Kementerian Komunikasi dan Digital (Komdigi) secara lugas mengidentifikasi akar permasalahan di balik maraknya insiden kebocoran data dan serangan siber yang terus membayangi lanskap digital Indonesia. Dalam sebuah pemaparan yang mendalam, Direktur Jenderal Pengawasan Ruang Digital Komdigi, Alexander Sabar, menyoroti bahwa sebagian besar insiden tersebut bukan disebabkan oleh serangan yang luar biasa canggih semata, melainkan didominasi oleh persoalan teknis mendasar dan kelalaian manusia yang kerap terabaikan. Analisis ini membuka mata kita terhadap kerentanan sistem yang sebenarnya dapat dicegah, namun terus menjadi celah bagi para pelaku kejahatan siber.
Alex menjelaskan bahwa salah satu "biang kerok" utama adalah penggunaan sistem elektronik yang sudah usang atau ‘legacy system’. Banyak infrastruktur digital, baik di sektor publik maupun swasta, dibangun di atas arsitektur lama yang tidak lagi mendapatkan pembaruan keamanan secara berkala. Kondisi ini menciptakan celah keamanan yang sangat rentan dieksploitasi oleh peretas. Ibarat sebuah bangunan tua yang fondasinya mulai rapuh dan tidak pernah direnovasi, sistem-sistem ini menjadi sasaran empuk karena kerentanan yang diketahui publik seringkali tidak ditambal, membuka pintu lebar bagi eksploitasi. Kurangnya investasi untuk modernisasi dan migrasi sistem seringkali menjadi alasan di balik berlanjutnya penggunaan teknologi lawas ini, meskipun risiko yang ditanggung sangat besar.
Selain faktor teknis yang mengakar, elemen manusia juga memegang peran krusial sebagai penyebab utama. Alex menegaskan bahwa faktor kelalaian manusia atau human error adalah pemicu signifikan. Disiplin keamanan informasi di tingkat pengguna dinilai masih sangat lemah, tercermin dari pengelolaan kata sandi yang kurang kuat, seringnya penggunaan kata sandi yang sama untuk berbagai akun, serta konfigurasi sistem dan tata kelola akses yang belum optimal. Keberhasilan serangan phishing yang berujung pada kompromi akun, misalnya, seringkali bukan karena kecanggihan teknik peretas, melainkan karena pengguna gagal mengidentifikasi tanda-tanda penipuan atau tidak mengikuti protokol keamanan dasar.
Alex menambahkan, meskipun solusi teknologi keamanan sebenarnya sudah tersedia di pasaran dan semakin canggih, efektivitasnya sering terhambat oleh penerapan dan pengelolaan yang belum optimal. Banyak organisasi berinvestasi pada firewall mutakhir, sistem deteksi intrusi, atau perangkat lunak antivirus kelas enterprise, namun implementasinya tidak dilakukan secara komprehensif atau dikelola oleh personel yang kurang kompeten. Sistem keamanan yang canggih sekalipun akan menjadi tidak berguna jika tidak dikonfigurasi dengan benar, tidak diperbarui secara berkala, atau tidak dipantau secara aktif. Ini menunjukkan bahwa masalahnya bukan hanya pada ketersediaan teknologi, melainkan pada kemampuan organisasi untuk mengadopsi, mengelola, dan mengintegrasikannya secara efektif dalam ekosistem digital mereka.
Lebih lanjut, peran human error dan serangan murni dari peretas seringkali sulit dipisahkan. Alex menilai bahwa banyak kebocoran data terjadi bukan semata karena kecanggihan teknik pelaku, melainkan akibat celah internal yang diciptakan oleh kelalaian. Contohnya termasuk salah konfigurasi sistem yang membuka port tidak perlu, keberhasilan serangan phishing yang mengakibatkan kredensial dicuri, hingga pengelolaan hak akses yang tidak disiplin. Ketika seorang karyawan diberikan hak akses yang terlalu luas dari yang dibutuhkan untuk pekerjaannya (least privilege principle), risiko penyalahgunaan data atau eksploitasi celah akan meningkat drastis jika akun tersebut berhasil dikompromikan.
Sorotan juga diarahkan pada instansi dengan anggaran teknologi informasi (IT) yang besar. Alex menegaskan bahwa besarnya anggaran tidak secara otomatis menjamin keamanan yang tinggi. Instansi berskala besar, baik pemerintah maupun swasta, biasanya memiliki ekosistem sistem yang kompleks. Ekosistem ini melibatkan banyak aplikasi yang berbeda, berbagai vendor, integrasi lintas platform, serta jumlah pengguna dengan kewenangan yang beragam. Kompleksitas ini secara inheren meningkatkan potensi kesalahan konfigurasi dan celah pengamanan. Jika tidak diimbangi dengan tata kelola keamanan yang kuat, terintegrasi, dan terus-menerus diperbarui, anggaran besar hanya akan menjadi investasi yang sia-sia, bahkan dapat memperbesar permukaan serangan. Manajemen rantai pasok digital (supply chain security) juga menjadi isu krusial di sini, mengingat kerentanan pada satu vendor dapat merambat ke seluruh ekosistem.
