Rawan Peretasan, Pemerintah Diminta Perkuat Protokol Keamanan Data Siber
Senin, 22 Juni 2020 - 07:55 WIB
loading...
Foto/Istimewa
A
A
A
JAKARTA - Kasus dugaan bocornya data pribadi 230.000 pasien Covid-19 dan dijual di situs gelap menambah panjang daftar kasus pencurian data di Tanah Air. Pemerintah diminta segera berbenah dengan membuat protokol keamanan siber yang andal agar data lembaga negara maupun swasta bisa aman dan terlindungi.
Kasus dugaan pencurian data pribadi sebelumnya terjadi pada perusahaan startup Tokopedia dan Bukalapak, serta Komisi Pemilihan Umum (KPU) RI. Demi mencegah pencurian data pribadi terus berulang, hal yang dinilai mendesak dilakukan pemerintah saat ini adalah mengoptimalkan peran Badan Siber dan Sandi Negara (BSSN). Lembaga ini harus menjadi leading sector dalam pengawasan dan perlindungan data. Selain itu, pemerintah dan DPR perlu segera menyelesaikan pembahasan Undang-Undang Perlindungan Data Pribadi yang tak kunjung selesai.
Ketua Pusat Studi Politik dan Keamanan (PSPK) Universitas Padjajaran Bandung Muradi menilai, protokol keamanan siber harus benar-benar diwujudkan demi mencegah kasus yang sama terus terulang.
“Selama protokol keamanan tidak efektif, kita selamanya akan menjadi surga peretasan para hacker. Ini akan merugikan entitas negara juga swasta,” ujar Muradi kepada KORAN SINDO kemarin.
Peretasan seperti pada kasus data pasien Covid-19 menurut dia bisa membawa dua akibat, pertama kerugian pribadi warga negara terutama soal materi, misalnya ATM dan kartu kredit dibobol, dan kedua menurunnya kepercayaan masyarakat pada keamanan negara. (Baca: Duh, 230.000 Data Pasien Covid-19 Indonesia Dijual di Dark Web)
Diketahui, pelaku peretas dengan nama akun Database Shopping mengklaim memiliki 231.636 data pribadi pasien Covid-19 yang dijual di situs terbuka Raid Forums. Situs ini sebelumnya juga digunakan peretas untuk menjual data pengguna Tokopedia awal Mei 2020. Dalam basis data tersebut terpampang informasi terkait data pasien berupa nama, status kewarganegaraan, tanggal lahir, hingga alamat. Bahkan pada basis data itu juga tersedia informasi tes Covid-19 pasien secara detail berupa gejala, tanggal mulai sakit, hingga tanggal pemeriksaan. Dilaporkan pula data dijual seharga USD300 atau sekitar Rp4,2 juta.
Muradi menyebut, paling tidak ada empat hal yang harus dilakukan agar Indonesia tidak terus menerus menjadi bulan-bulanan para hacker yang dengan mudah melakukan peretasan data pribadi.
Pertama, BSSN harus berperan melakukan pengawasan sekaligus melindungi data apapun, baik yang sifatnya negara maupun swasta. Fungsi ini menurut Muradi dulu juga dijalankan oleh Lembaga Sandi Negara (Lemsaneg) sebelum menjadi BSSN.
Kedua, masyarakat harus dibangun kesadarannya agar bisa memproteksi sendiri datanya. Ketiga, membangun kultur siber. Ini di antaranya membenahi masalah jaringan atau signal, serta dilakukan pengecekan keamanan data pada setiap lembaga secara periodik. Fungsi ini menurut dia bisa dilakukan oleh Kementerian Komunikasi dan Informatika. (Baca juga: Gerhana Matahari di Indonesia 37 Tahun Lalu Sangat Mencekam)
Dan, keempat, negara harus punya kemampuan proteksi, termasuk melakukan takedown terhadap setiap upaya dari penyusup yang ingin melakukan pencurian data.
“Ini semua berbasis pada kebijakan politik negara. Pertanyaannya, apakah empat hal ini bisa dilakukan? Kalau tidak, kasus peretasan akan terus berulang,” ujarnya.
