutraDC, telah ditunjuk oleh Kementerian Komunikasi dan Informatika (Kominfo) sebagai penyedia Layanan Komputasi Awan Pusat Data Nasional Sementara (PDNS) untuk 2024 melalui tender terbuka.

TelkomSigma mengelola Pusat Data 2 di Surabaya yang merupakan bagian dari layanan PDNS. Selain itu, Telkom mengkonfirmasi bahwa pada 20 Juni 2024 pukul 04.15 WIB, Ditjen Imigrasi melaporkan terjadi gangguan pada layanan PDNS yang mempengaruhi sistem autogate dan perlintasan bandara.

Setelah menganalisis gangguan tersebut dan berkoordinasi dengan platform cloud PDNS, kata Octavianus, ditemukan bahwa Pusat Data 2 mengalami serangan ransomware bernama Brain Chiper. “Serangan ransomware tersebut telah mengakibatkan sistem failure dan data terenkripsi pada Pusat Data 2,” tulis Octavianus dalam keterbukaan informasi Bursa Efek Indonesia (BEI). Octavius mengatakan bahwa sebagai langkah cepat tanggap, perusahaan telah mengaktifkan Crisis Center Gangguan PDNS di Grha Merah Putih (GMP) Telkom Gatot Subroto pada 20 Juni 2024 pukul 10.30 WIB. Crisis Center ini berfungsi sebagai pusat konsolidasi dan koordinasi seluruh entitas dan pemangku kepentingan terkait (Kominfo, BSSN, Bareskrim, dan pelanggan yang terdampak).

Selain itu, Crisis Center juga berfungsi sebagai pusat koordinasi untuk langkah-langkah pemulihan layanan. “Crisis Center berfungsi sebagai penyusun strategi untuk solusi ultimate pembangunan dan normalisasi layanan PDNS di Pusat Data 2,” ujar Octavianus. Mencegah Serangan Serupa Terjadi Lagi Demi mencegah kejadian serupa, Octavius menyebutkan Tim Crisis Center PT TelkomSigma bekerja sama dengan Badan Siber dan Sandi Negara (BSSN), Bareskrim, dan Kominfo melakukan audit forensik dan analisis akar penyebab (Root Cause Analysis) serangan tersebut. BSSN juga telah memberikan beberapa rekomendasi untuk memperbaiki sistem layanan PDNS yang mencakup aspek people, process, dan technology.

Berikut beberapa poin utama rekomendasi BSSN tersebut:

1. Melakukan perbaikan tata kelola keamanan siber dan manajemen risiko pada PDNS dengan melibatkan unit kerja terkait di BSSN, termasuk memastikan setiap layanan yang akan di-hosting di PDNS lulus proses security assessment oleh BSSN.

2. Mendorong tenant PDNS untuk secara berkala melakukan backup informasi dan perangkat lunak yang berada di Pusat Data Nasional.

3. Membentuk Computer Security Incident Response Team (CSIRT) khusus untuk PDNS. “Progres recovery terus dilakukan secara intensif. Per 25 Juni 2024, progres recovery PDNS sudah mencapai 44 tenant,” ujarnya. Di tengah kabar serangan ransomware terhadap PDN Surabaya ini, saham TLKM terpantau stagnan di level Rp 3.000 pada penutupan sesi pertama perdagangan. Nilai transaksi saham TLKM sebesar Rp 70,38 miliar dengan kapitalisasi pasarnya mencapai Rp 297,19 triliun. Namun jika dilihat dalam tiga bulan terakhir, saham TLKM terpantau anjlok 23,08%.

Sumber: katadata.co.id

Dalam ekosistem dan kerangka UU Pelindungan Data Pribadi (PDP) No. 27 Tahun 2022, terdapat beberapa pihak yang terlibat, yaitu Pengendali Data Pribadi, Prosesor Data Pribadi, Subjek Data Pribadi, dan Lembaga Pelindungan Data Pribadi. Dalam hal serangan siber ransomware pada layanan PDN mengakibatkan terjadinya kegagalan pelindungan data pribadi, maka Pengendali Data Pribadi yang paling bertanggung jawab karena pihak tersebut yang menentukan tujuan dan melakukan kendali pemrosesan data pribadi.

