Kemenkominfo Kaji Dugaan Peretasan Data Pelanggan PLN dan Telkom
Kementerian Komunikasi dan Informatika mendalami dugaan kebocoran data pelanggan PLN dan Telkom. PLN sebut data yang beredar adalah data replikasi, sementara Telkom meragukan keaslian data yang diperjualbelikan peretas.
Oleh
MEDIANA
·5 menit baca
JAKARTA, KOMPAS — Pemerintah melalui Kementerian Komunikasi dan Informatika memanggil dua badan usaha milik negara, yakni PT Perusahaan Listrik Negara (Persero) atau PLN dan PT Telkom Indonesia (Persero) Tbk, yang diduga bocor data pelanggannya. Ancaman kejahatan siber, termasuk peretasan, diyakini kian menyasar ke institusi yang menyimpan dan mengelola data besar serta strategis. Selain mendorong penguatan sistem keamanan siber badan usaha, konsumen dinilai perlu ditingkatkan literasi digitalnya.
Dalam pernyataan pers, Minggu (21/8/2022), Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika (Kemkominfo) Semuel Abrijani Pangerapan menyatakan, pihaknya telah memanggil manajemen PLN pada Sabtu (20/8) menyusul informasi dugaan penyebaran data pribadi pelanggan tanpa hak.
Kementerian juga telah menyampaikan sejumlah rekomendasi teknis kepada PLN agar meningkatkan perlindungan data pribadi pelanggan mereka. Selanjutnya, kementerian akan mengkaji pemenuhan kewajiban PLN terhadap ketentuan perlindungan data pribadi serta kewajiban lain terkait sesuai peraturan perundang-undangan.
”Mereka (PLN) bilang sekarang sedang melakukan evaluasi berkelanjutan terhadap sistem keamanan siber sembari meningkatkan sistem perlindungan data pribadi pelanggan. PLN juga menyampaikan kepada kami, sistem operasional teknologi infomasi aman dan pelayanan masyarakat tetap berjalan baik,” ujar Semuel.
Sementara terkait dugaan kebocoran data pelanggan layanan IndiHome milik Telkom, Semuel menyatakan bahwa kementerian sedang melakukan pendalaman. Sama seperti insiden yang dialami PLN, Semuel akan segera memanggil manajemen Telkom guna mendapatkan laporan dan tindak lanjut terkait dugaan insiden itu.
”Kami akan segera mengeluarkan rekomendasi teknis untuk peningkatan pelaksanaan pelindungan data pribadi Telkom. Pada saat bersamaan juga berkoordinasi dengan Badan Siber dan Sandi Negara (BSSN),” kata Semuel.
Di media sosial banyak beredar informasi dugaan sekitar 26 juta rekam jejak penelusuran atau browsing history pelanggan IndiHome beserta dengan nama dan nomor induk kependudukan (NIK). Konsultan keamanan siber dan pendiri Ethical Hacker Indonesia, Teguh Aprianto, melalui akun resminya di Twitter, Minggu, ikut menuliskan cuitan yang isinya, pada tahun 2020 pihaknya berhasil menekan IndiHome untuk mematikan tracker milik mereka yang selama ini diduga dipakai untuk mencuri browsing history pelanggan. Pada 17 September 2020, Teguh pernah menuliskan cuitan bahwa, berdasarkan laman tracker milik IndiHome, laman itu telah mendapatkan hits sebanyak 26,6 miliar.
Sebelumnya, pada Jumat (19/8/2022), juru bicara PLN, Gregorius Adi Trianto, mengatakan, data yang dikelola PLN dalam kondisi aman. Data yg beredar adalah data replikasi, bukan data transaksional aktual dan sudah tidak ada pembaruan. Pernyataan ini keluar menyusul viral kabar dugaan data pelanggan PLN bocor dan diperjualbelikan di forum daring Breach Forums.
”Kami sedang melakukan investigasi atas pengguna-pengguna yang terotorisasi dan berkoordinasi dengan aparat penegak hukum apabila ditemukan indikasi pelanggaran hukum menyangkut kerahasiaan data perusahaan,” kata Gregorius.
