tirto.id - September 2023 menjadi momen yang mungkin sulit dilupakan bagi Badan Pengawas Pemilihan Umum (Bawaslu) Provinsi Jawa Timur. Kurang dari enam bulan jelang hari pencoblosan Pemilihan Umum (Pemilu) 2024, sejumlah situs Bawaslu Kabupaten/Kota se-Jawa Timur mengalami peretasan.
Menurut data yang diakses Tirto, tak tanggung-tanggung, ada sekitar 19 situs Bawaslu daerah yang disusupi iklan judi daring (judi online, judol). Mengingat terdapat 38 kota/kabupaten di Jawa Timur, ini berarti setengah situs Bawaslu di daerah tersebut, telah terkontaminasi iklan judol.
Menurut Koordinator Divisi Hubungan Masyarakat dan Data Informasi Bawaslu Jatim, Dwi Endah Prasetyowati, perlu waktu yang tidak sebentar untuk menyelesaikan masalah ini. Akibat kejadian ini, Bawaslu sampai mengumpulkan seluruh staf bidang data dan informasi dari semua daerah di Jawa Timur.
“Selama dua hari, kami telah bekerja bersama untuk memulihkan website yang diretas. Kami juga dibantu oleh tujuh staf kabupaten/kota yang memiliki kemampuan dalam IT untuk membantu mempercepat pemulihan website,” katanya pada 17 September 2023 lalu, mengutip situs resmi Bawaslu Jawa Timur.
Penyusupan konten judi online di situs pemerintah bukan pertama kalinya terjadi. Sebelumnya, situs Bawaslu Makassar, Sulawesi Selatan, juga menjadi korban. Para peretas menyandera situs tersebut dari Januari sampai Agustus tahun 2023.
“Persoalan penyusupan website judi online pada laman Bawaslu, khususnya Bawaslu di daerah memang cukup mengkhawatirkan. Karena Pemilu dan Pilkada menjadi topik yang hangat di tahun ini, maka website Bawaslu banyak diakses oleh publik, sehingga menjadi incaran para peretas untuk melakukan defacement atau perubahan tampilan website Bawaslu yg sering diakses oleh publik,” ujar anggota Bawaslu, Puadi, kepada Tirto, Senin (5/5/2024).
Berkaca dari kejadian tersebut, pada akhir tahun 2023 lalu, sebanyak 273 website utama Bawaslu kabupaten/kota melalui proses unifikasi. Proses ini dilakukan untuk mengintegrasi situs-situs tersebut.
“Alhamdulillah, website utama Bawaslu kabupaten/kota yang masuk dalam program unifikasi ini tidak pernah lagi terkena web defacement situs judi,” tambah Puadi.
Masalah iklan situs judi daring yang menyusup ke situs Bawaslu daerah, sebenarnya hanya puncak gunung es. Peretasan iklan judi daring ke situs instansi pemerintah sudah banyak terjadi sejak tahun 2022 lalu. Sempat ramai menjadi perbincangan pada awal tahun 2023, nyatanya sampai tahun 2024, masih ditemukan iklan-iklan judi online di situs-situs resmi pemerintah.
Berdasar penelusuran Tirto, per 6 Mei 2024, ketika dilakukan pencarian di Google dengan menggunakan istilah judol, seperti "gacor" atau "slot", di situs dengan akhiran domain "go.id", ada jutaan hasil pencarian yang muncul.
Kata kunci “gacor site:go.id”, memberikan lebih dari 5 juta hasil pencarian. Sementara kata kunci “slot site:go.id”, memberikan lebih dari 6,9 juta hasil.
Meski begitu, memang dari jumlah tersebut, terdapat terdapat sejumlah situs yang sudah tidak lagi aktif, dalam perbaikan, ataupun telah pulih. Namun, saat coba diakses, per 7 Mei 2024, terdapat beberapa situs yang terlihat masih disusupi iklan judol tersebut, misalnya situs Dinas ESDM Pemerintah Provinsi Riau berikut (arsip), serta situs Disnakertrans Provinsi Jawa Timur ini (arsip). Bahkan situs resmi Pemerintah Indonesia juga salah satu halamannya disusupi iklan judi daring (arsip).
