LAPORANTAHUNANGOV-CSIRT

B A D A N S I B E R D A N S A N D I

N E G A R A

2019

Puji syukur kehadirat Allah SWT atas segala limpahan rahmat, nikmat, serta

karunianya yang tak ternilai dan tak dapat dihitung sehingga Gov-CSIRT

Indonesia bisa menyusun dan menyelesaikan Laporan Tahunan Gov-CSIRT

Indonesia Tahun 2019. Laporan ini merupakan suatu bentuk

pertanggungjawaban kepada konstituen atas pelaksanaan operasional CSIRT

sektor pemerintah yang baik dengan mengedepankan prinsip transparansi dan

akuntabilitas, sekaligus sebagai alat kendali dan pemacu peningkatan kinerja

Gov-CSIRT Indonesia.

Laporan Tahunan ini berisikan informasi mengenai pelaksanaan layanan Gov-

CSIRT Indonesia dan analisis terhadap kondisi yang dihadapi sektor pemerintah

terhadap insiden siber. Laporan ini merupakan sebuah dokumentasi atas

kinerja Gov-CSIRT Indonesia dan diharapkan bisa menjadi media

pembelajaran bagi Gov-CSIRT Indonesia ke depannya. Adapun kinerja Gov-

CSIRT Indonesia masih jauh dari kata sempurna. Untuk itu, kami selalu berusaha

melakukan evaluasi dan perbaikan secara berkala agar bisa mencapai kinerja

yang lebih baik lagi.

Akhir kata, kami ucapkan terima kasih kepada segala pihak yang telah

membantu Gov-CSIRT Indonesia dalam mencapai kinerja dan semoga ke

depannya Gov-CSIRT Indonesia semakin berkinerja demi ketahanan siber

sektor pemerintah yang lebih baik lagi. Aamiin.

KataPengantar

Jakarta,    Desember 2019Ketua Gov-CSIRT Indonesia    Ir. Inu Baskara, MMSI.

SEKILAS MENGENAI GOV-CSIRT INDONESIATAHUN 2019

mengkoordinasikan dan mengolaborasikan layanan keamanan siber pada

sektor pemerintah;

membangun kapasitas sumber daya keamanan siber pada sektor pemerintah.

Government – Computer Security Incident Response Team (CSIRT) Indonesia,

disingkat Gov-CSIRT Indonesia merupakan CSIRT sektor Pemerintah Indonesia

yang ditetapkan pertama kali oleh Kepala Badan Siber dan Sandi Negara dalam

Keputusan Kepala Badan Siber dan Sandi Negara Nomor 570 Tahun 2018

tanggal 20 Desember 2018. Sedangkan pada tahun 2019, Gov-CSIRT Indonesia

ditetapkan melalui Keputusan Kepala Badan Siber dan Sandi Negara Nomor

199 Tahun 2019 tanggal 21 Mei 2019.

Bertanggungjawab sebagai ketua Gov-CSIRT Indonesia adalah Direktur

Penanggulangan dan Pemulihan Pemerintah pada Deputi Bidang

Penanggulangan dan Pemulihan BSSN. Sedangkan anggota Tim dari Gov-

CSIRT Indonesia adalah seluruh staf BSSN pada sektor pemerintah.

Dalam pembentukannya, Gov-CSIRT Indonesia mengemban visi yaitu

terwujudnya ketahanan siber pada sektor pemerintah yang andal dan

profesional. Sedangkan misi yang diemban Gov-CSIRT Indonesia yaitu :

1.

2.

Konstituen dari Gov-CSIRT Indonesia meliputi seluruh Pemerintah Daerah dan

Pemerintah Pusat.

