Penerapan Zero Trust sebagai Upaya Pelindungan dari Ancaman Serangan Siber
Oleh: Ulivia Tejo Saputri*)
Sistem Keamanan Siber Zero Trust
Zero trust merupakan pendekatan keamanan siber yang memvalidasi (memverifikasi) setiap interaksi dalam jaringan dengan menggunakan deteksi secara cepat dan responsif terhadap ancaman serangan siber. Pendekatan keamanan siber ini meminimalkan trust atau kepercayaan kepada pengakses suatu arsitektur network, sehingga tidak mudah memberi akses kepada pihak manapun. Pendekatan ini dilaksanakan secara real-time sehingga dipercaya memiliki tingkat keamanan yang tinggi.
Pendekatan zero trust ini mengombinasikan teknologi canggih, yakni autentikasi multifaktor berbasis risiko, pelindungan identitas penyedia maupun pengguna, keamanan data terbaru, dan teknologi cloud terkini dalam memverifikasi identitas pengguna. Pendekatan ini juga menggunakan enkripsi data, pengamanan surel, dan melakukan verifikasi berkala sehingga mengharuskan entitas yang menerapkannya untuk memvalidasi dan memastikan pengguna merupakan pengguna yang terpercaya dan terverifikasi. Adapun langkah awal yang harus dilakukan ketika menggunakan pendekatan zero trust adalah dengan memetakan skala prioritas atas layanan jaringan.
Di samping aspek keamanan, salah satu keuntungan penggunaan pendekatan zero trust adalah efisiensi dari aspek ekonomi karena mengurangi biaya dalam memberikan keamanan data. Efisiensi ini didapatkan karena penggunaan pendekatan zero trust akan mengurangi banyak sumber daya manusia dan hardware mengingat pemantauan terhadap keamanan sistem tidak dilakukan secara terus menerus. Penggunaan sumber daya manusia dan hardware yang minimal berarti meminimalkan biaya.
Penerapan Zero Trust di Negara Lain
Pendekatan zero trust telah dilakukan oleh hampir semua negara. Pendekatan tersebut dimaksudkan untuk memperkuat keamanan siber dalam menanggulangi kerentanan siber yang dapat berdampak pada penurunan kinerja instansi pemerintah dan swasta, gangguan ekonomi, dan menurunnya kepercayaan publik. Berikut contoh praktik penerapan pendekatan zero trust di Negara Korea Selatan dan Filipina.
Korea Selatan
Pemerintah Korea Selatan secara aktif menerapkan pendekatan zero trust baik pada level kebijakan maupun regulasi. Pada level kebijakan, Pemerintah Korea Selatan mendorong instansi pemerintah, swasta, dan individu, untuk berpartisipasi dalam aktivitas keamanan siber serta meningkatkan kerja sama dengan komunitas internasional. Kebijakan tersebut dimaksudkan untuk menguatkan infrastruktur kritis nasional, meningkatkan kemampuan pertahanan serangan siber, memperkuat tata kelola berbasis kerja sama, dan mendorong pertumbuhan industri keamanan siber. Di samping itu, Pemerintah Korea Selatan juga memiliki fokus pada pengembangan kapasitas sumber daya manusia dan peningkatan anggaran dan pelatihan di bidang keamanan siber seiring dengan semakin tingginya permintaan akan keterampilan keamanan di ruang digital. Langkah ini dinilai efektif untuk menumbuhkan industri keamanan siber dalam negeri yang kompetitif sekaligus menciptakan ekosistem industri keamanan siber yang inovatif dan berdaya saing tinggi.
Pada level regulasi, terdapat Critical Information Infrastructure Protection Act yang mengamanatkan pembentukan komite untuk mengoordinasikan dan mengintegrasikan pelaksanaan pelindungan siber secara nasional. Sebagai konsekuensi pengaturan tersebut, terdapat ratusan layanan, termasuk sistem transportasi, sistem telekomunikasi, sistem pertahanan, dan sistem jaringan perbankan telah ditetapkan sebagai infrastruktur informasi kritis yang harus dilindungi. Korea Selatan juga memiliki regulasi Cybersecurity Basic Law yang mengatur kerangka kerja keamanan siber nasional dan Cybersecurity Business Regulations untuk memberikan pelindungan siber di bidang ekonomi.
Filipina
Pemerintah Filipina menerapkan pendekatan zero trust melalui penetapan National Cyber Security Plan dalam penyelenggaraan ekosistem digital pada ranah publik maupun privat. Pemerintah Filipina juga telah menetapkan Cybercrime Prevention Act sebagai pengaturan untuk meminimalisasi pelanggaran kerahasiaan data, antara lain melalui larangan terhadap pengaksesan, pentransmisian, perubahan, perusakan, atau penghapusan data yang tidak mendapat persetujuan pemilik data. Pemerintah Filipina juga menetapkan Data Privacy Act yang mewajibkan penyedia layanan data selalu menjaga lalu lintas data dan informasi pelanggan. Selain itu, Pemerintah Filipina juga telah menetapkan Presidential Decree 1718 yang mengatur transfer informasi ke luar wilayah hukum nasional secara terbatas, khususnya yang berkaitan dengan kepentingan nasional.
