Peretasan telah menjadi momok abadi Indonesia. Ini tentu adalah tugas bagi Badan Siber dan Sandi Negara (BSSN). Tapi mengapa sampai saat ini BSSN masih belum bisa mengatasi permasalahan siber secara efektif?
Dunia siber telah menjadi bagian penting dalam kehidupan kita. Fiturnya yang praktis, sekaligus memiliki potensi tidak terbatas menjadi andalan semua orang dalam menyimpan dan membagikan data.
Ya, siapa yang tidak setuju bahwa teknologi siber telah menjadi salah satu penemuan terhebat peradaban manusia. Pekerjaan yang kita lakukan hari ini menjadi berlipat-lipat kali lebih mudah dari pekerjaan orang-orang dalam 50 tahun ke belakang hanya karena kita berhasil kembangkan siber.
Namun, layaknya penemuan-penemuan hebat lain dalam sejarah, dunia siber juga telah melahirkan banyak permasalahan modern yang solusinya sulit didapatkan, karena perkembangan keilmuannya pun masih baru.
Contohnya adalah kasus peretasan di Indonesia yang terjadi belum lama ini. Akhir April lalu, dilaporkan bahwa akun-akun email dari 28 institusi pemerintah berhasil dibobol oleh sebuah malware atau perangkat jahat jenis Trojan. Institusi yang diretas di antaranya adalah Kementerian Keuangan (Kemenkeu), Kepolisian, dan Kementerian Hukum dan HAM (Kemenkumham).
Pengamat keamanan siber dari Vaksin.com, Alfons Tanujaya mewanti-wanti bahwa pembobolan ini tidak boleh dianggap remeh karena peretas dapat mengakses server atau peladen surel institusi secara sah, dan mengirimkan e-mail menggunakan akun yang bocor tersebut.
Ia lanjut mengatakan ebocoran kredensial e-mail domain atau subdomain institusi pemerintah maupun swasta sangatlah berbahaya karena orang yang menerima surel dari akun yang berhasil diretas tidak curiga. Akhirnya, mereka akan terkecoh dan menjadi korban rekayasa sosial mengatasnamakan lembaga yang bersangkutan.
Mirisnya, ini bukan pertama kalinya insitusi pemerintah berhasil dijebol secara besar-besaran. Pada bulan September 2021 lalu, sempat beredar juga berita tentang peretasan sistem jaringan internal 10 institusi negara, termasuk salah satunya adalah situs Badan Intelijen Negara (BIN).
insiden peretasan itu dikatakan berhubungan dengan sebuah grup bernama Mustang Panda, yakni kelompok peretas asal Tiongkok yang biasa melakukan aktivitas mata-mata di dunia maya. Target operasinya sendiri berada di wilayah Asia Tenggara.
Badan Siber dan Sandi Negara (BSSN) sebagai garda terdepan dalam urusan keamanan siber seharusnya mampu menjadi andalan dalam menghalau peretasan-peretasan ini. Tapi kenyataannya sampai saat ini BSSN pun tampak cukup kesulitan menghadapi bahaya modern tersebut.
Lalu, sudah seberapa bahayakah perkembangan persoalan peretasan? Dan bagaimana seharusnya keamanan siber Indonesia belajar?
Menuju Perang Generasi Kelima
Dari pemberitaan yang sering muncul, terutama setelah pecahnya konflik antara Rusia dan Ukraina, kita selalu disajikan tentang bahayanya perkembangan teknologi persenjataan konvensional, mulai dari bom yang dapat membakar oksigen dalam radius sekian ratus meter, sampai pesawat siluman yang mampu menyerang sebuah perkotaan tanpa terdeteksi.
Tetapi, ada satu sektor yang jarang sekali mendapatkan perhatian besar, padahal kemampuannya dalam merusak suatu negara begitu dahsyat. Tentu, itu adalah teknologi siber.
Sangking besarnya kerusakan yang bisa terjadi, teknologi siber bahkan mendapat julukan sebagai weapon of mass destruction (WMD) atau senjata pemusnah massal yang baru, bersandingan dengan senjata nuklir.
Well, lumrah jika teknologi siber mendapat julukan itu, karena tanpa perlu bertindak banyak, peretasan dapat menghancurkan infrastruktur penting negara dan membunuh banyak orang.
Davinder Kumar dalam tulisannya Cyber Weapons – The New Weapons of Mass Destruction, mengatakan bahwa setidaknya ada 5 poin mengapa suatu serangan siber lebih berbahaya dibanding serangan militer konvensional.
Pertama, sangat efisien dan murah; kedua, serangan dapat dilakukan “secepat cahaya”; ketiga, dapat dilakukan dengan senyap, poin ini menjadi lebih kuat ditambah dengan sifat otoritas negara yang seringkali sulit mengakui kerentanan dalam sistem pertahanan siber mereka.
Keempat, sulit dtelusuri identitas penyerangnya; kelima, pengembanan teknologi siber sulit diketahui oleh mata-mata asing, dan persiapan penyerangnya pun hampir mustahil dibaca oleh musuh.
