Di sebuah ruang pameran di Helsinki, seorang peretas yang menyebut dirinya 'The Mask Guy' duduk di depan PC-nya bersama sekelompok rekan pakar komputer, yang semuanya dengan semangat mencoba untuk meretas demo sistem pemantauan KONE. Tujuan mereka sangat jelas – untuk mengalahkan pertahanan KONE dan menghancurkan sistem tersebut.
Para ahli komputer yang berbakat dan seringkali anonim ini datang dari berbagai lapisan masyarakat, namun mereka memiliki semangat yang sama – untuk menemukan cara untuk membobol perangkat, layanan, dan sistem tertanam yang terhubung, tidak peduli seberapa aman yang diyakini oleh administrator mereka.
Rencana keamanan siber bukanlah sebuah tujuan melainkan sebuah perjalanan yang berkesinambungan.
Namun yang berbeda dari kelompok ini adalah mereka dikenal di komunitas siber sebagai ‘topi putih’ atau peretas yang baik – para profesional komputer yang berorientasi pada etika. Motivasi mereka, baik untuk kesenangan, keuntungan, atau prestise, adalah untuk menyelidiki kelemahan dalam sistem yang terhubung dan kemudian berkolaborasi dengan pemiliknya untuk membantu membuat mereka lebih aman untuk mencegah pihak-pihak jahat, yaitu ‘topi hitam’.
Karena alasan inilah perusahaan, profesional keamanan siber, dan peretas etis berkumpul di Acara tahunan Disobey Nordic Security di Helsinki untuk berbagi keahlian dan mengambil bagian dalam tantangan. Pada kompetisi 'Capture the Flag (CTF)', yang disponsori bersama oleh KONE, tim peretas topi putih akan berlomba untuk menemukan kerentanan dalam demo sistem pemantauan KONE dan mengeksploitasinya, sehingga memungkinkan perusahaan mendapatkan wawasan yang lebih dalam. selangkah lebih maju dari penyerang.
Bagi para peretas, acara seperti Disobey tidak hanya merupakan kesempatan “untuk meningkatkan kesadaran akan keamanan,” kata ‘The Mask Guy’, namun juga untuk bersosialisasi dan bekerja sama dengan “orang-orang yang memiliki semangat etis, positif, dan kolaboratif”.
Mengapa peretasan etis begitu penting?
Peretasan etis merupakan suatu keharusan di dunia saat ini karena serangan siber yang dipimpin oleh peretas yang jahat atau “topi hitam” telah meningkat drastis.
Penelitian oleh Check Point Software Technologies menunjukkan bahwa antara tahun 2020 dan 2021, serangan siber terhadap perusahaan meningkat sebesar 50 persen. Terlebih lagi, kerugian akibat serangan siber semakin meningkat – bagi perusahaan dan pada akhirnya bagi pelanggan mereka, dengan kerugian rata-rata akibat pelanggaran data diperkirakan sebesar $4,35 juta pada tahun 2022.
Seiring dengan semakin terhubungnya produk dan layanan, pelanggan semakin membutuhkan ketenangan pikiran karena perusahaan mengambil semua tindakan yang mungkin dilakukan untuk melindungi diri mereka sendiri dan pelanggan mereka dari pihak-pihak yang merugikan.
“Peretas yang tidak etis memiliki sejumlah cara untuk menyerang perusahaan mana pun – terutama perusahaan yang tidak berinvestasi dan terus meningkatkan praktik keamanannya,” jelas Laura Kankaala, Threat Intelligence Lead di F-Secure yang berbasis di Finlandia, ahli dalam industri keamanan siber dan konsultan berkala untuk KONE.
“Mereka akan menyerang Anda melalui aplikasi web yang rentan, layanan cloud yang salah dikonfigurasi, perlindungan identitas yang buruk, staf yang tidak terlatih yang menjadi korban serangan phishing email, atau dalam kasus di mana perusahaan tidak menerapkan pengaturan keamanan dasar seperti otentikasi multi-faktor di seluruh layanan TI perusahaan.”
Kankaala, seorang peretas etis yang berpengalaman, mengibaratkan keamanan siber yang sukses seperti sebuah teka-teki yang terdiri dari banyak bagian. Biasanya hal ini mencakup profesional TI milik perusahaan, konsultan keamanan terkemuka, kebijakan dan pelatihan internal yang telah terbukti. Namun sekarang ini, pendekatan terhadap peretas baik yang akan berpihak pada tim Anda telah menjadi alat yang sangat berharga.
