PANDEMI virus korona atau covid-19 telah membuat orang kerap menggunakan aplikasi video conference untuk beragam kebutuhan komunikasi.

Hanya saja, kemajuan teknologi itu juga dibayangi sejumlah ancaman. Berdasarkan keterangan tertulis yang dikeluarkan Badan Siber dan Sandi Negara (BSSN), sejak Januari 2020, beberapa sumber melaporkan adanya peningkatan aktivitas serangan siber yang dilakukan oleh aktor jahat dengan memanfaatkan situasi wabah virus covid-19.

Baca juga: Tok! Menkes Setujui PSBB di Bandung, Cimahi, Sumedang

Taktik utama para aktor jahat:

1. Memanfaatkan konten bertema covid-19 sebagai umpan

Aktor jahat menggunakan tema covid-19 untuk membuat umpan phising kemudian mencuri informasi dan kredensial milik korban. Beberapa jenis malware sudah teridentifikasi melakukan hal tersebut seperti AZORult, Cerberus, Lokibot, dan TrickBot.

Adapun metode distribusinya menggunakan tautan yang dikirimkan melalui platform yang ada seperti e-mail, pesan instan, SMS, serta alamat web palsu.

2. Menyamar sebagai otoritas dan/atau sumber resmi

Dengan meningkatnya kekhawatiran terhadap covid-19, dimungkinkan munculnya aktor jahat yang menyamar sebagai pejabat dari lembaga pemerintah, terutama instansi yang bertugas dalam Gugus Tugas Penanggulangan covid-19 untuk meminta informasi tertentu.

Taktik ini terutama memanfaatkan informasi resmi yang dikeluarkan oleh instansi terkait seperti infografis, press release, grafik, yang digunakan sebagai umpan phising. Organisasi Kesehatan Dunia (WHO) dilaporkan telah ditargetkan oleh kelompok APT yang membuat website palsu untuk mengelabui pegawai internal WHO dalam rangka mencuri data

Berikut pedoman keamanan informasi dalam penyelenggaraan pertemuan jarak jauh atau video conference seperti keterangan dari BSSN.

I. Penyiapan Sarana Video Conference.

1. Aplikasi Video Conference

a. Aplikasi resmi

Gunakan aplikasi video conference yang resmi/berlangganan dan merupakan versi terbaru dan diunduh dari sumber resmi.

b. Keberadaan server

Disarankan server aplikasi berada pada organisasi pengguna dan dikelola secara mandiri (on-premise) atau menggunakan aplikasi dengan pengelolaan server berada di dalam wilayah Indonesia.

c. Akses VPN

Jika server aplikasi berada di dalam organisasi sebaiknya dikonfigurasi untuk jaringan local dan setiap partisipan yang ingin bergabung wajib memiliki akses VPN.

d. Fitur enkripsi

Gunakan aplikasi yang salah satunya memiliki fitur enkripsi, end-to-end encryption, private chat, link communication, atau sejenisnya dan dapat diaktifkan pada saat telekonferensi berlangsung.

e. Fitur pembatasan

Pilih aplikasi yang memiliki fitur ‘pembatasan’ pada saat seluruh partisipan telah bergabung di conference, untuk menghindari pengguna lain masuk tanpa ada konfirmasi terlebih dahulu.

f. Password diganti

Agar dipastikan ID, PIN, atau Password selalu diperbarui dan diganti setiap pelaksanaan meeting.

g. Akun resmi

Pastikan akun yang digunakan adalah akun resmi dinas atau akun milik pribadi, bukan milik orang lain.

h. Profile name

Pastikan Profile Name sesuai dengan ketentuan yang disepakati sehingga mempermudah untuk melakukan kontrol terhadap partisipan yang tergabung.

i. Akses kamera

Pastikan aplikasi video conference meminta izin ketika mengaktifkan kamera atau mikrofon, dan pastikan tidak ada permintaan akses kamera atau mikrofon yang tersembunyi.