Bukah cuman situs pemerintah yang menjadi sasaran empuk para penyusup iklan judol. Situs lembaga pendidikan juga banyak yang disusupi iklan judi daring. Situs-situs daring dengan akhiran domain "ac.id", juga banyak ditemui menjadi sasaran iklan judi online.
Beberapa situs lembaga pendidikan yang masih menjadi tempat iklan judol antara lain milik Universitas Diponegoro (arsip), Universitas Terbuka (arsip), dan Universitas Hasanuddin (arsip). Daftar tersebut hanya sebagian dari jutaan tautan situs pendidikan lain yang disusupi iklan judi daring.
Hasil pencarian di Google menunjukkan, terdapat sekitar 4 juta hasil pencarian dengan kata kunci “gacor site:ac.id”. Sementara terdapat lebih dari 7,6 juta hasil pencarian dari kata kunci “slot site:ac.id”.
Kondisi ini tentu mengkhawatirkan. Adanya iklan judi daring ini menunjukkan lemahnya pengamanan siber situs-situs ini dan besarnya eksposur dari konten judi online ke masyarakat, hingga merambah situs pemerintah dan situs pendidikan.
Padahal, judi online saat ini menjadi masalah sosial yang tak bisa dianggap remeh dampaknya. Berdasar survei yang Tirto lakukan bersama Jakpat pada November 2023 lalu, sekitar 32 persen responden mengaku pernah setidaknya sekali mencoba judi daring. Ini berarti hampir 1 dari 3 orang pernah mencoba judol.
Sementara temuan Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK), merekam adanya dana mencapai Rp190 triliun dalam 156 juta transaksi antara 2017-2022, yang terindikasi ada dalam pusaran perputaran uang judol. Dalam periode lima tahun tersebut, terdapat tren kenaikan dua kali lipat setiap tahunnya
Berdasar beberapa cerita yang sempat dirangkum Tirto juga, judi daring menjadi pintu masuk ke "jurang" lainnya yakni pinjaman online ilegal. Terdapat juga kasus yang menceritakan judol yang kemudian mendorong korbannya melakukan tindakan kriminal seperti pencurian.
Dalam mengiklankan situsnya, modus penyusupan ke situs institusi pemerintahan dan lembaga pendidikan hanya menjadi salah satu strategi yang operator judi online terapkan. Beberapa kali, Tirto jugamenemukan iklan situs judi daring di media sosial, yang mencatut nama media atau figur-figur terkenal, dan setelah ditelusuri, ternyata merupakan hoaks.
Lemahnya Kesadaran dan Pengawasan dari Pengelola Situs
Menanggapi maraknya kasus penyusupan oleh situs judi daring, Ketua Lembaga Riset Keamanan Siber CISSRec, Pratama Dahlian Persadha, mengungkap beberapa alasan terkait maraknya penyusupan judi online di situs lembaga pemerintahan dan pendidikan.
Pertama, ia menyinggung soal lemahnya sistem keamanan siber dari situs lembaga pemerintahan di Indonesia. Hal ini menurutnya disebabkan oleh abainya pengawasan dari sejumlah pihak pemangku kepentingan terkait mulai dari pimpinan instansi hingga admin yang bertanggung jawab terhadap situs tersebut.
“Sudah menjadi rahasia umum bahwa situs-situs milik pemerintah itu sistem keamanannya lemah sehingga gampang untuk diretas. Tidak ada security awareness (dari pemangku kepentingan) mereka tidak berpikir bahwa perlu melakukan pengawasan terhadap sistem yang dimilikinya," kata Pratama kepada Tirto, Selasa (7/5/2024).
Kedua, Pratama menilai sejak pemerintah lewat Kominfo rutin melakukan takedown terhadap situs judi online organik, para pemilik situs judi daring sengaja memilih menyusupkan iklan mereka ke situs instansi pemerintahan dan lembaga pendidikan karena dianggap lebih aman dari pemblokiran.
