Cara Kaspersky menjawab tantangan keamanan data biometrik

JAKARTA (IndoTelko) - Bagaimana orang dapat terus menggunakan otentikasi berbasis biometrik pada perangkat favorit mereka tanpa kekhawatiran akan data unik mereka dicuri dan disalahgunakan?  

Saat ini, tubuh kita menjadi kunci autentikasi digital, menggantikan pin dan kata sandi. Dengan banyaknya layanan yang berubah menjadi digital dan otomatis, data biometrik kita yang unik menjadi elemen penting dalam membuka kunci layanan tersebut.

Kita telah menggunakan sidik jari atau wajah untuk membuka kunci ponsel, melakukan pembayaran bahkan mengakses rumah dan kantor.

Tetapi data biometrik kita bersifat unik - hanya ada satu orang di dunia dengan sidik jari, ciri-ciri wajah atau iris tertentu, dan penggunaan yang demikian luas ini berarti juga setiap data biometrik tersebut disimpan di berbagai tempat dalam kondisi yang berbeda. Jika data biometrik dikompromikan, baik itu sidik jari, wajah atau iris, sekali hilang maka itu berarti selamanya dan tidak dapat diatur ulang, tidak seperti kata sandi yang dikompromikan.

Sayangnya ini bukan masalah teoretis. Pada 2015 peretasan Office of Personalia Management (OPM) di AS menyebabkan 5,6 juta sidik jari bocor.

Baru-baru ini, terdapat lebih dari 1 juta sidik jari ditemukan pada basis data yang dapat diakses publik yang digunakan oleh polisi Metropolitan Inggris, kontraktor pertahanan dan Bank. Itu hanya beberapa contoh pembuktian dari skema dan konsep yang telah dipelajari para peneliti mengenai kemungkinan pencurian atas sidik jari manusia dengan bantuan kamera digital dan alat lain yang tersedia secara luas.

Penelitian Kaspersky sendiri menyoroti bahwa data biometrik berisiko untuk dikompromikan.

Tinjauan yang baru-baru ini dilakukan tentang ancaman siber terhadap sistem yang digunakan untuk memproses dan menyimpan data biometrik, menunjukkan bahwa berbagai ancaman berbahaya (termasuk Trojan akses jarak jauh, ransomware, Trojan perbankan, dll.) sering ditemukan melakukan upaya infeksi sistem TI.

Sebanyak 37% komputer, server dan workstation yang digunakan untuk mengumpulkan, memroses, dan menyimpan data biometrik (seperti sidik jari, geometri tangan, wajah, suara, dan templat iris), dengan produk Kaspersky terinstalasi, menghadapi setidaknya satu kali upaya infeksi malware pada kuartal ketiga 2019.

Secara keseluruhan, sejumlah besar sampel malware konvensional telah diblokir, termasuk Trojan akses jarak jauh modern (5,4%), malware yang digunakan dalam serangan phishing (5,1%), ransomware (1,9%), dan Trojan Banking (1,5%).  

Temuan ini dan lainnya terdapat dalam laporan “Threats for biometric data processing and storage systems” yang telah disiapkan oleh Kaspersky ICS CERT.

Analisis sumber ancaman telah menunjukkan bahwa internet adalah sumber utama ancaman untuk sistem pemrosesan data biometrik.

Ancaman dengan sumber ini telah diblokir sebanyak 14,4% dari seluruh sistem pemrosesan data biometrik. Pemblokiran pada kategori ini mencakup sumber di situs web phishing dan berbahaya, serta layanan email berbasis web. Kemudian, perangkat yang dapat dilepas menyumbang sebanyak 8% sebagai media yang paling sering digunakan untuk mendistribusikan worm.  Setelah menginfeksi komputer, worm biasanya akan mengunduh spyware dan akses jarak jauh Trojan serta ransomware.

Sumber ancaman berikutnya yang diblokir adalah surat elektronik (e-mail) yang sekaligus menempatkannya di peringkat ketiga (6,1%). dalam kebanyakan kasus biasanya berupa skenario email phishing (pesan palsu pada pengiriman barang dan jasa, pembayaran faktur, dll.) yang berisikan tautan menuju situs web palsu atau dokumen kantor terlampir dengan kode berbahaya yang tertanam.

