Pada hari Rabu tanggal 24 Juli 2024 KPPN Klaten mengadakan beberapa Kegiatan sekaligus yaitu Pemutaran Video Anti Gratifikasi; Press Release Pelaksanaan APBN Satker Wilayah Kerja KPPN Klaten per-30 Juni 2024; Penyerahan Piagam Penghargaan Kinerja Satker atas Pelaksanaan APBN Semester I Tahun 2024; Sosialisasi Pembinaan Pejabat Perbendaharaan; Forum Konsultasi Publik atas Layanan KPPN Klaten; dan Sosialisasi Manajemen Sistem Keamanan Informasi yang diikuti oleh para KPA/pejabat/bendahara/pegawai Satuan Kerja Lingkup Wilayah Kerja KPPN Klaten
Pembukaan Acara dilaksanakan oleh Ibu Ragil Panca Komalasari dan Ibu Istin Hidayati sebagai Pembawa Acara. Dilanjutkan Menyanyikan Lagu Indonesia Raya yang diikuti oleh semua peserta secara kegiatan, Pemutaran video anti gratifikasi, Sambutan dan Press Release oleh Kepala KPPN Klaten Bapak Sugiyana, Sosialisasi Pembinaan Pejabat Perbendaharaan disampaikan oleh Ibu Ismiyati, Forum Konsultasi Publik dipandu oleh Ibu Isrini dan Sosialisasi Manajemen Sistem Keamanan Informasi disampaikan oleh Bapak Tri Wahyono diakhir sesi.
Beberapa materi sosialisasi Sistem Manajemen Keamanan Informasi (SMKI)/Security Awarness sangat menarik terkait dengan issue akhir-akhir ini diantaranya yaitu Phising. Dalam paparan ini disampaikan Pilar-pilar keamanan Informasi secara singkat; Phising, ciri-cirinya, dan antisipasinya; Jenis-jenis malware dan identifikasinya serta kebersihan digital.
Current Issue terkait SMKI yaitu Kejadian kebocoran data instansi pemerintah; Peningkatan serangan cyber, yaitu: Phising, malware, ransomeware; Kepatuhan tentang pengelolaan perangkat TIK; Penggunaan aplikasi inovasi diluar hosting kemenkeu; Kesadaran pengguna tentang keamanan informasi yang lemah dan Penggunaan email kedinasan diluar peruntukannya.
Sebagai contoh Percobaan Serangan Siber Kemenkeu Tahun 2023 (s.d. September 2023), berdasarkan Tools Monitoring di SOC Pusintek Kemenkeu, Serangan Percobaan Malware sebanyak 218.804 kali, Serangan Percobaan Botnet sebanyak 235.956 kali, Serangan Percobaan Instrusi sebanyak 7.925.399 kali.
Pilar Keamanan Informasi
Yang harus kita ingat dan tanamkan bahwa Konsep Pengelolaan Keamanan Informasi adalah: YOUR SECURITY IS MY SECURITY. Information Security bukan hanya tanggung jawab Top Management, Tim TIK, maupun Tim Keamanan Informasi saja, namun merupakan tanggung jawab semua pegawai di lingkungan Kementerian Keuangan.
Pilar Keamanan Informasi Pengelolaan TIK yang handal dan aman yaitu People : diantaranya, Komitmen Pimpinan Tinggi Kementerian/ Lembaga; Proses : Tata Kelola, Identifikasi, Proteksi, Deteksi, Respon dan Pemulihan; serta Technology.
Pilar People, meliputi : Mengerti Klasifikasi Aset Informasi dan Kerahasiaan Informasi; Mengerti Kebijakan KI ; Mengerti Etika Penggunaan Media Sosial; Mengerti Insiden KI dan Kewaspadaan terhadap Malware dan Phising; Mengerti Perangkat Lunak berlisensi; Mengerti Penggunaan Internet dan Wifi; Pengelolaan Kata Sandi (Password); Keamanan Komputer; Keamanan Fisik. Akibat yang mungkin timbul jika Pilar People lemah yaitu : Reputation loss; Financial Loss; Loss of stakeholder’s confidence; Business interruption costs; Intelectuall Property loss ; dan Cyber Law.