Layanan Reaktif

Layanan pemberian peringatan terkait dengan laporan insiden siber;

Layanan penanggulangan dan pemulihan Insiden;

Layanan penanganan kerawanan;

Layanan penanganan artifak;

Pemberitahuan hasil pengamatan terkait dengan ancaman baru;

Layanan security assessment;

Layanan security audit;

Konsultasi terkait kesiapan penanggulangan dan pemulihan insiden;

Pembangunan kesadaran dan kepedulian terhadap keamanan siber;

Pembinaan terkait kesiapan penanggulangan dan pemulihan insiden.

Pada tahun 2019 Gov-CSIRT Indonesia memberikan layanan yang meliputi :

1.

a.

b.

c.

d.

2. Layanan Proaktif

a.

b.

c.

3. Layanan Manajemen Kualitas Keamanan

a.

b.

c.

SEKILAS MENGENAI GOV-CSIRT INDONESIA TAHUN 2019

PELAKSANAAN LAYANANGOV-CSIRT INDONESIA

Layanan Reaktif a. Layanan pemberian peringatan terkait dengan laporaninsiden siber Gov-CSIRT Indonesia berkoordinasi dengan Pusat OperasiKeamanan Siber (Pusopskamsinas) yang menerima aduan darimasyarakat mengenai insiden siber. Jika aduan insiden siber initerkait dengan pemerintah (domain *.go.id), makaPusopskamsinas memberikan notifikasi atau peringatan kepadainstitusi pemerintah pemilik aset melalui telepon atau emailbahwa aset mereka telah diserang, diretas atau mengalamiinsiden siber lainnya. Pada tahun 2019, terdata sebanyak 4241 (empat ribu dua ratusempat puluh satu) aduan yang terdiri dari 699 aduan tidakterverifikasi dan 3542 (tiga ribu lima ratus empat puluh dua)aduan terverifikasi. Proses verifikasi meliputi PoC (proof ofconcept) dari bukti-bukti laporan (screenshoot, link, database,correlated file) maupun kelengkapan identitas pelapor.Kerentanan merupakan jenis aduan siber yang paling banyakdiajukan.

T A H U N 2 0 1 9

Web

Defa

cemen

t

Phising

Malware

Lain-

lain

Kerenta

nan

125

100

75

50

25

0

LAYANAN GOV-CSIRTINDONESIA

b. Layanan penanggulangan dan pemulihan

insiden

Gov-CSIRT Indonesia menangani sebanyak 229 (dua

ratus dua puluh sembilan) insiden siber pada sektor

pemerintah. Penanganan insiden siber dilakukan dengan

cara koordinasi, memberi panduan teknis, melakukan

analisis insiden siber, sampai dengan kunjungan

penanganan insiden siber (on-site).

Pemerintah Pusat PemerintahDaerah Wilayah I

PemerintahDaerah Wilayah II

PersentaseJenisInsidenpadaTahun2019

Web defacement sebanyak 15 insiden siber(14%);Phising sebanyak 5 insiden siber (5%);Malware sebanyak 10 insiden siber (9%);Lain-lain sebanyak 9 insiden siber (9%);Kerentanan sebanyak 66 insiden siber (63%).

Pada tahun 2019 di Pemerintah Pusat terdapat 105(seratus lima) insiden siber yang dilaporkan ke Gov-CSIRT Indonesia dengan rincian sebagai berikut :

a.

b.c.d.e.

Kerentanan62.9%

Web Defacement14.3%

Malware9.5%

Lain-lain8.6%

Phising4.8%

LAYANAN GOV-CSIRTINDONESIA

Pengelompokkan Insiden Siber pada Sektor Pemerintah Pusat

L A Y A N A N

G O V - C S I R T

I N D O N E S I A

Web defacement sebanyak 34 insiden siber (33%);Phising sebanyak 9 insiden siber (9%);Malware sebanyak 13 insiden siber (13%);Lain-lain sebanyak 8 insiden siber (8%);Kerentanan sebanyak 38 insiden siber (37%).

Sedangkan pada 2019 di Pemerintah Daerah Wilayah Iterdapat 102 (seratus dua) insiden siber dengan rinciansebagai berikut :

a.b.c.d.e.

