Kenapa Bjorka tak kunjung bisa ditangkap?

Peretas Bjorka kembali bikin ulah. Teranyar, Bjorka diduga meretas data sebanyak 6 juta Nomor Pokok Wajib Pajak (NPWP) dari Direktorat Jenderal Pajak Kementerian Keuangan (Kemenkeu). Data NPWP milik Presiden Joko Widodo (Jokowi) dan dua putranya--Gibran Rakabuming Raka dan Kaesang Pangarep--turut dijadikan sampel untuk dijual. 

Dugaan terjadinya kebocoran data itu mulanya disampaikan pendiri Ethical Hacker Indonesia Teguh Aprianto dalam sebuah unggahan di akun X (dulu Twitter) miliknya, @secgron, Rabu (18/9). Dalam unggahan itu, Teguh juga menyertakan tangkapan layar "penawaran" Bjorka di Breach Forums. 

"Data yang bocor diantaranya NIK, NPWP, alamat, no hp, email dll. NPWP milik Jokowi, Gibran, Kaesang, Menkominfo, Sri Mulyani & menteri lainnya juga dibocorkan di sampel yang diberikan oleh pelaku," tulis Teguh. 

Ini kesekian kali Bjorka membobol dan menjual data pribadi milik publik di forum-forum gelap. Pada April 2020, misalnya, Bjorka membobol data pelanggan Tokopedia berukuran 11 GB (compressed) dan 24 GB (uncompressed). Isinya user ID, password, email, hingga nomor telepon. 

Pada 20 Agustus 2022, Bjorka merilis data pengguna media sosial literatur Wattpad. Sebanyak 270,904,989 data pengguna diperjual-belikan. Data itu dibobol pada Juni 2020. Isinya mencakup kata sandi, nomor kontak, hingga nama asli. 

Pada 6 September 2022, Bjorka membocorkan 105 juta data kependudukan dari Komisi Pemilihan Umum (KPU). Isinya adalah NIK, nomor Kartu Keluarga (KK), hingga nama lengkap. Tiga hari berselang, tepatnya pada 9 September 2022, surat-surat rahasia untuk Presiden Jokowi pada periode 2019-2021 diumbar oleh Bjorka, termasuk di antaranya surat dari Badan Intelijen Negara (BIN).

Tak lama setelah peristiwa itu, kepolisian sempat menangkap seorang pemuda berinisial MAH (21), warga Madiun, Jawa Timur. MAH diduga Bjorka. Namun, MAH ternyata hanya seorang penjual es krim yang bahkan tak punya komputer di rumahnya. 

Meskipun rutin membobol data, Bjorka hingga kini masih melenggang bebas. Polisi terlihat kewalahan dalam mengendus keberadaan dan mengidentifikasi sang peretas. Muncul spekulasi Bjorka bukan merujuk pada satu orang, melainkan identitas yang rutin dipakai sebagai nama samaran sejumlah peretas. 

Peneliti Lembaga Studi dan Advokasi Masyarakat (Elsam) Parasurama Pamungkas menilai pembobolan data teranyar yang dilakukan Bjorka mengindikasikan bahwa polisi siber Indonesia masih belum mumpuni. Apalagi, Bjorka bukan satu-satunya peretas yang rutin menyerang pusat data milik lembaga atau institusi publik di Indonesia. 

"Jangankan untuk menangkap sampai bisa mengungkap saja belum bisa. Jadi, ada gap antara keahlian polisi dengan kejahatan yang berkembang. Padahal, itu (pencurian data) merupakan suatu tindakan ilegal access yang sudah diatur Undang-Undang Informasi dan Transaksi Elektronik (ITE)," ucap Parasurama kepada Alinea.id di Jakarta, belum lama ini. 

Selain UU ITE, Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) juga mengategorikan pencurian data, illegal acces atau penyalahgunaan data pribadi milik orang lain sebagai tindak pidana. 

Lebih jauh, Parasurama menyebut dalih polisi Bjorka sulit ditangkap karena berada di luar negeri tak beralasan. Kepolisian, kata dia, bisa bekerja sama dengan penegak hukum di negara lain jika memang telah berhasil mengidentifikasi Bjorka. 

"Sayangnya, kita belum melihat arah ke sana. Mungkin juga masih jauh ketika bicara soal penangkapan atau ekstradisi karena memang situasi sekarang pengungkapan saja belum bisa dilakukan. Padahal, pengungkapan itu bisa jadi langkah awal mengetahui duduk perkaranya," jelas Parasurama. 

Pengamat kepolisian dari Institute for Security and Strategic Studies (ISESS) Bambang Rukminto sepakat hampir mustahil bagi kepolisian untuk bisa menangkap Bjorka. Selama ini, kasus-kasus pembobolan data tak pernah bisa diungkap tuntas oleh kepolisian. 

"Deteksi Bjorka siapa dan di mana itu saja belum, apalagi mau menangkap. Jadi, alih-alih mengejar yang belum jelas, lebih baik meningkat sistem pengamanan. Jangan sampai dibobol Bjorka atau pihak- pihak yang lain," ucap Bambang kepada Alinea.id.

Peningkatan sistem keamanan siber, menurut Bambang, merupakan langkah paling realistis dalam mengantisipasi berulangnya kasus pembobolan data. Pasalnya, meningkatkan kualifikasi polisi dan aparat penegak hukum di bidang kejahatan siber memerlukan waktu yang tak sebentar. 

"Kalau sistem pengamanan untuk (data yang) high risk itu bisa menggunakan 7 layer (lapis). Jangan-jangan kita sering kebobolan karena cuma menggunakan 2 layer. Bukankah sudah jamak di negeri ini menggunakan sistem yang rapuh? Seperti kasus bobolnya Pusat Data Nasional lalu yang ternyata (diretas) menggunakan perangkat lunak yang dijual di pasaran," kata Bambang. 

Dengan pengamanan berlapis, lanjut Bambang, data publik milik lembaga dan kementerian tak mudah dicuri. Pembobol data bisa terdeteksi saat "alarm" lapis pertama dan kedua, misalnya, berbunyi. "Bukan 1-2 layer saja sehingga saat ada yang percobaan pencurian menembus layer pertama atau kedua, sudah ada deteksi lebih dulu," ucap Bambang.

Segendang sepenarian, pakar keamanan siber Vaksincom, Alfons Tanujaya menilai bukan perkara mudah menangkap peretas yang sudah memiliki jam terbang tinggi. Ia sepakat langkah paling realistis untuk mencegah pembobolan oleh peretas sekaliber Bjorka adalah pengetatan sistem keamanan siber. 

"Banyak peretas yang tidak tertangkap dan bukan hanya peretas Indonesia. Peretas perusahaan-perusahaan di Amerika, pemeras yang menggunakan ransomware dan mendapatkan uang ratusan miliar dan triliunan juga banyak yang sulit ditangkap. Amankan data dengan baik dan lindungi dengan sebaik-baiknya," ucap Alfons kepada Alinea.id.