Mengapa Perguruan Tinggi Hadapi Risiko Keamanan Identitas yang Unik dan Kompleks

Perguruan tinggi menghadapi tantangan unik dalam keamanan dan manajemen identitas yang jauh lebih kompleks dibandingkan banyak industri lain. Lingkungan identitas yang bersifat hybrid dan tingkat pergantian pengguna yang tinggi di universitas menciptakan celah keamanan yang membuka peluang serangan siber dan pelanggaran data yang serius.

Ekosistem Identitas yang Sangat Kompleks di Perguruan Tinggi

Berbeda dengan perusahaan korporasi yang biasanya memiliki populasi pengguna yang statis dan terstruktur, universitas mengelola populasi pengguna yang sangat beragam dan dinamis. Mahasiswa, dosen, alumni, peneliti, kontraktor, dan afiliasi lainnya terus-menerus berganti peran, masuk, atau keluar dari institusi. Proses ini berlangsung terus-menerus setiap semester, menyebabkan siklus hidup identitas yang lebih cair dan sulit dikendalikan.

Pengelolaan identitas ini menjadi lebih rumit lagi karena infrastruktur yang digunakan bersifat hybrid, memadukan sistem on-premises seperti Active Directory (AD) dan platform cloud seperti Microsoft Entra ID. Kedua sistem ini memberikan akses ke berbagai layanan mulai dari email, aplikasi kolaborasi, hingga sistem riset dan laboratorium, namun juga dapat menimbulkan risiko keamanan jika tidak dikelola secara terpadu.

Gaps dalam Tata Kelola Identitas Hybrid

Institusi pendidikan tinggi jarang menghapus sistem lama; mereka cenderung menumpuk lapisan-lapisan infrastruktur identitas baru di atas yang lama. Active Directory tradisional tetap menjadi tulang punggung akses untuk komputer kampus, server file, dan aplikasi internal, sedangkan Microsoft Entra ID mendukung layanan cloud modern seperti Microsoft 365 dan sistem manajemen pembelajaran.

Ketidaksinkronan antara kedua sistem ini dapat menyebabkan akun pengguna yang dinonaktifkan di AD namun masih aktif di Entra ID, menciptakan celah keamanan yang berbahaya. Ketidakkonsistenan ini meningkatkan risiko eksploitasi oleh penyerang yang dapat memanfaatkan akun-akun terlantar tersebut.

Tingkat Pergantian Identitas yang Tinggi Meningkatkan Risiko

Setiap semester, ribuan identitas baru dibuat, sementara akun lama harus segera dinonaktifkan atau dimodifikasi. Namun, proses ini seringkali manual dan terfragmentasi, sehingga banyak akun terlantar yang tidak terkelola dengan baik. Beberapa risiko akibat ini meliputi:

• Akun terlantar tanpa pemilik aktif
• Akun AD yang dinonaktifkan tapi masih aktif di Entra ID
• Keanggotaan grup berlebihan dari peran sebelumnya
• Akun dengan hak istimewa yang terlupakan

Setiap akun yang tidak dikelola dengan baik menjadi potensi pintu masuk serangan siber yang dapat dimanfaatkan untuk eskalasi hak akses dan pergerakan lateral di dalam sistem.

Model TI yang Terdesentralisasi Memperumit Pengelolaan

Universitas biasanya memiliki struktur TI yang terdesentralisasi, di mana fakultas, departemen, dan laboratorium mengelola infrastruktur dan akun masing-masing secara mandiri. Walaupun hal ini mendukung fleksibilitas akademik, dampaknya adalah tata kelola identitas menjadi tidak konsisten.

Administrasi TI yang terpisah-pisah menyebabkan:

• Penamaan akun yang tidak seragam
• Pemberian izin yang berbeda tanpa pengawasan pusat
• Penggunaan domain AD dan tenant Microsoft 365 yang berbeda
• Pengelolaan identitas yang masih banyak menggunakan skrip manual

Ketiadaan pengawasan terpusat membuat sulit untuk memantau hak akses dan mengetahui apakah akun-akun dengan hak istimewa masih relevan sesuai posisi penggunanya saat ini. Hal ini memperlambat deteksi pelanggaran dan meningkatkan risiko kebocoran data.

