Kerentanan Pertahanan dan Keamanan Siber Nasional yang Tak Dibenahi

PUSAT Data Nasional (PDN) Kominfo diretas. Dalam bahasa yang agak halus, pemberitaan menyebutkan bahwa PDN mengalami gangguan yang diduga berasal dari serangan Ransomware sejak Kamis (20/6/2024) lalu.

Sampai hari ini, situasinya masih sama, belum ada penyelesaian dan kepastian atas jebolnya jantung digital PDN.

Yang jelas, sebagaimana diumumkan oleh Menkominfo Budi Arie, opsi penyelesaian menurut versi peretas hanya berupa tebusan, yakni sekitar Rp 131 miliar. Sementara opsi penyelesaian versi pemerintah, nampaknya publik belum mendengarnya.

Gangguan pada server PDN tersebut berdampak pada pelayanan imigrasi, baik di bandara, pelabuhan maupun di unit layanan paspor.

Bahkan menurut Kementerian Komunikasi dan Informatika (Kominfo), sebanyak 210 data instansi pemerintah telah terdampak atas serangan peretas tersebut, termasuk instansi-instansi pemerintahan di daerah.

Kejadian ini bukan yang pertama kalinya. Bahkan belum lama ini, berkas atau file-file komunikasi dan korespondensi Badan Intelijen Negara (BIN) dengan Istana pernah diretas, lalu data-datanya beredar di pasar gelap para hacker sebelum akhirnya permintaan tebusan diumumkan.

Cukup miris memang dengan apa yang terjadi pada dunia digital kita. Bagaimana mungkin negara berdaulat seperti Indonesia bisa "dikerjai" di ranah digital oleh aktor-aktor "non state" untuk tujuan ekonomi yang dangkal, seolah-olah Indonesia di ranah digital hanyalah "seonggok" mangsa yang bisa dijadikan "ATM" berjalan oleh para peretas yang berasal dari belahan dunia manapun.

Peretasan PDN kali ini semakin memperjelas fakta bahwa masalah keamanan digital atau cyber security Indonesia sudah menjadi masalah besar di hari ini, alias bukan sekadar masalah minor yang hanya dinarasikan dan dipresentasikan secara manis di ruang publik dengan terminologi-terminologi ciamik kekinian, tapi minim antisipasi dan implementasi saat terjadi peristiwa peretasan.

Pun lebih dari itu, peristiwa ini juga mengungkap fakta bahwa Indonesia sebagai salah satu negara besar di dunia, ternyata masih sangat minimalis dalam berinvestasi pada sektor keamanan siber atau cyber security.

Lihat saja, setiap kasus peretasan terjadi, ujungnya tak jauh dari urusan tebusan, lalu isu soal keamanan siber berlalu begitu saja, sampai peristiwa serupa menimpa lagi. Siklus seperti ini semestinya bisa dihentikan, bisa ditangkal, sehingga tidak perlu berulang terjadi.

Sejauh ini belum kita dengar grand strategy Badan Siber dan Sandi Negara (BSSN), misalnya, untuk memastikan keamanan ruang cyber kita.

Atau regulasi dan rencana kebijakan yang komprehensif dari Kementerian Komunikasi dan Informatika terkait pengamanan kedaulatan Indonesia di ranah digital.

Yang terjadi justru sebaliknya, alih-alih berbicara keamanan siber orang-per orang masyarakat Indonesia, justru data-data digital institusi-institusi pemerintah secara bergantian malah menjadi korban kejahatan siber itu sendiri.

Coba dibayangkan. Bagaimana mungkin pemerintah bisa berhadapan dengan para penjahat siber secara berani dan "well prepared", karena terkait mencegah iklan judi online berseliweran menyusup ke layar-layar digital masyarakat Indonesia saja Kemenkominfo belum memperlihatkan tanda-tanda mampu.

Polisi juga nampaknya tak berbeda. Aparat lebih senang melakukan razia ponsel masyarakat menengah ke bawah di titik-titik tertentu untuk mencari para penjudi online, lalu menggiring mereka ke kantor polisi.

Sementara penjaja layanan judi online dengan leluasa berganti-ganti merek dan nama tetap berseliweran di pelataran internet Indonesia.

Artinya dari sisi keamanan siber, dalam logika yang sama, pemerintah akan lebih nyaman dan senang mengambil langkah sama, yakni menegosiasikan angka tebusan, lalu menyiapkan tebusan, dan kemudian urusan dianggap selesai.

Lantas pertanyaannya, apa fungsi dari Kementerian Komunikasi dan Informatika, BSSN, atau Divisi Siber Kepolisian, dan lembaga terkait lainnya, jika akhirnya penyelesaiannya sangat transaksional seperti itu.

