Baru-baru ini diduga terdapat kebocoran data sensitif Aparatur Sipil Negara (ASN). Disebut bahwa insiden ini berasal dari Badan Kepegawaian Negara (BKN) pada platform Satu Data ASN, dijual USD10.000 atau sekitar Rp159,4 juta.
Peneliti keamanan siber, Alfons Tanujaya menyebut adanya kemungkinan yang diserang adalah celah keamanan database sejenis Cross site scripting atau SQL. Berikut adalah hasil analisanya.
Temuan ini berawal dari postingan dengan nama anonim "TopiAx" di Breachforums pada Sabtu, 10 Agustus 2024. Dia mengklaim berhasil mendapatkan data dari BKN sejumlah 4.759.218 baris.
"Kemungkinan data yang bocor berhubungan dengan data yang diolah Sistem Informasi Kepegawaian Nasional (SIMPEGNAS)" tulisnya dalam keterangan tertulis.
Setidaknya ada 28 layanan publik di BKN. Semakin banyak layanan yang ada di satu platform, semakin membuat proses bertambah rumit dan memikul tanggung jawab yang semakin besar. Adapun layanan tersebut, di antaranya:
BKN adalah lembaga yang mengelola perusahaan dengan karyawan sebanyak 4,7 juta, membuatnya mengemban amanah besar.
"Indonesia dijadikan sasaran pengawasan oleh perusahaan dan institusi Singapura. Ambil positifnya saja, kita punya data yang berlimpah dan sering tidak diolah dengan bijak dan baik. Jadinya tetangga yang melihat sumber daya melimpah, yang tidak diolah dengan baik ini yang mengajari bagaimana kita mengelola sumber daya melimpah ini," jelas Alfons.
Lebih lanjut dia menjelaskan, sentralisasi sebenarnya memiliki manfaat yang baik seperti Satu Data ASN. Tetapi ini seperti menempatkan telur dalam satu keranjang, sehingga keranjangnya yang harus dijaga dengan baik.
Jadi bukan berarti tidak boleh menempatkan telur dalam satu keranjang dan tindakan itu salah (dari sisi pengolahan data, bukan dari sisi investasi). Metode tersebut justru baik, karena data yang penting dan pengolahannya tersebar akan sulit dan mahal untuk dikelola serta manfaat data tersebut akan kurang optimal.
Tetapi data yang terpusat dan dikelola dengan baik akan dapat memberikan penghematan biaya pengelolaan data dan secara teknis akan jauh lebih mudah diamankan jika dikelola dengan baik dan serius.
Layanan cloud adalah contoh pengelolaan, penyimpanan dan pengamanan data yang terpusat. Data yang dikelola oleh layanan cloud seperti AWS, Biznet, Asosiasi Cloud Indonesia, hingga Google Cloud, jauh lebih efisien dan lebih aman daripada data yang dikelola secara terpisah. Jadi yang membedakan adalah adminnya dan kedisiplinan dalam mengamankan dan mengelola data.
Sisi positifnya dari kebocoran data, masyarakat dan lembaga pengawas independen bisa menelusuri riwayat ASN dan melihat bagaimana sejarah karir mereka, apakah jalur karirnya normal atau tidak normal.
Sementara negatifnya, data ASN jadi informasi umum yang rentan dieksploitasi. Harusnya data dilindungi, belajar dari e-commerce atau bank dalam mengelola data.
Poin penting yang ditemukan Alfons, meliputi:
Atas kasus ini, Kementerian Komunikasi dan Informatika (Kominfo) bersama Badan Siber dan Sandi Negara (BSSN) tengah melakukan penelusuran.