REPUBLIKA.CO.ID, Sementara Finlandia, Jerman, Ukraina, dan Komando Sentral Amerika Serikat masih bergulat mencari upaya bagaimana untuk memerangi serangan siber, Singapura mengambil langkah radikal. Pada Selasa dua pekan lalu, kantor Perdana Menteri Lee Hsien Loong mengumumkan pembentukan Badan Keamanan Siber Singapura. Badan baru ini disebut-sebut "akan memberikan pengawasan khusus dan terpusat demi melindungi keamanan siber nasional."
Memang serangan siber masif belum menyerang negeri yang moncer ekonominya di kawasan Asia Tenggara ini. Namun, mengingat cara-cara jahat pada masa lalu dan menilik bagaimana ancaman siber berkembang dari waktu ke waktu, bergerak maju adalah langkah yang diperlukan untuk saat ini. Bukan rahasia, negeri kecil yang kaya ini telah lama menjadi target kejahatan siber.
Serangan siber memang tak bisa lagi dipandang remeh. Tiap tahun, serangan ini menelan kerugian hingga 400 miliar dolar AS atau setara Rp 4.800 triliun. Angka ini diprediksi akan terus melambung mengingat motif lain kini muncul dalam serangan ini, yaitu politik.
Serangan siber beraroma politis ini secara terbuka dikemukan Presiden Estonia, Toomas Hendrik Ilves, dalam Forum Davos untuk Keamanan Maya baru-baru ini. Ia menyinyalir ada sejumlah kecil "orang berseragam hijau" yang kini rajin bermain-main di dunia siber, tepatnya muncul beberapa saat sebelum Rusia secara resmi menganeksasi semenanjung Crimea. "Ini bukan hanya tentang penjahat siber. Kita lihat kemitraan antara satu kelompok tertentu dan negara tertentu yang akan membayar mereka untuk tindakan kriminal di dunia maya," katanya. Ia mengendus, informasi tentang kerentanan satu negara di dunia maya menjadi komoditas yang laris diperdagangkan di pasar gelap maya.
Di pasar siber, di mana celah yang disebut kerentanan "zero-day" kini ramai diperdagangkan, kejahatan terorganisasi, jaringan teroris, dan aktor-aktor negara berkumpul sehingga semakin sulit untuk membedakan di antara mereka. Yang pasti, jumlah serangan siber bermotif politik meningkat. Pada 2013, peningkatan bahkan mencapai 91 persen.
Eugene Kaspersky, yang menjalankan kelompok keamanan maya Kaspersky Lab, memperingatkan bahwa cybercrime telah berkembang untuk menyaingi kecanggihan sebuah negara. "Beberapa tahun yang lalu, ada malware kriminal, dan ada juga malware yang disponsori satu negara. Kini, perbedaan keduanya adalah seperti mobil dan pesawat ruang angkasa," katanya.
Sekarang, menurut dia, banyak penjahat yang berevolusi dalam dunia cybercrime sedemikian rupa sehingga mereka menjadi sangat profesional. Mengutip omongan Jean-Paul Laborde, direktur eksekutif PBB untuk Penanggulangan Terorisme, kini dijumpai lebih banyak koneksi antara kejahatan terorganisasi dan organisasi teroris.
Tidak jelas bagaimana hubungan baru itu terbentuk atau bagaimana mereka akan membentuk pasar untuk kerentanan "zero-day". "Dulu, jika saya gangster dan saya ingin mendapatkan akses ke komputer pesaing saya, saya pergi dan saya mendapatkan celah untuk masuk ke dalam komputer itu," kata Andres Kütt, penasihat Otoritas Sistem Informasi Estonia. "Sekarang, pemerintah mulai berpartisipasi dalam pasar gelap atau abu-abu untuk kerentanan, botnet dan semacamnya ... yang mengubah permainan dengan mendorong lebih banyak uang untuk ekosistem ini dan memiringkan keseimbangan pasar."
Namun, bagaimanapun di Davos tak satu pun delegasi yang berani menyebut nama negara yang meningkatkan kerja sama mereka dengan kelompok penjahat siber terorganisasi walau sebetulnya mereka tahu sama tahu negara yang dimaksud. Namun, Uko Valtenberg, kepala Cyber Defense Force Estonia, mengakui masih sulit untuk menentukan personel militer dari mana yang melakukan serangan karena mereka kerap "meminjam tangan" kelompok peretas profesional saat melakukan serangan.