“Meskipun demikian, penting untuk dipahami bahwa mencegah peretas yang tidak etis dan kriminal merupakan hasil dari rencana keamanan siber yang komprehensif, dan rencana itu sendiri bukanlah sebuah tujuan melainkan sebuah perjalanan yang berkesinambungan,” tambah Kankaala.
Membangun keunggulan keamanan siber yang holistik
Kembali ke tantangan Disobey CTF, peretas etis 'The Mask Guy', – yang menggunakan nama samaran karena pekerjaannya sehari-hari sebagai pakar Internet of Things di sebuah perusahaan keamanan siber besar – berkonspirasi dengan timnya untuk menggunakan setiap dan semua trik dalam buku mereka. untuk meretas sistem demo KONE dan menguasainya terlebih dahulu untuk memenangkan kompetisi.
Yang mengawasi para peretas ini adalah Antti Salminen, Pakar Keamanan Aplikasi di KONE, yang tersenyum sendiri melihat pengkodean cerdas dan pemecahan masalah mengesankan yang terjadi.
“KONE selalu menangani keamanan siber dan ancaman yang ditimbulkan oleh peretas dengan sangat serius,” kata Salminen. “Kami ingin berjuang dalam pertarungan ini dengan cara kami sendiri, jadi kami menyadari bahwa salah satu cara terbaik untuk melakukannya adalah dengan membangun jembatan antara KONE dan komunitas topi putih untuk membangun kolaborasi yang lebih erat.”
“Acara Disobey menyediakan tempat yang sempurna untuk membangun jembatan tersebut.”
Selain acara besar, KONE juga menawarkan program insentif imbalan finansial, yang disebut ‘bug bounty’, untuk mengundang peretas etis menyelidiki layanan dan produknya serta menemukan kerentanan yang belum ditemukan.
KONE selalu menangani keamanan siber dan ancaman yang ditimbulkan oleh peretas dengan sangat serius.
Program bug bounty seperti ini tidak hanya menjadi hal yang lumrah di kalangan organisasi di sektor swasta dan publik dalam beberapa tahun terakhir, namun kini dianggap sebagai praktik terbaik yang muncul untuk memastikan keamanan siber yang kuat. Memang benar, pelatihan dan sertifikasi formal kini ditawarkan seperti program Peretas Etis Tersertifikasi EC-Council serta program sertifikat tiga kursus di Universitas Washington di AS.
Namun Salminen menjelaskan bahwa tidak ada yang bisa menggantikan memiliki tim spesialis cyber crack di dalam perusahaan.
“Di masa lalu, perusahaan transporatasi orang seperti KONE mungkin bukanlah perusahaan pertama yang dicari oleh spesialis keamanan siber untuk berkarir. Tapi kini sudah berubah. Kami kini semakin online dengan produk dan layanan kami dan keamanan siber adalah prioritas utama, jadi kami berusaha untuk menarik talenta siber tertinggi di industri ini.”
Komitmen KONE terhadap keamanan siber diakui pada tahun 2023 ketika KONE menjadi yang pertama di industri yang memperoleh sertifikasi keamanan siber IEC 62443 untuk elevator kelas DX, dan sertifikasi ISO 27001 untuk layanan digitalnya, termasuk KONE 24/7 Connected Services.
Kemenangan bagi pelanggan KONE… dan para topi putih
Jadi, pertanyaannya tetap… apakah ‘The Mask Guy’ dan tim topi putihnya berhasil, atau apakah benteng siber sistem demo KONE bertahan?
“Ya… kami menangkap benderanya,” kata 'The Mask Guy'. “Itu tidak mudah, tapi tim kami menemukan cara untuk mendapatkan akses root ke sistem.”
Dan karena itu, menjadi juara pertama kompetisi Disobey CTF 2023.
Bagi KONE, rute yang ditemukan peretas ke dalam sistem memberikan wawasan keamanan siber berharga yang dapat dimanfaatkan di masa depan.
“Ini adalah pengalaman pembelajaran yang luar biasa bagi kami,” Salminen menunjukkan, “dan ketahanan siber demo sistem pemantauan kami bertahan dengan baik - hampir sepanjang waktu.”
“Bagi KONE, pengalaman yang kami bagikan di Disobey membantu menghilangkan mistifikasi komunitas peretas topi putih dan berfungsi sebagai kerangka kerja bagi kami untuk berkolaborasi lebih erat ke depannya guna membangun keamanan siber yang lebih baik dalam produk dan layanan kami bagi pelanggan kami,” tambah Salminen.