tirto.id - Akun Twitter @son1x666 mengunggah dua tautan untuk mengunduh file data yaitu ‘polrileak.txt’ dan ‘polri.sql’ yang keduanya berukuran 10,27 megabita. Lantas dibagikan pula basis data pribadi anggota Polri secara teks di Ghostbin. Hal itu menunjukkan bahwa data pribadi personel Korps Bhayangkara bocor dan disebar di media sosial; serta lembaga negara lagi-lagi jadi korban peretas.
Direktorat Tindak Pidana Siber Bareskrim Polri turun tangan usut perkara ini. “Nanti diinfokan hasilnya apabila sudah ada info dari Direktorat Siber,” kata Kadiv Humas Polri Irjen Pol Dedi Prasetyo, ketika dihubungi Tirto, Jumat (19/11/2021).
Peristiwa ini membuktikan perlindungan terhadap basis data Polri masih lemah dan keamanan siber tergantung dari tiga aspek yakni sumber daya manusia, proses, serta teknologi, menurut Chapter Lead Indonesia Honeynet Project Charles Lim.
“Sudah jelas team Siber Polri harus dilatih, [kemampuan] ditingkatkan dari daerah terpencil sampai di pusat. Tata kelola Polri juga harus ditingkatkan lagi. Terakhir, teknologi yang melindungi tergantung dari manusia yang mengelola dan tata kelolanya,” ucap Lim yang juga Deputy Head Master Program Swiss German University kepada Tirto, Jumat (19/11/2021). Intinya, keamanan siber bukan hanya soal kelemahan teknologi semata, tapi tiga komponen yang berkelindan tersebut.
Si peretas menyerang situs Polri karena instansi itu bisa saja dianggap sasaran empuk dan memiliki bingkai ‘pelayan masyarakat’. Jika lembaga situs kepolisian saja bisa jebol, bukan tidak mungkin lembaga pemerintah lain cum situs pribadi bisa jadi target retas. Berdasarkan analisis Charles, ada peretas lain mulai memanfaatkan hal ini untuk menyebarkan malware dari sebuah tautan. Peretas tersebut mengetahui kalau banyak orang sedang mencari ‘polrileak.txt’.
Ketika orang itu menemukan tautan yang dimaksud lalu mengkliknya, maka malware bisa masuk ke dalam gawai si pengakses. Namun, penyebar malware belum tentu sama dengan peretas situs Polri. Ada dampak dari malware ini: jika tidak ada antivirus atau antivirus tak bisa mendeteksi serangan maka sistem gawai tersebut bisa ‘terinfeksi’. Secara umum malware semacam javascript yang disebarkan ini bisa menyerang Windows 64-bit.
“Malware ini baru terdeteksi oleh tiga vendor. Berarti dia (peretas) baru buat, jadi belum pernah beredar,” terang Charles. Wajar saja setingkat kepolisian belum bisa mendeteksi malware tersebut dan karena ada momentum publik mencari suatu informasi.
Penyebab Situs Polri Diretas dan Data Bocor
Kepala Communication & Information System Security Research Center Pratama Persadha berujar kebocoran tersebut diunggah pada Rabu, 17 November, siang, oleh akun Twitter yang sama dengan peretas situs Badan Siber dan Sandi Nasional. Di unggahan tersebut, juga diberikan tautan untuk mengunduh sampel hasil data yang diambil.
"Fail tersebut berisi banyak informasi penting data pribadi personel kepolisian. Misalkan nama, nomor registrasi, pangkat, tempat dan tanggal lahir, satuan kerja, jabatan , alamat, agama, golongan darah, suku, surel, bahkan nomor telepon. Ini jelas berbahaya,” kata dia, Kamis (18/11/2021).
Dugaan pelanggaran yang dilakukan oleh anggota Polri pun dibeberkan di unggahan itu. "Kemungkinan besar serangan ini sebagai salah satu bentuk hacktivist, sambil mencari reputasi di komunitasnya dan masyarakat, ataupun untuk melakukan perkenalan tim peretas.”
Situs Polri juga berkali-kali diretas. Mulai diretas untuk diubah tampilannya (deface), diretas untuk situs judi daring, dan kini peretasan pencurian basis data anggotanya. Polri harus belajar dari berbagai kasus peretasan yang pernah menimpa institusinya. Agar bisa meningkatkan kesadaran keamanan dan memperkuat sistem. Sebab, rendahnya kesadaran mengenai keamanan siber merupakan salah satu penyebab mengapa banyak situs pemerintah yang jadi target peretasan.
