주메뉴바로가기본문바로가기
비즈한국 비즈한국

Perusahaan dengan Sertifikasi Keamanan Tertinggi Terus Mengalami Peretasan, Apakah Pemerintah Lepas Tangan?

Artikel ini diterjemahkan secara otomatis oleh AI. Mungkin terdapat perbedaan dengan artikel asli berbahasa Korea.  Read original in Korean →

[비즈한국] Menyusul rentetan insiden peretasan baru-baru ini yang menyebabkan kerugian meluas, pemerintah kini melakukan peninjauan menyeluruh terhadap sistem keamanan. Langkah-langkah yang tengah didorong meliputi kewenangan investigasi langsung oleh pemerintah tanpa menunggu laporan perusahaan, serta penerapan denda yang bersifat menghukum (punitive damages). Meski demikian, muncul kritik bahwa pemerintah sendiri juga perlu berbenah. Ada pandangan bahwa kekosongan dalam pengawasan pemerintah dan sistem koordinasi yang tidak memadai menjadi salah satu latar belakang di balik insiden peretasan ini.

Dalam lima tahun terakhir, kebocoran data pribadi sebanyak 38.000 kasus tercatat di lima instansi pemerintah saja, termasuk Kementerian Pertahanan, Kementerian Pertanahan, Infrastruktur dan Transportasi, serta Komisi Perlindungan Informasi Pribadi, yang menunjukkan bahwa pemerintah pun tidak luput dari kecelakaan kebocoran data. Itulah sebabnya semakin banyak pihak yang mendesak agar insiden peretasan dipandang sebagai krisis nasional, bukan sekadar risiko perusahaan, dan agar perombakan menyeluruh terhadap keamanan siber segera dimulai.

Pemerintah melakukan peninjauan menyeluruh terhadap sistem keamanan setelah serangkaian insiden peretasan. Ryu Je-myung, Wakil Menteri II Kementerian Sains dan TIK, mengumumkan hasil investigasi akhir insiden peretasan SK Telecom di Kompleks Pemerintah Seoul, Jongno-gu, Seoul, pada 4 Juli. Foto=Reporter Lim Jun-seon
Pemerintah melakukan peninjauan menyeluruh terhadap sistem keamanan setelah serangkaian insiden peretasan. Ryu Je-myung, Wakil Menteri II Kementerian Sains dan TIK, mengumumkan hasil investigasi akhir insiden peretasan SK Telecom017670 di Kompleks Pemerintah Seoul, Jongno-gu, Seoul, pada 4 Juli. Foto=Reporter Lim Jun-seon

Di mana Letak Kegagalan Respon Pemerintah?

Peran pemerintah dalam keamanan informasi terbagi menjadi dua pilar: manajemen preventif seperti "sistem sertifikasi keamanan" dan respons pasca-kejadian melalui "investigasi serta penjatuhan sanksi atas insiden pelanggaran". Kasus kebocoran data skala besar yang berulang setiap bulan sejak insiden peretasan SK Telecom pada April lalu, menunjukkan bahwa terdapat kelemahan baik dalam pencegahan maupun respons pasca-kejadian oleh pemerintah.

Perusahaan yang mengalami peretasan baru-baru ini seperti SK Telecom, Yes24053280, Lotte Card, dan KT030200 semuanya adalah perusahaan yang telah menerima sertifikasi keamanan tingkat tertinggi di Korea, yakni "ISMS-P (Sistem Manajemen Keamanan Informasi dan Perlindungan Informasi Pribadi)". Lotte Card, misalnya, memperoleh sertifikasi ini dari Lembaga Keamanan Keuangan hanya dua hari sebelum peretasan server terjadi. Perusahaan tersebut dianggap memiliki kapasitas untuk menanggapi ancaman siber secara efektif. Sebagian besar perusahaan dan lembaga di luar sektor keuangan menerima sertifikasi ISMS-P melalui Korea Internet & Security Agency (KISA).

Pandangan di industri menyatakan bahwa sertifikasi keamanan yang diperkenalkan pemerintah untuk menjamin keamanan jaringan informasi ini sebenarnya hanyalah sistem formalitas yang hanya memenuhi standar minimum. Seorang narasumber dari industri konsultan keamanan domestik yang melakukan peretasan simulasi dan pengujian penetrasi untuk perusahaan mengatakan, "ISMS-P hanyalah tolak ukur untuk memastikan apakah persyaratan keamanan mendasar telah dipenuhi pada titik waktu tertentu, bukan jaminan keamanan mutlak suatu sistem. Perusahaan harus terus mengelola dan mengoperasikannya untuk merespons ancaman baru."

