Selama bertahun-tahun, kita diajari satu aturan sederhana soal keamanan website: pastikan ada gembok kecil di kolom alamat browser. Gembok itu artinya situs sudah memakai HTTPS, koneksi terenkripsi, dan data pelanggan aman. Banyak pemilik UMKM merasa pekerjaan keamanan selesai begitu sertifikat SSL terpasang dan tulisan "Not Secure" hilang dari Chrome.

Asumsi itu kini mulai goyah. Pada 23 April 2026, Badan Siber dan Sandi Negara (BSSN) mengungkap temuan yang mengubah cara kita memandang keamanan: pola serangan siber terbaru sudah mampu menembus sistem yang dilindungi protokol HTTPS. Port 443 — pintu masuk standar untuk koneksi terenkripsi yang selama ini dianggap "rumah aman" — justru menjadi sasaran utama. Artinya, gembok hijau di browser tidak lagi cukup menjadi jaminan.

Artikel ini menjelaskan apa sebenarnya temuan BSSN tersebut dengan bahasa yang mudah dimengerti, kenapa hal ini penting buat pemilik usaha kecil dan menengah, dan langkah konkret apa yang bisa Anda lakukan tanpa harus jadi ahli IT atau mengeluarkan biaya besar.

Apa Itu HTTPS dan Kenapa Selama Ini Dianggap Aman

Sebelum membahas serangannya, mari kita samakan dulu pemahamannya. HTTPS (HyperText Transfer Protocol Secure) adalah versi aman dari protokol yang dipakai browser untuk berkomunikasi dengan website. Huruf "S" di belakangnya berasal dari lapisan enkripsi bernama SSL/TLS (Secure Sockets Layer/Transport Layer Security).

Cara kerjanya kira-kira begini: ketika pelanggan mengisi formulir di website Anda — misalnya nomor HP, alamat, atau detail pembayaran — data itu diacak menjadi kode yang tidak terbaca selama dikirim melalui internet. Kalau ada penjahat yang "menyadap" di tengah jalan, yang dia lihat hanya tumpukan karakter acak, bukan informasi asli. Lalu lintas terenkripsi ini lewat melalui port 443, sebuah "pintu" standar di server.

Sistem ini terbukti efektif selama lebih dari satu dekade. Karena itulah Google mewajibkan HTTPS, dan situs tanpa SSL ditandai "tidak aman". Masalahnya, keamanan bukan tujuan yang statis. Saat satu pintu diperkuat, penyerang mencari celah lain — termasuk celah di dalam pintu yang dianggap paling kokoh.

Temuan BSSN: Serangan Kini Masuk Lewat Pintu yang Dikira Aman

Menurut Mayjen TNI Bondan Widiawan, Deputi Bidang Operasi Keamanan Siber dan Sandi BSSN, pelaku serangan kini menggeser fokus mereka. Dulu, port yang lemah seperti port 80 (HTTP biasa, tanpa enkripsi) menjadi sasaran empuk. Sekarang, justru port 443 yang berbasis HTTPS jadi target utama eksploitasi.

Logikanya masuk akal dari sisi penyerang. Karena lalu lintas di port 443 terenkripsi, banyak sistem keamanan lama justru tidak memeriksa isinya secara mendalam — dianggap "sudah aman karena terenkripsi". Penyerang memanfaatkan kepercayaan buta ini untuk menyelundupkan serangan di dalam koneksi yang terlihat sah.

Teknik yang dipakai antara lain injeksi (injection), yaitu menyisipkan perintah berbahaya ke dalam input website — misalnya melalui kolom pencarian, formulir login, atau parameter URL — untuk membobol database. Yang membuatnya lebih mengkhawatirkan, BSSN menyebut serangan ini sering menyasar sistem profiling, yang mempermudah ekstraksi data pribadi.

Bondan memberi gambaran betapa berharganya data yang bocor: "Dari satu foto saja, seseorang bisa mengidentifikasi orangnya, lokasi rumahnya, dan informasi lain." Bagi UMKM yang menyimpan data pelanggan, ini berarti kebocoran satu database bisa membahayakan ratusan atau ribuan orang sekaligus.

Akar Masalahnya: Enkripsi Lama Mulai Ketinggalan Zaman

Bagian paling mendasar dari temuan ini adalah pengakuan bahwa fondasi enkripsi yang kita pakai sekarang mulai rapuh. Bondan menyatakan bahwa Indonesia "masih menggunakan kriptografi asimetris yang secara fundamental lemah ketika diserang dengan komputasi modern."

