telusur.co.id - Chairman Lembaga Riset Keamanan Siber CISSReC, Dr. Pratama Persadha mengungkapkan beberapa kejadian terkait keamanan siber selama tahun 2025. Berikut catatannya:

Januari 2025: Jagat maya dipenuhi video Presiden Prabowo Subianto tengah menawarkan bantuan dana yang akan dikirim secara langsung kepada masyarakat. Tawaran itu tidak hanya disampaikan melalui satu video, tetapi ada banyak video yang menampilkan sosok Presiden Prabowo dalam berbagai versi. Dalam video itu, Presiden Prabowo berada di dalam sebuah ruangan berisi sofa dan televisi lalu menyampaikan mengenai program pembebasan utang untuk masyarakat. Namun, mereka yang berminat harus beradu cepat karena bantuan itu terbatas.

Ferbuari 2025: Kesalahan tampilan nilai tukar rupiah terhadap dolar AS di Google Finance yang sempat menunjukkan Rp 8.170 per 1 USD pada Sabtu (1/2/2025) mendapat sorotan dari pengamat keamanan siber.

Chairman Lembaga Riset Keamanan Siber CISSReC Dr. Pratama Persadha menilai kesalahan ini bukan sekadar gangguan teknis, tetapi berpotensi menimbulkan kegaduhan di masyarakat. Pratama menilai, kesalahan ini menciptakan harapan palsu, seolah-olah ekonomi Indonesia menguat secara drastis. 

Maret 2025: Fake BTS atau BTS palsu merupakan modus penipuan yang menggunakan sinyal yang seolah-olah sebagai BTS operator resmi. Penipuan ini sudah dilakukan sejak beberapa tahun lalu dan kembali lagi yang menyasar nasabah perbankan Indonesia. Masyarakat akan mendapatkan SMS palsu berisi One Time Password (OTP). Para pelaku akan mencegat SMS tersebut dan mengeditnya, kemudian mengirimkannya kembali ke masyarakat seolah berasal dari bank resmi.

April 2025: Media sosial diramaikan dengan unggahan yang menyebutkan bahwa koneksi ponsel ke wifi publik dengan IP address 172.16.42.x bisa membuat perangkat terkena "gendam digital" pineapple attack. Pakar keamanan siber, Pratama Dahlian Persadha membenarkan, pengguna internet berisiko terkena “gendam digital” apabila terhubung ke jaringan wifi publik dengan IP 172.16.42.x. Menurutnya, istilah “gendam digital” merupakan metafora lokal yang merujuk pada upaya manipulatif dan merugikan secara digital dimana pengguna dapat kehilangan kendali atas perangkat atau datanya tanpa menyadarinya.

Mei 2025: Worldcoin dan WorldID belakangan viral karena menawarkan uang hingga Rp 800 ribu bagi masyarakat yang mau melakukan pemindaian atau scan iris mata. Worldcoin hadir dengan membawa teknologi verifikasi identitas manusia bernama WorldID. Sistem ini menggunakan perangkat khusus bernama Orb untuk memindai wajah dan mata seseorang, lalu mengubahnya menjadi identitas digital dengan data biometrik.

Juni 2025: Kasus scamming online yang menimpa PT Taspen dengan modus pengiriman file APK kepada para pensiunan mencerminkan satu bentuk kejahatan siber yang semakin terstruktur dan berbahaya, terutama karena melibatkan unsur pemanfaatan data pribadi secara spesifik. Aplikasi APK berbahaya yang dikirimkan kepada para korban didesain menyerupai aplikasi resmi dari PT Taspen, dan digunakan untuk menjebak pengguna agar secara tidak sadar memberikan izin akses ke berbagai elemen sensitif dalam perangkat Android mereka. Begitu aplikasi diinstal, pelaku bisa mengakses SMS, data kontak, hingga kredensial perbankan—semuanya memungkinkan terjadinya pencurian uang secara langsung dari rekening korban.

Juli 2025: Pernyataan resmi dari Gedung Putih yang menyebut bahwa Indonesia akan memberikan kepastian terkait kemampuan mentransfer data pribadi ke luar wilayahnya, khususnya ke Amerika Serikat, memiliki implikasi serius terhadap kedaulatan digital dan posisi geopolitik Indonesia. Dalam lanskap global saat ini, di mana data telah menjadi komoditas strategis yang setara dengan sumber daya alam, pernyataan tersebut bukanlah sekadar pernyataan dagang, melainkan sinyal politik yang sangat kuat tentang arah hubungan digital antara Indonesia dan kekuatan global seperti Amerika Serikat.

