Internet of Things, Berdaya guna sekaligus Rentan

tirto.id - Jika Anda masih ingat pada periode kedua pemerintahan Joko Widodo, kemungkinan besar Anda ingat bagaimana Internet of Things (IoT) kala itu acap dijadikan buzzword oleh para pejabat negeri. Mereka menceritakan Internet of Things seakan-akan ia adalah temuan terhebat sepanjang sejarah umat manusia. Padahal, pada praktiknya, IoT bisa jadi sangat sederhana.

Kamera CCTV yang terhubung ke ponsel, lampu yang bisa menyala otomatis lewat perintah suara, TV pintar, dan hal-hal umum lain yang mungkin ada di rumah Anda juga sebenarnya sudah termasuk dalam aplikasi Internet of Things. Gampangnya, IoT adalah sebuah ekosistem perangkat fisik yang terhubung ke internet dan mampu bertukar data secara real time.

Maka, tak mengherankan jika ada peneliti yang menyebut Internet of Things sebagai Internet of Vulnerabilities. Sebab, menurut mereka, semakin luas sebuah jaringan, semakin besar pula peluang serangan siber.

Mengapa IoT Begitu Rentan?

Meski terlihat canggih, perangkat Internet of Things (IoT) sering kali hadir dengan celah keamanan sejak lahir. Pasalnya, produsen lebih fokus pada fungsi dan harga murah, alih-alih membekali produknya dengan sistem perlindungan yang matang. Ini yang membuat IoT kerap menjadi target empuk serangan siber.

Salah satu masalah paling klasik adalah penggunaan kredensial default. Kamera CCTV, router, hingga printer pintar sering dijual dengan username dan password bawaan yang sederhana, seperti “admin/admin” atau “12345.” Jika pengguna tidak menggantinya, peretas cukup melakukan pemindaian massal ke internet untuk menemukan ribuan perangkat yang bisa dibajak hanya dalam hitungan menit.

Masalah lain adalah pembaruan perangkat lunak yang minim. Tidak semua produsen menyediakan patch keamanan secara rutin. Bahkan jika patch tersedia, banyak pengguna tidak tahu atau tidak mau repot-repot memperbarui firmware perangkat. Kondisi ini membuat perangkat IoT seperti kamera IP atau sistem otomatisasi rumah tangga berjalan dengan celah keamanan yang siap dieksploitasi kapan saja. CISA menegaskan, perangkat dengan firmware usang adalah salah satu kontributor utama maraknya botnet berbasis IoT.

Selain itu, ada kendala teknis yang melekat pada arsitektur IoT, yaitu keterbatasan daya komputasi dan memori. Sebuah jam tangan pintar atau sensor suhu, misalnya, tidak punya kapasitas seperti komputer pribadi. Itu berarti, perangkat-perangkat tersebut sulit menjalankan enkripsi tingkat tinggi, intrusion detection system (IDS), atau mekanisme keamanan canggih lainnya. Sebuah ulasan di NCBI menyebut bahwa banyak protokol komunikasi IoT—seperti MQTT, CoAP, dan Zigbee—tidak memiliki perlindungan kriptografi default, sehingga rawan disadap atau dimanipulasi.

Lebih jauh lagi, keragaman ekosistem IoT justru menciptakan celah baru. Tidak ada standar tunggal yang menyatukan ratusan vendor dan ribuan jenis perangkat di pasaran. Akibatnya, IoT beroperasi dengan protokol berbeda, tingkat keamanan berbeda, dan pembaruan yang tidak sinkron. Armis menekankan bahwa perangkat IoT sering kali tidak menghasilkan log aktivitas, sehingga nyaris tidak terlihat oleh sistem keamanan tradisional. Hal ini membuat serangan sulit dideteksi sebelum terlambat.

Terakhir, faktor manusia tidak bisa diabaikan. Kurangnya kesadaran pengguna memperparah keadaan. Banyak orang memperlakukan perangkat IoT seperti peralatan rumah biasa—dinyalakan, dihubungkan ke Wi-Fi, lalu dibiarkan begitu saja. Padahal, begitu sebuah perangkat terkoneksi internet, ia menjadi bagian dari permukaan serangan global. Tanpa edukasi dan kebiasaan dasar seperti mengganti password atau memisahkan jaringan, pengguna tanpa sadar membiarkan rumah dan kantornya terbuka bagi peretas.

