Cyberthreat.id – Badan Pengkajian dan Penerapan Teknologi (BPPT) mengatakan lembaganya selama ini memang mengaudit aplikasi dan teknologi yang dipakai untuk pelayanan publik.

Namun, “BPPT tidak dalam kapasitas untuk menetapkan software yang dipakai pemerintah,” ujar Kepala BPPT Hammam Riza ketika ditanya Cyberthreat.id, Kamis (24 Desember 2020) menyangkut apakah BPPT mengetahui adanya penggunaan perangkat lunak Orion buatan perusahaan TI SolarWinds di kalangan pemerintah.

"Tugas kami dalam sistem pemerintahan berbasis elektronik (SPBE) adalah audit aplikasi umum. Software list [bisa ditanyakan] ke [Kementerian] Kominfo,” Hamam menambahkan.

Pada 13 Desember, perusahaan perangkat lunak untuk mengelola jaringan dan sistem TI asal AS, SolarWinds mengumumkan bahwa peretas telah masuk ke sistem aplikasi Orion-nya. Peretas canggih yang diduga terkait Rusia itu menaruh malware pintu belakang (backdoor) pada pembaruan aplikasi Orion yang dirilis antara Maret hingga Juni 2020.

Firma keamanan siber FireEye dan perusahaan perangkat lunak Microsoft mengaku menjadi korban karena telah menginstal pembaruan Orion itu. Sementara, SolarWinds mengklaim dari jumlah 300.000 pelanggannya, hanya 33.000 yang menjadi pengguna Orion dan yang menginstal pembaruan bermasalah itu sekitar 18.000 pelanggan.

Sejauh ini badan pemerintah AS yang mengalami korban yaitu Departemen Keuangan, Departemen Perdagangan, dan Departemen Energi.

Data pelanggan bersifat rahasia

Cyberthreat.id pun telah menanyakan siapa saja pelanggan Orion ini di sektor pemerintah kepada Badan Siber dan Sandi Negara (BSSN), tetapi mereka mengklaim tidak memiliki datanya. Menurut BSSN, data seperti itu hanya dimiliki oleh distributor dan pelanggan sehingga tak pernah dibagikan kepada pemerintah.

Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja K juga memiliki pandangan senada dengan BSSN. “Soal SolarWinds ini siapa-siapa yang menggunakannnya memang sifatnya agak rahasia dan ini protokol yang dipergunakan oleh industri,” ujar Ardi kepada Cyberthreat.id, Selasa (22 Desember).

“Untuk mendapatkan data-data pengguna dari penyedia teknologinya harus ada surat permintaan hukum/perintah pengadilan mengingat data-data ini tercakup di dalam perjanjian antara pengguna dengan penyedia teknologinya,” ia menambahkan.

Namun, Ardi menyarankan jika memang ada lembaga publik yang memakai Orion harus segera menanggalkan perangkat yang terpengaruh. “Lakukan audit keamanan siber secara menyeluruh dengan melibatkan BSSN, BAIS, BIN serta asosiasi-asosiasi profesi terkait,” ujar Ardi.

Audit itu harus segera dilakukan, menurut dia, karena institusi yang melayani kepentingan publik jangan sampai terganggu oleh insiden tersebut.

“Karena insiden SolarWinds ini dianggap sebagai bencana siber yang cukup besar dan global, bahkan banyak yang menyebutnya sebagai ‘Cyber 9/11’. Kita pun sudah seharusnya memiliki rencana kontijensi nasional yang melibatkan semua pengelola aset infrastruktur vital nasional,” Ardi menyarankan.

Sekadar diketahui, SolarWinds telah merilis pembaruan Orion yang memperbaiki perangkat yang terkena malware. BSSN sendiri menganjurkan untuk memperbarui versi Orion terbari. (Baca:  Pengguna Orion SolarWinds di Indonesia yang Terkena Dampak Malware, Ini Saran BSSN)

Sebatas pelayanan publik

Sementara itu, Perekayasa Pusat Teknologi Informasi dan Komunikasi BPPT, Andrari Grahitandaru, telah mengetahui isu terkait Orion SolarWinds. Hanya, BPPT tidak mengaudit perangkat lunak atau tools internal yang tidak dipakai untuk pelayanan publik.

Selama ini Orion lebih dikenal sebagai tools untuk membantu organisasi besar memantau kinerja jaringan dan server komputer. Oleh karenanya, Andrari menyimpulkan bahwa itu bukan tools untuk pelayanan publik.

Yang termasuk kategori pelayanan publik, kata Andrari, misalnya, Sistem Informasi Rekapitulasi (Sirekap) milik Komisi Pemilihan Umum (KPU). Aplikasi inilah yang diaudit BPPT.

Meski aplikasi seperti Orion tidak diaudit oleh BPPT, Andrari mengatakan, organisasi yang memakai aplikasi tersebut seharusnya yang mengaudit mandiri dengan pedoman dan standar yang dikeluarkan BPPT.

Andrari menegaskan pedoman audit yang dikeluarkan BPPT tidak menyangkut aspek keamanan perangkat, tapi aspek tata kelola. Audit sisi keamanan dipegang oleh Badan Siber dan Sandi Negara (BSSN)

"Yang diaudit itu masalah tata kelolanya, kalau memang itu aplikasi pihak ketiga, kami lihat kontraknya seperti apa, aman atau enggak, gitu saja," kata Andrari.

Mengenai tata kelola ini, misalnya, juga dilihat dari aspek manajemen Sumber Daya Manusia (SDM), manajemen perubahan, manajemen pengetahuan, manajemen aset, dan manajemen risiko. Tak hanya itu, dari sisi fungsionalitas dan kinerjanya juga diaudit.

Saat ditanya apakah BPPT sendiri menggunakan SolarWinds ini, Andrari tidak mengetahuinya. "Untuk Orion itu dipakai di BPPT atau enggak nanti saya tanya ke bagian yang mengelola jaringan di BPPT," ujarnya.

Namun, Andrari meyakini Orion ini memang dikenal baik sebagai alat monitoring jaringan, maka kemungkinan banyak dipakai organisasi.[]

Redaktur: Andi Nugroho