Penjelasan BKN soal Viral Data 4,7 Juta PNS dan PPPK Diduga Bocor hingga Dijual Situs Peretas

TRIBUNJABAR.ID - Media sosial dihebohkan dengan basis data Badan Kepegawaian Negara (BKN) dari laman Satu Data Aparatur Sipil Negara (ASN) atau satudataasn.bkn.go.id diduga mengalami kebocoran hingga dijual diforum peretas Breachforums.

Diketahui, kabar dugaan kebocoran itu viral di media sosial, salah satunya diunggah akun X @Falcon***, Sabtu (10/8/2024).

Dalam unggahan itu, data BKN yang bocor mencakup informais pribadi dari 4.759.218 pegawai negeri sipil (PNS) dan pegawai pemerintah dengan perjanjian kerja (PPPK) di seluruh provinsi.

"Seorang pelaku ancaman mengaku menjual basis data dari Satu Data ASN (http:// satudataasn.bkn.go.id)," tulis pengunggah.

Lalu, bagaimana kejadian sebenarnya?

BKN investigasi

Plt Kepala Biro Humas, Hukum, dan Kerja Sama BKN, Vino Dita Tama menuturkan, pihaknya masih menyelidiki dugaan kebocoran data dari laman Satu Data ASN.

"Sedang dilakukan investigasi," ujarnya, saat dihubungi, Minggu (11/8/2024), dikutip dari Kompas.com.

Akan tetapi, Vino tidak memberikan penjelasan lebih lanjut terkait proses investigasi maupun dampak dari dugaan kebocoran data ini.

Sedangkan, Chairman lembaga riset keamanan siber Communication & Information System Security Research Center (CISSReC) Pratama Persadha mengungkapkan, temuan dugaan kebocoran berawal dari unggahan peretas dengan nama anonim "TopiAx" di Breachforums pada Sabtu (10/8/2024).

Baca juga: Diskominfo Jabar Perkuat SDM, Amankan Data dengan Pelatihan sampai Memahami Sistem Hacker

Diunggahannya peretas mengklaim berhasil 4.759.218 data BKN, antara lain terdiri dari nama, tempat dan tanggal lahir, gelar, tanggal diangkat menjadi calon pegawai negeri sipil (CPNS), serta tanggal diangkat menjadi PNS.

Ada pula informasi nomor identitas pegawai, nomor surat keputusan (SK) CPNS, nomor SK PNS, golongan, jabatan, instansi, alamat, nomor identitas, nomor ponsel, email, pendidikan, dan tahun lulus.

"Selain data tersebut masih banyak lagi data lainnya, baik yang berupa cleartext maupun text yang sudah diproses menggunakan metode kriptografi," kata Pratama kepada Kompas.com, Sabtu malam.

Sampel yang dibagikan peretas berisi data valid

Masih dari unggahan yang sama, Pratama mengungkap, peretas menawarkan seluruh data tersebut dengan harga 10.000 dollar AS atau sekitar Rp 160 juta.

Peretas juga membagikan sampel data berisi informasi 128 ASN yang bekerja di berbagai instansi di Provinsi Aceh.

"CISSReC sudah melakukan verifikasi secara random (acak) pada 13 ASN yang namanya tercantum dalam sampel data melalui WhatsApp, dan menurut mereka data tersebut adalah valid," papar Pratama.

Namun demikian, beberapa orang menginformasikan terdapat kesalahan penulisan digit terakhir pada NIP dan nomor induk kependudukan (NIK) yang tercantum.

Sekedar informasi, pada 3 Oktober 2022, BKN sendiri sudah melakukan MoU atau nota kesepahaman dengan Badan Siber dan Sandi Negara (BSSN).

Perjanjian pendahuluan tersebut bertujuan memperkuat data ASN serta meningkatkan kualitas perlindungan informasi dan transaksi elektronik.

Namun, MoU hanya berlaku selama satu tahun dan telah berakhir pada Oktober 2023. Pun, belum diketahui apakah BKN memperpanjang MoU dengan BSSN atau tidak.

Pemerintah perlu tindak tegas PSE yang kebocoran data

Pratama berujar, pemerintah perlu membentuk Badan Perlindungan Data Pribadi agar dapat mengambil tindakan serta memberikan sanksi kepada penyelenggara sistem elektronik (PSE) yang mengalami insiden kebocoran data.

Tidak hanya itu, penting juga untuk membuat regulasi yang memuat konsekuensi hukum tegas bagi PSE yang tidak mampu menjaga sistemnya, baik PSE publik maupun privat.

"Karena jika tidak, maka PSE tersebut tidak akan jera dan akan memperkuat sistem keamanan siber serta SDM yang dimiliki," kata Pratama.

Ia menambahkan, sudah saatnya semua kementerian dan lembaga pemerintah wajib melakukan assessment atau penilaian sistem teknologi informasi (IT) secara menyeluruh.

Dengan demikian, instansi dapat melihat keamanan sistemnya layaknya peretas melihat sistem dari luar sana.

"Sehingga bisa segera mengetahui celah keamanan yang mungkin ada di sistemnya dan segera menutup celah keamanan tersebut sebelum dimanfaatkan oleh peretas sebagai pintu masuk ke sistem," ungkapnya.

Assessment juga sebaiknya dilakukan rutin dan tak hanya satu kali, mengingat keamanan sistem informasi bukanlah sebuah hasil akhir yang tidak akan berubah.

"Apa yang kita yakini aman pada saat ini belum tentu masih akan tetap aman pada keesokan harinya," pungkasnya.

Baca berita Tribun Jabar lainnya di GoogleNews.