Karena Pengendali Data Pribadi adalah pihak yang paling bertanggung jawab jika terjadi kegagalan pelindungan data pribadi, ada dua skenario yang berperan sebagai Pengendali Data Pribadi, yaitu:

Skenario 1: Pengendali Data Pribadi adalah Instansi Pemerintah sebagai Pengguna Layanan PDN Dalam rangka penyediaan layanan publik kepada masyarakat, instansi pemerintah, baik kementerian, lembaga, dan pemerintah daerah yang menggunakan layanan PDN berperan sebagai Pengendali Data Pribadi karena menentukan tujuan dan melakukan kendali pemrosesan data pribadi.

Sebagai contoh kasus, Ditjen Imigrasi berperan sebagai Pengendali Data Pribadi karena menentukan tujuan dan melakukan kendali pemrosesan data pribadi, misalnya, untuk keperluan pemeriksaan keimigrasian, autogate, visa, izin tinggal, M-Paspor, dan Cekal Online. Sedangkan Direktorat LAIP sebagai pengelola layanan PDN berperan sebagai Prosesor Data Pribadi dan Telkom Sigma berperan sebagai Sub-Prosesor Data Pribadi dari Direktorat LAIP sebagai pengelola layanan PDN. Pengelola PDN Kominfo melakukan pemrosesan data pribadi sesuai permintaan Ditjen Imigrasi sebagai pengguna layanan PDN sesuai syarat dan ketentuan penggunaan layanan PDN. Dalam hal ini, pengelola layanan PDN hanya menyediakan layanan cloud serta hak akses sesuai kebutuhan Ditjen Imigrasi. Pengelola layanan PDN tidak menentukan tujuan dan melakukan kendali pemrosesan data pribadi yang ditempatkan Ditjen Imigrasi pada layanan PDN.

Skenario 2: Pengendali Data Pribadi adalah Direktorat LAIP sebagai Pengelola Layanan PDN. Sesuai amanat Pasal 27 ayat 5 Perpres Sistem Pemerintahan Berbasis Elektronik (SPBE), PDN diselenggarakan oleh menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika dan/atau Pusat Data Instansi Pusat dan Pemerintah Daerah yang memenuhi persyaratan tertentu. Dengan kata lain, Kemenkominfo melalui Direktorat LAIP, Ditjen Aplikasi Informatika, mendapatkan tugas untuk menyelenggarakan layanan PDN.

Sumber: Kompas.com

 

INSIDEN serangan Ransomware LockBit 3.0 yang menimpa Pusat Data Nasional Sementara (PDNS) pada 20 Juni 2024, telah menyebabkan gangguan signifikan pada berbagai layanan publik di 282 instansi pemerintahan.

Pemerintah, melalui Konferensi Pers pada 26 Juni 2024, tentang update mengenai PDNS 2, menyampaikan bahwa data yang telah terkena ransomware di PDNS yang dikelola oleh PT Telkom tidak bisa dipulihkan kembali, meskipun penanganan telah dilakukan bersama Badan Siber dan Sandi Negara (BSSN), Kementerian Komunikasi dan Informatika (Kemenkominfo), hingga Bareskrim Polri.

Kejadian ini memunculkan pertanyaan penting mengenai siapa yang sebenarnya bertanggung jawab atas kegagalan sistem tersebut. Ruang lingkup dan model layanan PDN Layanan Pusat Data Nasional (PDN) adalah layanan cloud pemerintah yang menyediakan berbagai jenis layanan seperti IaaS, PaaS, SaaS, SECaaS, BaaS, Cloud Computing, Colocation, Network, Perubahan Spesifikasi, dan Domain Name Server (DNS). Masih Ada 282 Instansi Layanan Publik yang Terganggu ”Ransomware” Artikel Kompas.id Layanan ini diberikan oleh Direktorat Layanan Aplikasi Informatika Pemerintahan (Direktorat LAIP), Ditjen Aplikasi Informatika, Kemenkominfo sebagai pengelola layanan PDN kepada pengguna (tenant).

