tirto.id - Keamanan siber (cyber security) masih menjadi isu sekaligus pekerjaan rumah bagi Pemerintah Indonesia. Lemahnya sistem pengamanan siber sejumlah perusahaan atau kementerian-lembaga acap kali menjadi pintu masuk bagi hacker untuk meretas data-data perusahaan dan lembaga tersebut.
Hal itu pada akhirnya juga turut merugikan masyarakat.
Communication and Information System Security Research Center (CISSReC) mencatat berbagai kejahatan siber yang terjadi di Indonesia sepanjang 2024. Pada Januari 2024, misalnya, KAI mengalami serangan siber yang dilakukan oleh aktor peretas Stormous.
Dalam serangan itu, 82 kredensial karyawan PT KAI dan hampir 22,5 ribu kredensial pelanggan serta 50 kredensial data karyawan perusahaan lain yang bermitra dengan KAI bocor.
Data kredensial yang berhasil didapatkan peretas berasal dari sekitar 3.300 URL yang menjadi permukaan serangan external situs PT KAI. Peretas itu mendapatkan akses masuk ke sistem PT KAI melalui akses VPN menggunakan beberapa kredensial dari beberapa karyawan.
Setelah berhasil masuk, mereka mengakses dashboard dari beberapa sistem PT KAI dan mengunduh data yang ada di dalamnya. Stormous lantas menuntut tebusan sebesar 11,69 BTC atau hampir setara Rp7,9 miliar. Dia mengancam akan memublikasikan semua data yang didapatkan jika tebusan tidak dibayarkan.
Februari 2024, terjadi kegaduhan pada proses Pilpres dan Pileg 2024. Biangnya adalah sistem Sirekap yang dipergunakan oleh KPU. Pasalnya, Sirekap memuat data yang berbedadaridata perolehan suara yang dihitung di tingkat TPS.
Salah satu kendala Sirekap adalah tidak adanya error checking.Ia seharusnya bisa langsung mengetahui adanya kesalahan jika jumlah suara dalam satu TPS melebihi jumlah surat suara yang dimiliki oleh TPS tersebut.
Sistem Sirekap juga menuai polemik karena server yang digunakannya berada di luar negeri. Kerja sama KPU dan Alibaba Cloud untuk layanan Sirekap dinilai merupakan langkah yang buruk. Pasalnya,penggunaan peladenmilik pihak lain, apalagi asing, memiliki resiko yang lebih besar, terutama terhadap keamanan data hasil pemilu.
Pada 10 Maret 2024, Biznet, salah satu internet service provider(ISP) di Indonesia, menjadi korban serangan siber yang diindikasikan sebagai insider threat atau serangan dari dalam.
Dalam kejadian itu, peretasnya dengan percaya diri memberikan beberapa petunjuk tentang jati dirinya. Dia bahkan berani mengancam akan membagikan data Biznet Gio jika Biznet tidak menghapus kebijakan FUP sampai tanggal 25 Maret 2024.
Pada April 2024, pemerintah Indonesia menyatakan darurat judi online. Namun, pengamat keamanan siber dari CISSReC, Pratama Persadha, mengatakan bahwa pemerintah dan aparat terkesan tak serius menangani persoalan ini. Sebab, jika pemerintah cuma memblokir situs judol, para agen judol tetap bisa bikin lebih banyak lagi.
“Ada ribuan website milik pemda yang disusupi judi online dan tidak diblokir. Karena, kalau diblokir, seluruh pelayanan di dalam website akan mati. Selain itu, membuat situs judi juga sangat mudah karena mereka sudah punya template.Tinggal beli domain dan pasang template itu. Domain yang murah banyak tersedia, bahkan yang gratisan juga ada,” ujar Pratama dalam pernyataan yang diterima Tirto, Selasa (31/12/2024).
Mei 2024 diwarnai polemik masuknya Starlink ke Indonesia. Meskipun memiliki manfaat yang cukup besar untuk melayani daerah 3T, masuknya Starlink juga membawa sisi lain yang kurang menyenangkan.
