Bocornya data lembaga pemerintah, sekecil apa pun, harus disikapi serius. Lembaga yang menyimpan dan mengelola data publik tak semata jadi korban. Ada tanggung jawab membangun sistem keamanan prima.
Oleh
DIAN DEWI PURNAMASARI
·6 menit baca
Pada pertengahan Februari 2021, basis data Kejaksaan Republik Indonesia diretas oleh seseorang yang menggunakan kode Gho5t666nero. Basis data itu diunggah di situs raidforums yang merupakan wadah bagi mereka yang gemar berdiskusi soal pembobolan data, termasuk untuk menawarkan data.
Peretas mengunggah data yang diretas dengan tautan berjudul ”Kejaksaan Republik Indonesia Database 500 MB”. Akun peretas mengklaim telah mendapatkan data milik Kejaksaan Agung berupa kumpulan nama lengkap, alamat surat elektronik (e-mail) dengan domain @kejaksaan.go.id, nomor induk kepegawaian, dan potongan riwayat perkara. Total data yang diperjualbelikan 500 megabit dengan total line basis data sebanyak 3.086.224. Data tersebut dijual seharga 8 credit atau sekitar Rp 400.000 (Kompas.id, 19 Februari 2021).
Dalam waktu kurang dari 24 jam, Kejaksaan Agung yang bekerja sama dengan Badan Siber dan Sandi Negara (BSSN) bersama komunitas peretas bisa mengetahui serta menangkap pelaku peretas data. Namun, karena masih berusia 16 tahun, pelaku tidak diproses hukum.
Kepala Pusat Penerangan Hukum Kejaksaan Agung Leonard Eben Ezer Simanjuntak kemudian mengatakan, data yang dijebol adalah data yang bersifat terbuka atau konsumsi publik. Data tidak terhubung langsung dengan basis data kepegawaian Kejaksaan Agung.
Kepala Pusat Data Statistik Kriminal dan Teknologi Informasi (Pusdaskrimti) Didik Farhan bahkan memastikan bahwa data yang ditawarkan di forum tersebut sudah lama menjadi konsumsi publik. Potongan riwayat perkara, misalnya, adalah perkara lama yang sudah selesai proses hukumnya. Sementara daftar nama dan alamat e-mail yang ditawarkan ialah nama pegawai kejaksaan yang menjadi admin atau pengelola situs. Didik mengklaim itu merupakan data umum.
Bukan hal sepele
Ketua Communication Information System Security Research Center Pratama Persadha, saat dihubungi pada akhir pekan lalu, mengatakan, kebocoran data sekecil apa pun tidak bisa disepelekan. Mungkin, data yang dicuri memang bersifat publik. Namun, mudahnya peretas menjebol sistem informasi lembaga pemerintah itu yang harus menjadi perhatian serius.
Apalagi, dalam kasus Kejaksaan Agung ini peretas diketahui adalah seorang pelajar berusia 16 tahun. Bisa dibilang, pelaku adalah peretas atau hacker baru. Jika peretas baru saja bisa menjebol sistem informasi kejaksaan, bagaimana dengan pelaku profesional, atau bahkan aktor yang disponsori oleh negara lain.
”Kejaksaan Agung tidak bisa menyepelekan kejadian ini. Seharusnya, ini menjadi momentum untuk evaluasi sudah sejauh mana keamanan siber yang mereka bangun. BSSN sebenarnya bisa mengaudit sistem keamanan siber di Kejagung,” kata Pratama.
Setelah pembobolan data itu, kata Pratama, seharusnya BSSN bisa melakukan digital forensik. Sejauh mana peretas menjebol data dan di mana celah sistem keamanan informasi yang sudah terbuka. Pengelola situs atau admin juga disarankan mengganti kata sandi yang pernah digunakan.
Selain itu, BSSN juga dapat mengaudit standar keamanan informasi di kejaksaan. Apakah sudah ada standar baku pengamanan informasi sesuai ISO 27001 tentang Sistem Manajemen Keamanan Informasi. Dalam standar ISO 27001 terdapat ketentuan tentang standar perangkat keras, perangkat lunak, perlakuan terhadap komputer, ruangan peladen, dan kebijakannya.
Selama ini, kata Pratama, lembaga pemerintah memang masih kurang serius menjaga sistem keamanan informasinya. Program komputer yang digunakan, misalnya, masih yang bebas dijual ke publik, bahkan ada pula yang mengunduh gratis di internet. Hal yang dianggap penting sistem dapat berjalan dan digunakan. Sementara itu, aspek keamanannya tak diperhatikan. Hal itu diperparah dengan kemampuan sumber daya manusia yang juga masih kurang. Soal pengamanan kata sandi, misalnya, belum jadi perhatian serius.
”BSSN sebenarnya bisa melakukan pengawasan (audit) melekat bagaimana sistem manajemen keamanan informasi di lembaga pemerintah. Sebab, kebocoran data ini tidak hanya sekali. Lihat saja kebocoran data di Komisi Pemilihan Umum (KPU) yang kerap terjadi saat masa pemilihan umum,” kata Pratama.