Kerentanan37.3%

Web Defacement33.3%

Malware12.7%

Phising8.8%Lain-lain

7.8%

Pengelompokkan Insiden Siber pada Sektor

Pemerintah Daerah Wilayah I

Kerentanan60%

Malware16.7%

Web Defacement13.3%

Phising6.7%

Lain-lain3.3%

L A Y A N A N

G O V - C S I R T

I N D O N E S I A

Web defacement sebanyak 4 insiden siber (13%);Phising sebanyak 2 insiden siber (7%);Malware sebanyak 5 insiden siber (17%);Lain-lain sebanyak 1 insiden siber (3%);Kerentanan sebanyak 18 insiden siber (60%).

Dan pada tahun 2019 di Pemerintah Daerah Wilayah IIterdapat 30 (tiga puluh) insiden siber dengan rinciansebagai berikut :

a.b.c.d.e.

Pengelompokkan Insiden Siber pada Sektor

Pemerintah Daerah Wilayah II

Instansi pemerintah baru sedikit yangsudah memiliki CSIRT organisasi atausudah menyelenggarakan layananpenanggulangan dan pemulihan insidensiber secara mandiri;Banyak instansi pemerintah yangmemberikan layanan elektronik dalamrangka menjalankan amanat SistemPemerintah Berbasis Elektronik (SPBE),namun tidak aware terhadap isukeamanan siber atau belum menerapkanSistem Manajemen Keamanan Informasi(SMKI). Inilah mengapa insiden siberyang ditangani sebagian besar berupakerentanan;Insiden siber jenis web defacementmasih banyak terjadi karena instansipemerintah banyak yang tidakmengimplementasikan Web ApplicationFirewall (WAF), t idak ada pembatasanakses pada login administrator,penggunaan password yang relatiflemah, kurangnya pengawasan terhadapakun di website dan access log, sertamenggunakan aplikasi atau frameworkyang out of update.

Jumlah insiden siber yang ditangani Gov-CSIRT Indonesia pada tahun 2019 jumlahnyarelatif besar disebabkan hal-hal sebagaiberikut :

a.

b.

c.

LAYANAN

GOV-CSIRT

INDONESIA

d. Insiden siber jenis malware masih banyak terjadikarena banyak personil dari instansi pemerintah yangmenggunakan aplikasi bajakan, mengakses situs pornoatau situs yang banyak mengandung malvertising, sertatidak menginstall antivirus. Berikut adalah jenis-jenismalware spesifik yang terjadi di sektor pemerintah :

(1) Insiden siber ransomware saat ini mulai banyakterjadi di instansi pemerintah, namun seringkalikonstituen meminta agar Gov-CSIRT Indonesia dapatmembantu dekripsi data yang disandera ransomware.Dari semua kasus yang ditangani hanya sebagiankecil kasus yang bisa didekripsi datanya, sedangka sebagian besar kasus tidak bisa dilakukan dekripsikarena tidak tersedianya tools decryptor saat insidensiber tersebut terjadi. Solusi bagi data yang disanderaoleh ransomware hanyalah menggunakan databackup. (2) Insiden siber botnet masih banyak terjadi disektor pemerintah karena kurangnya pemantauanterhadap lalu l intas jaringan. Sistem elektronik yangterkena botnet biasanya berupa server atau komputerpersonal akan menjadi zombie yang dimanfaatkanhacker untuk melakukan tindak kejahatan di ranahsiber, seperti spamming dan melakukan DDOS.Apabila dilakukan pemantauan lalu l intas jaringandengan seksama, maka aktivitas botnet akan mudahterdeteksi, yaitu ketika komputer atau server yangterinfeksi botnet melakukan komunikasi i l legal denganserver Command and Control (C2) atau bahkanpenyerangan ke alamat IP tertentu.

e. Insiden siber berupa pishing kerap terjadi karenaadanya serangan tertarget dengan motif untuk mencuriinformasi rahasia pengguna berupa username danpassword. Untuk itu, perlunya peningkatan pemahamanpengguna mengenai cara deteksi adanya pishing danbagaimana mengatasinya.