Serangan Berbasis Kredensial Jadi Titik Masuk Utama

Salah satu metode serangan paling umum adalah kompromi kredensial. Phishing dan serangan MFA fatigue sering digunakan untuk mengambil alih akun mahasiswa atau staf. Setelah berhasil masuk, penyerang dapat memanfaatkan hak istimewa berlebih dan akun terlantar untuk memperluas akses dan bertahan lama di jaringan.

Lingkungan universitas sangat rentan karena mengandung data intelektual dan informasi sensitif mahasiswa serta staf yang sangat bernilai.

Manajemen Identitas Manual Tidak Efisien dan Rentan

Masih banyak perguruan tinggi yang mengandalkan proses manual untuk pembuatan, modifikasi, dan penghapusan akun. Keterbatasan sumber daya TI menyebabkan risiko kesalahan manusia meningkat, kebijakan yang tidak konsisten, dan kurangnya jejak audit yang memadai.

Akibatnya, hak akses yang tidak sesuai tetap ada, yang bisa dimanfaatkan oleh penjahat siber. Proses manual ini tidak scalable dan tidak efektif untuk lingkungan identitas yang besar dan dinamis.

Tekanan Kepatuhan dan Audit

Institusi pendidikan wajib mematuhi regulasi seperti FERPA yang mengatur perlindungan data mahasiswa. Regulasi ini menuntut:

• Kontrol akses yang ketat terhadap data sensitif
• Audit perubahan identitas dan akses yang terdokumentasi
• Penghapusan akses tepat waktu saat tidak diperlukan
• Penerapan prinsip least privilege

Tanpa tata kelola identitas terpusat, proses audit menjadi rumit dan berisiko menghasilkan temuan yang merugikan institusi.

Solusi: Mewujudkan Lingkungan Identitas Terpadu dan Terautomasi

Untuk mengurangi risiko dan meningkatkan efisiensi operasional, universitas harus bergerak menuju model identitas terpadu yang mencakup:

• Visibilitas terpusat atas lingkungan identitas hybrid
• Otomatisasi proses provisioning dan deprovisioning akun
• Penerapan konsisten prinsip least privilege
• Jejak audit yang lengkap dan transparan
• Pengurangan akun terlantar dan hak akses berlebihan
• Workflow standar di seluruh departemen

Automasi dan tata kelola terpusat menjadi kunci untuk menutup celah keamanan yang muncul akibat infrastruktur hybrid dan model TI yang terdesentralisasi.

Analisis Redaksi

Menurut pandangan redaksi, risiko keamanan identitas di perguruan tinggi bukan hanya soal teknologi, tapi juga soal tata kelola dan budaya organisasi. Tingginya tingkat pergantian pengguna dan model TI yang terfragmentasi menciptakan tantangan besar dalam menjaga keamanan data dan privasi.

Lebih dari itu, lingkungan hybrid yang tidak terkelola dengan baik membuka pintu bagi serangan siber yang dapat mengancam reputasi dan keberlangsungan institusi. Universitas harus segera berinvestasi dalam solusi manajemen identitas terpadu yang bukan hanya fokus pada teknologi, tapi juga pada proses dan kebijakan yang konsisten di seluruh lini.

Ke depan, institusi yang berhasil menerapkan otomatisasi dan tata kelola terpusat akan lebih siap menghadapi ancaman keamanan yang semakin kompleks. Pembaca disarankan untuk terus mengikuti perkembangan teknologi dan kebijakan keamanan identitas untuk menjaga perlindungan aset digital yang kritikal.

Robert Kraczek, ahli keamanan identitas dengan pengalaman lebih dari 30 tahun, menekankan pentingnya strategi holistik dalam mengatasi tantangan identitas di sektor pendidikan tinggi agar keamanan dan kemudahan akses dapat berjalan seimbang.