by 
Penduduk dunia tidak lagi asing dengan tekonologi internet. Ada banyak keuntungan bisa didapat dengan memanfaatkan jejaring internet. Sayangnya, keuntungan ini oleh sebagian (sekelompok) orang diraih dengan jalan kejahatan, yang disebut dengan kejahatan cyber.
Ada banyak contoh kasus kejahatan cyber. Di luar Indonesia, ada beberapa kejadian yang mencuri perhatian banyak orang. Pada 24 November 2014 perusahaan Sony Pictures Entertainment diserang peretas (hacker). Peretas yang mengaku sebagai Guardian of Peace (GoP) itu pun menyebarkan lebih dari 40GB data rahasia perusahaan tersebut. Di antara data yang bocor itu termasuk data medis karyawan, gaji, tinjauan kinerja, bayaran untuk para selebriti, nomor jaminan sosial, serta salinan beberapa film yang belum dirilis.
Kasus lain yang tidak kalah heboh adalah bobolnya iCloud milik Apple. Alhasil, ratusan “foto panas” selebriti Holywood tersebar ke khalayak dunia. Jumlah foto tidak kurang dari 500 foto.
Kerugian dari kejahatan cyber juga bernilai ekonomi. Baru-baru ini, terungkap sebuah gerakan peretasan yang menamai diri kelompok “Carnabak.” Mereka diperkirakan telah berhasil merampok uang US$ 1 miliar atau sekitar Rp 12 triliun dari ratusan bank dan lembaga keuangan di Amerika Serikat, Jerman, Cina, dan Ukraina sejak 2013.
Hal senada juga terjadi di Indonesia. Sudah banyak bank di Indonesia, baik milik swasta maupun BUMN, dibobol. Sehingga miliaran uang nasabah berpindah tangan secara tidak sah. Kasus terbaru, saat ini Polda Metro Jaya tengah melacak siapa pelaku pembobol data nasabah yang kemudian menduplikat dan menjualnya dalam bentuk kartu ATM palsu melalui jalur online.
Kenali Dunia Cyber
Sebenarnya seberapa banyak orang mengakses internet? Data yang dilansir Tim WeAreSocial Singapore, saat ini tidak kurang ada 2,5 miliar pengguna internet. Khusus untuk pengguna media sosial, ada 1,86 miliar pengguna aktif di seluruh dunia.
Di Asia, sebanyak 635 juta orang berlangganan paket data agar dapat mengakses internet melalui handphone. Penitrasi pasar Asia terbesar ada di kawasan Asia Tenggara, yakni mencapai 109 juta persen.
Bagaimana dengan Indonesia? Dari total penduduk sekitar 250 juta orang, 38 juta orang di antaranya pengguna aktif internet. Dengan kata lain, penitrasi internet di Indonesia mencapai 15 persen. Tetapi penetrasi perangkat telepon cerdas (smartphone) mencapai 112 persen, atau lebih banyak dari jumlah penduduk kita sendiri.
Menurut Prof Richardus Eko Indrajit, dibandingkan dengan penetrasi teknologi lainnya dalam sejarah manusia, penetrasi internet merupakan yang paling cepat, karena digambarkan dalam sebuah grafik pertumbuhan yang eksponensial. Pada saat yang sama disinyalir terjadi milyaran transaksi per hari dengan nilai transaksi mencapai milyaran dolar Amerika per detiknya – terjadi tanpa henti selama 24 jam sehari dan 7 hari seminggu. Suatu frekuensi dan volume perdangangan yang belum pernah sebelumya terjadi dalam sejarah kehidupan manusia. Semua fakta ini mengandung arti bahwa domain “pasar” yang terbentuk di internet memiliki nilai yang sedemikian tingginya, karena lambat laun semakin banyak transaksi dan interaksi yang terjadi di sana. Bahkan sejumlah sumber mensinyalir, dalam waktu yang tidak lama lagi, nilai perdagangan di internet akan menjadi jauh lebih besar daripada yang terjadi di dunia nyata.
