Kekhawatiran akan sistem keamanan informasi dan komunikasi di Indonesia mendorong mantan ketua Tim Lemsaneg Pengamanan IT Presiden, Pratama D. Persadha, untuk membentuk Lembaga Riset Keamanan Cyber dan Komunikasi atau Communication and Information System Security Research Centre (CISSReC). Untuk tujuan apa CISSReCdidirikan? Berikut wawancara Republika dengan Pratama D. Persadha, beberapa waktu lalu.
Apa yang melatarbelakangi dibentuknya CISSRec?
Latar belakang dari dibentuknya CISSReC sebagai lembaga riset keamanan teknologi siber adalah karena kondisi sistem informasi dan komunikasi di Indonesia saat ini sudah sangat memprihatinkan. Hal itu disinyalir dapat berpengaruh terhadap sejauh mana ketahanan sebuah bangsa terhadap ancaman dari dalam maupun luar negeri.
CISSReC selanjutnya bertindak sebagai lembaga yang melakukan riset mengenai keamanan sistem informasi dan komunikasi dan menyebarkan hasil riset sebagai bahan edukasi yang dilakukan terus-menerus kepada publik untuk mengampanyekan perihal keamanan sistem informasi dan komunikasi itu.
Apa visi dan misi yang diusung CISSReC sejak awal pembentukan?
Visi CISSReC adalah untuk membentuk kesadaran publik tentang isu keamanan sistem informasi dan komunikasi secara luas. Untuk misi, CISSReC memiliki tiga misi utama. Misi pertama, yaitu mengedukasi publik tentang keamanan komunikasi dan sistem informasi. Misi kedua, yaitu memublikasikan hasil-hasil kajian dan penelitian CISSReC di bidang keamanan komunikasi dan sistem informasi. Lalu, misi ketiga adalah berjejaring dengan berbagai lembaga dan komunitas masyarakat yang peduli akan pentingnya keamanan komunikasi dan sistem informasi.
Bagaimana kondisi sesungguhnya dari sistem keamanan informasi dan komunikasi di Indonesia?
Negara kita rugi triliunan rupiah setiap tahun, salah satunya karena kita tidak memperhatikan keamanan sistem komunikasi. Contohnya dalam perihal illegal logging dan illegal fishing. Pembasmian illegal logging dan illegal fishing tidak akan berjalan jika negara tidak memperbaiki sistem komunikasi informasi dan koordinasi.
Saat di laut, petugas kita berkomunikasi menggunakan radio, dengan frekuensi yang sama, pelaku illegal fishing bisa mendengarkan semua percakapan yang ada di udara. Sehingga, dengan melakukan penyadapan, pelaku illegal logging dan illegal fishing sebenarnya dapat mengetahui rencana kita. Mereka bisa kabur dan kembali sesuai dengan informasi yang mereka dapat.
Selain itu, keamanan sistem informasi vital negara juga sangat rawan penyadapan. Dari 2004 sampai 2015, Istana Kepresidenan itu tidak memiliki pengamanan sama sekali. Apalagi, sekarang ini Amerika Serikat mendapat izin mendirikan gedung 10 lantai, padahal gedung tiga lantai saja sudah bisa menyadap informasi di seluruh Jakarta. Jika gedung tersebut dibuat 10 lantai, bisa dipakai untuk menyadap seluruh Jabodetabek. Hal itu yang terkadang membuat negara tidak sadar bahwa informasi itu seolah tidak ada harganya.
Terlebih, negara dibawa ke dalam ancaman ketika Presiden Joko Widodo ingin mengganti sistem negara menjadi sistem elektronik. Apalagi, jika negara tidak menyadari betapa pentingnya keamanan sistem elektronik tersebut. Misalnya, dengan kebijakan penggantian kartu tanda penduduk (KTP) menjadi KTP elektronik atau e-KTP, Indonesia akan dengan mudah diserang dari sisi kevalidan data.
Dalam e-KTP, terdapat 180 juta data rakyat Indonesia. Meskipun bukan data rahasia, data privasi rakyat sangat perlu untuk dilindungi. Jika data itu diubah, akan terjadi kekacauan, apalagi ada isu server e-KTP ada di luar negeri. Sudah saatnya negara kita ini sadar bahwa pengamanan informasi itu sangat penting untuk dilaksanakan.
Kejahatan siber apa saja yang perlu diwaspadai oleh pemerintah dan masyarakat Indonesia?
