Ransomware adalah salah satu bentuk serangan siber yang semakin marak di Indonesia. Ransomware adalah perangkat lunak jahat yang mengunci data atau sistem korban dan meminta tebusan untuk membukanya.Â
Data tentang seberapa sering dan seberapa besar kerugian akibat ransomware sulit didapatkan karena banyak korban yang tidak melaporkannya. Namun, berdasarkan beberapa sumber, Indonesia menjadi negara dengan kasus serangan ransomware terbanyak di Asia Tenggara dan mengalami peningkatan 30 persen pada tahun 2022.Â
Salah satu kasus terbesar adalah serangan terhadap Bank Syariah Indonesia (BSI), bank syariah terbesar di Indonesia, yang diduga dilakukan oleh kelompok hacker LockBit pada bulan Mei 2023. Kelompok ini mengklaim telah mencuri data 15 juta nasabah dan karyawan bank dan meminta tebusan sebesar $50 juta. BSI menolak membayar dan mengatakan telah memulihkan layanannya.
Ransomware menjadi bisnis yang menguntungkan bagi para penjahat siber karena mereka tidak perlu mencari pembeli untuk data yang mereka curi. Mereka cukup menjualnya kembali ke korban mereka sendiri. Selain itu, mereka juga dapat menyewakan alat dan infrastruktur mereka kepada penjahat lain yang ingin melakukan serangan ransomware. Ini disebut sebagai ransomware-as-a-service. Salah satu penyedia layanan ini adalah DarkSide, yang bertanggung jawab atas serangan terhadap Colonial Pipeline di Amerika Serikat pada tahun 2022.
Faktor lain yang membuat ransomware mudah dilakukan dan sulit ditangani adalah kurangnya perlindungan data pribadi di Indonesia. Meskipun Indonesia memiliki Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) dan perubahannya pada tahun 2016, undang-undang ini tidak memberikan definisi yang jelas tentang data pribadi, hak pemilik data, atau sanksi bagi pelanggar. Selain itu, Indonesia juga belum memiliki undang-undang perlindungan data pribadi yang komprehensif, meskipun rancangan undang-undang tersebut telah diajukan sejak tahun 2016. Hal ini menyebabkan korban ransomware tidak memiliki jalan hukum yang efektif untuk mendapatkan ganti rugi atau mencegah kebocoran data mereka.
Indonesia menghadapi peningkatan risiko serangan ransomware terhadap infrastruktur penting
Ransomware adalah jenis serangan siber yang mengenkripsi data korban dan meminta uang tebusan untuk membebaskannya. Ransomware telah menjadi masalah serius selama bertahun-tahun, mempengaruhi berbagai sektor seperti layanan kesehatan dan pemerintah daerah. Namun, serangan baru-baru ini terhadap Colonial Pipeline di Amerika Serikat, yang mengganggu pasokan bahan bakar untuk jutaan orang, telah menunjukkan bahwa ransomware juga dapat menargetkan infrastruktur penting, yang berarti sistem penting yang mendukung ekonomi dan masyarakat. Serangan tersebut dilaporkan dilakukan oleh kelompok kriminal yang berbasis di Rusia, yang mungkin mendapatkan perlindungan atau toleransi dari pemerintah Rusia. Hal ini menimbulkan pertanyaan apakah serangan semacam itu akan menghadapi konsekuensi atau pencegahan dari komunitas internasional. Jika tidak, lebih banyak penjahat siber yang mungkin tergoda untuk menargetkan infrastruktur penting di negara lain, terutama yang memiliki pertahanan keamanan siber yang lemah.
Salah satu negara tersebut adalah Indonesia, yang telah mengalami lonjakan serangan ransomware dalam beberapa tahun terakhir. Menurut perusahaan keamanan siber Palo Alto Networks, kasus ransomware dan pemerasan melalui platform digital di Indonesia meningkat sebesar 30 persen (year-on-year) pada tahun 2022. Terdapat 14 kasus ransomware yang menyerang berbagai sektor, menyebabkan kerugian 20 kali lipat lebih besar dibandingkan tahun 2021. Indonesia menduduki peringkat ketiga di Asia Tenggara dengan serangan ransomware terbanyak, setelah Singapura dan Thailand. Badan Siber dan Sandi Negara (BSSN) juga melaporkan bahwa ransomware setara dengan 50 persen dari kasus serangan siber yang dilaporkan di Indonesia pada tahun 2022. Serangan ini biasanya menargetkan individu tertentu melalui panggilan telepon dan email, dan meminta tebusan untuk data mereka.
Terlepas dari ancaman ransomware yang terus meningkat, Indonesia belum mengimplementasikan undang-undang perlindungan data yang komprehensif atau undang-undang keamanan siber. Yang paling dekat adalah UU No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) dan amandemennya di tahun 2016, yang hanya secara tidak langsung membahas masalah perlindungan data. Undang-undang ini mengizinkan pemilik data untuk meminta perintah pengadilan untuk menghapus data pribadi mereka dari situs web, tetapi tidak mendefinisikan klasifikasi data pribadi atau menentukan hak dan tanggung jawab pemilik dan pemroses data. Undang-undang ini juga memberikan pemerintah wewenang untuk memblokir konten online yang melanggar hukum atau moral Indonesia, yang dapat disalahgunakan untuk tujuan penyensoran. Rancangan undang-undang perlindungan data pribadi, Undang-Undang Perlindungan Data Pribadi (UU PDP), diperkenalkan pada tahun 2016, tetapi terhenti karena ketidaksepakatan antara legislatif dan eksekutif. Saat Indonesia bersiap menjadi tuan rumah KTT G20 pada November 2023, masih belum jelas apakah Indonesia akan dapat mengesahkan RUU tersebut tepat waktu dan meningkatkan postur keamanan sibernya.
