Tiap instansi pemerintah daerah masih menerapkan standar keamanan situs yang berbeda. Situasi ini menjadi celah peretas membobol situs-situs pemerintah.
Oleh
Dhanang David Aritonang, Andy Riza Hidayat, Insan Al Fajri, Irene Sarwindaningrum
·3 menit baca
JAKARTA, KOMPAS — Perbedaan standar keamanan situs pemerintah menjadi celah peretas untuk membobolnya. Sebagian pengelola situs sudah menerapkan standar keamanan yang ketat, tetapi ada juga yang belum menerapkan keamanan sesuai standar Badan Sandi dan Siber Negara atau BSSN.
Perbedaan standar antara lain ditemukan di Kantor Dinas Kesehatan Jawa Barat serta Kantor Dinas Komunikasi dan Informatika Jabar, Rabu (6/10/2021). Pengelola situs di Kantor Dinkes Jabar tidak memiliki ruang kontrol khusus untuk memantau keamanan situs mereka. Mereka bekerja mengelola situs hanya dengan mengandalkan laptop masing-masing di ruangan kerja dinas pemda pada umumnya, bergabung dengan pegawai lain yang berasal dari divisi kesekretariatan.
”Kalau ruangan kontrol khusus, tidak ada di sini. Yang ada hanya ruangan biasa yang kadang dipakai juga untuk rapat,” ujar anggota tim TI Dinkes Jabar, Wawan Darmawan.
Situs Dinkes Provinsi Jabar juga belum memiliki sertifikat secure sockets layer (SSL) ketika diretas. Ini membuat situs Dinkes Jabar makin rentan. Peretas bisa menginjeksi structured query language (SQL) untuk meretas situs.
SSL merupakan salah satu teknologi keamanan siber internasional yang berfungsi mencegah peretas mengambil data rahasia di dalam situs. Dengan adanya SSL, data yang ada terkirim ke server tujuan dan bukan ke mesin atau perangkat lain yang tidak memiliki hak atas data tersebut. SQL adalah bahasa pemrograman yang digunakan dalam mengakses, mengubah, dan memanipulasi data yang berbasis relasional. Situs Dinkes Jabar, menurut Wawan, masuk kategori yang paling banyak diretas di Jabar.
Berbeda dengan Dinkes Jabar, Diskominfo Jabar memiliki standar keamanan ketat. Tim TI Diskominfo Jabar memiliki ruang penguatan pusat operasi keamanan yang tidak bisa dimasuki sembarangan orang. Kompas harus menandatangani surat perjanjian kerahasiaan ketika masuk ke ruang Security Operations Center (SOC).
”Kami selalu menjaga kerahasiaan data dan informasi yang ada di sini. Itu prosedur yang harus diterapkan,” kata Kepala Bidang Persandian dan Keamanan Informasi Diskominfo Jabar Tiomaida Seviana.
Ruang SOC berfungsi memonitor 506 aplikasi dan situs seluruh dinas yang menggunakan domain jabarprov. Secara rutin, Diskominfo Jabar memeriksa kerentanan setiap situs serta aplikasi kemudian memperbaiki apabila terdapat celah peretasan.
Diskominfo Jabar menjadi salah satu dari 10 provinsi yang ditunjuk BSSN untuk membentuk tim tanggap keamanan siber atau Computer Security Incident Response Team (CSIRT). CSIRT Provinsi Jabar berfungsi memeriksa kelayakan sebuah situs pemprov melalui serangkaian prosedur, seperti konsultasi pembuatan situs, registrasi, pengecekan keamanan, dan penerbitan IT Security Assessment (ITSA) sehingga akhirnya situs tersebut layak digunakan.
Kewajiban penyelenggara sistem elektronik (PSE) jelas tertuang dalam Pasal 26 Ayat (1) Undang-Undang Informasi dan Transaksi Elektronik (ITE). Disebutkan dalam UU ITE, PSE wajib menjaga kerahasiaan, keutuhan, keotentikan, keteraksesan, ketersediaan, dan dapat ditelusurinya suatu informasi elektronik.
Idealnya, sistem keamanan data yang tangguh dirancang pemanfaatannya, penyimpanannya, serta keamanan datanya. ”Di Indonesia dan di banyak negara, tiga aspek ini bermasalah,” kata Martianus Frederic Ezerman, peneliti senior matematika kriptografi dan teori pengodean, Nanyang Technological University, Singapura.
Perbedaan standar keamanan situs pemerintah kerap memicu peretasan. ”Banyak peretasan karena di tiap situs pemerintah tidak ada satu standar yang sama dalam keamanannya, pemda punya standar keamanan masing-masing,” ujar Kasubdit I Direktorat Tindak Pidana Siber Bareskrim Polri Komisaris Besar Reinhard Hutagaol.