Ketua Communication and Information System Security Research Center, Pratama Persadha menyatakan saat ini perlindungan data pribadi dan keamanan siber pada sistem di Tanah Air khususnya lembaga pemerintah memang masih menjadi pekerjaan rumah yang berat. Penyebab perlindungan data lemah yakni faktor ketiadaan undang-undang, minimnya porsi anggaran, dan budaya birokrasi.
Jika dilakukan penguatan pada tiga hal itu, kata dia, akan membuat perlindungan data dan penguatan sistem elektronik bisa diaktualisasikan secara merata.
“Memang sebaiknya ini menjadi prioritas negara, bila tidak maka peristiwa peretasan akan semakin menghiasi pemberitaan nasional setiap harinya. Tentu hal ini tidak diinginkan,” ujarnya.
Pratama pun mengatakan bahwa hal semacam ini bisa dihindari dengan dua cara. Pertama penguatan kesadaran dan sistem keamanan siber di internal Polri. Kedua, model bug bounty, memberikan reward kepada penemu celah keamanan. “Ini yang belum biasa dilakukan di Tanah Air,” katanya.
Ditambahkan, Indonesia juga perlu segera memiliki Undang-Undang Perlindungan Data Pribadi. Regulasi tersebut menurut dia penting untuk memperjelas standar keamanan siber di dalam negeri dan juga sanksi bagi yang melanggar, baik itu lembaga negara maupun swasta.
UU Perlindungan Data Pribadi, sebagaimana General Data Protection Regulation di Eropa, akan menunjukkan standar teknologi seperti apa yang bisa digunakan dalam memproteksi data.
Pratama mencontohkan jika undang-undang tersebut berlaku dan terjadi kasus data bocor, akan ada daftar aksi yang bisa digunakan untuk melihat apakah penyelenggara sistem elektronik sudah melakukan kewajiban yang diperlukan untuk mengamankan data. (Baca juga: Rapid Test Harus Bayar, KH Cholil Nafis: Kemana Uang Triliunan Rupiah Itu?)
Bila ada aksi yang belum dilakukan, penyelenggara sistem elektronik bisa dinyatakan lalai dan melakukan pelanggaran sehingga terbuka kemungkinan untuk digugat.
Tanpa ada undang-undang seperti itu, Pratama khawatir Indonesia ke depan akan semakin menjadi target peretasan yang berakibat negara dinilai gagal melindungi warga negaranya.
Indonesia saat ini memiliki Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik atau dikenal sebagai UU ITE dan Peraturan Pemerintah Nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), namun dianggap belum kuat dan belum memberi kewajiban dan sanksi yang jelas untuk kasus pencurian data.
Tak Ada Kebocoran
Di lain pihak, BSSN memastikan tak ada ada akses ilegal yang mengakibatkan kebocoran data penanganan pandemi Covid-19 di Indonesia. Ini merespons bahwa data pasein Covid-19 dijual di darkweb atau forum komunitas para peretas yaitu RaidForums.
"BSSN telah berkoordinasi dengan Kementerian Kesehatan dan Gugus Tugas terkait untuk memastikan bahwa tidak ada akses tidak sah yang berakibat kebocoran data pada Sistem Elektronik dan aset informasi aktif penanganan pandemi Covid-19," ungkap Juru bicara BSSN Anton Setiyawan dalam keterangan tertulisnya kemarin. (Lihat videonya: Geliat Cafe di Masa Pandei Covid-19)
Anton menyatakan BSSN akan terus mengambil langkah-langkah yang terukur guna memastikan keamanan sistem elektronik. Selain itu, pihaknya juga meningkatkan kolaborasi aktif dengan semua unsur dari pemerintah pusat sampai pemerintah daerah dalam hal pengamanan data terkait penanganan pandemi Covid-19.
"BSSN mengajak semua unsur yang terlibat dalam penanganan pandemi Covid-19 untuk selalu menerapkan Standar Manajemen Pengamanan Informasi dan membangun budaya keamanan siber dalam pengelolaan sistem elektroniknya," imbuhnya. (benahi keamanan siber)
Anton mengingatkan, akses tidak sah terhadap suatu sistem elektronik dikategorikan sebagai tindakan pidana. Pelakunya bisa dijerat dengan berbagai sanksi.
