BSSN, SolarWinds, dan Ujian Keterbukaan

SolarWinds. | Foto: wrbco.com

KASUS serangan siber yang menargetkan perangkat lunak manajemen jaringan TI, Orion, milik SolarWinds sudah sepekan lebih berjalan.

Inggris termasuk negara di luar Amerika Serikat yang cepat merespons insiden tersebut. Selain mengeluarkan panduan keamanan bagi pelanggan, Inggris juga mendesak para pelanggan di negara tersebut melaporkan ke badan perlindungan data pribadi, ICO, jika memang terpengaruh peretasan dan ditemukan pelanggaran data (data breach).

Indonesia memang merepons cepat insiden tersebut. Badan Siber dan Sandi Negara (BSSN) juga mengeluarkan panduan keamanan bagi pelanggan yang kemungkinan terpengaruh. (Baca: Pengguna Orion SolarWinds di Indonesia yang Terkena Dampak Malware, Ini Saran BSSN)

Hanya, BSSN tak memiliki kewenangan untuk mendesak pelanggan melaporkan diri. Bahkan, sebagai badan siber tertinggi di Indonesia, BSSN tak memiliki data pelanggan SolarWinds yang kemungkinan terkena dampak. BSSN beralasan bahwa itu urusan distributor perangkat lunak dengan pelanggan. Data itu tak pernah dibagikan kepada pemerintah. (Baca: Terkait Peretasan Orion SolarWinds, Jubir BSSN: Kami Tak Miliki Data Pengguna di Indonesia)

BSSN sejauh ini memang sebatas memberikan saran, tak memiliki langkah proaktif bertindak lebih dulu, layaknya jemput bola, jika terjadi serangan siber di luar organisasi pemerintah.

Sebut saja, kasus pelanggaran data Tokopedia yang menimpa 91 juta akun pelanggan. BSSN sama sekali tak ada tindakan nyata untuk merespons cepat dan memberikan, setidaknyanya ketenangan dan kepastian hukum untuk melacak atau menginvestigasi kasusnya.

Sejauh ini belum ada pernyataan resmi terbuka dari BSSN bagaiman kelanjutan investigasi pemerintah soal pelanggaran itu. Kementerian Kominfo selalu menjadi lembaga yang dijadikan limpahan untuk dikejar wartawan. Sementara kementerian ini juga sami mawon—tak ada keterbukaan informasi. Itu belum kasus pelanggan data Bukalapak, Bhinneka, Cermati.com, KreditPlus dan lain-lain.

Pembelaan bahwa kasus seperti itu butuh penyelidikan lama dan teliti, boleh-boleh saja. Namun, perjalanan penyelidikan tak pernah ada kabarnya. Ketika ditanya, pemerintah maupun perusahaan yang bersangkutan selalu berargumen: “masih penyelidikan”.

Sampai kapan menggunakan tameng “masih penyelidikan” untuk menolak pertanyaan media massa?

Jujurlah kepada publik, terutama pelanggan yang datanya telah terekspose dan rentan menjadi korban serangan siber. Mungkin, tidak setiap data itu ditarget penjahat siber, tapi potensi itu tetap ada, seperti penipuan identitas adalah paling memungkinkan.

Jarang terjadi di Indonesia sebuah perusahaan atau lembaga publik yang terkena serangan siber terbuka untuk mengakui dan membeberkan proses penyelidikan.

Aib. Rahasia negara. Rahasia perusahaan. Kepentingan bisnis. Malu. Reputasi. Citra atau banyak alasan lain yang menjadi pertimbangan sebuah organisasi tak mau terbuka.

Justru terbuka adalah pertanggung jawaban “Anda sebagai pengendali dan pengumpul data konsumen”. Membuktikan itu sikap gentle dan teladan bagi ekosistem keamanan siber.

Setelah mengumpulkan data konsumen yang bisa dimanfaatkan untuk keuntungan bisnis, lalu “Anda hanya pergi begitu saja karena alasan: kami pun korban. Jika tiap organisasi beralibi seperti itu, setiap terjadi pelanggaran data, lantas, konsumen mau ditempatkan dalam status apa?

Alasan perundangan-undangan mungkin menjadi batasan BSSN untuk bergerak. Apalagi RUU Pelindungan Data Pribadi juga belum ada—tertunda-tunda dengan alasan masa sidang DPR tak cukup menyelesaikan RUU pada tahun ini. RUU Keamanan dan Ketahanan Siber juga setali tiga uang, entah kapan dirampungkan.

Jika kedua RUU itu belum ada, pertanyaannya: apakah regulasi yang sudah ada saat ini, PP Nomor 71/2019, UU ITE, dan UU Perlindungan Konsumen belum cukup untuk membantu dan berpihak kepada konsumen?

Komitmen dari segi payung hukum saja pemerintah masih cenderung rendah, apalagi mau menindak.

Selalu yang dikejar-kejar adalah peretas. Padahal, tidak semua komunitas peretas itu jahat. Banyak komunitas peretas yang justru membantu perlindungan dengan menemukan kerentanan atau bug. Mereka inilah yang disebut white hat hacker.

Pemprov Jawa Barat saja berkolaborasi dengan komunitas sepert itu untuk membantu memperkuat layanan digitalnya yang mulai dimasifkan di seluruh kota/kabupaten.

