Data Istana Bocor, BSSN Perkuat Sistem Keamanan Siber

Pakar keamanan siber dan digital forensik dari Vaksincom Alfons Tanujaya saat dihubungi, Sabtu (10/9/2022), mengatakan, dirinya sudah mengunduh data yang dijual di situs Breached.to itu. Namun, menurut dia, isinya tak seperti yang dijanjikan oleh peretas. Isi dari dokumen itu hanya berupa catatan keluar-masuk (log) surat dari Kementerian Sekretariat Negara (Kemensetneg). Menurut dia, dokumen berupa tabel 600 kolom berisi catatan keluar-masuk itu kemungkinan besar valid. Ada pula catatan surat dari BIN. Namun, tidak ada isi surat yang bocor dalam data yang dijual secara ilegal itu.

”Banyak yang salah persepsi, dikira isinya surat-surat rahasia. Saya sudah unduh isinya hanya seperti buku tamu, catatan keluar-masuk surat dari Setneg. Kami juga tidak tahu itu tingkat kerahasiaannya bagaimana. Apakah boleh dilihat orang atau tidak,” kata Alfons.

Baca juga: Kebocoran Data Ancam Keamanan Nasional

Ketika dikonfirmasi pada Sabtu, Kepala Sekretariat Presiden (Kasetpres) Heru Budi Hartono menegaskan bahwa tidak ada isi dari data penting di Istana Kepresidenan yang bocor ke dunia maya. ”Tidak ada isi data yang diretas. Surat-surat penting pasti kami mempunyai mekanisme lain dan berbeda,” kata Heru.

Karena upaya-upaya peretasan melanggar hukum, Heru menegaskan bahwa hal ini selanjutnya akan ditangani oleh penegak hukum. ”Akan ditangani oleh lembaga terkait,” tambah Heru.

Sementara itu, Juru Bicara Badan Siber dan Sandi Negara (BSSN) Ariandi Putra mengatakan pihaknya telah menelusuri dugaan insiden kebocoran data yang terjadi sekaligus berkoordinasi dengan setiap penyelenggara sistem elektronik yang diduga bocor datanya, termasuk di dalamnya di lingkungan Kementerian Sekretariat Negara.

BSSN juga telah melakukan upaya-upaya mitigasi untuk memperkuat sistem keamanan siber guna mencegah risiko yang lebih besar pada sejumlah penyelenggara sistem elektronik. ”BSSN berkoordinasi dengan penegak hukum, antara lain Direktorat Tindak Pidana Siber Bareskrim Polri, untuk mengambil langkah penegakan hukum,” tambah Ariandi melalui keterangan tertulis, Sabtu.

Baca juga: Koalisi Peduli Data Pribadi Luncurkan Posko Pengaduan Kebocoran Data

BSSN juga mengingatkan bahwa keamanan siber merupakan tanggung jawab bersama. Untuk itu, BSSN memberikan dukungan teknis dan meminta seluruh PSE guna memastikan keamanan sistem elektronik di lingkungan masing-masing sesuai dengan amanat Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

Tangani dengan serius

Alfons Tanujaya mendesak agar rentetan insiden kebocoran data yang mengancam kedaulatan dan keamanan negara itu disikapi dengan serius. Selama sebulan terakhir, insiden kebocoran data pribadi terus terjadi.

Setelah bocornya 297 juta data peserta BPJS Kesehatan, publik kembali dikejutkan dengan 26,7 juta data pengguna IndiHome yang bocor dan dijual di forum daring. Baru-baru ini, peretas bernama Bjorka mengaku memiliki 1,3 miliar data dari proses registrasi SIM Card dan 105 juta data penduduk dari KPU.

Peretas atau hacker dengan akun Strovian di situs breached.to, Rabu (7/9/2022), juga mengklaim telah berhasil meretas data sumber daya manusia (SDM) Badan Intelijen Negara (BIN). Unggahan data itu berisi nama, tempat tanggal lahir, pangkat atau golongan, dan jabatan fungsional agen intelijen. Dalam data itu tercantum nama-nama orang yang diduga agen atau intel BIN. Dalam unggahannya di situs itu, akun Strovian memberikan judul unggahan dengan kata “stupid intelligence”.

Kebocoran ini juga langsung dibantah oleh pihak BIN. Juru Bicara BIN Wawan Hari Purwanto, saat dikonfirmasi, Jumat (9/9/2022), mengklaim bahwa data tersebut adalah palsu atau hoaks. Dia menyebutkan, data BIN sejauh ini aman, terenkripsi, dan memakai data samaran. Dia menyebut data BIN sejauh ini tidak bocor. ”Bukan,” ujar Wawan singkat saat ditanya apakah benar data yang beredar itu adalah pegawai BIN.

