“Perusahaan sebesar Sony mengambil pendekatan keliru terhadap keamanan online karena terlihat seperti pengeluaran yang kurang dibutuhkan sampai bencana datang menghantam”

– catatan editor –

Artikel asli dalam Bahasa Inggris oleh: Timothy B. Lee

Ditranslasikan ke dalam Bahasa Indonesia oleh: Edy Kesuma

Dicek dan ditinjau ulang oleh: Reopan editor


 

Bulan kemarin, hacker berhasil menyusup ke jaringan komputer Sony Pictures Entertainment, salah satu studio film besar di Hollywood. Para penyerang mencuri dokumen rahasia dalam jumlah yang sangat besar, dimana saat ini dapat di download (utamanya oleh para jurnalis) dari jaringan penyedia jasa file sharing. Sejak saat itu, para jurnalis telah meneliti file-file tersebut demi mencari berita yang menarik.

Hacker tersebut dipercaya secara luas di dukung oleh pemerintah Korea Utara, yang sangat geram dengan diproduksinya film The Interview, sebuah film yang menceritakan rencana pembunuhan terhadap pemimpin Korea Utara Kim Jong Un. Pada hari rabu, ancaman teror kepada bioskop yang akan menayangkan film tersebut menyebabkan Sony membatalkan rencana perilisan pada Hari Natal.

Apa Yang Terjadi Pada Sony?

Ketika karyawan Sony Picture tiba di kantor pada hari Senin, 24 November, mereka mengetahui bahwa jaringan perusahaan mereka telah diretas. Para penyerang mencuri beberapa terabyte data pribadi, menghapus salinan asli dari komputer-komputer Sony dan meninggalkan pesan yang memberitahukan informasi ancaman jika Sony tidak memenuhi tuntutan para penyerang. Seseorang yang mengaku sebagai mantan karyawan Sony memposting sebuah screenshot, dimana menampilkan pesan yang muncul di layar komputer karyawan Sony:

Peretasan Web Sony

Ilustrasi Peretasan Sony

Jaringan komputer Sony tidak bisa digunakan selama beberapa hari, sementara para administrator berjuang memperbaiki kerusakan yang terjadi. Para staff dilaporkan dipaksa untuk bekerja menggunakan papan tulis untuk mengerjakan pekerjaan mereka.

Namun kerusakan yang lebih besar datang dari informasi rahasia yang bocor kepada masyarakat umum. Hacker memposting lima film Sony melalui koneksi jaringan file-sharing. Dan mereka juga membocorkan ribuan dokumen rahasia – semuanya dari surat-surat koresponden rahasia mengenai gaji dari para eksekutif Sony dan data performance para karyawan. Dokumen tersebut sudah diproteksi dengan password dan siapapun di belakang peretasan tersebut menyediakan password hanya kepada para jurnalis. Tapi tampaknya hanya masalah waktu saja sebelum mereka membeberkannya kepada dunia luas.

Sebagai seorang reporter yang telah mempelajari dokumen tersebut secara teliti, kami sampai ke arah yang stabil mengenai sebagian kecil cakupan potensi dalam proyek film (seperti penyimpangan film Spider Man), konflik antara eksekutif Sony dengan selebritis Hollywood (salah satu eksekutif disebut aktor Kevin Hart sebagai pelacur) dan praktek manajemen perusahaan (16 dari 17 eksekutif dengan gaji terbesar adalah pria).

Beberapa Orang Menuduh Korea Utara Sebagai Dalang Penyerangan.
Apakah Benar Mereka Yang Bertanggung Jawab?

Kami tidak mengetahui secara pasti, namun hal tersebut semakin menunjukan bahwa Korea Utara berada di belakang penyerangan tersebut. Pada hari Rabu, berbagai organisasi media melaporkan bahwa pemerintah Amerika Serikat menyimpulkan bahwa rezim tersebut yang bertanggung jawab pada kasus peretasan Sony.

Dan ditemukan beberapa bukti terperinci penyerangan yang terkait dengan Korea Utara. Analisis forensik menemukan metode yang digunakan memiliki kesamaan dengan yang digunakan pada penyerangan 2013 terhadap perusahaan-perusahaan Korea Utara. Beberapa ahli dalam bidang keamanan menduga penyerangan itu dilakukan oleh Korea Utara dan beroperasi dari Cina.

