Akun Bjorka membuat heboh Indonesia di bulan September 2022. Dia mengaku meretas miliaran data dari Kementerian Komunikasi dan Informasi RI. Sebenarnya dia hanya daftar tambahan dari deretan pembuat gaduh dunia siber tanah air. Ya, sejarah mencatat beberapa pengaku hacker yang pernah membuat gaduh tanah air karena ulah serupa.
Hacker adalah sebutan untuk orang yang secara teknis menjebol sistem keamanan komputer (hacking), baik untuk tujuan positif maupun negatif. Bjorka dan deretan nama pembuat gaduh dunia siber lain sebenarnya belum tentu pelaku hacking, sebab sekali data dicuri, maka yang data tersebut bisa jadi "mainan" siapa saja.
Pencurian data siber (cyber exploitation atau data breaches) adalah salah satu bentuk kejahatan siber. Bentuk kejahatan lain adalah cyberattack yaitu penyusupan dan perusakan sebuah sistem pemrograman (National Research Council, 2014).
Meski pemerintah menyatakan bahwa data yang dibocorkan Bjorka bukanlah rahasia, keamanan siber harus jadi perhatian serius pemerintah. Sama seriusnya dengan pengelolaan kehidupan masyarakat di dunia nyata karena ada hak-hak pribadi di sana.
Esai ini tidak membahas peraturan atau teknis teknologi informasi tetapi hal yang justru menghasilkan keduanya, yakni kebijakan publik.
Tambang data
Cyber exploitation bukanlah hal baru. Di awal-awal internet menyerbu kehidupan masyarakat, yakni di akhir tahun 90an dan awal 2000an, kita sering mendengar pembobolan kartu kredit yang dilakukan para pelajar. Mereka pun pamer barang-barang keren yang dibeli dengan uang orang lain.
Sebenarnya, kalau hanya pencurian data pribadi seperti nomor telepon dan alamat, sejak jaman kakek-nenek kita juga sudah terjadi. Salin saja buku kuning alias Yellow Pages-nya perusahaan telekomunikasi.Â
Dulu, para lelaki suka melakukan investigasi receh itu untuk mengetahui alamat atau nomor telepon perempuan yang ditaksir.
Namun seiring kehidupan manusia yang sudah "bermigrasi" ke dunia siber, data-data pribadi yang "diumbar" lebih lengkap lagi. Data bahkan detail sampai ke daftar keluarga, keuangan, kebiasaan, dan jejak kehidupan sehari-hari.
Jejak kehidupan ini bisa luas cakupannya, seperti foto, video, rute perjalanan sehari-hari, tempat-tempat yang biasa dikunjungi, nomor telepon yang sering berhubungan, situs yang sering dikunjungi, peminatan produk, jadwal kerja, pokoknya semua aspek kehidupan yang bersentuhan dengan internet.
Apalagi aspek kehidupan kita saat ini yang tidak bersentuhan dengan internet? Smartphone pada umumnya terkoneksi dengan internet. Semua smartphone Android menyerahkan data ke Google sebab tanpa akun google Anda tidak bisa menggunakan perangkat pintar itu. Operating system yang lain sama saja, hanya soal perbedaan server penyimpanan.
Belum lagi bicara smarthome yang mencakup televisi hingga kamera pengawas. Pesawat, kapal, dan kendaraan darat, yang teknologinya sudah terintegrasi dengan internet, juga memberikan data setiap detik. Penelitian menunjukkan bahwa seseorang menciptakan rata-rata 1,7 MB data setiap detik. Total data yang diciptakan pengguna internet sekitar 2,5 kuintiliun bit dalam sehari (Prodanoff, 2022).
Itulah yang disebut Big Data. Demikian kayanya data yang dihimpun para penyedia layanan berbasis internet sehingga kita bisa dengan mudah mencari informasi apapun melalui mesin-mesin pencari.
