JAKARTA, KOMPAS — Krisis keamanan siber pascaserangan ransomware LockBit 3.0 ke Pusat Data Nasional atau PDN yang mengakibatkan terganggunya sejumlah layanan publik sejak Kamis (20/6/2024), tidak boleh dipandang sebelah mata. Pemerintah harus bertanggung jawab atas krisis keamanan siber ini dan segera memulihkan PDN.
Sepuluh hari terakhir, pelayanan publik di lebih dari 200 instansi pemerintah terganggu dan masih dipulihkan setelah PDN diserang ransomware LockBit 3.0. Bersamaan dengan serangan itu, peretas juga mengirimkan permintaan uang tebusan sebesar 8 juta dollar AS atau setara Rp 131,6 miliar.
Ketua Cyberity Arif Kurniawan mengatakan, serangan keamanan data sudah berulang kali terjadi. Peristiwa berulang itu seharusnya menjadi peringatan akan adanya krisis keamanan data. ”Persoalan ini tidak boleh dipandang sebelah mata. Pemerintah harus bertanggung jawab atas krisis ini dan harus segera melakukan pemulihan,” katanya saat dihubungi di Jakarta, Minggu (30/6/2024).
Arif mengungkapkan, Cyberity menemukan ada masalah yang sangat serius dalam pengelolaan PDN, salah satunya kesiapan yang tidak memadai dari Kementerian Komunikasi dan Informatika (Kemenkominfo). Infrastruktur teknologi informasi PDN tidak mampu dengan mudah diperbesar atau diperkecil sesuai kebutuhan. Pengguna PDN harus menyurati Kemenkominfo ketika ingin melakukan skalabilitas.
Persoalan lain adalah kurangnya kontrol terhadap protokol keamanan siber. Setiap instansi pengguna PDN berhak mengatur konfigurasi sendiri tanpa diawasi. Jika sistem admin teknologi informasi tersebut cakap, hasilnya bagus. Namun, jika tidak cakap, banyak masalah yang akan timbul. Dukungan terhadap PDN juga tidak memadai, bahkan jauh dari kesan profesional.
Arif mengatakan, instansi pemerintah daerah dan pusat pengguna PDN juga memiliki persoalan internal. Banyak pejabat yang mengurusi teknologi informasi, justru tidak mengerti cara berpikir teknologi informasi. Umumnya, mereka yang menjabat hanya karena kedekatan atau intervensi politik, bukan berdasarkan kecakapan yang dimiliki.
”Akibatnya fatal. Cara berpikir IT (teknologi informasi) sederhana seperti untuk membuat backup informasi data saja tidak ada. Apalagi, protokol pengamanan data,” ujarnya.
Arif melihat, ada beberapa kementerian yang memiliki divisi teknologi informasi yang baik. Namun, mereka hanya menaruh data yang sangat sederhana di PDN sekadar untuk menggugurkan kewajiban peraturan perundangan. Sebab, mereka tidak percaya terhadap kecakapan Kemenkominfo dalam mengelola keamanan digital.
Oleh karena itu, Arif meminta pemerintah bertanggung jawab atas kebocoran data yang terjadi, apalagi persoalan ini bukan yang pertama kali. ”Segera lakukan langkah pemulihan agar layanan publik bisa kembali normal,” ujarnya.
Ia juga meminta pemerintah mengusut tuntas skandal perusahaan LockBit dan dugaan keterlibatan afiliasinya di Indonesia. LockBit merupakan salah satu grup peretas yang aktif sejak 2019.
Pemerintah, terutama Menteri Komunikasi dan Informasi Budi Arie Setiadi, juga diminta untuk meminta maaf kepada masyarakat dan mempertanggungjawabkan jabatannya. Sebab, krisis keamanan data kali ini diduga terjadi akibat tumpang tindihnya kewenangan dan kelalaian pengelola PDN.
Tak ada komitmen
Dihubungi secara terpisah, Direktur Eksekutif Safenet Nenden Sekar Arum mengatakan, kasus penyerangan PDN merupakan dampak dari tidak adanya komitmen terhadap perlindungan data dan keamanan siber di Indonesia. Seolah-olah data dan keamanan siber bukan menjadi prioritas utama yang harus dijaga semaksimal mungkin dan dipastikan keamanannya agar tidak diserang, diretas, atau bocor.
”Dengan tidak adanya komitmen ini sebetulnya menunjukkan bahwa proses pengelolaan ataupun tata kelolanya juga akan menjadi seadanya, tidak dibuat seideal mungkin karena yang penting ada sesuai dengan proyeknya,” kata Nenden.
Oleh karena itu, tanggung jawab pada kasus ini sepenuhnya ada pada seluruh pihak yang terkait dengan PDN. Sesuai mandatnya, Kemenkominfo merupakan penanggung jawab utama PDN.
Menurut Nenden, Kepala Badan Siber dan Sandi Negara (BSSN) Hinsa Siburian juga memiliki peran penting sebagai lembaga yang mengawasi keamanan siber negara. Seharusnya, Kemenkominfo dan BSSN berkoordinasi untuk memastikan proses perancangan PDN sesuai dengan standar keamanan, tidak ada celah yang menyebabkan serangan atau insiden keamanan siber lainnya.
Berkaca dari persoalan ini, Nenden berharap, perlindungan data dan keamanan siber tidak dipandang sebelah mata. Namun, harus menjadi prioritas utama. Apalagi, transformasi digital menjadi hal yang tidak bisa dipisahkan dari kehidupan sehari-hari masyarakat.
”Kalau misalnya memang komitmennya tidak ada dan tidak menjadikan prioritas keamanan sebagai nomor satu, ya, ini akan terus kembali berulang bentuk-bentuk serangan dan kerentanan yang akan muncul di kemudian hari,” kata Nenden.
Kompas sudah menanyakan kepada Direktur Jenderal Informasi dan Komunikasi Publik Kemenkominfo Usman Kansong terkait dengan perkembangan pemulihan data instansi pemerintah di PDN, tetapi tidak direspons.
Sebelumnya, Kepala BSSN Hinsa Siburian mengatakan, pihaknya masih terus fokus pada pemulihan PDN. Pemulihan dilakukan bersama Kemenkominfo, Telkomsiaga, dan Lintasarta. Hinsa juga menyampaikan permohonan maaf kepada masyarakat.
Pemerintah mengabaikan permintaan tebusan dari pelaku peretas sebesar 8 juta dollar AS atau sekitar Rp 131,6 miliar. Presiden Joko Widodo telah meminta tata kelola pada PDNS 2 yang diserang ransomware LockBit 3.0 diaudit sembari dilakukan pemulihan terhadap pusat data tersebut.
Sumber: