Bahaya, Data Pengguna Situs Pemerintah Indonesia Paling Banyak Bocor

Laporan ”Government Compromised Data Set (Stealer Malware) Intelligence Report” yang dirilis platform Darktracer melalui akun Twitternya menyebutkan, terdapat 878.319 data pengguna dari 34.714 situs pemerintah yang bocor sepanjang triwulan I tahun 2022. Data pengguna yang bocor tersebut dinyatakan bukan karena kebocoran situs, melainkan karena pengguna yang terinfeksi dengan perangkat lunak jahat yang bertujuan mencuri data (stealer malware).

Dari tabel yang diunggah Darktracer, terdapat beberapa situs resmi lembaga pemerintah Indonesia yang datanya bocor. Situs tersebut, antara lain, dashboard.prakerja.go.id; sso.datadik.kemdikbud.go.id; info.gtk.kemdikbud.go.id; djponline.pajak.go.id; mysapk.bkn.go.id; daftar-sscasn.bkn.go.id; ereg.pajak.go.id; paspor-gtk.belajar.kemdikbud.go.id; serta sscndaftar.bkn.go.id.

Baca juga: Peretas Mengintai Data Strategis dan Pejabat Negara

Adapun situs yang bertengger di urutan pertama dengan kebocoran data terbanyak adalah dashboard.prakerja.go.id dengan 17.331 data yang bocor dan disusul sso.datadik.kemdikbud.go.id dengan 15.729 data yang bocor.

Pakar forensik digital Ruby Alamsyah, saat dihubungi pada Jumat (8/4/2022), mengatakan, laporan tersebut menunjukkan jumlah data pengguna (credentials) berupa username dan password yang bocor karena dicuri oleh perangkat lunak. Data tersebut dicuri ketika seseorang masuk (login) ke sebuah situs.

”Laporan ini bukan mengenai kebocoran di situs pemerintahnya. Meski begitu, ini sekaligus menunjukkan tingkat kesadarankeamanan masyarakat Indonesia yang masih rendah. Kebetulan yang ditampilkan di sini hanya domain dari situs pemerintah,” kata Ruby.

Menurut Ruby, rendahnya kesadaran keamanan itu sejalan dengan tingkat literasi digital masyarakat Indonesia yang juga masih rendah. Di satu sisi, persoalan keamanan digital memang belum dianggap sebagai hal yang penting bagi masyarakat. Sementara, di sisi yang lain, literasi digital bagi masyarakat memang belum mencukupi sehingga masyarakat belum terpapar secara maksimal.

Laporan ini bukan mengenai kebocoran di situs pemerintahnya. Meski begitu, ini sekaligus menunjukkan tingkat kesadaran keamanan masyarakat Indonesia yang masih rendah.

Indeks literasi digital 2021 yang diluncurkan Kementerian Komunikasi dan Informatika menunjukkan, rata-rata kompetensi digital masyarakat Indonesia masih dalam kategori sedang dengan skor 3,49 dari angka maksimum 5,00. Aspek literasi digital yang masih menjadi tantangan adalah terkait keamanan, etika, dan keterampilan digital (Kompas, 21/1/2022).

Terkait dengan infeksi malware tersebut, Ruby menyarankan agar data pribadi yang penting, khususnya data yang terkait transaksi keuangan, tidak disimpan di dalam perangkat komputer pribadi. Jika hendak menggunakan fitur simpan otomatis (autosave), harus dipastikan perangkat selalu dibekali dengan antivirus dan antimalware yang terus diperbarui secara berkala.

Perlu verifikasi

Dihubungi secara terpisah, praktisi keamanan teknologi informasi, Alfons Tanujaya, berpandangan, klaim laporan Darktracer yang menyatakan bahwa data yang bocor hanya dari sisi pengguna perlu diverifikasi atau dibuktikan. Semestinya, admin atau pengelola situs resmi pemerintah yang tercantum di laporan tersebut mengecek kembali sistem keamanannya masing-masing dan menelusuri kemungkinan adanya kebocoran.

”Kebocoran data ini berbahaya. Karena, meski ini dari sisi pengguna yang merupakan endpoint atau pintu, ini bisa diteruskan ke titik yang lain, termasuk server (peladen),” ujar Alfons.

Menurut Alfons, ketika banyak orang bekerja dari rumah di masa pandemi Covid-19, hal itu meningkatkan peluang terjadinya serangan atau infeksi malware terhadap perangkat milik pegawai yang dioperasikan dari rumah. Seharusnya, situasi tersebut menjadi perhatian bagi para pengelola situs resmi pemerintah untuk memberikan perlindungan tambahan bagi pegawai yang bekerja dari rumah.

Di sisi lain, pandemi juga mendorong aktivitas digital di masyarakat menjadi jauh lebih cepat. Meski positif, dampak negatifnya adalah adanya pihak-pihak yang gagap digital yang kemudian menjadi korban serangan siber.

Terkait dengan kesadaran keamanan, Alfons sepakat bahwa secara umum kesadaran terhadap perlindungan data masih rendah. Jika membandingkan antara sektor swasta dan pemerintah, Alfons menilai perlindungan data di sektor pemerintah jauh lebih parah.

Baca juga: Identitas Warga Dicatut Berkali-kali, Pembahasan RUU PDP Masih Saja Alot

Sebab, ketika swasta mengalami kebocoran data, mereka akan terpacu untuk memperbaikinya. Jika tidak, mereka akan ditinggal oleh konsumen atau penggunanya. Sementara, hal itu tidak tampak jika kebocoran terjadi dari situs milik pemerintah. ”Ini diperparah dengan tidak segera disahkannya Rancangan Undang-Undang Perlindungan Data Pribadi (UU PDP),” ujar Alfons.

Sementara itu, Juru Bicara Badan Siber dan Sandi Negara (BSSN) Anton Setiawan, saat dikonfirmasi terkait laporan tersebut mengarahkan agar pertanyaan ditujukan ke bagian Humas BSSN. Pertanyaan tersebut akan dijawab secara tertulis dari direktori terkait.

Mengutip Laporan Tahunan Monitoring Keamanan Siber 2021 yang diterbitkan BSSN, salah satu jenis serangan siber yang cukup banyak diadukan adalah serangan ransomware yang menduduki peringkat kedua dengan 56 aduan. Ransomware adalah jenis malware yang menyerang korban dengan cara mengunci seluruh file yang dimiliki untuk kemudian meminta tebusan kepada korban untuk mendapatkan dokumennya kembali.