Baca berita dengan sedikit iklan, klik di sini
Poin penting
Indonesia menjadi sasaran empuk serangan siber lantaran tingginya pengguna Internet tapi minim edukasi keamanan siber.
Daya tarik industri perdagangan online atau e-commerce bagi para peretas karena mengelola banyak data, termasuk data pribadi pelanggannya.
Baik institusi pemerintah maupun perusahaan swasta tidak peduli terhadap keamanan siber dalam mengelola data milik masyarakat.
TIGA foto tangkapan layar dari forum komunitas peretas, RaidForums, dilampirkan pengguna Twitter bernama Under the Breach pada Kamis, 21 Mei lalu, dengan cuitan berbunyi: “Peretas membocorkan informasi 2.300.000 warga negara Indonesia. Data termasuk nama, alamat, nomor identitas, tanggal lahir, dan lainnya.” Pemilik akun Twitter asal Israel tersebut juga mengungkapkan bahwa peretas bernama Arlinst mengklaim akan membocorkan data 200 juta warga Indonesia lain.
Baca berita dengan sedikit iklan, klik di sini
Dalam salah satu foto yang dilampirkan terungkap alasan Arlinst membagikan 2,3 juta data pemilihan umum Indonesia tersebut, yakni data dari Indonesia masih jarang di forum itu. Sambil merinci jenis data yang tersedia, Arlinst berpromosi bahwa data berformat PDF yang ia ambil dari Komisi Pemilihan Umum itu sangat berguna bagi siapa saja yang hendak memiliki nomor telepon—karena untuk registrasi dibutuhkan nomor induk kependudukan (NIK)—atau menambang nomor telepon dari data identitas tersebut.
Baca berita dengan sedikit iklan, klik di sini
Pada foto lain, Arlinst memperlihatkan contoh data yang ia sebar berupa cetakan dari lembaran daftar pemilih tetap (DPT) Pemilu 2014 di TPS 3 Desa Patalan, Kecamatan Jetis, Kabupaten Bantul, Daerah Istimewa Yogyakarta. Lembaran DPT itu berisi data NIK, nama, tempat dan tanggal lahir, umur, status perkawinan, jenis kelamin, serta alamat pemilih. Foto lain adalah sorotan File Manager yang berisi sejumlah folder bernama kecamatan di Kabupaten Bantul.
Anggota KPU, Viryan Azis di blognya, Viryangopi.id, menegaskan bahwa DPT Pemilu 2014 tidak bocor. Ia menyatakan klaim peretas itu janggal. “DPT pemilu legislatif 2014 itu sebanyak 187 juta pemilih,” tulis Viryan pada Sabtu, 23 Mei lalu.
Kejanggalan lain, dia melanjutkan, adalah data DPT tidak disimpan dalam format PDF, melainkan dalam database. Soal format itu juga menunjukkan kebocoran data tak terjadi di server KPU. “Data DPT dalam format PDF itu KPU berikan kepada peserta pemilu, Badan Pengawas Pemilu, serta Direktorat Jenderal Kependudukan dan Pencatatan Sipil,” ujar Viryan.
Menteri Komunikasi dan Informatika (Kominfo) Johnny G. Plate mengatakan akan bekerja sama dengan KPU serta Badan Siber dan Sandi Negara (BSSN) dalam penyelidikan teknis terkait dengan dugaan bocornya 2,3 juta data pemilih itu. “Saya sudah berbicara dengan Ketua KPU. Sebagai tindak lanjut, Kominfo, KPU, bersama BSSN akan segera meningkatkan keamanan dan menelusuri penyebab kejadian ini,” tutur Johnny kepada wartawan, Jumat, 22 Mei lalu.
Pakar keamanan siber, Pratama Persadha, menyayangkan tidak adanya enkripsi terhadap data DPT pemilu. “Meski KPU menjelaskan bahwa itu data terbuka, bukan berarti tidak perlu dilindungi,” kata pemimpin Communication and Information System Security Research Center tersebut dalam keterangan pers pada Jumat, 22 Mei lalu. “Bila data itu dikombinasikan dengan data Tokopedia dan Bukalapak yang lebih dulu terekspos, akan dihasilkan data yang bisa dimanfaatkan untuk kejahatan,” ucapnya.
Pada 2 Mei lalu, Under the Breach jugalah yang pertama kali mengabarkan pembobolan 15 juta data pengguna Tokopedia yang berisi nama pengguna, alamat e-mail, dan kata kunci yang diacak. Esoknya, Under the Breach mencuit bahwa peretas telah menjual 91 juta atau semua data pengguna Tokopedia seharga US$ 5.000 di Darknet. Empat hari berselang, di RaidForums beredar empat tawaran atas 13 juta data pengguna Bukalapak. Terakhir, pada 7 Mei lalu, grup peretas Tokopedia, ShinyHunters, mengklaim memiliki 73,2 juta data dari sepuluh perusahaan, termasuk 1,2 juta data pengguna toko online Bhinneka.
Menurut pengamat keamanan siber dan perlindungan data, Ardi Sutedja K., maraknya pembobolan belakangan ini menunjukkan keamanan siber tidak masuk skala prioritas pengelola situs perdagangan elektronik. “E-commerce itu kegiatan usaha yang mengandalkan konsumen dan pelapak sebagai revenue stream, tidak berbeda dengan perbankan. Seharusnya perlindungan terhadap stakeholder itu menjadi prioritas,” kata ketua dan pendiri Indonesia Cyber Security Forum tersebut.
Ardi menjelaskan, e-commerce menarik bagi peretas karena mengelola banyak data, termasuk data pribadi yang bisa menjadi pintu masuk ke berbagai layanan publik, seperti kesehatan, perbankan, dan asuransi. “Ini membuka peluang bagi peretas mengomersialkan data itu untuk digunakan dalam tindak pidana,” ujar Ardi.
Pratama sepakat soal peretas kini mengincar data pribadi. “Dulu umumnya mengincar kartu kredit. Seiring dengan mahalnya data, mereka juga mengincar data pribadi,” tuturnya.
Menurut Ardi, bukan hanya perusahaan swasta, instansi pemerintah juga tidak peduli terhadap keamanan siber dalam mengelola data milik masyarakat. Buktinya adalah kasus bocornya data DPT Pemilu 2014, yang ia sebut sebagai kebocoran data yang disengaja. “Tidak ada yang tahu alur pemanfaatan data yang dibagikan KPU ke peserta pemilu itu. Potensi ‘bocor’ di situ sangat besar karena kita tidak tahu bagaimana aturan main dan kepatuhan dalam pemanfaatan data tersebut,” ucap Ardi.
Salah kelola data masyarakat sehingga muncul kebocoran yang disengaja, Ardi menambahkan, juga terjadi lantaran dipajangnya lembar DPT, yang berisi personal identifiable data, secara terbuka di tempat pemungutan suara. Hal lain yang mungkin menjadi pemicu kebocoran data yang disengaja, menurut Ardi, adalah pengolahan big data yang menggunakan intelijen bersumber terbuka (OSINT). “Coba ketik KTP, DPT, atau kartu keluarga di pencarian gambar Google, apa yang kita peroleh?” ujar Ardi.
Pratama menyebutkan Indonesia menjadi sasaran serangan siber karena tingginya angka pengguna Internet—171,17 juta menurut Asosiasi Penyelenggara Jasa Internet Indonesia—ditambah minimnya edukasi keamanan siber. “Badan Siber dan Sandi Negara mencatat serangan siber naik 13 kali pada kuartal pertama 2020. Salah satu pemicunya work from home (WFH), yang membuat pegawai harus mengakses sistem kantor dari rumah,” kata Pratama. “Sebagian besar WFH berjalan tanpa pengetahuan penggunaan jaringan dan perangkat yang aman.”
Ardi mengatakan kesadaran atas keamanan siber bangsa Indonesia masih sangat rendah. Penyebabnya, dia menerangkan, adalah tidak adanya kesadaran pihak industri dan pemerintah untuk membangun budaya keamanan siber sejak dini. “Membangun budaya memerlukan proses yang lama. Contohnya, menyiapkan sumber daya manusia keamanan siber tingkat ahli minimal sepuluh tahun,” ucap Ardi. Itu sebabnya rasio sumber daya manusia keamanan siber tingkat ahli—yang bersertifikat luar negeri—dengan lulusan perguruan tinggi 1 : 30.
Kurangnya tenaga ahli keamanan siber itu, menurut Ardi, adalah salah satu faktor yang membuat sistem perlindungan jaringan komputer di Indonesia rentan terhadap peretasan. Faktor lain adalah teknologi, tapi sumber daya manusia menyumbang bobot 90 persen. “Peretasan tak pernah terjadi seketika, biasanya dimulai dengan mencari celah pada sistem perlindungan jaringan komputer,” tutur Ardi. “Peretas yang mumpuni memiliki kesabaran dan tahu bagaimana memanfaatkan data itu nanti.”
Untuk mencegah bocornya data pribadi, Pratama menjelaskan, pemerintah harus memasukkan kurikulum berkehidupan siber ke sekolah. “Sehingga sejak dini masyarakat tahu bahwa ruang siber ini seperti lingkungan, harus aman. Dan jangan meninggalkan data pribadi di ruang siber,” ujarnya.
Selanjutnya, pemerintah harus memimpin inovasi teknologi dan sumber daya manusia agar bangsa Indonesia tidak selalu menjadi konsumen. “Teknologi yang kita hasilkan sendiri jelas lebih aman dibanding membeli dari luar,” kata Pratama.
Ia mengatakan pemerintah dalam waktu dekat juga harus merampungkan Undang-Undang Perlindungan Data Pribadi. Tanpa undang-undang itu, Pratama melanjutkan, tak ada aturan yang secara ketat mengatur pemerintah dan swasta yang menyimpan dan mengelola data masyarakat.
Ardi menambahkan, undang-undang itu pun tidak sempurna. “Tapi paling tidak sudah ada langkah awal menuju era pelindungan data yang melibatkan multistakeholder yang luas,” ujarnya.
Rancangan Undang-Undang Perlindungan Data Pribadi, yang menjadi salah satu program legislasi nasional prioritas, saat ini telah masuk tahap pembahasan di Dewan Perwakilan Rakyat. Pada 25 Februari lalu, Komisi Informasi DPR, Kementerian Komunikasi dan Informatika, Kementerian Dalam Negeri, serta Kementerian Hukum dan Hak Asasi Manusia telah menyelesaikan pembicaraan tingkat pertama.
DODY HIDAYAT
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo