"Hacking bukan soal jahat atau tidak jahat. Hacking soal izin." — Teguh Aprianto, Pendiri Ethical Hacker Indonesia

Pendahuluan: Dua Sisi Mata Pisau yang Sama

Bayangkan kamu seorang ahli kunci. Kamu tahu cara membuka hampir semua gembok di dunia. Pertanyaannya: apakah itu membuatmu kriminal? Tentu tidak — selama kamu hanya membuka gembok milikmu sendiri, atau gembok orang lain yang memintamu bantuan. Tapi begitu kamu mulai membuka gembok orang tanpa izin, urusan sudah berbeda.

Itulah kira-kira analogi paling pas untuk menggambarkan dunia hacking. Skill-nya sama. Toolsnya sama. Yang berbeda hanyalah satu hal: izin.

Di era teknologi seperti sekarang, perbedaan antara ethical hacking dan illegal hacking sering kali tipis dan membingungkan — terutama di mata hukum Indonesia. Sangat penting untuk mempertimbangkan Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) yang sudah dua kali direvisi dan masih saja menyisakan abu-abu. Dalam artikel ini, kami mencoba menjelaskan secara menyeluruh perbedaan keduanya, bagaimana hukum nasional dan internasional mengaturnya, dan kasus-kasus nyata yang terjadi di Indonesia.

Bagian 1: Apa Itu Ethical Hacking?

Ethical hacking — atau sering disebut penetration testing atau white hat hacking — adalah praktik menyerang sistem komputer secara legal dengan tujuan menemukan celah keamanan sebelum orang jahat melakukannya. Singkatnya: berkelahi di atas ring, bukan di jalanan gelap.

Seorang ethical hacker bekerja dengan beberapa prinsip dasar:

1. Izin tertulis dari pemilik sistem sebelum melakukan apa pun
2. Ruang lingkup yang jelas — sistem mana yang boleh diuji, metode apa yang boleh digunakan
3. Tidak merusak data yang ditemukan selama pengujian
4. Melaporkan semua temuan kepada klien/pemilik sistem secara lengkap
5. Menjaga kerahasiaan informasi yang diperoleh selama pengujian

Sedangkan illegal hacking adalah kebalikannya: masuk ke sistem orang lain tanpa izin, dengan motivasi yang bisa bermacam-macam — dari sekadar penasaran, mencuri data, hingga sabotase atau pemerasan.

Di komunitas hacker, ada klasifikasi populer berdasarkan "warna topi":

• White Hat: Ethical hacker, bekerja legal dengan izin
• Black Hat: Hacker jahat, mencuri atau merusak sistem tanpa izin
• Grey Hat: Di tengah-tengah — kadang masuk tanpa izin tapi tidak berniat jahat, misalnya melaporkan bug yang ditemukan

Nah, si grey hat inilah yang paling sering bikin pusing para praktisi hukum siber.

Bagian 2: Kerangka Hukum Internasional

Sebelum masuk ke hukum Indonesia, penting untuk tahu bahwa dunia internasional sudah punya beberapa acuan terkait cybercrime dan ethical hacking.

Budapest Convention (2001)

Konvensi Budapest tentang Kejahatan Siber (Convention on Cybercrime) yang diterbitkan oleh Dewan Eropa pada tahun 2001 adalah perjanjian internasional pertama yang secara khusus menangani kejahatan siber. Konvensi ini mengkriminalisasi akses ilegal ke sistem komputer (illegal access), intersepsi ilegal (illegal interception), interferensi data (data interference), dan penyalahgunaan perangkat (misuse of devices).

Menariknya, Konvensi Budapest juga secara implisit mengakui ruang bagi pengujian keamanan yang sah — selama dilakukan dengan otorisasi dari pihak yang berwenang. Indonesia sendiri belum meratifikasi konvensi ini, tapi banyak prinsipnya yang diadopsi ke dalam UU ITE.

ISO/IEC 27001 dan Standar NIST

Di luar regulasi hukum, dunia keamanan siber mengenal standar-standar teknis seperti ISO/IEC 27001 (Manajemen Keamanan Informasi) dan NIST Cybersecurity Framework yang menjadi acuan global. Standar-standar ini mendorong organisasi untuk secara aktif melakukan pengujian keamanan — termasuk penetration testing — sebagai bagian dari manajemen risiko yang bertanggung jawab.

