“Saya sungguh terkejut, Badan Siber dan Sandi Negara (BSSN) yang menjadi tameng utama keamanan siber Indonesia justru kena retas”. Kekagetan itu datang dari Ketua Dewan Perwakilan Rakyat (DPR) Puan Maharani karena badan utama menghalau serangan peretas, malah website lembaga tersebut
“Ini ancaman serius bagi keamanan siber Indonesia,” ujarnya melalui keterangan tertulis kepada wartawan, Selasa (26/10/2021).
Puan mengatakan peretasan yang dialami website BSSN secara organisasi menjadi isu serius yang perlu direspon cepat pemerintah. Hal ini harus menjadi evaluasi serius bagi BSSN yang secara keorganisasian diberikan mandat oleh pemerintah dalam hal teknis memberikan pengamanan sistem keamanan siber di Tanah Air.
Diiretasnya website BSSN, kata Puan, bukan tidak mungkin bakal dialami website milik instansi/lembaga pemerintah lain yang menyimpan data publik. Karena itu, evaluasi sistem pengamanan menjadi kewajiban bagi BSSN. Sebab, bukan tidak mungkin situs BSSN potensi besar dapat kembali disusupi peretas.
Anggota Komisi I DPR itu juga mendorong BSSN segera mengaudit secara teknis dan berkala adanya celah sistem keamanan yang mudah disusupi peretas. Selanjutnya, BSSN harus melakukan pembenahan internal di berbagai sektor sistem pengamanan secara teknologi ataupun sumber daya manusia. “Karena tidak mungkin melindungi keamanan siber pemerintah kalau belum bisa melindungi dirinya sendiri,” ujarnya.
Politisi Partai Demokrasi Indonesia Perjuangan itu mendorong BSSN lebih optimal melakukan tugasnya dengan sumber daya yang ada. BSSN harus memaksimalkan kewenangan yang dimilikinya dalam melindungi keamanan siber publik. “BSSN tidak boleh kalah oleh hacker yang tidak bertanggung jawab di luar sana,” katanya.
Chairman Communication & Information System Security Research Center (CISSReC) Pratama Dahlian Persadha mengatakan penting memitigasi, salah satu unggahan pada twitter yang menyebut peretasan terhadap website milik BSSN. Dia melihat serangan siber memang kerap menimpa website milik instansi pemerintah. Sebelumnya website milik Sekretariat Kabinet (Seskab) pun mengalami hal yang sama.
“Seharusnya BSSN sejak awal mempunyai tindakan mitigasi,” ujarnya seperti dikutip dari laman Antara. (Baca Juga: Situs BSSN Diretas, Elsam: 4 Hal yang Perlu Dilakukan Pemerintah)
Menurutnya, bila dicek attack-nya dapat dicari penyebab firewall-nya untuk mem-bypass serangan ke celah vulnerable-nya. Attack yang simpel kalau lolos dari firewall bisa mengakibatkan kerusakan yang besar. “Jangan dianggap semua serangan deface itu adalah serangan ringan, bisa jadi hacker-nya sudah masuk sampai ke dalam,” ujarnya.
Dia menyayangkan BSSN sebagai institusi yang harusnya paling aman dalam system keamanan sibernya malah menjadi korban peretasan. Memang, kata Pratama, dalam dunia keamanan siber, tidak ada sistem informasi yang benar-benar aman 100 persen. Pria yang pernah berkarier di Lembaga Sandi Negara (Lemsaneg) itu BSSN menyarankan perlu melakukan digital forensik dan audit keamanan informasi secara keseluruhan.
Untuk itu, jalan keluar mengatasi persoalan peretasan selain dengan audit, evaluasi, dan monitoring secara berkala, dengan merampungkan pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). Bila UU PDP disahkan ada paksaan bagi semua lembaga negara melakukan perbaikan infrastruktur informasi teknologi, sumber daya manusia, hingga adopsi regulasi yang pro pengamanan siber. "Tanpa UU PDP, maka kejadian peretasan seperti situs pemerintah akan berulang kembali,” ujarnya.
Sebelumnya, Direktur Eksekutif Elsam, Wahyudi Djafar Wahyudi menilai peristiwa peretasan tersebut menunjukan pemerintah belum memiliki rencana strategis keamanan siber yang jelas untuk melindungi infrastruktur informasi kritis nasional, dari berbagai bentuk serangan siber. Serangan siber bukan hanya berpotensi merusak sistem jaringan dan perangkat telekomunikasi dan informasi, namun juga mengancam integritas dan keamanan informasi dan data pribadi warga negara.
“Rentetan serangan terhadap sistem elektronik pemerintah, khususnya BSSN, berpotensi pada semakin turunnya tingkat kepercayaan publik, terhadap keseriusan pemerintah dalam melindungi keamanan sistem informasi nasional,” ujar Wahyudi.
Menurut Wahyudi, BSSN perlu mengambil tindakan nyata untuk memastikan apakah serangan itu akibat manajemen organisasional yang lemah (organisational loophole) atau aspek kelalaian (human-error), yang menyebabkan serangan tidak dapat diantisipasi. Lamanya proses normalisasi situs yang mengalami serangan, juga perlu menjadi pertimbangan BSSN dalam mengevaluasi sistem manajemen internal organisasi.
Dari berbagai serangan siber itu, Elsam menilai keberadaan legislasi keamanan siber yang andal dan komprehensif mendesak untuk dibentuk. Kebijakan keamanan siber bertumpu pada strategi regulatif dan tata kelola yang memadai, mulai dari hulu hingga hilir, untuk memastikan dan menjamin kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) sistem. Dalam hal ini, strategi keamanan siber nasional harus diarahkan bukan semata-mata untuk melindungi infrastruktur fisik belaka, namun juga individu.
Ruang lingkup strategi nasional tersebut meliputi: (1) tujuan keamanan siber atau kondisi yang hendak dicapai dari tata kelola keamanan siber, (2) manajemen identifikasi risiko keamanan siber dan metode untuk mengatasi atau memitigasi risiko tersebut, (3) terdapat komitmen yang berfokus pada perlindungan terhadap kerentanan negara, terutama terhadap infrastruktur informasi kritis, (4) menetapkan model koordinasi yang multi-sektor untuk mencapai tujuan keamanan siber, dan (5) adanya komitmen untuk mereduksi berbagai ancaman keamanan siber.
“Selain manajemen risiko dan respons cepat-tanggap yang juga perlu didorong, kebijakan keamanan siber juga harus menciptakan kultur organisasional dan perilaku individu yang mendukung langkah-langkah penguatan keamanan di dunia maya,” katanya