“Kenakalan” Hacker Bjorka Dan Momen Pemerintah Rumuskan UU Enkripsi Data

Oleh: Andi Maslan, ST., M.SI, (Pakar Forensic dan Network Security Universitas Putera Batam, Student PhD University Tun Onn Hessein Melaysia)

Nama Bjorka menyita perhatian seluruh masyarakat Indonesia beberapa pecan terakhir. Seorang hacker ini telah membocorkan data-data pribadi para pejabat negara, juga data Presiden RI Joko Widodo beserta para menterinya.

Selain data pejabat negara, diperkirakan 1,9 juta data masyarakat juga bocor. Walaupun ada klarifikasi dari Menko Polhukam bahwa data yang bocor tersebut tidak terlalu rahasia, dikarenakan data tersebut dapat diperoleh dari manapun. Akan tetapi data-data tersebut tetap merupakan data pribadi yang tidak seharusnya bocor ke publik dan juga merupakan aset strategis suatu negara yang harus dilindungi.

Salah satunya penyebaran nomor telepon, tentunya sangat membahayakan karna bisa saja pemilik nomor tersebut mendapatkan panggilan dari orang-orang yang tidak bertanggung jawab, seperti penipuan, tawaran pinjaman online, penawaran kartu kredit dan lain sebagainya.

Aspek Keamanan Digital

Menurut para pakar dibidang keamanan bahwa ada beberapa aspek keamanan digital yang harus diperhatikan.

Pertama adalah Confidentiality yaitu pencegahan bagi mereka yang tidak berkepentingan terhadap data dan informasi. Secara umum dapat disebutkan bahwa kerahasiaan mengandung makna bahwa informasi yang tepat terakses oleh mereka yang berhakdan bukan orang lain.

Kedua Integrity, bahwa informasi yang tepat, tidak terjadi cacat maupun terhapus dalam perjalananya dari penyaji kepada para penerima yang berhak.

Ketiga Availability, yaitu ketersediaan data dan informasi pada saat di butuhkan. Secara umum maka makna yang dikandung adalah bahwa informasi yang tepat dapat diakses bila dibutuhkan oleh siapapun yang memiliki legitimasi untuk tujuan legal. Berkaitan dengan “messaging system” maka pesan itu harus dapat dibaca oleh siapapun yang dialamatkan atau yang diarahkan sewaktu mereka ingin membacanya.

Keempat Non-repudiation yaitu aspek ini menjaga agar seseorang tidak dapat menyangkal bahwa mereklah yang melakukan transaksi atau kejahatan.

Kelima Authentication yaitu suatu langkah untuk menentukan bahwa seseorang (atau sesuatu) adalah autentik atau asli. Melakukan autentikasi terhadap sebuah objek adalah melakukan konfirmasi terhadap kebenarannya. Sedangkan melakukan autentikasi terhadap seseorang biasanya untuk memverifikasi identitasnya. Pada suatu sistem komputer, autentikasi biasanya terjadi pada saat login atau permintaan akses.

Keenam yaitu Access Control, adalah suatu metode untuk mentransmisikan sinyal yang dimiliki oleh node-node yang terhubung ke jaringan tanpa terjadi konflik (hak akses).

Terakhir adalah accountability, yaitu pembatasan akses untuk memasuki beberapa lokasi. Proses Access Control ditujukan untuk memastikan bahwa hanya orang-orang yang berwenang dan punya alasan yang absah, terkait dengan operasi dan bisnis, untuk mendapatkan izin, dan memahami serta memenuhi persyaratan yang ditentukan dapat memasuki dan atau bekerja di dalam fasilitas.

Hal ini dimaksudkan agar keselamatan dan keamanan fasilitas, serta orang-orang yang berada di dalamnya dapat terjamin. Untuk memenuhi aspek tersebut tentu kita sebagai pemilik data harus dapat memahami pentingnya data tersebut untuk dijaga. Akan tetapi ada saja celah bagi orang yang ingin mencuri data tersebut.

Seperti pada saat kita melakukan pendaftaran terkait kebutuhan data pribadi seperti nasabah dengan membuka akun bank, registrasi di aplikasi BPJS, registrasi di aplikasi Peduli Lindungi dan lain sebagainya.

Pendaftaran secara online di beberapa website milik pemerintah dimungkinkan sangat tidak aman, karna setiap data yang diinput tidak menerapkan sistem kemanan seperti melakukan proses enkripsi pada setiap atribut atau data pribadi.

Kita tentu masih ingat peristiwa serupa yang menyasar BPJS pada Mei 2021 lalu. Lembaga sosial ini mengalami pembobolan data, diduga sebanyak 279 juta data penduduk Indonesia yang berasal dari BPJS kesehatan bocor dan dijual di forum hacker.