Layanan PDN dimanfaatkan oleh berbagai instansi pemerintah, termasuk kementerian, lembaga, dan pemerintah daerah. Karena PDN saat ini masih dalam proses pembangunan, Kemenkominfo juga menyelenggarakan layanan PDNS bersama penyedia layanan pusat data lokal, salah satunya Telkom Sigma.

Layanan PDNS ini dapat digunakan oleh semua kementerian, lembaga, dan pemerintah daerah yang memiliki fitur dan layanan seperti Government Cloud Computing. Layanan PDNS merupakan bagian dari ekosistem PDN yang disediakan oleh Kemenkominfo. Layanan PDN menerapkan model "Shared Responsibility" atau berbagi peran dan tanggung jawab antara pengelola layanan PDN dan pengguna layanan PDN seperti Ditjen Imigrasi dan instansi pusat dan daerah lainnya yang menggunakan layanan PDN. Baik pengelola layanan PDN dan pengguna layanan PDN harus bertanggung jawab terhadap beroperasinya sistem elektronik yang diselenggarakan.

Hal ini merujuk pada amanat Pasal 15 UU ITE No 11 Tahun 2008 dan Pasal 3 PP PSTE 71 Tahun 2019, yang menyatakan bahwa setiap Penyelenggara Sistem Elektronik harus menyelenggarakan sistem elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya sistem elektronik sebagaimana mestinya.

Model layanan PDN tertuang dalam Syarat dan Ketentuan Penggunaan Layanan PDN (Government Cloud). Pengguna layanan PDN memiliki hak untuk mendapatkan layanan tanpa dikenakan biaya setelah menandatangani Surat Persetujuan Penggunaan Layanan. Namun, pengguna layanan PDN bertanggung jawab atas pengelolaan dan pengamanan aset yang mereka tempatkan di dalam layanan cloud PDN, yang mencakup server virtual, sistem operasi, aplikasi, data, serta hak akses.

Sumber: Kompas.com

Pencuri cenderung tertarik pada peluang yang menjanjikan kekayaan yang mudah. Terdapat kelemahan pada jaringan mata uang kripto yang dapat dieksploitasi oleh para peretas, sehingga mata uang kripto Anda dapat dicuri; akan tetapi, hal ini hanya dapat dilakukan pada skenario tertentu.
Jadi, bagaimana cara melindungi diri Anda dan investasi mata uang kripto Anda?

Keamanan Blockchain

Blockchain mata uang digital umumnya merupakan buku besar publik yang mencatat dan memverifikasi semua transaksi dalam jaringan blockchain. Semua orang dapat melihat transaksi, alamat pseudonim yang terlibat, dan jumlah yang ditransfer. Akan tetapi, buku besar publik ini tidak mengizinkan siapa pun untuk mengaksesnya dan mengirimkan atau mengubah entri; hal ini dilakukan secara otomatis oleh skrip, pemrograman, teknik enkripsi, dan proses validasi transaksi otomatis.

Bagaimana Blockchain Diamankan?

Keamanan ditangani dalam blockchain melalui teknik kriptografi dan mekanisme konsensus. Blockchain menggunakan enkripsi untuk menyandikan informasi transaksi dan menyertakan data dari blok sebelumnya di setiap blok berikutnya. Seluruh buku besar dirantai bersama melalui data terenkripsi. Setiap blok yang baru dibuat membuatnya lebih aman.

Oleh karena itu, blockchain yang sudah ada tidak dapat diretas dalam pengertian tradisional "diretas", di mana kode berbahaya dimasukkan ke dalam rantai atau seseorang "meretas" ke dalam jaringan dengan kekerasan dan mulai membuat perubahan atau mengambil alih kendali.

Bagaimana Blockchain Dapat Diserang?

