Pemilu 2024 dan potensi serangan siber di ruang digital

Telepon seluler Ketua Indonesia Cyber Security Forum Ardi Sutedja kian sering berbunyi dalam beberapa hari terakhir. Notifikasi mengenai hiruk-pikuk Pemilu 2024 di media sosial kerap masuk ke ponselnya. Secara khusus, Ardi memang tengah memantau tren serangan siber di beragam platform media sosial. 

Sepemantauan dia, serangan siber mulai marak, terutama yang bersifat sosial. Sasaran serangan-serangan itu ialah generasi milenial dan generasi Z. Targetnya antara lain memengaruhi pilihan mereka jelang Pemilu 2024. 

"Jadi, (Pemilu) 2024 itu bukan hanya perubahan politik. Tapi, ada alih generasi. Ada transisi generasi ini yang tiada kesinambungan dengan generasi sebelumnya," kata Ardi saat berbincang dengan Alinea.id di Jakarta, belum lama ini. 

Ardi menduga bakal ada tiga jenis serangan siber yang muncul saat Pemilu 2024. Pertama, serangan siber yang menyasar perangkat keras. Kedua, serangan terhadap perangkat lunak dan aplikasi. Ketiga, serangan kognitif.

"Serangan kognitif ini menyerang pola pikir. Pola pikir itu dia dari konten-konten gratis. Sifatnya untuk mempengaruhi opini. Tetapi, memang tidak ada negara mana pun yang imun dari serangan siber ini," kata Ardi.

Serangan kognitif seperti penyebaran hoaks dan ujaran kebencian di ruang digital. Menurut Ardi, serangan semacam itu bakal marak lantaran jumlah pemilih dari kalangan generasi Z dan milenial yang terbilang besar, yakni sekitar 55% dari total pemilih. 

Serangan siber terhadap penyelenggara pemilu juga diprediksi bakal marak. Menurut Ardi, itu tak terlepas dari lemahnya sistem pertahanan siber yang dimiliki Indonesia. Ia menyebut pemerintah belum sepenuhnya siap mengantisipasi serangan siber kendati sudah memiliki Badan Siber dan Sandi Negara (BSSN). 

Sebagai gambaran, ia mencontohkan serangan siber terhadap sistem IT milik Bank Syariah Indonesia (BSI), beberapa waktu lalu. "BSSN ini lembaga baru dan kita masih belajar. Selain itu, walaupun SDM siber kita banyak, SDM kita itu masih minim jam terbang," jelas Ardi.

Serangan siber bersifat sosial, lanjut Ardi, tak bisa dianggap enteng. Ia mencontohkan momen Pilkada DKI Jakarta 2017. Ketika itu, hoaks, misinformasi, dan propaganda hitam marak di media sosial. Panasnya suhu politik di media sosial termasuk pemicu demo berjilid-jilid sepanjang Pilgub DKI. 

"Saat ini, kondisinya kita tidak akan mungkin sepenuhnya bisa mencegah serangan siber. Tapi yang bisa dilakukan adalah bagiamana mengantisipasi dampak terburuknya dari serangan siber di bidang perbankan dan kehidupan masyarakat," ucap Ardi.

Serangan siber terkait pemilu setidaknya telah dirasakan oleh Badan Pengawasan Pemilu (Bawaslu) RI. Maret lalu, Koordinator Divisi Penanganan Pelanggaran, Data dan Informasi Bawaslu, Puadi menyebut pihaknya telah menerima 7.650 laporan soal serangan siber yang tersebar di berbagai wilayah di Indonesia. 

Laporan serangan siber terbanyak terutama datang dari Bali, Sulawesi Selatan, Sulawesi Tengah, Kalimantan Barat, dan Sumatera Barat. Total sebanyak 116 kabupaten dan kota terdampak serangan-serangan siber tersebut.

Gangguan siber yang dilaporkan itu, kata Puadi, antara lain berupa usaha pencurian data rahasia milik Bawaslu, data penyelesaian sengketa proses pemilu, data pelanggaran administrasi, hingga usaha pencurian data pemilih. 

"Dampak dari serangan siber tersebut selain merusak sistem informasi dan mengganggu pelayanan publik, namun juga dapat menghilangkan data termasuk bocornya data pribadi sehingga berpotensi menimbulkan kekacauan politik dan ketidakpercayaan masyarakat pada pelaksanaan dan hasil pemilu," kata Puadi.

