Minimalkan Peretasan, Audit Mesti Dilakukan secara Berkala
Pembangunan yang kurang memperhitungkan aspek keamanan siber mengakibatkan situs web resmi milik pemerintah, baik pusat maupun daerah, kerap menjadi sasaran empuk peretasan.
Oleh
Norbertus Arya Dwiangga Martiar
·4 menit baca
JAKARTA, KOMPAS — Peretasan laman milik pemerintah ditengarai terjadi karena dalam pembuatannya tidak memperhitungkan pengelolaan keamanan siber. Dengan tidak adanya teknologi yang dapat menjamin penuh keamanan, cara yang paling memungkinkan untuk meminimalkan terjadinya peretasan adalah dengan audit atau tes secara berkala.
Ketua dan pendiri Indonesia Cyber Security Forum (ICSF) Ardi Sutedja, ketika dihubungi, Rabu (11/8/2021), mengatakan, aktivitas peretasan meningkat pada dua tahun terakhir. Tidak hanya situs atau laman milik pemerintah, situs milik badan usaha atau swasta juga diretas.
”Peretasan bukan hal baru. Ini terjadi baik di situs milik pemerintah maupun dunia usaha. Tapi tidak semuanya dilaporkan atau terpantau oleh media. Harus diingat, peristiwa peretasan itu dipelajari, tidak dilakukan sekali saja, tetapi merupakan proses yang berjenjang dan bertahap,” kata Ardi.
Sebagaimana diberitakan, pada situs komunitas peretas global zone-h.org, terdapat 33.748 kali peretasan yang pernah dilakukan pada situs berdomain .go.id atau domain resmi lembaga negara pada periode 1 Desember 2020-4 Agustus 2021. Mayoritas peretasan menggunakan teknik mass defacement atau mengubah tampilan situs secara massal, menargetkan seluruh situs yang menggunakan sistem operasi atau berdomain tertentu. Adapun peretas berasal dari sejumlah negara, di antaranya Indonesia, Amerika Serikat, dan China. (Kompas.id, 10/8/2021)
Sementara, berdasarkan data Southeast Asia Freedom Expression Network (Safenet), pada tahun 2020 terjadi 154 serangan siber, sebanyak 45 serangan atau jumlah serangan terbanyak terjadi pada situs web. Adapun pihak yang paling sering menjadi korban adalah lembaga pemerintahan, yakni 38 insiden atau 25,85 persen dari total serangan.
Menurut Ardi, banyaknya peretasan situs milik pemerintah, baik pusat maupun daerah, disebabkan ketidakseriusan pemerintah mengelola portal yang dibangun. Situs web juga semata-mata dibuat dengan tujuan agar pemerintah memiliki portal yang bisa diakses publik. Pembangunan situs juga biasanya dilakukan oleh pihak ketiga yang belum tentu mengerti dan memahami ekosistem digital, termasuk keamanan siber.
Setelah situs dibangun, lanjut Ardi, belum tentu pula orang-orang yang mengembangkan situs tersebut memahami keamanan siber, apalagi memiliki sertifikasi di bidang itu. Terlebih, di daerah, sumber daya manusia yang memahami keamanan siber tidaklah banyak.
”Dengan proses pengembangan portal atau situs seperti itu, jangan heran jika mudah diretas. Ini yang kita tahu adalah peretasan di pemerintah pusat. Tapi di daerah bagaimana?” tutur Ardi.
Audit berkala
Menurut Ardi, sampai saat ini tidak ada teknologi yang bisa menjamin keamanan 100 persen atau sama sekali tidak bisa diretas. Terlebih, Indonesia bukanlah pencipta teknologi, melainkan hanya pengguna teknologi yang didapatkan dari pihak ketiga. Faktor itu saja sudah menciptakan celah kemungkinan peretasan.
Dengan proses pengembangan portal atau situs seperti itu, jangan heran jika mudah diretas. Ini yang kita tahu adalah peretasan di pemerintah pusat. Tapi di daerah bagaimana?
Oleh karena itu, cara yang paling memungkinkan untuk dilakukan para pengelola situs, termasuk pemerintah, adalah melakukan tes penetrasi atau audit secara berkala terhadap sistem keamanan sebuah situs. Tes atau audit diperlukan untuk melihat kerentanan dari sebuah situs untuk kemudian memperbaikinya.
”Di negara maju yang standar keamanannya lebih tinggi juga mengalami masalah. Jadi celah ini yang harus dicari melalui audit secara berkala. Namun, tidak semua lembaga atau institusi punya kemewahan untuk melakukan tes tersebut, termasuk karena sumber daya manusianya yang terbatas,” kata Ardi.
Ardi mengingatkan, meski peretasan dapat diancam pidana, bisa jadi pelaku peretasan adalah orang yang tidak memahami konsekuensi hukum atau melakukan peretasan karena ingin mencoba ilmu atau keterampilan yang dikuasai. Di sisi lain, hal itu adalah potensi yang positif jika dapat diarahkan dengan tepat.
Oleh karena itu, Ardi berharap agar aparat kepolisian juga memberikan hukuman yang bersifat edukatif serta diberi pemahaman terkait aspek etika peretasan. Sebab, dengan semakin berkembangnya dunia digital, yang diperlukan tidak hanya literasi digital, tetapi juga pemahaman terkait payung hukumnya.
Sementara itu, Kepala Bagian Penerangan Umum Divisi Humas Polri Komisaris Besar Ahmad Ramadhan mengatakan, polisi telah menangkap dua terduga peretasan laman setkab.go.id, yakni BS alias ZYY (18) dan ML alias LF (17). BS ditangkap di Kota Padang, Sumatera Barat, sementara ML ditangkap di Kabupaten Dharmasraya, Sumbar.
Ahmad menuturkan, ML meretas laman setkab.go.id pada 30 Juli 2021. Ia kemudian meminta BS untuk melakukan defacing pada laman tersebut dengan cara mengubah tampilan laman tersebut sehingga tidak dapat digunakan. Motif kedua pelaku melakukan defacing guna mencari keuntungan dengan menjual script backdoor dari web yang menjadi target kepada orang yang membutuhkan. Selama ini, BS telah melakukan peretasan, baik di dalam maupun luar negeri sebanyak 650 laman.
”Saat ini BS diamankan di Bareskrim polri, sedangkan ML diamankan dan dititipkan di Balai Pemasyarakatan Anak Cipayung, Jakarta Timur,” kata Ahmad.