Seorang penyerang - atau sekelompok penyerang - dapat mengambil alih sebuah blockchain dengan mengendalikan sebagian besar kekuatan komputasi blockchain, yang disebut dengan hashrate. Jika mereka memiliki lebih dari 50% hashrate, mereka dapat memperkenalkan sebuah blockchain yang telah diubah dalam apa yang disebut sebagai serangan 51%. Hal ini memungkinkan mereka untuk membuat perubahan pada transaksi yang tidak dikonfirmasi oleh blockchain sebelum mereka mengambil alih. Transaksi - setidaknya pada blockchain Bitcoin - pada umumnya aman setelah satu kali konfirmasi. Akan tetapi, transaksi tersebut belum dianggap terkonfirmasi secara keseluruhan dan tidak dapat diubah hingga enam konfirmasi telah dilakukan.

Misalnya, jika Anda mentransfer 1 BTC ke teman, transaksi akan dicatat dan dikonfirmasi dalam satu blok-ini adalah konfirmasi pertama. Data blok tersebut akan direkam ke dalam blok berikutnya, dikonfirmasi, dan blok tersebut ditutup-ini adalah konfirmasi kedua. Hal ini harus terjadi empat kali lagi agar sebuah transaksi dapat dianggap tidak dapat diubah (pada blockchain Bitcoin). Transaksi yang belum diproses dapat dibatalkan dalam serangan 51%.
Para penyerang akan bebas menggunakan token yang digunakan dalam transaksi yang belum dikonfirmasi oleh jaringan. Mereka dapat mentransfer koin ke alamat anonim, dan blockchain yang telah diubah akan bertindak sesuai dengan apa yang telah mereka programkan.

Di mana Peretasan Mata Uang Kripto Terjadi

Kepemilikan mata uang kripto pada dasarnya terkait dengan data pada blockchain, token virtual, dan kunci. Setiap token memiliki kunci pribadi, yang dipegang oleh pemilik atau kustodian yang ditunjuk oleh pemiliknya.

Peretasan Dompet

Kunci pribadi dan cara penyimpanannya merupakan dua kelemahan utama dalam mata uang digital dan blockchain. Ada pepatah yang mengatakan dalam industri mata uang digital:

Bukan kunci Anda, bukan koin Anda.

Pepatah ini menyiratkan bahwa apa pun situasinya, jika Anda tidak mengontrol kunci mata uang kripto Anda, Anda tidak dapat mengontrol apa yang terjadi padanya. Mengizinkan orang lain untuk menyimpan kunci Anda, yang disebut sebagai hubungan kustodian antara pemilik kunci dan pemegang kunci, memberikan entitas tersebut, atau siapa pun yang memiliki kunci, kendali atas mata uang kripto Anda.
 

Kunci pribadi secara teori dapat didekripsi. Akan tetapi, satu kunci adalah sebuah angka terenkripsi dengan²²⁵⁶ kemungkinan (sama dengan 115 quattuorvigintillion kemungkinan - quattuorvigintillion adalah angka 1 yang diikuti oleh 75 angka nol). Butuh waktu berabad-abad, mungkin ribuan tahun, untuk membobol enkripsi dengan teknologi saat ini.

Di sinilah banyak peretasan dan pencurian terjadi-dompet, tempat penyimpanan kunci pribadi. Semua private key disimpan di dalam wallet, yang merupakan aplikasi perangkat lunak yang terinstal di perangkat mobile dan komputer.

Versi elektronik dan perangkat lunak pada dompet dapat terhubung ke internet (hot) atau tidak terhubung (cold). Bursa mata uang digital pada umumnya menawarkan metode penyimpanan panas dan dingin untuk para penggunanya; metode ini bersifat kustodian karena mereka menyimpan kunci Anda untuk Anda.

Aplikasi (perangkat lunak) dan perangkat dapat diretas. Karena kunci pribadi disimpan di dalam aplikasi dan dompet perangkat, para peretas dapat mengaksesnya dan mencuri mata uang digital Anda.

Peretasan Bursa

Tidak peduli apa yang dikatakan oleh pemegang kunci kustodian kepada Anda atau tingkat keamanan yang mereka iklankan, mereka adalah titik lemah. Bursa umumnya menyimpan mata uang kripto sebagai cadangan likuiditas dan kunci pribadi untuk banyak pelanggan mereka. Hal ini membuat mereka menjadi target yang menarik bagi para peretas.

