Kontrol internal tidak sepenuhnya dapat diandalkan. Menunggu pengaduan pengguna yang dirugikan juga sama sekali merupakan cara yang salah, apalagi Undang-Undang Perlindungan Data Pribadi secara tegas dapat memberikan sanksi baik kepada lembaga maupun individu pengurus yang lalai menjaga keamanan data pribadi yang dikelolanya. Seringkali data yang bocor tidak langsung disadari oleh pemilik data tersebut, mengingat datanya bisa jadi terlebih dulu dijual oleh peretasnya dan baru disalahgunakan oleh pembeli data tersebut.
Penjualan data ini belum tentu disadari dan diketahui serta bisa memakan waktu yang cukup panjang. Misalnya, pencurian data di situs Yahoo dengan memalsukan web cookies sepanjang tahun 2013 dan 2014 baru diketahui secara luas pada tahun 2016 dan 2017. Dampaknya luas, mulai dari menurunkan kepercayaan pengguna yang beralih ke layanan lain, menurunkan harga jualnya ketika diakuisisi Verizon, sampai mendapatkan denda dari regulator.
Pengujian keamanan situs atau aplikasi internet membutuhkan kemampuan pihak eksternal terkait keamanan data yang dapat melakukan simulasi peretasan. Bagaimana mungkin menjaga situs tetap aman dengan menyuruh secara sengaja pihak lain meretasnya? Jangan salah, raksasa teknologi sekelas Google pun melakukannya bahkan dengan memberikan tantangan berhadiah besar bagi mereka yang berhasil menemukan celah keamanan di produk mereka. Meskipun demikian, kita tetap perlu berhati-hati dengan memastikan pihak penguji ini adalah "peretas etis" atau "peretas topi putih" yang benar-benar hanya menguji celah keamanan dan tidak mengusik data dalam sistem yang diujinya.
Prosedur pengujiannya bernama penetration testing. Pelakunya ada pihak ketiga yang memiliki sedikit pengetahuan atau bahkan tidak sama sekali tentang sistem yang kita uji, dalam hal ini adalah situs web. Untuk memastikan kualitas yang mumpuni, kita bisa memilih pihak ketiga terpercaya yang berasal dari negara kita sendiri yaitu Widya Security. Uji keamanan yang dilakukan dipastikan sesuai dengan prosedur Panduan Metodologi Pengujian Keamanan Sumber Terbuka (OSSTMM) ISECOM dan Proyek Keamanan Aplikasi Web Terbuka (OWASP), serta untuk lembaga keuangan juga dipastikan menaati kewajiban pentest yang diatur pada PBI (Peraturan Bank Indonesia) No. 9/15/PBI/2017 dan SEOJK Nomor 21/SEOJK.03/2017.
Terkait website, secara garis besar Widya Security akan menguji seberapa rentan situs web kita menghadapi upaya mendapatkan data sensitif melalui database tempat kita menyimpan data, source code yang digunakan untuk mengoperasikan situs, serta jaringan back-end yang menghidupi situs tersebut untuk bisa diakses banyak orang. Termasuk persiapan dan penilaian awal terhadap spesifikasi sistem yang dites, proses pengerjaan memakan waktu sekitar tiga sampai sepuluh hari tergantung pada kompleksitas sistem dengan hasil akhir berupa analisis celah dan ancaman di berbagai level, potensi dampaknya pada reputasi bisnis, laporan hasil temuan dan kerentanan secara menyeluruh, sampai saran terkait keamanan website yang lebih baik.
Secara umum, penetration testing dimulai pada tahap perencanaan dan pengumpulan informasi. Baik dengan informasi awal dari pengelola situs maupun tidak, penguji akan mencari informasi dari sumber lain untuk membantu pengelola menemukan celah yang tidak mereka sadari. Sumber ini termasuk pada pencarian informasi publik di internet dan media sosial. Ruang lingkup, durasi, dan sumber daya yang terlibat dalam pengujian juga ditentukan di sini, termasuk apakah pengguna sistem akan diberitahu terlebih dahulu atas keberadaan pengujian.
Langkah berikutnya adalah penguji akan mencari dan menganalisis kelemahan yang dapat digunakan untuk mencuri data atau melakukan aktivitas tanpa teridentifikasi. Serangan yang umumnya diantisipasi dapat berupa injeksi SQL, cross site scripting, DDoS attack, dan serangan mencoba-coba alias bruteforce. Penguji dapat memanfaatkan alat uji seperti web application scanners atau proxy tools dan mengombinasikannya dengan teknik-teknik manual. Dengan staf ahli berpengalaman lebih dari sepuluh tahun dan juga bersertifikat, termasuk di antaranya membantu klien besar seperti Astrapay dan CIMB Niaga Auto Finance, Widya Security memiliki serangkaian prosedur uji mumpuni berstandar ISO 27001 untuk memastikan penemuan celah keamanan secara menyeluruh baik yang terbuka jelas maupun sulit ditembus, juga termasuk oleh aplikasi yang digunakan khususnya yang bersifat open source.
