Peretas Kerap Incar Layanan Pemerintah dan Perbankan

Vice President of Advisory, Consulting, Ensign Infosecurity Teo Xiang Zheng mengatakan, maraknya serangan siber mengakibatkan semakin banyak data pribadi warga Indonesia yang dijual di situs jual beli ilegal atau deep dark web. Melalui situs tersebut, data pribadi warga Indonesia dijual 0,0002 dollar AS per individu pada September 2022.

”Memang harganya murah. Namun, bukan berarti ini tidak ada ancaman atau bahaya risiko selanjutnya karena bisa saja orang yang membeli data kita akan mencoba untuk melakukan serangan lanjutan," kata Teo dalam rilis Laporan Lanskap Ancaman Siber 2023 Edisi Ke-4 Ensign InfoSecurity, di Jakarta, Rabu (2/8/2023).

Lebih lanjut, Ensign Infosecurity mendapati sejumlah kelompok peretas terlibat dalam serangan siber sepanjang tahun 2022. Tiga kelompok peretas, yakni Dark Pink, Lotus Blossom, dan Naikan, diduga mendapatkan sokongan dari suatu negara dengan tujuan mencuri informasi dan melakukan spionase.

Berbeda dengan tiga kelompok tersebut, kelompok peretas bernama Desorden berorientasi kepada keuntungan pribadi. Pada Agustus 2022, Desorden melancarkan serangannya kepada PT Jasamarga Tollroad Operator, unit usaha PT Jasa Marga (Persero) Tbk pada Agustus 2022.

Menurut Teo, kelompok-kelompok peretas ini cenderung memiliki kapabilitas, intensitas, dan peluang untuk terus melakukan serangan siber di Indonesia. Oleh sebab itu, salah satu upaya mitigasi yang bisa dilakukan adalah dengan meningkatkan sistem keamanan.

Jika masyarakat kehilangan keyakinan pada kemampuan pemerintah atau organisasi terkait untuk melindungi infrastruktur penting, hal ini dapat mengganggu stabilitas sosial dan politik.

”Peretasan terjadi pada sistem software lama, yakni rentan 2006-2017. Celah pada software (perangkat lunak) tersebut bisa dimitigasi dengan meng-upgrade atau update sistem sehingga celah yang ada untuk serangan siber dapat diminimalkan” ujar Teo.

Secara terpisah, Chairman Lembaga Riset Keamanan Siber dan Komunikasi (CISSReC) Pratama Persadha mengatakan, sektor-sektor IIV menjadi target utama peretas untuk mendapatkan akses data pribadi, keuntungan finansial, prestise, atau bertujuan politis, seperti spionase. Hal ini dapat menimbulkan kegaduhan dan menjadi ancaman serius bagi stabilitas ekonomi dan keuangan global.

Selain mengakibatkan kerugian finansial, serangan siber juga dapat memengaruhi kepercayaan publik terhadap sistem pemerintahan, perbankan, dan ekonomi. Dengan demikian, kata Pratama, serangan siber berdampak negatif terhadap pasar keuangan dan mengganggu pertumbuhan ekonomi jangka panjang.

”Serangan terhadap sektor-sektor IIV pastinya akan menciptakan ketidakpercayaan dan kekhawatiran publik. Jika masyarakat kehilangan keyakinan pada kemampuan pemerintah atau organisasi terkait untuk melindungi infrastruktur penting, hal ini dapat mengganggu stabilitas sosial dan politik,” katanya ketika dihubungi dari Jakarta.

Baru-baru ini terjadi serangan siber berupa pencurian data pribadi yang diklaim berasal dari Direktorat Kependudukan dan Catatan Sipil (Disdukcapil) Kementerian Dalam Negeri. Dalam forum jual beli data pribadi, akun peretas berinisial RRR mengaku telah meretas 337 juta data Disdukcapil pada tanggal 14 Juli 2023. Dari hasil investigasi CISSReC, beberapa nama yang tercantum adalah karyawan Disdukcapil.

Edukasi

Menurut Pratama, tidak ada sistem keamanan yang 100 persen bisa melindungi sistem. Selama ini, serangan siber terjadi bukan karena kelemahan sistem keamanan, melainkan banyak titik masuk yang dapat dimanfaatkan oleh peretas, seperti phising, social engineering, pengunduhan berkas mencurigakan, serta menghubungkan USB dan perangkat penyimpanan eksternal ke server.

Baca juga: OJK Dorong Lembaga Jasa Keuangan Perkuat Keamanan Digital

Infografik-10 Besar Negara dengan Skor Keamanan Siber Tertinggi di Asia Pasifik Tahun 2020

”Selain memiliki business continuity management (BCM), perusahaan juga wajib memberi pelatihan karyawan terkait aspek keamanan siber. Sebab, tak jarang, serangan siber berawal dari diretasnya perangkat karyawan atau didapatkannya data kredensial karyawan melalui serangan phising,” ujar Pratama.

Oleh sebab itu, edukasi terhadap pegawai atau karyawan di lembaga dan perusahaan terkait perlu dilakukan. Edukasi ini terkait dengan penggunaan aplikasi dari sumber resmi, pemasangan antivirus dan antimalware, pembaruan sistem keamanan terbaru, pergantian kata sandi secara berkala, serta pemanfaatan fitur keamanan berlapis (2 Factor Authentication).

Baca juga: BFI Finance Akui Alami Serangan Siber

Selain itu, edukasi yang tidak kalah penting adalah tidak membuka tautan mencurigakan dari sumber yang tidak dikenal, membuat salinan data penting secara teratur di tempat yang terpisah, tidak menghubungkan perangkat ke akses wifi gratis, dan menggunakan layanan pengisian daya gratis.

Regulasi

Undang-Undang (UU) Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP) merupakan instrumen hukum yang diundangkan pada 17 Oktober 2022 dengan masa transisi dua tahun sejak diundangkan. Adapun pihak-pihak yang harus bertanggung jawab terkait kebocoran data adalah perusahaan pengendali atau pemroses data dan pelaku kejahatan siber.

Pratama menambahkan, pada Pasal 74 UU PDP, semua pihak mulai menyesuaikan kebijakan internal, salah satunya dengan merekrut petugas pelindungan data. Pelanggaran terkait UU PDP yang dilakukan selama masa transisi tersebut sudah dapat dikenakan sanksi hukuman pidana.

”UU PDP bukanlah tidak ampuh, tetapi belum bisa diterapkan secara maksimal karena adanya beberapa hambatan. Sanksi hukuman hanya dapat dijatuhkan oleh lembaga atau komisi yang dibentuk oleh pemerintah, dalam hal ini Presiden. Jika komisi PDP tersebut tidak segera dibentuk, pelanggaran yang dilakukan tidak akan dapat diberikan sanksi hukuman," tutur Pratama.

Baca juga: BSI Temukan Indikasi Serangan Siber