Botnet: Amunisi untuk Menyerang IoT

Istilah botnet berasal dari kata “robot” dan “network,” merujuk pada sekumpulan perangkat yang telah diretas dan diam-diam dikendalikan pihak ketiga tanpa sepengetahuan pemiliknya. Dalam ekosistem tradisional, botnet biasanya dibangun dari komputer pribadi atau peladen (server). Namun sejak era IoT, perangkat sederhana seperti kamera, router, printer, hingga sensor rumah tangga ikut berubah menjadi bagian dari jaringan “zombi.”

Cara kerjanya sederhana: perangkat yang terinfeksi malware tetap berfungsi normal di mata pemilik, tetapi diam-diam menerima instruksi dari pusat kendali (Command-and-Control server, atau C2). Begitu perintah diberikan, ribuan hingga jutaan perangkat bergerak serentak untuk melancarkan serangan.

Jika ada momen yang membuka mata dunia terhadap bahaya IoT, itu terjadi pada 2016 ketika malware Mirai menciptakan kekacauan global. Mirai dirancang untuk membajak perangkat IoT yang masih menggunakan kredensial bawaan; ia memindai internet, masuk lewat username–password sederhana, lalu merekrut perangkat menjadi zombi digital.

Dalam waktu singkat, Mirai menguasai lebih dari enam ratus ribu perangkat dan dipakai untuk melancarkan serangan Distributed Denial of Service (DDoS) yang melumpuhkan layanan besar seperti Twitter, Netflix, dan Reddit.

Bahaya Mirai tidak berhenti setelah serangan itu. Sebaliknya, ketika pembuatnya memublikasikan kode sumber ke forum daring, Mirai berevolusi menjadi keluarga malware dengan banyak varian.

Sebuah studi akademik yang diunggah di arXiv merangkum bagaimana kode asli Mirai kemudian melahirkan Satori pada 2017 yang dalam 12 jam pertama menginfeksi sekitar 280 ribu perangkat, Mukashi pada 2020 yang menarget perangkat NAS Zyxel, Moobot pada 2020 yang muncul dalam konteks serangan siber terkait konflik Rusia–Ukraina, hingga Sonic pada 2021 yang mengeksploitasi beberapa zero-day pada perangkat SSL-VPN SonicWall. Rangkaian varian ini memanfaatkan lebih dari selusin kerentanan perangkat lunak yang ditemukan antara 2014–2021 dan menunjukkan betapa cepatnya ekosistem botnet IoT beradaptasi setelah kode dasarnya tersedia untuk publik.

Fenomena botnet IoT juga tidak berhenti pada keluarga Mirai. Pada 2025, Departemen Kehakiman AS—bekerja sama dengan Amazon Web Services, Google, dan Cloudflare—mengumumkan keberhasilan memberantas RapperBot, salah satu botnet DDoS berbasis IoT paling kuat belakangan ini, yang diketahui telah membajak puluhan ribu perangkat seperti router dan DVR (Digital Video Recorder) untuk melancarkan ratusan ribu serangan.

Jenis Serangan terhadap IoT

Serangan terhadap Internet of Things (IoT) pada dasarnya bergerak di dua jalur: menyerang perangkat itu sendiri atau memanfaatkan perangkat yang sudah dikompromi untuk menyerang pihak lain.

Literatur akademik memetakan spektrum ini dari serangan pasif—seperti penyadapan lalu lintas dan analisis trafik—hingga serangan aktif, termasuk penolakan layanan, jamming, flooding, sinkhole, wormhole, Sybil, dan blackhole. Namun, dalam praktiknya, peretas tidak jarang menggabungkan beberapa teknik sekaligus sehingga jejak serangan kabur dan pertahanan jadi sulit merespons tepat waktu.

Ranah protokol komunikasi adalah titik lemah penting. Banyak protokol IoT yang populer—seperti MQTT, CoAP, atau Zigbee—tidak dirancang aman secara default dan karenanya rentan terhadap penyadapan, pemalsuan identitas, injeksi pesan, replay, hingga penolakan layanan. Keterbatasan daya komputasi dan memori perangkat kecil membuat implementasi enkripsi dan autentikasi yang kuat sering kali dikurangi atau dimatikan, membuka peluang serangan di lapangan.

