Indonesia Menyapa, Jakarta — Peretasan Pusat Data Nasional Sementara (PDNS) yang mengakibatkan tersanderanya data berbagai instansi pemerintah Indonesia merupakan peretasan paling parah dari sekian banyak pemberitaan tentang kebocoran data dan peretasan sistem di sektor pemerintah. Publik lagi-lagi dipaksa maklum dengan semua insiden siber yang terjadi karena kelalaian pemerintah dalam menjaga data di sistem yang diselenggarakan oleh pemerintah.
Lemahnya keamanan siber pada sistem di sektor pemerintah ditunjukkan dengan berbagai berita insiden kebocoran data maupun jual beli data di situs dark web. Menkominfo, Budi Arie dalam konferensi pers 24 Mei 2024 menyebutkan ada 22.714 halaman situs pemerintah yang telah disusupi konten judi online pada 2023 – 2024. Hal ini menunjukkan bahwa peretas yang berafiliasi dengan jaringan judi online telah memanfaatkan kelemahan sistem di sektor pemerintahan.
Bisa jadi, peretasan PDNS dan penyanderaan data saat ini merupakan pembalasan atas perampasan rekening yang dilakukan pemerintah dalam perang terhadap jaringan judi online. Tak kalah menarik adalah jual beli data milik instansi pemerintah di dark web. Data BRI Life, BPJS, KPU, BSI, Kemenhan, Dukcapil, dan banyak lagi pernah ditawarkan di dark web. Terbaru pada Juni 2024, data INAFIS POLRI dan BAIS TNI juga dijual di dark web. POLRI telah mengakui bahwa data yang bocor merupakan data INAFIS POLRI yang lama, sementara BAIS TNI masih melakukan penyelidikan terhadap kebocoran data yang mungkin terjadi di sistem mereka.
Tidak heran jika publik kembali mempertanyakan kinerja pemerintah dalam mengamankan sistem elektronik dan data di dalamnya. Padahal upaya pemerintah untuk menjaga ketahanan dan keamanan siber telah lama diupayakan baik melalui regulasi maupun pembentukan lembaga siber yaitu Badan Siber dan Sandi Negara (BSSN).
Regulasi Keamanan Siber Tidak Menjamin Keamanan Data
Laporan National Cyber Security Index (NCSI) menyebutkan, Indonesia berhasil menempati peringkat ke-5 dalam indeks keamanan siber di Asia Tenggara pada 2023. Skor indeks keamanan siber Indonesia mencapai 63,64 poin pada 2023, meningkat jauh jika dibandingkan dengan skor indeks keamanan siber pada 2022 yang hanya mendapatkan 38,96 poin dari 100 poin.
Peningkatan skor indeks keamanan siber di Indonesia pada 2023 merupakan hasil kerja keras BSSN dalam mendorong pembentukan ratusan Tim Tanggap Insiden Siber (Computer Security Incident Response Team atau CSIRT) di berbagai sektor sesuai dengan Peraturan Presiden Nomor 28 Tahun 2021 tentang Badan Siber dan Sandi Negara dan Peraturan BSSN nomor 6 Tahun 2021 tentang Organisasi dan Tata Kerja BSSN.
Meski saat ini tidak ada undang-undang khusus yang mengatur tentang keamanan informasi, namun kerangka regulasi keamanan data telah ada di berbagai undang-undang dalam berbagai sektor, seperti UU Telekomunikasi, UU ITE, UU Penyiaran, UU Keterbukaan Informasi Publik, KUHP, UU Pornografi, UU Hak Cipta, UU Perlindungan Konsumen, dan yang terbaru UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).
Kewajiban penyelenggara sistem elektronik menjaga keamanan sistem elektronik dan datanya di sektor pemerintahan juga telah diatur dalam Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE) dan Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Upaya pemerintah dalam menerbitkan regulasi terkait keamanan sistem dan transaksi elektronik sejak puluhan tahun lalu nyatanya belum menjadi solusi yang efektif untuk mengurangi kebocoran data dan kelemahan berbagai sistem elektronik di sektor pemerintahan. Meski nantinya akan ada undang-undang khusus terkait keamanan informasi yang terpadu, belum tentu juga menjamin keamanan data dan sistem yang dikelola oleh pemerintah.
