Tantangan Keamanan Siber Indonesia: Ancaman dan Dampaknya

Serangan siber terus menimpa lembaga pemerintahan di Indonesia. Dalam beberapa tahun terakhir, berbagai peretasan telah berulang kali menimpa sejumlah lembaga dan korporasi di Indonesia. Pada 2021, situs Badan Siber dan Sandi Negara yang beralamat di www.pusmanas.bssn.go.id mengalami peretasan deface berupa perubahan halaman muka.

Setahun kemudian, pada 2022, Indonesia dihebohkan dengan akun Bjorka yang berhasil meretas situs-situs lembaga pemerintahan dan menjual data-data di dalamnya, antara lain Komisi Pemilihan Umum (KPU), Badan Penyelenggara Jaminan Sosial (BPJS) Ketenagakerjaan, hingga surat-menyurat dari Badan Intelijen Negara (BIN) dengan label rahasia. Akibatnya, data registrasi kesehatan, telepon genggam, dan kependudukan masyarakat tersebar di Darknet.

Tak berhenti di situ, tahun 2023 giliran PT Bank Syariah Indonesia Tbk (BSI) yang menjadi korban. Sebanyak 15 juta data nasabah mereka bocor dan jaringan layanan sempat lumpuh. SAFEnet juga mencatat sepanjang tahun itu ada 32 insiden kebocoran data di lembaga pemerintah seperti BPJS Kesehatan, Polri, KPU, dan Kementerian Pertahanan.

Ironisnya, di tengah maraknya serangan siber ini, upaya komprehensif dari pemerintah untuk menanggulangi masalah keamanan siber masih terkesan minim. Tindakan seringkali reaktif di awal, muncul ketika insiden terjadi, dan kemudian kembali tenang seolah tak ada masalah krusial. Ditambah lagi, kewaspadaan dan kesadaran berbagai pihak terhadap potensi serangan siber pun masih terbilang lemah.

KOMPAS/HENDRA A SETYAWAN

Kantor baru Badan Siber dan Sandi Negara (BSSN) di kawasan Bojongsari, Depok, Jawa Barat, Jumat (29/10/2021). Peretasan situs Pusat Malware Nasional milik BSSN kembali memperlihatkan begitu mudahnya sistem keamanan siber instansi pemerintah diterobos peretas. Ironis, karena BSSN tulang punggung negara dalam menangkal serangan siber.

Lemahnya kemanan siber ini bisa menjadi bom waktu yang siap meledak kapan saja. Terlebih, mayoritas kasus peretasan dan kebocoran data menimpa institusi pemerintah dan badan publik. Data dan informasi penting negara, serta privasi masyarakat, dipertaruhkan di tengah sistem keamanan siber yang rapuh.

Insiden peretasan PDN bisa menjadi contoh nyata betapa seriusnya ancaman serangan siber. PDN, sebagai tulang punggung layanan pemerintahan dan penyimpanan data milik semua instansi di Indonesia, merupakan infrastruktur informasi vital yang menyimpan data pribadi warga negara dan data strategis lainnya. Fungsi utama PDN adalah menyimpan dan mengamankan data serta menyediakan akses yang mudah dan efisien bagi instansi pemerintah (Kompas, 22/6/2024).

Alhasil kelumpuhan PDN mengakibatkan sejumlah layanan publik terganggu. Secara total, serangan siber itu berdampak pada gangguan layanan di 239 instansi. Di antaranya, layanan imigrasi di seluruh bandara internasioanl di Indonesia dan layanan di Kementerian Pendidikan, Kebudayaan, Riset, dan Teknologi (Kemendikbudristek).

Grafik:

INFOGRAFIK: ALBERTUS ERWIN SUSANTO

Di layanan imigrasi, peretasan PDN menyebabkan lumpuhnya layanan imigrasi di seluruh bandara internasional di Indonesia. Meski masyarakat tetap dapat bepergian ke luar negeri, tetapi mereka harus antre panjang karena proses keimigrasiannya memakan waktu lama. Masalah sistem juga membuat warga yang ingin mengurus pembuatan atau perpanjangan paspor secara online tidak dapat dilayani.