Big Data ini yang diibaratkan seperti tambang, layaknya kekayaan perut bumi. Persoalannya tinggal siapa yang mau dan mampu menggalinya (data mining). Pelakunya cuma dua golongan: penambang legal dan penambang ilegal.
Penambang legal itu seperti peneliti, aparat pemerintah berwenang, dan masyarakat yang mengakses data umum yang tidak dirahasiakan di lapisan internet yang disebut Surface Web dan Deep Web. Sementara penambang ilegal ialah orang-orang yang tidak berhak terhadap data tersebut dan memperolehnya dengan cara-cara tidak sah di lapisan internet yang disebut Dark Web.
Keamanan data
Dulu, data-data seperti tanggal lahir, alamat rumah, dan nama anggota keluarga, tidak sembarang dibeberkan ke orang lain. Rasanya mustahil ada orang yang menuliskan data-data pribadinya di kertas besar lalu menempelkannya di persimpangan jalan.
Saat ini, hampir semua data pribadi "ditempelkan" di dunia siber, dunia yang sebenarnya sangat ramai dengan orang yang lalu lalang. Sebagian pengguna media sosial memang sengaja membagi-bagikan informasi tentang dirinya tetapi sebagian lagi tak ingin data pribadinya dikonsumsi banyak orang.
Sayangnya, dunia digital saat ini seakan memaksa pengguna untuk membeberkan data pribadi. Sering kali ketika mendaftar untuk suatu layanan yang berhubungan dengan digital, pengguna diminta untuk memasukkan nama asli, tempat dan tanggal lahir, Nomor Induk Kependudukan (NIK), Kartu Keluarga (KK), nama ibu, dan lain sebagainya.
Tambah lagi aplikasi-aplikasi di smartphone yang meminta akses ke kamera, penyimpanan data (storage), dan daftar kontak. Jika pengguna tidak menyetujui, maka pendaftaran batal diproses atau aplikasi tidak bisa digunakan. Sebuah fenomena yang luar biasa potensi bahayanya dan itu seakan dibiarkan.
Akhirnya, pengguna hanya bisa menggantungkan harapan pada si pihak yang meminta data untuk memegang janjinya menjaga kerahasiaan data. Janji yang sama sekali tidak bisa ditagih dan dibuktikan. Janji yang hanya ditulis sebagai pelengkap keterangan di mana pemegang data tersebut terdiri dari banyak karyawan.
Siapa yang bisa memastikan keamanan sesuatu benda yang bisa diakses banyak orang? Katakanlah pemilik layanan berintegritas, pejabat atau pegawai level menengah terikat perjanjian atau mengerti hukum. Bagaimana dengan pegawai level bawah yang pada umumnya malah tenaga kontrak tidak tetap? Hal ini terjadi di sektor swasta, juga pemerintah.
Faktanya, kasus kebocoran data pengguna layanan internet sering terjadi. Tahun 2018, terbongkar pemberian 87 juta data pengguna Facebook ke Cambridge Analytica (Wiryani, 2018). Tahun 2013 sampai 2017, tiga miliar data pelanggan Yahoo diretas (Santhika, 2017). Di Indonesia, 17 juta data pelanggan PLN diklaim bocor pada Agustus 2022 (Alfarizi, 2022).
Kebanyakan data yang bocor dimanfaatkan untuk marketing bisnis, namun ada juga yang digunakan untuk penipuan, dan sebagian lain bertujuan politik.
Kejahatan siber
National Research Council AS, pada tahun 1991, sudah mewanti-wanti soal keamanan siber karena melihat tren ketergantungan manusia terhadap komputer. Sebagaimana kita tahu, era 90an adalah awal masifnya penggunaan perangkat komputer dalam kehidupan sehari-hari.
National Research Council AS telah menyadari bahwa komputer rentan terhadap kecelakaan atau serangan yang disengaja. Pencuri modern bisa mencuri lebih banyak dengan komputer daripada dengan senjata. Teroris masa depan mungkin dapat melakukan lebih banyak kerusakan dengan keyboard daripada dengan bom (National Research Council, 2014).