Misalnya kesan diberi "karpet merah" saat masuk ke Indonesia, termasuk terkait perizinan yang begitu cepat. Selain itu, ada masalah network operating center(NOC) yang seharusnya berada di Indonesia.
Pada Juni 2024, Server Pusat Data Nasional (PDN) mengalami kelumpuhan dan berimbas pada terganggunya aktivitas layanan pengecekan imigrasi di bandara. Kelumpuhan itu belakangan diketahui disebabkan oleh serangan ransomwaredari grup peretas Brain Cipher.
Total terdapat 282 instansi pemerintah yang datanya tersimpan di PDNS Surabaya terdampak serangan ransomware. Data-data itu mencakup data kementerian dan lembaga, serta pemerintah provinsi, kabupaten, dan kota.
Brain Cipher adalah kelompok peretas yang beraksi menggunakan varian ransomware LockBit 3.0. Mereka meminta uang tebusan US$8 juta atau sekitar Rp131,8 miliar sebagai ganti membuka gembok pada data-data di fasilitas itu.
Lompat ke Agustus 2024, insiden kebocoran data terjadi di Badan Kepegawaian Negara (BKN). Temuan ini bermula dari sebuah unggahan akun peretas bernama TopiAx di Breachforums pada Sabtu (10/8/2024).
Peretas berhasil mendapatkan sebanyak 4.759.218 baris data BKN yang mencakup informasi seputar pegawai negeri sipil (PNS), seperti nama, tempat dan tanggal lahir, gelar, tanggal CPNS, tanggal PNS, nomor induk pegawai (NIP), nomor SK CPNS, nomor SK PNS, golongan, jabatan, instansi, alamat, nomor identitas, nomor HP, email, pendidikan, jurusan, hingga tahun lulus.
Di unggahan itu, si peretas menawarkan seluruh data yang berhasil didapatkannya dengan nominal US$10 ribu atau sekitar Rp160 juta. Hacker juga membagikan sampel data berisi 128 ASN yang berasal dari berbagai instansi di Aceh.
“CISSReC sudah melakukan verifikasi secara random pada 13 ASN yang namanya tercantum dalam sampel data tersebut melalui WhatsApp, dan menurut mereka data tersebut adalah valid, meskipun ada yang menginformasikan tentang adanya kesalahan penulisan digit terakhir pada field NIP dan NIK” ujar Pratama.
September 2024, perusahaan perdagangan aset kripto, Indodax, mengalami gangguan sistem akibat peretasan. Dalam salah satu laporan, peretasan yang dialami Indodax menyebabkan kerugian senilai US$22 juta atau Rp337,4 miliar (asumsi kurs Rp15.336 per dolar AS).
Peretasan yang dialami Indodax terjadi pada 11 September 2024. Peringatan terkait peretasan itu muncul dari dari platform Cyvers @CyversAlerts menyampaikan adanya transaksi yang mencurigakan di platform Indodax. Lebih lanjut, akun tersebut juga menyebut sudah ada alamat yang mencurigakan untuk menukarkan koin di Indodax ke bitcoin Ether.
Pada bulan ini, juga terjadi kebocoran data NPWP Dirjen Pajak. Kali ini, data 6,6 juta wajib pajak milik Direktorat Jenderal Pajak (DJP) diduga bocor dan diperjualbelikan di forum hacker. Akun anonim yang mengaku sebagai Bjorka mengklaim telah membobol dan mencuri data wajib pajak, termasuk milik Presiden Jokowi, menteri-menteri, dan penjabat tinggi lainnya.
Pada Desember 2024, CISSReC mensinyalir terjadinya penyebaran informasi bahwa Bank Rakyat Indonesia (BRI) sedang terkena serangan Bashe Ransomware. Ini patut diduga sebagai sebuah hoaks dan merupakan upaya pemerasan.
CISSReC juga melihat bahwa informasi serangan ransomwaretersebut hanya upaya coba-coba untuk memeras BRI. Jika memang grup Bashe Ransomware memiliki data asli dari BRI hasil serangan malware, mereka tentu bakal mengunggah data tersebut dan bukannya mengunggah data yang sudah pernah di-posting di Scribd sebelumnya.