“Singkat kata, internet merupakan sebuah entitas yang tidak ternilai harganya – yang dari masa ke masa, akan semakin meningkat harga dan nilainya, karena semakin banyak aktivitas yang terjadi di sana,” tutur Guru Besar Institut Perbanas ini.
CYBER THREAT
Tren kejahatan dunia maya terus meningkat. Diperkirakan pada 2017, pasar keamanan dunia maya (cyber security) secara global diperkirakan akan meroket menjadi USD 120,1 miliar. Bandingkan nilainya pada tahun 2011 yang “hanya” USD 63,7 miliar. Mari perhatikan infographic di bawah ini, sebagaimana dilansir oleh Go-Gulf.
Eko memetakan motivasi pelaku kejahatan cyber. Pertama, ditujukan untuk mengambil harta. Sasarannya adalah uang digital, nilai kartu debit, kekayaan di rekening bank, jumlah tagihan kartu kredit, dan lain sebagainya.
Kedua, membuat jaringan internet tidak berfungsi, sehingga mengganggu transaksi perdagangan, aktivitas akses informasi, prosedur administrasi pemerintahan, dan lain sebagainya. Ketiga, memodifikasi data individu atau kelompok yang ada di internet dengan tujuan memfitnah, menyesatkan, mengadu domba, menghancurkan citra, menipu, dan lain‐lain.
Keempat, menyebarkan faham radikal dan menyesatkan. Yang termasuk dalam hal ini seperti pornografi, gerakan mendukung tindakan terorisme, perjudian online, bahkan praktik prostitusi online yang masih marak di Indonesia.
Baca Juga: Keamanan Teknologi Dunia Cyber Indonesia
Kelima, membuat dan atau menyebarkan program jahat (malicious software) melalui internet, yang biasanya secara terselubung, sehingga tidak disadari oleh pengguna internet. Output-nya macam-macam, seperti menghilangkan data di hard disk, mengambil data tanpa sepengetahuan pemilik, memata‐matai aktivitas pengguna, memacetkan komputer atau “hang”, menurunkan kinerja kecepatan prosesor, dan masih banyak lainnya.
Statistik yang dibuat oleh Go-Gulf jenis kejahatan malicious software menjadi yang paling marak, yakni 50 persen. Sebaran malicious software ada yang berupa virus, malware, worms, dan trojan. Jenis kejahatan cyber lainnya secara berurutan yakni kejahatan yang dilakukan kalangan internal perusahaan/ organisasi (criminal insider), pencurian data, SQL injection, dan lain sebagainya.
Inilah yang disebut oleh Eko sebagai cyber attack. Berdasarkan Konvensi Budapest, masih dari Eko, jenis serangan di dunia maya dapat dikategorikan menjadi tiga jenis. Kategori pertama adalah kumpulan jenis serangan dimana teknologi informasi dan komunikasi menjadi alat atau senjata utama untuk melakukan kejahatan. Contohnya adalah: Komputer dan internet dipergunakan sebagai alat dan medium untuk menyebarkan aliran sesat; telepon genggam dimanfaatkan untuk mengirimkan pesan atau SMS yang menipu calon korban; Electronic mail dipakai sebagai sarana untuk mengirimkan gambar atau video bernuansa pornografi; dan lain sebagainya.
Kategori kedua adalah kumpulan peristiwa di mana komputer atau teknologi informasi menjadi sasaran pusat serangan dari pelaku tindak kejahatan, seperti: melakukan transaksi keuangan fiktif dalam sebuah sistem perbankan berbasis internet (baca: ebanking); mematikan atau memacetkan kerja sebuah jejaring internet (baca: LAN atau WAN) secara remote; menyebarkan virus untuk mengganggu kinerja komputer tertentu; dan lain sebagainya.