Menurut National Research Council, kejahatan siber bisa terjadi jika tiga unsur ini terpenuhi: akses, program perusak, dan motif operasi. Semua kejahatan siber dimulai dengan akses. Akses yang legal berpotensi disalahgunakan sementara akses yang ilegal sama sekali tidak terkendali penggunaannya.
Unsur kedua dalam kejahatan siber adalah program perusak (malicious software/malware). Para penjahat menggunakan program tertentu untuk merusak sistem atau mengambil alihnya.
Unsur yang ketiga adalah motif operasi. Ada kondisi yang membangun rencana kejahatan siber tersebut. Para pelaku punya pertimbangan tujuan dan risiko ketika melakukan kejahatan siber tersebut. Oleh karena itu, upaya menjaga keamanan siber harus dilihat dari ketiga unsur tersebut.
Kebijakan publik
Adalah peran Pemerintah untuk mengatur tingkah laku dan interaksi segala komponen di dalam negara, termasuk di dunia siber. Untuk konteks Indonesia, Pemerintah, bersama-sama dengan legislatif membuat aturan, rambu-rambu, dan infrastruktur untuk mengatur "cara hidup" warga di dunia siber. Keputusan atas aturan, rambu-rambu, dan infrastruktur itu yang disebut kebijakan publik.
Dalam praktiknya, meskipun langkah-langkah teknis merupakan elemen penting, keamanan siber pada dasarnya bukanlah masalah teknis, namun analis kebijakan dan pakar lainnya mudah tersesat dalam detail teknis (National Research Council, 2014).
Dari survei yang dirilis situs Adobe Blog, hampir 90 persen para praktisi keamanan siber mengakui bahwa kebijakan publik mempengaruhi pekerjaan mereka (Arkin, 2018). 86 persen responden setuju bahwa peraturan pemerintah berdampak positif terhadap keamanan siber.Â
Meski demikian, masih ada jurang antara pembuat kebijakan dengan praktisi, yakni informasi yang kurang cepat dan akurat terkait perkembangan permasalahan keamanan siber dan rencana kebijakan yang diambil.
Langkah yang populer dalam pembuatan kebijakan publik adalah delapan langkahnya Eugene Bardach yaitu: Menemukan permasalahan, mengumpulkan bukti-bukti, mengonstruksi pilihan kebijakan, mempertimbangkan kriteria, memproyeksi hasil, mengadu pilihan-pilihan kebijakan, mengambil keputusan, dan menjelaskan kebijakan (Bardach dan Patashnik, 2015). Esai ini hanya mengantar kepada tahapan konstruksi kebijakan.
Kebijakan publik untuk keamanan siber memang kompleks dan dinamis. Kompleks karena melibatkan beragam institusi dan disiplin ilmu, dinamis karena keadaan sosial dan teknologi terus berubah.Â
Memerangi kejahatan siber secara efektif adalah tanggung jawab bersama para pemimpin politik, pemerintah, dan bisnis, akademisi, masyarakat sipil serta LSM. Upaya ini juga membutuhkan keputusan yang berani, pragmatis, multidimensi, dan tindakan inovatif yang strategis (Swiatkowska, 2020).
Meski demikian, prinsip pengelolaan masyarakat di dunia maya sebenarnya tidak jauh berbeda dengan kehidupan masyarakat di dunia nyata.Â
Banyak ahli yang telah menyatakan langkah-langkah menghadapi kejahatan siber, mulai dari hal pokok hingga rinciannya secara komprehensif.Â
Esai ini hanya coba melihat empat hal praktis untuk menjaga keamanan siber berdasarkan permasalahan di atas dan yang langsung merespons tiga unsur kejahatan siber (akses, program perusak, motif operasi).
