tirto.id - Serangan siber kembali menyasar instansi pemerintah. Kali ini, ransomware bernama Thanos disebut menyerang 10 kementerian dan lembaga di Indonesia. Aksi peretasan dilakukan oleh Mustang Panda Group, peretas asal Cina menggunakan private ransomware bernama Thanos.
Dinukil dari laman The Record, Thanos menyerang jaringan, bahkan jaringan internal pemerintahan Indonesia, termasuk Badan Intelijen Negara (BIN). Serangan sudah terjadi sejak Juni dan Juli 2021, tetapi belum dijawab resmi oleh pemerintah. Insikt selaku pihak yang mendeteksi ransomware tersebut, bahkan menyatakan Malware dari Mustang Panda itu masih ada di sistem Indonesia.
Chairman Lembaga Riset Siber CISSReC Pratama Persadha menilai informasi yang disampaikan Insikt belum tentu akurat. Ia menilai, perlu ada bukti konkret seperti kasus dugaan kebocoran data pribadi eHAC Kementerian Kesehatan. Namun ia tidak yakin bukti tersebut mudah ditemukan.
“Kalau mereka sudah share bukti peretasannya seperti data dan biasanya upaya deface, baru kita bisa simpulkan memang benar terjadi peretasan. 10 kementeriannya yang mana juga masih belum jelas. Namun bila ini spionase antar negara, memang bukti akan lebih sulit untuk didapatkan, karena motifnya bukan ekonomi maupun popularitas," kata Pratama, Minggu (12/9/2021).
Pratama berpendapat, kehadiran Thanos bisa menjadi hal positif. Ia beralasan, para kementerian dan lembaga menjadi sadar untuk memeriksa sistem informasi, jaringan serta keamanannya secara bersamaan agar tata kelola siber pemerintah membaik.
"Pada pertengahan 2020 juga terjadi isu serupa di lingkungan Kemenlu dan beberapa BUMN. Saat itu ada warning dari Australia bahwa email salah satu diplomat kita mengirimkan malware aria body ke email salah satu pejabat di Australia Barat,” tutur Pratama.
Ia pun menuturkan, email para diplomat saat ini sudah diambil alih kelompok peretas yang diduga adalah kelompok Naikon asal Cina. Namun juga belum diketahui persis hanya email saja atau sampai perangkat yang diretas, karena banyak malware yang dibuat dengan tujuan menyamai kemampuan malware pegasus yang bisa melakukan take over smartphone.
“Perlu dilakukan deep vulnerability assessment terhadap sistem yang dimiliki. Serta melakukan penetration test secara berkala untuk mengecek kerentanan sistem informasi dan jaringan. Lalu gunakan teknologi Honeypot di mana ketika terjadi serangan, maka hacker akan terperangkap pada sistem honeypot ini, sehingga tidak bisa melakukan serangan ke server yang sebenarnya,” kata Pratama.
Pratama mendorong pemerintah memasang sensor Cyber Threat Intelligence untuk mendeteksi malware atau paket berbahaya yang akan menyerang ke sistem. Ia pun mengaku, Cirsecc sudah turun tangan dengan memetakan pelaku hacker siber serta bentuk ransomware tersebut.
“Kami telah mencoba melakukan profiling threat actor. Mustang Panda adalah hacker group yang sebagian besar anggota dari Tiongkok di mana grup ini membuat private ransomware yang dinamakan Thanos.”
“Ransomeware ini dapat mengakses data dan credential login pada device PC yang kemudian mengirimkannya ke CNC (command and control) bahkan hacker bisa mengontrol sistem operasi target. Private ransome Thanos mempunyai 43 konfigurasi yang berbeda untuk mengelabui firewall dan antivirus, sehingga sangat berbahaya,” terangnya.
Berdasarkan keterangan tersebut, Pratama berharap agar pemerintah bertindak cepat. Ia mengingatkan informasi laporan dari Insikt bahwa ransomware ini dikirim berkaitan dengan konflik Laut Cina Selatan.
"Segala langkah yang diperlukan harus segera dilakukan pemerintah. Untuk mengetahui apakah tindak spionase ini terkait dengan konflik Laut China Selatan atau tidak. Karena dalam beberapa tahun terakhir tensi terkait isu ini memang meningkat di kawasan Asia Tenggara. Semoga ini menjadi momentum perbaikan keamanan siber di lembaga negara," kata Pratama.
Di sisi lain, peneliti Elsam Miftah Fadli melihat ada dua masalah yang membuat polemik perlindungan serangan siber Indonesia kerap kali terjadi. Pertama, Miftah melihat masih ada ego-sektoral antar-instansi sehingga serangan siber kerap terjadi. Ia tidak memungkiri kasua eHAC sebagai salah satu contoh dari ego-sektoral tersebut.
"Kementerian/lembaga itu sekarang terkesan jalan sendiri-sendiri, kalau lihat kasus e-HAC kemarin, satu kementerian dengan kementerian lain saling lempar tangan, saling tuding, nggak tahu apa yang dikerjakan oleh masing-masing lembaga, padahal yang diurus adalah data penduduk yang basis datanya itu ada di satu kementerian (KTP/NIK)" kata Fadli, Senin (13/9/2021).
Kedua, Fadli melihat ada kekosongan strategi dan koordinasi siber. Ia bilang pemerintah punya Badan Sandi dan Siber Negara (BSSN), tetapi lembaga yang dipimpin Hinsa Siburia itu tidak bisa bekerja apabila tidak punya data dari kementerian/lembaga.
