Lembaga Riset Keamanan Siber CISSReC mengungkapkan kebocoran data pribadi masih terjadi lagi menjelang Hari Ulang Tahun Ke-79 Republik Indonesia, kali ini yang menjadi korban peretasan adalah Badan Kepegawaian Negara (BKN).
"Temuan ini berawal dari sebuah postingan dari peretas dengan nama anonim TopiAx di Breachforums pada hari Sabtu, 10 Agustus 2024," kata Chairman Lembaga Riset Keamanan Siber CISSReC Dr. Pratama Persadha ketika dikonfirmasi di Semarang, Minggu pagi.
Pada postingannya, kata dosen pascasarjana pada Sekolah Tinggi Intelijen Negara (STIN) ini, peretas mengklaim mendapatkan data dari BKN sejumlah 4.759.218 baris yang berisi sangat banyak data, di antaranya adalah nama, tempat lahir, tanggal lahir, gelar, tanggal CPNS, tanggal PNS, NIP, nomor SK CPNS, dan nomor SK PNS.
Data lainnya, yakni golongan, jabatan, instansi, alamat, nomor identitas, nomor HP, surel (email), pendidikan, jurusan, dan tahun lulus.
Selain data tersebut, masih banyak lagi data lainnya, baik yang berupa cleartext (informasi yang disimpan atau dikirim dalam bentuk yang tidak terenkripsi) maupun text yang sudah diproses dengan metode kriptografi.
Peretas mengklaim mendapatkan data dari BKN sejumlah 4.759.218 baris yang berisi data, di antaranya nama, tempat lahir, tanggal lahir, gelar, tanggal CPNS, tanggal PNS, NIP, nomor SK CPNS, dan nomor SK PNS. ANTARA/HO-CISSReC
Pada postingan tersebut, lanjut Pratama, peretas yang sudah bergabung dalam forum yang biasa untuk jual beli hasil peretasan tersebut menawarkan seluruh data tersebut sebesar 10.000 dolar Amerika Serikat (sekitar Rp160 juta).
Pakar keamanan siber ini mengungkapkan bahwa peretas juga membagikan sampel data berisi 128 ASN yang berasal dari berbagai instansi di Aceh.
Mengenai hal ini, CISSReC sudah melakukan verifikasi secara random terhadap 13 ASN yang namanya tercantum dalam sampel data tersebut melalui WhatsApp.
"Menurut mereka data tersebut adalah valid meskipun ada yang menginformasikan tentang adanya kesalahan penulisan digit terakhir pada field NIP dan NIK," kata Pratama.
Hingga Minggu pagi, kata dia, belum ada konfirmasi secara resmi, baik dari pihak BKN maupun pihak terkait seperti BSSN dan Kominfo atas dugaan kebocoran data ini.
BKN sudah melakukan memorandum of understanding (MoU) dengan BSSN untuk memperkuat data ASN dan meningkatkan kualitas perlindungan informasi dan transaksi elektronik pada tanggal 3 Oktober 2022. Namun, kata Pratama, MoU ini hanya berlaku selama 1 tahun dan berakhir pada bulan Oktober 2023.
"Belum diketahui apakah BKN memperpanjang MoU dengan BSSN tersebut atau tidak?" kata dosen Sekolah Tinggi Ilmu Kepolisian (STIK) PTIK ini.
Sementara itu, pakar keamanan siber Dr. Pratama Persadha memandang perlu pemerintah membentuk Badan Pelindungan Data Pribadi sehingga bisa mengambil tindakan dan memberikan sanksi kepada penyelenggara sistem elektronik yang mengalami insiden kebocoran data.
"Dengan makin seringnya terjadi kebocoran data pribadi, hal yang perlu segera dilakukan oleh pemerintah adalah bentuk Badan Pelindungan Data Pribadi," kata Pratama yang juga Chairman Lembaga Riset Keamanan Siber CISSReC ketika dikonfirmasi di Semarang, Minggu pagi.
Selain itu, lanjut Pratama, harus dibuat aturan yang tegas bahwa penyelenggara sistem elektronik (PSE) yang tidak bisa jaga sistemnya harus bisa dikenai konsekuensi hukum, baik itu PSE publik maupun privat. Jika tidak, PSE tersebut tidak akan jera.
Dengan demikian, kata dosen pascasarjana pada Sekolah Tinggi Intelijen Negara (STIN) ini, PSE akan memperkuat sistem keamanan siber serta sumber daya manusianya.
Menurut dia, sudah saatnya semua kementerian/lembaga pemerintah, baik itu pemerintah pusat maupun pemerintah daerah, wajib melakukan assessment pada sistem teknologi informasinya secara menyeluruh sehingga bisa melihat keamanan sistemnya sendiri seperti hacker (peretas) melihat sistem tersebut dari luar sana.
Dengan adanya kewajiban itu, kata Pratama, mereka bisa segera mengetahui celah keamanan yang mungkin ada pada sistemnya, kemudian segera menutup celah keamanan tersebut sebelum peretas memanfaatkannya sebagai pintu masuk ke dalam sistem.
Pratama mengingatkan kepada kementerian/lembaga bahwa assessment ini tidak hanya satu kali, tetapi harus secara rutin.
Hal ini mengingat, kata dia, keamanan sistem informasi bukanlah sebuah hasil akhir, melainkan merupakan sebuah proses sehingga apa yang mereka yakini aman pada saat ini, belum tentu masih akan tetap aman pada keesokan harinya.
