Published On: Wed, Jun 8th, 2016

Mengabaikan Keamanan Paling Dasar dalam Internet of Things Bisa Membuat Enterprise Berada di Ujung Tanduk

Internet of Things (IoT) masih menjadi topik hangat yang diperbincangkan oleh kalangan enterprise. Padahal implementasinya masih belum terlalu banyak menyentuh enterprise, dan masih sebatas menawarkan berbagai kemudahan untuk end-user. Meskipun begitu, ada keuntungan yang dapat diraih enterprise dengan menjadikan IoT sebagai bagian dari strategi bisnis. Akan tetapi, terkadang kita lupa bahwa IoT tak hanya terdiri dari berbagai gadget seperti smartphone, smart watch, dsb., masih banyak “Things” lain seperti bermacam-macam sensor, perkakas, sistem kontrol, dan bahkan mainan yang juga telah tersedia. Banyaknya perangkat-perangkat tersebut secara nyata meningkatkan tantangan dalam IoT dari segi keamanan.

Kita dapat mengambil contoh dari mainan boneka terkoneksi internet yang mampu memahami dan dapat menjawab berbagai pertanyaan yang dilontarkan anak-anak[1]. Sebuah riset menemukan celah keamanan dari boneka tersebut. Ancaman timbul akibat sebuah bug di dalam platrofm web dari boneka tersebut yang memungkinkan penjahat siber untuk mengeksploitasi celah tersebut dan mencuri berbagai database dari anak yang menggunakan boneka tersebut. Belum lagi dengan kemungkinan boneka tersebut menjadi sebuah kamera pengintai yang dapat mengawasi anak-anak dan bisa saja disalahgunakan oleh para penjahat. Masih banyak contoh lain di luar mainan yang terjadi di luar sana[2].

Berbagai contoh tersebut mungkin timbul akibat kita terlalu fokus pada pengembangan perangkat terkoneksi yang juga memiliki tantangan keamanan baru yang tentu harus  diatasi. Hal tersebut memang terdengar baru dan mengasyikan. Namun pada kenyataannya adalah dengan semakin banyak enterprise yang ingin menggabungkan “Things” ke dalam model bisnisnya – terlepas untuk efisiensi operasional maupun untuk membuka pasar baru – tentu penting bagi kita untuk kembali ke dasar dan memastikan bahwa segalanya telah terlindungi dengan baik.

Merupakan hal yang sederhana untuk mengenkripsi trafik. Internet bahkan telah belajar lebih dari 15 tahun bagaimana pentingnya manajemen key & certificate. Akan tetapi masih banyak jutaan perangkat yang menggunakan certificate yang telah digunakan perangkat lainnya dan bahkan menggunakan sharing key[3]. Belum lagi dengan aplikasi web seperti e-commerce yang juga perlu diamankan.

Semakin banyak “Things” yang digunakan, dan sebagian besar tidak memiliki celah keamanan. Akan tetapi ini bukan hanya mengenai “Things” saja, namun juga aplikasi dan sistem yang mana kesemuanya terus berkomunikasi baik untuk pendaftaran, aktivasi, mendapatkan konten baru, berbagi data, atau untuk dikelola.

Bahkan apabila aplikasi menyediakan fungsi backend – yang menurut Anda tidak dapat diakses secara luas, padahal dapat diakses secara luas karena terdapat di internet. Hal ini tentu mengharuskan tiap enterprise untuk melakukan pengujian keamanan pada setiap aplikasi yang akan diakses oleh “Things” yang dibuat, baik aplikasi yang diterapkan di cloud atau di dalam data center.

Internet of Things adalah Bisnis Aplikasi. Dan itu berarti bahwa keamanan internet memiliki tingkat kepentingan yang sama seperti mengamankan ekosistem aplikasi yang mendukungnya. Sehingga pada akhirnya, IoT dapat dimanfaatkan oleh enterprise demi mencapai tujuan bisnis mereka, serta dapat memberikan layanan yang prima kepada pelanggan.

***

 

f5-andre-iswantoTentang Penulis

Andre Iswanto adalah Senior Field System Engineer di F5 Networks Indonesia. Ia bertangung jawab dalam menangani penjualan, membuat perencanaan strategis untuk materi teknis maupun non-teknis, memberikan solusi arsitektur dan keamanan untuk keseluruhan sistem IT, serta memfasilitasi pelatihan dan kerja sama dengan mitra-mitra F5.

 

 

 

[1] https://community.rapid7.com/community/infosec/blog/2016/02/02/security-vulnerabilities-within-fisher-price-smart-toy-hereo-gps-platform

[2] http://sdtimes.com/princeton-tries-to-find-out-are-your-iot-devices-safe/

[3] http://blog.sec-consult.com/2015/11/house-of-keys-industry-wide-https.html