"Saat ini, bagaimana kebijakan strategis pemerintah untuk memperkuat keamanan siber? Nggak ada. Setahu saya dokumen seperti itu, sedang disusun oleh BSSN – tapi prosesnya bagaimana ini juga kita CSO nggak pernah tahu dan nggak pernah dilibatkan secara publik," kata Fadli.
Fadli paham bahwa masalah keamanan siber dan perlindungan data pribadi adalah dua hal berbeda, tetapi ada masalah mendasar yakni belum ada regulasi maupun otoritas pengawas dengan kewenangan sesuai.
Saat ini, pembahasan RUU Perlindungan Data Pribadi (RUU PDP) mandeg karena pemerintah ingin mengerjakan sistem tata kelola sesuai keinginan pemerintah tanpa mendengarkan aspirasi masyarakat sipil soal isu otoritas pengawasan. Di sisi lain, RUU Kamsiber yang disusun 2019 juga sangat menggunakan pendekatan negara dan tanpa melibatkan multipihak.
"Sekarang di tengah ketidakpastian proses pembahasan regulasi, dan insiden-insiden yang terjadi saling menyusul, pemerintah nggak punya back-up plan untuk mengatasi insiden ini, karena strategi mitigasinya juga nggak ada," kata Fadli.
Menurut Fadli, kasus soal peretasan keamanan siber perlu diatensi. Ia beralasan, kasus saat ini tidak menyasar instansi pemerintahan, tetapi juga menyasar sektor swasta yang mengalami kebocoran data. Para kelompok bisnis bingung ketika berurusan dengan masalah ini hingga akhirnya ditutup tanpa solusi meski beberapa ada yang viral di medsos.
Padahal, kata Fadli, prinsip hukum yang menjadi patokan adalah pengendali data harus memberikan notifikasi kepada otoritas begitu ada kejadian. Selain itu, subjek data juga seharusnya memberikan informasi segera jika ada data sensitif. Namun Indonesia tidak memiliki otoritas terkait sehingga ada kendala.
Fadli mendorong agar pemerintah segera menyelesaikan masalah keamanan siber. Ia beralasan, data publik sudah tersebar di mana-mana. Ia tidak memungkiri UU ITE bisa menjadi solusi, tetapi UU ITE lebih digunakan untuk kasus pencemaran nama baik.
Ia menerangkan, "Ada pasal-pasal lain terkait kejahatan siber, tapi penegak hukum nggak tahu bagaimana cara implementasinya."
Ia menilai pemerintah perlu membentuk mekanisme kelembagaan dan inklusif soal pencegahan dan deteksi dini masalah siber. Pemerintah juga perlu mengidentifikasi sektor infrastruktur krusial serta upaya untuk melindunginya.
Di sisi lain, pemerintah perlu segera mengesahkan RUU PDP dengan mendengar masukan CSO maupun akademisi. Hal itu dilakukan untuk mencegah gap regulation dalam masalah perlindungan data pribadi seperti reformasi sektor keamanan siber, polemik kejahatan siber dan perlindungan HAM.
"Kalau insiden-insiden yang ada tidak jadi refleksi pemerintah untuk memperkuat sistem keamanan sibernya, kita tinggal menunggu bom waktu saja, pada titik tertentu insiden keamanan siber bakal terjadi dengan skala masif dan membahayakan semua orang, bahkan nyawa. Kasus ini pernah terjadi di Jerman ketika Wannacry menyerang sistem jaringan rumah sakit di negara itu, akibatnya pasien di sebuah rumah sakit meninggal karena serangan menyebabkan petugas rumah sakit gagal melakukan tindakan medis terhadap pasien yang kritis itu," tutur Fadli.
Reporter Tirto berusaha menghubungi Menteri Komunikasi dan Informasi Jhonny G. Plate, Juru Bicara Kementerian Komunikasi dan Informasi (Kemenkominfo) Deddy Permadi serta Juru Bicara BSSN Anton Setiawan. Akan tetapi, mereka tidak kunjung meresponsnya hingga artikel ini rilis.
Meski tidak dijawab, pemerintah memastikan bahwa permasalahan data pribadi dan permasalahan perlindungan data dari peretasan akan diawasi secara serius. Hal itu disampaikan Deddy dalam insiden beredarnya sertifikat digital vaksin milik Presiden Jokowi beberapa waktu lalu.
"Pemerintah terus mengawasi keseriusan seluruh pengelola dan wali data untuk menjaga keamanan Sistem Elektronik dan Data Pribadi yang dikelolanya, baik dalam hal teknologi, tata kelola, dan sumber daya manusia," kata Deddy.
Pemerintah, dalam hal ini Kementerian Kominfo telah melakukan penanganan dugaan kebocoran data terhadap 36 Penyelenggara Sistem Elektronik (PSE) sejak 2019 sampai 31 Agustus 2021. Dedy mengatakan, dari jumlah tersebut, 31 kasus telah selesai dilakukan investigasi dengan perincian sebagai berikut: 4 PSE telah dikenai sanksi teguran tertulis, 18 PSE diberikan rekomendasi teknis peningkatan tata kelola data dan Sistem Elektronik, sedangkan 9 PSE lainnya sedang dalam proses pemberian keputusan akhir terkait sanksi.
Ia pun memastikan pengelolaan sistem PeduliLindungi, pihak yang mengelola data, serta para pengguna, akan terus dilakukan oleh Kementerian Kominfo dengan berkoordinasi bersama Kementerian Kesehatan, BSSN, serta pihak terkait lain.
Penulis: Andrian Pratama Taher
Editor: Abdul Aziz