Dugaan Peretasan Data ASN Diinvestigasi, BKN Imbau Pengguna Layanan Perbarui ”Password”
BKN bersama BSSN dan Kemenkominfo tengah menginvestigasi dugaan peretasan data ASN. Data ASN dijual Rp 160 juta.
Oleh
PRAYOGI DWI SULISTYO
·3 menit baca
JAKARTA, KOMPAS — Badan Kepegawaian Negara, Badan Siber dan Sandi Negara, serta Kementerian Komunikasi dan Informatika sedang mengidentifikasi dan menginvestigasi munculnya dugaan kebocoran data aparatur sipil negara atau ASN. BKN memastikan dugaan peretasan tersebut tidak berdampak pada layanan manajemen ASN.
Pelaksana tugas (Plt) Kepala Biro Humas, Hukum, dan Kerja Sama BKN Vino Dita Tama dalam keterangan tertulis, Minggu (11/8/2024) mengatakan, BKN bekerja sama dengan BSSN dan Kemenkominfo melakukan identifikasi dan investigasi atas munculnya isu dugaan kebocoran data ASN.
”Investigasi ini bertujuan untuk memastikan keamanan data ASN dan mitigasi risiko yang perlu dilakukan,” kata Vino.
BKN memastikan dugaan gangguan ini tidak berdampak pada layanan manajemen ASN. Alhasil, tidak mengganggu proses berjalannya sistem elektronik yang di akses oleh masyarakat.
Meskipun demikian, BKN mengimbau kepada seluruh pengguna layanan BKN untuk segera memperbarui kata kunci (password). Pembaruan kata kunci wajib dilakukan secara berkala untuk menghindari hal-hal yang tidak diinginkan. Informasi perkembangan atas dugaan kebocoran data ini akan disampaikan kemudian.
Kompas sudah menghubungi Abdul Ghofur dari bagian Humas BSSN terkait dugaan peretasan di BKN. Namun, hingga berita ini diterbitkan, belum ada respons darinya.
Informasi dugaan peretasan disampaikan Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha melalui keterangan tertulis. Menurut dia, temuan itu berasal dari unggahan peretas dengan nama anonim ”TopiAx” di Breachforums, pada Sabtu (10/8/2024). Setelah itu, Pelaksana Tugas Kepala BKN Haryomo Dwi Putranto menyampaikan, BKN beserta BSSN rapat koordinasi pada Minggu pagi.
Menurut Pratama, pada TopiAx di Breachforums, peretas itu mengklaim berhasil memperoleh data dari BKN sebanyak 4.759.218 baris yang berisi data pribadi dari pegawai negeri sipil (PNS). Data di antaranya nama, tempat dan tanggal lahir, nomor SK PNS, golongan, jabatan, instansi hingga alamat dan nomor telepon seluler dari PNS tersebut.
”Selain data tersebut, masih banyak lagi data lainnya baik yang berupa cleartext maupun text yang sudah diproses menggunakan metode kriptografi,” katanya.
Breachforums disebut sebagai forum yang biasa dipergunakan untuk jual-beli hasil peretasan, dan peretas TopiAx telah menjadi bagian dari forum itu.
Pratama melanjutkan, peretas menawarkan seluruh data yang berhasil didapatkannya dengan harga 10.000 dollar AS atau sekitar Rp 160 juta. Dia juga membagikan contoh data berisi 128 ASN yang berasal dari berbagai instansi di Aceh.
CISSReC sudah memverifikasi secara random pada 13 ASN yang namanya tercantum dalam sampel data tersebut melalui Whatsapp, dan menurut mereka, data tersebut valid meski ada yang menginformasikan tentang adanya kesalahan penulisan digit terakhir pada nomor induk pegawai (NIP) dan nomor induk kependudukan (NIK).
Menurut Pratama, BKN telah meneken nota kesepahaman dengan BSSN untuk memperkuat data ASN dan meningkatkan kualitas pelindungan informasi dan transaksi elektronik pada 3 Oktober 2022. Namun, nota kesepahaman ini hanya berlaku satu tahun dan berakhir pada Oktober 2023. ”Belum diketahui, apakah BKN memperpanjang nota kesepahaman dengan BSSN tersebut atau tidak,” ucapnya.
Dengan semakin seringnya terjadi kejadian kebocoran data pribadi, Pratama mendesak pemerintah segera membentuk Badan Pelindungan Data Pribadi. Dengan demikian, bisa diambil tindakan serta sanksi bagi penyelenggara sistem elektronik (PSE) yang mengalami insiden kebocoran data tersebut.
Selain itu, harus dibuat aturan tegas, bahwa PSE yang tidak bisa menjaga sistemnya harus bisa dikenakan konsekuensi hukum, baik itu PSE publik maupun privat. Sebab, jika tidak, ia khawatir PSE tersebut tidak akan memperkuat sistem keamanan siber serta sumber daya manusia yang dimiliki.
”Sudah saatnya semua kementerian/lembaga, baik itu pemerintah pusat maupun daerah, diwajibkan melakukan asesmen kepada sistem IT yang dimilikinya secara menyeluruh sehingga bisa melihat keamanan sistemnya sendiri seperti hacker melihat sistem tersebut dari luar sana,” paparnya.
Dengan cara tersebut, bisa segera diketahui celah keamanan yang mungkin ada di sistem instansi pemerintah dan segera diambil langkah untuk menutup celah itu sebelum dimanfaatkan oleh peretas sebagai pintu masuk ke dalam sistem.
”Asesmen ini tidak hanya dilakukan satu kali saja, tetapi harus dilakukan secara rutin. Mengingat keamanan sistem informasi bukanlah sebuah hasil akhir, melainkan merupakan sebuah proses sehingga apa yang kita yakini aman pada saat ini belum tentu masih akan tetap aman pada keesokan harinya,” papar Pratama.