Menanggapi hal itu, Achmad Yusuf, seorang Red Team Lead serta praktisi keamanan siber asal Indonesia, menilai bahwa dalam disiplin keamanan siber, validitas sebuah insiden tidak ditentukan oleh pernyataan resmi semata, melainkan oleh indikator teknis yang dapat dianalisis.
“Dalam disiplin keamanan siber, validitas insiden tidak ditentukan oleh pernyataan resmi, tetapi oleh indikator teknis. Ketika dataset yang beredar memiliki struktur tabel yang konsisten, pola entri yang realistis, serta kesesuaian dengan arsitektur sistem institusional, maka itu sudah merupakan signal of compromise. Kondisi seperti ini menuntut analisis teknis dan verifikasi, bukan sekadar respons normatif,” ujar Yusuf.
Achmad Yusuf yang juga merupakan Founder SiberVox Indonesia menilai sektor pendidikan tinggi memiliki karakteristik risiko yang kerap diabaikan. Menurutnya, sistem informasi kampus menyimpan data sensitif dalam jumlah besar, namun dalam praktiknya lebih banyak dibangun dengan orientasi operasional akademik dibandingkan dengan ketahanan keamanan siber.
“Banyak sistem kampus dirancang agar operasional berjalan lancar, tetapi aspek keamanan sering kali menjadi prioritas sekunder. Dari sudut pandang penyerang, satu celah kecil saja sudah cukup untuk membuka akses yang lebih luas,” jelasnya
Ia mencontohkan Sistem Informasi Akademik (SIAKAD) serta berbagai sistem penunjang pendidikan lain yang masih jauh dari kata aman. Menurutnya, masih banyak kampus yang menggunakan mekanisme autentikasi sederhana, validasi input yang minim, serta pengelolaan hak akses yang longgar. Bahkan, tidak sedikit platform akademik yang berjalan di atas teknologi usang tanpa pembaruan keamanan yang memadai.
“Banyak sistem kampus dirancang agar operasional berjalan lancar, tetapi yang sering dilupakan adalah bagaimana membangun sistem dengan keamanan yang baik dan mumpuni. Dari sudut pandang penyerang, satu celah kecil bisa menjadi pintu masuk untuk membaca data dalam skala besar. Dalam banyak kasus, sistem SIAKAD masih menggunakan autentikasi sederhana, validasi input yang minim, serta pemisahan hak akses yang lemah. Ditambah lagi, sebagian kampus masih menggunakan platform aplikasi lama yang sudah usang dari sisi teknologi dan keamanannya. Kombinasi ini membuat sistem memiliki banyak celah untuk dieksploitasi,” ujarnya.
Yusuf menambahkan bahwa berdasarkan pola umum insiden yang sering ditemukan di sektor pendidikan, kebocoran data kampus jarang disebabkan oleh serangan tingkat lanjut. Sebaliknya, insiden tersebut lebih sering berakar pada kelemahan fundamental, seperti implementasi autentikasi yang buruk, kurangnya pembaruan keamanan aplikasi, serta kesalahan konfigurasi server dan layanan pihak ketiga.
“Meski begitu, bukan berarti sistem perguruan tinggi rata-rata tidak aman, ada banyak kasus lain sistem universitas yang diretas melibatkan insiden yang lebih kompleks dan dengan teknik serius. Namun meski demikian dalam hal ini celah-celah dasar juga memang seharusnya tidak boleh dibiarkan, karena bisa menjadi target yang sangat empuk bagi hacker” tambahnya.
Lebih jauh, ia mengingatkan bahwa dampak kebocoran data mahasiswa tidak selalu muncul secara langsung. Data identitas dan akademik, menurutnya, memiliki nilai tinggi dan kerap dimanfaatkan dalam skema penipuan berbasis rekayasa sosial dalam jangka panjang.
“Sering kali data yang bocor hari ini baru dieksploitasi bertahun-tahun kemudian, dalam konteks yang sama sekali berbeda. Inilah yang membuat kebocoran data di sektor pendidikan menjadi sangat berbahaya, terlebih jika kebocoran tersebut sudah menyentuh level infrastruktur dan melibatkan data-data penting seperti dosen, pimpinan kampus, hingga informasi keuangan yg krusial,” katanya.
Yusuf mendorong agar penanganan isu kebocoran data kampus tidak berhenti pada klarifikasi semata, melainkan diarahkan pada audit teknis yang mendalam dan objektif. Ia menekankan pentingnya pengujian sistem secara menyeluruh, termasuk evaluasi terhadap pihak ketiga yang terlibat dalam pengelolaan infrastruktur teknologi informasi kampus.
“Yang dibutuhkan adalah audit teknis dan remedi sistem yang tepat sasaran, berbasis pengujian nyata dengan standar keamanan yang benar. Tanpa itu, kasus serupa hanya akan terus berulang,” tutup Achmad Yusuf.
Editor : Azward Halim