“Sebagai pengguna seringkali kita tidak mau direpotkan dengan hal-hal yang sifatnya rumit. Namun jika menyangkut masalah keamanan apalagi berhubungan dengan data pribadi, sudah seharusnya kita menggunakan dan mengoptimalkan fitur keamanan yang telah disediakan. Kita tidak tahu kapan peretesan terjadi sampai kita mengalaminya sendiri”

Artikel asli dalam Bahasa Inggris oleh: Jan Dawson

Ditranslasikan ke dalam Bahasa Indonesia oleh: Edy Kesuma

Dicek dan ditinjau ulang oleh: Reopan editor


Apple pernah menjadi topik berita bulan lalu. Ini dikarenakan hacker rupanya telah berhasil masuk ke akun iCloud seorang selebriti, dan menyebarkan foto-foto yang berhasil dicuri ke publik. Sebenarnya masih belum jelas bagaimana bentuk hacking yang dilakukan, namun hal ini tidak mencegah timbulnya banyak tanggapan yang membahas tentang topik ini. Dengan tidak adanya kejelasan tentang apa yang terjadi, saya beranggapan sangatlah penting untuk mulai fokus pada hal umum tentang privasi dan keamanan yang konteksnya berkaitan dengan berita ini.

Jika Apple benar-benar bersalah, maka situasi ini perlu diperbaiki dengan cepat

Jika hal tersebut telah jelas seperti yang telah dilaporkan, sistem pengamanan akun pengguna Apple adalah tidak memadai dimana mereka kurang memberi batasan atau sebaliknya memiliki celah terhadap serangan brute force, mereka harus memperbaiki hal ini secepatnya. Seperti yang telah ditunjukan orang-orang, ada beberapa tindakan dasar pencegahan layanan online yang harus disediakan tempatnya dan jika Apple tidak memilikinya, itu adalah kesalahan besar. Harus ada (dan hampir pasti) peninjauan ulang di internal Apple saat ini, dimana diperlukan untuk melihat semua potensi kerentanan di sistem sign-on Apple secara online dan melakukan perbaikan sesegera mungkin.

Dampak Apple akan sangat terbatas

Setiap kali sebuah cerita seperti ini menjadi “booming”, saya mendapat telepon dari wartawan menanyakan apakah ini akan (A) merusak perusahaan yang bersangkutan, (B) membuat orang lebih hati-hati dari layanan serupa di masa depan, (C) secara dramatis mengubah perilaku. Dan setiap waktu, saya menjelaskan kepada mereka bahwa tidak hanya untuk tiga pertanyaan tersebut, tapi hanya untuk satu alasan sederhana: orang memiliki ingatan yang sangat pendek ketika berkaitan dengan hal semacam ini. Tengok saja di data Google Trends untuk istilah pencarian “privacy”:

Apa yang anda lihat adalah statistik ketertarikan pada suatu topik yang sebenarnya mengalami penurunan dari waktu ke waktu, meskipun ada lonjakan ketertarikan secara periodik, biasanya dipicu oleh berita tertentu dalam satu minggu tersebut. Menariknya, tidak ada lonjakan pada bulan ini walaupun dibandingkan dengan kata “hack” dari Trends Data yang melonjak sangat besar sesuai hasil dari berita dunia. Dengan kata lain, keseluruhan perhatian tentang privasi yang diukur melalui gambaran data ini adalah tetap rendah (faktanya mengalami penurunan juga) dan meskipun ada lonjakan trend ketertarikan terhadap privasi, hal ini tidaklah bertahan terlalu lama. Berita ini mungkin akan akan reda seperti yang sebelumnya, dan akan ada sedikit atau atau tidak berdampak lama pada Apple.

Apa yang pasti adalah jika anda sedang mencari sesuatu yang dapat membuat pengumuman Apple berjalan pincang pada minggu mendatang, masalah keamanan ini akan menjadi serangan yang bagus. Jika dapat dibayangkan, Apple akan dihantam pada bagian yang dianggap sebagai bagian paling lemah (layanan cloud) di depan apa yang mungkin menjadi serangkaian pengumuman mengenai data yang sangat sensitif (kesehatan, rumah dan keuangan). Tapi saya menduga minggu depan masalah ini akan dilupakan, masyarakat memiliki ingatan yang sangat pendek ketika berhubungan dengan hal semacam ini.

