Celah Keamanan Siber Masih Terbuka
Celah keamanan siber di lembaga pemerintah dan swasta di Indonesia masih terbuka sehingga menimbulkan kerentanan peretasan, salah satunya pencurian data. Hal ini tak terlepas dari antara lain kurangnya infrastruktur.
Banyak hal perlu dilakukan guna menutup celah keamanan siber di lembaga negara dan swasta di Indonesia. Tanpa penguatan regulasi, standardisasi sistem pengamanan, dan SDM, peretas bisa leluasa mencuri data pribadi.
JAKARTA, KOMPAS — Celah keamanan siber di lembaga pemerintah dan swasta di Indonesia masih terbuka sehingga menimbulkan kerentanan peretasan, salah satunya pencurian data. Hal ini tidak terlepas dari kurangnya infrastruktur, minimnya kepedulian terhadap perlindungan data, ketiadaan standardisasi pengamanan informasi, serta kurangnya regulasi dan sanksi kuat terkait kebocoran data.
Pada Mei 2020, diduga terjadi peretasan data jutaan akun yang terdaftar pada platform Tokopedia. Selain itu, muncul juga dugaan beredarnya jutaan data pribadi warga negara yang berasal dari daftar pemilih Pemilu 2014. Pada pertengahan Juni 2020, peretas mengklaim mendapat data pribadi dari basis data pasien Covid-19.
Baca juga: Basis Data Polri Diyakini Diretas, Polisi Bisa Dalam Bahaya
Pada 2019, berdasarkan data Badan Siber dan Sandi Negara (BSSN), ada 296 juta serangan siber ke Indonesia. Hal ini seiring semakin ramainya ruang siber di Indonesia. Ada 355,5 juta ponsel pintar; 53,5 juta laptop; dan 2.218 perusahaan rintisan (start up). Ini belum termasuk sistem informasi dari lembaga pemerintah yang terdiri dari 34 kementerian, 27 lembaga, 115 BUMN, dan 600 anak perusahaan.
”Serangan siber yang terjadi saat ini, berdasarkan data BSNN, kebanyakan terkait kebocoran data. Pelaku-pelakunya digolongkan pada aktor yang didukung negara, peretas, teroris, kriminal terorganisasi, serta kelompok dengan motif politik dan orang dalam.”
Serangan siber yang terjadi saat ini, berdasarkan data BSNN, kebanyakan terkait kebocoran data. Pelaku-pelakunya digolongkan pada aktor yang didukung negara, peretas, teroris, kriminal terorganisasi, serta kelompok dengan motif politik dan orang dalam.
/https%3A%2F%2Fkompas.id%2Fwp-content%2Fuploads%2F2019%2F10%2Fb1c1af08-3b2e-463d-ac39-0f1346470234_jpg.jpg){kind=logo}
Sejumlah barang bukti ditunjukkan saat Kasubdirektorat II Tindak Pidana Siber Bareskrim Mabes Polri Komisaris Besar Rickynaldo Chairul memberi keterangan kepada wartawan terkait penangkapan hacker di Mabes Polri, Jakarta, Jumat (25/10/2019). Tersangka berhasil membobol sistem keamanan data perusahaan asing dan menjalankan aksi ransomware dengan permintaan tebusan dalam bentuk bitcoin.
Terkait potensi serangan itu, Kepala BSSN Hinsa Siburian, akhir Juni, di kantor BSSN mengatakan, salah satu segmen yang mendapat perhatian khusus ialah 11 infrastruktur kritikal nasional. Infrastruktur itu adalah energi, industri strategis, pertahanan, pangan, transportasi, kesehatan, penegakan hukum, teknologi informasi, finansial, sumber daya alam, dan layanan darurat.
”Selama ini dari 296 juta serangan itu belum banyak yang sangat berbahaya,” kata Hinsa.
Hinsa mengatakan, ruang siber yang menghubungkan sistem elektronik di Indonesia berkembang sangat pesat. Ia mengakui, tak mudah bagi BSSN mengatasi ketinggalan itu. Targetnya, tahun 2024, infrastruktur dan sumber daya manusia BSSN tercukupi sehingga membuat badan itu bisa bekerja maksimal sebagai badan yang bertugas mengoordinasi.
”Memang tidak mudah karena anggaran terbatas. Untuk tahun ini saja ada pemotongan karena Covid-19,” kata Hinsa.
Brigadir Jenderal Victor Tobing yang mengepalai Pusat Operasi Keamanan Siber Nasional menambahkan, pihaknya bekerja 7 x 24 jam. Setiap hari ada tiga giliran kerja, di mana ada analis yang bekerja berjenjang.
”Kalau ada anomali, segera kami sampaikan ke instansi terkait,” katanya.
Pencurian data
Budi Rahardjo, pengajar Institut Teknologi Bandung, yang mendalami keamanan siber, mengatakan, saat ini kejahatan siber yang paling berisiko untuk masyarakat adalah pencurian data. Namun, di Indonesia pencurian data tidak dipandang serius oleh masyarakat. Ini berbeda dengan di negara-negara barat, di mana privasi sangat dijunjung tinggi.
Selain itu, pendiri dan Ketua Communication Information System Security Research Center Pratama Persadha, Sabtu (4/7/2020), menilai, di Indonesia belum ada perhatian terkait standar keamanan sistem informasi. Hal itu terutama terjadi di lembaga-lembaga pemerintahan.