Negara penyendiri itu begitu geram kepada Sony karena akan merilis film The Interview, sebuah film komedi dimana Seth Rogen dan James Franco berperan sebagai karakter yang mencoba melakukan pembunuhan kepada pemimin Korea Utara Kim Jong Un.

Sebuah pesan yang diclaim berasal dari hacker menuntut Sony untuk “segera menghentikan penanyangan film teroris yang dapat memecah kedamaian suatu wilayah dan menjadi penyebab perang.” Para hacker mengancam akan melancarkan serangan yang mirip dengan peristiwa 9/11 kepada bioskop Amerika yang menanyangkan film tersebut.

Apakah Ancaman Teror Berhasil Memaksa Sony Untuk Tidak Menayangkan Film?

Ya itu berhasil. Penyedia Bioskop menjadi gelisah tentang kemungkinan para penyerang – siapapun mereka – akan menjalankan ancaman tersebut. Atau mungkin, ketakutan terhadap terorisme akan menjauhkan penikmat film dari bioskop. Di lain tempat, beberapa bioskop juga meminta ijin dari Sony untuk menghilangkan film tersebut dari daftar urutan.

Di hari Selasa Sony mulai melunak, dan beberapa bioskop secara cepat berantai mengumumkan bahwa mereka tidak akan menanyangkan The Interview pada tanggal 25 Desember. Kemudian di hari Rabu, Sony mengumumkan film tersebut ditunda perilisannya secara keseluruhan, mengutip sikap penyedia bioskop yang berpengaruh terhadap keputusan yang mereka ambil. Pada point ini, tampaknya film tersebut sama sekali tidak akan jadi dirilis.

Apa Yang Dapat Kita Pelajari Dari Kasus Kebocoran Dokumen Sony?

Utamanya, kita belajar bahwa menjalankan perusahaan skala besar terlihat seperti hal yang membosankan. Banyak dokumen-dokumen berfokus kepada rutinitas aktifitas bisnis, seperti suatu perusahaan yang berupaya tanpa akhir untuk menghasilkan pendapatan dari koleksi film lama dengan jumlah sangat besar. Contohnya seperti film yang tidak dapat dilupakan pada tahun 2001 yaitu Saving Silverman.

Kita telah belajar bahwa Sony kadang-kadang membayar tinggi seorang aktor pria dibandingkan dengan aktor wanita untuk tampil dengan pekerjaan yang sama. Dari 17 eksekutif Sony yang dibayar lebih dari satu juta dolar, hanya satu dari mereka – Co Chairman Amy Pascal – adalah seorang wanita. Dalam email korespondensi juga diketahui agar Jennifer Lawrence dibayar lebih murah dibandingkan dengan rekan aktor pria untuk perannya dalam film American Hustle.

Dokumen pembongkaran/penelusuran dari The Verge membeberkan suatu usaha dari studio film Hollywood untuk menyerang agenda lobi Google, perusahaan industri film menyebutnya “Goliath”. Sony dan kompetitornya kesal karena Google tidak pernah berhenti membuka paksa dan melanggar konten yang terkandung dalam hasil pencariannya. Dan hal itu telah dilobikan oleh perusahaan tersebut untuk menentang proposal seperti pada tahun 2012 mengenai Stop Online Piracy Act yang mengeluhkan perlindungan hak cipta.

Kebocoran dokumen itu juga mengungkapkan informasi langka tentang keuntungan dari film-film Sony. Biasanya, tingkat keuntungan film-film Hollywood diperlakukan sebagai rahasia yang dijaga dengan ketat. Namun reporter Hollywood menggali informasi dalam dokumen perusahaan Sony dan menemukan detail dari film tahun 2013 mana yang merugi setelah semua pendapatan masuk ke dalam rekening.

Selain itu kebocoran ini juga mendatangkan berbagai macam isu dari pabrik gosip. Salah satu eksekutif menyebut Angelina Jolie seorang aktor dengan sedikit talenta. Lainnya menggambarkan aktor Kevin Hart sebagai “pelacur”. Beberapa karyawan Sony mengkritisi “formulasi” film Adam Sandler yang dibuat oleh perusahaan.

Beberapa pengungkapan tersebut jelas memalukan bagi individu yang terlibat. Namun tampaknya hal itu tidak terlalu banyak membuktikan tentang perusahaan secara keseluruhan. Barangkali, tumpukan dokumen dari studio lain juga mengungkapkan hal sejenis tentang bagaimana pembicaraan kasar dari para eksekutif-nya dan ketidakpuasan dari level bawah.