Semua lembaga negara yang terkait dengan dunia siber adalah tulang punggung pemerintah Indonesia dalam memastikan terwujudnya kedaulatan Indonesia di dunia siber dan di ranah digital.

Artinya, dihadapan siapapun di dalam dunia maya, Indonesia harus tetap dihormati layaknya di dunia nyata.

Dengan kata lain, investasi pertahanan Indonesia yang terus meningkat secara signifikan, terutama semenjak Prabowo Subianto menjadi Menteri Pertahanan, ternyata baru menyentuh sisi konvensional dari pertahanan tersebut.

Sementara saat serangan siber terjadi, pesawat tempur mahal dan senjata perang canggih yang telah dibeli nyatanya tak bisa digunakan untuk melawan.

Sebagai informasi, pemerintah Indonesia menetapkan anggaran Kemenhan pada 2024 sebanyak Rp 139,26 triliun, anggaran paling jumbo dibanding kementerian manapun di tanah air.

Bahkan jika dihitung dari periode 2020-2024, total anggaran Kemenhan mencapai Rp 692,92 triliun, jumlah yang cukup kontras jika disandingkan dengan realitas pertahanan dan keamanan siber hari ini.

Sehingga muncul pertanyaan, bagaimana nanti jika alat, senjata, pesawat, kapal perang, tank, dan instrumen pertahanan lainnya, justru diretas dan digunakan untuk mengganggu sektor pertahanan Indonesia?

Bukankah itu akan menjadi lelucon yang akan ditertawakan oleh dunia karena sistem pertahanan nasional justru tidak bisa diandalkan karena tidak mampu bertahan dihadapan para penjahat siber.

Ada banyak efek negatif destruktif jika sektor keamanan siber tak segera dibenahi dan kemudian dibangun selanjutnya diperkuat secara serius.

Kejahatan cyber tidak saja menyebabkan kerugian secara ekonomi dengan nominal yang tidak sedikit, tapi juga membahayakan keamanan dan pertahanan negara beserta masyarakat yang ada di negara tersebut.

Data-data rahasia negara menjadi semakin rentan diretas dan diperjualbelikan di pasar gelap, bahkan fasilitas serta utilitas publik yang dikelola oleh negara untuk kepentingan umum bisa dibajak melalui jalur siber dan dijadikan alat untuk menebar ketakutan publik, bahkan dijadikan sebagai alat terorisme baru yang berpotensi memakan banyak korban.

Secara ekonomi, menurut data The Institute of Internal Auditors (IIA), secara global kerugian ekonomi akibat kejahatan cyber tak kurang dari 8,44 triliun dollar AS sepanjang tahun 2022.

Bahkan, menurut proyeksi Statista Technology Market Outlook, di tahun 2024 potensi kerugian ekonomi akibat cybercrime bisa menjadi 14,5 triliun dollar AS dan di tahun 2025 diproyeksikan menjadi 17,5 triliun dollar AS.

Angka kerugiannya secara ekonomi sangat besar dan potensi kerugiannya semakin besar untuk tahun-tahun mendatang, jika tidak diambil tindakan segera.

Di Indonesia, tahun 2021 saja tercatat sebanyak 239,74 juta serangan siber. Menurut Badan Siber dan Sandi Negara (BSSN), Jakarta menjadi target utama serangan siber di Tanah Air.

Jumlah serangan siber yang mengarah ke Ibu Kota tercatat sebanyak 49,04 juta kali pada 2021. Posisinya disusul Aceh dengan 46,13 juta serangan siber pada tahun yang sama.

Kemudian, sebanyak 39,62 juta serangan siber ke Jawa Barat. Ada pula serangan siber ke Jawa Tengah dan Jawa Timur masing-masing sebanyak 22,4 juta kali dan 19,9 juta kali.

Selain kerugian ekonomi, sebagaimana pernah saya jelaskan pada tulisan-tulisan saya yang terkait dengan cyber security, urgensi cyber security terkait erat dengan masalah pertahanan dan kedaulatan negara.

Dunia siber saat ini sudah pelan-pelan menjadi dunia yang diakui dan dimanfaatkan secara maksimal oleh semua pihak.

Sehingga semua pihak, termasuk negara Indonesia yang diwakili oleh pemerintahan (Menkominfo, BSSN, dll) juga harus hadir secara bermartabat dan berdaulat layaknya di dunia nyata.

Memang perkembangan teknologi informasi dan komunikasi telah memberi banyak kemudahan dalam menjalankan aktivitas pemerintahan. Pemerintahan tentu telah menerima dan merasakan manfaat tersebut.

Namun seiring dengan itu juga lahir dan tumbuh ancaman baru yang berdampak bagi kestabilan dan kedaulatan negara juga, yakni ancaman kejahatan siber dan perang siber.