“Penelitian kami menunjukkan bahwa situasi yang ada dengan keamanan data biometrik sangat penting dan perlu diperhatikan oleh industri, regulator pemerintah, komunitas pakar keamanan dan informasi, serta masyarakat umum.  Meskipun kami yakin pelanggan kami sudah memahami akan tindakan preventif untuk mencegahnya,  kami perlu menekankan bahwa infeksi yang disebabkan oleh malware yang kami deteksi dan cegah dapat berdampak negatif pada integritas dan kerahasiaan sistem pemrosesan biometrik.  Ini khususnya berlaku pada kasus untuk basis data di mana data biometrik disimpan, jika sistem itu tidak dilindungi,” kata Pakar keamanan senior, Kaspersky ICS CERT Kirill Kruglov.

Apakah itu berarti bahwa orang-orang harus berhenti menggunakan teknologi ini demi melindungi data biometrik unik mereka dari penyalahgunaan oleh orang lain? Tidak sedikit pun.

Kaspersky telah bermitra dengan perancang perhiasan 3D, Benjamin Waye dan agensi kreatif Archetype untuk menciptakan sebuah perhiasan unik, yaitu cincin khusus yang dapat mencetak pola sidik jari buatan dan dapat digunakan untuk otentikasi. Cincin unik ini berfungsi sebagai ekstensi identitas digital seseorang, dirancang untuk menjaga data biometrik unik para pengguna tetap aman.

Cincin ini menjadi salah satu solusi yang mungkin dapat melindungi data biometrik masyarakat di lingkungan, di mana tidak ada jaminan 100% bahwa data biometrik asil akan disimpan oleh pihak ketiga secara bertanggung jawab. Dengan aksesori semacam ini, orang dapat membuka kunci ponsel mereka dan menggunakan sistem lainnya yang memerlukan otentikasi melalui sidik jari tanpa kekhawatiran data biometrik mereka akan dicuri.

Tidak seperti sidik jari nyata, sidik jari buatan ini dapat diubah dan diatur ulang. Misalnya, data biometrik Anda bocor karena terkena serangan, cincin itu dapat diganti dengan pola buatan baru dan data pribadi unik Anda akan aman.

”Dengan menggabungkan unsur-unsur seni dan teknologi, cincin ini dapat membuat orang yang memakainya menjadi layaknya seorang visioner. Ini adalah pendekatan yang berbeda dengan cara kita biasanya memakai perhiasan. Pemakaian ini jauh lebih praktis. Tidak hanya dianggap indah, tetapi telah dirancang dengan tujuan membantu menyelesaikan masalah yang cukup serius dalam kehidupan modern saat ini. Ini membantu menjaga keunikan masyarakat di dunia, di mana segala sesuatu dapat disalin,” kata Perancang aksesori 3D yang menciptakan desain cincin Benjamin Waye.

Sementara cincin tersebut hanya menjadi salah satu cara yang mungkin dapat mengatasi masalah keamanan siber saat ini terkait dengan biometrik, ini tentu bukan sebuah penyelesaian final.

Solusi nyata akan memerlukan pengukuran dalam setiap tindakan dan penciptaan teknologi yang mampu menjamin perlindungan identitas unik setiap orang. Solusi semacam itu memang belum dikembangkan dan sejujurnya, situasi seputar keamanan biometrik saat ini tidak seperti yang seharusnya.

"Namun demikian, dengan meningkatnya adopsi teknologi, sangat penting bagi kami untuk memulai percakapan dalam industri terkait untuk mengembangkan pendekatan kolaboratif demi memastikan data ini terlindungi,” kata Director, Global Research & Analysis Team, Europe, Kaspersky Marco Preuss.

Kaspersky percaya bahwa lansekap keamanan siber saat ini membutuhkan pendekatan yang sangat berbeda - transisi dari 'cybersecurity' ke 'cyber-immunity' di mana sistem dirancang dan dibangun untuk tetap aman dan seharusnya tidak memerlukan solusi keamanan untuk dimasukkan sebagai pelengkap (add-on). Ini adalah masa depan yang sedang dikerjakan perusahaan melalui pengembangan Kaspersky Secure OS yang telah dirancang untuk membuat teknologi cyber-immune.(ak)