Derasnya Kritik pada BSSN: Dari Peretasan, Aplikasi ”Satria”, hingga Kolam Renang
Diretasnya situs milik BSSN, diragukannya kehandalan aplikasi Satria bikinan BSSN, dan rencana BSSN membangun kolam renang Rp 1,8 miliar membuat publik meragukan keseriusan lembaga itu menjaga keamanan siber nasional.
Oleh
Norbertus Arya Dwiangga Martiar/NIKOLAUS HARBOWO
·5 menit baca
Sorotan publik pada Badan Siber dan Sandi Negara atau BSSN dalam sepekan terakhir begitu kencang. Diawali dari diterobosnya situs milik penjaga sistem keamanan siber nasional tersebut oleh peretas. Lalu berlanjut ke aplikasi ”Satria” bikinan BSSN yang tak mencerminkan kelas BSSN. Yang terbaru, mencuatnya rencana pembangunan kolam renang senilai Rp 1,8 miliar di areal perkantoran BSSN. Ada apa dengan BSSN?
Rabu (3/11/2021) malam, rencana pembangunan kolam renang di kompleks perkantoran BSSN mencuat di media sosial. Dari hasil tangkapan layar situs Layanan Pengadaan Secara Elektronik (LPSE) BSSN, https://lpse.bssn.go.id, yang beredar, tertera nama tender ”Pembuatan Kolam Renang Kantor BSSN Sentul” dengan pagu anggaran Rp 1,8 miliar dari Anggaran Pendapatan dan Belanja Negara (APBN) 2021. Tender mulai dilakukan pada 20 Oktober 2021. Sebanyak 116 peserta mengikutinya, dan pemenangnya CV Aktalindo Perkasa dengan harga penawaran Rp 1,417 miliar.
Tak butuh waktu lama, rencana pembangunan kolam renang tersebut menjadi viral disertai derasnya kritik dari warganet. Bagaimana tidak? Pasca-peretasan situs milik BSSN pada 25 Oktober lalu, pihak BSSN mengeluhkan keterbatasan anggaran sehingga tak bisa optimal menjaga sistem keamanan sibernya ataupun instansi-instansi pemerintah lainnya. Seperti diketahui, peretasan tak hanya terjadi pada situs milik BSSN, tetapi sudah sering terjadi pada situs instansi pemerintah lainnya.
Direktur Operasi Keamanan Siber Nasional BSSN Ferdinand Mahulette sempat menggambarkan keterbatasan anggaran itu dengan anggaran yang dialokasikan bagi BSSN untuk 2022. Ia menyebut anggaran untuk 2022 hanya sekitar Rp 500 miliar dan itu sudah habis untuk belanja barang dan pegawai. Tidak ada anggaran untuk penguatan keamanan siber. ”Bayangkan, kami cuma bisa melihat persentase keamanan siber Indonesia itu di bawah 10 persen, bahkan di bawah 5 persen. Saya rasa, gapnya besar (jika dibandingkan dengan serangan siber ke Indonesia,” keluhnya.
Maka, ketika proyek kolam renang miliaran rupiah itu mencuat, tak heran jika warganet terusik. Kira-kira inti kritiknya, BSSN mengeluh anggaran terbatas dan tak bisa memperkuat keamanan siber di tengah maraknya peretasan, tetapi di sisi lain BSSN justru membangun kolam renang. Dengan kata lain, skala prioritas penggunaan anggaran dipertanyakan. Kolam renang jelas bukan prioritas saat sistem keamanan siber nasional masih dengan mudah diterobos oleh peretas.
Sekretaris Jenderal Forum Indonesia untuk Transparan Anggaran (Fitra) Misbah Hasan pun menilai, rencana kolam renang itu sebagai pemborosan anggaran. ”Apalagi, kita masih menghadapi masifnya peretasan, bahkan serangan siber ke BSSN sendiri. Seharusnya, anggaran digunakan untuk kerja-kerja strategis BSSN, bukan yang sifatnya entertainment pejabat atau staf BSSN,” ucap Misbah.
”Ditambah lagi, APBN kita masih dalam kondisi berat, defisit di atas 3 persen terhadap PDB (produk domestik bruto). Belum lagi beban utang pemerintah yang naik setiap tahun. Harusnya, pembangunan kolam renang itu dicoret Kementerian Keuangan,” tambahnya.
Saat dikonfirmasi mengenai pengadaan proyek tersebut, Kepala Biro Hukum dan Komunikasi Publik BSSN Christiyanto Noviantoro mengaku sedang meminta penjelasan dari tim LPSE BSSN. ”Sesuai SOP (prosedur standar operasi), saya serahkan ke Juru Bicara (BSSN) Mas Anton,” ujarnya. Kompas telah meminta konfirmasi kepada Juru Bicara BSSN Anton Setiawan, tetapi belum direspons.
