Menguji Kedigdayaan Tim Darurat Bjorka dan Para Peretas Data

Ilustrator: Lambok E. Martin Hutabarat | Katadata
Penulis: Amelia Yesidora
Editor: Rezza Aji Pratama
17/9/2022, 07.00 WIB
  • Presiden Joko Widodo membentuk tim khusus untuk menangani peretasan oleh akun anonim Bjorka.
  • Pakar keamanan siber menyebut sistem keamanan siber di Indonesia masih sangat rentan, dianggap tidak siap menghadapi serangan peretas. 
  • RUU Perlindungan Data Pribadi (PDP) yang sedang dibahas dinilai belum cukup untuk mengatasi kasus-kasus pembobolan data.
     

Peretas anonim Bjorka bikin geger Istana Negara beberapa hari terakhir. Ia mengklaim telah membobol 26,7 juta data pelanggan IndiHome dan 1,3 miliar data sim card dari sistem Kementerian Komunikasi dan Informatika (Kominfo). Selain itu, ia meretas 105 juta data pemilih dari Komisi Pemilihan Umum (KPU).

Aksi Bjorka tidak berhenti sampai di situ. Ia membocorkan 679.180 dokumen kepresidenan pada Jumat (9/9). Data ini termasuk surat-surat dari Badan Intelijen Negara (BIN) dengan label rahasia.

Sampai saat ini, pihak Istana menyebutkan tidak ada data yang diretas oleh Bjorka. Namun, Presiden Joko Widodo tampaknya mulai gerah.

Ia membentuk tim khusus untuk menangani kasus ini. Empat lembaga negara secara khusus ditugaskan untuk memburu Bjorka; Kominfo, Badan Sandi dan Siber Negara (BSSN), Badan Intelijen Negara (BIN) serta Polri.

Indonesia sebetulnya sudah memiliki tim khusus untuk menangani kasus peretasan semacam ini. Badan ini diberi nama tim respons Indonesia Security Incident Response Team on Internet (id-SIRTII/CC) yang berada di bawah koordinasi Kominfo dan BSSN.

Kepala BSSN Hinsa Siburian menjelaskan, tugas dari tim darurat tersebut tidak jauh dari tugas id-SIRTII/CC. "Mencegah dan proteksi jika terjadi peretasan," kata Hinsa dalam konferensi pers di Kantor BSSN, Depok, Selasa (13/9).

Hinsa mengatakan nantinya tim darurat akan memeriksa semua sistem elektronik di lembaga-lembaga negara. Tim bertugas menemukan celah kerentanan serangan siber di sistem tersebut. Namun kewenangan untuk memperkuat sistem tetap ada di lembaga-lembaga terkait.

Di sisi lain, Polri bergerak cepat dengan menangkap pemuda berinisial MAH di Madiun. Remaja 21 tahun ini diduga sebagai sosok di balik Bjorka. Namun, tak lama setelah MAH ditangkap, Bjorka justru kembali muncul di situs Breached.to.

Ia menyebut Pemerintah Indonesia salah mengidentifikasi dirinya. “Anak ini sekarang ditangkap dan diinterogasi oleh Pemerintah Indonesia,” kata Bjorka.

Pembentukan tim darurat ini memang terkesan reaktif. Namun menurut pakar keamanan siber Alfons Tanujaya, keputusan Presiden Joko Widodo ini sudah tepat. Ia pun menyarankan agar anggota tim darurat ini berasal dari generasi muda dengan talenta yang baik dan fasih mengelola data.

Sementara itu, Chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center) Pratama Prasadha menyarankan agar pemerintah menyediakan teknologi yang tepat serta anggaran yang memadai, agar tim darurat ini bisa melakukan evaluasi atas sistem data di Indonesia. 

“Kalau ternyata setelah assessment ada sistem yang parah keterlaluan, ganti saja pejabat yang berkepentingan,” katanya, kepada Katadata.co.id.

Pratama menuturkan setelah upaya evaluasi berhasil dilakukan dengan rutin, institusi negara bisa bertindak ofensif pada peretas. Dengan sistem keamanan yang kuat, akan mudah untuk melacak peretas. Jika pembobolan dilakukan pihak luar negeri, pemerintah harus menjalin kerja sama dengan negara lain atau Interpol. 

BSSN TANGGAPI HACKER BJORKA (ANTARA FOTO/Asprilla Dwi Adha/aww.)