Jika Anda tidak menyimpan kunci pribadi Anda di bursa, kunci pribadi tersebut tidak dapat diakses, dan mata uang kripto Anda aman - setidaknya dari peretasan bursa.

Bursa yang memiliki reputasi baik dapat menyimpan kunci Anda untuk Anda di tempat yang disebut dengan "deep cold storage". Tempat ini umumnya merupakan unit penyimpanan data offline dengan keamanan perusahaan, dan beberapa - seperti Gemini - bahkan menawarkan asuransi yang setara jika mata uang digital Anda dicuri sebagai akibat dari peretasan langsung atau pelanggaran keamanan pada sistem mereka.2

Jenis Pencurian Lainnya

Semua orang mendengar tentang peretasan bursa besar di berita, tetapi yang tidak sering disebutkan adalah teknik selain peretasan yang digunakan untuk mencuri mata uang kripto.

Penipuan selalu menjadi metode yang digunakan oleh para pencuri. Namun, tampaknya pada tahun 2023, penipuan romansa adalah salah satu teknik terbesar yang digunakan oleh mereka untuk mendapatkan kripto. Dalam penipuan ini, pencuri berpura-pura menjadi orang yang romantis sampai target merasa nyaman, dan kemudian memulai pencarian untuk meyakinkan kekasihnya yang tidak menaruh curiga bahwa mereka sangat membutuhkan mata uang kripto untuk mendanai keadaan darurat.

Ransomware, yang pernah mengalami penurunan terkait mata uang kripto, mulai mendapatkan daya tarik pada tahun 2023 juga. Ini adalah kategori teknik - pencuri mungkin mengenkripsi file atau data dan meminta mata uang kripto, atau menggunakan taktik intimidasi kecuali jika mereka dibayar.3

Cara Mengamankan Mata Uang Kripto Anda

Anda dapat mengambil beberapa langkah mudah untuk menjaga mata uang digital Anda agar tidak dicuri. Faktor-faktor penting adalah memahami bagaimana kunci Anda disimpan, bagaimana Anda dan orang lain dapat mengaksesnya, dan apa yang dapat Anda lakukan untuk membuatnya tidak dapat diakses.

Seperti yang telah disebutkan, dompet ada yang bersifat panas, dingin, kustodian, atau non-kustodian. Dompet yang paling tidak aman adalah dompet panas- yang memiliki koneksi ke perangkat lain atau internet. Untuk tujuan keamanan, Anda tidak boleh menyimpan kunci Anda pada perangkat yang memiliki koneksi yang selalu aktif atau dapat diakses. Jika perangkat tersebut memiliki koneksi dan sebuah aplikasi digunakan untuk mengakses kunci Anda, maka perangkat tersebut dapat diretas.

Berlawanan dengan iklan dan ulasan dompet mata uang digital, Anda tidak membutuhkan perangkat yang diproduksi secara komersial untuk bertindak sebagai dompet-tetapi perangkat-perangkat ini didesain secara khusus untuk keamanan kunci mata uang digital.

Sebuah USB flashdisk dengan enkripsi juga dapat berfungsi sebagai penyimpanan dingin. Akan tetapi, koneksi USB dapat menurun seiring berjalannya waktu; sebagai tambahan, ketika sebuah perangkat penyimpanan dingin terhubung ke komputer atau perangkat lain yang terhubung, perangkat tersebut akan menjadi penyimpanan panas sampai perangkat tersebut diputuskan.

Tidak ada metode penyimpanan kunci yang 100% aman, tidak mudah rusak, dan tahan lama. Akan tetapi, pertimbangkanlah bahwa banyak orang yang menjadi korban peretas dan penipu dan kehilangan uang dari rekening bank mereka karena informasi pribadi digunakan untuk mengaksesnya. Melindungi kunci pribadi tidak berbeda dengan melindungi informasi pribadi Anda.

Dompet yang paling aman adalah dompet dingin tanpa penyimpanan. Dompet ini dapat berupa selembar kertas dengan kunci yang tertulis di atasnya di dalam brankas hingga perangkat yang menggunakan kunci sandi dan enkripsi tambahan. Dompet kertas sebaiknya hanya digunakan sebagai tindakan sementara karena mudah rusak.

