Pada tanggal 24-26 November 2010, bertempat di Balikpapan, Kalimantan Timur telah dilaksanakan Rapat Koordinasi Layanan Pengadaan Secara Elektronik (LPSE) Nasional yang diikuti oleh LPSE se-Indonesia.
Kebetulan saya diminta oleh LKPP untuk membawakan sebuah materi yang berjudul Pentingnya Keamanan Sistem Informasi pada LPSE. Bagi yang ingin memperoleh seluruh materi yang dibawakan pada acara tersebut, silakan klik disini.
Pada tulisan ini saya coba mengangkat salah satu isi dari presentasi yang saya paparkan pada acara tersebut khususnya mengenai keamanan web pada e-Procurement. Hal ini saya anggap penting karena antar muka utama bagi aplikasi e-procurement yang langsung menjembatani antara panitia dengan penyedia barang/jasa adalah web site.
Salah satu celah keamanan pada teknologi web di e-procurement adalah Phishing atau Password Harvesting Fishing.
Apa itu Phishing ?
Untuk menjawabnya, mari lihat gambar di bawah dan coba coba anda ingat lagi kasus yang dulu pernah terjadi
Beberapa tahun yang lalu, dunia IT Indonesia diguncangkan dengan kejadian bobolnya ratusan username dan password pengguna internet banking BCA. Yang dilakukan oleh pembobol cukup sederhana, yaitu dengan membuat sebuah website yang memiliki tampilan mirip dengan Internet Banking BCA. Namun, domain yang digunakan bukanlah domain resmi dari BCA yaitu www.klikbca.com, melainkan bermacam-macam domain yang mirip dan sering tidak sadar diketikkan oleh pengguna seperti pada gambar di atas.
Bayangkan, ratusan username dan password yang tanpa sadar dimasukkan oleh pemilik accout hanya karena menganggap situs yang mereka buka benar-benar situs yang dimaksud. Apabila pelaku adalah orang yang jahat, maka dengan mudah bisa membobol isi rekening orang-orang itu.
Apa kaitannya dengan e-procurement, khususnya dengan LPSE ?
Seperti yang kita ketahui bersama, otentifikasi dari aplkasi e-Proc adalah user dan password. Bayangkan apabila ada yang jahil membuat tampilan yang mirip dengan aplikasi LPSE kemudian membuat domain yang mirip dengan Instansi penyelenggara LPSE dan mempublishnya. Maka bisa jadi pelaku dapat memperoleh username dan password dari pengguna aplikasi e-procurement ini.
Dengan mudah dirinya mengacak pengaturan lelang oleh panitia, mengacak-ngacak jadwal lelang, evaluasi, bahkan dapat membatalkan lelang.
Dari segi peserta atau penyedia barang/jasa, orang ini akan mudah mengacak-ngacak identitas penyedia, mengubah dokumen kualifikasi, bahkan mengiriman penawaran yang salah sehingga penyedia barang/jasa menjadi kalah dalam pelaksanaan pengadaan.
Jadi, apa yang harus kita lakukan ?
Tidak ada jalan lain selain tetap waspada. Pastikan situs LPSE yang dibuka benar-benar situs yang asli. Pastikan setiap huruf pada saat mengetikkan URL dari web LPSE yang dibuka telah sesuai sebelum menekan tombol Enter.
Tetaplah waspada terhadap kejahatan teknologi informasi.