Pemerintah Filipina mewajibkan sektor strategis melakukan identifikasi infrastruktur vital dan melakukan pelindungan melalui pelaporan berkala guna melakukan mitigasi serangan siber yang berkelanjutan di berbagai sektor. Adapun di bidang perbankan, Pemerintah Filipina melalui Bank Sentral Filipina telah menetapkan pedoman manajemen risiko mengenai penggunaan teknologi informasi pada layanan perbankan.
Perkembangan terakhir, Pemerintah Filipina melalui The Department of Information and Communications Technology (DICT) menetapkan masterplan terkait rancangan keamanan siber nasional tahun 2023-2028 untuk menciptakan ekosistem digital yang terpercaya, aman, dan andal bagi seluruh stakeholders. Pengaturan tersebut nantinya akan membentuk komite untuk mengintegrasikan mekanisme pengamanan siber pada seluruh instansi pemerintah.
Penerapan Pendekatan Zero Trust di Indonesia
Tata kelola keamanan siber, sebagaimana tercantum dalam RPJMN 2020-2024, merupakan kebijakan untuk memperkuat stabilitas politik, hukum, pertahanan, dan keamanan serta transformasi pelayanan publik. Di samping itu, penguatan keamanan dan ketahanan siber diwujudkan dengan pembangunan dan penguatan tim cepat tanggap keamanan siber dan penguatan infrastruktur, sumber daya manusia, dan regulasi keamanan siber.
Dalam tataran regulasi, Indonesia saat ini belum memiliki regulasi khusus yang mengatur zero trust dalam rangka melindungi seluruh sistem jaringan. Namun demikian, berbagai upaya telah dilakukan, baik dalam pembentukan peraturan perundang-undangan yang berkaitan dengan pelindungan data maupun pelaksanaan program kebijakan keamanan jaringan.
Indonesia saat ini memiliki aturan yang berkaitan dengan pengamanan data, yakni: i) Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana telah diubah dengan Undang-Undang Nomor 19 Tahun 2016; ii) Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi; iii) Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik; iv) Peraturan Presiden Nomor 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital; dan v) Peraturan Presiden Nomor 47 Tahun 2023 tentang Strategi Keamanan Siber Nasional dan Manajemen Krisis Siber. Regulasi tersebut bertujuan mengatur ekosistem ruang siber yang aman dan nyaman, sekaligus sebagai langkah mitigasi apabila terjadi ancaman dan serangan siber.
Dalam tataran teknis, Pemerintah Indonesia melalui BSSN secara tegas telah memberikan peringatan guna pencegahan atas gangguan sistem penyelenggaraan elektronik pada sektor pemerintah, swasta, maupun masyarakat. Adapun langkah-langkah antisipatif yang telah dilakukan, antara lain: i) menonaktifkan port/services/plugin pada sistem elektronik yang tidak digunakan; ii) melakukan pencadangan data dan sistem elektronik yang dimiliki ke sistem penyimpanan yang terpisah/offline berkala; iii) mengidentifikasi kerentanan dan melakukan penerapan patch security berkala; dan iv) melakukan penggantian password akun administrator maupun pengguna pada seluruh sistem elektronik.
Berkaitan dengan keamanan informasi, sama halnya dengan Pemerintah Korea Selatan, Pemerintah Indonesia telah menerapkan penilaian mandiri dan evaluasi tingkat kesiapan (kelengkapan dan kematangan) penerapan keamanan informasi berdasarkan kriteria SNI ISO/IEC 27001 bagi Penyelenggara Sistem Elektronik melalui Indeks Keamanan Informasi, dan akan menerapkan pula penilaian mandiri keamanan informasi bagi UMKM (sebagai pengguna sistem elektronik) dengan menggunakan aplikasi evaluasi PAMAN KAMI yang dibangun BSSN.
Terkait dengan entitas pelaksana keamanan siber, Pemerintah Indonesia telah membentuk Tim Tanggap Insiden Siber baik di tingkat organisasi, sektor, maupun nasional untuk melaksanakan tanggap insiden siber di lingkup sektornya. Pemerintah Indonesia juga telah memiliki prosedur penanganan krisis siber yang terdiri dari pra krisis siber, saat terjadi krisis siber, dan pasca krisis siber sebagaimana diatur dalam Peraturan Presiden Nomor 47 Tahun 2023.
Kesimpulan
Pendekatan zero trust merupakan pilihan yang dapat diambil Pemerintah Indonesia dalam rangka melindungi keamanan siber negara dan melindungi kegiatan masyarakat dari ancaman serangan siber. Kedaulatan negara dan kegiatan masyarakat harus dilindungi dari ancaman siber yang merupakan dampak negatif dari perkembangan teknologi digital yang sangat pesat. Instansi pemerintah dan swasta perlu didorong untuk mengadopsi pendekatan zero trust tersebut, di samping upaya pembentukan regulasi yang telah dilakukan selama ini. Banyak keuntungan didapat selain aspek keamanan jaringan dengan penerapan pendekatan zero trust, salah satunya adalah efisiensi biaya.
*) Analis Politik, Hukum, dan Keamanan Subbidang Komunikasi Publik.
