New Normal, Working From Home, Working in Office:

 

Amankah Aplikasi Komunikasi Video-Audio Kita?

Dalam beberapa bulan terakhir, Zoom menjadi aplikasi video conferencing populer akibat efek wabah Covid-19 yang melanda hampir seluruh bagian dunia dengan dampak yang dirasakan semua lapisan mulai dari kegiatan sekolah, bisnis, pemerintahan hingga masyarakat awam yang seringkali harus mendampingi anaknya untuk belajar online.

Selain solusi praktis yang disediakan Zoom untuk kebutuhan pengguna dalam hal connectivity, ternyata Zoom  mulai mendapat perhatian dari aspek  lain yang tak kalah pentingnya, yaitu masalah security, baik dalam hal keamanan data maupun untuk tujuan perlindungan konsumen. Masalah ini mengemuka di tingkat global, tak terkecuali juga di Indonesia. Pro-kontra juga berkembang di Indonesia mengenai pemakaian aplikasi ini. Adapun  beberapa permasalahan utama penggunaan aplikasi Zoom adalah  perlindungan pribadi (privacy), zoombombing dan keamanan data.

 

Masalah data privacy pada penggunaan aplikasi ini lebih bersifat bisnis karena kemungkinan adanya kerjasama Zoom untuk mensuply data pengguna ke Facebook untuk bisnis periklanan perusahaan medsos ini. Namun sejauh ini menurut seorang peneliti belum ada “data sensitif” yang terkirim ke Facebook hingga versi ini dioperasikan1).

Untuk hal ini regulasi terkait perlindungan data sudah tersedia, salah satunya adalah GDPR (General Data Protection Regulation) yang diinisiasi oleh Uni Eropa namun mengikat juga perusahaan yang berada di luar wilayah European Comission selama individu, perusahaan dan pemerintah yang direpresentasikan oleh data itu adalah warga European Comission.

Pemerintah pun bisa juga mengadopsinya dengan memaksa operator asing untuk patuh guna melindungi data penduduknya.

Selain itu, masalah zoombombing atau  teleconference hijacking juga dapat terjadi ketika pemakaian teleconference dan kelas online , Biro Investigasi Federal Amerika (FBI) divisi Boston sudah  memberi peringatan. Resiko pemakaian aplikasi ini adalah kemungkinan orang tak dikenal bisa ikut serta dalam rapat dengan menebak “confno”, meski celah untuk memilih rapat tertentu tidak tersedia bagi penyerang2).

Kasus yang dilaporkan ke FBI tersebut masih dianggap bentuk keisengan, namun kelemahan ini bukan tanpa risiko yang merusak, misalnya kelak digunakan untuk menyebar konten/muatan yang tak pantas bagi anak didik saat mengikuti kelas online. Belum lagi potensi untuk menayangkan iklan gratis merupakan model penyelewengan bermotif bisnis yang banyak diminati para kriminal. Celah seperti itu perlu dipertimbangkan pengguna agar bisa mengantisipasi  penanggulangannya.

Namun, hingga berita yang tersiar pada 2 April 2020, Zoom belum bisa mengatasi kelemahan ini, dan berjanji akan menyelesaikan dalam 90 hari ke depan yang merupakan jeda sesuai best practice dalam mengatasi keamanan, dengan solusi sementaranya adalah meniadakan fitur yang punya celah untuk diserang.

 

Risiko lain dalam fitur keamanan Zoom adalah false claim end-to-end encryption.  Pada kenyataannya Zoom hanya menyediakan transport encryption, seperti dikutip dari the Intercept 3), juru bicaranya sendiri menyatakan bahwa, “Currently, it is not possible to enable E2E encryption for Zoom video meetings.” Fitur end-to-end encrypted ini sulit ditambahkan begitu saja pada Zoom karena karakteristik aplikasi rapat online yang butuh menganalisa content secara cepat agar bandwidth jaringan yang digunakan bisa optimal, fitur yang sangat penting bagi pengguna (seperti dituturkan seorang profesor ilmu komputer dan cryptography Amerika).

Content/muatan video dan audio yang dikirim hanya terlindungi selama dalam transport (keadaan data in transit) antara server Zoom yang berada di tengah para pengguna, bukan seperti pengertian umum terhadap “end-to-end” yang berarti jangkauannya sampai pengguna akhir. Akibatnya secara teknis Zoom bisa mengintip video dan audio dari rapat, yang tentu mendatangkan risiko kerugian besar jika rapatnya tentang hal sensitif.