Program VVDP yang didorong BSSN sebetulnya bagus untuk mengakomodasi kemampuan dan keterampilan peretas yang memburu kerentanan demi berhadiah tersebut. Sayang, sejauh ini VVDP hanya memberikan hadiah sebatas sertifikat. Andaikan ada penghargaan lebih, banyak peretas ini memilih jalur bug bounty untuk menyalurkan bakatnya, ketimbang merusak sistem pemerintah atau perusahaan.

Ujian

Peretasan perangkat lunak Orion sejatinya bisa menjadi cara publik menilai bagaimana lembaga pemerintah bekerja. Ujian bagi pemerintah terhadap keterbukaan informasi.

Barangkali Orion tak begitu dikenal bagi publik, berbeda dengan halnya Windows atau Android.

Namun, skala peretasan Orion adalah supply chain attack yang bisa berimbas ke mana-mana, karena malware “Sunburst” atau “Solorigate”—demikian nama yang diberikan oleh FireEye dan Microsoft ketika mendeteksi malware ditanam peretas ke Orion—bisa dipakai oleh peretas untuk masuk ke jaringan lain.

Orion mungkin hanya alat manajemen pemantau TI, tak ada hubungannya dengan data pribadi. Tapi, saya berada di posisi mendukung argumen ICO Inggris yang mengatakan, pelanggaran terhadap Orion bisa merembet ke pelanggaran data pelanggan meski sejauh ini belum ada bukti laporan menunjukkan pelanggaran tersebut. (Baca: Badan Perlindungan Data Inggris Desak Pelanggan Orion SolarWinds Segera Melapor)

Apa yang dilakukan ICO adalah sebuah langkah antisipasi. Dan, ini yang belum terlihat di Indonesia. Jangan-jangan pepatah klasik “lebih baik mencegah daripada mengobati” tak lagi bermakna untuk diterapkan lagi?

Terlebih, di situs web partner.solarwinds.com disebutkan bahwa mitra SolarWinds di Indonesia, yaitu PT Virtus Technology Indonesia, PT Westcon Solutions, dan PT Ingram Micro Indonesia.

Untuk mengonfirmasi apakah ada pelanggan Orion di Indonesia, saya mengontak nomor telepon PT Virtus dan PT Westcon yang tertera di situs web tersebut, tapi tak ada jawaban.

Adanya mitra bisnis SolarWinds di Indonesia, sangat dimungkinkan ada pelanggan Orion, tapi bisa pula tidak. Namun, keputusan BSSN mengeluarkan panduan keamanan terkait Orion, bisa kita maknai dan duga kuat bahwa ada pelanggan Orion di Indonesia.

Kasus ini menarik untuk dibahas secara publik karena dampaknya begitu luas di sejumla negara. Apalagi SolarWinds mengatakan ada 18.000 pelanggan di sejumlah negara.

Masih ingat kasus ransomware WannaCry pada 2017? Indonesia termasuk menjadi korban serangan. Jadi, jangan beranggapan bahwa serangan itu terjadi di AS, lalu Indonesia tak mungkin terkena imbas.

Serangan siber ibarat pandemi virus corona. Selama terkoneksi internet, serangan itu bisa meluber ke mana-mana.

Ada benarnya yang disampaikan Ketua Indonesia Cyber Security Forum, Ardi Sutedja K terkait kasus Orion ini. Ia mengatakan, agar pemerintah meminta semua organisasi publik menanggalkan perangkat yang terpengaruh jika memang menggunakannya.

“Lakukan audit keamanan siber secara menyeluruh dengan melibatkan BSSN, BAIS, BIN serta asosiasi-asosiasi profesi terkait,” ujar Ardi ketika saya tanya terkait SolarWinds.

Audit itu harus segera dilakukan, menurut dia, karena institusi yang melayani kepentingan publik jangan sampai terganggu oleh insiden tersebut.

“Karena insiden SolarWinds ini dianggap sebagai bencana siber yang cukup besar dan global, bahkan banyak yang menyebutnya sebagai ‘Cyber 9/11’. Kita pun sudah seharusnya memiliki rencana kontijensi nasional yang melibatkan semua pengelola aset infrastruktur vital nasional,” Ardi menyarankan.

Belum lagi, selama ini lembaga pemerintah baik pusat hingga daerah belum menerapkan prinsip-prinsi keamanan siber dengan standar industri dan praktik terbaik, kata Ardi.

Proses lelang publik terhadap perangkat teknologi, juga dinilai Ardi cenderung disetir oleh distributor atau pemasok itu sendiri.

“Yang pasti prinsip keamanan dan ketahanan siber tidak ada. Tidak ada satu pun yang memeriksa atau memastikan perangkat dan teknologi yang mereka gunakan itu aman,” kata Ardi.

Pendapat Ardi memang tak secara spesifik menyangkut SolarWinds, tapi ia mencoba membuka wacana pemikiran dan menggugah kita semua untuk kembali menata pola pikir yang selama ini keliru tentang pemakaian perangkat TI.

Sudah saatnya ada badan yang memang memonitoring bagaimana teknologi informasi di negeri ini dibeli dan dipakai. Jangan sampai, Indonesia justru menjadi limbah teknologi dan ladang eksploitasi pasar teknologi informasi.

Keberpihakan pemerintah terhadap publik adalah nyawa untuk menghidupkan semangat ketahanan dan kedaulatan siber—juga keterbukaan informasi.

Semoga uneg-uneg ini didengar.

*Tulisan ini adalah opini pribadi penulis. Penulis adalah wartawan Cyberthreat.id