Sejumlah kejahatan siber memang mengintai Indonesia, di antaranya penjebolan sistem dan pencurian data, hingga penyadapan. Sebenarnya, hacking yang dilakukan oleh hacker, dengan mengubah domain atau website, itu hanya mainan anak-anak. Masih banyak hal besar yang bisa dilakukan melalui kejahatan siber yang jika diketahui akibatnya oleh negara, negara akan takut.
Peretasan sistem dan pengambilan data paling sering dilakukan, kejahatan semacam itu banyak mengintai bank-bank di Indonesia. Tak jarang bank-bank mengalami kerugian hingga miliaran rupiah akibat ketidakamanan sistem.
Standardisasi pengamanan sistem di sejumlah bank masih belum jelas. Padahal, bank bertanggung jawab mengamankan data-data yang dimiliki oleh nasabah. Para hacker umumnya memanfaatkan kesalahan sistem yang ada di bank untuk mengambil keuntungan materi.
Selain itu, ATM kita hampir 90 persen masih menggunakan rumus Windows XP yang sejak akhir 2013 sudah disetop oleh Microsoft. Kalau tidak segera dimigrasi, hacker bisa menghancurkan Bank Indonesia melalui mesin ATM.
Hal kedua yang paling rentan dilakukan adalah penyadapan. Meskipun secara sah hanya ada tiga lembaga di Indonesia yang berhak melakukan penyadapan, yaitu Komisi Pemberantasan Korupsi (KPK), kepolisian, dan kejaksaan, penyadapan tetap bisa dilakukan secara bebas oleh hacker dengan memanfaatkan alat elektronik.
Tidak ada satu alat komunikasi yang tidak bisa disadap. Sehingga yang paling penting dilakukan adalah orang bisa menyadap alat komunikasi, tapi tidak dapat mengetahui informasi yang ada di dalamnya, dengan cara diacak atau dienkripsi.
Mengenai penyadapan, bagaimana bisa hal itu bisa bebas terjadi?
Penyadapan sebenarnya merupakan hal yang wajar. Yang tidak wajar adalah ketika penyadapan-penyadapan itu tidak terkontrol dan dimanfaatkan untuk kepentingan-kepentingan yang bukan merupakan kepentingan umum.
Mengapa hal itu bebas terjadi? Karena, adanya kekosongan hukum di Indonesia. Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) memang mengatur penyadapan yang tercantum pada pasal 31 ayat 4. Pasal tersebut memberikan wewenang kepada pemerintah untuk membuat peraturan mengenai penyadapan. Namun sejak 2011, pasal ini sudah dihapus oleh Mahkamah Konstitusi (MK).
Sehingga, saat ini terjadi, adanya kekosongan aturan mengenai penyadapan. Peraturan mengenai penyadapan nantinya harus memperjelas siapa saja yang berwenang melakukan penyadapan, bagaimana izin penyadapan bisa didapatkan, dan bagaimana perlindungan terhadap masyarakat.
Apakah pelaku kejahatan siber bisa cepat diungkap?
Bagaimana kita bisa tahu siapa penyerang sistem? Hal itu agak sulit saat ini karena orang pintar yang ingin melakukan penyerangan siber, akan menyewa virtual private server (VPS) dari negara lain. Misalnya, orang Indonesia menyewa VPS di India lalu di Ukraina, baru selanjutnya menyerang Amerika Serikat. Ketika Amerika mendeteksi serangan, penyerangan akan diketahui berasal dari Ukraina. Jika dideteksi lebih lanjut, penyerangan akan diketahui berasal dari India. Namun, sulit untuk mendeteksi hingga tiga level server sehingga asal penyerangan dari Indonesia akan sulit diketahui.
Ditambah lagi, saat ini banyak organisasi hacker yang dibiayai oleh perusahaan-perusahaan besar, bahkan dibiayai oleh pemerintah. Mereka akan semaksimal mungkin masuk ke sebuah sistem tanpa disadari oleh admin, mereka bisa menaruh backdoor dan mengambil data-data. Siapa pun bisa membayar organisasi hacker untuk menyerang sistem keamanan informasi dari suatu perusahaan atau negara. Sehingga, penyerang sesungguhnya akan sangat sulit dideteksi.
Apakah Indonesia perlu memiliki lembaga pertahanan siber?
Tentu saja, Indonesia memerlukan lembaga pertahanan siber khusus untuk melindungi pertahanan dan keamanan sistem informasi dan komunikasi. Selama ini, Badan Cyber Nasional yang sudah ada sejak 2012 tidak berjalan dengan baik akibat berbagai hambatan. Dulu, saya sempat ikut timnya bentukan Kementerian Pertahanan. Rencananya, kita akan membuat suatu pertahanan di Indonesia yang menjadi benteng jika ada serangan-serangan dari luar.
