Ilustrasi | Foto: freepik.com
Ilustrasi | Foto: freepik.com
Jakarta, Cyberthreat.id – Aman atau tidaknya data pengguna saat memakai sebuah aplikasi sangat bergantung pada perilaku pengguna dan aset (data) yang diamankan.
Jika aset yang dimiliki pengguna berlimpah dan sensitif, seharusnya tingkat keamanan dibuat sebanding. Tentu saja, langkah mitigasi risiko harus disiapkan untuk memproteksi data.
Demikian simpulan perbincangan Cyberthreat.id dengan pakar keamanan siber juga Sekretaris Indonesia Cyber Security Forum (ICSF), Satriyo Wibowo, pada Minggu (17 Mei 2020).
Obrolan tersebut menyinggung terkait dengan konsep verifikasi dua langkah (two-factor-authentication TFA/2FA).
Sebelumnya, situs belanja daring Bhinneka.com didera pelanggaran data 1,2 juta pelanggannya. Platform bahkan mengakui belum menerapkan sistem 2FA, keamanan tambahan untuk mengamankan akun daring pelanggan. Dengan kondisi seperti itu, dikhawatirkan akun-akun pelanggan tersebut sangat mudah dieksploitasi.
Berita Terkait:
Satriyo mengatakan, sebetulnya istilah 2FA saat ini sudah tidak tepat. Sebab, secara konsepsi, lapisan keamanan yang diterapkan pengguna sebetulnya telah berlapis-lapis. Maka, istilah konsepsi yang tepat adalah multi-factor-authentication (MFA).
Ketika pengguna mengaktifkan 2FA, sebetulnya sudah termasuk langkah MFA. Pasalnya, untuk mendapatkan notifikasi 2FA, pengguna harus memiliki ponsel. Tanpa ponsel, otomatis pengguna tak mendapatkan kode 2FA. “Jadi, ponsel ini menjadi faktor autentikasi lagi kan,” ujar Bowo, panggilan akrabnya.
Apalagi pengguna ketika membuka ponsel masih menerapkan keamanan berlapis, seperti PIN atau passsword biometrik (mata dan sidik jari). Tahapan atau langkah tersebut adalah lapisan pertama sebelum mengakses aplikasi perbankan, media sosial, atau platform e-commerce.
Dengan logika sederhana, “Kalau seumpama ada orang jahat buat ngambil, yah dia harus bongkar satu-satu lapisannya itu,” ujar dia.
Oleh karenanya, konsepsi soal keamanan, menurut Bowo, sebetulnya lebih ke arah “perasaan keamanan”.
“Seberapa tinggi Anda memahami pengamanan yang dilakukan dan seberapa [aset] sih yang diamankan. Ketika yang diamankan itu, misalnya, duit, nah seberapa tinggi penginnya Anda ngamaninnya,” ujar Bowo.
Bagaimana pun, kata Bowo, keamanan itu selalu berbanding terbalik dengan kenyamanan. “Itu pasti,” kata dia.
Baca:
Ia mencontohkan, jika seseorang memiliki uang Rp 1 miliar di bank, pastinya punya pemikiran untuk mengamankan asetnya. Kalau yang orang-orang konservatif, bisa saja mereka enggan memakai ATM. Mereka memilih transaksi langsung ke bank karena mereka paham ancaman yang bisa terjadi di ATM.
Pendek kata, menurut Bowo, orang harus paham risiko ketika memiliki aset. Jika sudah tahu ada vektor serangan SIM swap, misalnya, seharusnya orang tidak menggunakan lapisan sekuriti yang melalui SMS, tapi gantilah dengan aplikasi autentikator.
“Yang penting itu, ketika pengguna paham, dia tahu mitigasinya seperti apa. Bukan sekadar, aktifkan 2FA, tapi enggak paham konseptual risikonya,” ujar dia.
Ia mengingatkan kembali bahwa penjahat pasti memiliki banyak taktik untuk menyerang. “Enggak mungkin maling itu terjebak di satu titik yang sama, dia pasti akan cari lubang. Cara mikir maling seperti itu.
Lalu, amankah mengaktifkan 2FA atau aplikasi autentikator? Bowo mengatakan balik lagi ke mitigasi. Seorang pengguna harus paham mitigasi risiko karena semua teknologi tidak ada yang 100 persen aman.
“Enggak bisa mengandalkan teknologi saja. Yang penting itu pengguna paham, berapa aset dia yang perlu diamankan, lalu berapa budget untuk mengamankan itu. Seumpama budget-nya enggak besar mending dipisah-pisah,” ujar Bowo.
Yang jelas, Bowo menekankan sekali lagi, ketika ingin mengamankan sebuah aset, perlu usaha yang lebih setara dengan nilai aset tersebut. Tidak hanya mengandalkan aplikasi 2FA atau pilihan proteksi dalam aplikasi.
“2FA hanya salah satu cara ngamanin, tapi ada mitigasi lain [yang harus dilakukan] ... bikin tahapan yang lebih banyak,” ujar dia[]
Redaktur: Andi Nugroho
Share:
