Ruby Alamsyah: Nilai Kejahatan Siber Bisa Triliunan Rupiah

Ia membuat platform tersebut melalui perusahaannya, PT Digital Forensik Indonesia (DFI). Idenya bermula dari keresahannya melihat masih banyak masyarakat yang menjadi korban kejahatan di dunia maya. Tak sedikit orang yang menjadi korban penipuan hingga pembobolan rekening berawal dari ketidaktahuan mereka mengklik tautan yang dikirim para penjahat lewat pesan pendek, chat, ataupun surat elektronik.

Orang yang paham teknologi informasi akan mudah membedakan antara tautan yang aman dan yang berisiko. Tapi, bagi masyarakat awam, tautan tersebut bisa menjebak mereka masuk perangkap pelaku kriminal. Karena itu, aplikasi IC4 nantinya bisa membantu masyarakat mendeteksi tautan berbau kejahatan siber tersebut. "Tinggal copy-paste tautannya ke platform IC4, nanti akan keluar hasilnya, aman atau ada unsur kejahatan siber," tutur Ruby. 

Selain bertutur proyek aplikasi IC4, Ruby bercerita tentang keresahannya atas kebocoran data masyarakat Indonesia yang marak belakangan ini, belum sadarnya masyarakat akan pentingnya menjaga data pribadi, serta tantangan membangun keamanan data pribadi ratusan juta warga Indonesia. Berikut ini petikannya. 

Ruby Zukri Alamsyah menunjukan keamanan data penduduk di kantor Digital Forensic Indonesia (DFI) di SCBD, Jakarta, 26 Agustus 2022. TEMPO/Nita Dian

Sejauh mana persiapan peluncuran aplikasi IC4?
Masih dalam tahap penyempurnaan. Ada beberapa hal yang perlu kami tambahi. Kami optimistis karena mendapat dukungan dari Kementerian Komunikasi dan Informatika (Kominfo) serta sejumlah asosiasi usaha yang berkaitan dengan digital, termasuk perbankan.

Aplikasi itu gratis atau berbayar?
Gratis untuk masyarakat. Mulanya platform ini merupakan bentuk CSR (corporate social responsibility atau tanggung jawab sosial perusahaan) kami. Namun kami sadar perusahaan kami tidak mungkin berdiri sendirian membantu masyarakat se-Indonesia. Kami butuh dukungan dari sektor industri. Sejauh ini sektor perbankan sudah menyatakan kesediaannya (membantu). 

Tapi apa itu tidak dianggap melangkahi kewenangan pemerintah dalam membasmi kejahatan siber? 
Tidak. Menurut saya, ini akan saling melengkapi. Selain Kementerian Kominfo, ada BSSN (Badan Siber dan Sandi Negara) serta Polri. Kembali ke masyarakat, mau pakai yang mana. Justru harapan kami, dengan adanya IC4 nanti, kinerja pemerintah akan menjadi lebih baik soal pendeteksian kejahatan siber ini. Kunci penyebab masih maraknya kejahatan siber di Indonesia adalah masih ada celah koordinasi di Indonesia sehingga dimanfaatkan oleh pelaku. Celah inilah yang harus ditutup. 

Apakah platform yang Anda buat mendapat respons baik dari pemerintah? 
Iya. Pada Juli lalu, Kementerian Kominfo sudah mendukung kami. Beberapa asosiasi juga mendukung. Pada Senin pekan depan, Kominfo akan bertemu dengan kami untuk membahas kerja sama ini dan akan menambah data lainnya. Pemerintah punya andil besar. Sebab, pemerintahlah yang mengimbau masyarakat menggunakan platform digital untuk usaha. Walhasil, ekonomi digital meningkat, tapi kejahatan siber juga ikut meningkat.  

Seberapa parah kejahatan di dunia maya saat ini?
Nilai kejahatan siber ini bisa triliunan rupiah, bukan receh lagi. Itu yang korbannya benar-benar masyarakat ya, bukan perusahaan besar. Kami harap platform kami bisa membantu menurunkan angka kejahatan siber yang ikut terkerek naiknya ekonomi digital. Jangan sampai masyarakat terus yang menjadi korban.

