JAKARTA - Guru Besar bidang Teknologi Informasi (IT) dari Universitas Pancasila, Prof. Marsudi Wahyudi Kisworo, menyatakan dalam dunia keamanan komputer, tidak ada sistem yang dapat dijamin keamanannya. Ia menekankan pentingnya budaya kesadaran keamanan (security awareness culture).

Hal ini disampaikan dalam pesan singkat yang diterima di Jakarta pada Rabu, terkait dengan serangan siber yang menyasar server Pusat Data Nasional Sementara (PDNS) Kementerian Komunikasi dan Informatika (Kominfo). "Dalam dunia keamanan komputer, tidak ada sistem yang dijamin aman. Yang ada adalah sistem yang sudah diretas dan sistem yang belum diretas. Di negara-negara maju pun setiap 3-5 detik terjadi percobaan peretasan," ujar Prof. Marsudi.

Ia mengibaratkan server sebagai sebuah rumah yang, meskipun dilengkapi dengan pengamanan canggih, tidak bisa dijamin tidak akan mengalami pencurian, perampokan, atau bahkan kejatuhan meteor. "Oleh karena itu, yang paling penting dalam keamanan adalah budaya berhati-hati," ungkapnya.

Selain itu, Guru Besar pertama di bidang IT di Indonesia ini menegaskan bahwa di dunia pengamanan komputer, penting untuk selalu mematuhi tata kelola keamanan (security governance) yang baik. "Misalnya, menerapkan berbagai standar keamanan komputer yang ada dapat mengurangi kemungkinan terjadinya pelanggaran keamanan, paling tidak mengurangi dampaknya jika terjadi. Sama seperti pengamanan fisik untuk rumah atau mobil," paparnya.

"Security governance mencakup analisis risiko yang bisa terjadi, termasuk skenario pelanggaran keamanan, aktor, probabilitas, dan dampaknya," tambahnya. Selanjutnya, ia menjelaskan, penanganan risiko harus mencakup peralatan untuk pencegahan, pertahanan, dan deteksi, serta prosedur yang harus dijalankan ketika terjadi pelanggaran keamanan, seperti prosedur tanggap darurat hingga pemulihan.

Rektor Universitas Pancasila ini juga menjelaskan lembaga-lembaga yang bonafide pasti memiliki perencanaan keamanan yang komprehensif, bahkan mungkin mengikuti standar-standar yang lazim. "Melihat kejadian dengan PDN, dan beberapa kasus sebelumnya yang pernah saya tangani, tidak adanya rencana keamanan yang baik menjadi penyebab ketika terjadi pelanggaran tidak dapat ditangani dengan baik," ungkapnya.

Prof. Marsudi, yang juga Dewan Pengarah BRIN, mencontohkan yang paling sering terjadi adalah tidak adanya skenario ketika terjadi peretasan, tidak memiliki rencana pemulihan bencana (disaster recovery plan), bahkan tidak memiliki rencana kelangsungan bisnis (business continuity plan).

"Jangankan itu, banyak lembaga baik pemerintah maupun swasta di Indonesia tidak memiliki penilaian risiko siber (cyber risk assessment), baru kelabakan ketika sudah dijebol," pungkasnya. (ant)