CFAA Amerika Serikat

Amerika Serikat punya Computer Fraud and Abuse Act (CFAA) yang menjadi salah satu landasan hukum terkuat sekaligus paling kontroversial di dunia soal kejahatan siber. Di bawah CFAA, "akses tanpa otorisasi" menjadi kata kunci — dan penafsiran kata itu sering menjadi perdebatan di pengadilan, terutama dalam kasus-kasus bug bounty dan security research.

Bagian 3: UU ITE dan Posisi Ethical Hacking di Indonesia

Indonesia mengatur kejahatan siber terutama melalui Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE), yang telah diubah dua kali: pertama melalui UU Nomor 19 Tahun 2016, dan terakhir melalui UU Nomor 1 Tahun 2024.

Pasal-Pasal Krusial

Pasal 30 UU ITE adalah pasal yang paling langsung berkaitan dengan hacking. Pasal ini melarang setiap orang untuk:

• Mengakses komputer dan/atau sistem elektronik milik orang lain dengan sengaja dan tanpa hak (ayat 1)
• Mengakses sistem elektronik dengan tujuan memperoleh informasi elektronik secara ilegal (ayat 2)
• Mengakses sistem elektronik dengan melanggar, menerobos, atau menjebol sistem pengamanan (ayat 3)

Sanksi atas pelanggaran Pasal 30 diatur dalam Pasal 46, dengan ancaman hukuman penjara hingga 6 tahun dan/atau denda hingga Rp600 juta. Bahkan bisa lebih berat jika targetnya adalah sistem milik pemerintah atau infrastruktur publik (Pasal 52 ayat 2).

Pasal 31 melarang penyadapan (interception) informasi elektronik tanpa hak. Pasal 32 melarang pengubahan, penambahan, atau penghapusan informasi elektronik secara ilegal. Pasal 33 melarang tindakan yang mengakibatkan sistem elektronik tidak berfungsi sebagaimana mestinya.

Pengecualian untuk Ethical Hacking: Pasal 34

Nah, di sinilah harapan bagi para ethical hacker: Pasal 34 UU ITE mengatur bahwa kepemilikan atau penggunaan alat-alat hacking bukan merupakan tindak pidana jika ditujukan untuk:

• Kegiatan penelitian
• Pengujian sistem elektronik
• Perlindungan sistem elektronik itu sendiri secara sah dan tidak melawan hukum

Ini artinya, secara hukum, ethical hacking yang dilakukan dengan otorisasi resmi mendapat perlindungan. Kata kuncinya adalah otorisasi — biasanya berupa kontrak tertulis atau MoU antara ethical hacker dengan pemilik sistem.

Peraturan BSSN Nomor 8 Tahun 2020

Selain UU ITE, Peraturan BSSN Nomor 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik mewajibkan penyelenggara sistem elektronik untuk memiliki Sertifikat Sistem Manajemen Pengamanan Informasi (SMPI). Ini secara tidak langsung mendorong penggunaan penetration testing sebagai bagian dari proses sertifikasi keamanan.

Bagian 4: Case Study — Ketika Hacking Menjadi Bencana Nasional

Kasus PDNS 2 Surabaya (Juni 2024)

Ini mungkin kasus kejahatan siber terbesar dalam sejarah Indonesia. Pada 20 Juni 2024, Pusat Data Nasional Sementara (PDNS) 2 di Surabaya diserang menggunakan ransomware LockBit 3.0 Brain Cipher. Akibatnya, data dari 282 instansi pemerintah — termasuk kementerian, lembaga, dan pemerintah daerah — terenkripsi dan tidak bisa diakses.

Para penyerang meminta tebusan sebesar US$8 juta (sekitar Rp131 miliar). Pemerintah Indonesia memilih untuk tidak membayar. Ironisnya, pada 3 Juli 2024, kelompok hacker tersebut merilis kunci enkripsi secara cuma-cuma — langkah yang sangat tidak biasa dalam dunia ransomware.

