Laman Daring Pemerintah Jadi Sasaran Empuk Peretasan
Sepanjang Desember 2020 hingga Agustus 2021, setidaknya terjadi 33.748 kali peretasan pada domain resmi pemerintah, baik pusat maupun daerah.
Oleh
Kurnia Yunita Rahayu
·4 menit baca
JAKARTA, KOMPAS — Peretasan berulang terhadap situs Sekretariat Kabinet merupakan puncak gunung es dari serangan terhadap laman daring lembaga negara. Sistem keamanan yang relatif lemah membuat situs web pemerintah, baik pusat maupun daerah, menjadi sasaran empuk para peretas.
Penelusuran Kompas pada situs komunitas peretas global zone-h.org, terdapat 33.748 kali peretasan yang pernah dilakukan pada situs berdomain .go.id atau domain resmi lembaga negara pada periode 1 Desember 2020-4 Agustus 2021. Mayoritas peretasan menggunakan teknik mass defacement atau mengubah tampilan situs secara massal, menargetkan seluruh situs yang menggunakan sistem operasi atau berdomain tertentu. Adapun peretas berasal dari berbagai negara, di antaranya Indonesia, Amerika Serikat, dan China.
Dari total peretasan, mayoritas terjadi pada instansi di tingkat daerah, mulai dari situs resmi pemerintah, kepolisian, hingga penyelenggara pemilu. Di tingkat pusat, setidaknya terjadi 104 peretasan, paling banyak pada kelompok domain milik Kementerian Pendidikan dan Kebudayaan, yakni kemdikbud.go.id (37 kali), Lembaga Ilmu Pengetahuan Indonesia (LIPI), lipi.go.id (11 kali), dan Kementerian Kesehatan, kemkes.go.id (9 kali).
Terdapat 33.748 kali peretasan yang pernah dilakukan pada situs berdomain .go.id atau domain resmi lembaga negara pada periode 1 Desember 2020-4 Agustus 2021.
Selebihnya terjadi antara lain pada kelompok laman Arsip Nasional Republik Indonesia (ANRI), Badan Perencanaan Pembangunan Nasional (Bappenas), Dewan Perwakilan Rakyat (DPR), Badan Pemeriksa Keuangan (BPK), Badan Kepegawaian Negara (BKN), Kementerian Perindustrian, Kementerian Dalam Negeri, dan Kementerian Pertanian. Peretasan juga terjadi pada laman Sekretariat Kabinet, Komisi Pemilihan Umum (KPU), Dewan Kehormatan Penyelenggara Pemilu (DKPP), dan Kepolisian Negara Republik Indonesia (Polri).
Selain itu, kelompok laman Badan Tenaga Nuklir Nasional (Batan), Badan Informasi Geospasial (BIG), Badan Pembinaan Hukum Nasional (BPHN), Badan Pengawas Obat dan Makanan (BPOM), Kementerian Pekerjaan Umum dan Perumahan Rakyat, Kementerian Keuangan, Kementerian Pariwisata dan Ekonomi Kreatif, Kementerian Ketenagakerjaan, Kementerian Sosial, serta Kementerian Kelautan dan Perikanan. Laman Konsil Kedokteran Indonesia, Lembaga Administrasi Negara (LAN), Lembaga Penerbangan dan Antariksa Nasional (Lapan), Lembaga Sensor Film (LSF), dan Perpustakaan Nasional juga pernah jadi sasaran peretasan.
Temuan ini sejalan dengan hasil analisis Southeast Asia Freedom Expression Network (Safenet). Berdasarkan data Safenet, pada tahun 2020 terjadi 154 serangan siber, sebanyak 45 serangan atau jumlah serangan terbanyak terjadi pada situs web. Adapun pihak yang paling sering menjadi korban adalah lembaga pemerintahan, yakni 38 insiden atau 25,85 persen dari total serangan.
Aksi pemula
Pakar Forensik Digital Ruby Alamsyah dihubungi dari Jakarta, Selasa (10/8/2021), mengatakan, laman zone-h.org merupakan wadah bagi para peretas pemula untuk memublikasikan aksinya. Dari publikasi tersebut, mereka mengincar pengakuan dari komunitas peretas yang ada di ranah lokal dan global. ”Pelaku seolah-olah hebat karena bisa meretas situs pemerintahan, padahal mereka menggunakan teknik yang sangat standar,” katanya.