Terbaru, peretas dengan akun Bjorka yang sebelumnya membocorkan data pribadi pelanggan Indihome serta data pemilih kembali mengumumkan target peretasan di akun Telegram. Hal itu diungkap oleh akun Twitter @darktracer_int. Di grup Telegram “Bjorkanism” yang diikuti oleh 4.788 peserta itu, dia mengumumkan bahwa target selanjutnya adalah meretas data pribadi Presiden Joko Widodo.

Di unggahan Twitter itu juga disebut bahwa akun Bjorka sudah menjadi peretas data pribadi masyarakat Indonesia sejak 2020.

”Sayangnya, seluruh instansi yang terkena insiden peretasan data justru sibuk menyangkal. Akhirnya, ini memicu hacker-nya untuk menyerang lagi. Padahal, seharusnya kalau ada data bocor ya dievaluasi, jangan buru-buru menyangkal,” tegas Alfons.

Alfons menilai, manajemen konflik yang diterapkan oleh berbagai instansi pemerintah yang mengalami kebocoran data justru kontra produktif. Pernyataan yang dikeluarkan justru menjadi blunder yang membuat peretas marah. Peretas merasa mendapatkan panggung sehingga mengancam untuk membocorkan data lainnya.

”Kalau ada kebocoran data, seharusnya dilihat masalahnya di mana, sebabnya apa. Seharusnya mitigasi ketika terjadi kebocoran data seperti itu. Jangan malah langsung menyangkal semuanya,” tambahnya.

Seluruh penyelenggara sistem elektronik (PSE) pun didesaknya untuk mengevaluasi total sistem keamanan siber agar hal serupa tak terjadi untuk kedua kalinya. Ini tak hanya berlaku bagi instansi swasta, tetapi juga pemerintah.

Pendekatan strategis

Menurut pendiri Indonesia Cyber Security Forum (ICSF) M Novel Ariyadi, idealnya, ada lembaga supervisi independen yang mengawasi para PSE, baik PSE publik dan PSE privat. PSE publik banyak menghimpun data pribadi warga negara untuk kepentingan pelayanan publik.

”Ini menegaskan bahwa harus ada lembaga independen yang menginvestigasi insiden kebocoran data pribadi. Kalau tidak ada, kejadiannya bakal seperti ini lagi, semuanya bisa cuci tangan dengan menyangkal bahwa tak terjadi kebocoran,” ungkapnya.

Novel juga menyayangkan langkah yang ditempuh pemerintah adalah buru-buru menyangkal bahwa data tak bocor. Padahal, seharusnya mereka mencari tahu, mengaudit, dan menginvestigasi kebocoran yang terjadi. Jika tak ditangani secara serius, dampaknya bisa serius pula pada hal-hal strategis PSE publik.

Kegagapan pemerintah dalam menghadapi insiden kebocoran data ini, lanjutnya, dipengaruhi oleh proses pembangunan kapabilitas keamanan siber nasional yang membutuhkan waktu lama. Lamanya proses itu kontras dengan kemampuan para peretas yang berkembang sangat pesat. Selain itu, dari sisi regulasi, yaitu Rancangan Undang-Undang Perlindungan Data Pribadi juga terlalu lama dibahas di DPR.

”Dengan segala hormat, dialektika pembahasan regulasi maupun pengembangan kapabilitas keamanan digital nasional terlalu lama. Akibatnya, sektor publik dan swasta tak punya acuan yang jelas, ke mana arahnya pembangunan keamanan siber dan perlindungan data pribadi kita,” terang Novel.

Baca Juga: Setelah Dua Tahun, RUU Perlindungan Data Pribadi Akhirnya Tuntas Dibahas

Sementara itu, ancaman peretasan dari Bjorka belum berakhir. Ia juga mengancam bakal membocorkan data MyPertamina. Data akan dibocorkan untuk mendukung demonstrasi memprotes kenaikan harga bahan bakar minyak (BBM).

Melalui grup Telegram-nya, Bjorka juga sesumbar mengaku masih menunggu ditangkap oleh otoritas Pemerintah Indonesia. Dia menunggu digerebek oleh Pemerintah Indonesia.

“Im still waiting to be raided by the Indonesian government,” tulisnya di grup beranggotakan 4.788 peserta itu.

Alfons menilai, jika sampai data MyPertamina ikut bocor, artinya Bjorka bukan peretas biasa. Selain itu, kebocoran data pribadi yang beruntun itu juga memperlihatkan betapa lemahnya kedisiplinan dan kelengahan pengelolaan data di pemerintah.