Integritas SDM Penting, Selain Kompetensi
Keamanan sistem dan data merupakan masalah yang penuh kompleksitas, seringkali sulit diatasi jika hanya mengandalkan regulasi semata. Jika menggunakan kerangka PPT (People, Process, Technology) yang masih relevan sampai sekarang, keamanan data akan melibatkan tiga pilar yaitu orang, proses, dan teknologi.
Orang atau sumber daya manusia (SDM) menjadi faktor paling utama dalam menjaga keamanan data karena menjadi pihak yang paling lemah. Sekuat apa pun regulasi, konsep pengelolaan, strategi dan bahkan teknologi yang digunakan untuk mengamankan data, jika sumber daya manusianya tidak patuh pada regulasi atau tidak paham pada penggunaan teknologinya, maka semua akan sia-sia.
Banyak kasus peretasan dan kebocoran data diduga terjadi karena kelalaian atau juga keterlibatan orang dalam (ordal). Seperti halnya kelompok peretas LockBit yang terkenal sangat aktif merekrut ordal dan orang bertalenta di forum peretas untuk melakukan berbagai operasi pemerasan melalui ransomware.
Saat ini sudah banyak orang berkompeten yang ditempatkan untuk membangun dan mengelola sistem elektronik di berbagai instansi pemerintah, baik pengembang swasta yang menjadi pemenang proyek maupun pegawai pemerintah yang berada di unit/departemen khusus pengelola sistem dan data.
Orang berkompeten artinya orang yang memiliki pengetahuan dan keterampilan yang relevan dengan pekerjaannya. Namun perlu diingat bahwa orang yang berkompeten, belum tentu adalah orang yang berintegritas, yaitu orang yang bertindak sesuai dengan nilai moral dan etika.
Pemerintah telah giat menerbitkan dan menjalankan regulasi terkait keamanan siber, begitu pula BSSN yang sering melakukan berbagai kegiatan untuk meningkatkan kompetensi keamanan siber di lingkungan instansi pemerintahan. Namun, peretasan dan kebocoran data di sektor pemerintah masih saja terus terjadi.
Bisa jadi, masalahnya bukan pada regulasi dan kompetensi sumber daya manusia, namun masalahnya ada pada integritas para penjaga data. Siapakah para penjaga data? Semua pihak yang terlibat dalam pengembangan serta pengelolaan sistem termasuk data di dalamnya. Mereka seharusnya memiliki tanggung jawab moral menjaga sistem dan data yang telah dipercayakan kepada mereka.
Sudah saatnya pemerintah mulai menyusun tata kelola dalam memilih para penjaga data, tidak hanya dari kompetensi semata namun memperhatikan integritas para penjaga data. Pemerintah perlu melakukan proses seleksi yang lebih ketat untuk para calon penjaga data baik melalui proses asesmen psikologi, maupun melalui penelusuran rekam jejak.
Orang yang berintegritas sudah pasti mematuhi regulasi yang ada, dapat dipercaya, tidak mudah tergoda, memiliki tanggung jawab dan bertindak konsisten. Semua perilaku itu sangat penting terutama dalam mematuhi standar perilaku dan regulasi terkait keamanan informasi baik di level nasional maupun internasional.
Tidak akan ada lagi cerita penjaga data yang menjual data setelah proyek bersama pemerintah berakhir; cerita penjaga data yang membuka situs terlarang di server pemerintah sehingga menimbulkan celah keamanan; cerita penjaga data yang mengatakan sistem sudah aman padahal malas melakukan pembaharuan dan konfigurasi; cerita penjaga data yang sengaja menanamkan backdoor di situs pemerintah karena berafiliasi dengan peretas; atau cerita penjaga data yang mengabaikan laporan dari bug hunter. Semua cerita itu hanya menjadi cerita dalam film, jika saja para penjaga data kita selain memiliki kompetensi juga berintegritas.
Oktavianus Ken M Ketua IPKINDONESIA-CSIRT