"Diancam dengan hukuman pidana penjara paling lama 7 (Tujuh) tahun dan/atau denda paling banyak Rp700.000.000,00 (Tujuh Ratus Juta Rupiah) sesuai Pasal 46 Ayat 2 UU 11 tahun 2008 Tentang Informasi dan Transaksi Elektronik," tegasnya. (Binti Mufarida/Faorick Pakpahan/Bakti)
Kasus dugaan pencurian data pribadi sebelumnya terjadi pada perusahaan startup Tokopedia dan Bukalapak, serta Komisi Pemilihan Umum (KPU) RI. Demi mencegah pencurian data pribadi terus berulang, hal yang dinilai mendesak dilakukan pemerintah saat ini adalah mengoptimalkan peran Badan Siber dan Sandi Negara (BSSN). Lembaga ini harus menjadi leading sector dalam pengawasan dan perlindungan data. Selain itu, pemerintah dan DPR perlu segera menyelesaikan pembahasan Undang-Undang Perlindungan Data Pribadi yang tak kunjung selesai.
Ketua Pusat Studi Politik dan Keamanan (PSPK) Universitas Padjajaran Bandung Muradi menilai, protokol keamanan siber harus benar-benar diwujudkan demi mencegah kasus yang sama terus terulang.
“Selama protokol keamanan tidak efektif, kita selamanya akan menjadi surga peretasan para hacker. Ini akan merugikan entitas negara juga swasta,” ujar Muradi kepada KORAN SINDO kemarin.
Peretasan seperti pada kasus data pasien Covid-19 menurut dia bisa membawa dua akibat, pertama kerugian pribadi warga negara terutama soal materi, misalnya ATM dan kartu kredit dibobol, dan kedua menurunnya kepercayaan masyarakat pada keamanan negara. (Baca: Duh, 230.000 Data Pasien Covid-19 Indonesia Dijual di Dark Web)
Diketahui, pelaku peretas dengan nama akun Database Shopping mengklaim memiliki 231.636 data pribadi pasien Covid-19 yang dijual di situs terbuka Raid Forums. Situs ini sebelumnya juga digunakan peretas untuk menjual data pengguna Tokopedia awal Mei 2020. Dalam basis data tersebut terpampang informasi terkait data pasien berupa nama, status kewarganegaraan, tanggal lahir, hingga alamat. Bahkan pada basis data itu juga tersedia informasi tes Covid-19 pasien secara detail berupa gejala, tanggal mulai sakit, hingga tanggal pemeriksaan. Dilaporkan pula data dijual seharga USD300 atau sekitar Rp4,2 juta.
Muradi menyebut, paling tidak ada empat hal yang harus dilakukan agar Indonesia tidak terus menerus menjadi bulan-bulanan para hacker yang dengan mudah melakukan peretasan data pribadi.
Pertama, BSSN harus berperan melakukan pengawasan sekaligus melindungi data apapun, baik yang sifatnya negara maupun swasta. Fungsi ini menurut Muradi dulu juga dijalankan oleh Lembaga Sandi Negara (Lemsaneg) sebelum menjadi BSSN.
Kedua, masyarakat harus dibangun kesadarannya agar bisa memproteksi sendiri datanya. Ketiga, membangun kultur siber. Ini di antaranya membenahi masalah jaringan atau signal, serta dilakukan pengecekan keamanan data pada setiap lembaga secara periodik. Fungsi ini menurut dia bisa dilakukan oleh Kementerian Komunikasi dan Informatika. (Baca juga: Gerhana Matahari di Indonesia 37 Tahun Lalu Sangat Mencekam)
Dan, keempat, negara harus punya kemampuan proteksi, termasuk melakukan takedown terhadap setiap upaya dari penyusup yang ingin melakukan pencurian data.
“Ini semua berbasis pada kebijakan politik negara. Pertanyaannya, apakah empat hal ini bisa dilakukan? Kalau tidak, kasus peretasan akan terus berulang,” ujarnya.
Ketua Communication and Information System Security Research Center, Pratama Persadha menyatakan saat ini perlindungan data pribadi dan keamanan siber pada sistem di Tanah Air khususnya lembaga pemerintah memang masih menjadi pekerjaan rumah yang berat. Penyebab perlindungan data lemah yakni faktor ketiadaan undang-undang, minimnya porsi anggaran, dan budaya birokrasi.