Apakah Etis Bagi Jurnalis Untuk Menggali Informasi Dari Dokumen Hasil Pencurian Dan Mempublikasikan Dalam Konten Mereka?

Orang-orang tidak setuju tentang hal ini.

Kasus peretasan Sony jelas adalah perbuatan yang ilegal dan tidak etis. Beberapa orang berdebat dengan fokus pada pembeberan hasil isi dari dokumen-dokumen, mereka diuntungkan dari – atau mungkin dibantu – usaha para hacker untuk memojokkan Sony. Di bulan Desember pada edisi pembuka The New York Times, penulis naskah Aaron Sorkin mengkritik media yang melanjutkan pekerjaan kotor para hacker untuk mereka juga.

Selain itu dapat dicatat bahwa sekali dokumen-dokumen tersebut diposting secara online, diibaratkan seperti jin yang telah keluar dari botolnya. Setiap organisasi berita yang menolak melaporkan isi atau konten mereka hanya merupakan penundaan dari sesuatu yang tidak dapat terelakkan.

Sekali dokumen-dokumen tersebut diposting secara online, diibaratkan seperti jin yang telah keluar dari botolnya

Terlebih, banyak jurnalis terlibat dalam mengungkap rahasia tentang orang-orang berpengaruh atau institusi yang mencoba menjaganya agar tetap tidak diketahui. Seringkali orang yang terlibat mendapatkan sumber, membagikan informasi dimana mereka sendiri bukan orang yang mendapat otorisasi untuk membagikan informasi tersebut. Dan dalam beberapa pengungkapan rahasia Sony – seperti hal-hal yang berkaitan dengan masalah gender yang tidak seimbang dalam kompensasi bagi eksekutif dan perang Hollywood terhadap Google – memiliki nilai berita yang asli.

Pada akhirnya kemudian, pertanyaannya adalah kurang lebih tentang apakah lebih melaporkan dokumen-dokumen tersebut dibandingkan dengan seberapa banyak yang perlu dilaporkan. Beberapa informasi seperti nomor keamanan sosial karyawan Sony, adalah jelas sudah diluar batas. Namun sebagian besar organisasi berita menyimpulkan setidaknya beberapa pengungkapan rahasia Sony adalah permainan yang adil bagi para reporter.

Apakah Legal Bagi Organisasi Media Menggunakan Dokumen Hasil Pencurian Dalam Laporan Mereka?

Sebuah surat tegas pada 14 Desember, Sony mendesak para organisasi media agar berhenti melaporkan dokumen yang bocor dan menghapus setiap salinan yang mereka miliki.

Namun secara resmi, Sony mungkin tidak dapat memaksa organisasi media agar memenuhi tuntutan tersebut. Ketetapan di tahun 2001, Mahkamah Agung mengeluarkan peraturan dimana sebuah stasiun radio tidak bertanggung jawab terhadap penyiaran konten berita audio hasil rekaman – walaupun jika rekaman nyatanya dibuat dengan melanggar Hukum Penyadapan. Prinsip yang sama juga berlaku pada dokumen yang bocor. Sepanjang suatu organisasi tidak ikut terlibat dalam penyerangan terhadap Sony, maka media memiliki hak “First Amendment” untuk melaporkan informasi berita yang valid yang ditemukan dalam suatu dokumen.

Apakah Sony Memiliki Masalah Keamanan Dalam Sistem Komputernya?

Pada utamanya, ini bukanlah pertama kali Sony dijadikan target penyerangan oleh hacker dan ini mungkin bukan insiden yang paling parah.

Di tahun 2011, jaringan Sony PlayStation telah diserang oleh hacker yang mencuri informasi pribadi dari jutaan gamer PlayStation dan menyebabkan jaringan mati selama beberapa minggu. Penyerangan ini didasari oleh kemarahan terhadap tuntutan hukum Sony kepada hacker Amerika yang berusaha membalikan – sistem kerja dalam Playstation 3 agar pengguna dapat memainkan game pihak ketiga yang belum lolos otorisasi dari Sony.

