JDIH BSSN Diretas, Serangan Berulang Bisa Menyasar Integritas Lembaga
Situs JDIH Badan Siber dan Sandi Negara diretas. Peretasan dan insiden kebocoran data berulang dinilai bisa mengganggu integritas BSSN sebagai lembaga yang dibentuk untuk mencegah potensi serangan siber di Indonesia.
Oleh
DIAN DEWI PURNAMASARI
·5 menit baca
JAKARTA, KOMPAS — Untuk kedua kalinya, situs Badan Siber dan Sandi Negara (BSSN) diretas oleh hacker. Kali ini, situs Jaringan Dokumentasi dan Informasi Hukum (JDIH) BSSN yang diserang dipublikasikan di forum internet, deep web, yang tak mudah ditelusuri di mesin pencari. Peretasan berulang terhadap situs BSSN bisa mengganggu kredibilitas lembaga.
Informasi terkait kebocoran data JDIH BSSN pertama kali dipublikasi oleh akun Twitter @darktracer_int pada Senin (31/1/2022). Akun @darktracer_int mencuitkan [ALERT] JDIH BSSN’s database was leaked to the deep web by a bad actor atau [PERINGATAN] basis data JDIH BSSN diretas ke deep web oleh aktor yang buruk. Unggahan itu disertai dengan foto tangkapan layar dari deep web. Pengguna yang mengklaim memiliki basis data JDIH BSSN itu menggunakan nama akun p0L1cy.
Sebelumnya, Situs Pusat Malware Nasional milik BSSN juga pernah diretas tahun 2021. Insiden serangan berupa perubahan halaman muka atau defacementyang mengakibatkan situs tak dapat diakses oleh publik hingga Senin (25/10/2021). Peretasan terhadap situs BSSN dianggap sangat memprihatinkan karena lembaga itu dibentuk untuk mendeteksi dan mencegah segala potensi serangan siber, (Kompas, 25/10/2021).
Juru bicara BSSN, Anton Setiawan, Rabu (2/2/2022), membenarkan saat dikonfirmasi soal peretasan terhadap JDIH BSSN. Anton menjelaskan, sejak Senin, insiden kebocoran data tersebut sudah langsung dilaporkan oleh tim Cyber Threat Intelligence (CTI) dari Direktorat Operasi Keamanan Siber.
Laporan kemudian diterima oleh BSSN-CSIRT untuk dilakukan investigasi lebih lanjut. Menurut Anton, sistem JDIH merupakan sistem informasi yang sebenarnya bisa diakses oleh publik. Adapun data yang dipublikasi di forum deep web adalah artikel, dokumen hukum, aturan, dokumentasi kegiatan, bahan sosialisasi dan beberapa data lain. Sistem di JDIH juga disebut merupakan sistem informasi lama yang saat ini dalam proses pembaruan.
”Data itu diindikasikan diperoleh oleh pelaku ancaman (threat actor) sejak 14 Maret 2021, dari data yang telah dimodifikasi (date modified), dan dipublikasikan di forum deep web pada 31 Januari 2022 dengan motivasi diperkirakan untuk menunjukkan eksistensi pelaku ancaman,” kata Anton melalui keterangan resmi.
Anton memastikan, kejadian tersebut tak berpengaruh terhadap proses bisnis di BSSN. Data lainnya juga diklaim tak terdampak kejadian tersebut. Namun, hingga Rabu pagi, situs JDIH BSSN itu tak dapat diakses oleh publik. Saat diakses, situs tersebut disebut sedang dalam perawatan rutin.
Saat ini, langkah yang dilakukan oleh BSSN adalah melaksanakan proses respons dan pemulihan serta mencegah dampak lanjutan dari insiden kebocoran data. Selain itu, BSSN juga melakukan penelusuran terhadap akun pelaku kejahatan itu.
Menyerang integritas lembaga
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan, peretasan dan insiden kebocoran data, sekalipun data itu dapat diakses oleh publik, merupakan serangan terhadap integritas BSSN sebagai lembaga yang dibentuk untuk melindungi dan mencegah segala potensi serangan siber di institusi pemerintah. Jika serangan untuk kali kedua ini tidak diatasi secara serius, bisa jadi kepercayaan publik terhadap otoritas BSSN akan semakin menurun.