/https%3A%2F%2Fkompas.id%2Fwp-content%2Fuploads%2F2019%2F11%2FPengungkapan-Kasus-pembobolan-Sistem-Keamanan-data_84564737_1572715070.jpg){kind=logo}
Sejumlah barang bukti ditunjukkan saat Kasubdirektorat II Tindak Pidana Siber Bareskrim Polri Komisaris Besar Rickynaldo Chairul memberi keterangan terkait penangkapan pembobol sistem keamanan data perusahaan asing dengan ransomware di Mabes Polri, Jakarta, Jumat (25/10/2019).
Standar baku pengamanan informasi tersebut, misalnya, mengacu pada ISO 27001 tentang Sistem Manajemen Keamanan Informasi. Di dalamnya terdapat sejumlah hal yang distandardisasi, di antaranya perangkat keras, perangkat lunak, perlakuan terhadap komputer, ruangan peladen, dan kebijakan.
Menurut Pratama, pengamanan yang diterapkan lembaga pemerintahan terkadang hanya menggunakan sistem yang dijual bebas ke publik, bahkan mengunduh secara gratis di internet. Menurut Pratama, hal itu tidak aman.
Selain itu, ketentuan-ketentuan standar yang ada juga banyak tidak dijalankan. Hal ini menyusul perhatian yang diberikan hanya pada keberfungsian sistem.
Sementara aspek keamanan, termasuk elemen peningkatan kemampuan sumber daya manusia terkait keamanan jaringan, tak diperhatikan serius. Misalnya, terkait pengamanan kata sandi. ”Itu yang menyebabkan banyak sekali organisasi di Indonesia mengalami kebocoran data,” kata Pratama.
Salah satu penyebab tidak maksimalnya orientasi pada keamanan data adalah ketiadaan regulasi dan sanksi yang tegas terhadap suatu organisasi jika data yang mereka kelola bocor atau tercuri. Sejauh ini, kata Pratama, organisasi yang mengalami pencurian data masih dikategorikan sebagai korban.
Padahal, terdapat kemungkinan sebagian organisasi tersebut tidak menjalankan standar yang ditetapkan secara baku dalam pengamanan informasi.
Persoalan lain yang juga mengemuka sebagai penyebab terus terjadinya serangan siber adalah relatif tidak adanya kepemimpinan digital. Para pengambil keputusan di sebagian besar organisasi rata-rata merupakan generasi senior yang relatif tidak akrab dengan teknologi komunikasi dan informasi. Ini membuat pemahaman secara menyeluruh terhadap realitas digital serta pengamanan data dan informasi cenderung tidak muncul.
/https%3A%2F%2Fkompas.id%2Fwp-content%2Fuploads%2F2019%2F11%2Faa3ea44e-8127-4510-903d-1283af396b27_jpg.jpg){kind=logo}
Suasana panel diskusi dalam Pertemuan Investasi Indonesia-AS ke-7 2019 yang bertema ”Making an Impact” dan diselenggarakan di Jakarta, Kamis (21/11/2019). Panel ini menghadirkan Ketua Komisi I DPR RI Meutya Viada Hafid, Corporate, External, and Legal Affairs Microsoft Sunny J Park, Direktur Identifikasi Kerentanan dan Penilaian Risiko Ekonomi Digital Badan Siber dan Sandi Negara Nunil Pantjawati, serta Kasubdit Pengendalian Sistem Elektronik, Ekonomi Digital dan Perlindungan Data Pribadi Kementerian Komunikasi dan Informatika Riki Arif Gunawan.
Pengujian sistem
Dosen hukum siber Universitas Bhayangkara Jakarta Raya, Awaludin Marwan, mengingatkan tentang pentingnya pengujian sistem, terutama dari aspek pengamanan data dan informasi sebelum dipergunakan publik. Pengujian itu dilakukan dengan mengadakan semacam sayembara berhadiah untuk mengetahui celah keamanan dalam sistem dengan mengundang pada hacker untuk mengidentifikasinya.
”Hampir di semua negara maju, hal tersebut dilakukan. Ia mencontohkan, Pemerintah Singapura lewat program bug bounty. Ini dilakukan dengan menemukan bug (cacat pada sistem yang bisa mengganggu fungsi atau bahkan malafungsi) yang lazim terdapat dalam perangkat lunak.”
Awaludin mengatakan, hampir di semua negara maju, hal tersebut dilakukan. Ia mencontohkan, Pemerintah Singapura lewat program bug bounty. Ini dilakukan dengan menemukan bug yang lazim terdapat dalam perangkat lunak.
Baca Juga: Ingin Bergerak Bebas? Anda Harus Berwarna Hijau
”Dengan pengujian sistem, paling tidak mengetahui, bug apa saja yang ada dan bisa diperbaiki untuk versi upgrade berikutnya,” ucapnya.
Awaludin mengatakan, cenderung belum dilakukannya hal tersebut di Indonesia disebabkan kurangnya kesadaran tentang keamanan siber. Hal ini terjadi di lingkungan pemerintah dan industri.
Tampilan Zoom versi 5.0. Dalam versi ini, sejumlah fitur keamanan ditambahkan pada aplikasi telekonferensi video populer tersebut, antara lain mengunci Meeting yang sedang berjalan, mengeluarkan salah satu partisipan, dan mengaktifkan fitur Waiting Room, untuk memastikan tidak ada pihak yang tidak diinginkan dalam rapat.