“Karena Kominfo itu rajin blokir situs-situs judi online akhirnya para bandar judi itu punya akal gimana caranya agar bikin landing page ini gak diblokir? Caranya adalah dengan pembuatan landing page situs judi online mereka ke situs pemerintah (go.id) dan pendidikan (ac.id),” katanya lagi.
Penyusupan situs atau tautan judi daring ke situs pemerintahan juga membuat tautan tersebut bisa lebih aman dari pemblokiran, tambah Pratama. Sebab, Kominfo tidak bisa serta merta melakukan pemblokiran terhadap situs utama pemerintah yang disusupi oleh iklan judi online.
Ia mencontohkan, jika terjadi peretasan di situs milik Polri, maka Kominfo tidak bisa serta merta memblokir situs tersebut secara keseluruhan. Sebab, hal ini akan berpengaruh kepada seluruh layanan yang ada di situs tersebut.
“Mereka (para pemilik situs judi online dan peretas) tahu bahwa nggak mungkin ini Kominfo melakukan blokir terhadap situs utamanya ketika di dalamnya ada landing page judi online. Gak mungkin misal situs Polri.go.id itu diblokir, bisa mati itu semua layanan Polri. Nanti orang gak bisa bikin SKCK, SIM, dll,” terangnya.
Berdasar penelusuran yang Tirto lakukan, peretasan terhadap situs pemerintah banyak menyasar ke situs-situs milik pemerintahan daerah (Pemda). Terkait hal ini, Pratama menegaskan situs milik Pemda memang lebih rawan untuk diretas karena keterbatasan anggaran dan minimnya kompetensi dari pengelola sistem.
“Mereka (Pemda) gak punya anggaran besar. Selain itu orang-orangnya kadang nggak berkompeten. (Kemudian) karena organisasi di Pemda ini gantinya cepat, ketika terjadi estafet staf kadang tidak ada keberlanjutan soal pengelolaan sistem. Ini yang membuat situs mereka lebih rawan diretas dibanding situs pemerintah pusat,” katanya.
Sebagai informasi, pada Juli 2023, Badan Siber dan Sandi Negara (BSSN) sempat mengeluarkan panduan penanggulangan penyusupan iklan judi daring. Dokumen berjudul "Web Defacement: Judi Online" tersebut menjabarkan mulai dari alur serangan, hingga penanggulangan dan pemulihan, serta mitigasi dari situs-situs yang disusupi.
Sebagai informasi, BSSN menjabarkan web defacement sebagai serangan pada website yang bertujuan untuk mengubah tampilan asli atau konten dari sebuah website. Terdapat berbagai metode untuk melakukan web defacement, cara yang sering dijumpai yaitu eksploitasi pada kerentanan plugins framework dan SQL Injection yang memungkinkan akses administratif.
Dalam praktiknya, web defacement kerap digunakan juga untuk kepentingan agenda politik, karena dapat menurunkan reputasi atau kredibilitas dari pihak tertentu. Lebih lanjut, web defacement dilakukan dengan memanfaatkan kelemahan dari sistem yang memungkinkan pelaku mendapat akses masuk ke server dan kemudian mengganti atau menghapus konten suatu website.
Dalam bagian penjelasan dalam laporan, BSSN juga menyebut web defacement menyasar situs milik pemerintah dan lembaga pendidikan sebagai cara untuk menghindari situs di-block oleh pihak berwenang.
Secara garis besar, dijelaskan alur penyerangan yang dimulai dari memanfaatkan kerentanan sistem keamanan situs, kemudian pembuatan folder berisikan konten iklan judi daring dalam situs, sampai dengan langkah-langkah untuk mengakses masuk situs, serta memastikan konten judi online di situs tersebut tidak bisa dihapus.
Apa yang Pemerintah Telah Lakukan?
Kementerian Komunikasi dan Informatika (Kominfo), sebagai lembaga pemerintahan yang punya kuasa dan wewenang dalam menjamin keamanan berselancar di dunia siber, pun bukannya abai terhadap kondisi ini.
