Catatan Serangan Siber Selama 2022 yang Potensi Terulang di 2023

tirto.id - Communication & Information System Security Research Center (Cissrec) menyorot tiga hal potensi serangan siber di Indonesia pada 2023, yakni Advanced Persistent Threat (APT), ransomware, dan supply chain attack.

Ketua Cissrec, Pratama Persadha menyatakan, bentuk serangan APT seringkali adalah bentuk serangan state actor seperti serangan APT-29 dari Rusia yang dituduhkan Amerika Serikat dan sekutu.

“Perang siber masih berlangsung dan mungkin semakin besar dengan kesepakatan bantuan serta pembelian senjata antara Ukraina dan Amerika Serikat. Tentu perang konvensional saat ini selalu disertai dengan perang siber yang sebenarnya juga sudah dan sedang berlangsung saat ini,” kata dia, Rabu, 28 Desember 2022.

Kemudian ransomware dan malware juga masih menjadi momok masyarakat global, lebih dari 30 persen bentuk serangan siber datang dari dua hal ini. Indonesia bahkan pernah menjadi korban dengan motif politik dalam kasus surel diplomat Kementerian Luar Negeri kepada pejabat Australia.

Surel diplomat Kementerian Luar Negeri telah diretas oleh peretas asal China, fail surel yang dikirim ke pejabat Australia mengandung malware Bodi Arya. Peristiwa tersebut menjadi bukti negara ini masih jauh dari ideal soal pengamanan siber. Sistem cegah dini harus terus ditingkatkan sehingga kemampuan mendeteksi dan mitigasi serangan bisa lebih baik lagi.

Indonesia bahkan tahu ada serangan setelah Australia mendeteksi adanya surel yang mengandung malware, artinya pengamanan Australia bisa dibilang lebih baik dari Indonesia. Ancaman lain yang meningkat adalah supply chain attack. Ini telah menjadi tren global arus globalisasi dan digitalisasi yang terus membesar.

“Artinya, pengawasan terhadap keamanan para penjual (vendor) ini harus menjadi perhatian serius dari pemerintah, jangan sampai vendor membawa malware atau membuka celah keamanan baru tanpa mereka sadari,” terang Pratama.

Menurut dia, pencurian data masih akan menjadi tren di Indonesia pada 2023. Data dalam jumlah masif semakin dibutuhkan oleh banyak pihak, baik untuk kegiatan legal maupun ilegal.

Memang ini terjadi secara global, namun dengan pemakai internet hingga tahun ini yang menembus lebih dari 210 juta penduduk, tentu Indonesia harus lebih serius dalam permasalahan ini. Khusus Indonesia, karena menjelang Pemilu 2024, yang akan terjadi adalah saling retas antarakun media sosial, bahkan bisa merembet saling retas ke situs dan aplikasi milik pemerintah. Ini harus diantisipasi sejak awal.

“Karena itu berbagai kebocoran data masih akan banyak terjadi, akan bertambah parah jika itu juga terjadi karena adanya persaingan politik, baik di internal lembaga atau di atasnya. Karena kebocoran data terjadi oleh tiga faktor, yaitu serangan siber, sistem yang eror dan faktor manusia sebagai operatornya,” ucap Pratama.

Beberapa hal yang bisa dilakukan secara umum dalam perbaikan siber yaitu: pertama, dengan mengembangkan prinsip-prinsip inti, standar teknis untuk memastikan tingkat keamanan siber yang konsisten di semua perusahaan yang terlibat. Kedua, membuat strategi keamanan siber nasional yang dapat ditindaklanjuti.

Ketiga, dengan meningkatkan prosedur dan regulasi infrastruktur rantai pasokan. Keempat, dengan melakukan kerja sama pribadi maupun publik untuk memberikan timbal balik dan kapasitas infrastruktur keamanan siber.

Serangan Global

Merujuk kepada data Acronis –lembaga yang bergerak dalam bidang perlindungan data— perihal laporan ancaman siber dan tren terkini untuk semester kedua 2022, mendapati bahwa phising (upaya untuk mendapatkan informasi data seseorang dengan teknik pengelabuan) dan penggunaan serangan kelelahan Multi-Factor Authentication (MFA), sebuah metode sangat efektif yang digunakan dalam kebocoran berprofil tinggi sedang mengalami peningkatan.

