Gangguan Pusat Data Belum Tuntas, Sejumlah Layanan Publik Prioritas Masih Bermasalah
PDNS 2 mengalami gangguan akibat diserang ”ransomware” LockBit 3.0 tipe Brain Chiper sejak 20 Juni 2024.
/https%3A%2F%2Fasset.kgnewsroom.com%2Fphoto%2Fpre%2F2024%2F08%2F09%2Fb7c19eb3-dd07-461a-a18e-2f42f598f262_jpg.jpg){kind=logo}
Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Hokky Situngkir (tengah) saat sesi Ngopi Bareng Kominfo, Jumat (9/8/2024), di Jakarta.
JAKARTA, KOMPAS — Kementerian Komunikasi dan Informatika menyebutkan, terdapat lebih kurang 2.120 layanan publik dan 239 instansi publik yang terdampak gangguan Pusat Data Nasional Sementara atau PDNS 2 sejak 20 Juni 2024. Selang 1,5 bulan kemudian, belum semuanya pulih.
Direktur Jenderal Aplikasi Informatika Kemenkominfo Hokky Situngkir dalam sesi Ngopi Bareng Kominfo, Jumat (9/8/2024), di Jakarta, menyatakan, 90 persen layanan publik prioritas sudah pulih. Namun, ia tidak mengelaborasi lebih lanjut tentang persoalan ini,
Informasi utuh terkait perkembangan kondisi PDNS 2, kata Hokky, akan disampaikan oleh pihak Kementerian Koordinator Bidang Politik, Hukum, dan Keamanan pada kesempatan dan waktu terpisah.
Baca juga: Dijamin Kunci Enkripsi Benar, Seharusnya Gangguan Pusat Data Cepat Tuntas
PDNS 2 mengalami gangguan sejak 20 Juni 2024. Gangguan disebabkan oleh serangan perangkat lunak perusak atau ransomware LockBit 3.0 tipe Brain Chiper. Dalam perjalanan pemulihannya mengalami berbagai dinamika.
Sebut saja mulai dari pelaku ransomware yang mau meminta tebusan Rp 131 miliar dengan janji memberikan kunci enkripsi cuma-cuma hingga pengunduran diri Semuel Abrijani Pangerapan sebagai Direktur Jenderal Aplikasi Informatika.
/https%3A%2F%2Fasset.kgnewsroom.com%2Fphoto%2Fpre%2F2024%2F07%2F02%2F09422cc6-d7be-49c8-b9b1-4fed395ab358_jpg.jpg){kind=logo}
Unggahan yang disampaikan oleh Brain Cipher, sindikat yang mengklaim berada di balik serangan ransomware ke Pusat Data Nasional sejak pekan lalu. Dalam pernyataan tersebut, mereka berjanji akan memberikan kunci pembuka ransomware pada hari Rabu (3/7/2024). Brain Cipher meminta serangannya dianggap sebagai pelajaran bagi pemerintah untuk memperbaiki keamanan sibernya sekaligus meminta maaf kepada masyarakat Indonesia.
Tiga pelajaran
Dari kejadian ini, Hokky menyatakan, ada tiga pelajaran penting yang dapat diambil untuk operasional pusat data nasional yang sedang dibangun. Pertama adalah pentingnya back up data berlapis-lapis di arsitektur Pusat Data Nasional (PDN).
Kedua adalah keamanan siber dan pentingnya multifaktor otentifikasi, termasuk memperkuat kata kunci (password). Pelajaran ketiga ialah konsep keamanan siber di PDN semestinya terintegrasi, bukan keamanan siber yang tersentralisasi.
Kemenkominfo akan segera mengeluarkan peraturan yang mewajibkan semua penyelenggara sistem elektronik publik untuk melakukanback up berlapis atas data yang mereka miliki.
Hokky menyatakan, belum ada angka detail berapa nominal kerugian yang diderita oleh pemerintah atas gangguan PDNS 2. Dia juga menyatakan belum ada angka pasti berapa nilai kompensasi yang seharusnya diberikan oleh penyelenggara sistem elektronik (PSE) publik yang menyimpan datanya di PDNS 2.
Bersamaan dengan evaluasi keamanan siber yang terus-menerus di PDNS, Kemenkominfo akan segera mengeluarkan peraturan yang mewajibkan semua penyelenggara sistem elektronik publik untuk melakukan back up berlapis atas data yang mereka miliki.
/https%3A%2F%2Fasset.kgnewsroom.com%2Fphoto%2Fpre%2F2024%2F07%2F10%2F27cb3ffe-b323-436f-9fda-fe2f614bc360_jpg.jpg){kind=logo}
Peserta aksi memakai topeng wajah Menteri Komunikasi dan Informatika Budi Arie Setiadi dalam aksi geruduk di depan kantor Kemenkominfo, Jakarta, Rabu (10/7/2024).
Peraturan itu rencananya akan dirilis sebelum PDN beroperasi. Dia tidak menyebut detail kapan tanggal rilis peraturan ketika ditanya media. Namun, Hokky memastikan, proses operasional PDN, yang salah satunya ada di Cikarang, Jawa Barat, akan dimulai awal tahun 2025.
