KPU diingatkan, menjaga keamanan siber tidak cukup dengan membeli perangkat teknologi, tetapi juga menyiapkan sumber daya manusia yang mumpuni.
Oleh
PRAYOGI DWI SULISTYO
·5 menit baca
JAKARTA, KOMPAS — Kasus peretasan terhadap laman Komisi Pemilihan Umum atau KPU Jakarta Timur harus menjadi alarm untuk memperkuat keamanan siber yang dimiliki KPU. Menjaga keamanan siber tidak cukup dengan membeli perangkat teknologi saja, tetapi juga harus menyiapkan sumber daya manusia yang mumpuni.
Dikutip dari keterangan tertulis KPU Jakarta Timur, pada 17 Agustus 2021, laman KPU Jakarta Timur, jakartatimur.kpu.go.id, diretas. Halaman berita laman KPU Jakarta Timur tidak bisa diakses dan terlihat gambar animasi bertuliskan ”Hack By Clan_X7” serta beberapa tulisan lainnya.
Baca Berita Seputar Pemilu 2024
Pahami informasi seputar pemilu 2024 dari berbagai sajian berita seperti video, opini, Survei Litbang Kompas, dan konten lainnya.
Dari hasil pengecekan administrator laman jakartatimur.kpu.go.id, peretasan tidak menimbulkan dampak yang parah sehingga dapat diatasi kurang dari 24 jam. Anggota KPU, Viryan Aziz, mengatakan, peretasan terhadap situs web KPU Jakarta Timur bisa terjadi karena masih banyak KPU di daerah yang mengembangkan laman sendiri.
”KPU kemarin (Jumat) membuat rakornas (rapat koordinasi nasional) dengan semua satker (satuan kerja) se-Indonesia untuk meningkatkan keamanan dan kebersihan pengelolaan situs web,” kata Viryan, saat dihubungi di Jakarta, Sabtu (21/8/2021), tanpa mau menjelaskan lebih detail desain pengamanan sistem informasi KPU saat ini.
Ia mengatakan, KPU sudah menyiapkan domain, hosting, dan template standar untuk digunakan KPU provinsi, kabupaten, serta kota. Dalam pertemuan pada Jumat, diharapkan agar migrasi web bisa segera dilakukan oleh KPU di daerah.
Dihubungi secara terpisah, Ketua Indonesia Cyber Security Forum Ardi Sutedja mengatakan, peretasan merupakan masalah lama yang tak kunjung disadari bahaya besarnya. Peretasan sering kali baru diketahui publik ketika sudah muncul di media massa.
”Peretasan tidak terjadi seketika. Prosesnya melalui pengamatan dan bertahap. Instansi yang menyimpan data menjadi sasaran peretasan,” tutur Ardi.
Ardi menuturkan, peretas menyasar instansi yang menyimpan data pribadi orang. Penguasaan terhadap data pribadi, seperti nomor induk kependudukan, nama sesuai akta kelahiran, dan alamat menjadi kunci bagi peretas. Mereka akan menjual data tersebut.
Orang yang memiliki data tersebut tidak akan merasakan dampak secara langsung. Padahal, data tersebut bisa disalahgunakan untuk penipuan, pencurian identitas, peminjaman bank, dan sebagainya. Data tersebut juga bisa digunakan untuk memengaruhi jalan pikir seseorang, termasuk untuk kepentingan politik.
Ia mengungkapkan, persoalan peretasan tidak dapat dilihat hanya dari permasalahan laman yang diretas saja. Namun, perlu dipahami bahwa peretasan memiliki dampak yang luas.
Ketika sebuah sistem berhasil diretas, maka peretas telah berhasil melihat kelemahan dari sistem tersebut. Kalangan peretas di Indonesia telah memiliki pemetaan. Ketika sistem pertahanan tersebut lemah, maka mereka dapat meretas dalam waktu hitungan jam.
Menurut Ardi, sistem di KPU bisa ditembus oleh peretas karena tidak menerapkan sistem keamanan siber, seperti kesiapan organisasi, kesadaran terhadap situasi, pertahanan siber, deteksi, mitigasi dan penahanan, serta pemulihan.