Sementara di dunia pendidikan sebanyak 47 layanan Kemendikbudristek yang berada di Pusat Data Nasional Sementara (PDNS) 2 tidak dapat diakses. Lima di antaranya laman formulir, beasiswa, Kartu Indonesia Pintar (KIP) Kuliah, inspirasi dikti, dan perizinan perfilman (Kompas, 2/7/2024).  

Gangguan berdampak secara serius pada terganggunya proses penerimaan peserta didik baru dan pendataan peserta didik yang menerima beasiswa Kartu Indonesia Pintar Kuliah atau KIP Kuliah. Khususnya pada KIP Kuliah, peretasan terhadap PDN bisa menggagalkan mimpi sejumlah lulusan SMA dari keluarga tidak mampu yang ingin melanjutkan kuliah dengan beasiswa KIP Kuliah (Kompas, 2/7/2024).

Peretasan PDN ini tidak boleh dipandang sebelah mata. Data pribadi warga Indonesia yang bocor kini tidak hanya dicuri, tetapi diperjualbelikan dan disalahgunakan ke hal-hal yang merugikan pemilik data sendiri, seperti pembobolan rekening, pencurian akun medsos, penyamaran kejahatan, pencatutan nama pinjol, hingga termasuk memecah belah persatuan dan kesatuan bangsa Indonesia. Terlebih, jika data yang bocor adalah dokumen rahasia miliki negara. Data yang bocor bisa dimanfaatkan pihak berkepentingan, termasuk negara lain. 

KOMPAS/FAKHRI FADLURROHMAN

Suasana di Kantor Imigrasi Kelas I Khusus Non TPI Jakarta Barat, Jumat (21/6/2024). Pelayanan paspor di kantor imigrasi terdampak akibat gangguan pada sistem Pusat Data Nasional. Gangguan Pusat Data Nasional ini terjadi sejak Kamis (20/6/2024). Akibatnya, pelayanan kantor imigrasi terganggu, salah satunya pelayanan pembuatan paspor. Pemohon saat ini hanya dapat melakukan proses pengambilan foto, wawancara, dan perekaman sidik jari. Proses alokasi blanko paspor sampai dengan penyerahan paspor masih belum dapat dilakukan karena terkendala sistem. Akibatnya estimasi pembuatan paspor yang semula 3-4 hari kini menjadi 7-8 hari.

Berbagai institusi pemerintahan dan badan publik di Indonesia yang terus-menerus menjadi korban serangan peretasan, mengindikasikan bahwa Indonesia telah menjadi sasaran empuk bagi kejahatan siber. Fenomena ini mencerminkan kerapuhan sistem keamanan siber di Tanah Air.

Menurut laporan National Cyber Security Index (NCSI), tingkat keamanan siber di Indonesia masih tergolong rendah. Indonesia hanya mendapatkan skor 63,64 dalam hal keamanan siber, menempatkannya di peringkat ke-49 dari 176 negara yang disurvei.

Penilaian ini mencakup beberapa indikator kunci seperti keberadaan aturan hukum terkait keamanan siber, ketersediaan lembaga pemerintah yang mengurusi keamanan siber, serta tingkat kerja sama antar-pemerintah dalam hal ini.

Grafik:

INFOGRAFIK: ALBERTUS ERWIN SUSANTO

Dalam kawasan Asia Tenggara atau ASEAN, Indonesia tertinggal di posisi ke-4, di bawah negara-negara seperti Malaysia (79,22), Singapura (71,43), dan Thailand (64,94).

