Terungkap, pusat data nasional diserang gara-gara kelalaian password

Menteri Koordinator Bidang Politik, Hukum, dan Keamanan, Marsekal (Purn) Hadi Tjahjanto, mengungkapkan hasil forensik atas penyebab masalah serangan siber terhadap PDN Sementara.

"Dari hasil forensik, kami sudah bisa mengetahui siapa user yang [lalai] menggunakan password-nya dan akhirnya menyebabkan permasalahan-permasalahan yang sangat serius ini," kata Hadi usai melakukan rapat koordinasi bersama Menteri Kominfo dan Kepala Badan Siber dan Sandi Negara, Senin, di Jakarta. 

Pemerintah juga sudah menemukan siapa pengguna sandi sembarangan tersebut dan akan mengambil jalur hukum terhadap yang bersangkutan sesuai aturan yang berlaku. 

Hadi menegaskan, protokol keamanan siber di masing-masing instansi pemerintahan harus segera diperketat menyusul insiden ini. Di masa depan, para user yang mengakses sistem PDN Sementara akan dimonitor langsung oleh BSSN, termasuk dalam hal penggunaan password. 

"Dalam menentukan dan menggunakan password ini harus hati-hati, tidak bisa sembarangan," katanya. 

Pada 20 Juni dini hari, PDN Sementara-2 diserang ransomware brain chiper yang melumpuhkan lebih dari 200 layanan penting pemerintah pusat dan daerah, termasuk layanan pemeriksaan imigrasi dan autogates di lima jalur kedatangan luar negeri. 

BSSN mendeteksi, terdapat upaya penonaktifan fitur keamanan di PDN Sementara-2 tiga hari sebelum serangan, yang memungkinkan aktivitas malicious dapat berjalan. 

Semua layanan terdampak diharapkan pulih bulan ini 

Menko Hadi menjelaskan, pemerintah telah memindahkan layanan-layanan yang sebelumnya menggunakan PDN Sementara-2 ke backup cold site di PDN Sementara-1 yang berlokasi di Batam, kepulauan Riau, sebagai disaster recovery center (DRC).

“Dengan meningkatkan kemampuan DRC menjadi hot site, layanan-layanan publik strategis yang terdampak ditargetkan pulih kembali bulan ini. 

Pemerintah juga akan menyiapkan pengaturan terkait penempatan data dan cadangannya secara berlapis sesuai dengan tingkat klasifikasi data mulai dari data strategis, data terbatas, dan data terbuka.

Menko Hadi menekankan pencadangan data ini dilakukan dengan menggunakan layanan cloud. “Data-data yang sifatnya umum seperti data statistik dan sebagainya akan disimpan di cloud, sehingga tidak memenuhi kapasitas PDN,” ungkapnya. 

Tenant PDN diwajibkan mem-back up data 

Ketika Dewan Perwakilan Rakyat memanggil Kepala BSSN Hinsa Siburian dan Menteri Kominfo Budi Arie Setiadi pada 27 Juni untuk diklarifikasi tentang insiden serangan siber PDN, terungkap bahwa kepatuhan lembaga terhadap protokol keamanan siber dan tata kelola data relatif rendah.  

Dalam kesempatan itu, Kepala BSSN Hinsa mengungkapkan bahwa hanya dua persen data PDN Sementara-2 yang dicadangkan. Artinya, hampir dipastikan mayoritas data tersebut akan hilang. 

“Ini hasil pengecekan kami, penyebabnya adalah tidak adanya backup,” katanya. 

Ia kemudian merujuk pada Peraturan BSSN Nomor 4 Tahun 2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik. Poin aturan itu berbunyi: "setiap tenant diminta untuk melakukan backup informasi dan perangkat lunak di PDN secara berkala".  

Sementara itu, Menteri Budi Arie Setiadi menjelaskan banyak instansi pemerintah tidak memiliki cadangan data karena tidak ada anggaran, atau kesulitan dalam menjelaskan urgensi backup data kepada auditor.  

“Kami akan segera membuat peraturan bahwa pencadangan data itu wajib, tidak lagi opsional,” tegas dia. 

Bagaimanapun, kedua pejabat sepakat untuk duduk bersama untuk secepatnya menetapkan langkah berikutnya dalam menyusun arsitektur ekosistem PDN yang memiliki tingkat keamanan siber berkelanjutan dan permanen. 

Kata sandi lemah, pengelola PDN dinilai tak profesional 

Chairman Communication and Information System Security Research Center, Pratama Persadha, dikutip oleh Kompas mengatakan lemahnya password menunjukkan pengelola PDN tidak profesional. Sebab, pembuatan kata sandi yang kuat merupakan prosedur standar jaringan.  

"Kalau Kemenkominfo atau tenant menggunakan password yang gampang ditebak, berarti kelas mereka bukan kelas pengelola IT,” kata Pratama. 

Pratama menegaskan, pembuatan kata sandi yang kuat merupakan pelajaran dasar ketika seseorang menggunakan jaringan. Di antaranya, harus minimal delapan karakter, terdiri dari huruf besar dan kecil, menggunakan simbol, autentikasi dua faktor, mengganti kata sandi secara berkala, dan sebagainya. Selain itu, akses terhadap kata sandi harus dibatasi.