Penguatan sistem 

Komisioner Komisi Pemilihan Umum (KPU) Betty Eplison Idroos mengatakan mengamankan data pemilih jadi salah satu pekerjaan terberat KPU. Pasalnya, selain mengamankan data sensitif, KPU juga wajib transparan untuk data-data kepemiluan tertentu. 

"Data yang tersedia akan bisa diakses oleh publik sepanjang merupakan data terbuka. KPU juga harus melindungi data lain yang memang tidak diperbolehkan oleh undang-undang atau peraturan terkait, seperti sebagian elemen data pemilih yang wajib dirahasiakan," ucap Betty kepada Alinea.id, Sabtu (15/7).

Pada 2022 lalu, KPU sempat direpotkan dengan kasus bocornya 105 juta data kependudukan yang dikantongi lembaga tersebut. Ketika itu, data tersebut dibagikan di forum online “Breached Forums” oleh pemilik akun bernama Bjorka dan dijual seharga Rp US$5.000. 

Betty mengaku sudah mengantisipasi potensi serangan siber dengan memperbarui sistem teknologi informasi yang dirancang untuk hajatan Pemilu 2024. KPU juga sudah menerbitkan sejumlah peraturan untuk mengimplementasikan isi Undang-Undang Nomor 27 tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). 

"Ada pada PKPU 7 tahun 2022 dan PKPU 7 tahun 2023. Teknologi Informasi yang dimiliki oleh KPU produksi anak bangsa yang aktif turut serta dalam prosesi demokrasi melalui pemilu," ucap Betty.

Meski demikian, Betty mengakui sistem teknologi informasi yang dirancang KPU belum sepenuhnya tangguh menahan serangan-serangan siber. Ia berharap pihak di luar KPU turut membantuk untuk memperkuat sistem pertahanan digital KPU agar tidak mudah diretas. 

"Tidak ada yang sempurna seratus persen. Demikian juga sistem informasi yang diproduksi KPU. Oleh karenanya, kami menyadari dan mengajak seluruh masyarakat untuk turut andil dalam menjaga dan 
mengamankan sistem informasi kepemiluan," kata Betty.

Juru bicara BSSN Ariandi Putra mengatakan saat ini BSSN tengah berupaya memperkuat tujuh instansi prioritas terkait pemilu, termasuk di antaranya KPU dan Bawaslu. Salah satu rekomendasi BSSN ialah agar instansi-instansi itu memperkuat sistem keamanan digital. 

"BSSN juga menginisiasi sebanyak 131 Computer Security Incident Response Team (CSIRT), yaitu tim tanggap insiden siber yang bertanggung jawab untuk menerima, meninjau, dan menanggapi laporan dan aktivitas insiden siber," ucap Ariandi kepada Alinea.id. 

Terkait mitigasi, menurut Ariandi, BSSN sedang mencoba mengamankan ruang siber nasional melalui tiga cara, yakni pendekatan people, process dan technology. People berarti upaya meningkatkan SDM di bidang keamanan siber. Itu salah satunya lewat pendidikan di Politeknik Siber dan Sandi Negara.

"Selain itu, BSSN juga menyelenggarakan pendidikan dan pelatihan di Pusat Pengembangan SDM BSSN dengan peserta dari seluruh kementerian dan lembaga," jelas Ariandi.

Sementara, prosess adalah langkah yang penguatan keamanan dan ketahanan siber dengan menyusun strategi keamanan siber nasional dan perlindungan infrastruktur informasi vital atau PIIV. "PIIV ini telah diwujudkan dalam Peraturan Presiden Nomor 82 Tahun 2022," kata dia. 

Di sisi teknologi, Ariandi berkata BSSM sedang berupaya memperluas jangkauan pengamanan ruang siber nasional. Pembentukan CSIRT di berbagai instansi dan lembaga merupakan salah satu upaya terkait penguatan di bidang teknologi. 

"BSSN juga berupaya melakukan penguatan tata kelola dengan menetapkan peraturan tentang standar dan sistem manajemen keamanan informasi, yaitu Peraturan BSSN No.8 tahun 2020 tentang Sistem Pengamanan Dalam Penyelenggaraan Sistem Elektronik dan Peraturan BSSN No. 4 tahun 2021 tentang Pedoman Manajemen Keamanan," kata dia.

Masih lemah 

Peneliti Lembaga Studi & Advokasi Masyarakat (ELSAM) Parasurama Pamungkas menilai tata kelola keamanan siber di Indonesia masih sangat lemah di berbagai lini. Salah satu penyebabnya ialah karena tidak adanya peta jalan (roadmap) yang jelas untuk memperkuat keamanan siber nasional. 