Ia menegaskan, sistem pertahanan siber tidak cukup hanya dengan membeli server. Namun, harus memiliki sumber daya manusia yang mampu melihat gejala peretasan tersebut. Mitigasi harus dilakukan 24 jam. Sebab, ketika satu kasus dimatikan, maka tidak menghentikan peretasan berikutnya.
Oleh karena itu, kata Ardi, dibutuhkan SDM yang mampu mengatasi segala ancaman tersebut. Teknologi hanya menjadi sarana pendukung. Sistem pertahanan tidak bisa dipasrahkan pada satu instansi saja sehingga perlu dibangun budaya digital. Kalau tidak dilakukan, maka kebocoran data dan peretasan akan terus terjadi.
Serangan ”deface”
Direktur Eksekutif Lembaga Riset Siber Communication and Information System Security Research Center Pratama Persada mengatakan, pada kasus peretasan situs KPU Jakarta Timur dilakukan serangan yang sering disebut dengan deface.
Serangan deface sering terjadi ke laman pemerintah. Peretasan ini dilakukan oleh Clan_X7 dengan menambahkan pesan terkait isu pandemi, kesehatan, dan kepahlawanan beserta pesan kemerdekaan. Peretasan dengan isu sosial politik ini masuk dalam kategori Hacktivist.
Ada berbagai tujuan dari seseorang ataupun kelompok melakukan deface dan model peretasan lainnya. Salah satunya, mencari popularitas di komunitasnya dan masyarakat untuk melakukan perkenalan tim peretasnya.
Untuk mengetahui lubang keamanan, perlu dilakukan forensik digital lebih jauh. Hal tersebut bertujuan untuk mengetahui lewat mana penyerang, sekaligus ditemukan lubang keamanan untuk diperbaiki. Perlu dilihat apakah serangan memanfaatkan lubang keamanan di sistem content managemen system (CMS) atau hosting ataupun lubang keamanan lain.
Deface pada website sering dilakukan untuk pengujian awal keamanan website. Dari deface, peretas bisa masuk lebih dalam dan melakukan berbagai aksi, misalnya pencurian data, bahkan mengubah dan memanipulasi data ataupun isi website.
”Secara umum, situs pemerintah ini dari waktu ke waktu memang selalu menjadi sasaran peretasan karena akan mudah mengundang perhatian masyarakat luas. Karena itu, perlu dilakukan banyak pengamanan dan juga secara rutin dilakukan pentest (penetration test),” kata Pratama.
Ia menuturkan, tidak ada sistem informasi yang 100 persen aman. Karena itu, tim teknologi informasi harus secara berkala melakukan pengecekan pada level sistem operasi, web server, dan sistem aplikasinya.
Apalagi, ketika baru saja serah terima dari vendor, maka harus ada upaya lebih untuk melakukan pengecekan sehingga menutup celah-celah yang bisa dimanfaatkan. Misalnya, menghapus semua berkas dokumentasi dari vendor dan mengubah semua akun yang dibuat saat instalasi.
Selain itu, harus ada sesi manajemen, yaitu memetakan dengan benar profil dan pengguna dengan mematikan semua akses, kecuali yang ditentukan. Perlu juga memberikan proteksi kepada sumber dokumen yang bersifat statis. Untuk audit keamanan bisa dilakukan secara berkala.
Pratama menuturkan, meski sistem pemilu di Indonesia masih menggunakan penghitungan manual konvensional, peretasan akan terus mengurangi kredibilitas KPU. Ia menegaskan, situs web KPU adalah etalase KPU sekaligus untuk tempat sosialisasi.
Oleh karena itu, perlu terobosan KPU dengan memperhatikan keamanan pada laman mereka. Tidak hanya situs web, tetapi juga sistem pengelolaan data masyarakat yang mereka simpan dan kelola agar tidak gampang bocor. Misalnya, menggunakan enkripsi terhadap data masyarakat sehingga jika bocor datanya akan tidak mudah dimanfaatkan pihak lain.
”Dengan nantinya ada Undang-Undang Perlindungan Data Pribadi, maka KPU mau tidak mau harus meningkatkan keamanan sistem teknologi informasinya, lalu juga meningkatkan kemampuan SDM-nya,” kata Pratama.