Yang lebih mengejutkan: kepala BSSN mengakui bahwa penyebab utama serangan ini sebagian disebabkan oleh buruknya tata kelola — tidak ada sistem backup data yang memadai. Ketua Komisi I DPR bahkan menyebut ini bukan sekadar masalah tata kelola, tapi "kebodohan" yang tidak bisa ditoleransi.

Kasus ini adalah contoh nyata bagaimana illegal hacking bisa melumpuhkan layanan publik secara masif. Bayangkan jika sebelumnya dilakukan ethical hacking — penetration testing yang serius — kemungkinan besar celah keamanan ini sudah bisa ditemukan dan ditambal.

Kasus Bank Syariah Indonesia (BSI) — 2023

Pada Mei 2023, BSI — bank syariah terbesar di Indonesia — menjadi korban serangan LockBit (kelompok yang sama). Kelompok ini mengklaim berhasil mencuri 1,5 TB data termasuk data pribadi sekitar 15 juta nasabah dan 24.437 karyawan. Mereka meminta tebusan US$20 juta (sekitar Rp296 miliar).

Meski BSI menyatakan data nasabah aman, insiden ini mengguncang kepercayaan publik terhadap layanan perbankan digital. Ini adalah pelajaran pahit: keamanan siber bukan opsional.

Kasus Bocornya Data NPWP (September 2024)

Sekitar 6 juta data NPWP — termasuk milik Presiden Joko Widodo — dilaporkan bocor dan dijual di dark web oleh peretas bernama "Bjorka" seharga Rp150 juta. Insiden ini kembali memperlihatkan betapa rentannya keamanan data di Indonesia.

Ironisnya, yang pertama kali mengumumkan kebocoran ini ke publik adalah Teguh Aprianto, pendiri Ethical Hacker Indonesia — bukan pihak pemerintah sendiri. Ini menunjukkan peran penting komunitas ethical hacker dalam ekosistem keamanan siber nasional.

Bagian 5: Kondisi yang Menyalahi Hukum — Grey Area yang Berbahaya

Bug Hunter Tanpa Izin

Bayangkan seorang mahasiswa IT yang iseng menemukan celah keamanan di website perusahaan besar. Dia melaporkan bug tersebut, berharap dapat apresiasi. Tapi tanpa izin tertulis sebelumnya, secara hukum dia sudah melanggar Pasal 30 UU ITE — meskipun niatnya baik dan tidak ada data yang diambil.

Berdasarkan analisis hukum yang berlaku, penerobosan tanpa izin terhadap sistem keamanan tetap merupakan tindakan melawan hukum, bahkan jika pelakunya menemukan bug dan melaporkannya kepada perusahaan. Sekalipun memenuhi unsur ethical hacking, pelaku tetap berisiko mendapat ancaman hukuman jika pihak yang diretas tidak senang.

Bug Bounty Program yang Masih Minim

Di negara maju seperti AS, perusahaan-perusahaan besar punya bug bounty program — program resmi yang mengundang para hacker untuk mencari celah keamanan dan memberikan imbalan jika berhasil menemukannya. HackerOne dan Bugcrowd adalah platform terbesar untuk ini.

Di Indonesia, budaya bug bounty masih sangat terbatas. Banyak perusahaan lokal bahkan tidak punya program semacam ini, sehingga ketika seseorang menemukan celah dan melaporkannya, bukan reward yang diterima — malah ancaman tuntutan hukum.

Penggunaan Tools Hacking Tanpa Konteks yang Jelas

Tools seperti Nmap, Metasploit, Burp Suite, atau Wireshark adalah alat yang digunakan oleh ethical hacker sehari-hari. Tapi di tangan yang salah atau dalam konteks yang tidak tepat, penggunaan tools ini bisa berujung pada dakwaan pidana. UU ITE tidak secara eksplisit menyebutkan nama tools tertentu, tapi pasal 34 bisa diinterpretasikan untuk menjerat penggunaan tools tersebut jika tidak ada otorisasi yang jelas.