Kim Young-shub, CEO KT, meminta maaf dalam pengarahan media terkait kerusakan akibat pembayaran mikro di Kantor Cabang KT Gwanghwamun, Jongno-gu, Seoul, pada tanggal 11. Foto=Reporter Lim Jun-seon
Kim Young-shub, CEO KT, meminta maaf dalam pengarahan media terkait kerusakan akibat pembayaran mikro di Kantor Cabang KT Gwanghwamun, Jongno-gu, Seoul, pada tanggal 11. Foto=Reporter Lim Jun-seon

Lubang dalam respons pasca-kejadian juga terlihat jelas. KT, yang sedang menangani kasus pembayaran mikro tanpa izin, melaporkan 6 indikasi pelanggaran server ke KISA pada tanggal 18 setelah memeriksa hasil audit keamanan yang dilakukan selama 4 bulan sebelumnya. Kementerian Sains dan TIK sebelumnya telah membentuk tim investigasi gabungan pemerintah-swasta setelah insiden peretasan SK Telecom untuk memeriksa situasi keamanan perusahaan telekomunikasi dan platform utama. Saat itu, pengumuman dari Kementerian Sains dan TIK adalah "tidak ditemukan hal yang mencurigakan".

Ryu Je-myung, Wakil Menteri II Kementerian Sains dan TIK, dalam pengarahan gabungan pada tanggal 19 menanggapi kontroversi pemeriksaan yang tidak memadai dengan menjelaskan, "Kami memastikan bahwa kode berbahaya yang ditemukan di SK Telecom tidak ditemukan di KT dan LG Uplus032640. Kami telah melakukan penyelidikan secara intensif, namun secara kondisi fisik dan situasi, tidak memungkinkan untuk melakukan pemeriksaan menyeluruh (terhadap status keamanan secara keseluruhan)."

Keterlambatan respons awal dan dugaan menutup-nutupi yang berulang juga menunjukkan betapa lemahnya respons pemerintah. Berdasarkan undang-undang saat ini, investigasi hanya dapat dilakukan jika perusahaan atau lembaga korban melapor secara sukarela. Keterbatasan lainnya adalah tindakan "rekomendasi" dari pemerintah pasca-kejadian tidak memiliki kekuatan hukum yang mengikat. Pemerintah telah merekomendasikan SK Telecom untuk menyiapkan rencana ganti rugi 100% jika terjadi kerusakan akibat peretasan dan memperluas cakupan pembebasan biaya penalti, namun perusahaan tidak mematuhinya.

Suasana konferensi pers permohonan maaf kepada pelanggan atas insiden peretasan siber yang berlangsung di Gedung Buyoung Taepyeong, Jung-gu, Seoul, pada tanggal 18. Foto=Reporter Lim Jun-seon
Suasana konferensi pers permohonan maaf kepada pelanggan atas insiden peretasan siber yang berlangsung di Gedung Buyoung Taepyeong, Jung-gu, Seoul, pada tanggal 18. Foto=Reporter Lim Jun-seon

“Perlu Penataan Ulang Sistem Sertifikasi dan Membangun Pusat Kendali”

Metode kejahatan yang diidentifikasi dalam kasus pembayaran mikro tanpa izin di KT, yaitu 'Femtocell' (stasiun pangkalan komunikasi seluler ultra-kecil), terungkap tidak termasuk dalam sistem manajemen keamanan informasi saat ini. Hal ini menyoroti perlunya penataan ulang sistem sertifikasi pra-kejadian.

Anggota Majelis Nasional dari Komite Sains, TIK, Penyiaran dan Komunikasi, Lee Hae-min, yang merupakan mantan pegawai Google, menekankan, "Muncul pertanyaan apakah sistem sertifikasi saat ini justru memberikan impunitas (pengampunan) kepada perusahaan. Sistem sertifikasi keamanan harus dirombak total agar sesuai dengan realitas, dan setidaknya untuk insiden peretasan, kita harus mempertimbangkan sistem denda ganti rugi yang bersifat menghukum untuk memastikan tanggung jawab perusahaan."

Narasumber dari industri keamanan tersebut menambahkan, "Memang sulit untuk menerapkan standar seperti sertifikasi ISMS saat ini secara universal, tetapi perlu diperkuat agar sesuai dengan ancaman nyata sehingga kemampuan pertahanan aktual perusahaan dapat dinilai. Setelah mendapatkan sertifikasi, perusahaan harus diwajibkan untuk menyerahkan hasil pemeriksaan kerentanan secara berkala atau menjamin tingkat tenaga kerja dan anggaran keamanan tertentu guna mendorong manajemen keamanan yang berkelanjutan."