Menanggapi viral informasi dugaan kebocoran data pribadi pelanggan, Senior Vice President Corporate Communication and Investor Relation Telkom Ahmad Reza, Minggu, mengatakan, pihaknya meragukan keaslian data-data yang diperjualbelikan oleh peretas. Telkom telah dan masih terus melakukan langkah-langkah pengecekan dan investigasi mengenai keabsahan data-data tersebut. Dia menegaskan, data-data pelanggan Indihome bahkan oleh kalangan internal Telkom sendiri sulit diakses mengingat ada enkripsi dan firewall yang berlapis.
”Beberapa kejanggalan, misalnya, alamat e-mail-nya yang jadi sampel itu @telkom.net. Kami saja di Telkom alamat e-mail-nya @telkom.co.id. alamat e-mail saya dan teman-teman di Telkom adalah @telkom.co.id. Telkom juga tidak pernah memberikan e-mail address untuk pelanggan Indihome,” ujarnya.
Telkom meragukan keaslian data-data yang diperjualbelikan oleh peretas. Telkom telah dan masih mengecek dan menginvestigasi keabsahan data-data tersebut.
Reza menambahkan, jumlah pelanggan Indihome saat ini mencapai 8 juta pelanggan, sedangkan data browsing history yang diklaim peretas sebanyak 26 juta data. Dia menduga data-data tersebut diambil peretas karena adanya akses yang dilakukan pelanggan ke situs-situs terlarang yang mengandung perangkat lunak perusak.
”Kami meminta agar pelanggan Indihome lebih bijak mengakses internet dengan tidak mengakses laman-laman terlarang,” ucapnya.
Strategis
Saat dihubungi, Country Manager Trend Micro Indonesia Laksana Budiwiyono berpendapat, ancaman kejahatan siber saat ini lebih menyerang kelompok/institusi strategis. Perangkat lunak perusak ransomware masih sering dipakai peretas untuk mendapatkan keuntungan finansial. Ada juga motif politik, keisengan peretas, dan pesanan kompetitor bisnis. Namun, ketiga motif tersebut jarang terjadi di Indonesia.
”Semakin tinggi perusahaan ataupun institusi publik menerapkan layanan digital, semakin tinggi risiko mendapat ancaman kejahatan siber, seperti peretasan data pelanggan,” ujarnya.
Institusi yang berkecimpung sebagai penyelenggara sistem elektronik (PSE) publik, khususnya, perlu meningkatkan postur keamanan sibernya. Dengan demikian, aset digitalnya dapat terlindungi dengan baik dan pada akhirnya mendukung keseluruhan bisnis.
Hanya saja, menurut Laksana, meningkatkan postur keamanan siber masih sering dianggap sebagai beban oleh perusahaan ataupun institusi layanan publik. Mereka beranggapan hal itu mampu menghambat laju bisnis digital. Sebagai gantinya, mereka cenderung lebih memilih berinvestasi ke aplikasi bisnis.
Meningkatkan postur keamanan siber masih sering dianggap sebagai beban oleh perusahaan ataupun institusi layanan publik.
Chairman Indonesia Cyber Security Forum (ICSF) Ardi Sutedja saat dihubungi menyatakan, peretasan data konsumen selalu mengincar lembaga atau organisasi yang mengelola pusat data pelanggan yang besar. Pelaku juga menyerang lembaga atau organisasi yang tidak menyimpan data pelanggan berskala besar ke dalam format elektronik terenkripsi atau otentifikasi multifaktor (multi factor authentication/MFA).
”Kami sampai sekarang masih menjumpai pengembang di suatu lembaga atau organisasi yang belum kompeten dan paham tata kelola dan kepatuhan manajemen keamanan informasi,” ucapnya.
Sementara itu, praktisi keamanan cyber threat intelligence, Afif Hidayatullah, berpendapat, tidak ada banyak hal yang bisa dilakukan oleh warga di tengah maraknya dugaan peretasan dan kebocoran data pelanggan. Upaya yang bisa dilakukan oleh warga sebagai konsumen adalah rutin mengubah password dan meningkatkan literasi keamanan siber untuk dirinya sendiri.
”Apabila dugaan kebocoran data telah mengarah sampai ke jual beli data pribadi, konsumen hanya bisa menunggu tindak lanjut yang bisa dilakukan oleh perusahaan/institusi layanan publik,” katanya.