Sorotan Pakar Soal Serangan Siber: PDN Lumpuh, Keamanan Data Publik Terancam

Ilustrasi serangan siber (Foto: iStockphoto/@ipopba)

PARBOABOA, Jakarta - Sejumlah pihak menyayangkan peristiwa serangan siber terhadap Pusat Data Nasional Sementara (PDNS) 2 yang menghebohkan publik beberapa waktu terakhir.

Apalagi peristiwa tersebut juga membuat beberapa layanan di instansi pemerintah, seperti Imigrasi lumpuh berhari-hari.

Selain itu, sejumlah situs pemerintah daerah dan kementerian juga tidak bisa diakses masyarakat, imbas serangan siber tersebut.

Akademisi Universitas Gadjah Mada Yogyakarta, Ridi Ferdiana mengibaratkan serangan siber ini sebagai pil pahit yang harus ditelan pemerintah.

Menurutnya, kejadian tersebut bisa menurunkan kepercayaan masyarakat terhadap pemerintah, utamanya terkait penyimpanan data pribadi secara daring.

Dikutip dari laman resmi Universitas Gadjah Mada, Ridi menjelaskan, data masyarakat dan pemerintah yang tersimpan di pusat data nasional ini merupakan aset penting yang harus dijaga kerahasiaannya.

Oleh karenanya, peneliti di bidang perangkat lunak ini meminta pemerintah, dalam hal ini Kementerian Komunikasi dan Informatika (Kominfo) segera memperbaiki arsitektur sistem informasi di Indonesia.

"Salah satunya menjaga server PDN dengan menyusun prosedur inspeksi rutin dan berkala terkait celah keamanan, mereview perimeter keamanan, kesesuaian prosedur dan memperbarui sistem informasi," katanya, Minggu (30/6/2024).

Dosen di Fakultas Teknik UGM ini mengingatkan pemerintah untuk menerapkan enkripsi di level baris data (row field security) atau berkas di pusat data nasional, baik saat proses kirim (in transit) atau saat proses penyimpanan (in rest).

"Sehingga, ketika terjadi ransomware sekalipun data yang tercuri tidak dapat dibaca," kata Ridi Ferdiana.

Seperti diketahui, pekan lalu PDN diserang ransomware LockBit 3.0. Peretas kemudian meminta tebusan sebesar US$8 juta atau sekitar Rp131 miliar untuk memulihkan PDN

Peneliti kebijakan digital dari ELSAM, Wahyudi Djafar juga menyayangkan serangan siber terhadap pusat data nasional milik pemerintah itu.

Menurut Direktur Eksekutif ELSAM ini, fenomena serangan siber terhadap objek vital siber negara tersebut menggarisbawahi dua masalah utama soal teknologi dan informasi di Indonesia.

Pertama soal keamanan siber yang lemah dan yang kedua implementasi kebijakan yang tidak optimal. 

Ia juga menekankan perlunya undang-undang keamanan siber yang lebih komprehensif untuk memastikan koordinasi dan perlindungan data yang lebih baik.

Ketiadaan aturan juga diamini Wakil Kepala Badan Siber dan Sandi Negara (BSSN), Putu Jayan Danu Putra.

Menurutnya, Indonesia masih kekurangan aturan hukum yang spesifik dan komprehensif dalam mengatur keamanan siber, utamanya dalam level Undang-Undang.

Putu menilai, Indonesia memerlukan Undang-Undang Keamanan Siber, yang nantinya bisa mencakup seluruh aspek tata kelola keamanan siber.

"BSSN, telah mendorong penyusunan RUU Keamanan dan Ketahanan Siber sebagai bagian dari rencana kerja prioritas pemerintah di RPJMN 2025-2029," katanya dalam sebuah diskusi di Jakarta, Rabu (26/6/2024).

Saat ini regulasi soal keamanan siber masih berbentuk aturan turunan sebagai pedoman tindak lanjut Peraturan Presiden (Perpres) Nomor 47 Tahun 2023 tentang Strategi Keamanan Nasional dan Manajemen Krisis Siber.

Termasuk Perpres Nomor 82 Tahun 2022 yang memuat soal Perlindungan Informasi Infrastruktur Vital.

