Pengakuan DS, peretas situs Badan Pengawas Pemilu (Bawaslu) kepada wartawan hari ini menjadi peringatan bagi pemerintah. DS yang baru berusia 18 tahun, menyatakan, situs-situs pemerintah di Indonesia masih lemah dan mudah diretas.
“Iya sangat lemah masih situs pemerintahan,” kata DS saat dihadirkan sebagai tersangka, di Direktorat Tindak Pidana Siber Badan Reserse Kriminal Polri, Tanah Abang, Jakarta Pusat, Jumat (6/5).
DS yang memiliki alias Mr Cakill, mengaku hanya iseng menguji keamanan atau firewall situs Bawaslu. Begitu pula laman-laman web pemerintahan lainnya, ia pun melakukan peretasan untuk menjajal keamanan laman pemerintahan tersebut.
Berdasarkan pengakuannya, tidak ada pula keuntungan finansial dari aktivitas peretasan yang ia lakukan. “Bangga doang,” ucapnya.
Ilmu untuk melakukan peretasan ini, kata DS, dipelajarinya secara otodidak dari informasi di internet dan grup-grup di media sosial. Polisi menangkap DS pada Sabtu (30/6) setelah tersangka melakukan peretasan berupa tindakan defacing yakni berupaya mengubah tampilan dan konfigurasi fisik dari laman http://inforapat.bawaslu.go.id dengan membobol sistem keamanan laman tersebut.
Pengakuan DS seperti mengungkap tabir lemahnya sistem keamanan teknologi informasi (TI) institusi di lingkungan pemerintah dan lembaga negara. Salah satunya adalah Komisi Pemilihan Umum (KPU) yang tengah menggelar hajat politik setidaknya hingga tahun depan.
Sudah sepekan sejak Ketua Komisi Pemilihan Umum (KPU) Arief Budiman mengakui laman resmi KPU sedang diserang hingga kini belum ada kepastian kapan laman hasil pemilu (infopemilu.go.id) kembali diaktifkan. Ketua KPU, Arief Budiman, mengakui, situasinya saat ini belum aman.
“Situs akan dibuka lagi juga sudah selesai anda kami yakin bahwa situasinya sudah aman. Sebab kalau kami buka sekarang, nanti diserang lagi, kemudian angka nanti berubah lagi. Lalu nanti kami tutup lagi, buka lagi, dan diserang lagi. Maka kasihan masyarakat,” jelas Arief ketika dijumpai di ruangannya, Jumat (6/7).
Dia berharap, situs tersebut bisa dibuka secepatnya. Sebab, dalam waktu yang tinggal tersisa beberapa hari sebelum masa akhir penetapan hasil akhir pemungutan suara Pilkada Serentak 2018 pada 9 Juli.
“Semoga bisa (dibuka bersamaan dengan pengumuman hasil akhir rekap suara Pilkada),” tegas Arief.
Kasus peretasan situs ini sudah dilaporkan kepada kepolisian. Arief menyatakan, bahwa peretas situs KPU saat ini lebih canggih daripada sebelumnya.
“Kami belum tahu (pelakunya). Ya kita serahkan saja sama polisi. KPU kan lebih rumit dan canggih yang mencoba membobol,” tambahnya.
Pada era di mana tuntutan transparansi dan akuntabilitas kinerja lembaga negara sangat tinggi, publik jelas dirugikan dengan tak ajeknya informasi yang disajikan KPU lewat situsnya. Padahal, hasil hitung cepat yang bersifat real count versi KPU bisa menjadi pembanding hasil hitung cepat milik lembaga-lembaga survei.
Kelemahan Laman KPU
Communication and Information System Security Research Center (CISSReC) menyebut adanya sejumlah kelemahan sehingga laman internet KPU bisa diretas. Manajer Hubungan Masyarakat CISSReC Ibnu Dwi Cahyo menjelaskan, kelemahan laman KPU di antaranya adalah kapasitas yang kecil, sehingga saat masyarakat ramai mengakses, situs langsung down.
Selain itu, CISSReC menilai laman KPU memiliki pengamana yang kurang, baik dari sistem dan teknologi dan SDM-nya. “Banyak kejadian website milik kementrian, lembaga negara maupun pemerintah daerah yang terkena peretesan maupun down karena tiba-tiba banyak masyarakat yang mengakses,” ujar Ibnu saat dihubungi Républika, Rabu (4/7).
Ibnu menuturkan, seharusnya ada beberapa penyebab. Namun untuk memastikan penyebab itu, tetap harus dilakukan digital forensik pada sistem website KPU tersebut. Tingginya akses atau traffic ke web KPU, kata dia, bisa karena serangan DDoS, namun juga bisa karena akses langsung dari masyarakat yang begitu tinggi.
CISSReC mensinyalir, akses masyarakat ke web KPU yang tinggi bisa disebabkan rasa ingin tahu yang tinggi terkait real count versi KPU, namun juga karena adanya pesan berantai di WA dan media sosial. “Mengatakan seakan-akan serangan, dan masyarakat harus ikut mengamankan dengan melakukan klik ke link tertentu yang bisa mengarahkan ke web KPU, atau bahkan itu sebagai tindakan phising,” kata dia.
Ibnu menduga, laman KPU pasti menjadi sasaran utama para peretas, terutama bagi yang ingin menaikkan popularitasnya. Pada 2004 saat belum ramai internet seperti saat ini, KPU juga mengalami serangan. Begitu juga pada 2009, peretas bahkan berhasil mengubah hasil pemilu di website resmi KPU.
“Jadi ini adalah warning bagi KPU, agar website dan sistemnya bisa lebih dilihat lagi performanya, terutama masalah keamanan,” ujar dia.
Ibnu menilai, pengamanan website KPU dengan menutup akses secara acara dan berkala jelas tidak efektif. Apalagi bila peretas sudah berhasil menempatkan celah di dalam sistem. Langkah paling efektif, kata Ibnu adalah melakukan scanning, pengecekan mana saja lubang keamanan yang terekspose, lalu ditutup dan diperkuat ke depannya.
Pelibatan BSSN
Dalam kasus ini, peran Badan Siber dan Sandi Negara (BSSN) dinilai sangat penting. Menurut Ibnu, KPU perlu melakukan koordinasi agar BSSN bisa masuk dan melakukan tugasnya untuk memberi pendampingan, bahkan konsultasi bagaimana membangun sistem TI KPU yang kuat.
Senada dengan Ibnu, anggota Komisi I DPR Bobby Adityo Rizaldi menilai sudah saatnya juga peran BSSN dilibatkan dalam proses keamanan IT dalam Pemilu. Sebagai lembaga yang dibentuk 2017 lalu tersebut, BSSN diuji apakah mampu menjalankan perannya secara maksimal.
“BSSN juga perlu dilibatkan dalam evaluasi sistem keamanan ini, kebetulan dengan momen peretasan saat ini, BSSN bisa bersinergi langsung. Juga Lemsaneg dan Direktorat Aptika Kominfo,” ujarnya.
Ketua DPR Bambang Soesatyo meminta KPU membangun sistem IT yang lebih canggih dan terjamin keamanannya. Apalagi, anggaran yang diberikan pada KPU terbilang besar.
“Kita sudah memberikan anggaran besar dan luar biasa kepada KPU tapi situsnya masih bisa diretas. Saya tidak tahu apa yang terjadi di sana tapi kami mendorong Komisi III dan I untuk mendorong mitra-mitranya melakukan pengusutan,” kata Bambang.