Mereka secara berkala melakukan pemantauan dan berkoordinasi dengan pemilik situs jika ditemukan adanya "kebocoran" iklan situs judi daring. Mereka juga mendorong situs lembaga pemerintah yang disusupi untuk menggunakan panduan pengamanan dari BSSN.
“Kita minta pemda (yang situsnya disusupi) itu memperbaiki sistem keamanan sibernya, dan bisa berkoordinasi dengan BSSN,” terang Direktur Jenderal Informasi dan Komunikasi Publik (IKP) Kemenkominfo, Usman Kansong, kepada Tirto, Senin (6/5/2024).
Pada dokumennya, BSSN juga menjelaskan upaya penanganan jika situs sudah terlanjur disusupi. Mulai dari tahap persiapan (pembentukan tim, penyiapan dokumen, koordinasi, sampai dengan identifikasi aset terdampak), dilanjutkan dengan analisis (pengumpulan bukti, pemindaian server, pemeriksaaan infrastruktur situs, dan pencarian file berbahaya), sampai dengan tahap pembersihan dan penguatan situs.
Terdapat juga sejumlah rekomendasi dalam upaya penguatan dan pencegahan terjadinya penyusupan iklan judi daring. Langkah-langkah seperti pembaruan sistem, pengaturan keamanan, kontrol akses, pemantauan keamanan, perlindungan kata sandi, backup rutin, pelatihan, serta audit keamanan menjadi hal yang disarankan.
Lebih lanjut, Usman menjelaskan, kalau Kominfo hanya bisa mengimbau, sebab perlindungan terhadap data dan situs menjadi kewajiban pengelola website itu sendiri. Sejauh ini, menurutnya, jumlah situs pemerintah yang disusupi sudah mulai berkurang.
“Saya juga sempat bicara di DPR soal redesign website, saya mengingatkan betul bagaimana pemerintah itu concern melindungi website-nya supaya tidak disusupi iklan judi online,” tambahnya.
Usman juga menjelaskan bagaimana sosialisasi yang mereka lakukan selama ini, kepada pemerintah daerah misalnya, juga berjalan dengan lancar. Hal ini juga yang menurutnya berkontribusi terhadap menurunnya kasus iklan judi daring di situs pemerintah. Meski begitu, ia mengakui masih ada permasalahan teknis dalam upaya memulihkan situs milik pemerintah daerah.
Dalam praktiknya, selain melakukan upaya pemulihan lewat koordinasi dengan BSSN, Kominfo juga melakukan pemblokiran terhadap situs-situs yang dalam jangka waktu tertentu tidak menanggapi imbauan untuk memulihkan situsnya.
Dampingan serta panduan dari BSSN, nyatanya memang diakui membantu. Bawaslu yang beberapa situsnya menjadi korban penyusupan –seperti yang diceritakan di awal– mengakui hal ini. Anggota Bawaslu, Puadi, mengapresiasi betul patroli siber yang dilakukan Kominfo dan BSSN. Dia mengaku juga mendapat laporan dari Kominfo dan BSSN ketika situs Bawaslu provinsi maupun kota/kabupaten mengalami perubahan tampilan.
Meski, dia juga mengakui kalau untuk bisa mengaplikasikan panduan web defacement dari BSSN bukanlah hal yang mudah.
“Untuk dapat mengikuti panduan tersebut dibutuhkan skill teknis sistem operasi Linux dan scripting level menengah ke atas,” sebutnya.
Kesulitan ini juga yang mungkin menjadi kendala bagi sejumlah pengelola situs pemerintah daerah yang disusupi iklan judi online.
Berdasar data terakhir, sampai dengan 5 Mei 2024, sudah ada lebih dari 20 ribu situs instansi pemerintahan dan sekitar 17 ribu situs lembaga pendidikan yang diblokir Kominfo, karena disusupi iklan judi daring.