Alexander juga menggarisbawahi peningkatan kualitas serangan siber di Indonesia. Serangan tidak hanya bertambah secara jumlah, tetapi juga semakin terarah dan canggih. Pola serangan seperti ransomware yang menyasar infrastruktur penting, serta teknik rekayasa sosial (social engineering) yang kian sulit dikenali, kini menjadi ancaman serius. Ransomware tidak hanya mengenkripsi data dan menuntut tebusan, tetapi juga dapat menyebabkan gangguan operasional yang parah, kerugian finansial yang signifikan, dan kerusakan reputasi yang tak ternilai. Sementara itu, teknik rekayasa sosial seperti phishing, spear phishing, vishing (voice phishing), dan smishing (SMS phishing) semakin profesional dan meyakinkan, membuat pengguna awam maupun profesional sulit membedakan antara komunikasi asli dan palsu. "Serangan tidak lagi bersifat acak, melainkan dirancang sesuai karakteristik target, termasuk instansi pemerintah dan sektor-sektor strategis," jelasnya, menunjukkan adanya intelijen ancaman yang lebih terorganisir dari para pelaku.
Kebocoran data juga kerap dipicu lemahnya pengawasan terhadap akses internal. Praktik pemberian hak akses berlebihan, minimnya pencatatan dan audit log aktivitas pengguna, serta kurangnya pemantauan aktivitas pengguna internal membuat data rentan disalahgunakan tanpa terdeteksi. Tanpa sistem audit yang ketat, sulit untuk melacak siapa yang mengakses data sensitif, kapan, dan untuk tujuan apa. Ini membuka peluang bagi ancaman orang dalam (insider threat), baik yang disengaja maupun tidak disengaja, untuk menyebabkan kebocoran data. Kebijakan Zero Trust Architecture, yang mengasumsikan bahwa tidak ada pengguna atau perangkat yang dapat dipercaya secara default, menjadi relevan dalam konteks ini untuk memperkuat pertahanan internal.
Menanggapi efektivitas Undang-Undang Pelindungan Data Pribadi (UU PDP), Alex menyampaikan pandangan yang nuansanya lebih positif. Menurutnya, meningkatnya laporan kebocoran data pascapemberlakuan UU tersebut tidak bisa langsung dimaknai sebagai kegagalan regulasi. Sebaliknya, hal itu menunjukkan adanya peningkatan kesadaran publik, kewajiban pelaporan yang lebih jelas, serta perhatian yang lebih besar terhadap isu pelindungan data pribadi. Sebelum UU PDP, banyak insiden mungkin tidak dilaporkan atau bahkan tidak disadari sebagai kebocoran data. Dengan adanya regulasi ini, organisasi kini memiliki kewajiban hukum untuk melaporkan insiden, yang pada akhirnya memberikan gambaran yang lebih akurat tentang skala masalah.
Tantangan utama saat ini, kata Alex, berada pada tahap implementasi. Ini mencakup kesiapan pengendali dan prosesor data dalam memenuhi kewajiban UU PDP, penguatan fungsi pengawasan oleh otoritas terkait, hingga konsistensi penegakan hukum terhadap pelanggaran. Banyak organisasi masih bergulat dengan pemahaman yang komprehensif tentang apa yang harus mereka lakukan untuk patuh, mulai dari penunjukan Pejabat Pelindungan Data Pribadi (DPO), penyusunan kebijakan internal, hingga implementasi langkah-langkah keamanan teknis dan organisasional yang memadai.
Untuk mengatasi permasalahan ini secara menyeluruh, diperlukan pendekatan multi-lapisan yang melibatkan investasi pada modernisasi sistem, penguatan kapabilitas sumber daya manusia, dan peningkatan kesadaran keamanan siber secara nasional. Pelatihan berkelanjutan tentang praktik keamanan siber dasar bagi seluruh karyawan, penerapan otentikasi multi-faktor (MFA), dan pengembangan rencana respons insiden yang solid adalah langkah-langkah krusial. Pemerintah juga perlu memperkuat kerangka regulasi turunan, meningkatkan kapasitas kelembagaan yang bertugas mengawasi dan menegakkan UU PDP, serta mendorong kolaborasi antara sektor publik, swasta, dan akademisi untuk berbagi intelijen ancaman dan praktik terbaik.
"Dengan penguatan regulasi turunan, peningkatan kapasitas kelembagaan, serta kepatuhan lintas sektor, efektivitas UU PDP diharapkan semakin nyata dalam jangka menengah dan panjang," pungkas Alex. Ini adalah panggilan untuk aksi kolektif, bukan hanya dari pihak pemerintah, tetapi juga dari setiap organisasi dan individu, untuk membangun ekosistem digital yang lebih aman dan tangguh di Indonesia. Perjalanan menuju ruang siber yang aman memang panjang dan penuh tantangan, namun dengan pemahaman yang tepat tentang akar masalah dan komitmen untuk solusi yang komprehensif, kebocoran data dan serangan siber dapat diminimalisir, melindungi data pribadi warga negara, dan menjaga integritas infrastruktur digital nasional.
