Kepatuhan Rendah pada Penyelenggara Sistem Elektronik Penyebab Indonesia Rentan Serangan Siber

JAKARTA - Sejumlah anggota Komisi I DPR RI mempertanyakan serangan siber dan kebocoran data yang kerap terjadi kepada Menteri Komunikasi dan Informatika (Menkominfo). Pada Agustus 2022 saja sekiranya sudah terjadi tiga kali kebocoran data.

Anggota Komisi I DPR RI Nurul Arifin curiga. “Kok bisa kebobolan terus, tidak mungkin tidak ada orang dalam ini Pak. Ini memalukan menurut saya, masa Kominfo tiga kali kebocoran dengan data yang besar-besar angkanya.”

Nurul menduga rendahnya tingkat kepatuhan pada Penyelenggara Sistem Elektronik (PSE) dalam menindaklanjuti notifikasi deteksi menjadi salah satu penyebab terjadinya berbagai insiden siber di Indonesia.

“Saya mempertanyakan fungsi Kominfo, harusnya Kominfo bisa take down yang nakal-nakal, begitu Pak. Kalau bapak geleng-geleng kepala lagi, tolong jelaskan Pak, karena kami tidak mengerti,” kata Nurul saat Rapat Komisi I DPR RI bersama Menkominfo pada 7 September 2022 di Senayan, Jakarta.

Sebab, Kominfo lah yang awalnya mewajibkan pengguna memberikan informasi kependudukan sebagai syarat mengaktifkan SIM card.

Namun, Menkominfo Johnny G. Plate beralibi serangan siber di ruang digital bukan menjadi tupoksi Kominfo. Tugas Kominfo hanya memastikan Penyelenggara Sistem Elektronik (PSE) mematuhi kebijakan di Indonesia, termasuk soal pengolahan data.

Tugas mengantisipasi serangan siber sebenarnya, kata Johnny, masuk ke ranah Badan Siber dan Sandi Negara (BSSN).

"Dalam hal ini ingin kami sampaikan dalam PP 71 tahun 2019 terhadap semua serangan siber, leading sector dan domain penting tugas pokok dan fungsi bukan di kominfo. Terhadap semua serangan siber atas ruang digital menjadi domain teknis BSSN (Badan Siber dan Sandi Negara)," ucapnya.

“Sehingga tadi pertanyaan terkait dengan serangan siber kami tentu tidak bisa menjawab untuk dan atas nama BSSN,” Johnny melanjutkan.

Kendati begitu, Kominfo siap memberikan dukungan untuk BSSN terkait peningkatan peralatan kemampuan teknis dan sistem agar terhindar dari serangan-serangan siber.

Rekomendasi mencakup tiga hal:

1. Memastikan teknologi enkripsi dari penyelenggara sistem elektronik. Yang mempunyai sistem-sistem elektronik agar selalu canggih dan terupdate sehingga mampu menangkal serangan-serangan siber yang luar biasa saat ini.
2. Memastikan Sumber Daya Manusia yang berkaitan dengan teknologi enkripsi di semua PSE yang mempunyai tanggung jawab di bawah PP 71 terhadap serangan-serangan siber ini.
3. Memastikan sistem tata kelola di situ dengan baik sehingga tidak terjadi pelanggaran etika dan teknis di dalam PSE yang dimaksud.

“Ini agar diketahui semuanya. Selama ini kami menjawab ini semua hanya agar publik mengetahuinya, tetapi bukan menjadi domain dan bukan tugasnya Kominfo dalam kaitan dengan hal-hal teknis serangan siber. Karena serangan siber domain BSSN,” terang Johnny.

Keamanan adalah Proses

Menyikapi dugaan insiden kebocoran data tersebut, BSSN mengaku telah melakukan penelusuran dan melakukan validasi data-data yang dipublikasikan. Bersama dengan PSE, BSSN pun tengah melakukan upaya mitigasi cepat untuk memperkuat sistem keamanan siber guna mencegah risiko yang lebih besar.

Namun, Juru Bicara BSSN Ariandi Putra menegaskan, kebocoran data bukan semata tanggung jawab BSSN. Sesuai PP Nomor 71 Tahun 2019, setiap Penyelenggara Sistem Elektronik harus menyelenggarakan sistem elektronik secara andal dan aman. Serta, bertanggung jawab terhadap beroperasinya sistem elektronik sebagaimana mestinya.

“Kami juga telah berkoordinasi dengan penegak hukum untuk mengambil langkah-langkah penegakan hukum,” ucap Ariandi Putra dalam keterangan tertulisnya.

BSSN merupakan hasil peleburan Lembaga Sandi Negara (Lemsaneg) dan Direktorat Keamanan Siber Kominfo. Terbentuk pada 19 Mei 2017 lewat Perpres Nomor 53 Tahun 2017 tentang Badan Siber dan Sandi Negara.

