Jakarta, 14 Juni 2025. Dalam era transformasi digital yang semakin kompleks, keamanan siber telah menjadi salah satu tantangan terbesar yang dihadapi oleh organisasi di seluruh dunia, termasuk di Indonesia. Konsep “Iceberg of Ignorance” menjadi sangat relevan dalam konteks ini. Konsep ini menggambarkan bahwa sebagian besar ancaman dan kerentanan tidak terlihat di permukaan, tetapi tersembunyi di bawah lapisan yang lebih dalam. Ketidakmampuan untuk memahami dan mengelola ancaman tersembunyi ini—terutama dalam konteks rantai pasokan teknologi informasi (TI) dan integritas firmware—menjadi salah satu kelemahan mendasar yang perlu segera diatasi.
Rantai pasokan TI saat ini sangat kompleks dan sering kali melibatkan banyak pihak, mulai dari pemasok perangkat keras hingga penyedia perangkat lunak pihak ketiga. Ketergantungan yang tinggi pada rantai pasokan global membuat banyak organisasi rentan terhadap serangan siber. Contoh nyata dari hal ini adalah insiden SolarWinds, di mana malware SUNBURST berhasil menyusup melalui pembaruan perangkat lunak resmi dan memengaruhi lebih dari 18.000 organisasi di seluruh dunia, termasuk lembaga pemerintah dan perusahaan besar. Insiden ini menyoroti betapa kurangnya pengawasan terhadap rantai pasokan dapat membuka celah besar bagi ancaman siber yang tersembunyi, yang pada gilirannya dapat mengancam stabilitas dan keamanan nasional.
Dalam konteks Indonesia, ancaman ini menjadi semakin mendesak. Badan Siber dan Sandi Negara (BSSN) telah mengidentifikasi puluhan sektor infrastruktur kritis yang rentan terhadap serangan siber, termasuk energi, transportasi, perbankan, telekomunikasi, kesehatan, dan pertahanan. Hampir seluruh infrastruktur vital kini terhubung ke jaringan, yang berarti bahwa jika salah satu bagian dari rantai pasokan terkena serangan, dampaknya akan langsung dirasakan oleh publik. Keterbukaan data dan teknologi yang semakin meningkat juga berarti bahwa kontrol nasional terhadap informasi penting dapat terancam. Oleh karena itu, memahami “Iceberg of Ignorance” dalam konteks ini menjadi sangat penting untuk menjaga kedaulatan digital Indonesia.
Salah satu tantangan utama yang dihadapi organisasi adalah kurangnya pemahaman mengenai kerentanan yang terdapat pada firmware. Firmware, yang merupakan perangkat lunak dasar yang mengendalikan perangkat keras, sering kali menjadi titik lemah yang tidak disadari oleh banyak organisasi. Firmware berada di hampir setiap perangkat kritis, mulai dari server, laptop, hingga perangkat jaringan. Namun, kerentanannya sering kali diabaikan. Ransomware GhostVault, misalnya, memanfaatkan kerentanan firmware yang telah diketahui tetapi tidak diperbarui oleh organisasi, untuk menembus sistem dan menyebabkan gangguan operasional yang signifikan. Ini menunjukkan bahwa ancaman tersembunyi dalam firmware dapat memiliki dampak yang sangat merusak jika tidak dikelola dengan baik.
Ketidakmampuan untuk melihat gambaran besar atau “helicopter view” dari risiko ini menjadi salah satu kelemahan utama yang dihadapi banyak organisasi. Banyak pemimpin dan pengambil keputusan cenderung fokus pada ancaman yang terlihat jelas, tanpa menyadari bahwa ancaman yang lebih besar dan lebih kompleks sering kali tersembunyi di bawah permukaan. Hal ini dapat menyebabkan keputusan yang kurang tepat dalam pengelolaan risiko, di mana organisasi mungkin mengabaikan aspek-aspek krusial yang dapat mengancam keseluruhan keamanan sistem mereka. Dalam konteks ini, kita perlu menyadari bahwa risiko dalam keamanan siber bukan hanya masalah teknis, tetapi juga masalah strategis yang memerlukan perhatian dan pemahaman yang mendalam.
Untuk mengatasi tantangan ini, pendekatan holistik yang mencakup aspek manusia, proses, dan teknologi sangat diperlukan. Peningkatan kapasitas sumber daya manusia di bidang TI dan keamanan siber harus menjadi prioritas utama, termasuk melalui pelatihan kesadaran siber dan pembentukan tim tanggap insiden yang terkoordinasi. Organisasi perlu menginvestasikan waktu dan sumber daya untuk meningkatkan keterampilan dan pengetahuan karyawan mereka, sehingga mereka dapat lebih siap menghadapi ancaman yang ada. Selain itu, penerapan praktik seperti Software Bill of Materials (SBOM) dapat membantu organisasi melacak komponen perangkat lunak dan firmware yang digunakan dalam sistem mereka. Dengan cara ini, kerentanan dapat diidentifikasi lebih awal, dan langkah mitigasi yang tepat dapat diambil sebelum ancaman menjadi lebih besar.
Lebih jauh lagi, pemerintah juga memiliki peran penting dalam menciptakan lingkungan yang aman dan mendukung kemandirian digital. Kebijakan dan regulasi yang jelas dan komprehensif sangat diperlukan untuk mengatur keamanan rantai pasokan TI dan melindungi data nasional. Misalnya, mewajibkan penggunaan SBOM untuk perangkat TI pemerintah dan mengatur sertifikasi keamanan untuk vendor asing dapat menjadi langkah awal yang baik. Selain itu, anggaran untuk penelitian dan pengembangan dalam bidang keamanan siber perlu ditingkatkan agar dapat bersaing dengan ancaman global yang terus berkembang.
Kesimpulannya, memahami dan mengatasi “Iceberg of Ignorance” adalah langkah awal yang krusial untuk menciptakan ekosistem keamanan siber yang lebih tangguh. Kita perlu menyadari bahwa ancaman tersembunyi dalam rantai pasokan dan firmware tidak hanya membahayakan organisasi, tetapi juga dapat mengancam kedaulatan digital dan keamanan nasional. Dengan meningkatkan kesadaran, mengadopsi teknologi yang lebih aman, dan memperkuat regulasi serta kolaborasi antar pemangku kepentingan, Indonesia dapat membangun fondasi yang kuat untuk menghadapi tantangan keamanan siber di masa depan. Hanya dengan cara ini kita dapat memastikan bahwa transformasi digital yang kita jalani benar-benar membawa manfaat, tanpa mengorbankan keamanan dan kedaulatan kita. Kita harus siap untuk tidak hanya menghadapi ancaman yang ada, tetapi juga untuk menciptakan ekosistem digital yang lebih aman dan tangguh, yang pada akhirnya akan melindungi masyarakat dan negara dari risiko yang tidak terduga.