Serangan privasi sangat ditargetkan

Salah satu alasan mengapa serangan ini cenderung reda begitu cepat adalah mereka mempengaruhi begitu sedikit orang. Serangan ini khusus, seperti kebanyakan dari mereka, sangat ditargetkan – The Guardian melaporkan hanya sekitar selusin selebriti yang terkena dampak dan total sekitar 400 foto dan video bocor sejauh ini. Ruang lingkup keseluruhan peretasan mungkin telah mempengaruhi “lebih dari 100 orang” dan data pribadi mereka. Hal itu hanya sebagian kecil dari penduduk secara keseluruhan, dan apa yang menjadi kesamaan semua orang ini adalah mereka terkenal.

Semua dari serangan ini memerlukan 3 hal untuk menjadi suatu ancaman yaitu: motif, tujuan dan kesempatan. Dan tidak seperti beberapa peretasan di bidang keuangan yang berdampak pada target dan orang lain di bulan terakhir, tiga hal sederhana tersebut tidak dapat diterapkan pada sebagian besar anggota masyarakat. Ada sedikit motif bagi hacker untuk mengakses foto atau video pribadi saya, karena nilai dari koleksi foto anak-anak saya adalah tidak ada diluar lingkungan keluarga. Penyerangan ini mempertimbangkan waktu dan hal ini tidak sepadan dengan tujuan yang diinginkan jika tidak dapat ditukar dengan uang. Selain itu hanya ada kesempatan kecil karena jenis data pribadi yang diperlukan untuk menjalankan teknik “social engineering” kepada seseorang yang tidaklah terkenal adalah sesuatu yang terlalu sulit.

Walaupun foto-foto selebriti Hollywood dibuat untuk berita yang besar, banyak orang dengan mudah menghapusnya semenjak mereka tidak pernah terkena dampaknya. Kasus peretasan di bidang keuangan, di lain hal, memiliki dampak yang lebih luas dan kemungkinan orang-orang biasa dirugikan sangatlah besar. Tapi hal tersebut tidak berlaku pada beberapa orang yang memang menjadi target, sehingga hanya merupakan bentuk peretasan terbatas.

Perbedaan antara serangan data pribadi yang ceroboh dengan yang disengaja

Hal lain yang perlu selalu diingat dalam pikiran adalah terdapat perbedaan yang sangat penting antara informasi pribadi yang diperoleh pihak ketiga melalui upaya keras, dan informasi yang secara aktif diberikan kepada pihak ketiga melalui penyedia lain. Tulisan saya sebelumnya tentang bagaimana model bisnis menciptakan keselarasan antara pengguna dengan pihak yang mengganti tagihan atau tekanan diantara mereka, dan tujuan dari hal tersebut adalah untuk keamanan. Apa yang paling merugikan dari beberapa cerita ini adalah ketika mereka mulai menciptakan contoh pelanggaran dalam pikiran orang-orang dan sepertinya lebih banyak terjadi ketika sebuah model bisnis perusahaan lebih bergantung kepada penyediaan berbagi data personal daripada sebuah perusahaan yang melakukan apa saja yang dapat melindungi data pengguna dari pihak ketiga.

Apa yang tidak dipermasalahkan Apple disini adalah berhati-hati mendorong batasan pada pemberian informasi personal kepada pihak ketiga, dan faktanya Apple pada minggu kemarin mengklarifikasi prosedur pedoman developer tentang HealthKit, HomeKit, Extension dan fitur lain dalam iOS 8 yang berpotensi pada serangan dan perusakan data pribadi. Satu dari beberapa hal yang paling mengena ketika saya melihat sesi perorangan WWDC adalah betapa hati-hatinya Apple dalam memikirkan beberapa dampak privasi dari HealtKit. Salah satu penanda yang merepresentasikannya: aplikasi dapat mengecek apakah mereka memiliki ijin penulisan (write permission) pada data HealtKit, bukan pada apakah mereka memiliki ijin pembacaan (read permission), karena fakta sebenarnya pengguna menolak ijin pembacaan aplikasi ke data tingkat kadar gula darah yang menunjukan indikasi mereka menyimpan informasi dan keterangan bahwa mereka menderita diabetes. Hal inilah salah satu detail perhatian yang sangat kritis bagi Apple untuk mengumpulkan kepercayaan pengguna seputar fitur HealtKit, HomeKit dan apapun fitur solusi pembayaran yang akan diluncurkan minggu depan. Detail yang disampaikan minggu ini mengenai terbatasnya ruang yang dapat dilakukan oleh developer pada data Healthkit dan Homekit adalah ilustrasi lebih jauh betapa seriusnya Apple menggarap hal ini. Saya tidak tahu apakah timing waktunya memang kebetulan. Jika iPhone tidak diluncurkan minggu depan, saya berpendapat mungkin hal tersebut telah berada di level yang lebih tinggi, namun saya menebaknya sebagai waktu yang kebetulan.

