Veteran Perang Siber
Disiplin terhadap protokol keamanan, seperti pengelolaan ”password” adalah hal yang tidak boleh diabaikan.
Terdampaknya layanan imigrasi akibat gangguan pada Pusat Data Nasional atau PDN pada 20 Juni 2024 mengingatkan kita akan pentingnya keamanan siber dalam infrastruktur vital negara.
Regulasi mengenai PDN tertuang dalam Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE) Pasal 27 Ayat (4). Di dalam aturan itu disebutkan, PDN merupakan sekumpulan pusat data yang digunakan secara bagi pakai oleh instansi pusat dan pemerintah daerah serta saling terhubung.
Sebagai tulang punggung layanan pemerintahan, PDN menghadapi ancaman siber yang cukup menimbulkan ketidaknyamanan dan risiko pada keamanan nasional. Saat sistem imigrasi terganggu, dampaknya langsung dirasakan masyarakat dan sektor bisnis, apalagi Direktorat Jenderal Imigrasi yang menangani masalah penting, yaitu pelintasan orang masuk dan keluar wilayah Indonesia.
Baca juga: ”Bencana” Nasional Serangan ke Pusat Data Nasional Bisa Buka ”Perang” Siber dan Ancaman Negara
Keterlambatan dalam proses visa, paspor, dan izin tinggal menghambat mobilitas dan aktivitas ekonomi. Pengalaman berharga dalam menghadapi gangguan PDN menjadi peringatan keras dalam menghadapi tantangan siber di masa depan.
”Best practice” dari negara lain
Serangan siber (cyber attack) bukan merupakan hal baru di dunia. Pada 2008, terdapat serangan siber yang terjadi di Georgia. Selama konflik dengan Rusia, Georgia mengalami serangan siber pada situs web pemerintah dan media yang menyebabkan gangguan lebih kurang selama dua minggu. Pemerintah Georgia bekerja sama dengan mitra internasional untuk memulihkan sistem dan meningkatkan kemampuan pertahanan siber nasional.
Pada 2018, Singapura mengalami serangan siber, yaitu pelanggaran data pribadi 1,5 juta pasien, termasuk informasi medis. Singapura merespons dengan kebijakan lebih ketat dan pembentukan tim khusus untuk menangani insiden siber.
Penyelenggaraan pusat data di Singapura dikelola oleh Government Technology Agency (GovTech), yang bertanggung jawab atas pengembangan dan pengelolaan teknologi informasi di sektor publik.
Dalam implementasinya, GovTech berkolaborasi dengan sektor swasta untuk memastikan efisiensi dan keamanan dalam pengelolaan data. Salah satunya penggunaan SingPass, yang merupakan identitas digital setiap penduduk Singapura.
Pada 2021, di Amerika Serikat, kasus serangan siber terhadap Colonial Pipeline dapat menjadi pembelajaran penting. Serangan ransomware terhadap Colonial Pipeline mengakibatkan penutupan jalur pipa yang vital bagi distribusi bahan bakar di AS. Saat itu, perusahaan memutuskan membayar tebusan, sementara pemerintah meningkatkan pengawasan dan memperketat regulasi terkait keamanan siber di sektor infrastruktur penting.
Keputusan cepat dalam mengaktifkan protokol darurat dan kerja sama dengan Badan Keamanan Nasional AS membantu memulihkan layanan dengan cepat. AS juga memperkuat kebijakan keamanan siber di sektor infrastruktur penting.
Disiplin terhadap protokol keamanan, seperti pengelolaan sandi lewat atau password adalah hal yang tidak boleh diabaikan.
Pada 2022, Departemen Pertahanan AS atau Pentagon menetapkan Amazon, Google, Microsoft, dan Oracle sebagai pemenang kontrak komputasi awan bernilai miliaran dollar AS untuk joint warfighting cloud capability (JWCC).
Kerja sama digital ini membuat kontrak baru yang menyediakan layanan cloud untuk militer dengan akses global di semua level keamanan hingga pertengahan 2028 dengan total nilai hingga 9 miliar dollar AS.
Pendekatan multivendor diharapkan membuat layanan lebih murah dan tangguh. Kontrak ini memungkinkan personel militer AS di seluruh dunia mengakses informasi rahasia di cloud, meningkatkan akses data sensitif di lokasi terpencil, dan membantu militer mendapatkan keunggulan teknologi atas potensi lawan.
Best practice beberapa negara di atas menunjukkan pentingnya diversifikasi dalam pengelolaan data pemerintah. Menempatkan semua data di satu lokasi bisa meningkatkan risiko, seperti potensi serangan siber dan bencana yang dapat menyebabkan kehilangan data besar-besaran.
Sebaiknya data dikelola di beberapa pusat data yang terpisah dalam rangka meningkatkan keamanan. Hal ini juga membantu dalam pemulihan dan memastikan kelangsungan layanan yang terintegrasi.