Di sisi lain, keluarga malware Mirai menunjukkan modus operandi yang sangat efektif: pemindaian internet berskala besar untuk menemukan perangkat dengan kredensial bawaan, brute-force terhadap layanan yang terekspos, lalu pendaftaran perangkat sebagai “zombi” di bawah kendali penyerang. Setelah cukup banyak perangkat terjaring, botnet digunakan untuk membanjiri target dengan lalu lintas palsu sehingga layanan lumpuh.

Dalam beberapa kasus, botnet menggunakan trik yang lebih rumit. Salah satunya disebut GRE flood, yaitu membanjiri jalur khusus yang biasa dipakai perusahaan untuk menghubungkan jaringan mereka, sehingga sulit diblokir karena menyerupai trafik normal.

Ada juga teknik yang dikenal sebagai “DNS water torture”, di mana botnet membuat ribuan alamat palsu secara acak lalu memaksa sistem pencari alamat internet (DNS) bekerja keras mencari jawaban yang sebenarnya tidak ada. Akibatnya, server DNS menjadi kelelahan menjawab permintaan itu dan akhirnya tumbang.

Begitu perangkat IoT berhasil diretas, ancaman tidak berhenti pada serangan DDoS saja. Perangkat yang sudah dikompromi sering dipakai peretas sebagai “batu loncatan” untuk masuk lebih dalam ke jaringan perusahaan atau infrastruktur penting.

Masalahnya, sekarang banyak sistem lama yang dulunya berdiri sendiri—misalnya mesin industri atau perangkat medis—tetapi kini ikut terhubung ke internet. Celakanya, perangkat lama itu tidak didesain dengan pengaman modern, sehingga malah menjadi celah baru yang bisa dimanfaatkan.

Sebuah laporan dari Forescouts menunjukkan lonjakan jumlah celah keamanan pada berbagai jenis perangkat, mulai dari komputer kantor (IT), perangkat pintar (IoT), sistem industri (OT), hingga perangkat medis yang terhubung internet (IoMT). Peretas bisa menggunakan perangkat sederhana, seperti kamera atau sensor, untuk kemudian bergerak masuk ke sistem yang jauh lebih kritis melalui jalur koneksi yang saling terhubung.

Situasi yang sama terlihat di pusat data. Perangkat pendukung seperti kamera keamanan, sistem pendingin (HVAC), atau kontrol akses biometrik sering kali tidak dijaga ketat seperti server atau firewall. Padahal jika berhasil diretas, perangkat ini bisa menjadi pintu belakang (backdoor) yang sangat efektif untuk masuk ke lingkungan data yang bernilai tinggi.

Dampak Sosial-Ekonomi dan Regulasi IoT

Ketika perangkat IoT diretas, kerugian yang muncul tidak lagi sekadar “gangguan teknis.” Ia bisa menjalar menjadi masalah finansial, reputasi, hingga regulasi global.

World Economic Forum menyebutkan, rata-rata satu serangan siber pada perangkat IoT bisa menelan biaya lebih dari $330 ribu. Pada skala yang lebih besar, sepertiga perusahaan melaporkan kerugian mencapai $5–10 juta akibat serangan terhadap ekosistem IoT mereka.

Secara global, beban ekonomi dari kejahatan siber diperkirakan menyentuh $10,5 triliun per tahun pada 2025. Laporan Cybersecurity Ventures menyebut meningkatnya konektivitas—termasuk IoT—sebagai faktor utama yang membuat permukaan serangan kian luas dan berisiko bagi semua sektor, baik publik maupun swasta.

Selain soal uang, ada pula dimensi kepercayaan publik. Survei PSA Certified menunjukkan bahwa lebih dari separuh responden percaya reputasi perusahaan mereka akan ikut runtuh bila terjadi serangan IoT besar. Dengan kata lain, dampak terparah bisa jadi bukan pada biaya pemulihan, melainkan hilangnya kepercayaan konsumen untuk menggunakan produk pintar di masa depan.

Kondisi ini mendorong lahirnya berbagai regulasi keamanan IoT. Uni Eropa, misalnya, sudah memberlakukan Cybersecurity Act 2019 yang memberi mandat pada ENISA untuk menyusun skema sertifikasi keamanan produk digital, termasuk IoT. Menyusul itu, lahir pula Cyber Resilience Act (CRA) yang mewajibkan produsen menjamin keamanan perangkat sepanjang siklus hidupnya, dan rencananya berlaku penuh pada 2027.