Celah Sistem Penangkal Peretas

Bukan cuma teka-teki soal sosok asli Bjorka yang masih menjadi misteri. Soal bagaimana ia bisa meretas akun lembaga-lembaga negara pun jadi pertanyaan besar. Pratama Prasadha mengatakan untuk mengetahui di mana celah sistem yang diretas, pemerintah harus melakukan digital forensik. 

“Masalahnya, kebocoran data ini enggak diakui oleh pejabat yang berwenang. Bagaimana bisa tahu metode apa yang digunakan?” katanya.

Padahal menurut Pratama, hasil uji validitas data yang dibocorkan Bjorka menunjukkan hasilnya valid. Artinya, data berupa KTP dan profil penduduk memang betul-betul diretas oleh Bjorka. “Kecuali data dokumen Presiden, karena belum ada contoh datanya,” kata Pratama. 

Sementara itu, Alfons menuturkan ia belum mengetahui sistem mana yang diretas oleh Bjorka sehingga belum tahu persis bagaimana peretas itu melakukan aksinya.  “Tapi yang jelas, dalam peretasan data pasti ada pengelolaan data yang tidak baik,” kata Alfons pada Katadata, Selasa (13/9).

Menurutnya, bisa jadi ada celah keamanan yang berada di dalam server data pemerintah, sehingga peretas bisa menembus server dan menyalin data tersebut. Solusinya sebetulnya sederhana. Alfons menyebut administrator server harus menerapkan pengamanan yang baik, misalnya dengan rajin memperbarui patch dalam sistem.

Kendati belum mengetahui secara pasti bagaimana Bjorka beraksi, Pratama menyebut dalam praktiknya yang paling umum, peretasan dilakukan dengan beberapa tahap. Dalam dunia keamanan siber, metode ini dikenal dengan nama Cyber Kill Chain. 

Pertama, reconnaissance alias pengecekan target potensial serta kelemahan sistem dari target tersebut. Kedua, weaponization atau tahap penentuan senjata siber mana yang akan digunakan. Senjata ini bisa berupa malware yang sudah ada sebelumnya atau bahkan malware baru yang dikustomisasi.

Tahap ketiga yakni delivery. Ini adalah proses pengiriman senjata siber ke dalam sistem. Salah satu metode paling umum yakni dengan menggunakan e-mail phising yang menarik penerima untuk mengakses tautan berisi malware. Tahap selanjutnya adalah eksploitasi, termasuk proses instalasi malware untuk mengambil alih sistem dan mengekstraksi data-data penting.

Setelah peretas memiliki akses ke dalam sistem, ia bisa memberikan perintah dan memiliki kontrol penuh terhadap senjata tersebut. Selanjutnya, ketika peretas sudah memiliki akses penuh, biasanya peretas akan mengubah tampilan layar landingpage sebuah laman, menyerang dengan DDoS hingga website tertentu tidak bisa diakses, atau mencuri data vital menggunakan malware.

“Sistem di Indonesia bahkan sudah lemah sejak tahap pertama,” kata Pratama. 

Menurutnya, banyak sistem di Indonesia yang tidak bisa mendeteksi anomali dalam sistem yang ada. Salah satu penyebabnya adalah tidak ada anti-virus dan firewall yang dipasang. Ia pun menyarankan agar instansi negara memasang  cyber threat intelligent. Sistem ini akan melakukan pertahanan secara aktif dengan mengkoordinasikan firewall dan mengintegrasikan sistem data, serta melakukan pencegahan dini. 

Sementara itu menurut Alfons, pemerintah juga harus memikirkan soal pengelola data di Indonesia. Menurutnya, pemerintah tidak melihat perlindungan data ini sebagai suatu hal yang penting lantaran tidak ada kompetisi di layanan yang mereka berikan. Ia mencontohkan, PLN sebagai satu-satunya penyedia layanan listrik dan Pertamina yang memiliki jaringan penyaluran bahan bakar minyak terluas. Maka dari itu, masyarakat mau tidak mau harus memberikan datanya untuk menerima layanan tersebut.

“Lembaga pemerintah tidak merasa perlu memperbaiki keamanannya, toh layanan mereka tetap dipakai dan mereka tetap untung,” ujar Alfons pada Katadata, Selasa (13/9).

Ia lalu membandingkan keadaan ini dengan kasus kebocoran data pada layanan e-commerce Tokopedia. Setelah kejadian itu, Tokopedia melakukan evaluasi, mengeluarkan biaya, dan memperkuat perlindungan data penggunanya. Menurutnya, perubahan ini bisa terjadi karena sengitnya kompetisi dengan e-commerce lainnya. 

