Libatkan ”Ethical Hacker” untuk Cegah Serangan Siber
Di sejumlah negara, "ethical hacker" aktif mencari celah keamanan, baik pada sistem yang digunakan perusahaan maupun instansi pemerintah. Siapa "ethical hacker" ini? Dan sejauh mana peran mereka di Tanah Air?
Oleh
Kurnia Yunita Rahayu
·4 menit baca
JAKARTA, KOMPAS — Pelibatan ethical hacker untuk mengidentifikasi celah keamanan sistem elektronik yang dikembangkan pemerintah penting untuk membantu mencegah serangan siber yang terus berulang. Namun, selama ini peran mereka terbatas karena terhambat regulasi. Alih-alih mendapatkan apresiasi, sejumlah hacker justru dipidana.
Pakar digital forensik Ruby Alamsyah mengatakan, peran masyarakat dibutuhkan untuk membantu mencegah serangan terhadap keamanan sistem elektronik yang dikelola pemerintah.
Masyarakat yang dimaksud adalah mereka yang berprofesi sebagai ethical hacker atau ahli teknologi informasi yang mampu menembus sistem elektronik guna menemukan dan mengevaluasi celah keamanannya. Di sejumlah negara, mereka aktif dalam skema bug bounty atau pencarian celah keamanan, baik pada sistem maupun produk teknologi yang digunakan perusahaan atau instansi pemerintahan. Mereka yang dapat menemukan ”bug” atau kecacatan dalam produk TI tersebut akan mendapatkan hadiah.
Namun di Indonesia, ethical hacker lebih banyak berpartisipasi dalam skema bug bounty yang diselenggarakan perusahaan swasta. Tidak sedikit celah kerentanan penting yang bisa ditemukan sehingga keamanan sebuah sistem elektronik bisa lebih terjaga. Keberhasilan mereka umumnya diganjar dengan apresiasi materiil yang cukup besar. ”Sementara itu, kalau di instansi pemerintah reward yang diberikan lebih banyak berupa sertifikat ataupun surat pengakuan,” kata Ruby dihubungi dari Jakarta, Selasa (7/9/2021).
Menurut Ruby, skema ini semestinya bisa lebih dikembangkan oleh pemerintah. Di tengah serangan siber berulang yang berujung pada kebocoran data masyarakat, butuh keterlibatan lebih banyak pihak untuk sama-sama menjaga sistem keamanan sistem elektronik yang digunakan untuk kepentingan publik. ”Program seperti ini (bug bounty) perlu digalakkan di instansi pemerintah, dengan aturan yang jelas dan reward yang sangat layak,” ujarnya.
Selama ini, alih-alih mendapatkan apresiasi, para ethical hacker justru terancam pidana. Berdasarkan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, akses yang mereka lakukan untuk melihat celah keamanan sebuah sistem masuk dalam kategori tindak pidana. Pada 2019, contohnya, hacker asal Sumatera Barat berinisial AA ditangkap oleh Polda Metro Jaya setelah melaporkan kerentanan pada laman daring Komisi Pemilihan Umum (KPU) karena dianggap telah melakukan akses ilegal.
Dalam penyidikan, AA disangka melanggar Pasal 33 dan atau Pasal 36 dan atau Pasal 51 Ayat (2) UU ITE. Saat ini, ia sudah bebas karena penyidikan dihentikan setelah KPU mencabut laporannya. Namun, namanya telanjur beredar dan dicap sebagai pembobol situs KPU, AA pun meminta pemulihan nama baik.
Perbaikan regulasi
Juru Bicara Badan Siber dan Sandi Negara (BSSN) Anton Setiawan mengakui, peran masyarakat untuk menilai kerentanan sistem elektronik pemerintah sangat penting. Hal itu juga merupakan amanat Pasal 94 Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Dalam pasal tersebut, disebutkan bahwa pemerintah berperan untuk melindungi kepentingan umum dari segala jenis gangguan sebagai akibat penyalahgunaan informasi elektronik dan transaksi elektronik yang mengganggu ketertiban umum. Peran tersebut dapat dilaksanakan melalui kerja sama dengan pihak lain. ”Pihak lain yang dimaksud termasuk industri, akademisi, dan masyarakat,” katanya.
Pelibatan masyarakat itu telah dilakukan oleh BSSN melalui program Voluntary Vulnerability Disclosure Program (VVDP) sejak 2019. Menurut Anton, cukup banyak masyarakat, terutama komunitas yang berpartisipasi melaporkan kerentanan sistem elektronik, baik milik pemerintah maupun swasta. Akan tetapi, pada pertengahan 2020, program tersebut dihentikan sementara karena pemerintah harus memperbaiki mekanisme dan tanggung jawab hukum dalam aktivitas para ethical hacker.
Perbaikan yang dimaksud terkait dengan aturan pidana di UU ITE yang justru dapat menjerat para hacker meski mereka tidak bermaksud untuk mengakses sistem elektronik untuk kepentingan jahat. ”Perbaikan akan kami masukkan dalam revisi UU ITE agar pihak yang melaporkan kerentanan dapat dilindungi, tidak dikenai sanksi pidana. Tentunya juga dengan disertai mekanisme teknis yang ketat, agar tidak disalahgunakan dan mengganggu operasional sistem elektronik yang terkait,” kata Anton.
Meski VVDP telah ditutup, BSSN masih membuka ruang bagi masyarakat yang ingin melaporkan temuan kerentanan sistem TI pemerintah. Pengaduan dapat disampaikan melalui surel bantuan70@bssn.go.id. ”Saluran ini juga yang digunakan oleh VPN Mentor untuk melaporkan celah kerentanan pada aplikasi mitra e-HAC yang lalu,” ujarnya.
Penyelidikan e-HAC
Diberitakan sebelumnya, dugaan kebocoran data terjadi pada aplikasi e-HAC yang dikelola Kementerian Kesehatan. Dugaan itu mengemuka setelah situs pengulas perangkat lunak VPN Mentor memublikasikan temuannya di laman daring pada akhir Agustus. VPN Mentor menjelaskan, telah terjadi kebocoran data 1,3 juta pengguna e-HAC karena pengembang gagal mengimplementasikan protokol privasi data yang memadai. Tak hanya data subyek individu, kebocoran juga mengungkap infrastruktur aplikasi secara keseluruhan, termasuk rekaman berbagai rumah sakit dan pejabat yang menggunakan e-HAC.
VPN Mentor juga mengatakan, telah berusaha menginformasikan hal tersebut kepada Kemenkes pada 21 dan 26 Juli 2021, tetapi tidak ditanggapi. Sebulan setelahnya, yakni 24 Agustus 2021, mereka baru mendapat respons setelah melaporkan temuan ke BSSN. Temuan tersebut kemudian ditindaklanjuti dengan investigasi, baik oleh Kemenkes maupun BSSN serta Kementerian Komunikasi dan Informatika. Potensi tindak pidana juga turut diselidiki oleh Badan Reserse Kriminal Polri.
Dihubungi terpisah, Kepala Divisi Humas Polri Inspektur Jenderal Raden Prabowo Argo Yuwono mengatakan, per Senin (6/9/2021), penyelidikan dugaan kebocoran data e-HAC dihentikan. Tidak ditemukan tindak pidana terkait dugaan tersebut.
”Hasil penyelidikan yang dilakukan oleh cyber Polri terhadap Kemenkes dan mitra Kemenkes, tidak ditemukan upaya pengambilan data pada server e-HAC. (Aplikasi) aman,” kata Argo.