Jebolnya sistem keamanan siber di Indonesia terus berulang. Serangan teraktual adalah peretasan oleh ransomware Brain Cipher terhadap Pusat Data Nasional (PDN) pada 20 Juni 2024 lalu. Sebelumnya, peretasan melalui ransomware terjadi beberapa kali terhadap entitas pemerintah maupun bisnis.
Merujuk pada data Kementerian Komunikasi dan Informatika (Kominfo) per 2021, terdapat 24 kementerian dan 32 lembaga menyimpan datanya di PDN. Imbas dari kebocoran ini juga menyebabkan 210 layanan publik pusat & daerah bermasalah, termasuk layanan imigrasi dan Kartu Indonesia Pintar (KIP) kuliah.
University of Florida mendefinisikan ransomware sebagai perangkat lunak perusak (malware) yang mencegah pengguna mengakses perangkat dan data yang tersimpan di dalamnya. Malware ini akan mengenkripsi data dan meminta tebusan kepada korban agar data dapat kembali diakses dan tidak dijual atau dipublikasikan.
Dari penelusuran Katadata.co.id, ransomware pertama yang terang-terangan menyerang Indonesia adalah “WannaCry” pada 2017. Ketika itu, ransomware mengenkripsi 60 komputer Rumah Sakit Dharmais Jakarta. Untungnya pihak rumah sakit mengaku memiliki cadangan sehingga data perusahaan dan pasien terlindungi.
Pada 2022, Air Asia, Bank Indonesia (BI), dan PGN (Perusahaan Gas Negara) juga menjadi korban dari serangan ransomware. Kala itu Air Asia diserang oleh “Daixin” dan mengenkripsi 5 juta data pegawai dan pengguna. Sementara, 16 komputer BI Bengkulu juga dijebol Conti ransomware, dan Hive ransomware menyerang PGN yang berimbas pada websitenya yang sempat tidak bisa diakses.
Badan Siber dan Sandi Negara (BSSN) mencatat bahwa ada satu juta serangan ransomware di Indonesia sepanjang 2023. Luna Moth melakukan serangan terbanyak dengan frekuensi mencapai 418 ribu kali. LockBit yang juga merupakan varian awal dari Brain Cipher menempati posisi keempat dengan 60,3 ribu serangan.
Pada tahun yang sama, BSI dan OJK juga jadi korban ransomware. BSI diserang oleh LockBit yang menyebabkan galat pada sistem dan bocornya data pengguna.
Ransomware juga tercatat oleh BSSN menjadi insiden siber kedua terbesar yang ditangani BSSN dan mitra Penyelenggara Sistem Elektronik sepanjang 2023. Di bawahnya, ada insiden data breach atau pembocoran data yang menjadi insiden siber terbesar ketiga.
Imbas jebolnya PDN oleh ransomware BrainCipher, pelaku meminta tebusan US$8 juta atau senilai Rp131 miliar pemerintah. Feri Harjulianto, Chief Information Security Officer (CISO) Peris.ai, menilai bahwa data yang dikunci ransomware Brain Cipher sulit untuk didekripsi karena menggunakan military grade encryption.
“Jadi lumayan sulit, tapi kemungkinan bisa hanya saja butuh waktu lama. Jadi perlu ada pengambilan sampel ransomware-nya untuk kemudian dianalisis untuk mendapatkan identitas malware, dan ditemukan cara untuk dekripsi file-file yang terenkripsi tadi,” ujar dia kepada Katadata.co.id pada Jumat, 28 Juni 2024.
Nasib baik, Brain Cipher memberikan kunci dekripsi data secara cuma-cuma kepada pemerintah pada 3 Juli. Pemerintah juga telah mengonfirmasi bahwa kunci dekripsi tersebut bisa digunakan.
Ransomware Tak Hanya Mengenkripsi
Penelitian dari Kroll, sebuah perusahaan penasihat keuangan dan risiko siber, menjelaskan bahwa mekanisme tradisional dari ransomware memang hanya mengunci data. Namun, sejak 2020 setidaknya 50% serangan ransomware mencuri data sebelum melakukan enkripsi pada data dalam perangkat.
Jika merujuk pada laporan BSSN dalam dua tahun terakhir, darknet exposure atau publikasi data di darkweb terus mengalami kenaikan. Pada 2022-2023, pemerintahan menjadi sektor dengan darknet exposure paling banyak.
Katadata.co.id menelusuri situs forum jual beli data dan mengoleksi data yang dijual sejak 20-25 Juni pukul 14.37 WIB. Ditemukan bahwa ada beberapa data kementerian/ lembaga, perusahaan, dan belasan ribu data pribadi yang bocor dan ditampilkan sebagai sampel penjualan data.