Kategori ketiga ditujukan bagi peristiwa yang bertujuan utama untuk merusak (termasuk memodifikasi dan memfabrikasi) data atau informasi yang tersimpan di dalam media perangkat teknologi informasi. Serangan yang dimaksud yaitu merubah isi sebuah situs tanpa sepengetahuan pemiliknya, mengambil kumpulan password atau informasi lengkap kartu kredit sekelompok individu untuk disalahgunakan atau diperjualbelikan, merusak sistem basis data utama sehingga semua informasi di dalamnya menjadi tidak dapat terbaca atau diakses secara normal dan lain sebagainya.
Berikut adalah gambaran dari mana saja berbagai malicious software dibuat. Tujuannya jelas untuk menyerang sistem komputer atau teknologi dunia maya.
Aktifitas pelaku kejahatan cyber tidak bisa dibiarkan. Saat ini ada dua jenis lembaga utama yang bertugas mengawasi traffic internet yaitu model CSIRT (Computer Security Incident Response Team) dan CERT (Computer Emergency Response Team). “Hasil analisis mereka memperlihatkan bahwa kerawanan pada program aplikasi semakin lama semakin bertambah kuantitas dan kualitasnya. Hal ini sejalan dengan semakin banyak dan kompleksnya jumlah incident yang terjadi di dunia maya akibat eksploitasi terhadap kerawanan tersebut oleh pihak yang tidak bertanggung jawab,” kata Eko.
Perlunya Standar Keselamatan
Beragam kejahatan cyber tidak bisa dibiarkan begitu saja. Perlu ada standar keselamatan untuk melindungi masyarakat luas dari ancaman kejahatan cyber yang semakin luas, meresahkan, dan merugikan secara ekonomi maupun sampai mengguncang stabilitas politik.
Menurut Peter Eisenegger dari British Standards Institution (BSI), standar keamanan internet atau teknologi informasi (cyber security) sangat penting diterapkan. Ada beberapa prinsip utama setiap kali bicara soal standardisasi dalam bidang teknologi informasi.
- Keamanan data adalah prinsip fundamental untuk menjaga privasi.
- Data pribadiharus diproses secara adil dan resm
- Datapribadi hanya bisa diperoleh untuk satu atau lebih tujuan spesifik dan resmi
- Datapribadi harus memadai, relevan dan tidak berlebihan
- Data pribadi harus tepat dan terus diperbarui ketika dibutuhkan
- Data pribadidiproses untuk tujuan apapun atau tujuan tidak akan disimpan lebih lama dari yang diperlukan
- Data pribadiharus diproses sesuai dengan hak subyek data
- Langkah teknis dan organisasi harus dilakukan terhadap pengolahan data pribadi yang tidak sah dan melanggar hukum dan terhadap kehilangan.
- Data pribadi masuk dalam perlindungan hak asasi manusia, karena setiap orang punya hak untuk menghargai kehidupan pribadi dan keluarganya, tempat tinggalnya dan korespondensinya.
Dalam praktiknya, kejahatan cyber masih saja terjadi. Menurut Eko, ada tiga cara utama untuk memproteksi diri dari serangan kejahatan cyber. Pertama, memproteksi infrastruktur tempat mengalirnya data dan informasi dalam proses transmisi. Artinya semua infrastruktur, baik melalui darat (seperti fiber optic), laut (seperti kabel bawah laut), dan udara (seperti satelit), secara fisik maupun operasional harus dilindungi dan diproteksi dari beraneka ragam potensi gangguan yang mungkin timbul. Kedua, memproteksi data, informasi, atau konten yang ada dan/ atau mengalir dalam sebuah sistem komunikasi dan teknologi informasi. Metode yang lazim digunakan adalah penyandian atau kriptografi informasi. Ketiga, melakukan proteksi terhadap komponen terkait dengan proses interaksi, mulai dari pemilihan jenis media dan perangkat lunak komunikasi email, chatting, browsing, blogging, dan lain sebagainya. Khusus untuk interaksi yang melibatkan transaksi keuangan misalnya, perlu ditambahkan mekanisme standar pengaman dan prosedur khusus agar tidak terjadi kebocoran dan pencurian data keuangan.