Berbagai kritik telah diungkapkan mengenai bagaimana Sony mengambil pendekatan keliru terhadap keamanan online. Mereka menunjukkan contoh, dimana perusahaan memberhentikan dua karyawan keamanan komputer beberapa minggu sebelum penyerangan 2011.

Dan seorang ahli keamanan internet Chester Wisniewski mengatakan kepada Gizmodo bahwa usaha para hacker di tahun 2011 dibuat lebih mudah oleh respon penanganan yang lambat dan datar dalam sistem Sony. Mereka mengeksploitasi kelemahan dari salah satu kantor Sony, kemudian menggunakan metode penyerangan yang sama dengan yang dilakukan di berbagai belahan dunia yang lain. “Para penjahat dapat melakukan penyerangan yang sama karena Sony Picture belum mengambil langkah untuk memperbaiki masalah tersebut,” kata Wisniewski.

Usaha para hacker di tahun 2011 dibuat lebih mudah oleh respon penanganan yang lambat dan datar dalam sistem Sony

Penyerangan bulan terakhir kemarin memberitahukan dengan jelas bahwa Sony masih belum sepenuhnya mengamankan jaringannya. Namun sulit untuk mengetahui apakah ini berarti bahwa Sony secara khusus memiliki kelemahan pada pelaksanaan keamanan di jaringannya – atau ini hanya terjadi karena favorit target penyerangan para hacker. Mempererat jaringan korporat yang sebesar Sony adalah pekerjaan yang sangat sulit. Dan walaupun sebuah perusahaan mengambil langkah pencegahan masih akan ada kelemahan yang ditemukan dengan determinasi yang cukup dan hacker yang bertalenta.

Diatas adalah sudut pandang dari Joseph Demarest, pejabat resmi dari Divisi Cyber FBI. Dari sudut pandangnya “level kecanggihan” dari penyerangan bulan lalu adalah benar-benar tinggi. Dia percaya bahwa malware yang digunakan telah lolos atau mungkin telah melewati 90% pertahanan jaringan yang ada di dunia saat ini.

Apa Pelajaran Yang Dapat Kita Ambil Dari Peretasan Sony ?

Pertama dan paling utama, banyak perusahaan seharusnya lebih berinvestasi dalam keamanan jaringan. Perusahaan seperti Sony cenderung kurang berinvestasi dalam mengamankan jaringan mereka karena terlihat seperti pengeluaran yang kurang dibutuhkan sampai bencana menghantam. Memperbaiki kekacauan dari penyerangan kemarin akan membuat Sony mengeluarkan jutaan dolar uang. Semoga saja hal ini akan menjadi inspirasi bagi perusahaan-perusahaan besar lain untuk merekrut tambahan ahli keamanan komputer.

Kedua, perusahaan harus memastikan mereka sudah bersiap dengan baik dalam menghadapi penyerangan yang mungkin terjadi. Sebagai contoh, membuat backup secara teratur yang memungkinkan perusahaan merecovery data jika terjadi kemungkinan hacker menghapus data-data penting.

Dan terakhir, eksekutif korporat harus menanamkan dalam pikiran mereka bahwa keputusan mereka mungkin secara tidak disangka akan dapat terekspos pada suatu hari nanti. Jika anda adalah seorang eksekutif senior dalam suatu perusahaan besar, adalah ide yang bagus untuk menghindari mengirimkan email yang terlalu memalukan atau mengandung isi neraca pembayaran gaji yang memalukan yang berat sebelah.

Apa Yang Akan Terjadi Nanti?

FBI masih dalam proses investigasi. Pada masa lalu, para pelaku kejahatan dari serangan besar selalu berhasil ditangkap.

Sementara itu, para jurnalis akan tetap melanjutkan penelusuran detail dalam dokumen hasil kebocoran. Informasi dengan jumlah yang besar telah dirilis dan kebanyakan tidak dianalisa dengan cermat. Mungkin akan ada lebih banyak data yang datang di masa mendatang. Kita tidak mengetahui jika point penting yang terkandung masih tersembunyi dalam tumpukan jerami data.

Update: sejak artikel ini dipublikasikan, saya telah menambahkan informasi tentang pesan dari “Movie of terrorism”, Aaron Sorkin editor operasi dari New York Times, dan pernyataan Sony agar jurnalis menghapus file hasil curian. Saya juga merubah artikel agar mencerminkan peningkatan bukti bahwa Korea Utara berada di belakang aksi penyerangan.