Hanya sedikit dari kita yang tidak menyadari pentingnya keamanan siber dan ancaman serangan siber terhadap komputer, ponsel pintar, dan perangkat lainnya. Kita selalu diingatkan untuk tidak mengungkapkan kata sandi dan waspada terhadap spam dan email phishing yang berusaha memanipulasi Anda untuk membocorkan informasi pribadi – seperti kata sandi, detail bank, jaminan sosial, atau informasi medis.
Bentuk pencurian identitas ini, meskipun meresahkan, menjadi lebih menyeramkan ketika ditujukan kepada pemerintah dan lembaga-lembaga besar lainnya. “Melihat itu menipu” adalah slogan dari serial TV BBC yang populer, The Capture, yang mengeksplorasi dampak teknologi deepfake – yang digambarkan sebagai jawaban abad ke-21 untuk Photoshopping – yang mengancam keamanan nasional, mengguncang fondasi negara, menghancurkan kepercayaan, dan membuat kita meragukan realitas.
Mungkin terlalu mengada-ada dalam banyak hal, namun saat kita memasuki era Revolusi Industri Keempat, acara ini menyoroti potensi risiko dan ancaman dari teknologi yang berubah dengan cepat dan semakin canggih.
Biaya global kejahatan siber akan mencapai USD 10,5 triliun per tahun pada tahun 2025.
Memprioritaskan risiko
According to the World Economic Forum report Global Cybersecurity Outlook 2022, infrastructure breakdown as a result of a cyber-attack is the number one concern for cyber leaders, ahead of identity theft. The report also indicates that while 85 % of cyber leaders agree that cyber resilience is a priority for their organization, gaining decision makers’ support when prioritizing such risks against many others remains a big challenge. This challenge should not be taken lightly. CyberCrime Magazine says cyber-attacks could potentially disable the economy of a city, state or entire country and it claims the global cost of cybercrime will reach USD 10.5 trillion annually by 2025.
Cybersecurity is not new, but in our increasingly interconnected – and fragmented – world, the risks to people, organizations, services and systems from cyber-attacks have never been greater. As technology has grown in sophistication, so, too, have cybercriminals. Uncertainty is rife and trust is at a premium. Confidence and assurance that our systems are safe is now a basic requirement and two International Standards – ISO/IEC 15408 and ISO/IEC 18045 for information technology – can help to restore that trust.
The standards work together “like the pedals of a bicycle”, says Miguel Bañón, an expert in cybersecurity evaluation and certification, and Convenor of the working group on security evaluation, testing and specification, operating under the joint stewardship of ISO and the International Electrotechnical Commission (IEC). ISO/IEC 15408 establishes evaluation criteria for IT security, while ISO/IEC 18045, the companion document, defines the methodology for IT security evaluation. For practical purposes, however, they are the same thing.
Revisi Tepat Waktu
Revisi standar yang baru-baru ini dilakukan sangat tepat waktu, berevolusi untuk memenuhi kebutuhan baru yang kompleks di zaman ini. “Kelompok kerja ini berfokus pada jaminan teknologi, sertifikasi pengujian, dan menyediakan standar untuk memastikan bahwa teknologi itu sendiri aman,” kata Bañón. “Ini adalah bagian penting dari solusi.” Standar-standar ini juga membantu mengelola informasi dan mengambil pendekatan holistik, namun fondasi dasarnya adalah bahwa teknologi tersebut aman.
Agar bisa sukses di pasar, Anda harus mendapatkan kepercayaan dari pelanggan. Hal ini berlaku untuk teknologi seperti halnya untuk produk lainnya. Dengan banyaknya produk baru yang masuk ke pasar dengan sangat cepat, seperti kendaraan yang terhubung misalnya, bagaimana Anda dapat mengandalkan kendaraan yang terhubung yang dapat mengemudi dengan sendirinya jika Anda tidak memiliki jaminan bahwa kendaraan tersebut akan berfungsi dengan baik?
Seperti yang dikatakan Bañón, dengan ISO/IEC 15408 dan ISO/IEC 18045, “kami menyediakan cara terbaik dan satu-satunya cara, yang telah disepakati secara internasional, tentang cara menguji dan mengevaluasi keamanan produk dan sistem”. Dia menunjukkan bahwa apa yang dulunya merupakan area khusus sekarang menjadi arus utama dan pasar sendiri menempatkan keamanan siber sebagai persyaratan. Para pengambil keputusan dan pemimpin sekarang harus melangkah maju dan memprioritaskan risiko siber.
Membangun ketahanan
Di tingkat pemerintah, hal ini merupakan sesuatu yang semakin disadari. Bañón mengatakan bahwa salah satu hasil positif dari ledakan masalah keamanan siber ini telah mengarah, misalnya, pada legislasi baru dan yang akan datang di Uni Eropa untuk memperkuat sistem keamanan siber. “Undang-Undang Keamanan Siber Uni Eropa menyediakan kerangka kerja untuk skema sertifikasi di seluruh Eropa. Di masa lalu, jika Anda harus mengesahkan keamanan produk Anda, Anda dapat melakukannya berdasarkan skema nasional,” katanya. “Sekarang, untuk pertama kalinya, akan ada skema sertifikasi pan-Eropa untuk produk dan skema baru ini didasarkan pada ISO/IEC 15408.”
Seperti yang dia tunjukkan, keamanan TI bukanlah hal baru dan penerapan standar di masa lalu telah memberikan dampak positif pada produk di pasar. Dia mengatakan: “Produk-produk yang biasanya telah mencapai kepatuhan terhadap standar, seperti sistem operasi atau perangkat jaringan, telah berevolusi dan berkembang sedemikian rupa sehingga para peretas harus menargetkan produk/permukaan serangan yang “lebih mudah”.”
Kepatuhan terhadap ISO/IEC 15408 membutuhkan tingkat kematangan yang tinggi, tingkat resistensi yang tinggi terhadap serangan. Ketika kita mendengar berita tentang pelanggaran keamanan siber yang besar saat ini, Bañón mengatakan bahwa ada kemungkinan besar para peretas ini mengeksploitasi produk yang belum disertifikasi atau dianalisis oleh standar ini. “Jika Anda seorang peretas, Anda cenderung mencari mata rantai terlemah dalam rantai tersebut, dan saat ini, rute termudah adalah melalui produk yang belum tersertifikasi sesuai standar.”
Independen dan tidak memihak
Ini semua adalah masalah kepercayaan. Bañón mengatakan: “Dalam standar kami, kepercayaan diberikan setelah tinjauan yang sangat ketat, independen dan tidak memihak terhadap suatu produk dan setelah proses evaluasi dan sertifikasi.” Sama seperti Anda tidak dapat – dan tidak ingin – membeli mesin cuci yang tidak memenuhi persyaratan keselamatan, kepatuhan terhadap standar ini, “yang didorong oleh kebutuhan pasar dan merupakan dasar dari skema keamanan siber yang paling sukses di seluruh dunia”, menawarkan perlindungan dari guncangan yang tidak menyenangkan dan akan memberikan ketenangan pikiran.
source: ISO – Ways to incorporate cyber resilience in your business