Kebocoran data pribadi masih terus terjadi. Hanya sebagian kecil instansi pemerintah yang menindaklanjuti notifikasi serangan siber dari Badan Siber dan Sandi Negara.
Oleh
KURNIA YUNITA RAHAYU
·5 menit baca
JAKARTA, KOMPAS — Notifikasi serangan siber dari Badan Siber dan Sandi Negara dinilai membantu untuk menangani kerentanan keamanan sistem elektronik di berbagai instansi pemerintah. Meski demikian, hanya sebagian kecil penyelenggara sistem elektronik dari kementerian atau lembaga yang menindaklanjutinya. Diperlukan inovasi dan penguatan kerja sama antarlembaga agar pesan pemberitahuan bisa ditindaklanjuti secara serius sehingga berbagai insiden kebocoran data bisa dicegah.
Kebocoran data pribadi di instansi pemerintah dan swasta masih terus terjadi. Setelah sejumlah data yang diduga berasal dari kementerian dan lembaga negara dipasarkan oleh akun peretas Bjorka di situs breached.to dua pekan terakhir, pada Rabu (14/9/2022) kabar kebocoran data kembali muncul di media sosial. Akun Twitter #darktracer_int mengunggah cuitan yang mengungkapkan bahwa 50.000 data kredensial pengguna perusahaan aset kripto Indodax bocor di dunia maya. Namun, kabar tersebut dibantah oleh Chief Executive Officer Indodax Oscar Darmawan melalui akun media sosialnya.
Wakil Kepala Badan Siber dan Sandi Negara (BSSN) Komisaris Jenderal Luki Hermawan menjelaskan, berbagai insiden kebocoran data pribadi yang berulang dalam beberapa waktu terakhir tidak terpisahkan dari serangan siber yang juga terus terjadi. Sepanjang Januari-13 September 2022, pihaknya mengidentifikasi adanya 852,2 juta anomali trafik atau upaya mencurigakan yang dilakukan untuk menginfeksi keamanan siber. Dari total serangan tersebut, paling tinggi adalah infeksi malware (55,6 persen), diikuti kebocoran informasi (15,2 persen), dan serangan trojan (10.2 persen).
Setiap notifikasi disertai dengan penjelasan tentang letak kerentanan dan level bahaya, mulai dari rendah, menengah, hingga tinggi.
Menurut Luki, serangan itu sebenarnya bisa diantisipasi. Sebab, pihaknya telah mengirimkan notifikasi ke seluruh kementerian/lembaga yang teridentifikasi mengalami anomali trafik atau upaya mencurigakan untuk menginfeksi keamanan siber sebuah sistem elektronik. ”Setiap notifikasi disertai dengan penjelasan tentang letak kerentanan dan level bahaya, mulai dari rendah, menengah, hingga tinggi,” katanya dalam acara sosialisasi Peraturan Presiden Nomor 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital, di Jakarta, Kamis (15/9/2022).
Sepanjang 2022, sebanyak 1.261 notifikasi dikirimkan ke sejumlah kementerian/lembaga yang teridentifikasi. Pemberitahuan paling banyak dikirimkan ke sektor administrasi pemerintahan, yakni 761 notifikasi. Kemudian disusul sektor pendidikan yang menerima 345 notifikasi.
Dihubungi terpisah, Direktur Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri Zudan Arif Fakrulloh mengatakan, pihaknya kerap menerima notifikasi yang dimaksud BSSN. Pemberitahuan terkait teknis pengamanan siber itu dinilai cukup membantu dan mudah dipahami. Ia pun mengklaim, tim teknis Ditjen Dukcapil selalu menindaklanjutinya untuk penanganan kerentanan sistem keamanan siber yang terkait dengan pengelolaan data kependudukan. ”Kami terbantu dengan pola BSSN ini,” kata Zudan.
Namun, Luki melanjutkan, tidak semua instansi yang mendapatkan notifikasi serangan siber melakukan hal yang sama. Pemberitahuan tersebut masih menjadi perhatian sebagian kecil pemangku kepentingan di lingkungan pemerintah. ”Dari seluruh notifikasi itu, hanya 72 notifikasi atau 6 persen dari keseluruhan tadi yang direspons,” katanya.