2. Perangkat Komunikasi

A. Sisi Host:

a. Gunakan kata kunci yang kuat (minimal 8 karakter kombinasi huruf besar kecil dan karakter khusus) untuk password meeting.

b. Identitas dan password meeting didistribusikan secara aman kepada partisipan, tidak secara publik.

c. Jika ada, aktifkan fitur ‘pembatasan’ pada saat seluruh partisipan telah bergabung di conference, untuk menghindari pengguna lain masuk tanpa ada konfirmasi terlebih dahulu.

d. Pastikan identitas pertemuan dan password meeting selalu diperbarui dan diganti setiap pelaksanaan meeting.

e. Lakukan monitoring dan verifikasi terhadap setiap partisipan yang telah dan akan bergabung pada Conference.

B. Sisi Client:

a. Gunakan perangkat milik dinas atau milik pribadi untuk kegiatan video conference

b. Pastikan sistem operasi resmi versi terbaru sudah terinstal di perangkat yang digunakan.

c. Pastikan perangkat yang digunakan sudah terpasang antivirus/antimalware dan diperbaharui secara berkala.

d. Pastikan akun yang digunakan adalah akun resmi dinas atau akun milik pribadi, bukan milik orang lain.

e. Pastikan Profile Name sesuai dengan ketentuan yang disepakati sehingga mempermudah untuk melakukan kontrol terhadap partisipan yang tergabung.

f. Pastikan untuk berkoordinasi dengan Host apakah terdapat beberapa settings/pengaturan dan konfigurasi yang harus dilakukan terhadap sistem operasi dan aplikasi video conference.

g. Laksanakan kegiatan video conference di tempat atau ruangan yang situasinya kondusif.

h. Tidak mengunggah tangkapan layar telekonferensi yang menampilkan meeting ID, nama peserta atau informasi yang dianggap terbatas lainnya.

C. Lingkungan Kerja

a. Pastikan lingkungan kerja yang digunakan untuk melakukan telekonferensi tidak terdapat hal-hal yang sensitif atau terbatas seperti, catatan-catatan yang ditulis pada papan tulis yang menjadi background kita, dokumen-dokumen berklasifikasi yang masuk ke dalam jangkauan kamera, atau ruangan-ruangan lain yang juga masuk ke dalam jangkauan kamera.

b. Jika rapat tersebut merupakan rapat terbatas, pastikan tidak ada orang lain yang tidak berkepentingan masuk ke ruangan atau melihat secara langsung tampilan layar.

D. Jaringan

a. Pastikan untuk menggunakan jaringan internet pribadi atau jaringan internet yang tepercaya (trusted).

b. Tidak menggunakan jaringan internet untuk publik atau yang terpasang di tempat-tempat umum, seperti kafe, mal, atau restoran.

c. Sangat disarankan untuk menggunakan jaringan yang sudah dilengkapi dengan perangkat atau aplikasi Virtual Private Network (VPN) resmi/berlangganan.

d. Pastikan ketersediaan bandwidth yang tercukupi selama conference berlangsung.

e. Siapkan rencana komunikasi cadangan jika terjadi permasalahan, misalnya meminta partisipan untuk tetap terhubung melalui tools lainnya yang disepakati.

II. Informasi yang dapat disampaikan

1. Sisi Teknis

a. Umumnya aplikasi merupakan aplikasi berbasis cloud di mana server dikelola oleh perusahaan pengelola aplikasi atau pihak ketiga, pemanfaatan aplikasi untuk telekonferensi disarankan untuk koordinasi yang sifatnya umum dan bukan untuk koordinasi informasi yang sifatnya berklasifikasi.

b. Hapus riwayat percakapan yang dinilai berklasifikasi dan pastikan tidak tersimpan dalam database aplikasi.

c. Gunakan mekanisme enkripsi atau kata kunci untuk data atau rekaman rapat telekonferesi yang akan disimpan baik pada media penyimpanan berbasis cloud maupun pada perangkat masing-masing.