Sebab, otoritas BSSN memang dibentuk sebagai lini terdepan untuk memastikan perlindungan sistem informasi, termasuk perlindungan data pribadi untuk infrastruktur kritis nasional. ”Pasca-serangan kedua kalinya ini muncul pertanyaan bagaimana BSSN mempersiapkan perangkat lembaganya untuk memastikan sistem keamanan siber nasional? Apalagi, kemarin baru saja ada serangan di Bank Indonesia yang memperlihatkan bahwa kondisi infrastruktur kritis nasional masih sangat rentan terhadap serangan peretasan,” kata Wahyudi.
Untungnya, lanjut Wahyudi, BSSN ini bukanlah institusi yang mengelola data pribadi warga. Kebocoran data JDIH BSSN mungkin bukanlah sesuatu yang fatal, mengingat data tersebut sebenarnya dapat diakses oleh publik. Namun, problemnya adalah di integritas lembaga dan kepercayaan publik yang bisa menurun kepada BSSN. Publik pasti akan bertanya-tanya mengapa lembaga yang seharusnya menjadi lini terdepan perlindungan keamanan siber institusi pemerintah justru mudah diserang oleh peretas.
”Butuh respons cepat dalam mengambil kebijakan untuk mengatasi serangan kemarin itu. Selain itu, juga butuh evaluasi mendalam mengenai payung hukum keamanan siber nasional,” kata Wahyudi.
Menurut Wahyudi, insiden ini kembali mengingatkan bahwa institusi pemerintah masih sangat rentan terhadap serangan siber. Oleh karena itu, perangkat keamanan siber yang baik dan juga sumber daya manusia yang mengelolanya harus diperbaiki. Ada banyak aspek yang masih bolong dan harus dievaluasi agar bisa menjadi guidelines seluruh instansi pemerintah.
”Bagaimana agar aspek perlindungan data dalam instrumen kebijakan dan koordinasi keamanan siber nasional bisa lebih baik lagi? Ini juga sekaligus mendorong lagi urgensi perlunya ada RUU Keamanan Siber,” kata Wahyudi.
Menurut Wahyudi, RUU Keamanan Siber sangat dibutuhkan jika pemerintah ingin menjaga keamanan siber nasional dan juga membenahi aspek ekosistem siber nasional. Adapun khusus untuk perlindungan data pribadi (PDP) warga agar tidak mudah diretas atau bocor juga diperlukan percepatan untuk segera mengesahkan RUU PDP.
RUU PDP sudah dibahas di DPR selama tujuh kali masa sidang sejak 2020 tetapi tak kunjung disahkan. Padahal, hal itu sudah menjadi atensi atau perhatian serius dari Presiden Joko Widodo yang diungkapkan saat pidato Hari HAM Internasional, 10 Desember 2021.
”Jika bicara aspek peningkatan keamanan dan pertahanan siber nasional, perlu ada payung hukum RUU Keamanan Siber. Namun, jika berbicara dari perlindungan manusianya, atau dalam konteks ini data pribadi warga RUU PDP, juga harus segera disahkan. Sebab, di situ ada kewajiban pengelola data pribadi untuk mampu membangun sistem informasi yang andal agar tidak mudah terkena serangan peretasan,” kata Wahyudi.
Segera dibahas
Sebelumnya, Pelaksana Tugas Direktur Tata Kelola Aplikasi Informatika Kementerian Komunikasi dan Informatika (Kemenkominfo) Teguh Arifiyadi, Kamis (27/1/2022), mengatakan, pemerintah dan DPR memiliki visi yang sama bahwa RUU PDP adalah RUU prioritas yang harus segera diselesaikan. Pasalnya, peretasan dan kebocoran data pribadi terus terjadi akhir-akhir ini.
”Kami telah mengirimkan surat permohonan untuk membahas kembali DIM (daftar inventarisasi masalah) RUU PDP di masa sidang kali ini,” kata Teguh.
Secara umum, proses pembahasan DIM RUU PDP di DPR sudah mencapai 55 persen. Namun, pembahasan tertunda karena ada sejumlah materi krusial yang belum juga disepakati, seperti soal badan otoritas pengawas perlindungan data pribadi.
”Di trimester pertama 2022 ini akan diatur ulang untuk mempercepat proses pembahasan di DPR. Ini harus segera tuntas karena menjadi concern dari masyarakat dan diperintahkan pula oleh Presiden untuk segera diselesaikan,” kata Teguh.