Berdasar data rangkuman Kominfo, juga diketahui blokir situs instansi pemerintahan dan lembaga pendidikan sudah mereka lakukan sejak tahun 2022, meski jumlahnya masih sangat minim. Sebanyak 46 situs milik instansi pemerintah dan 23 situs lembaga pendidikan masuk penanganan dan berujung dengan takedown situs, kala itu.
Tahun 2023, aktivitas blokir kian aktif, total 15.104 situs instansi pemerintahan dan 11.364 situs lembaga pendidikan masuk daftar penanganan, yang mayoritas berakhir ditutup aksesnya.
Lima bulan berjalan tahun 2024, sudah ada masing-masing sekitar 6 ribu situs instansi pemerintahan dan lembaga pendidikan yang ditangani Kominfo.
Pihak Kominfo menyatakan, blokir adalah langkah terakhir yang mereka ambil, jika pihak pengurus situs tidak segera memberi tanggapan ataupun membersihkan situsnya.
Pemblokiran Situs Tak Akan Selesaikan Masalah
Dalam kesempatan yang sama, Pratama dari CISSRec juga mengkritik langkah penanganan dari pemerintah melalui Kominfo dalam menangani kasus ini. Secara umum, ia menilai langkah pemerintah melalui Kominfo, yang rutin melakukan pemblokiran, baik itu terhadap situs judi online organik, maupun situs judi daring yang menyusup ke situs pemerintah, tidak efektif.
“Apa yang dilakukan Kominfo itu tidak efektif, percuma mau blokir 8 ribu websites atau mau blokir 5 juta websites juga gak ada ngaruhnya. Kenapa? Karena terlalu mudah buat bandar-bandar judi ini membuat situs lain tinggal copy, cloning selesai sudah. Domain itu sangat murah sekali dibelinya,” katanya.
Pratama menekankan, alih-alih memblokir situs judi online, Kominfo seharusnya memberantas sampai ke akarnya.
“Ada banyak yang bisa dilakukan (Kominfo), seperti mematikan link dan memblokir IP address sehingga game itu gak akan bisa jalan. Kalo sekarang kan kebalik, situsnya diblokir tapi orang tetap bisa main dengan berbagai cara seperti lewat aplikasi dan link yg diberikan,” tambahnya.
Sementara untuk BSSN, Pratama menilai bahwa lembaga yang bertanggung jawab atas keamanan siber di Indonesia itu memang mempunyai kapabilitas untuk melakukan monitoring dan pengecekan terhadap keamanan siber situs-situs resmi yang ada di Indonesia.
Namun, kewenangan yang dimiliki oleh BSSN dinilai sangat terbatas karena mereka tidak memiliki hak untuk melakukan tindakan seperti intervensi atau penetrasi untuk menutup suatu akun.
“BSSN sudah memberikan pedoman, acuan dan standar keamanan. Namun, tanggung jawab atas keamanan siber ini kembali lagi ke penyelenggara sistem elektronik yaitu masing-masing kementerian/lembaga/instansi. Jika mereka tetap tidak memiliki kesadaran tentang keamanan siber situs mereka, maka akan terus diserang,” katanya
BSSN menurut Pratama selama ini sudah bergerak proaktif. Ia menyinggung pada tahun 2022, lembaga tersebut telah mengirim ribuan notifikasi berupa alert atau peringatan kepada berbagai instansi/kementerian/lembaga sebagai salah satu bentuk kolaborasi upaya pencegahan serangan siber.
Namun, ia menyayangkan lemahnya kesadaran dari berbagai kementerian/lembaga dan instansi tersebut dalam menindaklanjuti peringatan BSSN tersebut.
Terkait hal ini, mengutip laporan Kompas, sepanjang Januari hingga 13 September 2022, BSSN telah mengirimkan 1.261 notifikasi terkait anomali trafik atau upaya mencurigakan untuk menginfeksi keamanan siber di semua kementerian atau lembaga pemerintah. Namun, dari total notifikasi terkirim, hanya 72 notifikasi yang mendapat tanggapan.
Perlunya Penguatan Aturan dan Pelacakan Bandar Judi Daring
Pratama menyebut bahwa maraknya penyusupan judi daring di situs lembaga pemerintahan akan jadi masalah yang terus berulang ke depannya.