Langkah perlindungan ini adalah bagian dari mengimplementasikan manajemen resiko (risk mitigation). Banyak orang bertanya‐tanya mengenai hal‐hal apa saja yang harus diperhatikan dalam rangka mengembangkan sebuah sistem pengamanan yang efektif dan menyeluruh. “Standar internasional BS7799/ISO 17799 mengenai manajemen keamanan informasi, menekankan perlunya memperhatikan 10 aspek utama untuk memperoleh sistem keamanan yang utuh, holistik, dan menyeluruh. Yang menarik dari standar ini adalah diperhatikannya pula aspek keamanan dalam dunia nyata, dimana perilaku dan pengetahuan sumber daya manusia menjadi aspek utama yang perlu untuk diperhatikan. Perhatian bagan di bawah ini:
Lebih lanjut, Eko mengatakan bahwa cyber security harus didukung oleh cyber law. Perlindungan terhadap masyarakat hanya akan efektif jika ada hukum yang menindak tegas para pelaku kejahatan cyber. Negara Indonesia sadar akan hal ini. Oleh karena itu, setelah melalui berbagai rangkaian proses maka lahirlah Undang‐undang Informasi dan Transaksi Elektronik (ITE) No.11 Tahun 2008 pada 25 Maret 2008.
Setelah memiliki instrumen hukum, lanjut pria kelahiran 24 Januari 1969 itu, hal yang perlu diperhatikan adalah kesiapan sumber daya manusianya, terutamapara penegak hukumnya. Ia mengakui, mereka yang ahli di bidang teknologi Informasi masih sangat sedikit. “Salah satu cita-cita dan passion saya adalah mengenalkan sertifikasi yang dibuat oleh orang Indonesia untuk keperluan bangsa sendiri. Kuncinya hanya satu yaitu kita memiliki standar kompetensi.”
Untuk itu, Badan Nasional Sertifikasi Profesi (BNSP) tengah membuat standar kompetensi kerja nasional Indonesia (SKKNI) yang salah satunya bidang teknologi informasi. Eko yang merupakan salah satu dari 25 orang anggota yang berada di bawah naungan BNSP, memiliki konsentrasi pada sertifikasi kompetensi profesi bagi tenaga kerja bidang informasi dan komunikasi. “Salah satu yang perlu dilakukan saat ini adalah mensertifikasi tenaga kerja. Karena pada dasarnya sertifikasi itu adalah sebuah pengakuan bahwa seseorang kompeten di bidang tertentu.”
Selama ini standar cyber security Indonesia masih mengacu pada standar SNI ISO 27001 yang mana standar tersebut bukanlah standar untuk kompetensi melainkan standar untuk sistem manajemen mutu. “Saat kami bersama komunitas berlomba-lomba membuat standar keamanan informasi dari segi orangnya, urutannya adalah ada standarnya terlebih dulu baru setelah itu diubah menjadi standar kompetensi kerja nasional indonesia (SKKNI), setelah itu dibuat skema sertifikasi, kemudian barulah ada lembaga sertifikasi profesi.”
Menurut Eko, yang saat ini menjabat Ketua Pelaksana ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure), baru ada dua lembaga yang terkait dengan teknologi informasi, yaitu LSP Telematika dan LSP TIK. “Tugas saya saat ini adalah mengajak asosiasi asosiasi lain untuk membuat LSP di bidang lainnya seperti security, arsitektur, cloud computing serta lainnya sebanyak mungkin. Karena LPS inilah yang akan mengeluarkan sertifikasi-sertifikasi.”Eko.
Ini harus cepat dilakukan dan diwujudkan, mengingat akhir tahun ini akan berlaku Masyarakat Ekonomi ASEAN. Jika SDM kita yang bergerak di bidang teknologi informasi tidak disertifikasi, niscaya akan kalah bersaing dengan SDM dari luar negeri. ” Pemerintahan saat ini memberikan tugas dan amanah untuk mempercepat ini semua mengingat akhir 2015 adalah saat dimulainya MEA,” tutup Eko.
* Telah dimuat di majalah SNI Valuasi No.3/ 2015
by 