Ancaman tersebut bisa datang dari negara lain (cyber warfare) atau dari aktor nonstates (cyberterrorism).

Secara umum, cyber warfare merupakan perkembangan dari cyber attack dan cyber crime. Cyber warfare dapat diartikan sebagai perang di arena cyberspace.

Namun, serangan di dalam peperangan siber berbeda dengan penyerangan dalam perang konvensional atau perang fisik. Media utama yang digunakan di dalam cyber warfare adalah komputer dan internet.

Objek yang diserang dalam cyber warfare pun bukan wilayah fisik, wilayah teritorial ataupun wilayah geografis, namun objek-objek di dalam cyberspace yang dikuasai oleh negara.

Salah satu contoh kasus cyber warfare yang terkenal adalah kasus antara Amerika Serikat dengan Iran tahun 2008. Saat itu Amerika Serikat merusak sistem sentrifugal Pembangkit Listrik Tenaga Nuklir milik Iran via cyber warfare.

Sementara itu, cyber terrorism merupakan aktivitas sejumlah jaringan atau kelompok teroris yang bertujuan mengganggu keamanan sosial, politik, dan ekonomi suatu negara dengan memanfaatkan kekuatan teknologi internet.

Misalnya, seperti menyerang website resmi pemerintah, melakukan penyadapan jaringan komunikasi strategis politik, mencuri sumber data elektronik perbankan, dan sebagainya.

Aktivitas siber ini sangat berbahaya karena dapat menyebabkan kepanikan dan ketakutan dalam skala besar.

Lantas bagaimana dengan Indonesia? Sudah sejauh mana atau sesiap apa kekuatan pertahanan dan keamanan siber Indonesia untuk melakukan cyber-warfare atau untuk menumpas cyberterorism?

Dari rentetan kasus peretasan yang terjadi, atau dari maraknya peredaran jasa judi online yang telah menelan uang masyarakat Indonesia ratusan triliunan setiap tahun, tapi gagal dibasmi oleh pemerintah, nampaknya pertanyaan tersebut terlalu utopis di mata pemerintah.

Jangankan mengejar dan menghukum para penjahat siber, saat diminta menindak para penyedia jasa judi online yang telah mengeruk uang rakyat ratusan triliun rupiah saja pemerintah malah memilih strategi pencegahan.

Jadi peristiwa kali ini sangat besar kemungkinan akan berakhir dengan transaksi yang indah (happy ending transaction) di antara kedua belah pihak, yakni pemerintah (Kemenkominfo, BSSN, Divisi Siber Polri, dll) dengan peretas atau penjahat siber.

Setelah itu, semuanya akan kembali seperti semula, sampai kasus yang sama terjadi lagi dan transaksi serupa akan terulang lagi.

Jadi, jika negara saja memilih berdamai dengan ancaman kejahatan siber, berdamai dengan fakta-fakta keras terkait dengan buruknya infrastruktur siber dan minimnya strategis cyber defense, maka apa kabar dengan keamanan data pribadi orang per orang masyarakat Indonesia?

Tentu asumsinya saderhana saja, jika pemerintah sendiri tak melindungi negara di ranah maya dan dunia siber, maka masyarakat Indonesia pun nampaknya sulit untuk berharap akan dilindungi juga di ranah digital oleh pemerintah.

Padahal dua hal tersebut harus dijalankan secara bersamaan. Pembenahan dan peningkatan investasi untuk pertahanan dan keamanan siber negara harus diarahkan tidak saja untuk kemananan dan pertahanan negara di ruang siber, tapi juga untuk memperkuat daya lindung negara atas keamanan data pribadi masyarakat.

Dalam konteks ini, pemerintah perlu banyak belajar dari dunia perbankan nasional, mulai dari Bank Indonesia sampai bank-bank besar nasional lainnya.

Sektor perbankan sangat sensitif terhadap perkembangan zaman dan teknologi di satu sisi dan sangat mengutamakan aspek keamanan data nasabahnya, terutama di dunia maya dan ranah siber.

Sebelum saya menutup tulisan sederhana ini, saya ingin kembali mengingatkan kepada semua pihak, terutama pemerintah bahwa kita tidak bisa mengelak dari perkembangan zaman dan teknologi.

Jangankan mengelak, tertinggalpun semestinya tidak boleh, jika Indonesia memang ingin seperti yang digambarkan di dalam visi misi Prabowo Subianto sebagai Presiden terpilih periode 2024-2029, yakni kuat dan berdaulat.

Dan terkait dengan ancaman siber ini, sebagai penutup, saya ingin mengutip pakar IT dunia, Richard Clark. Katanya, “If you spend more on coffee than on IT security, you will be hacked.”