Indonesia mengalami beberapa kali dugaan serangan siber, termasuk yang menimpa Kementerian Kesehatan (Kemenkes) dan Badan Intelijen Negara (BIN). Namun Badan Siber dan Sandi Negara (BSSN) menyatakan, ada kendala anggaran dan regulasi dalam menghadapi maraknya serangan siber.
BSSN mendapatkan pagu anggaran Rp 554 miliar pada 2022. Nilainya turun jauh dibandingkan tahun ini Rp 1,5 triliun dan tahun lalu Rp 2,2 triliun.
Kepala BSSN Hinsa Siburian mengatakan, turunnya pagu anggaran akan membatasi upaya pembangunan infrastruktur. "Kami memang akan tetap membangun infrastruktur keamanan siber, tapi masih terbatas," katanya dalam Rapat Dengar Pendapat (RDP) Komisi I DPR, Senin (20/9).
Ia mengakui, upaya pengamanan serangan siber terhadap lembaga negara belum optimal. "Kami harus membuat skala prioritas. Tidak bisa semua kami monitor," katanya.
Apalagi, BSSN juga menghadapi kendala regulasi. Pada 2019, BSSN sebenarnya mengusulkan wacana Rancangan Undang-undang Ketahanan dan Keamanan Siber (RUU KKS).
Namun, rancangan aturan itu ditolak. "Kami susah menjelaskannya. Maka (pembahasan) RUU itu tertinggal, dan tidak jadi prioritas," katanya. Padahal, menurutnya BSSN bisa bekerja optimal jika ada regulasi ini.
Pemerintah dan DPR memang menggodok RUU Pelindungan Data Pribadi (PDP). Namun menurut Hinsa, aturan ini berbeda dengan RUU KKS.
RUU Pelindungan Data Pribadi mengatur ranah insfratruktur, aplikasi, dan pusat data. Sedangkan RUU KKS akan memuat teknis pengamanan data di ruang siber. "Ini juga harus diatur," kata Hinsa.
Pembahasan RUU Pelindungan Data Pribadi juga belum rampung. Ini karena ada perbedaan pendapat antara DPR dan pemerintah soal lembaga yang mengawasi.
Di tengah kedua kendala itu, beberapa serangan siber dan kebocoran data terjadi di Indonesia. Pekan lalu, Insikt Group mengungkapkan adanya 10 kementerian dan lembaga pemerintahan di Indonesia, termasuk BIN yang diserang oleh peretas (hacker) asal Cia, Mustang Panda Group.
Serangan tersebut menggunakan private ransomware bernama Thanos. Insikt Group menjelaskan bahwa serangan ini merupakan upaya spionase Tiongkok menghadapi situasi di Laut Cina Selatan.
Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha mengatakan, kabar tersebut simpang-siur. Sebab, tidak jelas lembaga mana saja yang terkena serangan siber, selain BIN. Kemudian, motif spionase belum terbukti.
Namun, menurutnya dugaan serangan hacker tersebut patut diantisipasi oleh lembaga-lembaga di Indonesia. Pemerintah juga perlu melakukan berbagai upaya pencegahan.
"Perlu dilakukan deep vulnerable assessment terhadap sistem yang dimiliki. Selain itu, penetration test secara berkala untuk mengecek kerentanan sistem informasi dan jaringan," kata Pratama kepada Katadata.co.id, pekan lalu (12/9).
Selain itu, menurutnya pemerintah perlu menggunakan teknologi Honeypot, agar menjebak hacker. "Jadi, tidak bisa melakukan serangan ke server yang sebenarnya," kata Pratama.
Data eHAC atau Indonesian Health Alert Card di aplikasi versi lama juga diduga bocor. Peneliti vpnMentor yang digawangi oleh Noam Rotem dan Ran Locar pertama kali melaporkan dugaan ini.
Mereka menemukan data 1,3 juta pengguna eHAC bocor. Mereka menilai, ini terjadi karena eHAC tidak menggunakan protokol privasi yang baik. Alhasil, data sensitif dari 1 juta lebih orang terekspos di open server.
Lalu, ada dugaan kebocoran data Badan Penyelenggara Jaminan Sosial atau BPJS Kesehatan Kesehatan. Data yang bocor berupa Nomor Induk Kependudukan (NIK), nama, alamat, nomor telepon, e-mail dijual di dark web. Sebanyak 20 juta data dilengkapi foto.
Kementerian Komunikasi dan Informatika (Kominfo) mencatat, ada jutaan data yang diduga kuat identik dengan yang ada di BPJS Kesehatan. "Sudah ada satu juta di BPJS yang terkonfirmasi bocor," ujar Menteri Kominfo Johnny G Plate, pada Juni (23/6).
Kominfo pun sudah memblokir beberapa situs yang menyebarkan jutaan data secara gratis itu. "Itu mereka menggunakan aplikasi yang memakai tautan unduh data pribadi," ujar Johnny.