Bentuknya apa saja?
Paling sederhana itu pengambilalihan akun, bisa pada WhatsApp, akun media sosial lainnya, lalu disalahgunakan untuk minta-minta duit. Lalu bisa phishing link; ketika di klik tautan itu ternyata (pelaku) bisa mengakses rekening digital kita hingga dibobol. Atau pelaku mengirim malware hingga komputer kita diambil alih mereka. Target kejahatan siber yang terorganisasi ini bukan pada industri perbankan, melainkan pada pengguna. Sebab, pada titik itulah yang paling rentan dibobol karena tak semua orang paham masalah ini. Yang intelektual pun bukan tidak mungkin menjadi korban. Banyak yang bobol kartu kreditnya. 

Siapa saja pelaku kejahatan siber? Apakah mereka terorganisasi?
Di Indonesia, pelaku kejahatan siber yang terorganisasi itu minimal ada dua kelompok, yakni di Sulawesi dan Sumatera. Sulawesi kami identifikasi sebagai kelas retail atau umum, alias ratusan ribu sampai jutaan rupiah. Sementara itu, kelompok di Sumatera ini mainnya kelas retail sampai perusahaan besar. Mereka pernah membobol puluhan hingga ratusan miliar rupiah dengan metode yang canggih. Kami beberapa kali mengatasi kasusnya. 

Lalu soal kebocoran data, bagaimana ini bisa terjadi? 
Kalau kebocoran data masif bukan kesalahan masyarakat sebagai pengguna, melainkan kesalahan pemilik platform, baik swasta maupun pemerintah. Entah itu diretas dan dijual atau dibagikan gratis di Internet. Sudah banyak contoh kebocoran data di Indonesia. Bukalapak bobol 12,9 juta data pada 2019. Lalu pada 2020 Tokopedia bobol seluruh penggunanya, 92 juta data. Data paling besar yang bobol ya BPJS Kesehatan. Itu luar biasa besar. Ada 272 juta data yang beredar. Lalu kami cek keunikan data. Hasilnya, ada 247 juta NIK yang berbeda. Data sampai bayi-bayi ada di situ. Datanya lengkap, dari gaji hingga kerja di mana, ada semua. Pada data yang bocor itu ada nomor kartu BPJS, nama, jenis kelamin, tempat tanggal lahir, nomor telepon, NIK, NPWP, surat elektronik, hubungan keluarga, status kawin, ataupun golongan darah. 

Kasus kebobolan paling besar?
Ya data BPJS Kesehatan itu. Menurut saya, kesalahan sistem itu ada pada pemberian data kependudukan dan pencatatan sipil yang lengkap oleh Kementerian Dalam Negeri. Seharusnya kan tidak boleh. BPJS Kesehatan seharusnya cuma bisa mengakses data pengguna BPJS Kesehatan, bukan seluruh masyarakat. Sedangkan yang terjadi dari kebocoran data itu ya BPJS mendapat salinan data dari Dinas Kependudukan dan Pencatatan Sipil. 

Apakah selemah itu sistem keamanan data di Indonesia?
Kalau melihat sederhananya, terkait dengan sistem keamanan di Indonesia, namanya PSE atau penyelenggara sistem elektronik bikinan Kementerian Kominfo. Kelemahan PSE ini dari 2019 sampai sekarang tinggal dicari datanya saja mana yang bocor. Bayangkan sebegitu banyaknya data yang bocor di Indonesia. Selemah apa kita? Tinggal dibandingkan sederhana, perusahaan sebesar Tokopedia, Bukalapak, yang unicorn saja bobol. Logikanya, mereka punya SDM, teknologi, serta kemampuan finansial yang cukup. Ini yang ingin kami ungkap ke publik agar platform-platform ini lebih meleklah. Jangan lagi murni mengejar keuntungan, tapi kejar juga keamanan data konsumen. Mereka selama ini santai ya karena tidak ada regulasi hukum yang mengikat. Bayangkan, RUU Perlindungan Data Pribadi (RUU PDP) saja sampai sekarang belum jadi juga.

Contoh lain lemahnya perlindungan data di Indonesia, di instansi pemerintah yang kecil, misalnya pemerintah kota dan kabupaten, banyak (data) yang bobol. Tapi masih bisa kita maklumi karena anggaran mereka kecil. Belum lagi tak banyak SDM yang paham masalah itu. Masalahnya, instansi pemerintah sekelas BSSN pun pernah diretas. Kominfo beberapa kali juga diretas. Kesimpulannya: perusahaan swasta yang punya duit dan instansi pemerintah yang juga punya duit belum menomorsatukan keamanan data dibanding pelayanan dan penjualan mereka. Selemah itu. 