"Persoalannya bukan hanya dari BSSN itu sendiri, namun juga karena tata kelola keamanan siber di Indonesia masih lemah. Ini harus jadi perhatian DPR dan pemerintah untuk menentukan masa depan RUU Keamanan Siber yang saat ini masih mandek agar terdapat pembagian peran yang jelas di antara beberapa lembaga, serta memperkuat CSIRT nasional," kata Parasurama kepada Alinea.id. 

Dalam survei yang dirilis Mei lalu, perusahaan keamanan siber Fortinet menemukan lebih dari 66% organisasi di Indonesia melaporkan penerobosan keamanan siber dalam satu tahun terakhir. Lebih dari satu juta serangan siber terjadi setiap harinya menyasar individu, lembaga, dan perusahaan. 

Parasurama membenarkan frekuensi serangan siber tengah meningkat. Selain BSSN, ia juga menyoal lemahnya pengawasan dan tindak lanjut Kementerian Komunikasi dan Informasi (Kemkominfo) dalam menyikapi serangan-serangan siber yang terjadi. 

"Kominfo kecolongan dalam beberapa kali insiden kebocoran data baik di badan publik maupun badan privat. Ini tecermin dari apakah Kominfo menerbitkan hasil laporan ke publik atas beberapa insiden yang terjadi dan apakah ada sanksi yang tegas terhadap pengendali yang gagal melindungi data pribadi," ucap dia.

Menurut Parasurama Kominfo, dan BSSN masih setengah hati dalam memperkuat keamanan sistem elektronik di Indonesia. Padahal Kominfo memiliki tanggung jawab melindungi data pribadi dan BSSN memitigasi insiden keamanan siber.

"Kominfo saat ini masih memiliki kewenangan pengawasan berdasarkan Pasal 35 PP No. 71/2019 sehingga mereka perlu memastikan pelaksanaan prinsip pelindungan data pribadi dalam penyelenggaraan PSE publik termasuk terkait sistem informasi kepemiluan menggunakan standar yang sudah ada dalam UU PDP," kata Parasurama.

Terkait data kepemiluan, Parasurama mewanti-wanti agar sistem keamanan digital KPU dan lembaga penyelenggara pemilu lainnya segera diperkuat. Perpres Nomor 95 Tahun 2018 dan Peraturan BSSN No 4 Tahun 2021 dapat menjadi acuan KPU dan BSSN untuk memperkuat integritas data pribadi yang dimuat dalam aneka sistem elektronik KPU.

"Dalam konteks data pribadi, saat ini bisa mengacu pada prinsip-prinsip yang dimuat dalam UU PDP. KPU harus memastikan pelindungan privasi, baik by default maupun by design, dengan mengacu pada beberapa prinsip. Misalnya, dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan, dilakukan berdasarkan tujuan, adanya minimalisasi data, dilakukan secara akurat, lengkap, tidak menyesatkan, serta mutakhir," ucap dia. 

Tak kalah penting, lanjut Parasurama, ialah investigasi pelaku pembobolan data pribadi dan serangan siber. Pasalnya, kasus-kasus pencurian data pribadi dan serangan siber seringkali tidak sampai ke pengungkapan pelaku. Walhasil, kasus serupa terus berulang karena tak ada efek jera bagi pelaku. 

Terkait itu, ia menyebut Kemkominfo dan BSSN mesti berbagi peran. Saat pencurian data terjadi, Kemkominfo bertugas melakukan investigasi untuk mencari penyebab kegagalan pelindungan data dan menilai kerugian pada semua pihak, termasuk pengendali, prosesor, dan terutama subjek data. 

"Serta juga harus mengumumkan hasil investigasinya pada publik, hasil itu akan jadi acuan dalam memberikan sanksi terhadap pengendali data. Sementara tugas BSSN untuk mengidentifikasi sumber serangan, mencari kerentanan sistem, serta yang terpenting melakukan mitigasi serta audit berkala," ucap Parasurama. 

Alinea.id sudah berusaha menghubungi Direktur Jenderal Aplikasi Informatika (Dirjen APTIKA) Kementerian Komunikasi dan Informatika (Kominfo) Semuel Abrijani Pangerapan terkait kesiapan Kemkominfo dalam menangkal serangan siber jelang Pemilu 2024. Namun, Semuel tidak kunjung merespons permintaan wawancara Alinea.id.