ENISA sudah menerbitkan panduan detail tentang cara mengamankan rantai pasokan IoT, mulai dari tahap desain, distribusi, hingga pembuangan perangkat. Bahkan standar teknis khusus, EN 17927 (SESIP), kini tersedia untuk menilai tingkat keamanan perangkat IoT dalam lima level berbeda.

Di Amerika Serikat, IoT Cybersecurity Improvement Act (2020) mewajibkan semua perangkat yang digunakan pemerintah federal memenuhi standar keamanan dasar. Sementara perintah eksekutif EO 14028 menekankan transparansi lewat Software Bill of Materials (SBOM), sehingga produsen harus terbuka soal komponen perangkat lunak yang mereka gunakan.

Perusahaan di kedua kawasan kini mulai menyesuaikan diri. Prinsip security by design, yakni merancang perangkat dengan keamanan sebagai fitur utama, mulai diadopsi secara luas. Produsen juga memperluas tim keamanan siber mereka dan membentuk forum kolaborasi lintas industri untuk berbagi praktik terbaik.

Upaya Pencegahan oleh Pengguna

Dalam skala global, sudah terlihat betapa krusialnya keamanan IoT, sampai-sampai Pemerintah Uni Eropa dan Amerika Serikat mengeluarkan kebijakan khusus untuk mengawasinya. Pelaku industri pun tak mau ketinggalan: mereka mulai membangun perangkat dengan prinsip security by design dan berinvestasi besar dalam keamanan siber. Lantas, bagaimana dengan kita, para pengguna awam? Apa yang bisa kita lakukan agar tidak ikut terseret dalam gelombang serangan siber berbasis IoT?

Langkah pertama adalah menumbuhkan kesadaran dasar. Banyak perangkat pintar dijual dengan username dan password bawaan yang mudah ditebak. Mengganti kredensial default dengan kata sandi yang kuat dan unik adalah hal paling sederhana namun sangat krusial untuk mencegah perangkat diretas. Selain itu, selalu pastikan pembaruan perangkat lunak atau firmware dilakukan secara rutin. Celah keamanan lama yang dibiarkan terbuka adalah pintu termudah bagi peretas.

Langkah kedua adalah pemisahan jaringan. Jangan sambungkan semua perangkat IoT ke jaringan Wi-Fi utama yang juga dipakai untuk pekerjaan atau transaksi keuangan. Membuat jaringan terpisah atau guest network bisa membatasi dampak jika satu perangkat berhasil diretas. Dengan begitu, peretas tidak mudah bergerak ke perangkat lain yang lebih penting.

Langkah ketiga, pantau aktivitas perangkat. Beberapa router modern menyediakan log aktivitas atau aplikasi pemantau yang bisa memberi sinyal bila ada lalu lintas data mencurigakan. Meskipun tidak semua orang ahli membaca data teknis, pola aneh—misalnya perangkat yang mengirim data besar padahal sedang tidak digunakan—bisa menjadi tanda adanya masalah.

Di level organisasi, solusi lebih canggih bisa diterapkan, mulai dari penerapan intrusion detection system (IDS) khusus untuk IoT, penggunaan honeypot (perangkap) untuk memantau upaya infeksi, hingga isolasi cepat terhadap perangkat yang terdeteksi bermasalah. Strategi ini sejalan dengan pendekatan pencegahan-deteksi-mitigasi yang direkomendasikan para peneliti keamanan.

Terakhir, jangan remehkan peran kebijakan dan edukasi publik. Regulasi global seperti Cyber Resilience Act di Eropa dan IoT Cybersecurity Improvement Act di AS hanya akan efektif bila dibarengi dengan literasi masyarakat. Tanpa pengetahuan dasar, pengguna tetap akan memperlakukan perangkat pintar seperti peralatan rumah biasa, padahal begitu terhubung ke internet, ia bisa menjadi bagian dari infrastruktur serangan global.

Dengan langkah sederhana dari pengguna, praktik keamanan lebih baik dari industri, dan regulasi ketat dari pemerintah, ancaman IoT bisa ditekan. Tidak ada jaminan keamanan absolut, tetapi setidaknya kita tidak menyerahkan perangkat kita begitu saja menjadi prajurit zombi di tangan peretas.