Respons kementerian/lembaga terhadap peringatan serangan siber dari BSSN masih minim. Kondisi itu menyebabkan kerentanan terhadap serangan siber, dan mengindikasikan permasalahan pada tata kelola keamanan siber.
Oleh
KURNIA YUNITA RAHAYU
·3 menit baca
JAKARTA, KOMPAS — Menangani kebocoran data perlu melihat kembali dan juga mengevaluasi bagaimana tata kelola keamanan siber berjalan. Badan Siber dan Sandi Negara telah menyebutkan bahwa serangan siber yang dilaporkan selama 2021 minim sekali yang ditindaklanjuti oleh kementerian/lembaga. Sepanjang Januari hingga 13 September 2022 pun BSSN telah mengirimkan 1.261 notifikasi terkait upaya untuk menginfeksi keamanan siber ke semua kementerian/lembaga, tetapi hanya 72 notifikasi atau 6 persen yang direspons.
Minimnya respons kementerian dan lembaga terhadap peringatan serangan siber itu, menurut Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar, Kamis (15/9/2022), mengindikasikan adanya permasalahan pada tata kelola keamanan siber. Menurutnya, penyelenggara sistem elektronik (PSE) publik atau pemerintah semestinya tunduk pada Peraturan Presiden (Perpres) Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE).
Perpres itu menempatkan BSSN sebagai institusi yang memastikan sistem keamanan dari sistem elektronik pemerintah. Selain itu, BSSN juga memiliki fungsi koordinasi keamanan siber institusi pemerintah.
Jika peringatan tentang adanya serangan siber yang diberikan BSSN diabaikan, artinya ada masalah yang harus dievaluasi. ”Ini berarti ada permasalahan dalam tata kelola keamanan siber pemerintah, yang menjadikan fungsi pengamanan dan koordinasi BSSN tidak berjalan optimal,” katanya.
Wakil Kepala BSSN Komisaris Jenderal (Pol) Luki Hermawan menyampaikan, sepanjang Januari-13 September 2022 terindentifikasi terjadi 852,2 juta trafik anomali atau upaya mencurigakan untuk menginfeksi keamanan siber.
Untuk menindaklanjutinya, BSSN mengirimkan 1.261 pemberitahuan atau notifikasi ke kementerian/lembaga yang teridentifikasi terjadi trafik anomali. Pemberitahuan paling banyak dikirimkan ke sektor administrasi pemerintahan, yakni 761 notifikasi. Kemudian, disusul oleh sektor pendidikan yang menerima 345 notifikasi. ”Dari seluruh notifikasi itu, hanya 72 notifikasi atau 6 persen yang direspons,” kata Luki.
Merujuk laporan Tahunan Monitoring Keamanan Siber Tahun 2021 yang dikeluarkan BSSN, juga terjadi 1,6 miliar anomali trafik sepanjang 2021. Namun, notifikasi yang dikirimkan ke PSE belum pernah ditindaklanjuti secara signifikan. (Kompas, 14/9/2022)
Rendahnya kesadaran para pemangku kepentingan merespons notifikasi ini menjadi celah kerentanan yang banyak dimanfaatkan pelaku kejahatan siber.
Menurut Luki, rendahnya kesadaran para pemangku kepentingan merespons notifikasi ini menjadi celah kerentanan yang banyak dimanfaatkan pelaku kejahatan siber mengganggu sistem elektronik mereka.
Namun, lanjutnya, baru sejak peretas Bjorka membocorkan data sejumlah instansi pemerintah, ada perubahan sikap dari kementerian/lembaga. ”Notifikasi yang kami kirim selama ini dicuekin, (kini) alhamdulillah responsnya menjadi baik sekali. Ke depan jangan meremehkan,” kata Luki.
Pemerintah, lanjut Luki, kini juga menerbitkan Peraturan Presiden Nomor 82 Tahun 2022 tentang Pelindungan Infrastruktur Informasi Vital. Perpres ini mengatur penerapan keamanan siber pada sektor strategis untuk melindungi penyelenggaraan infrastruktur informasi vital.
Anggota Komisi I DPR dari Fraksi Partai Nasdem Muhammad Farhan menambahkan, hal yang bisa menekan PSE patuh menjaga keamanan sistem siber adalah ketentuan yang ada di Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). RUU itu memuat sejumlah pasal yang memaksa PSE mematuhi standar keamanan penyimpanan data. Kini, RUU itu menunggu pengesahan melalui Rapat Paripurna DPR.
Ketua Indonesia Cyber Security Forum (ICSF) Ardi Sutedja mengingatkan, peningkatan kapasitas sumber daya manusia di setiap instansi juga mutlak dilakukan. Sebab, masih banyak ditemukan petugas di bidang keamanan siber tidak memiliki kompetensi yang dibutuhkan.