Anda akan menemukan banyak produk yang menawarkan keamanan dan kenyamanan untuk Bitcoin atau mata uang kripto lainnya, tetapi cara terbaik untuk memastikan kripto Anda aman dari peretas dan pencuri adalah dengan mengingat beberapa aturan sederhana:

• Jangan menyimpan kunci Anda di dompet di perangkat seluler atau perangkat lain yang memiliki koneksi ke internet.
• Kunci pribadi Anda harus selalu disimpan di tempat yang dingin.
• Jangan biarkan orang lain menyimpan kunci Anda untuk Anda kecuali Anda merasa nyaman dengan risikonya.
• Jika Anda ingin menggunakan mata uang digital Anda, hanya transfer kunci yang Anda perlukan ke hot wallet, lakukan transaksi, lalu segera keluarkan dari hot wallet.
• Simpan metode penyimpanan dingin Anda di tempat yang aman dan terkendali kelembabannya tanpa koneksi kabel atau nirkabel.
• Periksa perangkat Anda secara berkala untuk memastikan bahwa perangkat tersebut tidak mengalami penurunan kualitas. Jika iya, pindahkan kunci Anda ke perangkat penyimpanan yang baru.
• Jangan pernah membagikan kunci pribadi Anda dengan orang lain.
• Simpanlah cadangan kunci anda saat ini.

Dan ingatlah, "bukan kunci Anda, bukan kripto Anda."

Platform Kripto Apa yang Diretas?

Ada beberapa serangan 51% terhadap blockchain mata uang kripto seperti Bitcoin Satoshi Vision (BSV), Bitcoin Gold (BTG), dan Ethereum Classic (ETC). Baru-baru ini, bursa yang sekarang bangkrut, FTX, diretas tak lama setelah menyatakan kebangkrutan pada November 2022.

Apa itu Peretasan Kripto?

Peretasan kripto adalah salah satu dari beberapa bentuk pencurian yang mengakibatkan mata uang kripto dicuri.

Apakah Bitcoin Pernah Diretas?

Tidak ada laporan mengenai peretasan blockchain dan jaringan Bitcoin pada 11 Mei 2024. Namun, penyedia layanan, dompet, dan aplikasi semuanya rentan dan telah diretas.

Intinya

Mata uang kripto masih relatif baru dalam hal metode pembayaran dan mata uang. Sebagian besar dari mereka dapat dikonversi, yang berarti mereka memiliki nilai fiat. Hal ini membuat mereka menjadi target bagi para pencuri. Teknik yang digunakan dalam blockchain mata uang kripto membuatnya hampir tidak dapat diretas jika jaringannya cukup kuat untuk mengalahkan peretas. Jaringan yang lebih kecil lebih rentan terhadap pengambilalihan jaringan.

Target utama pencuri mata uang digital adalah dompet, dimana kunci pribadi disimpan. Dompet dapat diakses oleh para peretas dengan menggunakan berbagai teknik dan bahkan dapat dikunci oleh ransomware. Dengan mengingat hal tersebut, sangat penting untuk memastikan kunci pribadi Anda disimpan secara offline dan hanya ditransfer ke dompet yang terhubung ketika Anda akan menggunakannya. Selain itu, menggunakan dompet dari perusahaan atau bursa yang memiliki reputasi baik dapat memberikan sedikit keamanan ekstra. Perusahaan-perusahaan ini perlu menjaga reputasi mereka, sehingga mereka akan memastikan bahwa perangkat lunak mereka adalah yang terbaru dan tidak ada kode berbahaya yang tertulis di dalamnya.

Sumber: investopedia.com

Sebagai pengguna perangkat elektronik seperti handphone, tablet, atau laptop, kita mungkin pernah mengalami kehilangan perangkat elektronik tersebut. Kepanikan atau kecemasan akan semakin terasa jika pada perangkat tersebut memiliki akses ke suatu aplikasi atau situs web yang merupakan privasi pribadi atau terdapat akses data-data penting terkait dengan organisasi atau perusahaan tempat kita bekerja. Dalam kasus lain, mungkin pernah terjadi peretasan pada aplikasi sehingga dapat mengakibatkan kerugian baik berupa keuangan maupun non keuangan seperti terungkapnya data sensitif.

