Ancaman serangan siber yang diprediksi akan semakin serius pada 2025, memerlukan langkah mitigasi agar tidak semakin membuat sendi kehidupan publik serba sulit dalam ruang digital. Artificial intelligence (AI) atau kecerdasan buatan yang semakin berkembang, dikhawatirkan semakin masif menjadi modus serangan siber.
Ketua Indonesia Cyber Security Forum (ICSF) Ardi Sutedja mengakui, kemampuan ketahanan siber dalam negeri masih sangat lemah. Misalnya, serangan siber terhadap PT. Bank Syariah Indonesia (BSI) yang membuat seluruh layanan perbankan di bank itu lumpuh pada 8 Mei 2023. Lalu, serangan ransomware (perangkat pemeras) terhadap Pusat Data Nasional Sementara (PDNS) 2 pada Juni 2024.
Di samping dua serangan siber tadi, menurut data Communication and Information System Security Research Center (CISSReC), ada beberapa lagi serangan siber besar lagi sepanjang 2024, antara lain pencurian puluhan ribu data karyawan dan pelangan PT. Kereta Api Indonesia (KAI) pada Januari 2024; penyebaran data pribadi pelanggan dan pekerja layanan internet Biznet pada Maret 2024; peretasan data Badan Kepegawaian Negara (BKN) pada Agustus 2024, dan peretasan terhadap perusahaan kripto, Indodax, serta pencurian data Nomor Pokok Wajib Pajak (NPWP) milik Direktorat Jenderal Pajak pada September 2024.
Bahkan, penyedia jasa layanan keamanan siber AwanPintar pada pertengahan tahun lalu menyebut, total ada 2.499.486.085 serangan siber di Indonesia selama semester pertama 2024. Artinya, Indonesia mengalami rata-rata 13.733.440 serangan siber per hari atau 158 serangan siber per detik.
“Itu tidak ada satupun teknologi yang secara fundamental dibuat oleh kita. Karena kita hanya sebagai konsumen dari teknologi ini, sehingga seluk-beluk teknologi fundamentalnya kita enggak tahu,” kata Ardi kepada Alinea.id, Jumat (3/1).
Ardi menilai, teknologi yang tidak dibuat sendiri, semakin menambah kerentanan yang selama ini sudah terjadi. Celakanya lagi, setiap serangan siber yang terjadi, tidak pernah diungkap secara transparan ke publik. Padahal, dalam setahun, banyak kasus serangan siber pada sektor perbankan dan pelayanan digital.
“Selama ini, kita belum dibudayakan untuk mengakui kelemahan kita,” tutur Ardi.
“Kita harus membuka diri dan mengakui bahwa yang kita alami itu benar, kenyataan harus kita hadapi, dan kita itu sebenarnya rapuh.”
Menurut Ardi, sikap yang masih menyangkal—bahkan menyembunyikan—terjadinya serangan siber, membuat pemerintah dan instansi terkait sulit mempelajari karakter serangan itu. Padahal, mempelajari karakter serangan siber sangat penting diketahui banyak pihak. Tujuannya, supaya ikut terlibat menangani serangan siber.
“Jadi, mencegah serangan bukan hanya tugas satu instansi, tetapi setiap masyarakat yang punya kemampuan untuk mengantisipasi serangan siber,” tutur Ardi.
“Jadi yang kita persiapkan, budaya masyarakatnya untuk lebih banyak punya kemampuan menangani serangan siber.”
Selain itu, kata Ardi, pembuatan teknologi siber sendiri pun perlu dilakukan agar fondasi teknologi siber tidak bergantung pada pihak lain. “Buat teknologi sendiri itu sesuatu yang tidak bisa ditawar lagi,” kata Ardi.
Terpisah, pakar keamanan siber Vaksincom, Alfons Tanujaya mengatakan, perkembangan AI memang semakin mengkhawatirkan, bahkan nyaris sempurna. Contohnya, AI agentik yang semakin mutakhir.
AI agentik adalah sistem AI yang dirancang untuk menjalankan tugas secara mandiri atas nama pengguna atau sistem lain. Berbeda dengan AI generatif atau chatbot konvensional yang cuma merespons perintah, AI agentik punya kemampuan untuk mengakses data real-time, memecahkan masalah kompleks, dan bertindak secara otonom.
“Harusnya, kalau AI agentik di cyber warfare tetap membutuhkan operator manusia di belakangnya,” ujar Alfons, Jumat (3/1).
“Meskipun serangan yang terjadi jelas akan makin masif, khususnya state sponsored cybercrime.”
Alfons berpendapat, mitigasi yang bisa dilakukan pemerintah untuk mempersiapkan serangan siber adalah dengan menerapkan standar yang ketat bagi semua perangkat penting yang mengelola data dan terlibat dalam infrastruktur rahasia negara.
“Contohnya, semua komputer harus memenuhi standardisasi pengamanan, seperti GDPR (general data protection regulation), PCI DSS (payment card industry data security standard), atau standar lainnya. Dan standardisasi ini dilakukan dengan disiplin dan terus dievaluasi,” ucap Alfons.
