Apa pelajaran yang dapat diambil dari serangan siber di pusat data nasional?

Hampir satu bulan berlalu sejak insiden serangan ransomware terhadap Pusat Data Nasional (PDN) Sementara 2, namun pemerintah belum berhasil memulihkan seluruh layanan publik yang terdampak gangguan meskipun telah mendapatkan kunci dekripsi secara gratis dari kelompok peretas. 

Menteri Koordinator Bidang Politik, Hukum dan Keamanan, Hadi Tjahjanto, pada 13 Juli lalu menyampaikan perkembangan terbaru di mana mereka berhasil memulihkan 86 layanan yang berasal dari 16 pengelola layanan seraya menjanjikan seluruh layanan (282) akan dipulihkan sebelumnya pada bulan ini. 

Meski demikian, pemerintah sampai saat ini belum mengumumkan rencana-rencana strategis yang akan dilakukan untuk menguatkan sistem pertahanan siber pemerintahan di masa depan, yang memunculkan pertanyaan di benak kita tentang apa yang bakal dilakukan pemerintah ketika menghadapi serangan yang jauh lebih besar. 

Beberapa pelanggaran keamanan berskala besar yang terjadi tiga tahun belakangan, misalnya serangan ransomware ke Bank Syariah Indonesia (2023), dugaan kebocoran data aplikasi Health Alert Card Kementerian Kesehatan (2022) dan data peserta BPJS Kesehatan (2021), seharusnya cukup membuka mata pemerintah untuk memperkuat ketahanan siber. 

Hal ini menjelaskan mengapa peringkat keamanan siber Indonesia berada di nomor 49 dunia dan nomor lima di ASEAN di bawah Malaysia, Singapura, Thailand dan Filipina. 

Berlangganan Bulletin GovInsider untuk mendapatkan informasi terbaru mengenai inovasi sektor publik.

Menutup celah keamanan 

Pelajaran paling penting yang dapat diambil dari insiden serangan siber di PDN Sementara 2 ialah bagaimana kurangnya kewaspadaan terhadap ancaman siber dan rendahnya kepatuhan terhadap standar industri harus dibayar mahal dengan meningkatnya risiko keamanan.

Pemerintah seharusnya bisa memastikan setiap pengelola pusat data mematuhi kewajibannya dalam “menyelenggarakan sistem elektronik yang andal dan aman dan bertanggung jawab”, seperti bunyi Pasal 3 Peraturan Pemerintah No 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

Hasil investigasi sementara menyimpulkan bahwa "kelalaian dalam menggunakan password" telah membuka celah keamanan di sistem PDN Sementara 2 dan memicu serangan, tanpa menjelaskan lebih jauh apa kelalaian yang dimaksud, apakah karena kesalahan konyol seperti kombinasi kata kunci (password) yang mudah ditebak atau ada percobaan sabotase.  

Inilah mengapa audit keamanan pada seluruh fasilitas pusat data harus dilakukan secepatnya dan hendaknya menitikberatkan pada peningkatan tata kelola, protokol standar keamanan dan kepatuhan pada mereka yang berada di garis depan.

Zero Trust dalam hal akses terhadap jaringan, yang mencakup pembatasan secara ketat akses pengguna ke sistem utama dan penggunaan autentikasi multifaktor, adalah protokol sederhana yang mudah dilaksanakan apabila ada kemauan untuk mematuhinya.  

Mewajibkan pencadangan data 

Rapat antara Dewan Perwakilan Rakyat bersama Kepala BSSN dan Menteri Kominfo 27 Juni lalu mengungkap fakta mencengangkan: sejak PDN Sementara diluncurkan pada 2021,  hanya dua persen data yang memiliki backup dengan alasan pencadangan data membutuhkan biaya ekstra. 

Peraturan yang menempatkan pencadangan data PDN sebagai “opsional” adalah sikap kompromistis yang pada akhirnya merugikan semua pemangku kepentingan. Ketentuan ini harus diubah secepatnya. 