Pilar Proses diantaranya Struktur SMKI sebuah Lembaga, dan Kebijakan KI-nya. Sedangkan Pilar Technology, misalnya Sistem Proteksi Cloud 365, meliputi Secure Posture yang handal dan update; Menerapakan Awarness dan Training di segala lini; Memberikan Response dan Remeditation yang cukup atas segala yang terjadi; Selalu Investigation dan Hunting hal baru; Detection; Prevention dan Menerapkan MFA Multi Factor Authencation.
Phising
Phishing adalah serangan siber yang berupaya mengelabuhi orang agar memberikan informasi seperti sandi, atau nomor rekening bank dan kartu kredit melalui email yang dibuat sedemikian rupa supaya seolah terlihat berasal dari sumber yang “terpercaya”.
Apa yang dicari Pelaku Phising ? Biasanya yaitu Kata Sandi, Data Keuangan, Data Pribadi dengan goal Uang. Media yang dilakukan Pelaku Phising diantaranya yaitu Email, Pesan WhatsApp, Facebook, Video Conference, dan SMS.
Ciri Ciri Phising biasanya yaitu memberi Kabar Fantastis : Memberi kabar yang menguntungkan dan pernyataan yang menarik seperti memenangkan ponsel mewah, undian berhadiah, atau barang mewah; dan Diminta untuk bertindak super cepat dalam waktu terbatas.
Langkah-langkah Menghadapi Phising diantaranya Selalu Waspada Sebelum Klik Tautan; Verifikasi Pengirim atau Legitimasi dari Situs Web; Gunakan Otentikasi Dua Langkah (2FA); Selalu Perbarui Antivirus di Gawai / Perangkat; Jangan Memberi Informasi Pribadi.
Tips Mewaspadai Email Phishing
From
Email pengirim bukan dari seseorang yang saya kenal dan biasa saya ajak berkomunikasi.
Email pengirim dari pihak luar Kemenkeu dan tidak terkait dengan tanggung jawab/pekerjaan saya.
Email pengirim bukan dari email kedinasan Kemenkeu
To
Email dikirim melalui cc pada satu orang atau lebih, tetapi secara pribadi saya tidak tahu orang lain yang dikirimi email tersebut.
Saya menerima email yang juga dikirim ke banyak orang yang tidak biasa dan tidak saya kenal.
Date
Apakah saya menerima email yang biasa saya dapatkan selama jam kerja, tetapi dikirim pada waktu yang tidak biasa (seperti pukul 3 pagi)?
Subject
Apakah saya mendapatkan email dengan subjek yang tidak relevan atau tidak cocok dengan isi pesan email?
Apakah isi email itu adalah balasan untuk sesuatu yang tidak pernah saya kirim atau minta?
Content
Apakah pengirim meminta saya untuk mengklik tautan atau membuka lampiran dengan alasan untuk menghindari konsekuensi negatif?
Hyperlink
Ketika saya mengarahkan mouse ke hyperlink yang ada dalam isi email, alamat tautan tertuju kepada situs web yang berbeda.
Tautan tidak menggunakan HTTPS.
Saya menerima email dengan hyperlink yang salah mengeja situs web yang saya ketahui. Misalnya, www.kernenkeu.go.id ("m" sebenarnya adalah dua karakter - "r" dan "n“).
Attachments
Pengirim menyertakan lampiran email yang mencurigakan.
Saya melihat lampiran dengan jenis file yang mungkin berbahaya. Satu-satunya jenis file yang selalu aman untuk diklik adalah file .txt
Jenis Jenis Malware
Istilah Malware yang kepanjangannya Malicius Sofware adalah istilah untuk sebuah perangkat lunak (software) yang biasanya dipasang di website oleh Cybercriminals dengan maksud untuk mencuri data atau menimbulkan kerusakan pada computer korban
Jenis Jenis Malware diantaranya :
- Virus: Virus bisa menginfeksi korbannya, mengambil alih sebagian atau seluruh fungsi. Virus merusak data atau mencari hal-hal seperti password nomor kartu kredit atau informasi sensitive lainnya.