”Kejadian PDNS tidak membuat proses pembangunan PDN lantas berhenti dan bahkan tiga pelajaran penting kasus PDNS 2 bermanfaat untuk operasional PDN. Sejauh ini, dari sisi infrastruktur fisik, pembangunan PDN (yang salah satunya ada di Cikarang) telah mencapai 72 persen dan sisi desain dalam PDN 80 persen. Jadwal pengisian PDN oleh SPBE-SPBE masih sesuai rencana awal. Semua hasil evaluasi keamanan siber di PDNS 2 akan diterapkan di PDN,” katanya.
Baca juga: Budi Arie Lantik Pejabat Baru untuk Kursi Panas
Ketika ditanya bagaimana rencana pengelolaan PDN, dia menyebut akan berupa manage service atau memakai jasa manajemen teknologi informasi eksternal. Belum ada kejelasan apakah tim eksternal nantinya berupa badan layanan umum (BLU) di bawah Kemenkominfo atau bukan. Hal yang bisa dipastikan, pihak Kemenkominfo akan tetap jadi pendampingan ketika PDN sudah aktif beroperasi.
”Kami memastikan, pemakaian anggaran untuk PDN nantinya tetap transparan dan akuntabel. Tidak bakal ada yang disembunyikan,” katanya.
/https%3A%2F%2Fasset.kgnewsroom.com%2Fphoto%2Fpre%2F2024%2F06%2F26%2Fc84bbc3f-f634-4c43-86ed-2cc583d28426_jpg.jpg){kind=logo}
Suasana di kantor pusat Badan Siber dan Sandi Negara (BSSN), Depok, Jawa Barat, Rabu (26/6/2024). Terkait serangan siber terhadap Pusat Data Nasional Sementara (PDNS 2), BSSN masih terus mengupayakan investigasi secara menyeluruh setelah mengidentifikasi sumber serangan.
Klasifikasi jenis data
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar, saat dihubungi terpisah, berpendapat, insiden PDNS 2 mendorong kejelasan klasifikasi jenis data publik beserta tata kelola perlindungan data. Selama ini, belum ada rujukan peraturan mengenai bagaimana semestinya klasifikasi jenis data publik harus disimpan dan dilindungi.
”Termasuk kejelasan mengenai mekanisme audit instansi pemerintahan yang berperan sebagai PSE publik dan memanfaatkan PDNS 2 untuk menyimpan data publik,” katanya.
Jika pemerintah menginginkan transformasi digital untuk sistem pemerintahan berbasis elektronik, katanya, pemerintah semestinya menetapkan kejelasan interkoneksi peran kementerian satu dengan lainnya. Ketidakjelasan interkoneksi peran dapat meminimalkan keruwetan penanganan kasus, seperti yang terjadi pada kasus PDNS 2.
Ketidakjelasan interkoneksi peran dapat meminimalkan keruwetan penanganan kasus, seperti yang terjadi pada kasus PDNS 2.
Salah satu contohnya, Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik lebih menekankan peran Badan Siber dan Sandi Negara (BSSN) dan menunjuk Kemenkominfo untuk menyediakan PDN.
Sementara Perpres No 132/2022 tentang Arsitektur Sistem Pemerintahan Berbasis Elektronik Nasional menunjuk Kementerian Pendayagunaan Aparatur Negara dan Reformasi Birokrasi sebagai pelaksana.
Lain lagi dengan Perpres No 82/2023 tentang Percepatan Transformasi Digital dan Keterpaduan Layanan Digital Nasional. Aturan ini menunjuk Perum Peruri sebagai pelaksana terdepan untuk percepatan transformasi sistem pemerintahan berbasis elektronik.
Hal yang harus diperjelas pemerintah lainnya ialah mekanisme pertanggungjawaban dana untuk pembangunan PDN. Apalagi, PDN dimanfaatkan untuk mendukung transformasi sistem pemerintahan berbasis elektronik yang semestinya tidak dikelola untuk meraup profit.
”Ketika proses pembangunan PDN, termasuk PDN yang di Cikarang, mengandalkan dana pinjaman pemerintah negara lain (selain APBN), bagaimana mekanisme akuntabilitas, transparansi pengelolaan, dan pengembalian utang?” kata Wahyudi.
Baca juga: Bertanggung Jawab atas Gangguan PDNS, Dirjen Aptika Kemenkominfo Mengundurkan Diri
Direktur Eksekutif SAFEnet Nenden Sekar Arum mengatakan, sejak serangan siber pada PDNS 2 pada 20 Juni 2024, SAFEnet turut mengajukan permintaan informasi insiden PDNS 2 dan bagaimana nasib data pribadi kepada Kemenkominfo.
SAFEnet juga tergabung dalam Aliansi Keamanan Siber untuk Rakyat (Akamsi) yang menggelar unjuk rasa di depan gedung Kemenkominfo tanggal 10 Juli 2024. Dalam unjuk rasa itu, Akamsi mengkritik tanggapan pemerintah terhadap gangguan PDNS 2 yang terkesan main-main, meremehkan, dan menormalisasi serangan ini.
Misalnya, pemerintah mengeluarkan pernyataan yang tidak serius, seperti menyarankan peretas untuk tidak menyerang Indonesia dan membandingkan dengan kasus-kasus ransomware yang terjadi di negara lain.