Baik Apple dan Microsoft telah mengambil keuntungan dari fokus Google pada periklanan dan menghantamnya dari sisi pelanggaran privasi. Kampanye Microsoft adalah contoh yang baik dari starategi ini. Dan hal ini bisa bekerja karena mengingatkan pengguna pada tekanan yang menempel yang ada antara kebutuhan pengguna dan iklan. Apple dan Microsoft telah menggarisbawahi komitmen mereka untuk menjaga data pengguna tetap dirahasiakan, sesuai dengan apa yang yang sampaikan pada artikel model bisnis saya yang lalu. Ketika kasus iCloud ini menganggu Apple selama beberapa hari, adalah kategori fundamental yang berbeda jika membandingkan dengan kasus umum tentang invasi privasi yang dilakukan oleh Facebook dan Google, karena kasus tersebut merupakan perubahan disengaja batas antara apa yang merupakan bagian pribadi dan mana yang tidak. Saat Apple bertanggung jawab karena memang disebabkan oleh kurangnya pencegahan keamanan yang mengijinkan terjadinya aksi peretasan iCloud, adalah sesuatu yang dapat dipastikan bahwa bukan merupakan kebocoran data yang disengaja kepada pihak ketiga.

Pengguna selalu menjadi pihak yang lemah dari sisi keamanan

Terakhir, kita sebagai pengguna akhir selalu menjadi pihak yang lemah dari sisi keamanan. Hal ini bukan untuk membebaskan perusahaan teknologi sebagai pihak yang dipersalahkan. Pada faktanya, ini merupakan suatu kunci tantangan bagaimana cara mereka mengatasinya, dimana disaat yang sama menyeimbangkan antara menghilangkan rintangan bagi keamanan yang baik dan mengatur proteksi yang kuat bagi penggunanya. Saya memiliki topik diskusi tentang hal ini di Twitter pada beberapa hari lalu, dan beberapa topik yang muncul adalah:

  • Sebagian besar pengguna akan selalu mencari jalan yang paling aman ketika telah berhubungan dengan keamanan. Ini sederhananya berarti, sesering mungkin menggunakan kembali password dan mungkin sedikit enggan namun menyadari pentingnya menggunakan dua proses autentifikasi yang mana dapat memperkuat keamanan.
  • TouchID dan bentuk lain dari autentifikasi dapat menjadi semakin bermanfaat, namun hanya akan berjalan selama kode PIN dan password digunakan sebagai alternatif dan selama mereka menggunakannya hanya untuk keamanan dalam perangkat, meninggalkan web secara keseluruhan, dan mengembalikan perangkat yang tidak aktif ke model username-password saat ini.
  • Dua faktor autentifikasi dimana mengotomatiskan dengan satu faktor, contohnya dengan menggunakan sensor jari atau scanner iris mata pada perangkat untuk mengautentifikasi di dalam web atau untuk pembayaran mobile, bisa menjadi sebuah langkah maju yang signifikan. Dua bentuk autentifikasi digunakan kembali karena disebabkan adanya kecanggungan seperti: menunggu sebuah SMS atau membuka sebuah aplikasi, memasukan secara manual sebuah kode dan hal lain yang membuatnya lebih mudah dikonfirmasi yang nantinya akan lebih meningkatkan pengadopsian.

Tidak ada solusi mudah dalam bidang keamanan yang mana memiliki karakteristik tetap yang mengorbankan salah satu diantara kemudahan penggunaan atau pencegahan terhadap pembobolan. Namun keamanan yang lebih baik dan perlindungan privasi adalah fokus esensial bagi semua perusahaan teknologi dan kita dapat melakukan hal yang lebih baik dibandingkan dengan kondisi kita saat ini.

 

Print Friendly, PDF & Email