Agustus 2025: Platform gim daring Roblox kembali disorot setelah terungkap kasus kekerasan seksual terhadap anak lintas negara yang melibatkan pelaku asal Balikpapan dan korban remaja asal Swedia. Polda Kalimantan Timur menangkap pria berinisial AMZ di Balikpapan. AMZ diduga melakukan grooming terhadap korban perempuan berusia 15 tahun asal Swedia yang dikenalnya melalui Roblox pada pertengahan 2024.  Dengan bujuk rayu, AMZ meminta korban mengirimkan sekitar 30 foto dan video asusila. Ia kemudian memeras korban dengan ancaman menyebarkan konten itu. Korban sempat mengirim uang US$ 50 sebelum orang tuanya melapor ke Kedutaan Besar RI di Stockholm.

September 2025: Konsep single ID dalam konteks media sosial di Indonesia belakangan memunculkan perdebatan serius, baik dari sisi teknis maupun dari perspektif kebijakan publik. Secara sederhana, single ID dapat dipahami sebagai sistem identitas digital tunggal yang berlaku lintas platform, sehingga seorang individu cukup menggunakan satu bentuk identitas resmi untuk mengakses, mendaftar, atau melakukan verifikasi pada berbagai layanan, termasuk media sosial.

Oktober 2025: Setahun setelah berakhirnya masa transisi Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), implementasinya dinilai masih jauh dari harapan. Meskipun regulasi telah resmi berlaku penuh sejak 2024, Badan PDP belum dibentuk juga sehingga masyarakat belum merasakan perlindungan nyata di tengah meningkatnya ancaman kejahatan digital dan kebocoran data. 

November 2025: ChatGPT menjadi sorotan setelah Komdigi memasukkannya ke dalam daftar 25 platform digital yang belum memenuhi kewajiban pendaftaran sebagai PSE. Pengamat keamanan siber dari CISSReC, Pratama Persadha, melihat langkah Komdigi sebagai upaya penegasan aturan, bukan ancaman yang benar-benar hendak memutus akses. Ia menilai situasi serupa pernah terjadi pada sejumlah platform global, dan ujungnya selalu berhenti pada proses pendaftaran.

Desember 2025: Q3 DDoS Thread dari Cloudflare menyebut Indonesia sebagai sumber serangan DDoS tertinggi di dunia. Tujuh dari sepuluh sumber utama serangan DDoS berasal dari wilayah Asia, dengan Indonesia memimpin daftar tersebut. Indonesia merupakan sumber serangan DDoS terbesar, dan telah menduduki peringkat pertama di dunia selama setahun penuh (sejak kuartal ketiga 2024).

Pada tahun 2026 tentu saja masih akan banyak serangan siber yang dihadapi oleh bangsa Indonesia. Beberapa prakiraan ancaman siber yang perlu menjadi perhatian dan diwaspadai pada tahun 2026 antara lain Kecerdasan buatan (AI) telah bergeser dari alat bantu menjadi mesin penggerak serangan siber modern.

Pada tahun 2026, AI akan mengotomatiskan pengintaian, mengembangkan rantai eksploitasi, membuat phishing yang meyakinkan dalam skala besar, dan meniru eksekutif dengan suara dan video yang hampir sempurna.

Rekayasa sosial akan menjadi hampir tidak dapat dibedakan dari komunikasi yang sah. FBI melaporkan bahwa kelompok kriminal sudah menggunakan AI untuk menghasilkan suara deepfake untuk penipuan pemerasan, dan Badan Keamanan Siber dan Infrastruktur Amerika (CISA) telah memperingatkan bahwa rekayasa sosial berbasis AI akan menjadi salah satu risiko utama mereka di masa mendatang. Organisasi yang mengandalkan metode deteksi tradisional akan tertinggal dengan cepat, karena hanya pertahanan yang didukung AI yang dapat menandingi serangan berbasis AI.

Kemudian para pelaku ransomware berkembang lebih cepat daripada segmen kejahatan siber lainnya. Mereka menggunakan AI untuk memindai internet secara terus-menerus, merantai kerentanan, dan melancarkan serangan dengan intervensi manusia yang minimal. Kecepatan terjadinya pelanggaran keamanan akan meningkat secara dramatis. Organisasi dengan program pembaruan keamanan yang lemah, paparan yang tidak terpantau, atau kemampuan respons insiden yang tertinggal akan merasakan konsekuensinya secara langsung.

