Peralatan dan kemampuan pegawai pemerintah belum mumpuni melawan serangan siber. Ini menjadikan mereka sasaran empuk peretasan. Niat baik untuk mempermudah layanan publik pun terganggu.
Oleh
Insan Alfajri / Dhanang David Aritonang / Irene Sarwnidaningrum / Andy Riza Hidayat
·3 menit baca
Peralatan dan kemampuan pemerintah belum mumpuni melawan serangan siber. Mereka menjadi sasaran empuk. Niat baik mempermudah layanan publik pun terganggu.
Awal Juni 2021 akan selalu dikenang oleh tiga pegawai Dinas Kependudukan dan Pencatatan Sipil (Disdukcapil) Kota Bogor, Jawa Barat. Mereka menginap di kantor, bergadang sampai pagi karena ulah peretas. Mereka adalah Kepala Bidang Penyajian Informasi Ade Sumarjo, Kepala Seksi Kerja Sama dan Inovasi Pelayanan Mugi Lastono, dan administrator basis data Sabur Yusnandar.
Ketika Kementerian Dalam Negeri mengabarkan peladen (server) Disdukcapil Kota Bogor diretas, Ade, Mugi, dan Sabur langsung tersandar di sofa lantai dua kantor itu. Mereka termenung sampai pagi, memikirkan layanan elektronik yang dibuat untuk memudahkan masyarakat harus dimatikan sementara. Tak tanggung-tanggung, aplikasi Si Kancil Berlari harus nonaktif selama dua bulan.
Di media sosial, warga Bogor mulai bertanya-tanya, mengapa layanan yang memudahkan mereka selama pandemi Covid-19 tak bisa lagi dibuka. Padahal, Si Kancil Berlari memungkinkan masyarakat mengurus dokumen kependudukan dari gawai di genggaman tangan. Sehari setelah membuat permohonan di aplikasi, dokumen sudah siap dan tinggal diambil di layanan tanpa turun. Sejak aplikasi itu dibuat per Maret 2020, Si Kancil Berlari sudah melayani lebih dari 150.000 permohonan layanan kependudukan.
Yang lebih menyesakkan, peretas mencuri data warga Bogor lalu menjualnya di forum daring dengan harga ratusan ribu rupiah. Ini membuat Ade meradang. ”Kalau peretasnya ngomong ke saya, ’Pak, ini ada celah di aplikasi Disdukcapil Kota Bogor. Minta Rp 200.000, dong, buat beli martabak,’ pasti saya kasih itu. Enggak perlu harus nge-hack segala dan mengganggu layanan masyarakat,” ujar Ade ketika ditemui, Jumat (1/10/2021).
Serangan siber yang menarget situs-situs pemerintah berbeda tingkatannya. Kalau yang diretas laman atau halaman depan situs, pengelola layanan digital bisa segera tahu dan memitigasi. Beda kalau peretas masuk lewat pintu belakang. Tampilan seperti biasa, tetapi peretas sudah merangsek ke peladen.
Peretasan senyap semacam itu rata-rata tidak diketahui pengelola situs, seperti kasus di Disdukcapil Kabupaten Bekasi. Hilman Maulana, salah seorang tim TI di lembaga itu, tidak mendapati masalah di sistem ketika terjadi peretasan. Aplikasi Si Tepak pun masih berjalan lancar.
Setelah mengetahui data lembaganya bocor dan dijual di forum daring, Hilman dan tim memutuskan untuk berinteraksi dengan pelaku. Mereka ingin mengumpulkan bukti permulaan yang cukup untuk melaporkan kasus peretasan ini ke polisi. Aksi perburuan peretas pun dimulai.
Menyaru sebagai orang yang akan membeli data ilegal tersebut, Hilman mengorek informasi dari pelaku. Percakapan Hilman dan peretas direkam dengan tangkapan layar dan diateruskan ke polisi. Hingga saat ini, polisi masih mencari pelaku peretasan itu.
Di Bandung, Jawa Barat, adanya sistem pemantauan anomali trafik tidak menyurutkan niat peretas untuk menjebol sistem keamanan layanan digital di wilayah itu. Peretas seperti mencatat betul jam kerja aparatur sipil negara (ASN).
Karena itu, serangan yang menyasar situs-situs pemerintah di Jawa Barat banyak terjadi di hari libur atau di luar jam kerja ASN. Hal ini terpantau oleh Dinas Komunikasi dan Informatika (Diskominfo) Jawa Barat. ”Jadi, mereka memang mencari waktu ketika kami lemah,” ujar Kepala Seksi Layanan Keamanan Informasi Diskominfo Jabar Asep Deni
Serangan siber di hari libur menjadi tantangan tersendiri. Sebab, koordinasi menjadi persoalan laten birokrasi. Ketika terjadi serangan, Diskominfo Jabar harus segera memberi tahu pemilik aplikasi. Ini tidak mudah lantaran pemberitahuan tersebut belum tentu segera direspons.
Padahal, Jabar sudah memiliki tim respons insiden keamanan siber (Jabarprov CSIRT). Di dalamnya, ada agen atau perwakilan setiap organisasi perangkat daerah. ”Ini mungkin salah satu tugas kami untuk terus mengerahkan agen-agen ini bekerja maksimal. Mungkin mereka juga punya kerjaan sendiri. Yang namanya tugas tambahan, kadang tidak fokus,” tutur Asep.
Di Jawa Timur, empat petugas keamanan informasi dinas informasi dan komunikasi harus memantau sekitar 3.000 situs milik organisasi perangkat daerah. Meski jam kerja normal pegawai sampai sore, kenyataannya mereka siaga 24 jam.