Lemahnya sistem keamanan siber di Indonesia membuat negara ini rentan terhadap berbagai bentuk kejahatan siber. Laporan dari Badan Siber dan Sandi Negara (BSSN) pada tahun 2023 mencatat adanya 403,9 juta anomali trafik yang menunjukkan serangan siber. Bahkan, periode 2021-2022 mencatatkan jumlah serangan siber terbesar dalam sejarah, mencapai 1 miliar anomali trafik serangan.

Anomali trafik ini mencakup pola-pola yang tidak wajar dan berpotensi membahayakan, menunjukkan keberadaan serangan-serangan yang terus menerus mengintai sistem keamanan di Indonesia. Salah satu jenis serangan yang dominan adalah Generic Trojan RAT, yang sering digunakan sebagai spyware untuk mengakses dan mengambil alih kontrol perangkat komputer atau seluler. Aktivitas semacam ini dapat menyebabkan pencurian data, penghapusan informasi, hingga manipulasi program tanpa sepengetahuan pengguna.

Grafik:

INFOGRAFIK: ALBERTUS ERWIN SUSANTO

Sepanjang tahun 2023, dari hasil penelusuran BSSN di Darknet, ditemukan lebih dari 1,6 juta temuan data exposure yang berdampak pada 429 stakeholder di Indonesia. Sektor pemerintahan menjadi korban utama dengan presentase sebesar 39,78 persen. Hal ini berarti bahwa informasi dan kredensial sensitif dari entitas pemerintah terancam dan dapat disalahgunakan oleh pihak-pihak yang tidak bertanggung jawab.

Grafik:

INFOGRAFIK: ALBERTUS ERWIN SUSANTO

Terkait kerentanan di sektor pemerintah, Pendiri dan Ketua CISSReC (Communication Information System Security Research Center) Pratama Persadha mengatakan, hal itu berhubungan dengan tidak terlalu dipedulikannya aspek pengamanan data dan lalu lintas komunikasi internet. Dengan demikian, membuat sektor pemerintah menjadi target yang sangat mudah (Kompas, 3 Juni 2020).

INFOGRAFIK: ALBERTUS ERWIN SUSANTO

Menurut data perusahaan keamanan siber Surfshark, Indonesia menempati urutan ke-11 negara dengan jumlah kebocoran data terbanyak di dunia sepanjang 2022.

Pada kuartal kedua tahun 2022, misalnya, Indonesia sempat menjadi negara dengan jumlah kebocoran data terbanyak ke-3 di dunia. Grafik di bawah ini menunjukkan peringkat negara berdasarkan jumlah data bocor per 100.000 populasi penduduk. (Kompaspedia, Upaya Memperkuat Perilindungan Data Pribadi, 25/7/2023)

Grafik:

INFOGRAFIK: ALBERTUS ERWIN SUSANTO

Sementara itu, berdasarkan National Cyber Security Index (Surfshark) yang diterbitkan oleh E-Governance Academy Foundation (EGA) pada tahun 2023 menempatkan Indonesia pada peringkat ke-47 dari total 176 negara, dengan nilai indeks pada 63,64 (nilai maximal 100). Nilai tersebut lebih rendah dari Malaysia (79,22), Singapura (71,43), Thailand (64,94), dan Filipina (63,64).

Sebagai catatan, NCSI ini mengukur 12 Surfshark yakni perkembangan kebijakan keamanan siber, informasi dan analisis ancaman siber, perkembangan professional dan edukasi, kontribusi bagi keamanan siber global, pengamanan layanan digital, pengamanan layanan dasar, layanan identifikasi digital dan kepercayaan, perlindungan data pribadi, respon pada peristiwa terkait keamanan siber, manajemen krisis siber, perlawanan terhadap kejahatan siber, dan operasi militer siber.

Negara dengan nilai NCSI terbaik meliputi Belgia, Lithuania, Estonia, Republik Ceko. Jerman, Romania, Yunani, Portugal, Inggris, dan Spanyol.