“Dari investigasi tim CISSReC, menemukan bahwa sampel data yang diberikan oleh Bashe Ransomware identik dengan salah satu unggahan di Scribd yang diunggah oleh salah satu akun bernama "Sonni GrabBike" pada 17 September 2020 silam. Tim CISSReC juga menemukan bahwa nomor kartu yang tertera pada sample data didapatkan di Scribd adalah valid serta nomor kartu tersebut masih aktif karena masih bisa dilakukan transfer ke nomor tersebut,” ujar Pratama.
Menilik sederet peristiwa bobolnya sistem keamanan siber di Indonesia sepanjang 2024 tersebut, tidak mengherankan bila Indonesia menempati posisi ke-49 dari 179 negara dalam laporan National Cyber Security Index (NCSI).
NSCI adalah indeks yang mengukur kemampuan suatu negara dalam melindungi eko sistem sibernya. Indeks tersebut tersusun dari analisis beberapa indikator, antara lain regulasi, ketersediaan institusi pemerintah, bentuk kerja sama, teknologi, dan program terkait. Indonesia mendapat skor 63,64 dari 100.
Ancaman Siber 2025 Didominasi AI Agentik
Pada 2025, Pratama memperkirakan masih akan banyak serangan siber yang dihadapi oleh Indonesia. Beberapa prakiraan ancaman siber yang perlu menjadi perhatian dan diwaspadai pada 2025 antara lain AI Agentik.
Ia akan muncul sebagai peluang baru yang menarik bagi semua orang — dan juga sektor ancaman siber baru yang potensial.
“Agen AI ini dapat mengotomatiskan serangan siber, pengintaian, dan eksploitasi sehingga meningkatkan kecepatan dan ketepatan serangan. Selain itu, Agen AI yang jahat dapat beradaptasi secara real time, menerobos pertahanan tradisional, dan meningkatkan kompleksitas serangan,” jelas Pratama.
Di sisi lain, kata Pratama, penipuan berbasis AI dan rekayasa sosial juga diprediksi akan meningkat. AI akan meningkatkan peluang penipuan seperti pig buthcering (penipuan keuangan jangka panjang) dan phishing suara (vishing) sehingga serangan rekayasa sosial semakin sulit dideteksi.
Deepfake canggih yang dihasilkan AI dan suara sintetis juga akan memungkinkan pencurian identitas, penipuan, dan gangguan protokol keamanan.
Selain itu, seranganransomware yang berkembang dengan otomatisasi dan AI juga diprakirakan akan meningkat. Penyerang akan semakin banyak menggunakan aplikasi dan alat tepercaya untuk menyampaikan kampanye ransomware. Penjahat dunia maya akan mempersiapkan kriptografi pasca-kuantum dengan mengadaptasi kemampuan ransomware untuk ketahanan masa depan.
Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, mengamini bahwa pemanfaatan AI dalam aksi kejahatan akan makin marak pada 2025. Konten yang diproduksi menggunakan AI pun akan semakin sulit diidentifikasi. Pasalnya, AI bisa terus menyempurnakan dirinya.
“Selain itu, AI juga dipergunakan untuk membuat varian malware baru hanya dari sampel malware yang ada dan varian tersebut akan sangat sulit atau tidak terdeteksi oleh aplikasi sekuriti,” ujar Alfons kepada Tirto, Selasa (31/12/2024).
Oleh karena itu, kata Alfons, sistem perlindungan terhadap serangan malwaresebaiknya jangan hanya mengandalkan program antivirus atau antimalware. Semua perangkat yang terhubung ke jaringan intranet harus memenuhi standar pengamanan, seperti PCI DSS, GDPR, atau standar lainnya, sehingga akan cukup kuat bertahan dari eksploitasi dan serangan.
“Satu hal yang penting perlu disadari adalah security is a process. Jadi, jangan pernah berpikir kalau sudah membayar mahal untuk suatu solusi sekuriti lalu Anda akan terjamin aman. Karena, perlindungan yang hari ini aman, dalam waktu singkat akan menjadi lemah jika ditemukan celah keamanan baru yang memang harus selalu diperbarui secara disiplin,” jelas Alfons.
