Pemerintah membentuk satuan tugas perlindungan data menyusul dugaan pembobolan data pribadi sejumlah pejabat negara, termasuk data pribadi menteri dan ketua DPR.
“Kita membuat satgas untuk lebih berhati-hati,” kata Menko Polhukam, Mahfud MD dalam keterangan kepada wartawan, Rabu (14/09).
Namun, Menteri Mahfud MD tidak menjelaskan lebih rinci mengenai tugas dan peran dari satgas tersebut. Ia hanya menyebutkan maraknya pembobolan data belakangan ini sebagai pengingat “agar kita memang membangun sistem yang lebih canggih.”
Selain itu, ia juga memastikan Undang Undang Perlindungan Data Pribadi (PDP) akan disahkan bulan depan melalui rapat paripurna DPR.
“Itu memang juga memuat arahan [dari UU PDP] agar ada satu tim, yang bekerja untuk keamanan siber,” tambah Mahfud MD.
Mahfud MD juga merespons klaim pembobolan data yang dilakukan akun anonim Bjorka. Kata dia, “belum ada rahasia negara yang bocor.”
Data yang dibocorkan Bjorka selama ini “cuma data-data umum yang sifatnya, perihal surat ini perihal surat itu”.
“Motifnya juga ternyata gado-gado, motif politik, motif ekonomi, motif jual-beli, dan sebagainya. Sehingga, juga, sebenarnya motif-motif kayak gitu sebenarnya tidak ada yang terlalu membahayakan,” tambah Mahfud MD.
Pemerintah mengklaim telah mengidentifikasi identitas dan keberadaan Bjorka.
“Gambaran-gambaran pelakunya, sudah teridentifikasi baik oleh BIN dan Polri, tetapi belum bisa diumumkan. Gambaran-gambaran siapa dan di mananya itu, kita sudah punya alat untuk melacak itu semua,” lanjut Mahfud MD.
“Bjorka ini sebetulnya tidak punya keahlian, atau membobol yang sulit-sulit,” katanya.
Di sisi lain, Menteri Komunikasi dan Informatika, Johnny G. Plate mengingatkan kepada pihak swasta untuk memastikan keamanan digitalnya.
“Karenanya pada penyelenggara sistem elektronik privat, diminta agar betul-betul memastikan keamanan-keamanan data sistemnya masing-masing, karena itu adalah kewajibannya,” kata Menteri Johnny.
Sebelumnya, peretas dengan identitas Bjorka mengklaim meretas dokumen milik Presiden Joko Widodo pada periode 2019 sampai 2021. Karena itu, pemerintah Indonesia didesak segera membentuk tim gugus tugas untuk menyelidiki maraknya dugaan kebocoran data oleh peretas.
Sebab dari 10 kasus dugaan peretasan yang terjadi sejak awal tahun 2022 sampai sekarang, pemerintah hanya mengeluarkan pernyataan bantahan tanpa ada analisis dan penjelasan yang komprehensif, kata pakar digital forensik Ruby Alamsyah.
Anggota DPR dari fraksi Golkar, Dave Laksono, sependapat. Ia menilai Presiden Jokowi sudah harus bertindak tegas atas kasus kebocoran data berulang ini.
Adapun Badan Intelijen Negara mengklaim “seluruh surat maupun dokumen lembaganya aman”. Ini karena surat dengan kategori rahasia terenkripsi secara berlapis dan menggunakan kripto atau kode sandi yang selalu diubah.
Dalam kasus dugaan peretasan dokumen yang diklaim milik Presiden Jokowi pada periode 2019 sampai 2021, peretas dengan identitas Bjorka mengaku telah mengunggah 679.180 dokumen dengan kondisi terkompres.
Di situs breached.to, Bjorka melampirkan beberapa sampel dokumen berjudul “Surat rahasia kepada Presiden dalam amplop tertutup” atau “Gladi Bersih dan Pelaksanaan Upacara Bendera pada Peringatan HUT ke-74 Proklamasi Kemerdekaan RI Tahun 2019“.
Dalam grup percakapan Telegram, Bjorka mengatakan data yang ia unggah akan berguna untuk jurnalis dan organisasi masyarakat yang ingin mengetahui dengan siapa Presiden Jokowi berinteraksi pada waktu tertentu.
Pakar digital forensik, Ruby Alamsyah, menyebut apa yang diunggah si peretas di situs tersebut masih sebatas tabel data berupa pencatatan administrasi surat-menyurat. Namun tidak terdapat isi surat atau dokumen tersebut.
“Ini cuma pencatatan atau kebutuhan administrasi di kantor bahwa telah keluar surat dokumen nomor sekian, oleh siapa, dan keterapan apa,” imbuh Ruby Alamsyah kepada BBC News Indonesia, Minggu (11/9).
Baginya kalau si peretas hanya memiliki data seperti itu maka tidak perlu ada yang dikhawatirkan. Kecuali jika dia merilis dokumen atau surat-surat yang dimaksud, maka situasinya bisa sangat membahayakan.
Karenanya, menurut Ruby, pemerintah sudah saatnya melakukan investigasi menyeluruh secara ilmiah menggunakan digital forensik atas peretasan beruntun yang terjadi belakangan ini.
Pengamatannya sejak awal tahun 2022 sampai sekarang setidaknya sudah terjadi 10 kasus dugaan kebocoran data.