Dengan faktor-faktor ini, suatu serangan siber dapat dengan mudah menyadap beberapa prioritas target infrastruktur yang krusial bagi sebuah negara, seperti sistem pertahanan otomatis, rumah sakit, kontrol udara militer dan komersial, persediaan air, kendali listrik, bahkan sampai instalasi nuklir.
Seperti ketika sebuah malware bernama Stuxnet menyerang fasilitas Nuklir di Iran pada tahun 2010 dan menghambat perkembangan nuklir negara tersebut secara signifikan.
Karena dampaknya yang sangat besar, banyak pengamat yakin pengembangan teknologi siber telah merubah medan pertempuran secara keseluruhan. William S Lind dalam bukunya 4th Generation Warfare Handbook mengenalkan teori generations of warfare atau generasi-generasi peperangan.
Di dalamnya, Lind meyakini bahwa perang akan melalui empat fase perubahan, dan akan berakhir pada fase keempat yakni perang yang dilaksanakan secara desentralisasi. Di fase ini, Lind menyebut negara tidak akan lagi menjadi aktor sentral, dan fokus pertempuran akan beralih ke terorisme, separatisme, dan konflik-konflik yang sifatnya lintas batas.
Namun, Daniel Abbot dalam bukunya The Handbook of Fifth-Generation Warfare, membantah teori Lind tentang fase keempat sebagai bentuk akhir peperangan. Abbot yakin bahwa dengan adanya perkembangan teknologi siber, perang masih akan berevolusi ke fifth generation warfare atau perang generasi kelima.
Abbot mendeskripsikan perang generasi ini sebagai perang “informasi dan persepsi”. Selain dapat melumpuhkan suatu negara secara langsung, hal yang sebenarnya lebih berbahaya dari teknologi siber, menurut Abbot, adalah kemampuannya dalam menciptakan rekayasa sosial dan misinformasi.
Berita tentang kebobolan peretasan hanyalah ujung dari permasalahan yang lebih besar dari bahaya siber. Yang perlu kita khawatirkan adalah peretasan yang selama ini tidak terdeteksi oleh siapapun. Bisa jadi, peretasan yang tidak terdeteksi ini sesungguhnya telah memanipulasi semua data yang kita miliki dan “menyetir” kita ke sebuah pemahaman yang telah dikonstruksi sedemikian rupa.
Oleh karena itu, bahaya teknologi siber seharusnya menjadi prioritas negara dan tidak boleh sama sekali diremehkan.
Lantas, apa yang perlu dilakukan Indonesia, khususnya pada BSSN?
Quo Vadis BSSN?
Sebagai lembaga yang ditugasi khusus dalam urusan keamanan siber, BSSN perlu menjadi senjata pamungkas negara dalam mengantisipasi bahaya-bahaya peretasan. Namun, kenyataannya BSSN sendiri sepertinya masih harus dibenahi.
Pada Oktober 2021 lalu, BSSN dikabarkan berhasil diretas oleh peretas dan merusak tampilan situsnya. Tentu hal ini sangat ironis, mengingat BSSN seharusnya menjadi simbol dari kekuatan siber Indonesia.
Mengapa keadaan BSSN bisa demikian? Pengamat keamanan siber, Pratama Dahlian Persadha menilai alasan besarnya adalah masalah landasan hukum. Saat ini, landasan yang kuat bagi BSSN hanyalah Undang-Undang Informasi dan Transaksi Elektronik (UU ITE), padahal itu belum cukup dalam menjadikan BSSN sebagai penanggung jawab keamanan siber yang efektif.
Hal senada juga disampaikan pengamat Institute for Security and Strategic (ISESS), Khairul Fahmi. Ia menilai bahwa masih banyak yang harus dikritisi dan difokuskan mengenai upaya pemerintah memperkuat keamanan siber melalui BSSN, salah satunya adalah belum adanya roadmap yang jelas tentang strategi keamanan siber Indonesia.
Pemerintah perlu melihat BSSN bukan hanya sebagai lembaga yang difokuskan pada permasalahan cyber crime, tetapi juga diarahkan pada pengembangan struktur dan infrastruktur siber nasional.
Terkait itu, sesungguhnya pemerintah dan DPR tengah membincangkan tentang Rancangan Undang-Undang Ketahanan dan Keamanan Siber (KKS) dan RUU Perlindungan Data Pribadi (PDP) sebagai landasan hukum yang lebih komprehensif dalam urusan pertahanan dan keamanan siber. Namun, kedua rancangan tersebut sampai saat ini masih belum rampung.
Padahal kedua aturan ini sangat penting, karena selain dapat memperkuat BSSN, juga dapat mengatasi tumpang tindih urusan siber dan intelijen yang saat ini sesungguhnya pun ditangani sejumlah instansi, termasuk TNI dan Polri.
Oleh karena itu, adalah sebuah keniscayaan bahwa RUU KKS dan RUU PDP dirampungkan secepat mungkin bila Indonesia benar-benar tidak ingin ada lagi insiden peretasan yang berbahaya.
Inilah pekerjaan rumah terbesar pemerintah dan BSSN dalam mempersiapkan diri menghadapi perkembangan zaman yang tidak akan menunggu siapapun untuk mempertahankan eksistensi dirinya. (D74)