Bagian 6: Solusi — Membangun Ekosistem Ethical Hacking yang Sehat

1. Regulasi yang Lebih Spesifik

UU ITE perlu diperjelas — terutama soal prosedur otorisasi untuk penetration testing, definisi yang lebih ketat tentang "tanpa hak", dan perlindungan hukum yang lebih eksplisit bagi ethical hacker yang bekerja secara profesional.

2. Mendorong Bug Bounty Culture

Pemerintah dan perusahaan swasta perlu mengembangkan ekosistem bug bounty yang lebih matang. BSSN sebenarnya sudah mulai melangkah ke arah ini, tapi perlu diperluas dan dipopulerkan.

3. Sertifikasi dan Profesionalisasi

Sertifikasi internasional seperti CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional), atau CompTIA Security+ seharusnya menjadi tolok ukur standar kompetensi yang diakui secara hukum di Indonesia.

4. Perjanjian Tertulis Selalu Pertama

Bagi siapa pun yang bekerja di bidang penetration testing: selalu dahulukan kontrak/MoU tertulis sebelum melakukan apa pun. Ini bukan formalitas — ini perlindungan hukum.

Kesimpulan: Hukum Harus Berlari Lebih Kencang

Teknologi berkembang dengan kecepatan luar biasa. Regulasi? Masih ngos-ngosan di belakang. Itulah tantangan terbesar dalam mengatur dunia siber di Indonesia.

Ethical hacking adalah kebutuhan nyata, bukan kemewahan. Data dari BSSN menunjukkan lebih dari 300 juta serangan siber terjadi di Indonesia dalam satu tahun saja. Tanpa para profesional keamanan yang kompeten dan dilindungi secara hukum, angka ini hanya akan terus naik.

Di sisi lain, hukum harus tegas terhadap illegal hacking yang merugikan masyarakat. Kasus PDNS, BSI, hingga bocornya data NPWP adalah bukti nyata bahwa ancaman siber bukan fiksi ilmiah — ini kenyataan yang merugikan jutaan orang.

Pada akhirnya, garis yang memisahkan ethical hacker dari kriminal siber sangat sederhana: izin. Satu kata, tapi implikasinya bisa menentukan apakah seseorang menjadi pahlawan keamanan siber atau tersangka pidana.

Referensi

1. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE)
2. Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Atas UU ITE
3. Undang-Undang Nomor 1 Tahun 2024 tentang Perubahan Kedua Atas UU ITE
4. Peraturan BSSN Nomor 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik
5. Council of Europe. (2001). Convention on Cybercrime (Budapest Convention). European Treaty Series №185.
6. NIST. (2020). Framework for Improving Critical Infrastructure Cybersecurity (Version 1.1). National Institute of Standards and Technology.
7. OWASP Foundation. (2022). OWASP Testing Guide v4.2.
8. Kumar, R., Sharma, S., & Jain, M. (2020). A comprehensive study on ethical hacking and cyber security. International Journal of Computer Applications, 176(18), 1–6.
9. Sari, L. P., & Nugroho, A. (2022). Analisis implementasi penetration testing pada keamanan sistem informasi perguruan tinggi. Jurnal Ilmiah Teknologi Informasi, 18(2), 55–63.
10. Hukumonline. (2024). Bunyi Pasal 30 ayat (1) UU ITE tentang Peretasan. https://www.hukumonline.com/klinik
11. Hukumonline. (2020). Adakah Perlindungan Hukum Bagi Peretas yang Beretika?. https://www.hukumonline.com/klinik
12. Tempo. (2024). Polemik Data Pribadi: 5 Kasus Kebocoran Data di Indonesia Selama 2023–2024. https://www.tempo.co
13. CNBC Indonesia. (2024). Kronologi Lengkap Pusat Data Nasional Diserang Hacker Minta Rp 131 M. https://www.cnbcindonesia.com
14. RRI. (2026). Mengenal Ethical Hacking, Profesi Legal Jaga Keamanan Siber. https://rri.co.id
15. Trianda Lestari, et al. (2024). Pertanggungjawaban Perbankan dalam Melindungi Data Pribadi Nasabah Akibat Peretasan: Studi Kasus BSI. Doktrin: Jurnal Dunia Ilmu Hukum dan Politik, 2(3), 48–59.