Misalnya pada Januari 2022, grup ransomware Conti diduga mencuri 228 GB data dari Bank Indonesia. Lalu pada bulan yang sama, terdapat dugaan kebocoran data catatan medis pasien di sejumlah rumah sakit di Indonesia. Data berukuran 720 GB itu dijual di forum online Raidforums.
Kemudian pada Agustus 2022, 17 juta data pelanggan PLN bocor dan dijual di situs breached.to dan baru-baru ini 1,3 miliar data pendaftaran atau resgistrasi kartu SIM di Indonesia diduga bocor dan dijual di forum yang sama.
Peretas Bjorka mengklaim memiliki data yang meliputi nomor induk kependudukan, nomor telepon, nama operator seluler, dan tanggal registrasi.
“Sangat diperlukan mitigasi risiko yang benar-benar proper oleh pemerintah dengan melibatkan para pemangku kepentingan di bidang sekuriti siber seperti Komenterian Komunikasi Informatika; Badan Siber dan Sandi Negara; juga Polri,” kata Ruby Alamsyah.
Tiga lembaga tersebut, sambungnya, nantinya bisa menganalisa sehingga memperoleh kesimpulan apa yang sedang terjadi, bagaimana kebobolan itu berlangsung, peretas memakai modus seperti apa, dan siapa pelakunya.
Dengan begitu bisa diketahui dengan jelas apakah peretasan ini hal yang biasa atau luar biasa dan dilakoni oleh kelompok terorganisir atau pihak perorangan.
Langkah seperti ini, kata Ruby, lebih diperlukan ketimbang komentar pejabat pemerintah yang “salah dan sedikit bodoh”. Ia mencontohkan perkataan Dirjen Aplikasi Informatika di Kominfo, Semuel Abrijani, yang meminta para peretas agar tidak menyerang karena itu tindakan ilegal.
Pernyataan itu kemudian dibalas oleh peretas Bjorka di situs breached.to dengan menuliskan, “berhenti menjadi bodoh”.
“Nggak perlu lah komentar-komentar tidak penting, karena komentar yang salah itu diketawain banyak orang, akhirnya hacker dapat panggung.”
“Para peretas seperti Bjorka itu biasanya nggak dapat panggung sebesar ini tapi malah didukung kayak Robin Hood.”
Ruby juga menjelaskan, situs maupun akun medsos pemerintah pusat maupun daerah sangat-sangat gampang dibobol.
Contohnya adalah akun TNI di Twitter yang kini dipenuhi gambar penguin.
Sebabnya pertama, karena instansi-instansi tersebut tidak memiliki panduan, sumber daya manusia, dan teknologi yang kualitasnya sama di bidang keamanan siber. Sehingga sangat banyak “kebolongan yang diketahui secara mudah”.
“Bjorka itu sebetulnya bukan melakukan sesuatu yang luar biasa. Itu bisa dilakukan banyak peretas ataupun konsultan keamanan siber di Indonesia,” ucap Ruby Alamsyah.
Kelemahan kedua, anggaran terkait keamanan siber yang dimiliki instansi pemerintah salah arah karena tidak mendapatkan arahan yang optimal dari Kominfo dan BSSN.
Presiden harus bersikap
Sejalan dengan Ruby, anggota DPR dari fraksi Golkar, Dave Laksono, menilai Presiden Jokowi sudah harus bertindak tegas atas kasus dugaan kebocoran data berulang ini.
Hal itu, katanya, untuk menentukan siapa yang seharusnya bertanggung jawab atas persoalan tersebut.
Sebab selama ini Kementerian Komunikasi dan Informatika merasa tidak memiliki bertanggung jawab atas keamanan siber di Indonesia, dengan alasan serangan siber di bawah kewenangan Badan Siber dan Sandi Negara (BSSN).
Padahal, menurut Dave, kalau merujuk pada komposisi dan besaran anggaran maka keamanan siber mestinya berada di tangan Kominfo.
“BSSN tahun depan baru dapat anggaran Rp680 miliar, sementara Kominfo tahun ini saja Rp20 triliun. Kalau keleluasaan perekrutan, peningkatan keamanan siber harusnya lebih ke Kominfo. Kami harapkan ada sinergi yang jelas, agar tidak saling tuduh menuduh,” imbuh Dave Laksono kepada BBC News Indonesia.
Dia juga menambahkan, Rancangan Undang-Undang Perlindungan Data Pribadi akan disahkan pada Rapat Paripurna, Selasa (13/9) mendatang. Di dalamnya, akan tercantum sanksi pidana bagi operator yang gagal melindungi data yang dimiliki.
Apa kata Badan Intelijen Negara?
Juru bicara BIN, Wawan Purwanto, membantah ada peretasan. Dia menjamin kalau seluruh surat maupun dokumen lembaganya “aman terkendali”.
Dia juga mengatakan, surat dengan kategori rahasia terenkripsi secara berlapis dan menggunakan kripto atau kode sandi yang selalu diubah. Kode sandi itu pun, katanya, hanya diketahui oleh orang yang menerima dokumen tersebut.
“Setelah kami telisik itu (kebocoran data BIN) hoaks,” ujar Wawan Purwanto kepada BBC News Indonesia, Minggu (11/9).
Namun demikian dia tidak menjawab dengan tegas apakah BIN akan melakukan penyelidikan atas data yang diunggah di situs breached.to tersebut.
“Kalau investigasi ada tugas tertutup. Kami tidak bisa menyampaikan itu ke publik karena langkah yang rahasia.”