Rusia kerap dituduh mensponsori kelompok peretas CyberBerkut, yang baru-baru ini dituduh bertanggung jawab atas serangan terhadap situs-situs resmi Jerman. Kelompok yang sama juga dituding melakukan serangan siber pada lembaga perbankan Estonia, pemerintah, dan infrastruktur media pada 2007. Serangan pada Estonia itu sejauh ini dianggap yang paling sadis di mana untuk pertama kalinya sebuah negara menyaksikan infrastrukturnya kritis di tangan peretas.
Taktik ini juga digunakan di Georgia dan Ukraina menjelang agresi militer Rusia. Serangan yang sama dilakukan lagi terhadap infrastruktur di tempat lain di Amerika Serikat—menyerang jaringan listrik, air, dan gas—tetapi segera dapat diatasi.
"Tidak ada bangsa asing, tidak ada peretas, yang akan mampu mematikan jaringan kita, mencuri rahasia dagang kita, atau menyerang privasi keluarga Amerika, terutama anak-anak kita," kata Presiden AS Barack Obama dalam salah satu pidatonya saat itu. Meski menyebut "tidak berdampak apa-apa" dengan serangan itu, pesan yang disampaikannya justru serangan tersebut cukup merusak.
Secara terbuka, AS menyatakan pemerintahnya tengah mengintegrasikan kemampuan intelijennya untuk memerangi ancaman siber, sama derajatnya dengan upaya mereka untuk memerangi terorisme. Di antara banyak reformasi cybersecurity yang digagas pemerintahan Obama, sektor swasta akan dirangkul untuk berbagi informasi tentang ancaman siber, termasuk untuk menindak penjualan botnet. Namun, hingga kini, seperti dilaporkan Defense One,pemerintah masih berjuang untuk menemukan cara-cara yang efektif untuk menanggapi ancaman yang ditimbulkan oleh serangan siber dan spionase siber.
Berbicara tentang hal ini, Estonia kerap menjadi rujukan tentang bagaimana mengatasi serangan siber yang dilakukan secara masif. Setelah serangan tahun 2007, negara Baltik ini merombak pendekatannya terhadap pertahanan siber, memperkenalkan sistematis yang disebut rantai perintah yang menjamin reaksi cepat jika ada serangan yang sama di masa depan. Pada 2009, negara ini meloloskan UU Darurat yang mengamanatkan bahwa semua layanan penting harus mempertahankan mayoritas kapasitas mereka dalam hal mereka terputus dari internet.
"Sistem harus dibangun dengan cara yang sulit untuk diserang. Anda harus memiliki pandangan holistis tentang cybersecurity. Tak cukup untuk hanya memiliki inisiatif cybersecurity di suatu tempat di Departemen Keamanan Dalam Negeri," kata Kütt. Mereka mempromosikan konsep bahwa cybersecurity bukan masalah teknis; bahwa ini adalah masalah bisnis. Jika sistem Anda rentan terhadap serangan, berarti rentan juga terhadap serangan siber komersial, dan jika mereka rentan terhadap serangan siber komersial, mereka mungkin akan lebih rentan terhadap risiko keamanan informasi yang datang dari dalam organisasi.
Jadi, sementara negara-negara, seperti Denmark dan Australia, berebut untuk mengembangkan kemampuan maya ofensif, reformasi seperti yang dilakukan oleh Singapura dan Estonia sebenarnya—meskipun lebih sederhana --adalah cara yang lebih efektif untuk memerangi ancaman keamanan siber.
Namun, kalau melihat sentimen diskusi cybersecurity di Davos, tak ada satu negara pun yang sanggup mengadangnya sendirian. Kerja sama internasional sangat diperlukan untuk melawan kejahatan yang semakin terjalin dan terorganisasi.
"Saya akan memberi tahu Anda agar bagaimana kerja sama internasional benar-benar bekerja," kata Kaspersky dalam forum itu. Ia lalu menyodorkan ilustrasi kecil tentang hal ini. "Saya menerima e-mail dari polisi siber di negara A, dan mereka bilang, 'Hei, Eugene, apakah Anda memiliki kontak dengan negara B?' Ingin saya menjawab, ‘Hai, Anda berdua adalah negara Barat. Mengapa Anda tak saling kontak saja satu sama lain?’" Jadi, begitulah salah satu model kerja samanya; saling membantu dan terbuka dalam bekerja sama menanggulanginya. ***
Oleh Siwi Tri Puji B
Ikuti Whatsapp Channel Republika
