Ini Temuan CISSReC Soal Dugaan Kebocoran Data BKN

Ransomware — Indonesia Kena Serangan Siber, Pakar: Jangan Sepelekan Keamanan. (Doc: PCMag)

Liputan6.com, Jakarta - Dugaan kebocoran data kembali ditemukan di instansi pemerintah. Kali ini, lembaga yang diduga menjadi korban peretasan adalah BKN (Badan Kepegawaian Negara).

Temuan soal kebocoran data ini diketahui dari unggahan akun dengan nama TopiAx di Breachforums pada 10 Agustus 2024. Dalam unggahannya, akun itu mengklaim berhasil mendapatkan data dari BKN sejumlah 4.759.218 baris yang berisi sangat banyak data.

Beberapa di antara data tersebut adalah nama, tempat lahir, tanggal lahir, gelar, tanggal CPNS, tanggal PNS, NIP, Nomor SK CPNS, Nomor SK PNS, golongan, jabatan, instansi, alamat, nomor identitas, nomor HP, email, pendidikan, jurusan, hingga tahun lulus.

Selain data itu, ada beberapa data lainnya yang berupa cleartext maupun text yang sudah diproses menggunakan metode kriptografi. Adapun data tersebut ditawarkan dengan harga USD 10 ribu atau sekitar Rp 160 juta.

Akun tersebut juga membagikan sampel data berisi 128 ASN yang berasal dari berbagai instansi di Aceh. Untuk memastikan hal tersebut, lembaga riset keamanan siber CISSReC pun mencoba melakukan verifikasi acak pada 13 ASN yang namanya tercantum di sampel data tersebut.

Hasilnya, usai dihubungi melalui WhatsApp, mereka mengakui data tersebut valid. Kendati demikian, ada yang menginformasikan tentang kesalahan penulisan digit terakhir pada field NIP dan NIK.

"Belum ada konfirmasi secara resmi baik dari pihak BKN maupun pihak terkait seperti BSSN dan Kominfo terkait dugaan kebocoran data ini," tutur Chairman CISSReC Pratama Persadha dalam keterangan resmi yang diterima, Minggu (11/8/2024).

2 dari 3 halaman

Pentingnya Badan Perlindungan Data Pribadi

Ilustrasi data pribadi. Dok: betanews.co

Namun, menurut Pratama, BKN sebenarnya sudah melakukan MoU dengan BSSN untuk memperkuat data ASN dan meningkatkan kualitas perlindungan informasi serta transaksi elektronik pada 3 Oktober 2022.

Kendati demikian, MoU tersebut hanya berlaku selama setahun dan berakhir pada Oktober 2023. Belum diketahui apakah BKN memperpanjang BKN dengan BSSN tersebut atau tidak.

"Dengan semakin seringnya terjadi kebocoran data pribadi, hal yang perlu segera dilakuakn pemerintah adalah membentuk Badan Perlindungan Data Pribadi, sehingga bisa diambil tindakan serta memberikan sanksi pada PSE yang mengalami insiden kebocoran data tersebut," tutur Pratama.

Selain itu, menurut Pratama, harus dibuat aturan yang tegas. PSE yang tidak bisa menjaga sistemnya harus bisa dikenakan konsekuensi hukum, baik itu PSE publik maupun privat. Sebab, jika tidak demikian, PSE tersebut tidak akan jera dan memperkuat sistem keamananan siber miliknya.

3 dari 3 halaman

Lakukan Assessment

Ia juga menuturkan, sudah saatnya semua Kementerian atau Lembaga Pemerintah, baik pemerintah pusat maupun pemerintah daerah diwajibkan melakukan assessment pada sistem IT yang dimilikinya secara menyeluruh.

Dengan demikian, mereka bisa melihat keamanan sistemnya sendiri, seperti hacker melihat sistem tersebut dari luar sana. Jadi, mereka bisa mengetahui celah keamanan yang mungkin ada di sistem dan segera menutup celah keamanan tersebut, sebelum dimanfaatkan hacker.

"Assessment ini tidak hanya dilakukan satu kali saja, tapi harus dilakukan secara rutin mengingat keamanan sistem informasi bukan hasil akhir, tapi merupakan sebuah proses, sehingga apa yang kita yakini aman saat ini belum tentu masih akan aman keesokan harinya," tutur Pratama.