Laporan tersebut mendapati bahwa ancaman dari phising dan surel berbahaya telah meningkat 60 persen dan biaya rata-rata kebocoran data diperkirakan mencapai $5 juta pada tahun depan. Tim peneliti juga melihat serangan rekayasa sosial telah meningkat tajam dalam empat bulan terakhir, terhitung untuk 3 persen dari keseluruhan serangan.

Kredensial yang bocor atau dicuri, yang memungkinkan penyerang untuk menjalankan serangan siber dan kampanye ransomware dengan mudah, merupakan penyebab dari hampir setengah dari keseluruhan kebocoran yang dilaporkan pada semester pertama 2022.

“Beberapa bulan terakhir telah terbukti sama rumitnya seperti sebelumnya –dengan serangan baru yang terus bermunculan dan pelaku kejahatan yang terus menggunakan playbook yang terbukti sama untuk bayaran besar,” kata Wakil Direktur Riset Perlindungan Siber Acronis, Candid Wüest.

“Setiap perusahaan harus memprioritaskan solusi yang menyeluruh ketika ingin memitigasi phising dan percobaan peretasan lainnya pada tahun baru. Penyerang terus memperbarui berbagai metodenya, sekarang dengan menggunakan alat keamanan umum untuk melawan kita, seperti MFA yang sangat diandalkan banyak perusahaan untuk melindungi para karyawan dan bisnis mereka,” lanjut Candid.

Periode Juli dan Oktober 2022, persentase serangan phising meningkat 1,3x terhadap serangan malware yang mencapai 76 persen dari keseluruhan serangan surel (meningkat dari 58 persen pada Semester 1 tahun 2022).

Ransomware Tetap jadi Ancaman Wahid

Ancaman ransomware terhadap organisasi bisnis termasuk pemerintahan, kesehatan, pendidikan dan berbagai sektor lainnya secara umum semakin memburuk. Setiap bulan di semester kedua tahun ini, komplotan ransomware menambahkan 200-300 korban baru ke dalam daftar gabungannya.

4-5 pemain mendominasi pasar operator ransomware. Dalam akhir triwulan ke-3, jumlah total sasaran korban yang dipublikasikan oleh operator utama pada 2022 adalah sebagai berikut: 1) LockBit – 1157; 2) Hive – 192; 3) BlackCat – 177; 4) Black Basta – 89.

Di Indonesia, serangan siber tak melulu soal virus komputer, tapi serangan digital terhadap individu dan lembaga juga terjadi pada tahun ini. Berikut contohnya:

1. 23 Februari 2022, peretasan media sosial, korbannya ialah Ketua AJI Indonesia;
2. 23 Maret 2022, peretasan, korban ialah akun Twitter Pemkot Bekasi;
3. 21 April 2022, peretasan media sosial, korban ialah mahasiswa penentang wacana perpanjangan jabatan presiden dan penundaan pemilu;
4. 12 September 2022, peretasan, korban ialah akun Twitter TNI AD;
5. 23 September 2022, peretasan, korban ialah awak narasi TV;
6. 12 Oktober 2022, peretasan, korban ialah laman BPKAD Kota Bekasi;
7. 15 Oktober 2022, peretasan, korban ialah situs Kodam XVI Pattimura;
8. 11 November 2022, peretasan, korban ialah situs Dinas Perhubungan Kabupaten Kutai Kartanegara;
9. September-November 2022, rentetan kasus Bjorka (kebocoran data dan doxing), korban ialah masyarakat sipil dan pejabat public
10. 1 Desember 2022, peretasan media sosial, korban ialah akun Twitter TMC Polda Metro Jaya.

“Dari keseluruhan anomali traffic, yang paling banyak berupa aktivitas serangan malware sebanyak 55,83 persen, kemudian information leak 14,99 persen, dan aktivitas trojan 10,45 persen,” kata Plt Direktorat Keamanan Siber BSSN Andi Yusuf, Senin, 24 Oktober 2022.

