“Seharusnya BSSN sejak awal mempunyai tindakan mitigasi,” ujarnya seperti dikutip dari laman Antara. (Baca Juga: Situs BSSN Diretas, Elsam: 4 Hal yang Perlu Dilakukan Pemerintah)
Menurutnya, bila dicek attack-nya dapat dicari penyebab firewall-nya untuk mem-bypass serangan ke celah vulnerable-nya. Attack yang simpel kalau lolos dari firewall bisa mengakibatkan kerusakan yang besar. “Jangan dianggap semua serangan deface itu adalah serangan ringan, bisa jadi hacker-nya sudah masuk sampai ke dalam,” ujarnya.
Dia menyayangkan BSSN sebagai institusi yang harusnya paling aman dalam system keamanan sibernya malah menjadi korban peretasan. Memang, kata Pratama, dalam dunia keamanan siber, tidak ada sistem informasi yang benar-benar aman 100 persen. Pria yang pernah berkarier di Lembaga Sandi Negara (Lemsaneg) itu BSSN menyarankan perlu melakukan digital forensik dan audit keamanan informasi secara keseluruhan.
Untuk itu, jalan keluar mengatasi persoalan peretasan selain dengan audit, evaluasi, dan monitoring secara berkala, dengan merampungkan pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). Bila UU PDP disahkan ada paksaan bagi semua lembaga negara melakukan perbaikan infrastruktur informasi teknologi, sumber daya manusia, hingga adopsi regulasi yang pro pengamanan siber. "Tanpa UU PDP, maka kejadian peretasan seperti situs pemerintah akan berulang kembali,” ujarnya.
Sebelumnya, Direktur Eksekutif Elsam, Wahyudi Djafar Wahyudi menilai peristiwa peretasan tersebut menunjukan pemerintah belum memiliki rencana strategis keamanan siber yang jelas untuk melindungi infrastruktur informasi kritis nasional, dari berbagai bentuk serangan siber. Serangan siber bukan hanya berpotensi merusak sistem jaringan dan perangkat telekomunikasi dan informasi, namun juga mengancam integritas dan keamanan informasi dan data pribadi warga negara.
“Rentetan serangan terhadap sistem elektronik pemerintah, khususnya BSSN, berpotensi pada semakin turunnya tingkat kepercayaan publik, terhadap keseriusan pemerintah dalam melindungi keamanan sistem informasi nasional,” ujar Wahyudi.
Menurut Wahyudi, BSSN perlu mengambil tindakan nyata untuk memastikan apakah serangan itu akibat manajemen organisasional yang lemah (organisational loophole) atau aspek kelalaian (human-error), yang menyebabkan serangan tidak dapat diantisipasi. Lamanya proses normalisasi situs yang mengalami serangan, juga perlu menjadi pertimbangan BSSN dalam mengevaluasi sistem manajemen internal organisasi.
Dari berbagai serangan siber itu, Elsam menilai keberadaan legislasi keamanan siber yang andal dan komprehensif mendesak untuk dibentuk. Kebijakan keamanan siber bertumpu pada strategi regulatif dan tata kelola yang memadai, mulai dari hulu hingga hilir, untuk memastikan dan menjamin kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) sistem. Dalam hal ini, strategi keamanan siber nasional harus diarahkan bukan semata-mata untuk melindungi infrastruktur fisik belaka, namun juga individu.
Ruang lingkup strategi nasional tersebut meliputi: (1) tujuan keamanan siber atau kondisi yang hendak dicapai dari tata kelola keamanan siber, (2) manajemen identifikasi risiko keamanan siber dan metode untuk mengatasi atau memitigasi risiko tersebut, (3) terdapat komitmen yang berfokus pada perlindungan terhadap kerentanan negara, terutama terhadap infrastruktur informasi kritis, (4) menetapkan model koordinasi yang multi-sektor untuk mencapai tujuan keamanan siber, dan (5) adanya komitmen untuk mereduksi berbagai ancaman keamanan siber.
“Selain manajemen risiko dan respons cepat-tanggap yang juga perlu didorong, kebijakan keamanan siber juga harus menciptakan kultur organisasional dan perilaku individu yang mendukung langkah-langkah penguatan keamanan di dunia maya,” katanya