PARBOABOA, Jakarta – Insiden keamanan siber baru-baru ini yang menimpa PT Kereta Api Indonesia (KAI) telah menimbulkan kekhawatiran serius di kalangan para pakar teknologi.
Sebuah grup hacker ransomware yang dikenal sebagai Stormous berhasil menembus sistem data KAI dan menuntut uang tebusan dalam bentuk Bitcoin dari pemerintah.
Berdasarkan laporan yang dipublikasikan oleh @TodayCyberNews di X, pada Selasa (16/1/2024), Stormous mengklaim telah berhasil mengakses informasi rahasia, termasuk data pribadi pegawai dan detail pelanggan KAI.
Grup ini menuntut pembayaran sejumlah 11,69 BTC, setara dengan sekitar Rp7,7 miliar, dan mengancam akan merilis data tersebut jika permintaan tebusan tidak dipenuhi dalam waktu 15 hari.
Alfons Tanujaya, seorang pakar keamanan informasi teknologi, menyoroti pentingnya standarisasi ISO untuk teknologi biometrik dan risiko keamanan yang muncul akibat penggunaan Virtual Private Network (VPN).
Ia mengungkapkan keprihatinannya mengingat KAI sebelumnya diakui sebagai salah satu Badan Usaha Milik Negara (BUMN) yang unggul dalam adopsi IT, terutama dalam layanan Commuter Line di Jabodetabek.
Namun, kejadian pembobolan data dan serangan ransomware baru-baru ini menunjukkan bahwa ada celah keamanan yang perlu ditanggapi dengan serius.
Penerapan Face Recognition (FR) oleh KAI dan instansi pemerintah lainnya menjadi sorotan khusus Alfons.
Meskipun terobosan ini dirancang untuk mempermudah layanan dengan hanya memerlukan satu kali pemindaian wajah untuk verifikasi penumpang tanpa harus menunjukkan KTP atau tiket, serangan terhadap data menunjukkan pentingnya memastikan standar keamanan yang ketat.
Alfons juga mencermati penggunaan biometrik dan FR oleh Badan Publik lain seperti imigrasi dan dukcapil.
Ia menekankan perlunya menganalisis apakah sudah ada standar pengamanan data biometrik yang baik, seperti mengikuti ISO 27001:2022, termasuk implementasi biometrik standar ISO yang sama untuk menciptakan kompatibilitas dan keseragaman.
"Karena pentingnya pengamanan biometrik ini, harusnya badan terkait jauh-jauh hari sudah mempertimbangkan standarisasi implementasi biometrik dan pengamanannya sehingga ketika terjadi kebocoran data atau peretasan, maka data biometrik ini tidak ikut bocor dan dieksploitasi seperti data kependudukan lain yang sudah bocor dengan masif," paparnya kepada PARBOABOA.
Data Kebocoran
Tanujaya menjelaskan, secara teknis, kurang tepat jika dikatakan KAI menjadi extortionware maupun korban ransomware. Karena ciri khas ransomware yaitu mengenkripsi data dan meminta uang tebusan untuk mendekripsi data.
Sedangkan aksi extortionware adalah pemerasan dengan modus membocorkan data penting perusahaan ke publik jika tidak membayar uang tebusan.
“Dalam kasus KAI ini tidak melihat adanya data yang dienkripsi,” tuturnya.
Dari sampel data yang diberikan, belum ada bukti jika database server khususnya data Face Recognition yang berhasil diretas.
Ransomware Stormous menunjukkan bahwa sampel data yang dibagikan berukuran 2,44 GB mengandung lebih dari 169 file terkompresi.
Isinya, sebagian besar seperti makalah, manual operasional perangkat, hasil workshop, update pertemuan, video materi pelatihan, workshop, dan manual.
Alfons berharap, KAI dapat menerapkan standar pengamanan data biometrik yang baik dan benar, setidaknya, sesuai ISO 27001 : 2022, sehingga para pengguna layanannya dapat terhindar dari kebocoran data khususnya data biometrik yang menjadi tanggung jawab pihak KAI yang mengelola data ini.
"Kita lihat saja nanti tanggal 29 Januari 2024 apakah mereka berhasil mencuri data penting dari kebocoran data kali ini atau hanya berhasil membobol beberapa komputer endpoint dari beberapa karyawan KAI atau veondor yang memiliki akses VPN ke jaringan komputer KAI," sambung Alfons.
Pakar IT ini menekankan pentingnya audit yang komprehensif, pengamanan jaringan yang lebih kuat, dan kesadaran terhadap risiko internal.
“Perusahaan perlu lebih waspada terhadap ancaman keamanan siber, baik dari luar maupun dari dalam,” tutup Tanujaya.
Tanggapan KAI
Juru Bicara Humas KAI, Joni Martinus, mengumumkan bahwa sampai saat ini tidak ditemukan adanya bukti mengenai kejadian kebocoran data di KAI.
Namun, Ia menegaskan pihaknya tengah menyelidiki masalah ini secara detail. Joni juga menjamin bahwa data KAI terjaga dengan baik, termasuk operasional sistem IT, proses pembelian tiket secara online, dan fungsi Pintu Masuk dengan Pengenalan Wajah di semua stasiun.
Dia menjelaskan, KAI telah menerapkan Sistem Manajemen Keamanan Informasi sesuai standar ISO 27001 internasional, sebagai standar pengelolaan keamanan informasi. Oleh karena itu, Joni meminta masyarakat untuk tidak khawatir akan keamanan data mereka.