Dari temuan lalu lintas anomali ini, BSSN kemudian menganalisis sifat serangan.

Adapun status dari lalu lintas anomali tersebut, yaitu: 61 persen terkompromisasi, 9 persen serangan sukses, 27 persen upaya percobaan, dan 3 persen gagal. Kemudian Kelompok Operasi Deteksi, Penanggulangan dan Pemulihan, Penanganan Insiden dan Krisis Siber Nasional memantau anomali trafik terhadap Indonesia selama 7/24 jam (1 Januari 2021pukul 00:00:00 hingga 31 Desember 2021 pukul 23:59:59, hasilnya jumlah anomali nasional 2-2021 mencapai 1.637.973.022.

Serangan Digital Tak Hanya Bentuk Malware

Direktur Eksekutif Lembaga Studi & Advokasi Masyarakat (ELSAM) Wahyudi Djafar berpendapat, pada 2023 –yang termasuk tahun jelang kontestasi politik— serangan digital tak hanya bentuk malware, tapi potensi penggunaan pasal-pasal pemidanaan dalam konteks ekspresi di ruang digital bakal naik.

“Apalagi sekarang instrumen pidana bertambah. Jika sebelumnya merujuk kepada Undang-Undang Informasi dan Transaksi Elektronik (ITE), sekarang ada pasal pidana baru dalam Undang-Undang Perlindungan Data Pribadi (PDP) yang berpotensi menjadi instrumen kriminalisasi baru,” ujar Wahyudi kepada reporter Tirto, Kamis, 29 Desember 2022.

Misalnya, Pasal 65 ayat (1) UU Nomor 27 Tahun 2022 tentang PDP, yang menyebutkan “Setiap orang dilarang secara melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi.”

Lalu ada Pasal 67 ayat (1) yang mengatur ancaman hukuman bagi pengumpul data pribadi guna menguntungkan diri sendiri atau orang lain, yakni pidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp5 miliar.

“Ada kekhawatiran multitafsir dalam penerapannya. Konteks definisi membuka data pribadi secara melawan hukum, itu cukup luas. Nanti di level penyidik akan kesulitan membuat batasan ketika ada pengaduan terkait pembukaan data pribadi,” lanjut Wahyudi.

Perihal masalah ekspresi politik yang sah dalam rangkaian pemilu juga dapat meningkat. Apalagi KUHP baru bisa diterapkan tiga tahun mendatang, maka pelanggar digital masih bisa dijerat menggunakan Undang-Undang ITE yang dikenal “karet.”

UU PDP sudah disahkan, namun aturan itu berlaku dua tahun kemudian sebagai masa transisi. Meski ada masa transisi, prinsip dan norma UU PDP berlaku. Artinya ketentuan pidana dalam UU PDP dapat diterapkan saat ini. Itu juga berkaitan dengan bagaimana kepolisian sebagai penegak hukum bisa memahami konstruksi perkara dalam UU PDP.

Termasuk wartawan yang terancam dijerat regulasi data pribadi karena “membuka” profil calon pejabat negara. “Demi kepentingan publik, jurnalis juga mengungkap latar belakang kandidat agar diketahui publik dan publik bisa memberi catatan atas calon tersebut. Tapi kemudian ada pemidanaan terhadap jurnalis dengan menggunakan instrumen pidana UU PDP,” kata Wahyudi.

“Secara eksplisit UU PDP tidak ada pengecualian terhadap jurnalis ketika membuka informasi pribadi demi kepentingan publik. Ini justru akan menaikkan tren kriminalisasi terhadap bentuk-bentuk ekspresi yang sah,” kata dia.

KUHP baru dan UU PDP dinilai tak ada sinkronisasi, karena kedua regulasi ini disahkan pada 2022, sehingga ada perbedaan perumusan pidana dalam ranah ancaman pidana terkait data pribadi. “Harus disiapkan antisipasi karena membuka ruang kriminalisasi yang leboh besar terhadap warga negara,” tutur Wahyudi.