Peretas Kerap Incar Layanan Pemerintah dan Perbankan
Serangan siber tidak hanya mengancam data pribadi, tetapi juga kedaulatan negara. Upaya mitigasi perlu dilakukan, baik melalui edukasi maupun pembuatan dan implementasi regulasi.
Oleh
Agustinus Yoga Primantoro
·4 menit baca
JAKARTA, KOMPAS — Layanan publik yang diselenggarakan pemerintah dan perbankan menjadi salah satu area yang dinilai paling rentan terkena serangan siber. Hal ini mengakibatkan data pribadi warga Indonesia beredar di forum jual beli ilegal atau deep dark web. Untuk meminimalkan risiko serangan lanjutan, dibutuhkan upaya mitigasi, baik oleh individu, korporasi, maupun pemerintah.
Dalam Laporan Lanskap Ancaman Siber 2023 Edisi Ke-4, Ensign InfoSecurity membahas sejumlah ancaman keamanan siber di wilayah Asia Tenggara dan sekitarnya, termasuk di Indonesia. Area yang dinilai paling rentan terhadap serangan siber di Indonesia ialah layanan publik oleh pemerintah, perbankan, asuransi, dan komersial atau Infrastruktur Informasi Vital (IIV).
Vice President of Advisory, Consulting, Ensign Infosecurity Teo Xiang Zheng mengatakan, maraknya serangan siber mengakibatkan semakin banyak data pribadi warga Indonesia yang dijual di situs jual beli ilegal atau deep dark web. Melalui situs tersebut, data pribadi warga Indonesia dijual 0,0002 dollar AS per individu pada September 2022.
”Memang harganya murah. Namun, bukan berarti ini tidak ada ancaman atau bahaya risiko selanjutnya karena bisa saja orang yang membeli data kita akan mencoba untuk melakukan serangan lanjutan," kata Teo dalam rilis Laporan Lanskap Ancaman Siber 2023 Edisi Ke-4 Ensign InfoSecurity, di Jakarta, Rabu (2/8/2023).
Lebih lanjut, Ensign Infosecurity mendapati sejumlah kelompok peretas terlibat dalam serangan siber sepanjang tahun 2022. Tiga kelompok peretas, yakni Dark Pink, Lotus Blossom, dan Naikan, diduga mendapatkan sokongan dari suatu negara dengan tujuan mencuri informasi dan melakukan spionase.
Berbeda dengan tiga kelompok tersebut, kelompok peretas bernama Desorden berorientasi kepada keuntungan pribadi. Pada Agustus 2022, Desorden melancarkan serangannya kepada PT Jasamarga Tollroad Operator, unit usaha PT Jasa Marga (Persero) Tbk pada Agustus 2022.
Menurut Teo, kelompok-kelompok peretas ini cenderung memiliki kapabilitas, intensitas, dan peluang untuk terus melakukan serangan siber di Indonesia. Oleh sebab itu, salah satu upaya mitigasi yang bisa dilakukan adalah dengan meningkatkan sistem keamanan.
Jika masyarakat kehilangan keyakinan pada kemampuan pemerintah atau organisasi terkait untuk melindungi infrastruktur penting, hal ini dapat mengganggu stabilitas sosial dan politik.
”Peretasan terjadi pada sistem software lama, yakni rentan 2006-2017. Celah pada software (perangkat lunak) tersebut bisa dimitigasi dengan meng-upgrade atau update sistem sehingga celah yang ada untuk serangan siber dapat diminimalkan” ujar Teo.
Secara terpisah, Chairman Lembaga Riset Keamanan Siber dan Komunikasi (CISSReC) Pratama Persadha mengatakan, sektor-sektor IIV menjadi target utama peretas untuk mendapatkan akses data pribadi, keuntungan finansial, prestise, atau bertujuan politis, seperti spionase. Hal ini dapat menimbulkan kegaduhan dan menjadi ancaman serius bagi stabilitas ekonomi dan keuangan global.
