Saya masih lanjutkan sharing tentang pertemuan akhir tahun ID-CERT. Setelah presentasi pak Budi Rahardjo tentang Tren Keamanan 2018, kemudian pertemuan dilanjutkan dengan sesi Diskusi.
Keamanan IoT
Topik pertama adalah sharing dari audience tentang RPM (Rancangan Peraturan Menteri) tentang digital certificate. Peserta tersebut menanyakan standar apa yang bisa diterapkan untuk mengamankan perangkat IoT. Apakah mengacu pada common criteria, SNI atau yang lain?
Common criteria menurut Pak Budi di Indonesia cukup berat untuk diaplikasikan. Sementara untuk nanam certificate pada perangkat IoT, ada beberapa perangkat IoT yang cukup kuat secara hardware untuk ditanam digital certificate. Kemudian dibahas tentang contoh kasus tentang lampu IoT di Phillips yang dihack. Saran pak Budi peru dibuat aturan yang bisa mengurangi kemungkinan penyerang untuk mengeksploitasi perangkat IoT. Diskusi kemudian masih dilanjutkan tentang Common Criteria, sudah sejalan dengan SNI. Kemudian dibahas juga untuk sektor perbankan minta standar EL4.
Diskusi kemudian dilanjutkan tentang penggunaan IoT di Industri. Contohnya di sektor listrik dan Migas. Di Industri timbul permasalahan tentang penggunaan frekuensi yang belum Fix. Contoh frekuensi 923-925 MHz ternyata masih digunakan oleh perangkat SRD (Short Range Device) atau low power device. Spesifikasi teknis perangkat masih harus dibahas lebih jauh. Perlu dilihat juga standar yang sudah diterapkan di luar negeri. Kemudian dibahas juga tentang penggunaan frekuesni 433 tidak boleh, karena digunakan untuk sistem scada.
Cyberwar
Pertanyaan dari audience ttg cyberwar, dan wacana BSSN seperti apa? kemudian tentang lelang internet filtering, yg menang kemungkinan PT.INTI menggunakan DPI. Jawaban pak Budi, Cyberwar sangat mungkin terjadi, tapi belum sekarang. Kita harus bersiap. Yang harus siap pertama adalah Kemhan Kementerian Pertahanan. Apakah Cyberwar ada? Sudah ada yang membikin dokumennya, contohnya Rusia. Dokumen tersebut berisi tentang definisi cyberwar, batas-batasnya, kedaulatannya, serangannya dll.
BSSN
Pentingkah adanya BSSN? Menurut pak Budi Penting, tapi kita harus melihat bentuknya. Misalnya apakah berbentuk Badan seperti Bekraf, atau seperti Homeland Security di US. Kemudian bagaimana garis koordinasinya. Menurut Pak Budi baiknya seperti di Amerika (Homeland Security). Namun di Indonesia ada tarik-tarikan kepentingan antara berbagai institusi. Menurut Pak Budi bagusnya BSSN menjadi unit sendiri terpisah.
Internet Filtering vs DPI
Kemudian tentang Internet Filtering menggunakan DPI. Pak Budi bercerita bahwa Google juga melakukan hal yang sama. Ketika publik US mempertanyakan hal tersebut, Google membela diri bahwa yang melakukan packet filtering adalah mesin, dan teknologi itu digunakan untuk meningkatkan layanan terhadap pelanggan. Kemudian di Amerika, ternyata memiliki definisi penyadapan yang berbeda. Semua data ditangkap, tapi pada saat ditangkap, belum bisa disebut sebagai penyadapan. Kalau data tersebut dibuka baru bisa disebut sebagai penyadapan . Menurut Pak Budi cara tersebut tidak boleh. Karena bisa disalahgunakan, jangan berikan power yang berlebihan kepada sebuah institusi, harus balance.
Tanggapan dr pak Sarwono, siapa yang bilang DPI itu penyadapan dan tidak sesuai dengan hukum? Tidak ada. Penyadapan dibolehkan tergantung itikadnya. Tanggapan peserta bahwa belum tentu datanya bisa dibuka, karena sebagian besar datanya sudah dienkripsi. Sharing Pak Budi tentang kasus di Jepang. Ada polisi yang memantau web yang kampanye anti jepang, misalnya web dari Cina. Polisi Jepang tidak mengambil sikap menutup Web tersebut, malah memantau komunikasi yang terjadi pada web tersebut.
Masih ada 1 materi terakhir tentang outlook malware 2018. Insyaallah akan saya share besok.
Tentang kasus hacking pada lampu Phillips
tentang standar pengujian perangkat
https://blog.narmadi.com/pengujian-perangkat-telekomunikasi/