LAYANAN

GOV-CSIRT

INDONESIA

LAYANAN GOV-CSIRT

INDONESIA

c. Layanan penanganan kerawanan Gov-CSIRT Indonesia berkoordinasi dengan Direktorat Proteksi Pemerintahyang memberikan layanan penanganan kerawanan. Pada Tahun 2019layanan penanganan kerawanan dilakukan terhadap 5 (lima) instansiPemerintah, baik Pemerintah Pusat maupun Pemerintah Daerah, baikberdasarkan pemintaan langsung maupun kegiatan tersebut dilakukanbersama dengan Direktorat Penanggulangan dan Pemulihan Pemerintah.Pendekatan hardening yang dilakukan yaitu secara black-box maupunwhite-box.

d. Layanan penanganan artifakGov-CSIRT Indonesia berkoordinasi dengan Subdirektorat Forensik Digitaldan Analisis Kripto, Direktorat PIIFD, Deputi IV yang memberikan layanankegiatan forensik digital dan analisis kripto. Layanan penanganan artifakyang telah dilaksanakan sampai dengan bulan November 2019 adalahsebanyak 9 (sembilan) kegiatan terlapor dengan sasaran layanan meliputiPemerintah Pusat maupun Pemerintah Daerah. Layanan penanganan artifakdiberikan dengan dengan cara berkoordinasi dengan pihak yang melaporkanadanya dugaan insiden, pengecekan fisik ke lokasi sumber daya jaringan,perolehan/akuisisi data digital yang tersedia di lokasi, selanjutnya dilakukananalisis terhadap data digital sehingga ditemukan artifak yang menunjukkanindikasi insiden telah terjadi, hingga akhirnya disusun sebuah laporan hasillayanan kegiatan yang mencantumkan artifak digital, dugaan prosesterjadinya insiden, dugaan sumber awal insiden dan rekomendasi teknisterhadap insiden yang terjadi.

Layanan Gov-CSIRTINDONESIA

Layanan Proaktif a. Pemberitahuan Hasil Pengamatan terkait dengan Ancaman BaruGov-CSIRT Indonesia berkoordinasi dengan Direktorat DeteksiAncaman yang menyelenggarakan layanan Honeynet Project BSSN-IHP. Berdasarkan data Honeynet Project BSSN-IHP Tahun 2019, totalserangan siber berjumlah 98.243.896 yang meliputi Sektor Pemerintah,Akademik, dan IIKN. Ancaman tersebut diikuti oleh masifnya seranganmalware yang menyerang 53 sensor Honeypot BSSN yang tersebar di18 Provinsi di Indonesia yang berjumlah 22.750 malware. Serangan siber dilakukan oleh sejumlah negara, adapun negara-negaratersebut belum dapat dipastikan sebagai negara asal penyerang karenapenyerang berpotensi menggunakan proxy yang bertujuanmenyembunyikan/menyamarkan IP address asli penyerang. Adapundari serangan tersebut, India sebagai negara sumber serangantertinggi dengan jumlah 26.460.689 serangan, port terbanyak yangdijadikan target adalah 1433 dengan jumlah akses sebanyak36.690.750 serangan, dan Malware/Win32.Generic.C1960796berdasarkan penamaan AhnLab-V3 sebagai malware terbanyak yangdikirimkan oleh penyerang dengan jumlah 11.881 serangan.

