Analisis Pengamat Soal Kredensial Layanan Institusi Pemerintah yang Bocor dari Laporan DarkTracer

Pakar keamanan siber Alfons Tanujaya memberikan analisa mengenai laporan Q1 2022 dari DarkTracer mengenai kerentanan yang dimiliki pemerintahan Indonesia.

oleh Agustinus Mario Damar diperbarui 22 Apr 2022, 09:00 WIB
Diterbitkan 22 Apr 2022, 09:00 WIB
Ransomware
Ilustrasi soal kebocoran data. 

Liputan6.com, Jakarta - Berdasarkan laporan DarkTracer Q1 2022, pemerintah Indonesia merupakan salah satu sektor yang cukup banyak mengalami kebocoran data.

Laporan itu menunjukkan dari 849.859 kredensial yang bocor dari seluruh dunia, ada lebih dari 240.000 kredensial berasal dari sektor pemerintah Indonesia.

Sementara dari sisi domain dan subdomain yang bocor, dari 15.000 domain yang dilaporkan mengalami kebocoran data di seluruh dunia, domain milik pemerintah Indonesia tercatat sebanyak 3.714 atau 25 persen dari total domain yang dilaporkan mengalami kebocoran data.

Dari laporan, beberapa domain pemerintah yang diduga mengalami kebocoran data tersebut adalah dashboard.prakerja,go.id, sso.datadik.kemdikbud.go.id, djponline.pajak.go.id, gtk.belajar.kemdikbud.go.id, serta sscndaftar.bkn.go.id.

Meski terlihat banyak, menurut pengamatan pakar keamanan siber Alfons Tanujaya, tidak semua kebocoran data tersebut bersifat kritikal. Sebab, kebocoran kredensial yang terjadi cukup banyak berasal dari akun layanan pemerintahan, seperti akun layanan komplain, layanan perizinan atau layanan yang bersifat informatif.

"Namun banyak juga layanan kritikal, rahasia atau internal pemerintahan yang mengalami kebocoran seperti absensi pegawai, akun email, data laporan wajib pajak atau lembaga yang tugasnya mengurus keamanan data digital justru mengalami kebocoran kredensial, sehingga perlu menjadi evaluasi dan pembelajaran untuk mengamankan aset digital dengan baik," tulis Alfons dalam keterangan resmi yang diterima, Jumat (21/4/2022).

Menurut Alfons, data internal seperti absensi pegawai tidak bisa dianggap remeh, karena ada dua pertimbangan yang menjadi perhatian.

Pertama, jika data absensi tersebut dikumpulkan dan diolah menjadi big data, akan ada banyak informasi yang bisa didapatkan pihak luar, mulai dari kebiasaan ASN, kedisplinan ASN, termasuk pemetaan aktivitas ASN.

Alfons menuturkan, data tersebut lantas secara tidak langsung akan memberikan informasi cukup akurat mengenai kondisi pemerintah. Informasi tersebut meliputi kesolidan ASN, sense of belonging ASN, termasuk motivisi dan efisiensi kerja para ASN.

"Hal kedua yang tidak kalah penting adalah karena kebocoran kredensial absensi secara tidak langsung mencerminkan kemampuan pengelolaan aset digital (kredensial) yang kurang baik," tutur spesialis teknologi keamanan Vaksincom ini.

Padahal, kemampuan pengelolaan aset digital yang baik merupakan hal sangat penting. Karenanya, apabila pegawai pemerintah tidak memiliki kemampuan mengelola aset digital yang baik, lalu mendapatkan tanggung jawab mengelola data digital masyarakat, hal tersebut berpotensi berbahaya.

"Data tersebut akan mudah bocor dan masyarakat pemilik data yang akan menerima akibat dari kebocoran data tersebut, seperti data e-KTP yang bocor dan banyak dieksploitasi sampai hari ini," ujarnya melanjutkan.

 

* Fakta atau Hoaks? Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor Cek Fakta Liputan6.com 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.

keamanan siber
Pentingnya keamanan siber di era digital saat ini. 

Kredensial Pengguna Mailserver

Hal lain yang juga perlu menjadi perhatian adalah kebocoran kredensial pengguna mailserver. Menurut pantauan Vaksincom, ada kebocoran yang terjadi lebih dari 28 mailserver pada ribuan akun email di berbagai institusi pemerintah.

Kondisi ini bisa menjadi pintu masuk yang efektif bagi kebocoran data lain, karena berbekal kredensial mailserver yang bocor, peretas dapat mengirimkan email palsu yang mudah menembus perlindungan anti-spam dan lebih muda dipercaya penerima.

"Hal ini dapat dikembangkan dengan mudah seperti memalsukan diri sebagai administrator dari mailserver tersebut menipu pengguna email lain guna mendapatkan akses lebih jauh ke dalam sistem," ujar Alfons.

Kendati demikian, menurut Alfons, kebocoran data tidak melulu negatif, karena selalu ada dua sisi yang bisa diambil dari setiap kejadian, termasuk kebocoran data ini. Sisi positifnya, ia melihat ada tren positif dalam usaha digitalisasi atau implementasi teknologi informasi di layanan pemerintah Indonesia.

