Digital Native Business (DNB) di Asia Pasifik saat ini lebih memprioritaskan keamanan Application Programming Interface (API) dibandingkan aspek lain dalam penguatan keamanan siber. DNB merupakan julukan bagi perusahaan yang menjalankan bisnisnya secara daring, terutama yang berkaitan dengan penjualan, pemasaran, layanan pelanggan, dan pemrosesan transaksi melalui internet. Ketika sebuah bisnis semakin mengandalkan API untuk mendukung operasional digitalnya, maka risiko ancaman siber terhadap API turut meningkat.
API berperan dalam mendukung pebisnis untuk mendigitalisasi, menghubungkan, dan berinovasi pada produk dan layanan yang ditawarkan. Kemajuan transformasi digital di Indonesia sangat mengandalkan API. Selain itu, API mempermudah integrasi aplikasi, mendukung peluncuran produk digital terbaru, serta memungkinkan data dan layanan dapat digunakan kembali dan diakses secara luas. Penggunaan API telah memainkan peranan penting dalam mengubah berbagai industri di Indonesia seperti perbankan, e-commerce, kesehatan, transportasi, hingga sektor UKM. Melalui API, perusahaan dapat meningkatkan efisiensi operasional, namun di sisi lain mampu memperluas cakupan bisnisnya.
Pertumbuhan API meningkatkan potensi ancaman keamanan, seperti serangan siber hingga penyalahgunaan data. Oleh sebab itu, penting bagi pemilik bisnis untuk meningkatkan keamanan API. Keamanan API ialah langkah-langkah yang dilakukan untuk mencegah atau mengurangi serangan terhadap API. Sebab, API yang rentan dapat dengan mudah menjadi target bagi peretas untuk mengakses jaringan perusahaan. Implementasi keamanan API pada jaringan API perusahaan bertujuan untuk menghalau berbagai jenis serangan.
Di Indonesia, pedoman terkait aturan dalam transaksi digital telah diatur dalam Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU ITE”). Akibat dari peretasan siber dan penyalahgunaan data pribadi seseorang dalam transaksi digital diatur pada Pasal 27B ayat (1) yang menyebutkan bahwa setiap orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan informasi elektronik dan/atau dokumen elektronik, dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum, memaksa orang dengan ancaman kekerasan untuk:
- Memberikan suatu barang, yang sebagian atau seluruhnya milik orang tersebut atau milik orang lain; atau
- Memberi utang, membuat pengakuan utang, atau menghapuskan piutang.
Perlindungan data pribadi bertujuan untuk melindungi dan menjamin hak dasar warga negara terkait dengan perlindungan diri pribadi dan menjamin masyarakat untuk mendapatkan pelayanan dari korporasi, badan publik, organisasi internasional, dan pemerintah. Data pribadi yang biasanya disalahgunakan dalam transaksi elektronik yakni berkaitan dengan data pribadi yang bersifat spesifik, yakni berkaitan dengan data biometrik dan data keuangan pribadi, sebagaimana diatur dalam Pasal 4 ayat (2) huruf b dan f Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU Perlindungan Data Pribadi”).
Baca juga: Kewajiban dan Peraturan Cloud Computing di Indonesia
Setidaknya terdapat beberapa faktor yang mendasari mengapa API rentan diretas. Pertama, API kerap kali menjadi titik utama integrasi antara berbagai sistem dan aplikasi, sehingga menjadi target yang menarik bagi peretas untuk mengeksploitasi kerentanan dalam protokol komunikasi. Kedua, banyak API yang dirancang dengan keamanan yang kurang memadai, seperti kurangnya enkripsi, autentikasi yang lemah, serta manajemen sesi yang kurang aman. Ketiga, kompleksitas dan jumlah API yang digunakan oleh perusahaan besar dapat menyulitkan pengelolaan dan pemantauan keamanan secara efektif.
Keamanan API menjadi sorotan banyak perusahaan seiring dengan maraknya serangan terhadap API. Meningkatkan keamanan API dalam bisnis digital merupakan upaya krusial untuk melindungi data pribadi konsumen dan menjaga integritas sistem. Beberapa yang dapat dilakukan yakni dengan menerapkan autentikasi yang kuat dengan penggunaan token autentikasi dan autentikasi dua faktor (two factor authentication) untuk mencegah akses ilegal ke API. Selanjutnya, memastikan enkripsi data yang ditransmisikan dengan menggunakan protokol yang aman untuk melindungi data dari penyadapan.
Lalu menetapkan kontrol akses yang ketat dengan menggunakan prinsip least privilege, yakni setiap pengguna atau aplikasi hanya diberikan hak akses minimum yang diperlukan untuk menjalani tugasnya. Lebih lanjut keamanan API dapat dilakukan dengan rate limiting dan throttling yang dapat mencegah serangan DDos dan brute force dengan membatasi jumlah permintaan yang dapat dilakukan ke API dalam periode waktu tertentu. Terakhir yang tak kalah penting dilakukan oleh pemilik bisnis adalah dengan melakukan audit dan pemantauan secara berkala dan melakukan pengujian keamanan secara rutin.
Pemerintah pun memegang peranan dalam menjaga stabilitas keamanan data pribadi melalui transaksi digital. Dalam Pasal 40 ayat (2) UU ITE dijelaskan bahwa Pemerintah melindungi kepentingan umum dari segala jenis gangguan sebagai akibat penyalahgunaan informasi elektronik dan transaksi elektronik yang mengganggu ketertiban umum, sesuai dengan ketentuan perundang-undangan. Pemerintah pun wajib melakukan pencegahan penyebarluasan dan penggunaan informasi elektronik dan/atau dokumen elektronik yang memiliki muatan yang dilarang sesuai dengan ketentuan perundang-undangan.
Keamanan API dalam bisnis digital adalah aspek penting yang tak bisa diabaikan, mengingat peranan API sebagai penghubung utama antara berbagai sistem dan aplikasi. Untuk melindungi data dan integritas sistem, pemilik bisnis harus menerapkan langkah-langkah keamanan yang akurat. Dengan tindakan pencegahan ini, bisnis digital dapat mengurangi risiko serangan siber dan menjaga kepercayaan pelanggan terhadap layanan yang ditawarkan.
Baca juga: Mengenal Data Cloud: Keamanan, Regulasi, dan Manfaatnya bagi Perusahaan
Daftar Hukum:
- Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU ITE”).
- Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU Perlindungan Data Pribadi”).
Referensi:
- Riset Akamai: Bisnis Digital Prioritas Jaga “API” demi Aman dari Hacker. Kompas.com. (Diakses pada 26 Desember 2024 pukul 08.24 WIB).
- Akamai Umumkan Produk Barunya, API Security, guna Melindungi API dari Penyalahgunaan Bisnis dan Pencurian Data. Antaranews. (Diakses pada 26 Desember 2024 pukul 08.45 WIB).
- Ini Alasan Pentingnya API Security untuk Keamanan Data Bisnis Anda. BluePower Technology. (Diakses pada 26 Desember 2024 pukul 09.10 WIB).