Pratama menambahkan, hal ini bisa diketahui dari anggaran dan tata manajemen yang mengelola sistem informasi. Di lembaga yang masih tidak memprioritaskan keamanan siber, penanggung jawab sistem informasi ini tidak diberikan perhatian besar, artinya dari sisi sumber daya manusia, infrastruktur dan anggaran diberi seadanya.
Berbeda dengan di perusahaan teknologi, biasanya sudah ada direktur yang membawahi teknologi dan keamanan siber, itu pun mereka masih mengalami kebobolan akibat peretasan.
"Di Tanah Air, upaya perbaikan itu sudah ada. Misalnya, pembentukan Computer Security Incident Response Team. CSIRT inilah nanti yang banyak berkoordinasi dengan BSSN saat terjadi peretasan," jelas dia.
Salah satu kekurangan yang cukup serius adalah tata kelola manajemen keamanan siber yang masih lemah. Dalam kasus Electronic Health Alert dari Kementerian Kesehatan, misalnya, pelaporan adanya kebocoran data sampai dua kali tidak direspons oleh tim IT Kemenkes.
Setelah dilaporkan kepada BSSN, dalam waktu dua hari sistem e-HAC ditangguhkan (takedown). Ini pun seharusnya bisa dilakukan langkah segera dalam hitungan jam. Pratama menegaskan perihal Undang-Undang Perlindungan Data Pribadi yang bisa hadir dengan cukup ‘kekuatan’.
“Bisa memberikan peringatan sejak awal pada lembaga negara dan swasta sebagai penguasa data pribadi. Jika sejak awal tidak memperlakukan data pribadi dengan baik dan terjadi kebocoran akibat peretasan, maka ada ancaman bahwa mereka akan kena tuntutan ganti rugi puluhan miliar rupiah," ucap dia.
Desakan Pengesahan Regulasi Nasional
Irine Yusiana Roba Putri, anggota Komisi I DPR Fraksi PDI Perjuangan mengatakan perlunya penyelesaian pembahasan RUU Perlindungan Data Pribadi cum RUU Keamanan dan Ketahanan Siber. “Saat ini pembahasan RUU belum diperpanjang, karena masih menunggu perpanjangan masa sidang. Kami harus menunggu sampai terjadi berapa lagi kasus kebocoran data?” kata Irine, Jumat (19/11/2021).
Regulasi perlindungan data pribadi dan keamanan siber adalah dua hal yang saling melengkapi dan idealnya berjalan bersamaan. Aturan itu dibahas berbarengan supaya bisa terintegrasi, jangan tumpang tindih atau ada isu yang belum diatur. “Keamanan data adalah salah satu tantangan terbesar era digital. Negara kita masih jauh dari kondisi perlindungan data digital yang memadai.”
Sementara, Direktur Eksekutif Elsam Wahyudi Djafar berkata keseluruhan pengelolaan data pribadi yang dilakukan oleh kepolisian merupakan bagian dari penyelenggaraan sistem pemerintahan berbasis elektronik (SPBE).
Mengacu pada Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Permenkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, setiap pemrosesan data pribadi harus sesuai dengan prinsip perlindungan data pribadi, termasuk kewajiban memastikan keamanan data pribadi.
Sebagai bagian dari SPBE, pengelolaannya juga wajib mengikuti Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik yang teknis operasionalisasinya telah diatur dalam Peraturan BSSN Nomor 4 Tahun 2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik
“Dalam peraturan tersebut ditegaskan, setiap penyelenggaraan SPBE, selain memastikan keamanan sistemnya, juga harus mampu mencapai tujuan perlindungan data pribadi,” ujar dia, Jumat. Elsam mendesak tiga hal dari perkara kebocoran data ini.
Pertama, diperlukan investigasi secara tuntas dan akuntabel, untuk mengetahui penyebab kebocoran, besaran kebocoran, dampak risiko kebocoran, dan langkah mitigasi yang harus dilakukan, termasuk perbaikan sistem untuk mencegah kebocoran serupa. Kedua, kepolisian melakukan langkah‐langkah yang diatur berdasarkan peraturan, dalam kapasitasnya sebagai pengendali data, untuk meminimalisasi risiko dari subjek data. Juga perlu evaluasi dan audit sistem keamanan dalam pemrosesan data pribadi, untuk mencegah terjadinya insiden serupa.
Terakhir, kebutuhan mendesak Undang-Undang Perlindungan Data Pribadi yang komprehensif, dengan kualitas yang baik, dan dapat diimplementasikan secara efektif, melalui hadirnya suatu otoritas perlindungan data pribadi yang kuat dan independen.
Penulis: Adi Briantika
Editor: Maya Saputri
