Ancaman Iran Paksa Raksasa Teknologi Hadapi Titik Lemah yang Tersembunyi

Hal itu penting karena dunia sekarang bergantung pada segelintir platform digital swasta. Ancaman yang ditujukan pada "perusahaan teknologi" tidak berhenti di kantor pusat mereka di California. Ancaman itu menyebar melalui pusat data cloud, jaringan telekomunikasi, vendor luar, jaringan pengiriman konten, toko aplikasi, dan sistem identitas. Saat pengguna biasa menyadarinya, tekanan itu mungkin sudah bergerak melalui beberapa lapisan infrastruktur.

Ada alasan kuat untuk menganggap serius risiko ini. Lembaga pemerintah AS telah berulang kali memperingatkan bahwa pelaku siber yang terkait dengan negara Iran tetap aktif dan mampu. Cybersecurity and Infrastructure Security Agency (CISA), FBI, dan NSA selama bertahun-tahun telah mengeluarkan peringatan. Mereka menjelaskan kelompok-kelompok Iran menggunakan phishing, serangan tebak kata sandi, dan eksploitasi celah keamanan software yang sudah diketahui. Mereka juga melancarkan serangan yang mengganggu jaringan publik dan swasta. Pada 2023 dan 2024, pejabat AS juga terus memperingatkan bahwa pelaku siber negara asing, termasuk yang terkait Iran, sedang mengintai infrastruktur kritis dan sistem yang terhubung ke internet.

Iran punya rekam jejak dalam bidang ini. Pejabat AS dan perusahaan keamanan siber swasta telah mengaitkan pelaku yang terhubung dengan Iran dengan serangan DDoS (distributed denial-of-service) terhadap lembaga keuangan AS di awal 2010-an. Mereka juga dihubungkan dengan aktivitas merusak terhadap perusahaan di Teluk, serta spionase berulang yang menargetkan jaringan pemerintah, telekomunikasi, dirgantara, dan teknologi. Perusahaan keamanan besar seperti Microsoft, Mandiant, dan Check Point telah mendokumentasikan kelompok-kelompok Iran yang tidak hanya fokus pada spionase klasik. Mereka juga fokus pada operasi pengaruh dan serangan yang memanfaatkan momen ketegangan politik. Polanya sudah biasa: saat tensi politik naik, operasi siber sering kali menjadi salah satu alat termurah dan paling mudah untuk disangkal.

Sejarah itu mengubah makna ancaman terhadap perusahaan teknologi AS. Ini tidak berarti satu serangan besar yang spektakuler pasti akan terjadi. Ini berarti risikonya menyebar di banyak celah yang bisa diserang. Perusahaan teknologi besar adalah target yang menarik karena mereka berada di tengah begitu banyak aktivitas ekonomi. Satu penyedia layanan cloud bisa menampung aplikasi pemerintah, rumah sakit, software logistik, sistem penggajian, dan aplikasi konsumen sekaligus. Satu penyedia sistem identitas bisa memengaruhi siapa saja yang bisa masuk ke sistem kerja di ribuan organisasi. Serangan yang berhasil ke pemasok software atau penyedia layanan bisa menyebar ke banyak pelanggan sekaligus.

Inilah titik lemah yang tersembunyi. Debat publik sering kali fokus pada apakah sebuah perusahaan bisa mempertahankan jaringannya sendiri. Pertanyaan yang lebih dalam adalah apakah rantai pasokan digital yang lebih luas bisa menahan tekanan. Riset terus menunjukkan mengapa hal itu sulit. Laporan tahunan "Cost of a Data Breach" dari IBM secara konsisten menemukan bahwa pembobolan yang melibatkan serangan lewat rantai pasokan dan pencurian data login sangat mahal dan lambat untuk diatasi. Laporan "Data Breach Investigations Report" dari Verizon juga berulang kali menunjukkan bahwa kesalahan manusia, praktik kata sandi yang lemah, dan perangkat yang tidak diperbarui keamanannya tetap menjadi pintu masuk yang umum. Dengan kata lain, bahkan perusahaan yang sangat besar dengan anggaran keamanan serius sering kali bergantung pada mitra, kontraktor, dan sistem lama yang jauh lebih rentan.

Konsentrasi cloud membuat masalah ini makin buruk. Internet modern memang tangguh dalam beberapa hal, tetapi juga sangat terpusat dalam hal lain. Segelintir perusahaan mendominasi komputasi cloud, jaringan periklanan, sistem operasi ponsel, software produktivitas perusahaan, dan pengiriman konten global. Model ini memang membawa kecepatan dan skala besar. Namun, model ini juga menciptakan bentuk baru risiko sistemik. Jika pelaku jahat tidak bisa membobol pintu depan platform besar, mereka mungkin menargetkan pintu samping: aplikasi pendukung dari pihak ketiga, operator telekomunikasi regional, API (application programming interface) yang terekspos, atau karyawan yang tertekan oleh rekayasa sosial.