- Worm: Virus yang tertinggal di memori computer Anda dan mereplikasi dirinya dan menyebar ke computer lain di dalam jaringan. Worm bisa membuat peladen menjadi kelebihan beban
- Spyware : Malware yang didesain untuk mematmatai kegiatan korban, mengumpulkan data pribadi seperti nama pengguna,kata sandia tau kebiasaan dalam berinternet.
- Adware : Iklan otomatis yang muncul tanpa persetujuan kita untuk memberikan promosi-promosi yang tidak kita inginkan. Ketika iklan diklik, kita kadang diarahkan ke website yang mencurigakan.
- Trojan : Malware yang menyemar seperti program yang lazim kita temui. Malware ini bisa masuk ke computer kita dan membuka akses untuk mencuri data-data pribadi.
- Ransomware : Malware yang mengambil alih kuasa pada data anda dan meminta tebusan dalam bentuk uang untuk mengembalikan kuasa pada data tersebut.
Mengidentifikasi Serangan Digital
Langkah jika menemukan Malware diantaranya Jangan mengklik tautan di dalam jendela pop-up; Pilih “tidak” saat ditanya pertanyaan tak terduga; Berhati-hatilah dengan perangkat lunak yang dapat diunduh gratis; Jangan ikuti tautan email yang mengklaim menawarkan perangkat lunak anti-spyware
Langkah selanjutnya Jalankan pemindaian penuh di komputer Anda dengan perangkat lunak anti-virus; Gunakan produk resmi yang dirancang khusus untuk menghapus spyware; Pastikan perangkat lunak antivirus dan anti-spyware Anda kompatibel.
Waspadai Penggunaan WIFI Tidak Aman
Gunakan Wi-Fi gratis seperlunya saja di perangkat seluler Anda dan jangan pernah menggunakannya untuk mengakses layanan rahasia atau pribadi, seperti mengakses medi sosial, email, informasi perbankan atau kartu kredit.
Aktifkan VPN/Virtual Private Network untuk memintas jalan agar penjahat siber tidak mudah mengakses informasi sensitif yang Anda komunikasikan di internet.
Mengidentifikasi Serangan Digital Stingray
Waspada juga pada teknologi pengawasan bernama StingRay (juga dipasarkan sebagai Triggerfish, IMSI Catcher, Cell-site Simulator atau Digital Analyzer), perangkat mata-mata portabel canggih yang dapat melacak sinyal ponsel di dalam kendaraan, rumah, dan gedung berinsulasi.
Pelacak StingRay bertindak sebagai menara seluler palsu (Fake BTS), memungkinkan pelaku untuk menentukan lokasi seluler nirkabel yang ditargetkan dengan menyedot data telepon seperti pesan teks, email, dan informasi situs seluler.
Cara Kerja Stingray :
- Stingray adalah sebuah alat yang bisa digunakan untuk memintas jaringan telephone seseorang dan mengumpulkan berbagai data seperti :Nomor-nomor yang dihubungi atau nomor yang terhubung dengan telepon target; Komunikasi yang dilakukan baik dalam bentuk suara maupun teks dan; Lokasi melakukan sambungan komunikasi tersebut
- Beberapa alat stingray didesain untuk mengumpulkan berbagai data transmisi dalam jangkauan tertentu, bukan hanya data dari orang yang jadi target.
- Pada dasarnya, semua handphone yang berada dalam posisi hidup akan mencari sinyal Menara BTS terdekat meskipun sedang tidak digunakan.
- Alat stingray akan memanipulasi handphone seolah-olah dia adalah BTS yang asli sehingga sinyal dari HP akan mengarah ke alat Stingray dulu sebelum diteruskan ke BTS sesungguhnya.
- Alat stingray cukup kecil sehingga bisa dibawa kemana mana. Biasanya diletakkan dalam mobil.
