Penetration Testing
Penetration testing untuk operator telekomunikasi Indonesia
Ringkasnya
Cara operator telekomunikasi Indonesia menentukan cakupan penetration test di sistem pelanggan, signalling, dan core 5G, sesuai penilaian tahunan Kominfo.
Operator telekomunikasi tidak bisa menunggu terjadinya insiden untuk tahu apakah basis data pelanggan atau lapisan signalling miliknya bisa dieksploitasi. Sistem yang menyimpan identitas pelanggan dan membawa lalu lintas otentikasi justru yang pertama diintai penyerang, dan Kominfo kini menuntut operator menjalankan penilaian keamanan tahunan serta memelihara rencana respons insiden yang diuji. Menguji sistem itu sebelum penyerang melakukannya adalah cara operator mengubah tuntutan itu menjadi bukti. Halaman ini membahas apa yang harus masuk cakupan untuk operator telekomunikasi secara spesifik, mengapa pekerjaannya berbeda dari pengujian enterprise, dan bagaimana kami menjalankannya. Untuk cara kerja penetration testing secara umum, lihat halaman layanan penetration testing kami.
Mengapa pengujian berbeda untuk operator telekomunikasi
Jaringan telekomunikasi bukan sekadar jaringan enterprise yang lebih besar. Ia punya lapisan yang hanya dijalankan operator, dan masing-masing membawa risikonya sendiri yang tidak akan dijangkau pengujian generik.
BSS, OSS, dan basis data pelanggan
Business dan operations support system berada di depan basis data pelanggan HLR dan HSS yang menyimpan data identitas dan lokasi dalam skala besar. Kontrol akses yang lemah atau antarmuka admin yang terekspos di sini adalah jalan langsung menuju data pribadi jutaan pelanggan.
Signalling SS7 dan Diameter
Lapisan signalling yang menghubungkan jaringan adalah tempat pelacakan pelanggan, pengalihan SMS, dan penyadapan panggilan terjadi. Mengujinya memeriksa apakah penyerang yang menjangkau bidang signalling dapat menyalahgunakannya, sebuah kelas risiko yang tidak akan pernah masuk pengujian enterprise.
Core 5G dan node edge
Core 5G awal menambahkan komponen cloud-native di samping signalling lawas, jadi jaringan kini punya pertanyaan keamanan kontainer dan API di atas yang lama. Pengujian harus mencakup permukaan cloud-native yang baru sekaligus signalling yang berada di sebelahnya.
Perimeter eksternal, provisioning, dan billing
Perimeter yang terhubung internet, rantai provisioning yang mengaktifkan SIM, dan platform billing adalah tempat penyerang eksternal dan pelaku penipuan sama-sama memulai. Pengujian perimeter memeriksa apa yang dilihat penyerang sebelum menyentuh apa pun yang internal.
Pola pelanggaran di balik sebagian besar hal ini konsisten dan layak disebut. Data pelanggan terekspos lewat sistem terhubung internet yang tidak ditambal, retensi data berlebih yang menyimpan rekaman jauh setelah tidak dibutuhkan, dan kontrol akses yang lemah pada basis data pelanggan. Penetration test dirancang untuk menemukan ketiganya sebelum penyerang melakukannya, karena masing-masing adalah cara yang sudah dikenal untuk memulai pelanggaran basis data pelanggan, bukan sekadar kemungkinan.
Apa yang kami uji dan cara kami menjalankannya
Permukaan serangan operator telekomunikasi lebih luas dari satu aplikasi web saja, sehingga penentuan cakupan harus memperhitungkan setiap lapisan yang menjangkau data pelanggan atau membawa lalu lintas otentikasi.
Setiap penugasan mencakup satu kali retest gratis setelah perbaikan dilakukan, karena laporan yang menyatakan "sudah diperbaiki" baru berarti sesuatu kalau ada yang memeriksanya kembali. Bagian yang paling penting bagi operator telekomunikasi adalah segmentasi antara IT korporat dan core signalling: pertanyaan sebenarnya adalah apakah sistem kantor yang berhasil dikompromikan bisa menjangkau jaringan yang membawa lalu lintas pelanggan, dan batas itu diuji, bukan diasumsikan. Jika Anda sedang menimbang antara pemindaian kerentanan yang lebih ringan dengan pengujian penuh, halaman kami tentang vulnerability assessment vs penetration testing menjelaskan di mana masing-masing cocok, dan halaman kami tentang berapa lama penetration testing berlangsung menjelaskan mengapa cakupan telekomunikasi berjalan lebih lama daripada enterprise.
Apa yang dikatakan angka tentang sektor ini
350 jt+
Koneksi seluler di Indonesia, lebih banyak dari jumlah penduduk (GSMA via DataReportal, 2024)
~15%
Bagian penduduk dengan cakupan 5G pada akhir 2023 (ABI Research)
72 jam
Tenggat UU PDP untuk memberi notifikasi setelah pelanggaran data pribadi pelanggan (UU 27/2022)
Lebih dari 350 juta koneksi seluler berarti basis data pelanggan adalah salah satu konsentrasi data pribadi terbesar di negeri ini, sehingga kontrol akses yang tidak pernah diuji di dalamnya adalah risiko berskala nasional, bukan lokal. Dengan cakupan 5G yang masih sekitar 15 persen penduduk pada akhir 2023, sebagian besar operator menguji jaringan hibrida di mana core 5G cloud-native yang terus tumbuh berdampingan dengan signalling lawas, dan keduanya harus masuk cakupan. Tenggat notifikasi UU PDP yang singkat adalah alasan menemukan celah yang bisa dieksploitasi lebih dulu, lewat pengujian, lebih murah daripada menemukannya lewat pelanggaran.
Jika penilaian keamanan tahunan Anda akan datang dan Anda ingin cakupannya benar-benar menyentuh sistem pelanggan, signalling, dan 5G Anda alih-alih daftar periksa generik, tim kami dapat menyusun langkah berikutnya yang konkret.
Referensi
- 1.Republik Indonesia, Perpres No. 82 Tahun 2022 tentang Penyelenggaraan Sistem Elektronik
- 2.Republik Indonesia, PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
- 3.Republik Indonesia, UU No. 27 Tahun 2022 (UU PDP)
- 4.DataReportal, Digital 2026 Indonesia (koneksi seluler, data GSMA)
- 5.ABI Research, tentang adopsi 5G di Indonesia
Ditinjau oleh Naren Krishnan, Cybersecurity Manager
Pertanyaan umum
Sistem yang berhadapan dengan pelanggan dan sistem internal tempat penyerang benar-benar mendarat: platform BSS dan OSS beserta basis data pelanggan di belakangnya, lapisan signalling SS7 dan Diameter, core 5G dan node edge, serta perimeter eksternal termasuk provisioning dan billing. Pengujian yang hanya mencakup situs web publik melewatkan sistem signalling dan pelanggan tempat kerusakan nyata terjadi.
Terkait
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.