Kerentanan Web Mengkhawatirkan, Institusi Pemerintah dan Pendidikan Jadi Target Utama
JAKARTA – Ancaman siber terhadap organisasi pemerintah dan institusi pendidikan terus meningkat seiring dengan maraknya kerentanan aplikasi web. Laporan terbaru menunjukkan bahwa kerentanan seperti Remote Code Execution (RCE), Cross-Site Scripting (XSS), dan SQL Injection (SQLi) tetap menjadi perhatian utama dan menunjukkan tren peningkatan yang mengkhawatirkan.
Invicti, sebuah perusahaan keamanan perusahaan, merilis laporan Indikator Keamanan Aplikasi (AppSec) Musim Semi 2022 yang menganalisis data dari lebih dari 939 pelanggan di seluruh dunia. Laporan tersebut menemukan bahwa sepertiga dari institusi pendidikan dan organisasi pemerintah mengalami setidaknya satu insiden SQLi tahun lalu. Data ini berasal dari analisis 23,6 miliar pemindaian aplikasi dan penemuan 282.000 kerentanan berdampak langsung.
SQLi, yang memungkinkan aktor jahat memodifikasi atau mengganti kueri yang dikirim aplikasi ke basis data, menjadi perhatian khusus. Kerentanan ini meningkat lima persen dalam empat tahun terakhir, sebuah tren yang sangat mengkhawatirkan mengingat organisasi sektor publik seringkali menyimpan data pribadi yang sangat sensitif.
Selain SQLi, RCE juga mengalami peningkatan lima persen sejak 2018, menjadikannya target utama bagi penyerang siber. Sementara itu, XSS menunjukkan lonjakan frekuensi sebesar enam persen.
“Kami melihat bahwa sebagian besar kerentanan web paling parah terus berkembang, baik tetap stabil maupun meningkat frekuensinya selama empat tahun terakhir,” ujar Mark Ralls, Presiden dan COO Invicti. “Temuan ini mencerminkan kondisi keamanan siber yang mengkhawatirkan.”
Kesenjangan Keterampilan dan Kurangnya Pengembang Ahli Siber
Laporan Invicti juga menyoroti peningkatan jumlah kerentanan yang dilaporkan dari organisasi yang secara aktif memindai aset mereka. Salah satu penyebab utama yang diidentifikasi adalah kurangnya pengembang perangkat lunak yang terlatih dalam keamanan siber.
“Pengembang, khususnya, mungkin memerlukan lebih banyak edukasi untuk menghindari kesalahan ini sejak awal. Kami melihat bahwa kerentanan tidak terdeteksi bahkan pada tahap paling awal pengembangan saat pemindaian,” jelas Ralls.
Kurangnya perhatian terhadap kerentanan oleh pengembang dapat membahayakan organisasi. Otomatisasi dan alat integrasi dapat membantu pengembang mengatasi kerentanan ini dengan lebih cepat dan mengurangi potensi kerugian.
Bukan Hanya Kesalahan Aplikasi Web
Ralls menekankan bahwa masalahnya bukan pada aplikasi web itu sendiri yang semakin tidak aman, melainkan pada pengembang yang mungkin lelah, bekerja berlebihan, atau kurang berpengalaman. Seringkali, organisasi merekrut pengembang tanpa latar belakang dan pelatihan keamanan siber yang memadai.
Dengan dorongan transformasi digital yang terus berlanjut, bisnis dan organisasi mendigitalkan dan mengembangkan aplikasi untuk lebih banyak aspek operasional mereka. “Ditambah lagi, jumlah aplikasi web baru yang masuk ke pasar setiap hari berarti setiap aplikasi tambahan adalah potensi kerentanan,” tambahnya.
Menerapkan Solusi
Tim bisnis, baik yang mengembangkan maupun menggunakan perangkat lunak, memerlukan paradigma dan teknologi yang tepat. Hal ini melibatkan prioritas pada model desain yang aman dan mengintegrasikan keamanan ke dalam proses pra-kode arsitektur aplikasi.