Kemungkinan dampaknya lebih luas dari yang dibayangkan banyak pembaca. Konsumen mungkin berpikir ini masalah tim keamanan perusahaan, bukan masalah kehidupan sehari-hari. Tapi jika perusahaan teknologi besar AS menghadapi tekanan terus-menerus, dampaknya bisa terasa pada proses reset password, layanan pelanggan, pembaruan keamanan software, routing internet, kelambatan cloud, dan sistem verifikasi akun. Usaha kecil akan merasakannya dengan cepat. Begitu juga pemerintah daerah, sekolah, dan rumah sakit yang bergantung pada platform yang sama. Dalam beberapa tahun terakhir, serangan ransomware dan gangguan software telah menunjukkan betapa eratnya kehidupan sehari-hari terikat pada sistem digital di belakang layar. Gangguan yang bermotif politik akan memanfaatkan ketergantungan yang sama.

Ada juga bahaya dari reaksi yang berlebihan. Perusahaan yang berada di bawah ancaman publik mungkin terburu-buru melakukan langkah-langkah keamanan yang terlihat hebat tapi dangkal, sambil mengabaikan perbaikan struktural yang lebih sulit. Mereka mungkin memperketat pesan publik, menambah pemantauan sementara, dan mengeluarkan pernyataan, tetapi tetap membiarkan akses vendor tidak terkontrol dengan baik atau gagal mengurangi titik-titik rawan. Para peneliti keamanan telah lama berpendapat bahwa ketahanan sistem sama pentingnya dengan pencegahan. Sederhananya, perusahaan perlu berasumsi bahwa beberapa serangan akan berhasil lolos dan harus membangun sistem yang tidak langsung lumpuh total saat diserang.

Itu berarti ada beberapa langkah konkret yang perlu diambil. Perusahaan teknologi besar harus mengurangi pemusatan yang tidak perlu dalam akses penting, memisahkan jaringan internal dengan lebih agresif, dan mempercepat siklus pembaruan keamanan untuk sistem yang terhubung ke internet. Mereka harus berlatih respons insiden bersama dengan penyedia telekomunikasi, pelanggan cloud, dan pemasok penting, bukan menganggap pembobolan sebagai masalah internal pribadi. Autentikasi multi-faktor, kunci keamanan fisik, dan kontrol yang lebih ketat pada akses kontraktor sekarang menjadi kebutuhan dasar, bukan fitur tambahan. Begitu juga dengan pencatatan aktivitas yang lebih baik di lingkungan cloud, di mana banyak organisasi masih memiliki titik buta.

Pemerintah juga memiliki peran. Lembaga publik harus berbagi informasi ancaman dengan lebih cepat dan dalam bahasa yang lebih sederhana kepada usaha kecil yang bergantung pada platform besar tetapi tidak memiliki tim keamanan elite. Aturan pengadaan barang dan jasa bisa mendorong vendor untuk menerapkan keamanan bawaan yang lebih kuat. Regulator juga harus lebih memperhatikan risiko konsentrasi digital, karena ketergantungan yang terlalu besar pada beberapa perusahaan dapat mengubah serangan perusahaan menjadi masalah sosial.

Pengguna juga tidak bisa hanya diam. Perusahaan dan individu dapat mengurangi dampak buruk dengan menyebar fungsi-fungsi penting ke beberapa layanan jika memungkinkan, menyimpan cadangan data offline, menggunakan pengelola kata sandi, mengaktifkan autentikasi yang kuat, dan mencurigai pesan mendesak terkait akun. Ini adalah tindakan-tindakan sederhana, tetapi sangat berarti ketika penyerang mengandalkan kepanikan dan kebingungan.

Kesalahpahaman terbesar adalah bahwa ancaman seperti ini hanya ada di dunia spionase dan unjuk kekuatan militer yang jauh. Kenyataannya, ancaman ini menunjuk pada sesuatu yang jauh lebih pribadi. Perangkat di tangan kita dan layanan cloud di balik pekerjaan kita sekarang menjadi bagian dari infrastruktur geopolitik. Ketika sebuah organisasi militer asing mengancam perusahaan-perusahaan teknologi besar, masalahnya bukan hanya keamanan nasional. Masalahnya adalah apakah sistem digital yang dipercayai orang setiap hari dibangun untuk menahan tekanan tanpa diam-diam mengecewakan mereka. Ini bukan lagi sekadar cerita sampingan teknis. Ini adalah salah satu pertanyaan kepentingan publik utama di era internet modern.