Maksudnya, metode pengamanan yang dulu butuh jutaan tahun untuk dibobol, kini menghadapi ancaman dari kemampuan komputasi yang jauh lebih dahsyat — termasuk komputasi kuantum yang sedang berkembang. Karena itu, BSSN mendorong berbagai sektor untuk segera bermigrasi ke post-quantum cryptography (kriptografi pasca-kuantum), yaitu generasi enkripsi baru yang dirancang tahan terhadap serangan komputer kuantum.

Untuk UMKM, istilah ini terdengar jauh dan terlalu teknis. Anda tidak perlu langsung memahami atau membeli teknologi kuantum. Tapi pesannya jelas: jangan pernah menganggap "sudah ada SSL" sama dengan "sudah aman selamanya". Keamanan adalah proses yang harus terus diperbarui, bukan kotak centang sekali pasang.

Kenapa UMKM Justru Lebih Rentan

Mungkin Anda berpikir, "Serangan canggih seperti ini pasti menyasar bank atau perusahaan besar, bukan toko online saya." Sayangnya, kenyataannya kebalikan. BSSN mencatat bahwa serangan kini mulai mengancam keberlangsungan UMKM, yang menjadi tulang punggung ekonomi digital nasional.

Data menunjukkan situasinya serius. Sepanjang 2025, BSSN mencatat 5,5 miliar serangan siber — melonjak 714 persen atau tujuh kali lipat dibanding rata-rata tahunan periode 2020–2024. Tren ini berlanjut: pada 1 Januari hingga 15 April 2026 saja sudah tercatat 1,52 miliar serangan, setara sekitar 170 serangan per detik ke sistem elektronik nasional.

Yang membuat UMKM jadi sasaran empuk bukan karena datanya paling bernilai, tapi karena pertahanannya paling lemah. Beberapa penyebabnya:

  • Anggaran keamanan minim. Hanya sekitar 18 persen pelaku UMKM di Indonesia yang sudah berinvestasi pada sistem keamanan siber. Sisanya praktis tanpa perlindungan serius.
  • Serangan kini otomatis dan acak. Munculnya cybercrime-as-a-service membuat teknologi serangan diperjualbelikan layaknya layanan biasa. Penjahat tidak lagi memilih korban satu per satu — mereka menyapu ribuan situs sekaligus dengan tools otomatis, dan situs lemah mana pun akan ketahuan.
  • Tidak ada tim IT khusus. Kalau bank punya pusat keamanan 24 jam, kebanyakan UMKM mengandalkan satu orang serabutan atau bahkan pemiliknya sendiri.

Bondan juga memperingatkan bahwa malware kini bermutasi terus-menerus: "Penyerang langsung memodifikasi tanda tangan malware begitu terdeteksi." Artinya, antivirus lama yang hanya mengenali ancaman berdasarkan "daftar wajah" yang sudah dikenal menjadi makin tidak efektif.

Ilustrasi keamanan kode dan website untuk UMKM

Langkah Konkret untuk UMKM: Lapisan di Atas HTTPS

Kabar baiknya, Anda tidak perlu jadi pakar siber atau merogoh kocek dalam untuk meningkatkan pertahanan secara signifikan. Inti pesannya adalah pertahanan berlapis — HTTPS tetap penting, tapi jadikan dia lapisan pertama, bukan satu-satunya. Berikut langkah praktis yang bisa langsung Anda terapkan.

1. Tetap Pakai HTTPS, Tapi Pastikan Versinya Terbaru

HTTPS belum usang — yang usang adalah anggapan bahwa ia cukup sendirian. Pastikan sertifikat SSL Anda aktif dan tidak kedaluwarsa, dan minta penyedia hosting memakai TLS versi terbaru (TLS 1.3). Banyak layanan hosting di Indonesia kini menyediakan SSL gratis lewat Let's Encrypt yang otomatis diperbarui. Cek juga apakah situs Anda masih membuka port lama yang tidak terpakai.

2. Pasang Web Application Firewall (WAF)

WAF adalah "satpam" yang memeriksa setiap lalu lintas masuk dan menyaring serangan injeksi sebelum mencapai website Anda. Inilah pertahanan langsung terhadap teknik injeksi yang disorot BSSN. Anda tidak perlu membeli perangkat mahal — layanan seperti Cloudflare menyediakan WAF dasar secara gratis, cukup dengan mengarahkan domain Anda melaluinya. Untuk kebutuhan lebih serius, tersedia paket berbayar dengan perlindungan lebih dalam.