“Pecahkan silo antar tim, terutama antara keamanan dan pengembangan, dan pastikan norma serta standar organisasi diterapkan secara universal,” saran Ralls.
Ia merekomendasikan penggunaan alat AppSec yang kuat yang dapat mengotomatiskan sebanyak mungkin proses, terintegrasi secara mulus ke dalam alur kerja yang ada, dan menyediakan analitik serta pelaporan untuk menunjukkan keberhasilan dan area yang memerlukan perbaikan lebih lanjut.
“Alat dengan tingkat positif palsu yang rendah dan panduan yang jelas serta dapat ditindaklanjuti untuk pengembang sangatlah penting. Jika tidak, Anda akan membuang waktu, tim Anda tidak akan menerima teknologi tersebut, dan postur keamanan Anda tidak akan lebih baik,” pungkasnya.
Titik Buta Berperan
Ralls menambahkan bahwa pelanggaran besar dan kerentanan berbahaya terus mengungkap titik buta organisasi. Ia mencontohkan dampak besar dari Log4Shell, di mana bisnis di seluruh dunia bergegas memeriksa kerentanan terhadap serangan RCE di pustaka Log4j yang banyak digunakan.
“Tidak selalu mudah untuk melibatkan semua orang dalam hal keamanan, terutama ketika keamanan tampaknya menghambat individu dalam penyelesaian proyek atau terlalu mahal untuk disiapkan,” kata Ralls.
Namun, peningkatan jumlah strategi keamanan siber yang efektif dan teknologi pemindaian dapat mengurangi ancaman persisten dan mempermudah penutupan kesenjangan antara keamanan dan inovasi.
Relevansi untuk Indonesia: Kesiapan Menghadapi Gelombang Serangan Siber
Data dari laporan Invicti memberikan gambaran yang jelas mengenai lanskap ancaman siber global, yang relevansinya dengan Indonesia tidak dapat diabaikan. Peningkatan kerentanan pada institusi pemerintah dan pendidikan menunjukkan bahwa sektor-sektor krusial ini menjadi sasaran empuk bagi para pelaku kejahatan siber. Bagi Indonesia, yang sedang gencar melakukan transformasi digital di berbagai sektor, termasuk pemerintahan dan pendidikan, temuan ini menjadi peringatan dini yang serius.
Fokus pada SQLi, RCE, dan XSS menyoroti jenis serangan yang paling umum dan berpotensi merusak. Institusi pemerintah di Indonesia menyimpan data warga negara yang sensitif, sementara institusi pendidikan mengelola informasi akademis dan pribadi siswa. Kerentanan dalam sistem mereka dapat berujung pada kebocoran data masif, hilangnya kepercayaan publik, dan kerugian finansial yang signifikan.
Faktor penyebab yang diidentifikasi, seperti kesenjangan keterampilan di kalangan pengembang dan kurangnya kesadaran keamanan siber, juga relevan di Indonesia. Dengan pesatnya pertumbuhan industri teknologi dan digitalisasi di berbagai sektor, kebutuhan akan profesional keamanan siber yang kompeten semakin mendesak. Kurangnya sumber daya manusia yang terlatih dapat memperlambat upaya perlindungan data dan infrastruktur digital nasional.
Oleh karena itu, artikel ini menggarisbawahi pentingnya investasi strategis dalam keamanan aplikasi web, baik dari segi teknologi maupun sumber daya manusia. Bagi Indonesia, ini berarti perlunya penguatan kebijakan keamanan siber, peningkatan program pelatihan bagi pengembang dan profesional IT, serta mendorong kolaborasi antara sektor publik dan swasta untuk membangun ekosistem digital yang lebih aman dan tangguh. Mengabaikan peringatan ini dapat berakibat pada kerentanan yang terus meningkat, membahayakan data pribadi warga dan stabilitas operasional institusi vital negara.
