Integritas Para Penjaga Data

Jakarta –

Peretasan Pusat Data Nasional Sementara (PDNS) yang mengakibatkan tersanderanya data berbagai instansi pemerintah Indonesia merupakan peretasan paling parah dari sekian banyak pemberitaan tentang kebocoran data dan peretasan sistem di sektor pemerintah. Publik Berulang kali dipaksa maklum dengan semua insiden siber yang terjadi karena kelalaian pemerintah dalam menjaga data di sistem yang diselenggarakan oleh pemerintah.

Lemahnya keamanan siber pada sistem di sektor pemerintah ditunjukkan dengan berbagai berita insiden kebocoran data maupun jual beli data di situs dark web. Menkominfo, Budi Arie dalam konferensi pers 24 Mei 2024 menyebutkan ada 22.714 halaman situs pemerintah yang Sebelumnya disusupi konten judi online pada 2023 – 2024. Hal ini menunjukkan bahwa peretas yang berafiliasi dengan jaringan judi online Sebelumnya memanfaatkan kelemahan sistem di sektor pemerintahan.

Mungkin, peretasan PDNS dan penyanderaan data Pada Di waktu ini merupakan pembalasan atas perampasan rekening yang dilakukan pemerintah dalam Pertempuran terhadap jaringan judi online. Tak kalah menarik Merupakan jual beli data milik instansi pemerintah di dark web. Data BRI Life, BPJS, Penyelenggara Pemungutan Suara, BSI, Kemenhan, Dukcapil, dan banyak lagi pernah ditawarkan di dark web. Terbaru pada Juni 2024, data INAFIS POLRI dan BAIS TNI Bahkan dijual di dark web. POLRI Sebelumnya mengakui bahwa data yang bocor merupakan data INAFIS POLRI yang lama, sementara BAIS TNI masih melakukan penyelidikan terhadap kebocoran data yang Bisa jadi terjadi di sistem mereka.

Tidak heran Bila publik kembali mempertanyakan kinerja pemerintah dalam mengamankan sistem elektronik dan data di dalamnya. Padahal upaya pemerintah untuk menjaga ketahanan dan keamanan siber Sebelumnya lama diupayakan baik melalui regulasi maupun pembentukan lembaga siber yaitu Badan Siber dan Sandi Negara (BSSN).

Regulasi Keamanan Siber Tidak Menjamin Keamanan Data

Laporan National Cyber Security Index (NCSI) menyebutkan, Indonesia berhasil menempati peringkat ke-5 dalam indeks keamanan siber di Asia Tenggara pada 2023. Skor indeks keamanan siber Indonesia mencapai 63,64 Skor pada 2023, meningkat jauh Bila dibandingkan dengan skor indeks keamanan siber pada 2022 yang hanya mendapatkan 38,96 Skor dari 100 Skor.

Peningkatan skor indeks keamanan siber di Indonesia pada 2023 merupakan hasil kerja keras BSSN dalam mendorong pembentukan ratusan Tim Tanggap Insiden Siber (Computer Security Incident Response Team atau CSIRT) di berbagai sektor sesuai dengan Peraturan Kepala Negara Nomor 28 Tahun 2021 tentang Badan Siber dan Sandi Negara dan Peraturan BSSN nomor 6 Tahun 2021 tentang Organisasi dan Tata Kerja BSSN.

Meski Pada Di waktu ini tidak ada undang-undang khusus yang mengatur tentang keamanan informasi, Sekalipun kerangka regulasi keamanan data Sebelumnya ada di berbagai undang-undang dalam berbagai sektor, seperti Undang-Undang Telekomunikasi, Undang-Undang ITE, Undang-Undang Penyiaran, Undang-Undang Keterbukaan Informasi Publik, KUHP, Undang-Undang Pornografi, Undang-Undang Hak Cipta, Undang-Undang Perlindungan Konsumen, dan yang terbaru Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (Undang-Undang PDP).

Kewajiban penyelenggara sistem elektronik menjaga keamanan sistem elektronik dan datanya di sektor pemerintahan Bahkan Sebelumnya diatur dalam Peraturan Kepala Negara Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE) dan Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

Upaya pemerintah dalam menerbitkan regulasi terkait keamanan sistem dan transaksi elektronik sejak puluhan tahun lalu nyatanya belum menjadi solusi yang efektif untuk mengurangi kebocoran data dan kelemahan berbagai sistem elektronik di sektor pemerintahan. Meski nantinya Berencana ada undang-undang khusus terkait keamanan informasi yang terpadu, belum Tidak mungkin tidak Bahkan menjamin keamanan data dan sistem yang dikelola oleh pemerintah.