2. Sisi Substansi

a. Pastikan kebenaran informasi yang akan disampaikan dan perhatikan kapasitas partisipan sebagai pemilik dan pengirim informasi

b. Untuk informasi yang sifatnya terbatas dan memang perlu diketahui oleh anggota organisasi/unit kerja yang tergabung dalam telekonferensi, pastikan partisipan menyampaikan kata ‘TERBATAS’ sebelum menyampaikan informasi tersebut.

c. Semua partisipan video conference harus bertanggung jawab terhadap informasi yang diterima atau disampaikan melalui sarana telekonferensi.

d. Selalu memerhatikan peraturan perundang-undangan yang berkaitan dengan klasifikasi informasi dan peraturan perundang-undangan tentang informasi dan transaksi elektronik.

III. Pengamanan Video Conference

1. Prioritaskan keamanan jaringan

End point dan platform video conference sering membutuhkankan Session Boarder Controller (SBC) untuk mengatur traffic, termasuk mencari dan memblok koneksi mencurigakan. Pastikan aplikasi yang digunakan memiliki fitur SBC, selanjutnya lakukan pengaturan jaringan perlu di-review secara teratur untuk memastikan selalu up to date.

2. Pentingnya penggunaan enkripsi

Bersama dengan keamanan jaringan, enkripsi merupakan hal yang mutlak bagi video conference. Algoritma standar untuk video conference saat ini adalah AES 128 bit. Pastikan aplikasi yang digunakan minimal telah memiliki fitur enkripsi tersebut.

3. Lindungi diri dengan “Permission”

Tidak semua kebocoran data terjadi karena hacker yang masuk kedalam sistem. Masalah keamanan dapat terjadi jika ada orang yang tidak berkepentingan dengan secara tidak sengaja diberi akses komunikasi yang seharusnya tidak dilihat misalnya karena tidak mendapatkan pengaturan yang benar. Oleh karenanya pastikan setiap peserta rapat yang diundang mendapatkan permission yang dikirim melalui jalur yang aman.

4. Buat dan patuhi kebijakan untuk video conference

Jaringan yang aman dan enkripsi tidak akan berdampak besar pada keamanan video conference jika SDM yang menggunakan tidak memahami budaya keamanan. Kesalahan manusia (human error) merupakan penyebab terbesar terjadinya kebocoran data. Untuk itu perlu dibuat kebijakan/policy yang di antaranya mengatur bagaimana menggunakan sistem, bagaimana menggunakan perangkat mobile dan remote secara aman, hingga informasi apa saja yang dapat disampaikan pada saat teleworking

IV. Best Practice untuk Video Conference yang Efektif

1. Tips sebelum memulai pertemuan.

a. Ketika menggunakan peralatan atau lokasi yang tidak biasa, lakukan pengujian koneksi sebelum rapat

b. Jika mungkin, buat koneksi video conference beberapa menit sebelum mulai rapat.

c. Pastikan setiap peserta rapat telah mendapatkan permission untuk bergabung pada video conference.

d. Buat rencana komunikasi cadangan jika terjadi permasalahan koneksi, misalnya meminta peserta/partisipan untuk tetap terhubung melalui laptop, menggunakan mobile atau speakerphone, dan/atau bekolaborasi melalui tool kolaborasi online.

e. Pastikan persyaratan keamanan telah terpenuhi.

2. Selama pertemuan.

a. Minta semua peserta membagikan tampilan video dan audio.

b. Minta peserta mematikan mikropon jika lokasinya memiliki noise atau jika tidak sedang berbicara.

c. Diperlukan fasilitator rapat yang akan menyampaikan agenda rapat dan mengatur jalannya rapat.

d. Pastikan semua peserta memperoleh akses yang sama terhadao konten yang dibagikan selama video conference dan menggunakan tools online jika mungkin.

e. Batasi penggunaan berbagi layar, pastikan fitur berbagi layer dapat dikontrol oleh admin. Hal ini bertujuan untuk menghindari adanya peserta rapat yang berbagi layar yang tidak dibutuhkan.(X-15)