Saat ini Kominfo tengah memetakan aset data di Pusat Data Nasional Sementara (PDNS) 2 yang berlokasi di Surabaya, Jawa Timur untuk dilakukan pemulihan. Upaya ini ditargetkan rampung pada Agustus mendatang.

Kominfo juga akan melakukan digital forensik bersama KSO dan Bareskrim Polri yang diperkirakan selesai pada pekan pertama Juli 2024.

Di Indonesia, sejumlah kasus peretasan juga terjadi, di antaranya:

1. Kebocoran Data BPJS

Kasus kebocoran data juga pernah menimpa Badan Penyelenggara Jaminan Sosial (BPJS).

Saat itu, data pribadi 279 juta orang dijual oleh pengguna forum berbagi database RaidForums dengan akun 'Kotz'.

Data tersebut meliputi nama tertanggung, nomor NPWP, tanggal lahir, nomor handphone dan lain-lain

2. Kebocoran Data KPU

Insiden kebocoran data juga menimpa Komisi Pemilihan Umum (KPU).

Kebocoran data KPU diketahui setelah patroli siber BSSN mendeteksi adanya aktivitas publikasi data yang dilakukan peretas dengan nama akun Jimbo di Breachforums.

Aktivitas publikasi itu diduga berisi data Daftar Pemilih Tetap (DPT) Pemilu 2024.

3. Kebocoran Data Polri

Selain dua lembaga pemerintah tadi, kebocoran data juga menimpa lembaga keamanan negara. 

Akun MoonzHaxor mengklaim memiliki data Badan Intelijen Strategis (BAIS) TNI dan Infonesia Automatic Finger Identification System (Inafis) milik Polri.

Akun tersebut menjual data BAIS dan Inafis Polri tersebut dalam satu forum di situs gelap atau dark web. Data tersebut dijual seharus USD1.000 untuk Inafis Polri dan USD1.000 untuk 2.000 data BAIS TNI.

MoonzHaxor mengklaim mendapatkan foto wajah anggota Inafis, sidik jari dan email.

Sementara Beberapa Kasus Peretasan di Dunia:

Kasus Equifax (2017)

Salah satu biro kredit terbesar di Amerika Serikat, Equifax, mengalami kebocoran data hingga 147 juta orang, di antaranya 15,2 juta data warga Inggris dan sekitar 19 ribu data warga Kanada.

Informasi yang diakses di kasus Equifax yaitu nama depan dan belakang, nomor Jaminan Sosial, tanggal lahir, alamat dan, dalam beberapa kasus terdapat nomor SIM untuk sekitar 143 juta orang Amerika.

Kasus Equifax ini menjadi salah satu kejahatan dunia maya terbesar terkait pencurian identitas.

Pemerintah AS lantas mengharuskan Equifax membayar denda sebesar $700 juta sebagai bagian dari penyelesaian dengan Komisi Perdagangan Federal (FTC).

Dalam penyelesaian dengan Komisi Perdagangan Federal Amerika Serikat , Equifax menawarkan dana penyelesaian kepada pengguna yang terkena dampak dan pemantauan kredit gratis. 

Kasus British Airways (2018)

British Airways didenda £20 juta oleh Komisi Informasi Inggris (ICO) setelah kebocoran data sekitar 500 ribu pelanggan. 

Denda ini diberikan karena British Airways dianggap gagal melindungi data pribadi dengan memadai.

Dari data 500 ribu pelanggan yang bocor, hampir 250 ribu di antaranya berisikan informasi nama, alamat, nomor kartu kredit, dan kartu CVV. Jumlah ini yang berhasil dicuri peretas.

Peretas memperoleh akses ke sistem British Airways melalui akun pihak ketiga yang disusupi dan meningkatkan hak istimewa akun mereka setelah menemukan kata sandi administrator yang tidak aman. 

Peretas mencuri data yang direkam secara tidak benar oleh British Airways dan juga mengarahkan pengguna situs British Airways ke situs palsu yang dirancang untuk mencuri lebih banyak data.
 

TAG :
Baca Juga
LIPUTAN KHUSUS