Integritas SDM Penting, Selain Kompetensi

Keamanan sistem dan data merupakan masalah yang penuh kompleksitas, seringkali sulit diatasi Bila hanya mengandalkan regulasi semata. Bila menggunakan kerangka PPT (People, Process, Technology) yang masih relevan sampai Hari Ini, keamanan data Berencana melibatkan tiga pilar yaitu orang, proses, dan teknologi.

Orang atau sumber daya manusia (SDM) menjadi faktor paling utama dalam menjaga keamanan data karena menjadi pihak yang paling lemah. Sekuat apa pun regulasi, konsep pengelolaan, strategi dan bahkan teknologi yang digunakan untuk mengamankan data, Bila sumber daya manusianya tidak patuh pada regulasi atau tidak paham pada penggunaan teknologinya, maka semua Berencana sia-sia.

Banyak kasus peretasan dan kebocoran data diduga terjadi karena kelalaian atau Bahkan keterlibatan orang dalam (ordal). Seperti halnya kelompok peretas LockBit yang terkenal sangat aktif merekrut ordal dan orang bertalenta di forum peretas untuk melakukan berbagai operasi pemerasan melalui ransomware.

Pada Di waktu ini Sebelumnya banyak orang berkompeten yang ditempatkan untuk membangun dan mengelola sistem elektronik di berbagai instansi pemerintah, baik pengembang swasta yang menjadi pemenang proyek maupun pegawai pemerintah yang berada di unit/departemen khusus pengelola sistem dan data.

Orang berkompeten artinya orang yang memiliki pengetahuan dan keterampilan yang relevan dengan pekerjaannya. Sekalipun Wajib diingat bahwa orang yang berkompeten, belum Tidak mungkin tidak Merupakan orang yang berintegritas, yaitu orang yang bertindak sesuai dengan nilai moral dan etika.

Pemerintah Sebelumnya giat menerbitkan dan menjalankan regulasi terkait keamanan siber, begitu pula BSSN yang sering melakukan berbagai kegiatan untuk Mengoptimalkan kompetensi keamanan siber di lingkungan instansi pemerintahan. Sekalipun, peretasan dan kebocoran data di sektor pemerintah masih saja terus terjadi.

Mungkin, masalahnya bukan pada regulasi dan kompetensi sumber daya manusia, Sekalipun masalahnya ada pada integritas para penjaga data. Siapakah para penjaga data? Semua pihak yang terlibat dalam pengembangan serta pengelolaan sistem termasuk data di dalamnya. Mereka seharusnya memiliki tanggung jawab moral menjaga sistem dan data yang Sebelumnya dipercayakan kepada mereka.

Sebelumnya saatnya pemerintah mulai menyusun tata kelola dalam memilih para penjaga data, tidak hanya dari kompetensi semata Sekalipun memperhatikan integritas para penjaga data. Pemerintah Wajib melakukan proses seleksi yang lebih ketat untuk para kandidat penjaga data baik melalui proses asesmen psikologi, maupun melalui penelusuran rekam jejak.

Orang yang berintegritas Sebelumnya Sebelumnya Tak perlu dijelaskan lagi mematuhi regulasi yang ada, dapat dipercaya, tidak mudah tergoda, memiliki tanggung jawab dan bertindak konsisten. Semua perilaku itu sangat penting terutama dalam mematuhi standar perilaku dan regulasi terkait keamanan informasi baik di level nasional maupun internasional.

Tidak Berencana ada lagi cerita penjaga data yang menjual data setelah proyek bersama pemerintah berakhir; cerita penjaga data yang membuka situs terlarang di server pemerintah sehingga menimbulkan celah keamanan; cerita penjaga data yang mengatakan sistem Sebelumnya Berkualitas padahal malas melakukan pembaharuan dan konfigurasi; cerita penjaga data yang sengaja menanamkan backdoor di situs pemerintah karena berafiliasi dengan peretas; atau cerita penjaga data yang mengabaikan laporan dari bug hunter. Semua cerita itu hanya menjadi cerita dalam Sinema, Bila saja para penjaga data kita selain memiliki kompetensi Bahkan berintegritas.

Oktavianus Ken M Ketua IPKINDONESIA-CSIRT