Seorang pejabat menceritakan bagaimana insiden ini telah memicu kepanikan luar biasa di kalangan tenant-tenant PDN di tingkat pemerintah pusat dan pemerintah daerah karena mereka tidak memiliki fasilitas penyimpanan data cadangan. Mereka meratapi usaha mereka yang selama puluhan tahun mengumpulkan data, lalu tiba-tiba hilang dalam sekejap.  

Apakah data pribadi kita aman? 

Satu hal lain yang juga disorot ialah pemerintah terkesan tidak transparan dalam menjelaskan seberapa besar dampak kerusakan yang ditimbulkan akibat kegagalan layanan komputasi awan mereka dan bagaimana implikasi serangan tersebut terhadap keamanan data.

Sampai saat ini publik belum mendapatkan informasi yang memadai tentang apakah terjadi kebocoran data akibat serangan, apa yang dilakukan otoritas untuk menyelamatkan data-data tersebut dan bagaimana rencana-rencana mitigasi selanjutnya.  

Dari total 210 instansi pemerintahan tingkat nasional dan tingkat lokal yang menggunakan fasilitas PDN Sementara 2, sebagiannya merupakan lembaga pemerintah yang menyelenggarakan layanan vital dan mengelola data pribadi.  

Kementerian Pendidikan melaporkan bahwa serangan ransomware membuat mereka kehilangan akses atas domain layanan Kartu Indonesia Pintar (KIP) Kuliah dan 853.393 data mahasiswa calon penerima beasiswa turut hilang. 

Sementara itu, Direktorat Imigrasi menyimpan data pelaku perjalanan keluar-masuk Indonesia – termasuk memproses data pendaftar 60,000 paspor yang penerbitannya tertunda.  

Berdasarkan ketentuan pasal 46 Undang-Undang Nomor 27/2022 tentang Perlindungan Data Pribadi, pengelola data pribadi wajib memberitahu subjek data apabila terjadi kebocoran data dalam waktu 3 x 24 jam.  

Pemberitahuan ini harus memuat informasi mengenai apa data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan oleh pengelola data pribadi. 

Membiarkan publik dilanda kesimpangsiuran informasi terkait nasib data pribadi mereka tanpa adanya kepastian kapan masalah ini bisa diselesaikan hanya akan menambah ketidakpercayaan publik pada pemerintah dalam menangani kejahatan siber. 

Urgensi Undang-Undang Keamanan Siber 

Terakhir, Indonesia harus segera mengesahkan mengesahkan Rancangan Undang-Undang (RUU) Keamanan Siber yang pembahasannya mangkrak sejak 2019. Undang-Undang ini penting sebagai landasan untuk memperkuat infrastruktur keamanan siber, menciptakan tanggung jawab yang lebih mengikat dari sisi kelembagaan, dan menetapkan ketentuan pidana apabila terjadi pelanggaran.  

Bagi lembaga seperti BSSN, UU akan menjadi landasan kuat untuk meningkatkan sumber daya untuk mendeteksi ancaman. Bagi pengelola dan pengguna fasilitas pusat data, aturan ini akan meningkatkan kedisiplinan organisasi dalam menjaga dan mengelola data dan layanan-layanannya.  

Dalam hal ini, negara tetangga Singapura dan Malaysia sudah berjalan lebih maju. Singapura telah memperbarui Undang-Undang Ketahanan Siber negaranya pada tahun ini agar sesuai dengan perkembangan lanskap ancaman siber yang semakin kompleks.  

Sementara itu, Malaysia telah mengesahkan RUU Keamanan Siber pada tanggal 3 April, sebagai upaya untuk meningkatkan postur keamanan siber dan mencurahkan lebih banyak sumber daya untuk memerangi serangan siber, mencakup pembentukan badan pemerintah untuk memimpin upaya bersama dengan sektor swasta. 

Pejabat teknologi senior di pemerintah bercerita bahwa RUU Keamanan Siber juga perlu membahas aspek kerja sama siber dengan sektor swasta, mengingat adanya permintaan pemerintah dalam hal teknologi dan meningkatnya kebutuhan talenta siber di institusi.