Lumpuhnya PDN dan urgensi RUU Keamanan Siber
Pusat data nasional (PDN) masih lumpuh setelah diserang ransomware LockBit 3.0 sekira dua pekan lalu. Kementerian Komunikasi dan Informastika (Kominfo) menargetkan PDN pulih pada Agustus 2024. PDN bisa pulih lebih cepat jika pemerintah membayar duit tebusan sebesar US$8 juta yang diminta peretas PDN.
Serangan terhadap PDN mengganggu sejumlah layanan publik. Direktur Jenderal Imigrasi Kemenkumham, Silmy Karim mengaku lumpuhnya PDN berdampak pada layanan keimigrasian di 431 titik. Selain itu, setidaknya ada 60 ribu paspor yang terhambat penerbitannya.
"Tetapi, ada hikmah yang kami dapat. Kami lebih bisa memahami dampak nyata dari serangan siber dan cara penanggulangannya," kata Silmy kepada juru warta dalam sebuah konferensi pers di Jakarta, Jumat (28/6) lalu.
Tak hanya pertahanan PDN yang bobol. Sepekan setelah serangan terhadap PDN, server milik Badan Intelijen Strategis (Bais) dan Indonesia Automatic Finger Identification System (Inafis) Polri juga diserang peretas dengan nama samaran MoonzHaxor.
Akun @FalconFeeds.io mengabarkan MoonzHaxor mengumumkan peretasan terhadap dua instansi itu di situs gelap, Senin (24/6) lalu. Di forum itu, MoonHaxor melego data yang berhasil diretas, yakni sebesar US$1.000 untuk database 2.000 pengguna berukuran 773 kilobita dan US$7.000 untuk data rahasia berukuran 33,7 gigabita.
"MoonzHaxor, salah satu anggota terkemuka BreachForums telah mengunggah file dari Badan Intelijen Strategis. Kebocoran tersebut mencakup file sampel dengan data lengkap tersedia untuk dijual," tulis @FalconFeeds.io.
Khusus untuk serangan ke Bais, Kepala Pusat Penerangan TNI Mayjen Nugraha Gumilar sudah angkat bicara. Ia mengklaim data yang dibobol peretas adalah data lama. Sebagai langkah antisipasi, server Bais untuk sementara waktu telah dinonaktifkan.
Peneliti dari Lembaga Studi dan Advokasi Masyarakat (ELSAM), Annisa Noorha mengatakan lambannya pemulihan PDN dan maraknya serangan siber menunjukkan Badan Siber dan Sandi Nasional (BSSN) belum efektif mengoordinasi keamanan siber nasional dan manajemen krisis.
Seiring itu, Computer Security Incident Response Team (CSIRT) yang dibentuk BSSN juga terlihat masih gagap dalam merespons serangan siber ke instansi-instansi pemerintah.
“Ini jadi penanda bahwa kita perlu RUU (Rancangan Undang-Undang Ketahanan dan) Keamanan Siber (KKS) untuk memastikan tata kelola yang lebih komprehensif,” ucap Annisa kepada Alinea.id, Jumat (28/6).
RUU KKS sudah dibahas DPR sejak 2019. Namun, RUU inisiatif DPR itu tak kunjung disahkan. Padahal, naskah akademik RUU tersebut sudah rampung disusun. Di Asia Tenggara, regulasi semacam RUU KKS sudah diberlakukan di Singapura, Malaysia, dan Thailand.
Annisa mengatakan penegakan hukum terkait pidana di ranah siber juga perlu dibenahi. Sebelum RUU KKS terbit, aparat penegak hukum bisa bertumpu pada UU Perlindungan Data Pribadi yang menegaskan ancaman pidana terkait pencurian data pribadi dan UU Informasi dan Transaksi Elektronik (ITE) yang mengatur mengenai illegal access dengan yurisdiksi extra teritorial.
"Sayangnya, penegakan hukum terhadap insiden yang terjadi di sektor publik masih lemah dan penerapannya belum optimal. Karena itu, kita sedikit pesimis melihat bagaimana kelanjutannya nanti dalam konteks penegakan hukum,” ujar Annisa.
BSSN mencatat ada ratusan juta serangan siber terhadap Indonesia setiap tahunnya. Pada 2023, tercatat sekitar 279,84 juta serangan siber turun sekitar 24.4% jika dibandingkan tahun sebelumnya, yakni 370,02 juta serangan.
Kepala Communication and Information System Security Research Center (CISSReC) Pratama D Persadha mengatakan gangguan pada peladen PDN dan berulangnya serangan siber terhadap sejumlah instansi pemerintah mengindikasikan bahwa negara abai terhadap keamanan siber.
“Bahkan sudah banyak yang mengakui bahwa Indonesia adalah sebuah negeri open source yang datanya boleh dilihat oleh siapa saja dengan banyaknya peretasan yang terjadi selama ini,” kata Pratama kepada Alinea.id, Jumat (28/6).
Pratama mengatakan ada banyak hal yang harus dibenahi untuk meningkatkan keamanan siber di Indonesia. Selain pembaharuan infrastruktur dan perangkat keamanan siber, pelatihan berkala juga perlu dimasifkan untuk mendongkrak sumber daya manusia (SDM) di ranah siber.
"Apalagi, serangan siber yang terjadi kerap berawal dari diretasnya komputer maupun laptop karyawan atau didapatkanya data kredensial karyawan melalui serangan phising," jelas Pratama.
Jika perlu, menurut Pratama, pemerintah melakukan merekrut para peretas. Selain kompeten karena jam terbangnya yang tinggi dalam membobol data, para peretas biasanya juga tergabung dalam berbagai forum bawah tanah atau situs gelap.
Di forum-forum itu, mereka lazimnya membagikan teknik dan tools peretasan terbaru dan tidak jarang juga menginformasikan kampanye serangan siber yang akan dilakukan.
“Sehingga jika Indonesia menjadi target serangan siber, maka akan dapat diambil berbagai tindakan pencegahan sebelumnya,” tutur Pratama.