Best practice yang ada menunjukkan, tidak selalu lembaga pemerintahan suatu negara harus menjadi operator pusat data. Pemilihan swasta atau pihak ketiga lain dapat memberikan fleksibilitas dan efisiensi yang lebih besar dalam pengelolaan pusat data. Yang terpenting, posisi pusat data ada di Indonesia. Hal ini bisa mengurangi biaya serta memanfaatkan keahlian dan teknologi terbaru.
Namun, penting untuk memastikan bahwa pemilihan tersebut tetap mematuhi standar keamanan dan privasi data yang tinggi serta mempertimbangkan aspek legal dan regulasi yang berlaku.
Tata kelola pusat data
Gangguan pada PDN yang berdampak pada layanan Pemerintah Indonesia adalah panggilan untuk bertindak.
Dengan belajar dari negara lain dan mengadopsi praktik terbaik dalam keamanan siber, Indonesia dapat memperkuat infrastruktur digitalnya. Hal ini memerlukan komitmen dan pengelolaan yang baik dari semua pihak, termasuk pemerintah sebagai regulator, operator, ataupun semua kementerian/lembaga, hingga masyarakat luas, untuk bersama-sama menjaga keamanan siber dan stabilitas layanan publik.
Sebaiknya data dikelola di beberapa pusat data yang terpisah dalam rangka meningkatkan keamanan.
Mengelola pusat data memerlukan empat dukungan utama, yaitu teknologi, sumber daya manusia, budaya kerja, dan anggaran.
Pertama, teknologi, dalam hal ini adalah perangkat keras (hardware) dan perangkat lunak (software). Dalam memilih hardware harus memastikan yang termutakhir dengan ketersediaan server, storage, network, dan peralatan pendukung lain yang sesuai dengan kebutuhan.
Software dalam hal ini bukan hanya aplikasi, melainkan juga termasuk software security yang digunakan untuk memastikan melindungi data dari ancaman internal dan eksternal, termasuk firewall, enkripsi, dan sistem deteksi intrusi.
Kedua, SDM dengan keahlian teknis adalah hal penting yang harus menjadi perhatian. Tim yang andal di bidang jaringan, sistem operasi, manajemen database, dan keamanan siber didukung dengan pelatihan serta pengembangan secara rutin untuk memastikan profesionalitas yang up to date dengan teknologi terbaru.
Ketiga, budaya kerja yang kolaboratif, proaktif, memiliki kepatuhan atau integritas yang tinggi dan fleksibilitas serta adaptabilitas yang sangat dibutuhkan dalam pengelolaan PDN, dari awal hingga akhir pelaksanaan, sehingga dapat diantisipasi mitigasi risikonya.
Keempat, anggaran menjadi dukungan utama yang sangat dibutuhkan. Memastikan anggaran yang memadai untuk operasionalisasi, pemeliharaan, pengembangan pusat data dan kompensasi bagi SDM, serta anggaran yang tak dibatasi aturan kaku seperti aturan penggunaan anggaran pemerintah.
”Lesson learned”
Pelajaran yang bisa dipetik (lesson learned) pertama dalam hal ini adalah peran kunci pemerintah sebagai regulator sekaligus penyedia jasa pusat data, yang kemudian memunculkan pertanyaan: apakah regulator dapat merangkap sebagai penyedia jasa data center?
Mana yang lebih tepat bagi pemerintah, sebagai regulator atau operator? Memisahkan peran regulator dan operator sangat penting guna menghindari konflik kepentingan dan memastikan obyektivitas dalam pengawasan dan kepatuhan.
Pelajaran kedua, memastikan adanya backup data, baik di data center maupun di internal pengguna data center. Dalam rangka upaya preventif untuk melindungi data, diperlukan perencanaan backup yang matang. Dimulai dari otomasi backup, redundansi lokasi backup, dan enkripsi data sehingga dapat mencegah risiko kehilangan data secara total jika terjadi serangan di satu lokasi PDN.
Pengamanan data yang efektif memerlukan keahlian serta pengetahuan dalam teknologi dan strategi keamanan terkini.
Pelajaran ketiga adalah pentingnya memiliki tim yang kompeten. SDM yang berpengalaman adalah kunci dari keberhasilan dalam menghadapi serangan siber. Pengamanan data yang efektif memerlukan keahlian serta pengetahuan dalam teknologi dan strategi keamanan terkini. Disiplin terhadap protokol keamanan, seperti pengelolaan sandi lewat (password), adalah hal yang tidak boleh diabaikan.
Pelajaran keempat dari gangguan PDN di Indonesia adalah pentingnya pengambilan keputusan yang cepat dan tepat dalam menghadapi serangan siber guna meminimalkan dampak dan memastikan pemulihan layanan secara efektif. Respons cepat dalam menghadapi serangan siber membutuhkan ketersediaan waktu 24 jam sehari, tujuh hari seminggu.
Silmy Karim, Direktur Jenderal Imigrasi