Jika dilakukan penguatan pada tiga hal itu, kata dia, akan membuat perlindungan data dan penguatan sistem elektronik bisa diaktualisasikan secara merata.
“Memang sebaiknya ini menjadi prioritas negara, bila tidak maka peristiwa peretasan akan semakin menghiasi pemberitaan nasional setiap harinya. Tentu hal ini tidak diinginkan,” ujarnya.
Pratama pun mengatakan bahwa hal semacam ini bisa dihindari dengan dua cara. Pertama penguatan kesadaran dan sistem keamanan siber di internal Polri. Kedua, model bug bounty, memberikan reward kepada penemu celah keamanan. “Ini yang belum biasa dilakukan di Tanah Air,” katanya.
Ditambahkan, Indonesia juga perlu segera memiliki Undang-Undang Perlindungan Data Pribadi. Regulasi tersebut menurut dia penting untuk memperjelas standar keamanan siber di dalam negeri dan juga sanksi bagi yang melanggar, baik itu lembaga negara maupun swasta.
UU Perlindungan Data Pribadi, sebagaimana General Data Protection Regulation di Eropa, akan menunjukkan standar teknologi seperti apa yang bisa digunakan dalam memproteksi data.
Pratama mencontohkan jika undang-undang tersebut berlaku dan terjadi kasus data bocor, akan ada daftar aksi yang bisa digunakan untuk melihat apakah penyelenggara sistem elektronik sudah melakukan kewajiban yang diperlukan untuk mengamankan data. (Baca juga: Rapid Test Harus Bayar, KH Cholil Nafis: Kemana Uang Triliunan Rupiah Itu?)
Bila ada aksi yang belum dilakukan, penyelenggara sistem elektronik bisa dinyatakan lalai dan melakukan pelanggaran sehingga terbuka kemungkinan untuk digugat.
Tanpa ada undang-undang seperti itu, Pratama khawatir Indonesia ke depan akan semakin menjadi target peretasan yang berakibat negara dinilai gagal melindungi warga negaranya.
Indonesia saat ini memiliki Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik atau dikenal sebagai UU ITE dan Peraturan Pemerintah Nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), namun dianggap belum kuat dan belum memberi kewajiban dan sanksi yang jelas untuk kasus pencurian data.
Tak Ada Kebocoran
Di lain pihak, BSSN memastikan tak ada ada akses ilegal yang mengakibatkan kebocoran data penanganan pandemi Covid-19 di Indonesia. Ini merespons bahwa data pasein Covid-19 dijual di darkweb atau forum komunitas para peretas yaitu RaidForums.
"BSSN telah berkoordinasi dengan Kementerian Kesehatan dan Gugus Tugas terkait untuk memastikan bahwa tidak ada akses tidak sah yang berakibat kebocoran data pada Sistem Elektronik dan aset informasi aktif penanganan pandemi Covid-19," ungkap Juru bicara BSSN Anton Setiyawan dalam keterangan tertulisnya kemarin. (Lihat videonya: Geliat Cafe di Masa Pandei Covid-19)
Anton menyatakan BSSN akan terus mengambil langkah-langkah yang terukur guna memastikan keamanan sistem elektronik. Selain itu, pihaknya juga meningkatkan kolaborasi aktif dengan semua unsur dari pemerintah pusat sampai pemerintah daerah dalam hal pengamanan data terkait penanganan pandemi Covid-19.
"BSSN mengajak semua unsur yang terlibat dalam penanganan pandemi Covid-19 untuk selalu menerapkan Standar Manajemen Pengamanan Informasi dan membangun budaya keamanan siber dalam pengelolaan sistem elektroniknya," imbuhnya. (benahi keamanan siber)
Anton mengingatkan, akses tidak sah terhadap suatu sistem elektronik dikategorikan sebagai tindakan pidana. Pelakunya bisa dijerat dengan berbagai sanksi.
"Diancam dengan hukuman pidana penjara paling lama 7 (Tujuh) tahun dan/atau denda paling banyak Rp700.000.000,00 (Tujuh Ratus Juta Rupiah) sesuai Pasal 46 Ayat 2 UU 11 tahun 2008 Tentang Informasi dan Transaksi Elektronik," tegasnya. (Binti Mufarida/Faorick Pakpahan/Bakti)
(ysw)
Lihat Juga :