Grafik:

INFOGRAFIK: ALBERTUS ERWIN SUSANTO

Salah satu bagian penting dalam upaya pengembangan keamanan siber dan meningkatkan perlindugan data pribadi adalah dengan menerbitkan peraturan perundang-undangan yang mengikat setiap pihak pengelola data agar meningkatkan infrastruktur keamanan data yang diperolehnya sekaligus meningkatkan hak pemilik data pribadi.

Di era digitalisasi yang kian pesat, keamanan siber menjelma menjadi pilar fundamental dalam mewujudkan transformasi digital yang sukses. Hal ini semakin penting seiring dengan gencarnya pemerintah mendorong transformasi digital di berbagai sektor.

Sejak tahun 2018, pemerintah telah menunjukkan komitmennya melalui penerbitan Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE). Beleid ini menjadi landasan digitalisasi di semua aspek kehidupan, dengan tujuan mendorong keterpaduan dan efisiensi pelayanan berbasis digital. Komitmen ini semakin diperkuat dengan terbitnya Peraturan Presiden Nomor 82 Tahun 2023 tentang Percepatan Transformasi Digital dan Keterpaduan Layanan Digital Nasional.

Lebih lanjut, Perpres Nomor 95 Tahun 2018 tentang SPBE mewajibkan penyelenggara sistem elektronik untuk menerapkan Standar ISO/IEC 27001. Standar internasional ini menjadi kerangka kerja yang berisi panduan keamanan informasi, termasuk penggunaan teknologi dan pengelolaan aset untuk memastikan keamanan informasi berjalan efektif.

Namun, ironisnya, di tengah upaya transformasi digital ini, maraknya serangan digital dan kebocoran data pribadi pada instansi-instansi pemerintahan justru menunjukkan rapuhnya infrastruktur keamanan siber Tanah Air. Padahal, keamanan siber merupakan hal mendasar yang tak boleh diabaikan dalam transformasi digital.

Tanpa infrastruktur keamanan siber yang kuat, implementasi sistem pemerintahan berbasis elektronik akan terhambat. Serangan siber dapat berakibat fatal, seperti kebocoran data pribadi, serangan malware, dan peretasan sistem yang dapat mengganggu layanan publik, merusak reputasi pemerintah, dan bahkan membahayakan keamanan nasional. Lumpuhnya PDN beberapa waktu lalu menjadi bukti nyata akan bahaya serangan siber.

Untuk itu, langkah konkret dan komprehensif dari pemerintah sangatlah diperlukan. Mulai dari penguatan infrastruktur keamanan siber hingga peningkatan edukasi dan pelatihan bagi aparatur negara dan masyarakat, serta pembangunan regulasi yang lebih tegas. Memperkuat keamanan siber bukan lagi pilihan, melainkan keharusan untuk memastikan bahwa digitalisasi dapat berjalan lancar dan aman.

Oleh karena itu, maraknya serangan digital dan kebocoran data pribadi seharusnya bisa menjadi momentum untuk berbenah. Pemerintah harus menunjukkan keseriusannya dalam membangun fondasi keamanan digital yang tangguh. Sebab, meningkatnya tren penggunaan digitalisasi, tentunya, juga berdampak pada meningkatnya serangan digital.

KOMPAS/FAKHRI FADLURROHMAN

Suasana pembuatan paspor di Kantor Imigrasi Kelas I Non TPI Jakarta Pusat, Senin (24/6/2024). Sudah hari kelima, server Pusat Data Nasional atau PDN masih terganggu. Gangguan tersebut berdampak terhadap pelayanan pembuatan paspor di kantor imigrasi. Pembuatan paspor menjadi lebih lama dari biasanya. Selain itu, akibat dari gangguan PDN tersebut, layanan walk-in percepatan paspor pada akhir pekan yakni 22 dan 23 Juni 2024 ditiadakan.