Mengapa masih banyak masyarakat yang tidak peduli atas kebocoran data pribadi ini? 
Masyarakat selama ini abai akan keamanan data pribadinya. Masyarakat juga belum sadar seberapa pentingnya menjaga data pribadi mereka. Berkaca pada peristiwa data bocor di Tokopedia dan Bukalapak, selama ini masyarakat tidak merasa khawatir karena mereka berpikir data password mereka masih aman. Ya, aman karena dienkripsi. Pihak perusahaan juga begitu, meyakinkan konsumennya dengan menyebut data password mereka aman. Tapi masyarakat tidak sadar bahwa informasi data tanggal lahir, alamat surat elektronik, dan lainnya itu juga penting. Pelaku mendapat nomor telepon orang saja bisa jadi bahan kejahatan siber, berpura-pura menjadi petugas teknis di sebuah bank atau aplikasi lain.  

Contohnya?
Ada yang menelepon dan mengaku dari bank tertentu. Berbekal data bocor itu, mereka pura-pura memverifikasi identitas diri. Pasti orang itu percaya karena pelaku mengaku dari bank dan tahu persis data diri. Setelah itu baru jadi korban kejahatan siber. Masyarakat belum sampai berpikir ke sana.

Bagaimana dengan peran pemerintah?
Sistem single identity number di Indonesia belum jelas walaupun secara pelan-pelan memang menuju ke NIK. Ini melihat Kementerian Keuangan akan mengarahkan NPWP ke NIK. Seharusnya sudah ada upaya pemerintah menjaga single identity number pada NIK itu. Contoh paling gampang, social security number di Amerika Serikat. Sangat tabu jika memberikan nomor induk kependudukan itu di sana. Berbeda dengan di Indonesia, sedikit-sedikit diminta fotokopi KTP dikasih saja. Bahayanya lagi, ada beberapa platform yang meminta penggunanya atau masyarakat untuk berswafoto dengan KTP. Ini yang terbaru kami dapatkan, ada fintech ilegal yang sudah mendapatkan bunga besar dari nasabah. Ternyata data penggunanya mereka jual lagi. 

Ruby Zukri Alamsyah memberikan penjelasan di kantor Digital Forensic Indonesia (DFI) di SCBD, Jakarta, 26 Agustus 2022. TEMPO/Nita Dian

Bagaimana awal mula Anda masuk ke dunia keamanan siber? 
Dasar saya, saya sudah memegang komputer sejak kelas V sekolah dasar pada 1986-1987. Memang, bagi orang saat itu belum zamannya komputer. Tapi alhamdulillah saya saat itu sudah mendapat akses komputer. Mulai dari komputer XT. Saat SMP-SMA, setiap libur sekolah, saya kursus komputer. Kursus komputer zaman dulu masih sedikit dan isinya karyawan. Saya ikut sama bapak-bapak gitu. 

Lalu S-1 saya di Universitas Gunadarma jurusan Teknik Informatika. Saya belajar aplikasi, database, sistem, dan lain-lain. Lalu, pada 1997, saya belum lulus kuliah tapi sudah bekerja menjadi technical support Internet di service provider. Saya bekerja dua tahun setengah di lima perusahaan berbeda. Di sana saya mendapat ilmu yang cukup lengkap, dari aplikasi, sistem, network, sampai security. Akhirnya saya menyukai bidang security. Pada 1993 itu pertama kali saya meretas Internet gratis bagi kawan kampus, di mana saat itu akses Internet sangat mahal. Dulu belum ada Undang-Undang ITE, ha-ha-ha.

Sejak kapan membuka perusahaan sendiri? 
Ya, singkat cerita, sebagai orang Padang, punya ilmu IT dan ingin berdagang, jadi bikin perusahaan sendiri. Namanya dulu Jaringan Nusantara sebelum menjadi DFI. Fokusnya di network. Tapi sejak 2003 mulai jenuh dengan network. Saya juga menjual perangkat lunak dan perangkat keras. Macam-macamlah. Di network itu banyak sekali pesaingnya, banyak yang bisa. Saya enggak suka ilmu yang sudah pasaran. He-he-he.

Lalu pada 2003 saya melakukan riset kecil-kecilan tentang profesi apa di Indonesia yang duitnya banyak. Salah satu profesi yang dibayar mahal adalah pengacara. Sebab, di sini orang berani membayar mahal untuk sebuah kebenaran, keadilan, ketenangan, kenyamanan, dan kebebasan. Akhirnya pada 2003 itu saya cari bidang IT yang bersinggungan dengan hukum. Ketemulah digital forensik. Pada 2003-2006 saya belajar ke luar negeri sampai mendapatkan sertifikasinya. Lalu pada 2006 sudah bisa dan punya sertifikasi, ya sudah saatnya jualan.