3. Perbarui Semua Software Secara Rutin

Sebagian besar pembobolan website kecil bukan karena serangan jenius, melainkan karena celah lama yang belum ditambal. Kalau Anda memakai WordPress, perbarui inti sistem, tema, dan plugin secara berkala. Hapus plugin yang tidak dipakai. Setiap pembaruan biasanya menutup lubang keamanan yang sudah diketahui publik — dan diketahui penyerang.

4. Terapkan Prinsip Zero Trust untuk Akses

BSSN turut mendorong model keamanan Zero Trust sebagai standar baru. Prinsipnya: jangan percaya siapa pun secara otomatis, bahkan dari dalam jaringan sendiri. Versi sederhana untuk UMKM:

  • Aktifkan autentikasi dua faktor (2FA) di semua akun penting: admin website, email bisnis, hosting, dan media sosial.
  • Beri setiap karyawan akses hanya sebatas yang dia butuhkan — kasir tidak perlu akses ke pengaturan server.
  • Segera cabut akses akun mantan karyawan begitu mereka keluar.

5. Backup Data Secara Terpisah dan Rutin

Kalau yang terburuk terjadi — data dienkripsi ransomware atau database dihapus — backup adalah penyelamat Anda. Simpan salinan data penting di lokasi terpisah dari server utama, misalnya cloud storage atau hard disk eksternal yang tidak selalu terhubung. Uji secara berkala bahwa backup itu benar-benar bisa dipulihkan, bukan sekadar ada.

6. Latih Tim Anda Mengenali Tipuan

Sekitar 40 persen ketahanan siber, menurut praktisi industri, bergantung pada faktor manusia. Teknologi secanggih apa pun bisa ditembus oleh satu klik karyawan pada email phishing. Luangkan waktu rutin — cukup 30 menit sebulan — untuk membahas contoh penipuan terbaru bersama tim, terutama email palsu yang mengatasnamakan bank, marketplace, atau bahkan atasan.

Mitos yang Perlu Ditinggalkan

Temuan BSSN ini sebaiknya mengubur beberapa mitos yang masih dipegang banyak pemilik usaha:

  • "Ada gembok hijau, berarti situs saya aman." Gembok hanya berarti koneksi terenkripsi, bukan bahwa website kebal dibobol. Serangan injeksi tetap bisa terjadi di balik enkripsi.
  • "Usaha saya terlalu kecil untuk diincar." Serangan otomatis tidak peduli ukuran usaha Anda. Mereka memindai jutaan situs dan menyerang yang lemah, bukan yang besar.
  • "Cukup pasang antivirus, beres." Dengan malware yang bermutasi terus-menerus, antivirus tradisional hanya menangkap sebagian ancaman. Pertahanan berlapislah yang menutup celah.

Penutup: Keamanan Adalah Proses, Bukan Produk

Pesan terbesar dari pengungkapan BSSN bukanlah bahwa HTTPS sudah tidak berguna — melainkan bahwa keamanan tidak pernah benar-benar "selesai". Penyerang terus beradaptasi, dan pertahanan kita pun harus ikut bergerak. Memasang SSL adalah langkah awal yang baik, tapi menganggapnya sebagai garis akhir justru membuat usaha Anda lengah.

Anda tidak perlu menerapkan semua langkah di atas sekaligus. Mulailah dari yang paling murah dan berdampak besar: aktifkan 2FA hari ini, perbarui semua software minggu ini, dan pasang WAF gratis bulan ini. Setiap lapisan yang Anda tambahkan membuat usaha Anda menjadi sasaran yang lebih sulit — dan dalam dunia serangan otomatis, penjahat cenderung melewati target yang sulit menuju yang lebih mudah.

Kalau Anda merasa kewalahan mengamankan website bisnis sendiri, jangan ragu berkonsultasi dengan penyedia jasa pengembangan web yang memahami praktik keamanan terkini. Investasi untuk pencegahan selalu jauh lebih murah dibanding biaya pemulihan setelah data bocor atau situs lumpuh.

Disclaimer: Artikel ini bersifat informatif dan edukatif, bukan nasihat keamanan teknis yang mengikat. Tingkat risiko dan kebutuhan perlindungan setiap usaha berbeda-beda. Untuk implementasi keamanan yang sesuai dengan kondisi spesifik bisnis Anda, konsultasikan dengan profesional keamanan siber atau instansi resmi seperti BSSN.

Sumber: Badan Siber dan Sandi Negara (BSSN), Kompas.com, Detik Inet, Medcom.id.