1. Membuat panduan penghimpunan data pribadiÂ
Negara harus memiliki ketentuan yang mengikat tentang siapa yang boleh menghimpun data pribadi masyarakat dan data apa saja yang bisa dan tidak bisa diminta.Â
Saat ini, semua penyedia layanan TI berbasis internet seakan-akan bebas meminta banyak data pribadi pelanggannya padahal belum tentu berkaitan dengan layanan yang ditawarkan.
Masyarakat harus punya kekuatan untuk menolak permintaan data pribadi yang tidak relevan. Seperti di dunia nyata, ada wilayah-wilayah yang bersifat pribadi yang setiap orang berhak menjaganya dan itu dilindungi undang-undang. Jika aturan seperti itu ada, penyedia layanan bisa diberi sanksi jika meminta data yang tidak semestinya atau meneruskannya ke pihak lain.
2. Mengatur standar keamanan
Ada standar keamanan minimum yang harus dimiliki penyedia layanan IT berbasis internet. Misalnya standar prosedur, lokasi server, desain keamanan jaringan, dan kemampuan proteksi serangan virus dan malware. Lembaga berwenang memverifikasi kemudian memberikan tanda atau peringkat keamanan pada penyedia layanan untuk menjadi pertimbangan konsumen dalam berinteraksi.
3. Mengembangkan instrumen keamanan
Negara tidak bisa terus bergantung pada perangkat lunak asing. Bagaimana pun potensi peperangan siber tidak bisa dinafikan. Negara harus mulai membangun instrumen keamanan sendiri untuk membangun kedaulatan teritori siber. Misalnya mengembangkan teknologi pendeteksi aktivitas kejahatan siber, antivirus-malware lokal hingga sistem operasi.Â
Tahap lebih lanjut adalah kewaspadaan perangkat keras karena kejahatan siber juga bisa melibatkan perangkat keras seperti umumnya chip.
4. Operasi intelijen
Selain unsur akses dan perangkat, kejahatan siber juga terkait dengan perkembangan ekonomi, sosial, dan politik. Sama seperti kejahatan konvensional, keadaan mempengaruhi motif dan kesempatan pelaku.Â
Misalnya krisis ekonomi atau menjelang pemilihan umum. Oleh karena itu, intelijen harus memantau keadaan agar antisipasi dapat dilakukan secara efektif mengenai apa yang akan diserang dan kapan penyerangan berpotensi dilakukan.
Kebijakan ini berlaku untuk semua sektor, baik swasta juga pemerintah. Kemudian dalam menetapkan kebijakan teknis yang lebih rinci selanjutnya, harus dilakukan kajian ilmiah dan deliberasi publik. Dua hal ini berperan penting dalam efektivitas sebuah kebijakan.
Simpulan
Big data menjadi bagian dari kehidupan masyarakat saat ini. Tidak ada data di internet yang benar-benar aman. Oleh karena itu, keamanan siber dimulai dari proses pemasukan (input) data. Pengguna harus diedukasi dan diberikan kebebasan dalam memasukkan data.
Selanjutnya penjagaan dunia siber dipimpin oleh pemerintah, tak berbeda dengan tanggung jawab penjagaan dunia nyata. Perlu regulasi, peralatan, dan sumber daya manusia yang kuat untuk menghadapi serangan para penjahat.
Teknologi informasi adalah soal teknis. Bagaimana menyikapi dan mengelola keamanan siber sebuah negara adalah soal kebijakan. Bjorka memang si pembuat gaduh tetapi kegaduhannya harusnya bisa membangunkan si penjaga keamanan untuk lebih awas. Â (*)
Referensi:
Bardach, E. & Patashnik, E. M. (2015). A practical guide for policy analysis: the eightfold path to more effective problem solving. CQ Press
National Research Council. (2014). At the nexus of cybersecurity and public policy: some basic concepts and issues. The National Academies
Świątkowska, J. (2020). Tackling cybercrime to unleash developing countries’ digital potential. Pathways for Prosperity Commission Background Paper Series; no. 33
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H
