Benahi Sistem Keamanan Siber Pemerintah
Situs resmi Sekretariat Kabinet, untuk kesekian kalinya, kembali diretas. Peretasan itu menunjukkan masih lemahnya sistem keamanan siber situs web yang dikelola pemerintah.
JAKARTA, KOMPAS — Pembenahan menyeluruh sistem keamanan siber mendesak dilakukan menyusul terus berulangnya peretasan situs-situs resmi milik pemerintah. Sistem keamanan siber perlu diperkuat agar serangan dapat dideteksi dan diantisipasi sejak dini.
Kali ini giliran situs resmi Sekretariat Kabinet diretas. Hingga Minggu (1/8/2021) malam, laman www.setkab.go.id belum bisa diakses oleh publik. Ketika membuka laman tersebut, hanya ada tulisan ”Kami akan segera kembali! Mohon maaf untuk ketidaknyamanannya, saat ini kami sedang melakukan update sistem–Sekretariat Kabinet RI”.
Laman itu diretas sejak Sabtu (31/7/2021) pagi. Sesaat setelah mengalami peretasan, tampilan utama laman tersebut berubah dan menampilkan sosok pemuda melangkah dengan membawa bendera Merah Putih yang menutupi wajah dan menjuntai ke bawah. Ada narasi di bawah foto tersebut. Pada Sabtu siang, laman tersebut sudah normal dan dapat kembali diakses. Namun, laman kemudian kembali dibenahi, sehingga tidak bisa diakses pada Minggu.
Baca juga: Laman Setkab Kembali Diretas, Lapisan Pengaman Mesti Dievaluasi
Direktur Eksekutif Communication & Information System Security Research Centre (CISSRec) Pratama Persadha saat dihubungi, Minggu, mengatakan, perlu dipertanyakan kepada pihak Setkab, data apa saja yang sudah berhasil diakses oleh peretas. Sebab, jika hanya meretas tampilan situs (web defacement), seharusnya sistem sudah bisa normal kembali dengan cepat. Dia mencurigai peretas telah berhasil masuk ke dalam sistem, sehingga proses pemulihan lebih lama.
Seringnya situs pemerintah pusat dan daerah diretas menunjukkan sistem keamanan yang ada kurang maksimal. Bicara masalah teknologi informasi, tidak bisa dibilang sistem selalu kuat. Harus ada audit secara berkala untuk menguji kekuatan sistem tersebut.
Jika berhasil masuk ke database, peretas bisa mengacak-acak file di database, hingga mengubah kredensial maupun password pengguna. Berdasarkan pengalaman, ketika peretas sudah bisa masuk ke dalam satu sistem, dia tidak hanya akan mengubah tampilan satu sistem, tetapi juga menanam sesuatu. Entah itu berupa virus Trojan, atau malware sehingga suatu saat mereka bisa masuk ke dalam sistem lagi.
”Seringnya situs pemerintah pusat dan daerah diretas menunjukkan sistem keamanan yang ada kurang maksimal. Bicara masalah teknologi informasi, tidak bisa dibilang sistem selalu kuat. Harus ada audit secara berkala untuk menguji kekuatan sistem tersebut,” kata Pratama.
Peretasan situs Setkab bukanlah yang pertama. Pada 24 Desember 2015, laman Setkab pun pernah diretas. Selama lebih 4 jam diretas, laman Setkab menampilkan gambar tengkorak dengan latar belakang musik disko. Gambar menyerupai kepala Banteng terlihat di sisi kiri halaman. Sebelumnya, pada era pemerintahan Presiden Susilo Bambang Yudhoyono, sebagian tampilan laman Setkab juga pernah diretas.
Pratama menduga, pasca kejadian peretasan di 2015, pengembang maupun admin pengelola laman belum melakukan pembenahan sistem keamanan secara optimal. Sebab, menurutnya, untuk mencegah serangan defacement itu tidaklah sulit. Sejumlah hal yang diperlukan di antaranya adalah memperbarui secara berkala keamanan sistem, serta memasang firewall di laman tersebut.
Masih menurut Pratama, serangan siber bisa saja berasal dari kelalaian petugas server laman. Dengan mekanisme bekerja dari rumah selama pandemi Covid-19, para petugas bisa mengakses laman dari mana pun di luar server utama. Akibatnya, ada celah keamanan yang membuat sistem mudah diserang oleh peretas.
Pengamat teknologi, informasi, dan komunikasi Heru Sutadi mengungkapkan, lembaga pemerintah atau perusahaan, yang biasanya keamanannya rendah, menjadi sasaran empuk. Apalagi, mereka memiliki data masyarakat yang besar.
Motif peretasan bermacam- macam. ”Ada yang ingin mencoba kekuatan keamanan, iseng sekadar eksistensi peretas, unsur politik, dan yang marak adalah mengambil data untuk kemudian dijual atau digunakan untuk kejahatan siber, dan lainnya,” katanya.