 

Ilustrasi pemanfaatan Zoom sebagai aplikasi video conferencing

Zoom juga tidak menerbitkan transparancy report yang bisa membantu user menilai apa yang telah dilakukan Zoom dalam menjaga data. Namun demikian, Zoom menyediakan juga fasilitas yang disebutnya MeetingConnector di mana pelanggan bisnis Zoom bisa menggunakan servernya sendiri dalam rapat.  Zoom hanya mengambil metadata dari suatu rapat (seperti waktu, nama dan peserta rapat), sementara contentnya tetap berada pada server internal milik pelanggan.

 

Analisis Kondisi

Aplikasi Zoom menurut pendirinya  pada awalnya memang dirancang untuk kalangan terbatas dengan lingkungan operasi yang sempit, misalnya di kalangan perusahaan4). Dalam lingkungan operasi yang spesifik itupun, operasionalisasinya juga dikelola oleh teknisi IT di organisasi tersebut yang tidak saja paham kebutuhan pengguna, namun juga kemampuan dan keterbatasan aplikasi.

Kondisi ini sangat berbeda dengan pemakaiannya sekarang di mana secara global segala lapisan, mulai dari anak sekolah, hingga kantor pemerintah untuk rapat penting, dengan alasan wabah “terpaksa” menggunakannya karena fitur utamanya berupa ketersambungan  memang dianggap bisa menggantikan secara cepat dan murah kebutuhan banyak pihak untuk bertemu secara fisik yang tiba-tiba dilarang karena social distancing.

Namun di sisi lain, ada juga kebutuhan seperti terhadap keamanan yang bagi beberapa pihak, seperti aparat yang mengelola data sensitif negara, merupakan kebutuhan paling utama. Gap antara kemampuan dan kebutuhan inilah yang mengemuka seiring pemahaman terhadap pemakaian produk yang mulai meningkat.

Karenanya dalam menggunakan suatu produk secara cerdas diperlukan, pertama adalah pemahaman yang lengkap terhadap fitur sistem tersebut, seperti: manfaat yang ditawarkan (value proposition); batas kemampuan sistem sesuai rancangannya (system boundary); konteks dari sistem untuk bisa beroperasi sesuai rancangan; lingkungan, ancaman (hazard) yang mempengaruhi kinerja yang dirancang. Selanjutnya adalah pemahaman yang cukup terhadap kebutuhan masing-masing pengguna: koneksi lancar dan sekaligus gambarnya jelas (ada functional maupun non-functional requirements); aman (secure) namun juga perlu mudah digunakan (ease of use).

 

Rekomendasi untuk Mitigasi dan Adaptasi

Dalam kondisi saat ini di mana masyarakat mau-tidak-mau “dipaksa” beraktifitas online, maka kebutuhan untuk memahami sistem tersebut sulit untuk dilakukan masing-masing secara mandiri. Untuk itu diperlukan bantuan, baik dari pemerintah ataupun lembaga masyarakat, untuk menjembatani gap pengetahuan akan kebutuhan terhadap aplikasi tertentu, dengan fitur yang disediakan oleh produk dengan  muatan teknologi tinggi.

Untuk itu pemerintah perlu menyediakan pendampingan seperti menerbitkan “Panduan” untuk penggunaan sesuai kebutuhan dan risiko yang dihadapi. Dengan demikian masyarakat akan lebih terbantu jika disediakan help desk dalam hal menjalankan solusi alternatif melalui study atau work from home , sehingga membantu program anjuran pemerintah untuk ‘#Di Rumah Aja” yang mendesak saat ini.

Di sisi lain, ini juga menjadi peluang emas bagi pemerintah untuk mempercepat transformasi digital. Wabah Covid-19 ini memberikan kesempatan langka untuk merubah kebiasaan masyarakat yang merupakan faktor yang banyak menjadi penghambat transformasi menjadi budaya digital baru yang lebih efisien dan efektif.

 

Reference

1). (vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account).

2). (The Video Call Vulnerability: medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5).

3). (com/2020/03/31/zoom-meeting-encryption/)

4). (cbsnews.com/news/zoom-video-conferencing-feature-freeze-security-flaws/)