Dewan Pengawas (Dewas) BPJS Kesehatan mencermati risiko keamanan nasional pada isu kebocoran data yang diduga milik BPJS Kesehatan. Yang diantaranya mencakup data kependudukan anggota TNI dan Polri. Data yang dijual itu terdiri dari nama lengkap, KTP, nomor telepon, e-mail, NID dan alamat.

Sistem Enkripsi Untuk Menjaga Keamanan Data

Akan tetapi jika sistem atau website menerapkan sistem keamanan yang baik, maka data yang dicuri tidak bisa terbaca karna telah melewati proses enkripsi. Karna Sistem enkripsi melakukan pengacakan data menggunakan algoritma kriptografi yang bisanya diacak menggunakan simbol kode American Standard Code for Information Interchange (ASCII). Hasil pengacakan itu akan tersimpan dalam database.

Kita ketahui bahwa data-data yang bocor itu didapatkan dari database. Jika website atau sistem informasi yang dikembangkan menerapkan sistem enkripsi yang baik tentu data yang bocor sulit dibaca, karna telah dilakukan enkripsi atau pengkodean terhadap semua data. Sehingga untuk membacanya diperlukan kunci yang cocok, sesuai dengan proses enkripsi yang dilakukan.

Perlunya RUU Perlindungan Data Pribadi

Melihat beberapa website pemerintahan saat ini hampir dipastikan semua data-data yang diinput tidak menerapkan sistem enkripsi yang sepenuhnya. Para pengembang software biasanya hanya menerapkan enkripsi di user dan password admin menggunakan algoritma MD5 atau algoritma lainnya. Artinya, pengamanan hanya satu lapis tanpa menerapkan sistem keamanan dua langkah.

Sudah saatnya pemerintah dalam hal ini Kemkominfo membuat suatu kebijakan terkait dengan RUU Pelindungan Data Pribadi (PDP) seperti sistem informasi yang aman dengan menerapkan sistem enkripsi dan dekripsi pada semua platform website pemerintahan.

Jika tidak dilakukan tindakan yang cepat maka kejahatan cyber di Indonesia semakin membahayakan sehingga ini dapat merugikan masyarakat. Karena sesuai dengan aspek keamanan bahwa data pribadi harus dijaga dengan baik dan tidak boleh di expose kepihak kedua tanpa izin dari si pemilik data.

Saat ini banyak perusahaan yang membocorkan data pribadi seseorang dengan tujuan mendapatkan keuntungan, hal-hal semacam ini perlu peraturan yang ketat agar perusahaan tidak bebas menyebarkan data.

Jika perusahaan tersebut ingin menyebarkan data pribadi seseorang maka sistem harus terkoneksi ke pemilik data dan pemilik datalah yang membuka sistem enkripsi yang dibuat dengan melakukan proses deskripsi.

Sehingga data yang telah di enkripsi di sistem perusahaan tersebut hanya bisa dibuka atau disebarkan atas verifikasi si pemilik data. Itulah merupakan cara kerja sistem yang baik jika suatu sistem menerapkan algoritma kriptografi yang baik.

Ilmu kriptografi sebenarnya telah lama diterapkan sejak zaman Romawi kuno yang merupakan sebuah metode yang digunakan untuk melindungi informasi dan saluran komunikasi melalui penggunaan kode.
Kode-kode ini nantinya ditujukan agar informasi tertentu hanya dapat dibaca serta diproses oleh mereka yang memiliki akses khusus, sehingga sudah seharusnya sistem pemerintahan yang baik dan menganggap data merupakan suatu aset berharga yang perlu dilindungi.

Tertantang Bisa Jadi Motif Utama Bjorka

Pertanyaannya, kenapa Bjorka melakukan hal ini?, tentu ini merupakan salah satu cara Bjorka untuk memperkenalkan jati diri dan merasa tertantang atas pernyataan para pejabat negara dan para netizen di Indonesia.

Bjorka juga mengaku ingin menunjukkan bahwa keamanan cyber yang dimiliki Indonesia sangat lemah dan mudah dibobol. Kutipan pernyataan BJorka “Saya hanya ingin menunjukkan betapa mudahnya bagi saya untuk masuk ke berbagai pintu karena kebijakan perlindungan data yang buruk. Apalagi jika dikelola oleh pemerintah,” tulis Bjorka.

Tanpa mengabaikan pernyataan Bjorka, saya berpendapat bahwa sebenarnya data-data penduduk Indonesia sebenarnya telah bocor sejak lama. BPJS Kesehatan juga mengakui kebocoran data 279 juta warga Indonesia akibat adanya tindakan peretasan sistem keamanan digital, dan ada dugaan data ini juga di manfaatkan oleh hacker Bjorka untuk membuka data pribadi seseorang.

Pastikan kita semua dapat menjaga data pribadi secara baik dengan tidak bebas memberikannya pada website yang tidak resmi. Juga pastikan website yang kita akses, minimal telah menerapkan sistem keamanan yang baik Security Socket Layer (SSL).