IT Pemerintahan Belum Aman, KPU Hingga Fintech Mudah Diretas

Jakarta, Cyberthreat.id - Ketua lembaga riset keamanan siber Communication and Information System Security Research Center (CISSReC), Pratama Persadha, mengatakan 98 persen sistem IT di lembaga pemerintah tidak aman. 

"Terlalu mudah untuk di-hack. Itu kalau Pemerintah yang punya anggaran saja bisa mudah di-hack, maka bayangkan UMKM atau sistem lain," kata Pratama dalam diskusi Masa Depan Keamanan Siber Indonesia di Universitas Paramadina, Jakarta, Rabu (25 September 2019).

Pemerintah, kata dia, harus mengubah mindset terkait keamanan/security di era digitalisasi dan sistem elektronik. Semua peralatan atau device dibeli dengan harga mahal dan modern, tapi selalu melupakan aspek security yang paling berharga.

Ia mengingatkan, bahwa Indonesia tidak akan diserang rudal untuk diperangi secara fisik, tapi berupa serangan informasi yang menjadi serangan siber.

"Sehingga saat ini orang-orang dari luar berlomba-lomba merebut informasi dan data dari Indonesia," ujarnya.

KPU, Fintech dan Paspampres

Dengan semakin besarnya resiko serangan dan ancaman siber, Pratama menilai Indonesia sangat membutuhkan undang-undang yang mengatur ruang siber. Dalam hal ini, ia merujuk kepada Rancangan Undang-undang Keamanan dan Ketahanan (RUU KKS) yang sekarang dibahas oleh Pansus DPR.

"Walaupun RUU KKS yang sekarang itu menurut saya ditunda dulu pengesahannya. Kenapa? Karena stakeholder lain enggak diajak ngomong seperti BIN, Kominfo, Cybercrime Polri, Kemhan, TNI untuk pembahasan lebih lanjut. Kan siber itu multi stakeholder," ujarnya.

Pratama memaparkan sejumlah contoh bagaimana rentannya keamanan siber di Indonesia. Tahun 2014, ia mewakli sebuah lembaga menjadi ketua IT KPU. Ketika itu, Pratama bersama timnya bisa menguasai server KPU dalam waktu 36 menit. Itu menunjukkan betapa mudahnya menyerang sistem KPU.

"Kami bisa tahu KPU itu punya 12 server dan semua source code kami tahu. Di situ kita bisa tambah suara, kita bisa tambah TPS, kita bisa tambah logistik dan menambah hasil. Saat itu anggaran IT KPU untuk Pemilu sebesar Rp 400 miliar yang semua datanya bisa dimasukkan ke dalam sebuah flashdisk seharga Rp 100 ribu," ujarnya.

Pratama juga telah membuktikan lemahnya security fintech yang beroperasi di Indonesia. Menurut dia, kelemahan security fintech tidak peduli apakah fintech itu ilegal atau terdaftar resmi di Otoritas Jasa Keuangan (OJK).

"Itu gampang sekali kami masuk ke dalam sistem fintech. Ambil semua datanya yang bisa mencapai 50 juta lebih seperti KTP, no telpon, no rekening dan lain-lain."

Semua kerentanan itu ditambah dengan kecerobohan banyak orang yang kerap bikin akun dengan password yang sama. Misalnya di Indonesia, banyak sekali yang menggunakan password yang sama di akun Facebook, email, Instagram, akun Bukalapak, akun Tokopedia hingga internet banking.

"Sehingga ketika satu akun kena, maka bisa masuk ke akun lain. Kemarin ada e-commerce bilang mereka secure, tapi kami bisa tunjukkan data yang bisa kami ambil. Masalahnya, siapa yang melindungi masyarakat dalam hal ini. Enggak ada kan," kata dia.

Pratama juga menyinggung data rekam medis di rumah sakit yang kebanyakan orang di dunia kedokteran belum memahami. Data-data medis, kata dia, digunakan seenaknya tanpa perlindungan.  

"Ini kan bisa disebut rakyat dizalimi. Ketika ada fraud di Perbankan, yang disalahkan rakyat. Padahal bank seharusnya membuat sistem transaksi dengan enkripsi yang kuat. Oleh karena itu, perlu ada aturan-aturan yang mengatur ranah siber ini."

Dari segi keamanan negara, Pratama mengkritik aparat yang masih menggunakan teknologi asing yang tidak ter-enkripsi. Ia mencontohkan Paspampres yang masih menggunakan email Yahoo sebagai report perjalanan Presiden Joko Widodo.

"Itu bisa diketahui mapping perjalanan presiden kita. Bayangkan di dalam report itu tertera rute, mapping dan informasi perjalanan presiden. Coba kalau musuh menyerang presiden kita bisa kan. Itu karena kita gunakan fasilitas email publik," ujarnya.