Hal ini kemungkinan terjadi dengan beberapa skenario, di antaranya phising yakni peretas mengirimkan suatu pesan baik berupa email, SMS, pesan melalui aplikasi chat, dan lain-lain yang terlihat seperti berasal dari entitas tepercaya. Apabila diklik oleh pengguna akan diarahkan ke situs web palsu yang akan meminta pengguna untuk memasukkan informasi rahasia mereka seperti username dan password. Meskipun kasus-kasus tersebut berpotensi terjadi kepada setiap pengguna, potensi atas terjadinya risiko tersebut dapat diminimalisir dengan didukung teknologi autentikasi saat ini sehingga data-data pengguna yang tersimpan pada aplikasi atau situs web menjadi lebih terlindungi.

Pada umumnya, proses autentikasi dilakukan ketika pengguna ingin masuk ke dalam situs web atau aplikasi dengan memasukkan username  dan password. Selain itu, terkadang ketika pengguna sudah berhasil masuk ke suatu aplikasi atau situs web, aksesnya dibatasi hanya pada halaman tertentu karena diatur berdasarkan status dari pengguna. Inilah alasan lain mengapa autentikasi perlu diterapkan, yakni terkait kewenangan pengguna. Dari contoh-contoh yang disebutkan tadi, autentikasi memiliki peran penting pada situs web maupun aplikasi, khususnya untuk tujuan keamanan data dan melindungi dari akses ilegal.

Adapun pengertian autentikasi adalah proses dalam membuktikan identitas user agar dapat dipastikan user yang masuk benar-benar user yang sah atau terdaftar. Proses autentikasi ini biasanya dapat melibatkan verifikasi kredensial user seperti username dan password, token, atau biometrik. Metode untuk menerapkan autentikasi dalam aplikasi, dapat dilakukan dengan beberapa cara tergantung dengan tingkat kesulitan untuk menerapkan autentikasi dan akan berbanding lurus dengan tingkat keamanan yang diterapkan dalam aplikasi. Demi keamanan yang baik, biasanya digunakan standar industri keamanan siber yang merupakan salah satu cara terbaik untuk meningkatkan keamanan sistem dan data.

Metode autentikasi paling sederhana dan termudah yang mungkin pernah kita temui adalah hanya dengan menggunakan username dan password untuk masuk ke dalam suatu aplikasi tanpa tambahan metode lain. Dengan melihat kondisi maraknya serangan siber, metode sederhana dengan hanya berupa username dan password sebagai plain text yang disimpan di dalam database akan lebih rentan bocor jika database tersebut diretas.

Mungkin pernah kita temui informasi atau berita tentang website diretas sehingga informasi pengguna tersebut bocor yang tentunya merugikan pengguna bahkan pada beberapa kasus terdapat perusahaan yang dikenakan tuntutan hukum karena lemahnya sistem keamanan autentikasi pada aplikasi atau situs web. Selain itu, hal ini juga akan berpotensi memiliki dampak buruk berupa penurunan reputasi dan bahkan keuntungan perusahaan ataupun kepercayaan masyarakat. Oleh karena itu, seiring berkembangnya teknologi dan juga kemampuan dan keterampilan hacker, salah satu cara untuk memperkuat keamanan siber adalah dengan menerapkan sistem autentikasi yang kuat pada aplikasi. 