Selain itu Enkripsi sedang mengalami perubahan dramatis. Organisasi sedang mempersiapkan diri untuk algoritma pasca-kuantum yang disetujui NIST, sementara pihak lawan mempercepat pencurian kunci menggunakan AI. Enkripsi akan meluas lebih dalam ke dalam sistem, mencakup log, identitas mesin, bidang basis data, memori, dan semua repositori cadangan. Tekanan tidak akan datang dari enkripsi itu sendiri, tetapi dari tata kelola di baliknya. Manajemen kunci yang buruk akan menyebabkan dampak operasional yang lebih besar daripada sandi yang lemah. Organisasi yang memodernisasi postur kriptografi mereka sejak dini akan menghindari transisi yang terburu-buru di kemudian hari.

Kompromi identitas juga akan tetap menjadi penyebab utama pelanggaran keamanan pada tahun 2026. Penyerang akan semakin mengandalkan pemutaran ulang token sesi, peniruan identitas eksekutif, pencurian identitas mesin, dan penyalahgunaan akun layanan. CrowdStrike melaporkan bahwa 75% intrusi melibatkan identitas yang dikompromikan atau kredensial yang valid, bukan malware. Batasan identitas telah menjadi batasan sebenarnya. Organisasi yang tidak dapat mengartikulasikan dengan jelas siapa yang memiliki akses ke apa dan bagaimana akses tersebut diatur, akan menghadapi insiden berulang. Program identitas yang matang akan menjadi jalan tercepat menuju pengurangan risiko yang terukur.

Yang tidak kalah pelik, Pihak-pihak yang bermusuhan telah mengetahui bahwa satu pemasok yang lemah dapat membahayakan puluhan organisasi sekaligus. Serangan terhadap penyedia layanan terkelola, platform cloud, aplikasi SaaS, dan subkontraktor khusus akan meningkat. Kuesioner vendor tradisional sudah usang. Organisasi akan membutuhkan visibilitas berkelanjutan terhadap kontrol pemasok, bukan dokumentasi statis. Harapan bahwa perusahaan bertanggung jawab atas postur keamanan rantai pasokan mereka akan menjadi hal yang umum.

Pemerintah Indonesia masih dihadapkan pada berbagai agenda strategis di bidang keamanan siber yang perlu dituntaskan pada 2026 guna memperkuat perlindungan infrastruktur digital serta data publik. Peningkatan keamanan dan pertahanan siber di lingkungan pemerintahan harus ditempatkan sebagai prioritas utama. Langkah ini mencakup penerapan standar keamanan siber yang ketat di seluruh instansi, penguatan integrasi sistem pengamanan yang saling terhubung, serta peningkatan kompetensi sumber daya manusia melalui program pelatihan intensif dan sertifikasi profesional di bidang keamanan siber. Seluruh upaya tersebut menjadi landasan penting bagi Indonesia dalam menjawab tantangan era digital sekaligus menjaga kedaulatan di ruang siber.

Prioritas penting lainnya adalah pembentukan Lembaga Perlindungan Data Pribadi sebagai implementasi nyata Undang-Undang Perlindungan Data Pribadi. Lembaga ini diharapkan memiliki independensi kelembagaan dan kapasitas yang memadai untuk mengawasi kepatuhan terhadap regulasi, menangani insiden pelanggaran data, serta menjatuhkan sanksi kepada pihak yang tidak patuh.

Di samping itu, percepatan penyusunan dan pengesahan Peraturan Pemerintah sebagai aturan turunan UU PDP menjadi krusial untuk menghadirkan pedoman operasional yang jelas bagi pemangku kepentingan di sektor publik maupun swasta dalam pengelolaan dan perlindungan data pribadi. Aturan tersebut perlu mengakomodasi aspek teknis dan yuridis yang relevan, termasuk standar pengamanan data, tata cara pelaporan insiden, serta mekanisme penyelesaian sengketa.

Pemerintah juga dituntut untuk mempercepat pembahasan Rancangan Undang-Undang Keamanan dan Ketahanan Siber yang telah masuk dalam Program Legislasi Nasional agar segera disahkan. Kehadiran regulasi ini penting untuk menyediakan kerangka hukum yang lebih menyeluruh dalam menghadapi ancaman siber yang kian kompleks dan terorganisasi, sekaligus memperkuat koordinasi lintas sektor dalam penanganan insiden siber.

Dari sisi kelembagaan, penguatan peran dan kewenangan Badan Siber dan Sandi Negara menjadi kebutuhan mendesak. Pemerintah perlu memastikan ketersediaan sumber daya manusia yang kompeten, dukungan teknologi, serta alokasi anggaran yang memadai bagi BSSN agar mampu menjalankan fungsi deteksi, respons, dan pemulihan insiden siber secara optimal. Selain itu, BSSN harus didorong untuk berperan sebagai aktor utama dalam pengamanan infrastruktur kritis nasional, termasuk sektor energi, transportasi, dan telekomunikasi. [ham]