Malware/Win32.Generic.C1960796 merupakan malwaredalam kategori DANGEROUS yang merupakan fileexecutable PE32 (GUI) Intel 80386 32-bit di Windows yangdi-packed menggunakan packer Microsoft visual C++ 8.0.Malware tersebut merupakan jenis Trojan yang memilikikemampuan untuk melakukan modifikasi pada pengaturanproxy dan melakukan download bits dari internet lalumenyimpan dalam bentuk file.

b. Layanan Security AssessmentGov-CSIRT Indonesia berkoordinasi dengan DirektoratIdentifikasi Kerentanan dan Penilaian Risiko Pemerintahyang memberikan layanan Information Technology SecurityAssessment (ITSA). Layanan ini dilakukan melalui (blackbox) penetration testing untuk aplikasi website dan (whitebox) penetration testing untuk aplikasi mobile. Security assessment dilakukan pada aplikasi-aplikasi kritismilik Pemerintah Pusat maupun Pemerintah Daerahdengan hasil berupa laporan dan lampiran laporan yangmemuat deskripsi, path temuan, proof of concept danremediasi celah kerentanan yang ditemukan pada aplikasi.Pada Tahun 2019 telah dilakukan security assessmentpada sejumlah instansi Pemerintah, baik Pemerintah Pusatmaupun Pemerintah Daerah.

Layanan Gov-CSIRTINDONESIA

Layanan Gov-CSIRTINDONESIA

11% instansi Pemerintah mendapatkan nilai kepatuhandengan Kategori Tinggi;53% instansi Pemerintah mendapatkan nilai kepatuhandengan Kategori Cukup;32% instansi Pemerintah mendapatkan nilai kepatuhandengan Kategori Kurang.

c. Layanan Security AuditGov-CSIRT Indonesia berkoordinasi dengan Direktorat ProteksiPemerintah yang memberikan layanan audit keamananinformasi. Berdasarkan hasil audit keamanan informasi atasPenyelenggaraan Urusan Persandian T.A. 2018 didapatkanhasil berikut :

Hingga bulan Oktober 2019, dari 33 (tiga puluh tiga) instansiPemerintah sebanyak 61% telah menyampaikan laporan tindaklanjut terhadap rekomendasi yang diberikan.

LAYANAN

GOV-CSIRT

INDONESIA

3. Layanan Manajemen Kualitas Keamanan a. Konsultasi terkait kesiapanpenanggulangan dan pemulihan insidenGov-CSIRT Indonesia menangani konsultasi

terkait dengan kesiapan penanggulangan dan

pemulihan sebanyak 27 (dua puluh tujuh) kali.

Gov-CSIRT

b. Pembangunan kesadaran dan kepedulianterhadap keamanan siberIndonesia membangun kesadaran dan

kepedulian terhadap keamanan siber melalui

berbagai artikel keamanan siber yang

dipublikasikan melalui website. Pada tahun

2019 telah diterbitkan artikel sebanyak 6

(enam) buah artikel.

c. Pembinaan terkait kesiapanpenanggulangan dan pemulihan insidenGov-CSIRT Indonesia melakukan pembinaan

terkait penanggulangan dan pemulihan insiden

melalui ikut serta dalam berbagai kegiatan

Cyber Exercise, seperti OIC-CERT, Asean

Japan Cyber Exercise, dan Cyber Drill Sektor

Pemerintah.

Secara garis besar, layanan yang diberikan Gov-CSIRT Indonesiabaik layanan reaktif, proaktif dan manajemen kualitas keamanandapat dilaksanakan dengan baik. Dari semua layanan Gov-CSIRT Indonesia, layanan pemberianperingatan terkait dengan laporan insiden siber dan layananpenanganan insiden keamanan siber yang paling banyakdiberikan.Dengan banyaknya aduan siber dan laporan insiden siber yangditangani oleh Gov-CSIRT Indonesia, maka setiap instansiPemerintah baik Pemerintah Pusat maupun Pemerintah Daerahperlu membentuk CSIRT Organisasi untuk mempermudahkoordinasi penanganan insiden siber.

PENUTUP

Dari pelaksanaan layanan Gov-CSIRT Indonesia dapat disimpulkanhal-hal sebagai berikut :1.

2.

3.