Ironi Penyelesaian Kasus Peretasan di Tanah Air
SITUSWEB pemerintah secara umum dari waktu ke waktu selalu menjadi sasaran peretasan. Ini karena insiden yang terjadi bakal mudah mengundang perhatian publik.
Sayangnya, penyelesaian kasus peretasan di Indonesia seperti lenyap ditelan bumi.
Sepanjang awal Januari ini, kabar kebocoran data di Tanah Air tak berhenti. Setiap pekan selalu disuguhkan dengan laporan kebocoran beberapa institusi pemerintah mulai Pertamina, Kemenkes, hingga Bank Indonesia.
Semua peretasan yang terjadi mengincar data. Dari 2020, ada 91 juta data Tokopedia, lalu data BPJS Kesehatan, BRI Life, Pertamina-PTC, dan BI.
Di masa pandemi ini, akhirnya kita banyak belajar bahwa kerentanan terjadi juga karena faktor bekerja dari jarak jauh.
Perusahaan kita tampaknya belum biasa membekali pegawainya dengan software dan hardware serta jaringan yang aman untuk mengakses sistem kantornya. Minimal mereka diberi edukasi, seperti jangan mengakses internet dari jaringan berbahaya seperti wi-fi publik gratis. Lalu, minimal perangakt yang dipakai telah dibekali antivirus, mamekai VPN maupun tools, seperti “zero trust”.
Melihat insiden kebocoran data tersebut, hal ini menjadi berbahaya karena hampir semua lembaga pemerintah mempunyai data penting dan rahasia.
Dalam kasus Bank Indonesia, misal, sampai tanggal 26 Januari dikabarkan sudah ada 368 komputer internal milik BI yang diklaim disusupi oleh grup ransomware Conti beserta 130GB data yang diunggah.
Belum lagi kebocoran Pertamina yang pada situsweb https://recruitment.pertamina-ptc.com masih tidak bisa diakses sampai saat ini, terutama sejak kabar adanya kebocoran data.
Ada berbagai kemungkinan mengapa situsweb Pertamina Training and Clonsulting ini belum bisa diakses. Pertama, sepertinya belum dilakukan audit assessment terhadap sistem di lembaga pemerintah.
Kedua, bisa juga mereka belum yakin sudah berhasil mensterilkan sistemnya dari malware yang digunakan hacker.
Ketiga, ada kemungkinan mereka belum yakin bisa memperkuat pertahanannya pasca serangan terjadi, sehingga merasa lebih aman kalau di-takedown.
Seharusnya lembaga organisasi sebesar Pertamina tidak lama dalam menghadapi hal semacam ini. Apalagi biasanya situsweb ini juga melibatkan pihak ketiga dan menggunakan SLA (Service Level Agreement). Artinya dengan ada SLA, ada standardisasi maupun tanggung jawab terkait layanan situsweb beserta hal lainnya, seperti pengamanan sistemnya.
Di sisi lain, Penyelenggara Sistem Elektronik yang mengalami peretasan serta kebocoran data juga wajib transparan kepada masyarakat, terutama pada pemilik data.
Misalnya dalam kasus Tokopedia, ternyata data pengguna, kecuali password yang dienkripsi, yang bocor seperti nama, alamat, nomor seluler, email dan data lainnya. Hal yang sama juga terjadi pada kasus data pelamar Pertamina PTC, juga berisi banyak identitas penting.
Kesadaran
Pada kasus peretasan di perbankan, perusahaan swasta nasional, lembaga pemerintah maupun BUMN, sejak awal mereka harus menyadari bahwa data amatlah penting. Artinya harus dilindungi tidak hanya dari peretas, tapi juga dari karyawan mereka sendiri yang punya potensi untuk menyalahgunakan maupun melakukan keteledoran.
Karena sumber kebocoran data, selain peretasan, juga bisa terjadi akibat kesalahan atau eror pada sistem dan faktor human eror.
Sebagai langkah preventif perlu dilakukan peningatan pengamanan dan juga secara rutin dilakukan pentest (penetration test).
Hal yang harus diperhatikan adalah sejak membangun sistem harus ada kesadaran keamanan siber dan faktor keamanan menjadi prioritas.
Misalnya untuk membangun sebuah sistem, sedari awal faktor keamanan siber harus diprioritaskan, bukan semata kemudahan user friendly atau user interface yang memukau.
Mulai dari SDM dan teknologi yang digunakan, harus memperhatikan faktor keamanan siber.
Maksudnya, dari sisi SDM harus disiapkan SDM organik (tidak hanya bergantung pada vendor) yang mengerti proses dari sistem informasi yang ada. Artinya mereka juga mengerti bagaimana melakukan maintenance maupun langkah mitigasi saat terjadi serangan dan kegiatan yang anomali pada sistem mereka.
Ada banyak kemungkinan mengapa perusahaan tidak mau terbuka ketika mengalami insiden siber. Bisa saja memang tidak pernah dicek keamanannya, peretasnya diam saja tidak publikasi, atau memang sengaja disembunyikan dengan pertimbangan berbagai faktor.
Karena itu, raksasa teknologi dunia biasanya membuat program bug bounty, di mana sejumlah uang akan diberikan kepada mereka yang bisa menemukan dan menembus sistem keamanan.
Google dan Apple tidak tanggung-tagung berani memberikan reward jutaan dolar Amerika Serikat kepada para pemburu kerentanan keamanan (bug hunter).
Budaya seperti itu belum banyak dilakukan di Indonesia baik di lembaga negara maupun swasta. Setiap ada laporan kebocoran, jangankan hadiah biasanya laporan tidak ditindaklanjuti, seperti dalam kasus eHAC Kemenkes.
Bahkan, ada semacam sindiran bagi setiap laporan lubang keamanan di sistem informasi lembaga di Tanah Air. Para pelapor itu hanya akan mendapatkan 2M alias “Makasih, Mas”.[]
Penulis adalah Chairman Communication & Information System Security Research Center (CISSReC), sebuah lembaga riset di bidang keamanan siber di Indonesia.