Google distribusikan 10 ribu kunci keamanan kepada jurnalis, pejabat terpilih, aktivis HAM

Google telah mengumumkan akan mendistribusikan kunci keamanan fisik gratis ke lebih dari 10.000 jurnalis, aktivis hak asasi manusia, dan individu lain yang berisiko tinggi menjadi sasaran para peretas yang didukung pemerintah.

Raksasa teknologi itu telah bermitra dengan beberapa organisasi hak asasi manusia dan pro-demokrasi untuk mendistribusikan kunci kepada individu yang berisiko di bawah Program Perlindungan Lanjutan (Advanced Protection Program/APP).

Memberikan lapisan otentikasi tambahan saat masuk ke akun daring, kunci itu membantu menggagalkan upaya jahat untuk mengawasi korban dan mengakses data pribadi mereka.

Mengamankan pemilu

Di antara cara lainnya, Google mendistribusikan Kunci Keamanan Titan (Titan Security Keys) dan materi pendidikannya melalui kursus pelatihan yang diberikan oleh International Foundation for Electoral Systems (IFES), yang memberikan dukungan untuk pemilu di negara-negara demokrasi baru dan yang sedang berkembang.

Pada Februari 2020, Google mengumumkan kolaborasi dengan Defending Digital Campaigns – yang membantu membela partai politik dan kampanye melawan serangan siber – untuk mendistribusikan kunci perangkat keras ke lebih dari 180 kampanye politik federal di Amerika Serikat.

Google berencana untuk menyelesaikan pelatihan keamanan siber bipartisan di seluruh 50 negara bagian AS pada saat pemilihan paruh waktu 2022.

Cabang dan organisasi PBB di seluruh dunia yang mendukung jurnalis, aktivis, politisi, dan eksekutif bisnis wanita yang berisiko juga menerima konsultasi dan lokakarya keamanan daring dari perusahaan tersebut.

“Kami senang dapat bekerja sama dengan organisasi terkemuka ini untuk melindungi kelompok pengguna berisiko tinggi dan mempelajari lebih lanjut tentang kebutuhan pengguna dan organisasi yang berisiko,” kata Google.

“Kolaborasi ini membantu kami membuat keamanan tercanggih di dunia menjadi lebih kuat, lebih inklusif, dan lebih mudah digunakan – membantu semua orang tetap lebih aman dengan Google.”

Keamanan yang ditingkatkan

APP mendukung perlindungan keamanan di luar pertahanan yang dibangun ke dalam layanan Google seperti Gmail dan Google Drive, misalnya dengan memindai unduhan untuk malware secara lebih ketat.

Hanya aplikasi Google dan aplikasi pihak ketiga terverifikasi yang diizinkan untuk mengakses data akun Google seperti kontak, lokasi, kalender, atau file Drive.

Google merekomendasikan untuk mendaftarkan kunci berbasis ponsel sebagai mekanisme autentikasi utama serta sebagai kunci fisik cadangan yang sesuai dengan FIDO, baik berbasis USB, Bluetooth, atau NFC.

Sementara siapa pun dapat mendaftar dengan APP, itu telah "dirancang khusus untuk individu dan organisasi yang berisiko lebih tinggi dari serangan daring yang ditargetkan, seperti pejabat terpilih, kampanye politik, aktivis hak asasi manusia, dan jurnalis", kata Google dalam sebuah postingan blog.

Tidak ada tongkat ajaib

Ilia Kolochenko, pendiri perusahaan keamanan web ImmuniWeb, memuji pengumuman Google, dengan mengatakan bahwa itu harus "menginspirasi raksasa IT lainnya" untuk memberikan dukungan serupa kepada kelompok rentan.

Tetapi inisiatif ini bukanlah 'tongkat ajaib' (solusi sederhana dan tampaknya ajaib untuk masalah yang rumit), dia memperingatkan, mengingat pelaku ancaman yang canggih masih dapat melewati otentikasi dua faktor (2FA), membuat data yang tidak terenkripsi menjadi rentan.

“Apalagi data tersebut seringkali berada di beberapa lokasi, misalnya wartawan sering menerima laporan dan petunjuk berharga dari pelapor yang kini kemungkinan akan menjadi target baru pelaku kejahatan siber,” tambahnya.

Skema ini juga tidak akan berdaya untuk melindungi pengguna yang hidup di bawah rezim otoriter jika penolakan untuk membuka kunci perangkat mereka membuat mereka dipenjara, kata Kolochenko.

“Meskipun demikian,” tambahnya, “upaya berkelanjutan yang dilakukan oleh Google tentu lebih baik daripada tidak layak dan pasti akan mencegah beberapa serangan siber.” (portswigger)