Audit Sistem Keamanan Siber Instansi Pemerintah Perlu Dipercepat
BSSN masih menghadapi kendala dalam menjaga keamanan Sistem Pemerintahan Berbasis Elektronik (SPBE). Salah satunya karena penerapan tata kelola keamanan SPBE di instansi pemerintah belum optimal.
Oleh
DIAN DEWI PURNAMASARI
·4 menit baca
JAKARTA, KOMPAS — Pasca-peretasan laman resmi Sekretariat Kabinet, Badan Siber dan Sandi Negara atau BSSN akan melakukan audit serta tata kelola keamanan Sistem Pemerintahan Berbasis Elektronik. Audit ini didorong segera dilakukan, mengingat banyaknya serangan digital yang terjadi akhir-akhir ini.
Juru bicara BSSN, Anton Setyawan, saat dihubungi, Senin (2/8/2021), mengatakan, masih ada berbagai kendala yang dihadapi BSSN dalam menjaga keamanan sistem elektronik pemerintahan. Kendala itu, di antaranya, adalah penerapan tata kelola keamanan Sistem Pemerintahan Berbasis Elektronik (SPBE) di instansi pemerintah yang belum optimal.
Tata kelola keamanan SPBE belum sepenuhnya berpedoman pada Peraturan BSSN Nomor 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik. Di situ diatur, misalnya, tentang penyelenggara sistem elektronik wajib menerapkan Standar ISO/IEC 27001.
ISO 27001 adalah kerangka kerja standar internasional yang berisi tentang standar keamanan informasi. ISO juga mengatur penggunaan teknologi dan pengelolaan aset untuk memastikan keamanan informasi berjalan efektif. ”BSSN sedang menyusun audit keamanan SPBE dan semoga tahun depan sudah bisa dilaksanakan secara penuh,” kata Anton.
Anton menambahkan, kendala pengelolaan keamanan siber yang ditemukan di instansi pemerintah adalah terbatasnya jumlah dan kompetensi sumber daya manusia pengelola sistem. Oleh karena itu, BSSN juga membuat kebijakan pembangunan SDM keamanan siber nasional melalui peta okupasi keamanan siber.
Bersama seluruh pemangku kepentingan, BSSN mengembangkan Standar Kompetensi Kerja Nasional Indonesia (SKKNI) di bidang keamanan siber. BSSN juga melakukan kampanye nasional literasi keamanan siber. Upaya itu dilakukan untuk membangun kesadaran dan budaya keamanan siber di dalam organisasi pemerintah.
Untuk menangani insiden serangan siber, BSSN sebenarnya telah membangun pasukan siber bernama Computer Security Incident Response Team (CSIRT). CSIRT bertanggung jawab untuk menerima, meninjau, dan menanggapi laporan dan aktivitas insiden keamanan siber. Namun, dari target 121 CSIRT di kementerian dan lembaga, baru ada 15 CSIRT yang terbangun.
Selain itu, untuk menangani insiden serangan siber, BSNN sebenarnya telah membangun pasukan siber bernama Computer Security Incident Response Team (CSIRT). CSIRT bertanggung jawab untuk menerima, meninjau, serta menanggapi laporan dan aktivitas insiden keamanan siber. Namun, dari target 121 CSIRT di kementerian dan lembaga, baru ada 15 CSIRT yang terbangun.
Beberapa di antaranya yang sudah terbangun itu adalah CSIRT Kantor Staf Presiden, Kementerian Keuangan, Kementerian Pendidikan dan Kebudayaan, Ombudsman, Provinsi Jawa Timur, Provinsi Sumatera Barat, Provinsi Gorontalo, Provinsi Jawa Barat, dan Provinsi Kepulauan Riau. Hingga akhir 2021, BSSN menargetkan akan membentuk 35 CSIRT di kementerian dan lembaga.
Sebelumnya, Kepala BSSN Letnan Jenderal TNI (Purn) Hinsa Siburian mengungkapkan, sepanjang Januari hingga Mei 2021 terdapat 448.491.256 serangan siber di Indonesia. Tingginya pemanfaatan teknologi informasi komunikasi membuat risiko dan ancaman keamanannya juga semakin tinggi.
Tren serangan yang terjadi adalah ransomware atau malware yang meminta tebusan dan insiden kebocoran data. Serangan itu, menurut Hinsa, dapat ditanggulangi dengan strategi keamanan siber nasional.
Strategi dapat diwujudkan melalui pembangunan dan pembentukan kekuatan nasional dalam aspek keamanan siber, membangun dan mengonsolidasikan sistem proteksi pada seluruh infrastruktur informasi vital, serta memelihara kesigapan dan ketahanan siber nasional untuk menghadapi ancaman siber. Oleh karena itu, keberadaan CSIRT dalam penanggulangan insiden serangan siber sangatlah penting (Kompas.id, 24 Juni 2021).
Pakar digital forensik Ruby Alamsyah menyampaikan, untuk meningkatkan deteksi dini serangan siber di instansi pemerintah, peran dari Direktur Keamanan Informasi Kementerian Komunikasi dan Informatika (Kominfo) serta BSSN perlu ditingkatkan. Menurut dia, BSSN memiliki wewenang untuk melakukan audit sistem keamanan digital di instansi pemerintah.
Mereka berwenang untuk mengaudit apakah sistem elektronik yang digunakan di instansi sudah memakai standar keamanan internasional atau belum. Dengan maraknya kejadian akhir-akhir ini, seperti kebocoran data BPJS Kesehatan dan nasabah BRI Life, sebaiknya audit dipercepat.
Dengan maraknya kejadian akhir-akhir ini, seperti kebocoran data BPJS Kesehatan dan nasabah BRI Life, sebaiknya audit dipercepat. (Ruby Alamsyah)
”Kasus peretasan di laman setkab.go.id itu juga bisa jadi pintu masuk untuk audit sistem keamanan digital di instansi pemerintah. Pelaku peretasan yang melakukan web defacement harus dicermati apakah termasuk peretas profesional. Jika peretas iseng harus diaudit apakah sistem keamanan di Sekretariat Kabinet memang sudah dilakukan dengan optimal?” kata Ruby.
Menurut Ruby, untuk mencegah serangan mengubah tampilan laman atau web defacement sebenarnya adalah hal mudah. Sudah banyak teori dan metodologi yang tersebar di internet. Admin pengelola laman Setkab seharusnya sudah memiliki informasi dasar itu sehingga upaya pencegahan serangan peretasan bisa dilakukan.
Ruby juga menyebutkan, dengan mengoptimalkan kinerja Direktur Keamanan Informasi Kemenkominfo dan BSSN, sistem keamanan siber di instansi pemerintah bisa dibangun dan diperkuat. Para petugas keamanan siber di instansi juga bisa dilatih agar keterampilannya untuk melakukan pencegahan dan deteksi dini serangan siber yang terjadi. Ketika ada masalah yang tidak bisa mereka selesaikan, bisa dilaporkan ke BSSN.
”Bagus jika pemerintah sudah membuat pasukan CSIRT di setiap kementerian dan lembaga. Ini harus dioptimalkan untuk deteksi dini serangan siber,” kata Ruby.
Maraknya serangan digital dan kebocoran data pribadi akhir-akhir ini, lanjut Ruby, juga harus bisa dijadikan momentum untuk berbenah. Pemerintah harus lebih serius membangun keamanan digital. Sebab, ada tren penggunaan digitalisasi yang meningkat selama kebijakan bekerja dari rumah di masa pandemi Covid-19. Tren penggunaan sistem elektronik ini juga berdampak pada meningkatnya serangan digital di masa pandemi.