Hal ini diantaranya disebabkan karena tidak adanya regulasi yang mengatur sanksi yang tegas terhadap pengelola situs elektronik di Indonesia. Menurutnya, adanya aturan hukum ini sangat penting untuk meningkatkan security awareness para pengelola situs pemerintahan.
“UU Perlindungan Data Pribadi sangat penting sekali untuk diaktifkan. Selama ini kalo situsnya diretas ya sudah mereka para pengelola situs pemerintahan ini fine-fine saja. Peretasan terhadap akun pemerintah ini akan terus menerus terjadi karena security awareness pengelola sistem elektronik ini gak di upgrade sehingga mereka gak berfikir kalau peretasan ini bahaya.”
Selain itu, Pratama menekankan agar para instansi/kementerian/lembaga lebih memperkuat sistem pengamanan situs mereka masing-masing. Salah satu caranya adalah mulai menempatkan orang-orang yang kompeten di bidang IT dalam organisasi sehingga sejak awal mereka telah memiliki kompetensi dan kesadaran dalam hal keamanan siber.
Sementara itu, terkait penanganan permasalahan judi daring secara umum, Pratama memberikan rekomendasi kepada pemerintah untuk segera menjalankan perintah presiden untuk segera membentuk satuan tugas (satgas) untuk penanganan masalah tersebut.
Sebelumnya, dilansir laman Sekretariat Kabinet (Setkab) RI, Jumat (19/4/2024), Menkominfo Budi Arie Setiadi, telah menyatakan bahwa pemerintah akan membentuk satgas untuk penanganan judi daring.
Lebih lanjut Budi menambahkan, pembentukan satgas lintas kementerian/lembaga ini bertujuan untuk menyelesaikan permasalahan judi daring secara lebih menyeluruh, kolaboratif, dan efisien.
“Keputusannya adalah, dalam satu minggu ini akan dirumuskan langkah pembentukan semacam task force terpadu untuk pemberantasan judi online,” katanya.
Menanggapi hal tersebut, Pratama menggarisbawahi, pemimpin satgas nantinya harusnya merupakan orang yang kompeten. Hal itu juga mesti dibarengi dengan niat serius untuk memberantas judol.
“Karena perputaran duitnya banyak nih. Perputaran duit banyak ini ternyata ada sebagian yang mereka alokasikan untuk oknum-oknum ini, yang ada di APH [Aparat Penegak Hukum], pemerintahan, dll,” katanya
Pratama pun menegaskan, pemerintah dan beberapa pihak terkait sebaiknya melacak koneksi agen-agen judi daring di Indonesia, yang akan mengarahkan ke bandarnya.
“Kalo polisi berhasil meringkus satu aja, nanti pasti ketahuan itu. Karena ada komputer khusus yang akan digunakan untuk connect ke bandarnya sana. Nah itu yang dicari, ke mana nih bandanya nih, negara mana. Kalo itu bisa dilakukan tentu akan gampang,”
Selain itu, Pratama menekankan harus ada koordinasi lintas sektor dan lembaga untuk menyelesaikan permasalahan judi daring yang ada di Indonesia. Ia mencontohkan, butuh koordinasi antara Kominfo, BSSN, aparat penegak hukum, Bank dan PPATK untuk memblokir rekening judi daring.
“Selama ini bank selalu ngomong UU Perbankan soal kerahasiaan data nasabah. Sementara, kita semua tau bahwa rekening judi online itu ada dan dan menjadi tempat untuk transaksi. Nah, ini yang harus diblokir semuanya makanya butuh koordinasi yang baik antar mereka dan stakeholder terkait,” tutupnya.
==
Bila pembaca memiliki saran, ide, tanggapan, maupun bantahan terhadap klaim Periksa Fakta dan Decode, pembaca dapat mengirimkannya ke email [email protected].
Penulis: Alfons Yoshio Hartanto, Alfitra Akbar & Fina Nailur Rohmah
Editor: Farida Susanty