"Meskipun tetap harus dikawal dengan cermat karena dalam banyak sektor digitalisasi ini masih dilakukan setengah hati. Dan, yang terjadi bukan digitalisasi untuk memangkas birokrasi melainkan usaha yang terkesan menghabiskan dana saja," ujarnya.

Dalam hal ini, Alfons mencontohkan layanan kemigirasian yang sudah bertahun-tahun mengimplementasikan sistem digital, tapi hingga saat ini masih jalan di tempat. Sebab, pengurusan paspor dan urusan keimigrasian lain masih banyak dikeluhkan masyarakat.

Ia menuturkan, keluhan yang kerap dilayangkan masyarakat adalah soal mendapatkan layanan dasar, seperti nomor antrian secara online yang sangat sulit dan harus berebut. Bahkan, pengurusan sering kali kembali ke sistem lama, karena implementasi sistem digital sering bermasalah.

"Padahal informasi kependudukan dasar seperti KTP elektronik, KK dan informasi kependudukan pendukung lainnya sudah tersedia secara digital dan dapat diakses dengan mudah karena sudah disediakan oleh Dukcapil," ujar Alfons lebih lanjut.

Oleh sebab itu, Alfons memberikan apresiasi pada keseriusan Dukcapil untuk melakukan digitalisasi data kependudukan, sehingga bisa memangkas birokrasi. Terlebih, data tersebut cukup andal dan bisa digunakan untuk data dasar kebutuhan lain, seperti pendaftaran kartu SIM, pembukaan rekening, data wajib pajak, hingga aplikasi Peduli Lindungi.

Mengapa Akun Media Sosial Kementerian dan Lembaga Rentan Diretas? Ini Penjelasan Pakar

Di sisi lain, belakangan ini sejumlah akun media sosial, terutama Twitter dan Instagram, milik kementerian dan lembaga di Indonesia kerap diretas dan dibajak, lalu kemudian digunakan untuk hal yang tak semestinya.

Terkini, akun milik Twitter milik Dewan Pers @dewanpers dibajak untuk digunakan sebagai lapak jualan NFT oleh hacker tak dikenal.

Sebelumnya, akun media sosial Twitter resmi Kementerian Kelautan dan Perikanan (KKP) dengan nama @kkpgoid juga mengalami nasib serupa.

Begitu pula akun Instagram Kementerian Pariwisata dan Ekonomi Kreatif (Kemenparekraf) Republik Indonesia yang juga diretas oleh hacker dan akun tersebut sempat menghilang.

Lantas, mengapa akun media sosial kementerian dan lembaga rentas diretas dan dibajak?

Alasan mengapa kasus ini selalu berulang, menurut pakar sekaligus praktisi keamanan siber, Alfons Tanujaya, karena akun media sosial itu tidak dimaintain dengan baik.

"Kalau akun kementerian dibajak harusnya malu yah, kok institusi negara yang follower-nya sudah sedemikian banyak tidak dimaintain dengan baik," ujar Alfons kepada Tekno Liputan6.com, Sabtu (9/4/2022).

"Masih bagus dipakai untuk jualan NFT, bagaimana kalau dipakai untuk propaganda, fitnah atau menjual barang-barang yang melanggar hukum, seperti pornografi atau barang bajakan," sambungnya.

Ia menuturkan saat ini memang kesadaran atas pentingnya aset digital perlu digalakkan.

"Dalam hal ini pemerintah juga harus memiliki modal dasar yang kuat untuk mengamankan aset digital milik kemeterian atau lembaga," ucapnya memberikan saran kepada pemerintah.

Tips Agar Media Sosial Sulit Diretas

Untuk mencegah peretasan akun media sosial, Alfons menyarankan untuk melakukan 'Call Paman One-time'. Berikut ini penjabarannya.

Call: Pakai Truecaller untuk mengidentifikasi scam dan spam dari selular.

Paman (password manager), gunakan password manager untuk menyimpan informasi akun digital. Dan gunakan password manager cloud jika berbagi kredensial. Password akan disimpan dengan sangat aman dan tetap bisa dibagikan jika ada akun digital yang dikelola bersama.

One timeOne time password (OTP). Aktifkan OTP/TFA pada akun digital supaya kalau kredensial akun berhasil dicuri, akun tetap aman dan tidak bisa diambil alih.

Sebelumnya, akun Twitter Dewan Pers dengan nama @dewanpers dibajak oleh hacker tak dikenal untuk diigunakan sebagai lapak jualan aset non-fungible token (NFT)

Pantauan Tekno Liputan6.com, Sabtu (9/4/2021), saat ini akun bercentang biru milik Dewan Pers itu tidak memiliki foto profil. Sejumlah kicauan sebelumnya juga sudah menghilang.

Kabar pembajakan akun Twitter ini pun diinformasikan oleh Direktur Eksekutif Southeast Asia Freedom of Expression Network (Safenet), Damar Juniarto, melalui Twitter.

"Akun Twitter @dewanpers kena retas sejak kemarin. Semoga cepat ditangani karena sudah seharian isinya jadi segala rupa. Saatnya perkuat keamanan digital dengan sejumlah langkah digital hygiene : ganti password, 2FA, manajemen identitas," tulis @DamarJuniarto.

(Dam/Isk)

Lanjutkan Membaca ↓
Loading

POPULER

Berita Terkini Selengkapnya