Asisten Peneliti Center for Digital Society (CfDS) Universitas Gadjah Mada (UGM) Irfan Dwi Putra dalam diskusi daring beberapa waktu lalu mengatakan, banyaknya kasus kebocoran data yang terjadi saat ini membuat masyarakat sebagai subyek data juga tidak bisa diam saja tanpa melakukan upaya perlindungan data pribadi (Kompas, 27/6/2024).

Masyarakat perlu turut meningkatkan kesadaran tentang pentingnya menjaga dan melindungi data pribadi mereka masing-masing. Menurut Irfan, salah satu tips melindungi data pribadi di jagat digital adalah dengan selalu membaca dan memahami kebijakan privasi platform yang akan digunakan. Kemudian jangan mudah mengklik tautan dari pihak yang tidak dikenal.

Tips lainnya, menghapus data pribadi yang tersebar di internet dengan mengajukan permohonan penghapusan. Selain itu, selalu terapkan cyber hygiene seperti penggunaan antivirus, pembaruan perangkat lunak, penggunaan akses internet yang aman dan kata sandi yang kuat, serta tidak menyebar data pribadi melalui tren-tren di media sosial.

Masyarakat juga bisa memeriksa status kebocoran data secara mandiri dengan memasukkan alamat surat elektronik (e-mail) di laman periksadata.com. Situs ini akan akan memeriksa secara detail status kebocoran data dari e-mail yang dimasukkan oleh pengguna. Jika pernah terjadi kebocoran data, akan ada informasi terkait kapan dan di platform mana kejadian kasus kebocoran data tersebut.

INFOGRAFIK: ALBERTUS ERWIN SUSANTO

Mengacu laporan tahunan BSSN, berdasarkan pengumpulan data dari sumber terbuka, hasil deteksi keamanan siber dari trafik internet Indonesia, penelusuran cyber threat intelligence, analisis celah kerentanan pada aplikasi berbasis internet, dan lesson learn dari penanganan insiden, telah diprediksi potensi ancaman siber yang dapat menjadi serangan pada tahun 2024.

Ancaman tersebut meliputi Web Defacement, Malware stealer dan Ransomware, Cyber Threat Based Artificial Intelligence (AI), Internet of Things (IoT) Attack, Advanced Persistent Threat (APT), Phishing, dan Distributed Denial of Service (DDoS).

• Web Defacement: bentuk serangan siber yang mengubah tampilan suatu situs web dengan tujuan menyampaikan pesan atau merusak reputasi pemiliknya.
• Malware Stealer dan Ransomware: serangan perangkat lunak dengan menghancurkan atau memblokir akses ke data atau sistem penting.
• Cyber Threat Based Artificial Intelligence (AI): serangan siber yang memanfaatkan kecerdasan buatan untuk menjadi lebih canggih dan sulit dideteksi.
• Internet of Things (IoT) Attack: serangan terhadap perangkat IoT atau organisasi. Serangan ini dapat mencemari perangkat dengan malware.
• Advanced Persistent Threat (APT): serangan siber kompleks dan canggih yang bertujuan untuk mendapatkan akses ke sistem dalam jangka waktu lama. APT memiliki dampak, seperti pencurian data, perolehan akses masuk ke sistem, merusak sistem, maupun spionase.
• Phishing: serangan yang menargetkan pada kelemahan manusia dengan cara mengelabuhi korban. Serangan phishing juga dapat menjadi inisiator untuk serangan-serangan siber yang lain dengan cara seperti pendistribusian malware ke dalam sistem korban melalui e-mail atau tautan URL.
• Distributed Denial of Service (DDoS): serangan siber dengan membuat lalu lintas server berjalan dengan beban berat hingga tidak bisa menampung koneksi dari user lain atau mengalami overload. Sehingga sistem menjadi terlalu sibuk dan crash, akibatnya menjadi tidak dapat melayani atau tidak dapat beroperasi.

(LITBANG KOMPAS)