Selain kebocoran data di Kejaksaan Agung, pada 2019, peretas juga pernah mengacaukan situs resmi Kementerian Dalam Negeri. Situs dibajak dengan tulisan ”Your File is Mine” dengan foto nisan bertuliskan RIP KPK. Selain itu, pada 2020, kebocoran data pemilih juga diungkap akun Twitter @underthebreach. Ada sekitar 2,3 juta daftar pemilih tetap Pemilu 2014 yang diperjualbelikan. Peretas mengklaim mengambil data dari situs KPU tahun 2013 yang berisi nama hingga alamat rumah. Namun, KPU membantah data itu diambil dari sistem informasi KPU.
Pemeliharaan rutin
Audit oleh BSSN itu menjadi relevan dan penting karena pada prinsipnya keamanan digital bukanlah produk akhir. Ibaratnya kesehatan,sistem keamanan digital harus dipelihara secara rutin agar performanya terjaga. Seiring dengan perkembangan teknologi informasi, kemampuan para peretas untuk menjebol sebuah sistem pun semakin canggih. Tanpa komitmen untuk menjaga keamanan digital, lembaga pemerintah akan terus ketinggalan dan rentan terhadap ancaman digital.
Kapuspenkum Kejagung Leonard mengatakan, pascaperetasan basis data, kejaksaan terus merevitalisasi situs kejaksaan. Kejaksaan juga akan menutup celah sistem keamanan informasi agar kejadian tak berulang. Kejaksaan akan menganalisis aspek keamanan yang kurang dengan melibatkan tim siber Kejaksaan.
Juru bicara BSSN, Anton Setyawan, menuturkan, BSSN akan memberikan rekomendasi penguatan sistem keamanan informasi di Kejaksaan. BSSN akan mengacu pada standar keamanan informasi yang tertuang dalam ISO 27001. Audit investigasi sudah dilakukan saat tim BSSN membantu memecahkan kasus peretasan situs Kejaksaan.
”Konsentrasi BSSN saat ini adalah penguatan sistem keamanan digital di Kejaksaan,” kata Anton.
RUU PDP
Ketua Kajian Hukum Siber Universitas Padjadjaran Sinta Dewi Rosadi menambahkan, Indonesia saat ini memang belum memiliki regulasi khusus yang melindungi data pribadi dari kebocoran. Walaupun sebenarnya, kewajiban menjaga sistem keamanan informasi sudah diatur dalam UU Informasi dan Transaksi Elektronik serta Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Pasal 14 PP Nomor 71 Tahun 2019, misalnya, mengatur tentang kewajiban perlindungan data pribadi. Pemrosesan data pribadi harus dilakukan dengan melindungi keamanan data pribadi dari kehilangan, penyalahgunaan, akses dan pengungkapan yang tidak sah, serta pengubahan atau perusakan data pribadi. Adapun dalam Pasal 15 dan 26 UU ITE juga diatur tentang perlindungan data pribadi. Ada kewajiban melekat bagi penyelenggara sistem elektronik untuk membangun sistem yang andal, aman, dan bertanggung jawab.
”Prinsip tanggung jawab melekat untuk menjaga keamanan informasi elektronik itu sudah ada di UU ITE, PP No 71/2019, dan Peraturan Menteri Kominfo. Hanya saja, sanksi yang diterapkan masih sebatas administratif. Nantinya, ketika sudah ada UU Perlindungan Pribadi bisa dikenai sanksi hukum yang lebih tegas,” kata Sinta.
Rancangan UU Perlindungan Data Pribadi (RUU PDP) sudah mulai intens dibahas di DPR. Pihak pengelola data pribadi, khususnya swasta, kata dia, mulai membenahi tata kelola data pribadi. Seharusnya, pemerintah pun mengikuti langkah tersebut. Pemerintah harus bisa merancang sistem pengelolaan data publik yang aman dan berorientasi pada perlindungan data pribadi. Jika tidak, ancaman sanksi baik pidana maupun denda akan menanti setelah RUU PDP disahkan oleh DPR.
Sinta berpendapat, aspek keamanan dan perlindungan privasi harus dibangun secara paralel dalam sistem keamanan digital. Sebab, nantinya dalam rezim perlindungan data pribadi, saat terjadi kebocoran data, pengelola data pribadi tidak bisa berdalih lagi mereka hanya sebagai korban. Sementara pelakunya adalah peretas.
Pengelola data pribadi akan ditanya lebih dulu, bagaimana tata kelola yang sudah mereka lakukan untuk menjaga keamanan sibernya. Ketika terbukti pengelola data tidak bisa menjaga keamanan sistem, hal itu akan menjadi masalah hukum. Oleh karena itu, seyogianya kebocoran data di lembaga pemerintah dijadikan sebagai momentum untuk memperbaiki mitigasi terhadap ancaman digital yang kian canggih.