Selain mengakibatkan kerugian finansial, serangan siber juga dapat memengaruhi kepercayaan publik terhadap sistem pemerintahan, perbankan, dan ekonomi. Dengan demikian, kata Pratama, serangan siber berdampak negatif terhadap pasar keuangan dan mengganggu pertumbuhan ekonomi jangka panjang.
”Serangan terhadap sektor-sektor IIV pastinya akan menciptakan ketidakpercayaan dan kekhawatiran publik. Jika masyarakat kehilangan keyakinan pada kemampuan pemerintah atau organisasi terkait untuk melindungi infrastruktur penting, hal ini dapat mengganggu stabilitas sosial dan politik,” katanya ketika dihubungi dari Jakarta.
Baru-baru ini terjadi serangan siber berupa pencurian data pribadi yang diklaim berasal dari Direktorat Kependudukan dan Catatan Sipil (Disdukcapil) Kementerian Dalam Negeri. Dalam forum jual beli data pribadi, akun peretas berinisial RRR mengaku telah meretas 337 juta data Disdukcapil pada tanggal 14 Juli 2023. Dari hasil investigasi CISSReC, beberapa nama yang tercantum adalah karyawan Disdukcapil.
Edukasi
Menurut Pratama, tidak ada sistem keamanan yang 100 persen bisa melindungi sistem. Selama ini, serangan siber terjadi bukan karena kelemahan sistem keamanan, melainkan banyak titik masuk yang dapat dimanfaatkan oleh peretas, seperti phising, social engineering, pengunduhan berkas mencurigakan, serta menghubungkan USB dan perangkat penyimpanan eksternal ke server.
Infografik-10 Besar Negara dengan Skor Keamanan Siber Tertinggi di Asia Pasifik Tahun 2020
”Selain memiliki business continuity management (BCM), perusahaan juga wajib memberi pelatihan karyawan terkait aspek keamanan siber. Sebab, tak jarang, serangan siber berawal dari diretasnya perangkat karyawan atau didapatkannya data kredensial karyawan melalui serangan phising,” ujar Pratama.
Oleh sebab itu, edukasi terhadap pegawai atau karyawan di lembaga dan perusahaan terkait perlu dilakukan. Edukasi ini terkait dengan penggunaan aplikasi dari sumber resmi, pemasangan antivirus dan antimalware, pembaruan sistem keamanan terbaru, pergantian kata sandi secara berkala, serta pemanfaatan fitur keamanan berlapis (2 Factor Authentication).
Selain itu, edukasi yang tidak kalah penting adalah tidak membuka tautan mencurigakan dari sumber yang tidak dikenal, membuat salinan data penting secara teratur di tempat yang terpisah, tidak menghubungkan perangkat ke akses wifi gratis, dan menggunakan layanan pengisian daya gratis.
Regulasi
Undang-Undang (UU) Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP) merupakan instrumen hukum yang diundangkan pada 17 Oktober 2022 dengan masa transisi dua tahun sejak diundangkan. Adapun pihak-pihak yang harus bertanggung jawab terkait kebocoran data adalah perusahaan pengendali atau pemroses data dan pelaku kejahatan siber.
Pratama menambahkan, pada Pasal 74 UU PDP, semua pihak mulai menyesuaikan kebijakan internal, salah satunya dengan merekrut petugas pelindungan data. Pelanggaran terkait UU PDP yang dilakukan selama masa transisi tersebut sudah dapat dikenakan sanksi hukuman pidana.
”UU PDP bukanlah tidak ampuh, tetapi belum bisa diterapkan secara maksimal karena adanya beberapa hambatan. Sanksi hukuman hanya dapat dijatuhkan oleh lembaga atau komisi yang dibentuk oleh pemerintah, dalam hal ini Presiden. Jika komisi PDP tersebut tidak segera dibentuk, pelanggaran yang dilakukan tidak akan dapat diberikan sanksi hukuman," tutur Pratama.