Regulasi
Selama belum ada UU Perlindungan Data Pribadi, kita terus akan mengalami kejadian seperti ini. Pasca-kejadian, tidak ada audit siapa yang bertanggung jawab.
Munculnya peretasan situs pemerintah secara berulang menunjukkan betapa pentingnya regulasi yang mengatur kewajiban pengelola data pribadi untuk menjaga sistem keamanan siber. Ketika terjadi serangan atau kebocoran, para pengelola akan diaudit terlebih dahulu, apakah sudah melakukan pencegahan dengan optimal atau belum. Jika ternyata belum, mereka dapat dimintai pertanggungjawaban hingga sanksi denda miliaran rupiah
Karena itulah Rancangan Undang-Undang tentang Perlindungan Data Pribadi kian mendesak untuk disahkan. ”Selama belum ada UU Perlindungan Data Pribadi, kita terus akan mengalami kejadian seperti ini. Pasca-kejadian, tidak ada audit siapa yang bertanggung jawab,” kata Pratama.
Baca juga: Jalan Buntu Perlindungan Data Pribadi
Saat ini RUU Perlindungan Data Pribadi belum juga selesai dibahas DPR bersama pemerintah. Pembahasan tak kunjung terselesaikan karena belum adanya kesepakatan mengenai sejumlah isu krusial, seperti otoritas pengawas pengelola data pribadi. Pemerintah menginginkan otoritas pengawas pengelola data pribadi diberikan kepada Kementerian Komunikasi dan Informatika, sementara DPR mengusulkan lembaga independen.
Terduga pelaku
Sementara dihubungi secara terpisah, Juru Bicara Badan Siber dan Sandi Negara (BSSN) Anton Setyawan mengatakan, tim BSSN sudah berkoordinasi intensif dengan Pusat Data dan Informasi dan Tim Teknis Setkab untuk melakukan investigasi mengenai peretasan tersebut. Situs web yang teretas merupakan situs yang dikelola oleh tuan rumah di Data Center BP Batam. BSSN telah berkoordinasi dengan pihak BP Batam dan meminta file yang diperlukan untuk investigasi lebih lanjut. Saat ini, tim tengah melakukan investigasi insiden secara remote pada server yang berada di Batam. Tim juga telah melakukan penelusuran awal mengenai dugaan pelaku peretasan terhadap situs Setkab.
”Dari informasi yang terdapat pada halaman peretasan, indikasinya pelaku berasal dari Indonesia. Laporan ini telah kami sampaikan ke pihak Setkab dan Direktorat Tindak Pidana Siber Mabes Polri,” kata Anton.
Anton menambahkan, setiap tindak peretasan tidak boleh disepelekan. Walaupun peretasan berbentuk web defacement, apabila ditemukan akses ilegal ke sumber daya internal, hal itu bisa berbahaya. Apalagi, data yang dikelola Setkab ini banyak dan bersumber dari istana kepresidenan. Oleh karena itu, BSSN melakukan penguatan sistem agar lebih optimal. Mengacu pada insiden yang terjadi, BSSN minimal akan menutup celah yang bisa dieksploitasi atau mengoptimalkan sistem keamanan yang ada.
Seperti diberitakan sebelumnya, belum semua instansi pemerintah memiliki sistem manajemen dan pengamanan data yang kuat. Akibatnya, kasus kebocoran data rentan terjadi. Sebut saja peretasan yang terjadi di basis data Kejaksaan Agung pada Februari 2021. Pada 2019, peretas juga pernah mengacaukan situs resmi Kementerian Dalam Negeri dengan tulisan ”Your File is Mine” dengan foto nisan bertulisan RIP KPK. Adapun, pada tahun 2020, kebocoran data pemilih diungkap oleh akun Twitter @underthebreach. Ada sekitar 2,3 juta daftar pemilih tetap (DPT) Pemilu 2014 yang diperjualbelikan. Peretas mengklaim mengambil data dari situs KPU tahun 2013 yang berisi nama hingga alamat rumah. Namun, KPU membantah data itu diambil dari sistem informasi KPU.
National Cyber Security Index (NCSI) 2020 yang disusun E-Governance Academy Foundation menempatkan Indonesia di peringkat ke-76 dari 160 negara yang dikaji. Indeks ini mengukur kesiapan negara dalam mencegah ancaman siber dan mengelola insiden siber. Untuk Indonesia, dari 12 indikator indeks, perlindungan data pribadi termasuk yang mendapat skor rendah, yakni 1 dari maksimal 4 poin. Kajian ini juga menunjukkan komunitas digital di Indonesia lebih maju ketimbang bidang pengamanan siber. Lemahnya perlindungan data pribadi dapat membuat data yang disimpan institusi rentan dieksploitasi, baik untuk keperluan ekonomi maupun kepentingan lainnya (Kompas, 22 Maret 2021).