Dalam Perpres disebutkan, BSSN adalah lembaga pemerintah nonkementerian yang bertanggung jawab kepada Presiden melalui menteri yang menaungi koordinasi di bidang politik, hukum, dan keamanan.

Tugasnya melaksanakan keamanan siber secara efektif dengan mengkoordinir semua unsur yang terkait dengan keamanan siber. Baik itu untuk deteksi, pemantauan, penanggulangan, pemulihan, evaluasi, atas insiden atau serangan siber.

“Mengamankan data di ruang digital adalah suatu proses yang harus dilakukan dengan disiplin dan terus-menerus,” kata Ariandi.

Perlu Dievaluasi

Sebanyak 26 juta data pengguna Indihome, 17 juta data pelanggan PLN, dan 1,3 miliar data pengguna SIM card ponsel di Indonesia bocor dan diperjualbelikan di forum online breached.to seharga 5.000 dolar AS oleh hacker Bjorka.

Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, telah meneliti keabsahan data pengguna SIM card tersebut. Hasilnya, data-data tersebut adalah benar.

“Dari nomor dan NIK yang diberikan sebagai sampel, ternyata semua yang dicek merupakan data autentik. Nomor telepon terkait dengan NIK juga aktif dan memang digunakan oleh pemilik NIK yang bersangkutan,” katanya.

Namun, menurut Menko Polhukam Mahfud MD, data-data tersebut bukanlah data rahasia. Jadi, belum ada yang membahayakan.

“Saat ini, kami tengah menelusuri penyebab hacker bisa mengambil data-data itu,” kata Mahfud kepada awak media pada Senin (12/9).

Meski begitu, kata Alfons, pemilik data tetap dirugikan. Kalau data yang bocor adalah kredensial, mungkin mitigasi seperti mengganti password atau mengaktifkan Two Factor Authentication (TFA) bisa dilakukan dan efektif menangkal efek negatif bagi pemilik data asalkan diumumkan segera dan pemilik kredensial menyadari hal ini.

“Sementara, jika yang bocor adalah data lain seperti data kependudukan, informasi rahasia pribadi atau log akses situs, maka pemilik data kependudukan dan log akses situs tersebut yang akan paling menderita,” terang Alfons dilansir dari Tempo.co.

Bukan tidak mungkin, data-data tersebut akan digunakan untuk hal-hal negatif. Seperti digunakan untuk merancang rekayasa sosial yang menyasar pemilik data. Penipu memalsukan diri sebagai customer service bank meminta kredensial transaksi untuk mencuri dana nasabah.

Atau, bisa dipakai membuat KTP palsu yang kemudian digunakan misalnya untuk pencalonan legislatif atau hal lainnya. Data juga bisa digunakan untuk mempermalukan pemilik data di dunia maya.

Itulah mengapa, anggota Komisi I DPR RI Fadly Zon meminta pemerintah segera melakukan evaluasi total terkait pertahanan siber di Indonesia.

"Masa kita diperlakukan seperti ini dan tidak ada resistensi memadai seperti tidak ada pertahanan. Ironisnya, netizen kita mayoritas mendukung (apa yang Bjorka lakukan). Ini something wrong," tuturnya, Senin (12/9).

Mahmud Ashari dalam tulisannya di situs Kementerian Keuangan menjelaskan sejumlah faktor yang bisa mengakibatkan kebocoran data, yakni:

1. Human error.

   “Fitrah manusia yang hobi mempraktekkan kebiasaan ekonomis diantaranya dengan mencari free software atau aplikasi bajakan ‘memaksa’ kita untuk secara suka rela memasukkan data pribadi berupa nomor telepon di situs atau aplikasi yang tidak terjamin keamanannya,” kata ucap Kepala Seksi Hukum dan Informasi KPKNL Kisaran ini. 

2. Serangan Malware (Malicious Software), program yang dirancang untuk merusak dengan menyusup ke sistem komputer. Penyusupan bisa masuk melalui email, download internet, atau program yang terinfeksi. Malware juga dapat menyebabkan kerusakan pada sistem komputer dan memungkinkan terjadinya pencurian informasi. 
3. Ketiga, social engineering yaitu penggunaan manipulasi psikologis untuk mengumpulkan data sensitif seperti nama lengkap, username, password, dan sebagainya melalui media elektronik dengan menyamar sebagai pihak yang dapat dipercaya.

Acer Indonesia dalam website resminya juga menambahkan satu faktor lain penyebab kebocoran data, yakni karena ulah oknum. “Sebagian besar kehilangan data tidak selalu terjadi melalui media elektronik. Namun, bisa juga disebabkan oleh seorang karyawan yang berniat buruk.”