Meskipun pada praktiknya, sebagian besar serangan siber yang terjadi di Indonesia disebabkan oleh kurangnya security awareness atau kesadaran keamanan pada pengguna. Namun, dari sisi teknis seperti sistem autentikasi juga turut menjadi elemen penting dalam menjaga keamanan data, yakni sebagai gerbang pertama yang melindungi data dari akses yang tidak sah. Dari sudut pandang pengguna, proses autentikasi yang memerlukan beberapa langkah untuk verifikasi pengguna mungkin akan dianggap sebagai hal yang merepotkan. Selain itu aturan-aturan lain yang harus dipatuhi di awal untuk masuk ke dalam proses autentikasi itu juga diharuskan untuk membuat password dengan jumlah minimal karakter tertentu dan juga kombinasi antara huruf, angka dan simbol ditambah permintaan untuk mengganti password secara berkala. Bagi pengguna, aturan-aturan ini mungkin akan mengganggu kenyamanan. Padahal dengan cara-cara tersebut dapat membantu secara signifikan untuk meningkatkan keamanan akun dan juga melindungi data dari peretas.

Lalu, bagaimana hacker dapat meretas aplikasi yang memiliki sistem autentikasi yang lemah dengan mudah? Salah satu metode yang dapat dilakukan hacker adalah dengan menggunakan serangan brute force yakni teknik yang bergantung pada kecepatan dan ketelitian komputer untuk melakukan percobaan dan mencoba setiap kombinasi atau kata kunci yang mungkin untuk menemukan yang benar. Di era modern saat ini, di antara praktik standar untuk mengamankan password pengguna dan mencegah serangan brute force adalah dengan penerapan perpaduan hashing dan salting pada sistem autentikasi web aplikasi.

Sederhananya, hashing adalah proses fungsi searah yang menghasilkan sebuah kode dengan panjang sama, meskipun berasal dari nilai masukan yang panjangnya beda. Dengan menerapkan hashing, maka akan mengubah password pengguna menjadi string acak yang disebut dengan hash yang kemudian akan disimpan di dalam database sehingga yang disimpan di dalam database bukanlah password asli yang dibuat oleh pengguna. Sementara, salting berfungsi untuk menambahkan nilai acak ke dalam password sehingga akan memastikan hash unik untuk setiap pengguna meskipun para pengguna tersebut ternyata menggunakan password yang sama.

Meskipun sistem autentikasi telah diperkuat dengan hashing dan salting, tetap dibutuhkan juga peran pengguna untuk membuat password yang panjang dan kompleks sehingga dapat memberikan tingkat keamanan yang optimal karena usaha peretasan yang dilakukan oleh hacker seperti brute force akan menjadi sangat lambat dan mahal secara komputasi. Hacker akan membutuhkan waktu yang sangat lama dan juga sumber daya komputer yang tidak sederhana sehingga serangan brute force menjadi suatu yang tidak praktis untuk diterapkan. Selain itu dengan praktik keamanan tambahan lain seperti multifaktor autentikasi, membatasi banyak percobaan permintaan akses, dan pembatasan waktu kadaluarsa pada cookies dan session merupakan beberapa contoh upaya tambahan yang sangat penting untuk menghindari dari serangan peretas.

Dari berbagai metode untuk tujuan keamanan web aplikasi yang telah disebutkan, mungkin dapat sedikit mengganggu kenyamanan pengguna. Namun, sedikit gangguan kenyamanan bagi pengguna tidak akan seberapa dibandingkan dengan potensi risiko atas keamanan data. Apalagi jika keamanan data tersebut menyangkut organisasi atau perusahaan tempat pengguna bekerja, maka risiko tersebut akan berpotensi berdampak negatif dengan cakupan yang lebih luas. Sehingga, dapat disimpulkan bahwa selain dari teknik atau praktik industri keamanan web, sistem autentikasi yang kuat juga perlu didukung oleh pengguna  atau user untuk mencapai tingkat keamanan data yang optimal.

Oleh karena itu, peran pengguna juga signifikan dalam menjaga keamanan data meskipun bagi beberapa kalangan akan menjadi sedikit memberatkan. Selain itu, peran pengguna sebagai pihak yang turut andil dalam menjaga keamanan data juga tidak terbatas di bidang autentikasi, dari domain network security misalnya, pengguna juga harus aware apakah situs-situs web yang diakses merupakan situs yang aman. Hal ini penting mengingat dari masing-masing domain yakni network security, cyber security, dan information security mempunyai jenis ancaman keamanan tersendiri yang terkadang berkaitan satu sama lain.

Sumber: djkn.kemenkeu.go.id