Proteksi dan Pencegahan Serangan Digital Melalui Kebersihan Digital
Kebersihan digital juga sama dengan istilah kebersihan siber (cyber hygiene), keamanan digital (digital security), kesadaran keamanan siber (cyber security awareness), internet sehat/aman (internet safety) dan lainnya yang intinya merupakan pedoman keamanan dalam perilaku ketika terkoneksi dan berada di dunia digital yang setiap orang tidak dapat dihindari.
Kebersihan digital pertama yaitu Menerapkan Manajemen Password yang baik diantaranya:
- Hindari menggunakan password berupa tanggal lahir, nama orangtua, pacar, saudara, dan lainnya yang mudah diidentifikasi.
- Hindari membuat password yang mudah diingat seperti “12345” “admin” “user” “default” “root”
- Gunakan parafrase password (Passphrase). mis: Saya Pemilik PC Yang Ganteng Tiada Duanya à SayaPPCGT2Nya atau Sppgtyd2!
- Jangan gunakan password yang sama pada semua akun.
Kriteria Password yang Kuat
- Dibuat dan disimpan secara otomatis oleh password manager.
- Digunakan hanya untuk satu akun
- Harus berupa frasa daripada kata minimal 20 karakter
- Dapat menyertakan angka, huruf kapital dan symbol
- Ditambah Autentikasi 2 faktor
Kriteria password yang lemah
- Terdiri hanya beberapa karakter-pendek
- Berisi data pribadi semisal tanggal lahir
- Digunakan untuk lebih dari satu akun
- Dicatat dan disimpan secara sembarangan, seperti ditulis di post note, note pad, dll
- Dibagikan diantara teman dan keluarga anda.
Otentikasi Dua Langkah
- Tahap pertama adalah sesuatu yang Anda ketahui (misalnya password)
- Tahap kedua adalah sesuatu yang Anda miliki (berupa kode yang dihasilkan lewat ponsel, SMS, maupun kode dari stik USB khusus).
Proteksi dan Pencegahan Serangan Digital Melalui Kebersihan Digital
Mengenali jika akun Anda telah disusupi :
- Password berubah
- Ada e-mail yang tidak wajar di folder terkirim
- Adanya email perubahan password secara tiba-tiba
- Keluhan dari kontak Anda
- Alamat IP, perangkat, dan/atau peramban yang tidak dikenal
Langkah yang dilakukan :
- Ubah password Anda
- Siapkan otentikasi dua langkah (2FA)
- Beritahu teman dan keluarga Anda
- Periksa penerusan akun, balasan otomatis, dll.
- Periksa opsi keamanan tambahan
- Periksa apakah ada akun lain yang terpengaruh
- Jalankan antivirus dan bersihkan perangkat Anda
- Meminta bantuan
Waspadalah dengan software bajakan dan tidak berlisensi
Ada banyak sekali situs web yang menyediakan Salinan file instalasi software, tapi banyak dari mereka yang tidak jelas keamanannya
Strategi backup yang baik dimulai sekarang : Aturan Backup 3-2-1
Simpan tiga salinan file penting : satu file utama (di komputer, laptop, atau ponsel) dan dua cadangandi media penyimpanan yang lain
Gunakan dua jenis media yang berbeda : misalnya satu komputer dan satu hard drive, atau satu hard drive dan satu penyimpanan berbasis cloud.
Menyimpan satu backup di luar kantor : memiliki backup file dilokasi yang berbeda di luar kantor adalah hal penting dan itu menyediakan redundasi dan kemudahan pemulihan pasca bencana. Memiliki backup di luar kantor memberikan tingkat redundasi jika backup di lokasi pertma gagal.
Sosial Media
Sosial media merupakan salah satu jalan bagi seorang peretas untuk melakukan social engineering.
Pesan
“Ingatlah Bahwa Kechilafan Satu Orang Sahaja Tjukup Sudah Menjebabkan Keruntuhan Negara” (dr. Roebiono Kertopati - Bapak Persandian Indonesia)
Sumber : Materi Beberpa Sosilisasi Security Awarness
Penulis : sumadi Pegawai KPPN Klaten