Pemerintah segera mengambil langkah untuk menyiapkan tindakan pencegahan. Pemerintah mendorong perluasan wewenang investigasi, seperti revisi UU Jaringan Informasi dan Komunikasi agar pemerintah dapat memulai investigasi langsung hanya berdasarkan indikasi peretasan, serta memperketat kewajiban keamanan bagi perusahaan atau lembaga yang memegang data pribadi dalam jumlah besar. Kebijakannya adalah menerapkan denda bersifat menghukum jika kewajiban keamanan dilanggar guna meningkatkan kemampuan respons terhadap insiden. RUU yang sedang ditinjau mencakup pembentukan "Komite Peninjauan Investigasi Insiden Pelanggaran" agar investigasi langsung dapat dilakukan melalui tinjauan pakar untuk masalah-masalah yang bersifat serius.

Baik pakar maupun Majelis Nasional menekankan tanggung jawab dan peran pemerintah. Kesadaran bahwa serangkaian insiden keamanan bukan sekadar masalah perusahaan, melainkan tugas kebijakan di tingkat negara, semakin menguat.

Kim Young-shub, CEO KT, memberikan pernyataan dalam dengar pendapat terkait insiden peretasan di Komite Sains, TIK, Penyiaran dan Komunikasi Majelis Nasional, tanggal 24. Foto=Reporter Park Eun-sook
Kim Young-shub, CEO KT, memberikan pernyataan dalam dengar pendapat terkait insiden peretasan di Komite Sains, TIK, Penyiaran dan Komunikasi Majelis Nasional, tanggal 24. Foto=Reporter Park Eun-sook

Secara khusus, muncul kritik bahwa paradigma keamanan baru diperlukan mengingat melemahnya prinsip 'pemisahan jaringan' (konsep di mana semua PC kerja terputus dari internet) di lingkungan keamanan Korea.

Kim Seung-joo, profesor di Sekolah Pascasarjana Keamanan Informasi Universitas Korea, yang hadir sebagai saksi dalam dengar pendapat di Majelis Nasional pada tanggal 24, menjelaskan, "Perubahan dimulai sejak masa COVID-19, dan setelah kebijakan AI diperkenalkan, konektivitas meluas. Sistem jaringan internal yang sebelumnya benar-benar terputus ibarat 'ruang steril', tetapi kini runtuh tanpa daya karena (serangan siber) masuk seketika." Prof. Kim mengatakan, "Keamanan siber harus diperkuat dengan dasar sistem deteksi dini, pertahanan preventif terhadap kerentanan, serta sistem untuk melumpuhkan dan memblokir jika terjadi kerusakan."

Perlunya respons komprehensif melalui pusat kendali (control tower) juga dibahas untuk menghindari respons yang terkotak-kotak antar kementerian. Kasus kebocoran informasi perusahaan keuangan domestik dikelola oleh Lembaga Keamanan Keuangan berdasarkan pemberitahuan Komisi Jasa Keuangan, sementara insiden di sektor industri lain ditangani oleh KISA di bawah Kementerian Sains dan TIK berdasarkan UU Jaringan Informasi dan Komunikasi serta UU Industri Perlindungan Informasi. Mengingat kerugian peretasan muncul tanpa memandang bidang, diperlukan sistem pengawasan dan manajemen yang terpadu.

Jang Hang-bae, profesor Departemen Keamanan Industri Universitas Chung-Ang, menjelaskan, "Sistem formal di mana Lembaga Keamanan Keuangan, KISA, dan NIS menangani bidang masing-masing dengan Kantor Keamanan Nasional sebagai pengawas memang sudah ada. Namun, faktanya respons menjadi lemah karena keterbatasan skala organisasi dan mobilitas, serta pembagian dalam bentuk dewan koordinasi. Jika keputusan dapat diambil melalui pusat kendali yang nyata di bidang keamanan—seperti fungsi Kantor Koordinasi Kebijakan Pemerintah—maka sistem tersebut akan dapat berfungsi dengan baik."

Artikel ini diterjemahkan secara otomatis oleh AI. Mungkin terdapat perbedaan dengan artikel asli berbahasa Korea.
강은경 기자

기술과 산업을 취재하고 씁니다.

gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지