Menurut dia, rendahnya kesadaran para pemangku kepentingan untuk merespons notifikasi ini menjadi celah kerentanan yang banyak dimanfaatkan pelaku kejahatan siber untuk mengganggu sistem elektronik. Namun, sejak kasus kebocoran data yang melibatkan akun peretas Bjorka mengemuka di media massa dan menjadi atensi publik, ada perubahan sikap dari kementerian dan lembaga.
Di minggu terakhir ini, notifikasi yang kami kirim selama ini dicuekin, alhamdulillah responsnya menjadi bagi sekali. Ke depan ini jangan main-main, jangan meremehkan situasi, harus sangat merespons (celah kerentanan) sistem keamanan, harus memperbarui sistem yang dimiliki.
”Di minggu terakhir ini, notifikasi yang kami kirim selama ini dicuekin, alhamdulillah responsnya menjadi bagus sekali. Ke depan ini jangan main-main, jangan meremehkan situasi, harus sangat merespons (celah kerentanan) sistem keamanan, harus memperbarui sistem yang dimiliki,” kata Luki.
Belum jadi perhatian
Ketua Indonesia Cyber Security Forum (ICSF) Ardi Sutedja mengatakan, pengiriman notifikasi serangan siber memang telah dilakukan oleh BSSN. Namun, berdasarkan pemantauan ICSF, pemberitahuan itu belum menjadi perhatian di kalangan kementerian/lembaga dan pemerintah daerah. ”Ada yang memang malas untuk membacanya, ada juga yang tidak mengerti karena memang yang menerima pemberitahuan itu bukan petugas yang memiliki kompetensi keamanan siber,” ujarnya.
Akibatnya, pesan yang dikirimkan berlalu begitu saja. Instansi yang menerimanya cenderung tidak menindaklanjutinya sehingga kerentanan sistem keamanan siber yang diinformasikan pun terabaikan.
Menurut Ardi, peningkatan kapasitas sumber daya manusia di setiap instansi mutlak diperlukan. Penempatan tenaga sesuai dengan kompetensinya pun harus dilakukan secara disiplin. Sebab, masih banyak ditemukan bahwa petugas yang bekerja di bidang keamanan siber tidak memiliki kompetensi yang dibutuhkan. ”Kuncinya ada di peningkatan kualitas sumber daya manusia. Ini harus jadi perhatian semua pihak, termasuk presiden,” katanya.
Selain itu, BSSN juga perlu membuat inovasi agar pemberitahuan yang dikirimkan memuat pesan yang bisa langsung ditangkap unsur kegentingannya. Kerja sama antarlembaga juga harus diperkuat.
Penyelenggara sistem elektronik publik atau pemerintah semestinya tunduk pada Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar menambahkan, penyelenggara sistem elektronik (PSE) publik atau pemerintah semestinya tunduk pada Peraturan Presiden (Perpres) Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE). Perpres yang dimaksud menempatkan BSSN sebagai institusi yang memastikan sistem keamanan dari sistem elektronik pemerintah. Selain itu, BSSN juga memiliki fungsi koordinasi keamanan siber institusi pemerintah.
Jika peringatan tentang adanya serangan siber yang diberikan BSSN diabaikan, artinya ada masalah yang harus dievaluasi. ”Ini berarti ada permasalahan dalam tata kelola keamanan siber pemerintah, yang menjadikan fungsi pengamanan dan koordinasi BSSN tidak mampu berjalan optimal,” kata Wahyudi.
Anggota Komisi I DPR dari Fraksi Partai Nasdem, Muhammad Farhan, menambahkan, saat ini BSSN tidak memiliki kewenangan yang kuat untuk memastikan kepatuhan PSE dari kementerian/lembaga. ”BSSN perlu diperkuat melalui pemberlakuan Rancangan Undang-Undang Kekuatan dan Ketahanan Siber Nasional,” ujarnya.
Selain itu, Farhan menambahkan, hal lain yang bisa menekan PSE adalah ketentuan yang ada di RUU Perlindungan Data Pribadi (PDP). RUU tersebut memuat sejumlah pasal yang memaksa PSE yang mengumpulkan, menyimpan, dan mengolah data pribadi masyarakat untuk mematuhi standar keamanan penyimpanan data. Standar keamanan yang dimaksud juga disesuaikan dengan standar yang ditetapkan oleh lembaga negara yang akan dibentuk kemudian.
Adapun RUU PDP yang sudah dibahas selama dua tahun telah disepakati oleh DPR dan pemerintah dalam pembicaraan tingkat I. RUU ini hanya tinggal menunggu pengesahan melalui rapat paripurna DPR.