Tapi, sayang sekali pemeritah terlalu bereuforia yang ujung-ujungnya badan tersebut tidak kunjung turun karena terlalu lama menunggu keputusan Presiden. Kita masih membicarakan masalah administrasi badan, padahal serangan siber masih berjalan.
Sebenarnya, jika lembaga ini terbentuk, yang seharusnya bisa menjadi lembaga yang sangat bagus, akan tidak efisien jika cara mengelolanya tidak benar. Begitu pun dengan pengelolanya yang tidak diseleksi dengan baik. Badan Cyber Nasional malah akan menjadi senjata makan tuan bagi Indonesia.
Indonesia saat ini tengah dihadapi dengan perang siber yang kondisinya sangat jauh berbeda dengan perang konvensional. Dalam perang konvensional, kita bisa menghitung senjata apa yang dipakai musuh, berapa jumlah pasukan dan berapa banyak tank yang digunakan. Dalam perang siber, pelaku penyerangan tidak dapat diketahui siapa, menggunakan teknologi apa, kekuatannya sebesar apa, berapa orang yang digerakkan, dan infrastruktur apa yang dihancurkan. Efek yang ditimbulkan pun akan jauh lebih parah daripada perang konvensional. Apalagi, saat ini negara-negara di dunia sudah memulai memberlakukan sistem elektronik. n c09 ed: andri saubani
***
Menjadi Penjaga Keamanan Siber Indonesia
Pratama D Persadha telah menggeluti dunia siber sejak 1999 di Akademi Sandi Negara. Sejumlah pendidikan formal dan informal dijalaninya, seperti pelatihan "Secure IP-Based VPN and Secure Email" dan "Hardware Encryption Programming and Technology" di Selandia Baru, serta pelatihan "Cryptography Programming" di Swiss.
Keahlian yang didapatnya dalam pelatihan-pelatihan tersebut bahkan telah membawanya menjabat sebagai Wakil Ketua Tim Lembaga Sandi Negara (Lemsaneg) pengamanan pesawat Kepresidenan RI. Tak hanya itu, Pratama juga pernah menjabat sebagai Ketua Tim Lemsaneg Pengamanan IT KPU, Ketua Tim Lemsaneg Cyber Defence Kemhan, dan terakhir sebagai Pelaksana tugas (Plt) Direktur Pamsinyal Lemsaneg.
Di Lemsaneg, Pratama telah 19 tahun mengabdi. Dalam kurun waktu yang tidak sebentar itu, Pratama memiliki pandangan tersendiri mengenai sistem komunikasi dan informasi di Indonesia yang menurutnya masih rendah. "Indonesia memiliki sistem informasi yang sangat tidak aman dan sangat mudah disadap," ujarnya kepada Republika, belum lama ini.
Atas dasar itu, ia akhirnya memutuskan untuk keluar dari Lemsaneg dan mulai merintis Lembaga Riset Keamanan Cyber dan Komunikasi (CISSReC). Pratama bertekad untuk seutuhnya menjadi penjaga keamanan siber di Indonesia. "Kami merasa prihatin dan siap mengedukasi masyarakat mengenai keamanan sistem informasi," jelasnya.
Bersama sejumlah profesional di bidang sistem keamanan teknologi informasi dan kriptografi, pria kelahiran Blora ini mulai mengampanyekan kesadaran terhadap keamanan sistem komunikasi dan informasi melalui berbagai kegiatan kreatif. Di antaranya kampanye melalui media video viral, komik, karikatur, dan poster yang disebarkan lewat web, media sosial, dan media massa. "Harapannya, dengan kampanye kreatif, pesan bisa dapat tersebar dengan masif ke masyarakat," ujar Pratama.
Tugasnya sebagai penjaga keamanan siber Indonesia juga membawanya berkeliling dari satu institusi ke institusi lain untuk melakukan diskusi publik, di samping tetap harus melakukan riset terkait keamanan sistem informasi. Hasil diskusi dan riset secara berkala akan dipublikasikan melalui website CISSReC di www.cissrec.org.
Pratama berharap dapat mewujudkan masyarakat yang sadar dan paham akan pentingnya keamanan sistem informasi dan komunikasi. "Kami akan terus menjadi lembaga milik anak bangsa yang ingin memberikan kontribusi nyata bagi Ibu Pertiwi," ujarnya. n c09 ed: andri saubani
Ikuti Whatsapp Channel Republika