Kritik publik pada rencana pembangunan kolam renang itu kian membuat deras sorotan publik pada BSSN. Ketika situs Pusat Malware Nasional milik BSSN mengalami peretasan berupa perubahan halaman muka atau defacement, derasnya kritik sudah mulai terlihat. Sebab, BSSN sebagai penjaga keamanan siber nasional justru dibobol peretas.
Kritik muncul dari berbagai kalangan. Dari warganet di media sosial hingga sejumlah anggota DPR, bahkan Ketua DPR Puan Maharani turut mengkritik BSSN.
Kritik publik pun berlanjut setelah BSSN meluncurkan aplikasi pengelola kata sandi bernama Satria, Selasa (2/11/2021). Satria merupakan ringkasan dari Sandi Anda Terenkripsi dengan Aman. Kepala BSSN Hinsa Siburian dengan bangga mempromosikan Satria karena aplikasi itu karya mandiri BSSN, yakni hasil pengembangan Pusat Pengkajian dan Pengembangan Teknologi Keamanan Siber dan Sandi BSSN.
”Satria dihadirkan sebagai bentuk literasi digital karya mandiri BSSN untuk menunjukkan negara hadir dalam hal keamanan siber bagi seluruh masyarakat, khususnya ASN,” tutur Hinsa.
Di laman resmi BSSN, sejumlah kehandalan Satria pun dipromosikan.
Fitur keamanan Satria, misalnya, kunci enkripsi diturunkan dari master key dengan fungsi penurunan kriptografi berbasis PBKDF2 SHA-256, kata sandi pengguna terenkripsi dengan menggunakan Algoritma Kriptografi berbasis AES-256, dan pembangkit kata sandi berdasarkan pembangkit acak kriptografi.
Selain itu, Satria disebut menerapkan informasi rahasia tersimpan pada Secure Storage Local Device, penggunaan dua faktor autentikasi berbasis biometrik, mampu menghindari kebocoran kata sandi melalui penangkapan layar, dan sederet kehandalan lainnya.
Namun, apa yang terjadi kemudian?
Kehandalan dari Satria justru diragukan. Pendiri Digital Forensic Indonesia, Ruby Alamsyah, yang telah menguji coba Satria, berpendapat, pembuat aplikasi tersebut tidak profesional. Hal itu terlihat dari kesalahan logis terkait proses pendaftaran (sign up) pengguna di tahap awal.
”Ketika mendaftar, pengguna memasukkan alamat e-mail dan kata sandi. Namun, tidak ada proses verifikasi terhadap e-mail pendaftar bahwa e-mail yang dimasukkan adalah e-mail yang bersangkutan. Jadi, siapa pun yang mendaftar bisa memakai e-mail siapa pun atau menyebutkan e-mail siapa saja. menurut saya, itu fatal,” katanya.
Akibatnya, ketika seseorang keliru memasukkan alamat e-mail, lalu ia bermaksud mengoreksi, prosesnya menjadi rumit atau sulit. Demikian pula ketika seseorang keliru mendaftarkan e-mail, maka akan sulit atau tidak bisa masuk lagi. Menurut Ruby, kesalahan tersebut bukan kesalahan aspek keamanan, melainkan kesalahan logika dalam proses pendaftaran akun.
Adapun dari sisi keamanan, lanjut Ruby, aplikasi tersebut secara teoretis sudah cukup aman karena menggunakan algoritma enkripsi berstandar internasional. Meski demikian, Ruby mempertanyakan langkah BSSN sebagai institusi yang memiliki keahlian untuk membuat algoritma khusus bagi kepentingan mereka sendiri, tetapi justru tidak menggunakannya.
Secara keseluruhan, Ruby menyayangkan Satria tidak mencerminkan kelas dari institusi sekaliber BSSN. Institusi sekaliber BSSN seharusnya dapat membuat aplikasi yang dapat menjadi pesaing aplikasi serupa, terutama yang sudah berkembang dan digunakan banyak kalangan.
”Mudah-mudahan ini hanya aplikasi versi beta sehingga dapat segera diperbaiki. Maka, kritik masyarakat mestinya dapat membuat BSSN lebih baik, tidak sembarangan membuat aplikasi yang tidak sekelas BSSN,” ujarnya.
Ya, tak hanya pada problem aplikasi Satria, derasnya kritik pada BSSN dalam sepekan terakhir diharapkan betul-betul diserap oleh pihak BSSN. Jadikan pula kritik tersebut sebagai bahan pembenahan internal agar BSSN ke depan bisa betul-betul diharapkan sebagai penjaga keamanan siber nasional.