Jadi, awal Anda menjadi pakar keamanan siber setelah punya sertifikat pada 2006?
Saat itu belum laku karena pasarnya saja memang belum ada. Lalu bagaimana caranya? Saya harus melakukan sosialisasi. Caranya saya terkenal dulu (karena) sering membantu penegak hukum. Memang cara ini paling mudah memperkenalkan digital forensik di Indonesia. Karena harus mendekati penggunanya, yaitu penegak hukum, polisi, jaksa, dan majelis hakim, termasuk pengacara. Selama 2006-2012 saya banyak membantu penegak hukum. Baru kemudian saya bisa jualan murni untuk swasta dan lain-lain.

Apa kasus pertama yang Anda tangani?
Pertama sekali saya membantu pengungkapan pembunuhan Alda di Hotel Menteng. Setelah itu kasus pembunuhan Munir. Lalu ada kasus pembunuhan berencana Antasari Azhar, Pasal 360. Lalu pada kasus video porno Ariel dan Luna Maya, saya yang mengungkap siapa saja yang mengunggah sampai siapa yang mengunggah pertama kali. 

Di situ saya mulai nyaman. Makanya sampai sekarang saya masih berfokus pada digital forensik dan digital security. Karena enggak banyak orang IT yang bersinggungan dengan hukum. Dan saya yakin ini pasti banyak yang berminat. Akhirnya itu yang membuat saya mengganti nama perusahaan menjadi DFI.

Bayarannya?
Dari 2006 itu saya sering dibayar 2M. Bukan Rp 2 miliar, melainkan singkatan “makasih mas”. Seiring dengan berjalannya waktu, saya pernah dibayar hingga Rp 2 miliar beneran. He-he-he.

Kasus apa yang paling menantang Anda ungkap? 
Tentu kasus yang sulit dan dianggap tak mudah diungkap, seperti video Ariel dan Luna Maya itu. Hampir semua pakar IT saat itu pesimistis untuk menelusuri karena dianggap mustahil lantaran sudah beredar di berbagai lini, di Facebook, forum dewasa, hingga surat elektronik. Tapi kami buktikan bisa.

Masih diminta tolong penegak hukum?
Masih, untuk kasus-kasus tertentu. Misalnya untuk perkara FS (Ferdi Sambo) saya berikan pendapat saya, tapi ini informal. 

Bagaimana dengan kinerja perusahaan Anda saat ini? 
Saat ini klien kami mayoritas perbankan. Kalau mereka kerjakan lewat audit internal enggak ketemu, baru mereka mengontak kami. Lewat polisi pun belum selesai, baru kami yang kerjakan. Nah, kalau sudah begitu enak, duitnya mahal karena sudah di ujung terakhir, ha-ha-ha. Kami merasa nyaman karena pakar IT bisa sejajar dengan profesi lain yang dibayar mahal. 

Enaknya digital forensik itu kan ilmu untuk menganalisis barang bukti digital untuk dibawa ke pengadilan dan dapat dipertanggungjawabkan secara ilmiah. Barang bukti digital saat ini sudah ada di berbagai kasus, bukan sekadar kejahatan siber. Seperti dugaan pembunuhan berencana Brigadir Yosua. Karena saat ini kehidupan manusia sudah dekat dengan digital. 

Keamanan siber kan sangat dinamis. Bagaimana Anda menyiasatinya?
Saya rutin ke Amerika Serikat sejak 2009. Bukan gaya-gayaan, tapi tujuan saya memang mendapatkan ilmu hasil riset para peretas dan peneliti akademis. Biasanya pada Agustus. Biasanya ada dua ajang seminar khusus para peretas, yakni Blackhat dan Defcon. Seperti ajang seminar, ada beberapa ruangan dengan tema berbeda-beda. Kita tinggal pilih mau ikut mana saja. Saya biasanya senang hasil riset terbaru dan yang relevan dengan di Indonesia. Setelah itu baru saya berbincang dengan penelitinya. Bahkan saya pernah belajar dengan peneliti, seorang profesor dari Finlandia. Dia bersedia memberikan ilmu selama beberapa hari dengan tarif beberapa ribu dolar. Nyari ilmu bisa di mana saja. 