Di luar ancaman siber berbasis AI, serangan rantai pasokan juga diprediksi akan semakin meningkat pada 2025. Penjahat dunia maya akan menargetkan ekosistem sumber terbuka dan mengeksploitasi ketergantungan kode untuk mengganggu organisasi. Lingkungan cloud akan menjadi target utama karena penyerang mengeksploitasi titik lemah dalam rantai pasokan cloud yang kompleks.
“Selain itu, peretas akan menargetkan perusahaan pihak ketiga sebagai pintu masuk serangan kepada perusahaan besar yang diincarnya,” ujar Pratama dari CISSReC.
Kemudian, yang tidak kalah pelik, perang siber geopolitik juga akan semakin meningkat karena kampanye spionase oleh aktor dari negara-negara Big Four (Rusia, Tiongkok, Iran, Korea Utara).
Serangan siber yang didorong oleh agenda ideologis atau politik akan meningkat dan menargetkan pemerintah, bisnis, dan infrastruktur penting.
Hal yang Perlu Dilakukan Pemerintah
Untuk mengantisipasi potensi-potensi ancaman siber tersebut, pemerintah perlu segera membenahi sejumlah pekerjaan rumah krusial di bidang keamanan siber. Salah satu prioritas utama adalah pembentukan lembaga perlindungan data pribadi (PDP) sebagai wujud konkret pelaksanaan Undang-Undang Perlindungan Data Pribadi.
“Lembaga ini diharapkan memiliki struktur yang independen dan kapabilitas yang kuat untuk mengawasi kepatuhan terhadap regulasi, menangani pelanggaran data, serta memberikan sanksi bagi pihak yang melanggar,” jelas Pratama.
Selain itu, penyelesaian Peraturan Pemerintah sebagai turunan dari UU PDP juga penting. Pasalnya, ia memberikan panduan operasional yang jelas bagi berbagai pihak, baik di sektor publik maupun swasta, dalam pengelolaan dan perlindungan data pribadi.
Regulasi ini harus mencakup aspek teknis dan hukum yang relevan, seperti standar keamanan data, prosedur pelaporan insiden, serta mekanisme penyelesaian sengketa.
Pemerintah juga harus mempercepat pembahasan Rancangan UU Keamanan dan Ketahanan Siber yang telah masuk dalam Program Legislasi Nasional (Prolegnas).
UU Keamanan dan Ketahanan Siber diperlukan untuk memberikan kerangka hukum yang lebih komprehensif dalam menghadapi ancaman siber yang semakin kompleks dan terorganisir, sekaligus memperkuat koordinasi lintas sektor dalam penanggulangan insiden siber.
Dalam konteks kelembagaan, penguatan fungsi dan wewenang Badan Siber dan Sandi Negara (BSSN) juga menjadi hal yang mendesak. Pemerintah perlu memastikan bahwa BSSN memiliki sumber daya manusia, teknologi, dan anggaran yang memadai untuk menjalankan tugasnya, termasuk dalam bidang deteksi, respons, dan pemulihan insiden siber.
“BSSN juga harus diberdayakan untuk memainkan peran sentral dalam pengamanan infrastruktur kritis nasional, seperti energi, transportasi, dan telekomunikasi,” ujar dia.
Terakhir, penguatan keamanan dan pertahanan siber di lingkungan pemerintahan harus menjadi fokus utama. Ini mencakup penerapan kebijakan keamanan siber yang ketat di semua instansi pemerintah, integrasi sistem keamanan yang interoperable, serta peningkatan kapasitas SDM melalui pelatihan intensif dan sertifikasi di bidang keamanan siber.
“Upaya ini akan menjadi pondasi penting bagi Indonesia dalam menghadapi tantangan era digital dan menjaga kedaulatan di dunia maya,” pungkas Pratama.
Penulis: Dwi Aditya Putra
Editor: Fadrik Aziz Firdausi