Data yang diperjualbelikan mulai dari data pribadi anggota DPR, anggota Indonesia Automatic Fingerprint Identification System (Inafis), Badan Intelijen Strategis (BAIS) TNI, pekerja di Satudata.go.id, guru taman kanak-kanak Yogyakarta, karyawan Astra Indonesia, Karyawan PT Berca Kawan Sejati, hingga 15 ribu KTP, SIM, dan paspor penduduk Indonesia.
Penjualan data BAIS TNI dilakukan oleh pengguna dengan username MoonzHaxor. Kebocoran data BAIS TNI tak hanya pada data pribadi anggota, tetapi juga dokumen tugas tertanggal 1 Desember 2020 yang bersifat rahasia. Dalam tangkapan layar sampel yang diberikan penjual, terlihat bahwa data BAIS ini berukuran 33,7 gigabyte yang berisi data tahun 2020 - 2021.
Penjualan data Inafis juga dilakukan oleh pengguna yang sama. Kebocorannya berisi konfigurasi sistem Inafis, wajah anggota beserta identitas, dan data sidik jari telunjuk serta jempol kanan dan kiri beserta identitas pemiliknya. Sementara data pribadi anggota kepolisian dan DPR yang diunggah berupa informasi pribadi lengkap dengan jabatan strukturalnya.
Dua tahun lalu, Indonesia juga sempat mengalami kebocoran data besar yang juga menyerang kementerian/ lembaga pemerintah hingga berbagai perusahaan swasta. Threat actor dalam kasus kali ini didominasi oleh hacker dengan username Bjorka.
Per 5 September 2022, kasus kebocoran data pada dua tahun silam ini menyerang jutaan data pribadi masyarakat. Data pribadi dari tes antigen Kementerian Kesehatan, identitas pribadi anggota kepolisian dan pegawai Kemenkumham, data peserta BPJS, serta berbagai data kementerian/lembaga juga turut bocor dan dilego di BreachForums.
Selain sektor pemerintahan, kebocoran data pada 2022 ini juga terjadi di sektor pendidikan tinggi dan menengah, berbagai perusahaan seperti Telkom dan Tokopedia, hingga situs judi online.
Potensi Kerugian Jebolnya PDN
Riset dari Cybersecurity Ventures, sebuah lembaga riset kejahatan dan keamanan siber asal negeri Paman Sam, menemukan bahwa kerugian secara global dari serangan ransomware adalah US$5 miliar pada 2017. Pada 2021, kerugiannya ditaksir mencapai US$20 miliar, bahkan diperkirakan akan mencapai US$265 miliar pada 2031.
Jika berkaca kepada kejadian serangan ransomware ke PDNS 2, periset dari Center of Economic and Law Studies (CELIOS) Nailul Huda memetakan bahwa setidaknya ada dua jenis kerugian biaya kala lumpuhnya PDN, yakni kerugian karena biaya inefisiensi dan kerugian biaya ekonomi.
Huda menjelaskan bahwa ada potensi kerugian biaya inefisiensi adalah hampir Rp1 triliun per hari. Hal ini termasuk dengan eksekusi perpindahan data ke Amazon Web Service (AWS), potensi kehilangan data, dan inefisiensi layanan.
“Kerugian akibat macetnya pelayanan imigrasi dan KIP kuliah ada dalam hitungan ini,” kata dia kepada Katadata pada 5 Juli 2024 lalu.
Untuk kerugian secara ekonomi, menurut Huda, besarannya bisa mencapai Rp6,3 triliun untuk empat hari pertama. “Perhitungan ini termasuk dengan macetnya bisnis seperti biro travel yang harus tertunda,” ujar dia.
Sementara itu, jika merujuk pada hasil kalkulasi Gartner (2014), potensi kerugian untuk downtime jaringan dalam sektor bisnis adalah US$5.600 per menit. Jumlah tersebut setara dengan US$300.000 per jam.
Karena jumlah instansi yang menyimpan data di PDN terbilang banyak, Katadata.co.id menanyakan potensi terburuk atas data-data yang dienkripsi oleh geng BrainCipher kepada Feri. Dari hasil analisis Peris.ai, ditemukan bahwa mekanisme kerja dari BrainCipher ini berpotensi menyebabkan kebocoran data yang lebih besar. Apalagi, ada 210 lembaga yang menyimpan data di PDN.
“Tipikal dari LockBit dan turunannya termasuk BrainCipher ini adalah akan capture semua data lalu dilempar ke server mereka. Setelah itu baru di-ransom. Jadi kemungkinan setelah ini ada banyak data breached yang disebar. Kemungkinan terburuknya itu,” ujar dia.
Editor: Aria W. Yudhistira