Kabar kebocoran data di awal tahun ini masih belum berhenti. Bahkan, menurut pakar keamanan siber Dr. Pratama Persadha, setiap minggu selalu ada laporan kebocoran beberapa institusi pemerintah, mulai dari Pertamina, Kemenkes, hingga Bank Indonesia (BI).
Namun, penyelesaian kasus peretasan di Indonesia bak lenyap ditelan bumi meski informasi kebocoran data telah ditindaklanjuti oleh pihak berwenang.
Kasus dugaan peretasan terhadap situs web BI, misalnya, sampai 26 Januari 2022 dikabarkan sudah ada 368 komputer internal milik BI yang diklaim disusupi oleh grup ransomware conti beserta 130 gigabita data yang diunggah.
Terkait dengan kebocoran data ini, Polri telah menindaklanjutinya sekaligus berkomunikasi dengan pihak BI. Hal ini dikatakan Kepala Divisi Humas Polri Irjen Pol. Dedi Prasetyo kepada ANTARA di Jakarta, Kamis (20/1).
Belum lagi, lanjut Pratama, kebocoran Pertamina. Pada situs https://recruitment.pertamina-ptc.com masih tidak bisa diakses sampai saat ini, terutama sejak kabar adanya kebocoran data.
Ada berbagai kemungkinan mengapa situs Pertamina Training and Consulting ini belum bisa diakses, misalnya belum dilakukan audit assessment terhadap sistem di lembaga pemerintah.
Bisa juga mungkin belum yakin sudah berhasil mensterilkan sistemnya dari malware yang digunakan hacker (peretas). Ada kemungkinan belum yakin bisa memperkuat pertahanannya pascaserangan sehingga merasa lebih aman kalau di-takedown.
Seharusnya lembaga organisasi sebesar Pertamina tidak lama dalam menghadapi hal semacam ini. Apalagi, biasanya website ini melibatkan pihak ketiga dan menggunakan service level agreement (SLA).
Artinya, dengan ada SLA, ada standardisasi maupun tanggung jawab terkait dengan servis website beserta hal lainnya seperti pengamanan sistemnya.
Poin-poin dalam SLA penting sekali karena dalam banyak kasus peretasan belakangan ini, pelaku menyerang titik terlemah yang salah satunya adalah dari sisi vendor, sering disebut dengan supply chain attack.
Artinya, assessment dalam memulai develop sistem harus sangat memprioritaskan keamanan siber sehingga mendapatkan produk dan vendor terbaik.
Data Diincar
Semua peretasan ini mengincar data. Pada tahun 2020 ada 91 juta data Tokopedia, lalu ada data e-HAC Kemenkes, BRI Life, Pertamina-PTC, dan kemarin baru hangat adalah peretasan terhadap BI.
Hal ini menjadi berbahaya karena hampir semua lembaga pemerintah mempunyai data penting dan rahasia. Selain mitigasi, hal yang harus diperhatikan adalah sejak membangun sistem harus ada kesadaran keamanan siber dan faktor keamanan menjadi prioritas.
Oleh sebab itu, penyelenggara sistem elektronik (PSE) yang mengalami peretasan serta kebocoran wajib transparan kepada masyarakat.
Pada kasus peretasan di perbankan, perusahaan swasta nasional, lembaga pemerintah, maupun BUMN, sejak awal mereka harus menyadari bahwa data ini penting.
Artinya, harus dilindungi tidak hanya dari peretas, tetapi juga dari karyawan mereka sendiri yang punya potensi untuk menyalahgunakan maupun melakukan keteledoran.
Karena sumber kebocoran data selain peretasan adalah kesalahan pada sistem dan faktor human error, harus ada perbaikan di semua sektor. Misalnya, untuk membangun sebuah sistem, sedari awal faktor keamanan siber harus diprioritaskan, bukan semata kemudahan user friendly atau user interface yang memukau.
Mulai dari sumber daya manusia (SDM) hingga teknologi harus memperhatikan faktor keamanan siber. Maksudnya adalah dari sisi SDM harus disiapkan SDM organik (tidak hanya bergantung pada vendor) yang mengerti proses dari sistem informasi yang ada.
Mereka mengerti bagaimana melakukan maintenance maupun langkah mitigasi saat terjadi serangan dan kegiatan yang anomali pada sistem mereka.
Teknologinya harus mendukung keamanan siber. Misalnya, dalam kasus Tokopedia bocor lebih dari 91 juta data, diketahui ternyata data user hanya password saja yang dienkripsi.
Padahal, kata Pratama, data lainnya juga sangat penting, mulai dari nama, alamat, nomor seluler, email, hingga data lainnya. Hal yang sama juga dari data yang bocor kemarin adalah data pribadi, tepatnya data lamaran pekerjaan yang berisi banyak identitas penting.
Tidak Pernah Dicek
Sama seperti halnya perusahaan atau negara yang ada di seluruh dunia, kemungkinan besar pernah terkena peretasan. Kalaupun tidak pernah terkabar berita sebuah lembaga diretas, ada beberapa kemungkinan, memang tidak pernah dicek, peretasnya diam saja tidak publikasi, atau memang sengaja disembunyikan karena berbagai faktor pertimbangan.
Oleh karena itu, raksasa teknologi dunia biasanya membuat program Bug Bounties. Program ini adalah sebuah inisiatif perusahaan yang mengapresiasi temuan celah keamanan dari para peretas. Perusahaan akan memberikan sejumlah uang kepada mereka yang bisa menemukan dan menembus sistem keamanan.
Google dan Apple tidak tanggung-tanggung berani memberikan reward jutaan dolar Amerika Serikat. Budaya seperti ini belum banyak dilakukan di Tanah Air, baik di lembaga negara maupun swasta. Setiap ada laporan kebocoran, jangankan hadiah, biasanya laporan ini tidak ditindaklanjuti seperti dalam kasus e-HAC Kemenkes.
Bahkan, banyak sindiran, setiap laporan menemukan lubang keamanan di sistem informasi lembaga di Tanah Air akan mendapatkan "2M" alias "Makasih Mas".
Pada masa pandemi akhirnya semua pihak belajar bahwa kerentanan terjadi juga karena ada work from home (WFH). Perusahaan di Tanah Air belum biasa membekali pegawainya dengan software dan hardware serta jaringan yang aman untuk mengakses sistem kantornya.
Paling tidak diberi edukasi jangan akses internet dari jaringan berbahaya seperti Wi-Fi publik gratis. Selain itu, minimal dibekali antivirus, jaringan pribadi virtual atau virtual private network (VPN), maupun tools seperti zero trust.
Sebagai langkah preventif mencegah peretasan, tampaknya perlu peningkatan pengamanan dan secara rutin melakukan pentest (penetration test).