Kenapa di Amerika?
Ya, mau enggak mau kiblat Internet dunia itu ya di Amerika. Awalnya dipakai militer dan dikembangkan untuk publik. Riset di sana sangat maju. Ada pula kode etik yang terbangun bagus di sana. Misalnya, ada periset yang bisa menunjukkan kebobolan lembaga negara atau perusahaan di Amerika. Sebelum dia paparkan ke publik atau pertemuan para peretas itu, enam bulan sebelumnya dia harus melaporkan hasil riset itu ke pihak terkait agar mereka bisa memperbaiki sebelum acara seminar dimulai.

Sayangnya, hal itu enggak terjadi di Indonesia. Kami yang meriset seperti ini justru dianggap mengganggu privasi perusahaan atau lembaga. Misalnya, pada 2010 saya pernah mendemonstrasikan pembobolan ATM. Eh, saya dianggap mengajarkan kejahatan. Beruntung saya didukung AJI, Dewan Pers, dan lainnya. Saya tidak mengajarkan kejahatan, melainkan mengajak masyarakat lebih awas.

Selain dunia siber, Anda menjabat Ketua Perhimpunan Penggemar Mobil Kuno Indonesia (PPMKI) DKI Jakarta periode 2020-2023. Bagaimana Anda bisa menyukai mobil antik? 
Karena rutin ikut seminar di Amerika Serikat membuat saya banyak melihat mobil klasik khas Amerika. Terlebih dukungan suku cadang mobil klasik di sana banyak sekali, entah beli langsung di sana atau lewat daring. Lalu saya akhirnya mendapat mobil Ford Mustang tahun 1967 dalam kurun waktu pencarian 4,5 tahun. Lengkapnya Ford Mustang Shelby GT 500 1967, mesin berkapasitas 5.000 cc, transmisi manual, dan masih setir kiri. 

Apa menariknya mobil klasik Amerika? 
Walaupun harganya cukup fantastis di mata kolektor, di jalan raya beda rasanya. Kita dilihat orang saat naik mobil super modern dibanding mobil klasik. Apalagi sekelas Mustang itu luar biasa. 

Mobil klasik Anda sering dipakai?
Kalau kegiatan klub memang sering touring. Saya sering pakai ke Malang, Magelang, dan Solo. Kalau saya tipe kolektor yang suka menjalankan mobil. Jadi, saya kendarai sampai luar kota. Ada kolektor yang sekadar suka memandang mobilnya. 

Berapa mobil klasik yang Anda koleksi? 
Mustang satu, dan satu unit BMW tahun 1968 sedang dibangun. Sama, setir kiri juga, karena asli dari Jerman. 

Punya hobi lain? 
Lari. Baru satu tahun terakhir karena pandemi. Kebetulan saya mendapat bailout maraton di Chicago pada Oktober nanti. Makanya mau coba dulu maraton di Bali nanti, jarak 42 kilometer. Tapi saya bukan pelari serius kejar waktu, ya. Saya cuma mencoba kemampuan fisik, kuat atau tidak ikut lari.

Apa ajang lari terjauh yang pernah Anda ikuti?
Sejauh 21 kilometer di Borobudur, November tahun lalu. Setelah itu saya berlatih serius pakai pelatih. Saban pekan itu bisa 60 kilometer. Jadi, jarak 21 kilometer sekarang terasa biasa saja. 

Ruby Zukri Alamsyah dalam sesi foto di kantor Digital Forensic Indonesia (DFI) di SCBD, Jakarta, 26 Agustus 2022. TEMPO/Nita Dian

Profil:

Nama: Ruby Zukri Alamsyah
Lahir: Jakarta, 23 November 1974 

Pendidikan:

- SMPN 35 Jakarta (1990)
- SMAN 4 Jakarta (1993)
- Universitas Gunadarma (1998)
- Universitas Indonesia (2010)

 Pengalaman:

- CEO PT Digital Forensik Indonesia 
- Staf Ahli Wakil Ketua BPK
- Anggota Dewan Pengelola Nama Domain Internet Indonesia (Pandi)
- Anggota Analisis Strategis dan Komite Kebijakan Badan Siber dan Sandi Negara (sampai September 2019)
- Kepala Divisi Operasional Pengendalian Desk Nasional untuk Ketahanan Informasi dan Keamanan Siber Kementerian Koordinator Politik, Hukum, dan Keamanan (2013-2016)