Umumnya, tambah Ruby, peretas pemula menggunakan teknik yang paling dasar, yakni web defacement. Peretasan dengan teknik tersebut tidak memerlukan keahlian tinggi, karena script atau kode pemrograman yang dibutuhkan untuk menjalankannya tersedia secara terbuka dan gratis. Pelaku bisa melakukannya secara massal dan acak, atau menargetkan situs tertentu untuk mengganti tampilannya. Sebagai teknik standar, peretasan dengan cara ini juga jarang disertai dengan pengambilan data untuk kepentingan ekonomi.
”Peretas pemula biasanya tidak bermotif ekonomi, mereka meretas instansi pemerintahan untuk pembuktian jati diri dan kemampuan individu atau kelompoknya,” ujar Ruby.
Oleh karena itu, menurut dia, ironis jika para peretas pemula dapat menembus sistem keamanan laman daring lembaga negara. Sebab, seluruh lembaga negara didampingi oleh Kementerian Komunikasi dan Informatika serta Badan Siber dan Sandi Negara (BSSN) untuk memperkuat keamanan situs mereka.
Ruby mengatakan, peretasan dengan web defacement sering kali terjadi karena kelalaian administrator situs. Di samping menggunakan sistem operasi standar, kesadaran untuk selalu memperbarui sistem juga rendah. Padahal, celah keamanan akan relatif tertutup jika sistem senantiasa diperbarui.
”Jumlah situs instansi pemerintah sangat banyak, tetapi sumber daya manusia dan teknologi yang digunakan masih banyak yang sederhana, bahkan menggunakan yang gratis. Itu semua tidak dikelola secara optimal sehingga kerap jadi sasaran empuk peretas,” katanya.
Penguatan keamanan
Dihubungi terpisah, Juru Bicara BSSN Anton Setiawan mengakui bahwa peretasan situs pemerintah masih kerap terjadi di pusat dan daerah. Ia pun membenarkan, kesadaran untuk mengelola sistem keamanan laman daring belum optimal karena ketidaksiapan sumber daya manusia.
”Sebagian besar (peretasan) karena (sistem) tidak dikelola dengan baik. Misalnya tidak diperbarui atau tidak dilakukan pembaruan terhadap komponen-komponen yang digunakan sehingga celah kerentanan yang ada bisa dimanfaatkan oleh para peretas,” ujarnya.
Jumlah situs instansi pemerintah sangat banyak, tetapi sumber daya manusia dan teknologi yang digunakan masih banyak yang sederhana, bahkan menggunakan yang gratis. Itu semua tidak dikelola secara optimal sehingga kerap jadi sasaran empuk peretas.
Ia menambahkan, untuk memperkuat sistem keamanan laman daring pemerintahan, pihaknya menerbitkan Peraturan BSSN Nomor 4 Tahun 2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik (SPBE). Peraturan ini akan menjadi acuan bagi SPBE untuk melakukan proses manajemen keamanan informasi yang meliputi penetapan ruang lingkup, penetapan penanggung jawab, perencanaan, dukungan pengoperasian, evaluasi kinerja, dan perbaikan berkelanjutan.
Terakhir, penguatan sistem keamanan dilakukan pada laman Setkab, yakni setkab.go.id. Sejak diretas pada 31 Juli 2021, situs tersebut diperbaiki dan diperbarui selama beberapa hari. Pada Selasa (10/8), laman tersebut sudah aktif kembali. Penelusuran Kompas, laman ini pernah diretas 23 kali sejak 2013.
”Sampai saat ini teman-teman di sana masih bekerja untuk memperbarui sistem yang ada dengan versi yang baru, menambahkan beberapa penguatan seperti firewall, melakukan manajemen kontrol akses yang lebih ketat, dan menerapkan segmentasi jaringan dan monitoring yang lebih baik,” kata Anton.
Sebelumnya, Kepala Biro Penerangan Masyarakat Divisi Humas Polri Brigadir Jenderal (Pol) Rusdi Hartono mengatakan, peretas laman Setkab, yakni BS atau ZYY (18) dan MLA atau Lutfifake (17), telah ditangkap Bareskrim Polri pada 5-6 Agustus 2021. Keduanya juga telah ditetapkan sebagai tersangka.