“Kalau mau sistem keamanan yang canggih, mudah, tinggal dibeli. Kan cuma hardware dan software. Yang tidak bisa dibeli adalah kedisiplinan dan kesadaran pengelola data,” tegasnya.

Menanti Keampuhan UU PDP Tangkal Peretas

Kebocoran data yang terus berulang ini turut memantik pembahasan RUU Perlindungan Data Pribadi (PDP) yang sudah diinisiasi sejak 2016 lalu. Setelah lebih dari enam tahun, Kementerian Komunikasi dan Informatika (Kominfo) serta DPR menargetkan beleid ini terbit sebelum G20 Summit di Bali, November mendatang.

Berdasarkan draf yang diperoleh Katadata, regulasi ini terdiri dari 16 bab dan 76 pasal. Undang-undang ini mengatur mulai dari jenis data pribadi, lembaga pengawasan perlindungan data pribadi, hingga sanksi yang dijatuhkan bagi pelanggar ketentuan tersebut. Meski sudah mengatur unsur perlindungan data, ada beberapa pembahasan yang menjadi sorotan ahli hukum.

Head of Economic Opportunities Research dari Center for Indonesian Policy Studies (CIPS), Trissia Wijaya berargumen RUU PDP masih belum tentu efektif dalam membendung kebocoran data, sebab sifatnya masih sangat temporer. Ia menambahkan, aturan ini cenderung bertindak sebagai payung hukum untuk peraturan turunan yang nantinya lebih esensial mengatur pelaku bisnis hingga masyarakat.

Argumen yang sama juga diutarakan dosen hukum Universitas Bhayangkara, Awaludin Marwan. Ia khawatir beleid ini akan bernasib sama dengan cyber law pertama Indonesia, UU Nomor 11 Tahun 2008 yang kemudian diganti dengan UU Nomor 19 Tahun 2016. Menurutnya, Undang-undang ini dapat menjadi ‘pasal karet’ lantaran mudahnya celah hukuman yang bisa dikenakan kepada seseorang atas aturan tersebut.

Selain itu, ia menyebut undang-undang ini baru sekali saja digunakan, itu pun hanya satu pasal yakni pasal 26. Dua tahun lalu, UU ini digunakan Ketua Komunitas Konsumen Indonesia David Tobing untuk menggugat Tokopedia dan Menteri Komunikasi dan Informatika  terkait dugaan kebocoran data pribadi masyarakat. Gugatan ini tidak dikabulkan oleh Pengadilan Negeri Jakarta Pusat.

“Itu menjadi referensi bagi kita bahwa banyak kasus kebocoran yang terjadi tapi tidak ada tindakan yang diberikan untuk masyarakat. Kita meragukan enforcement dan efektivitasnya,” kata Awaludin dalam sambungan telepon, Kamis (15/9).

Poin berikutnya adalah sanksi administratif yang diatur dalam pasal 57 RUU PDP ini. Ada empat sanksi administratif yang ditetapkan, yakni peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, serta denda administratif. Khusus denda administratif, undang-undang ini menetapkan besarannya adalah 2% dari pendapatan tahunan institusi yang melanggar.

Infografik_Rawannya perlindungan data pribadi di Indonesia (Katadata/ Nurfathi) 

Bila terjadi kegagalan perlindungan data pribadi, pengendali data wajib memberitahu secara tertulis kepada subjek data pribadi dan lembaga terkait paling lambat 3 x 24 jam. Adapun informasi yang harus dilampirkan adalah data pribadi yang terungkap, kapan dan bagaimana data tersebut terungkap, serta upaya penanganan dan pemulihan yang akan dilakukan pengendali data pribadi.

Trissia menilai sanksi ini perlu dikaji ulang karena tidak mempertimbangkan compliance cost dari institusi terkait. Menurutnya, pengendali data pribadi lebih memerlukan mekanisme mitigasi dan preventif ketimbang sanksi. Ia pun membandingkan waktu yang diberikan pemerintah Indonesia untuk verifikasi penghapusan data terlalu singkat bila dibandingkan dengan negara lain.

“Di Singapura, penghapusan data guna verifikasi diberi waktu 30 hari, sama dengan Eropa. Sedangkan di Indonesia itu cuma 3 x 24 jam. Perusahaan besar di Indonesia sekalipun merasakan 3 x 24 jam itu mustahil karena perlu waktu untuk verifikasi dan keperluan teknis lainnya,” ujar Trissia pada Katadata, Kamis (15/9).