Pentingnya Keamanan Informasi dan Lemahnya Pelindungan Data pada Pusat Data Nasional Sementara (PDNS) terhadap Serangan Siber
Keamanan informasi di Indonesia telah menjadi isuyang semakin mendesak seiring dengan meningkatnyadigitalisasi dan penggunaan teknologi informasi di berbagai sektor. Meskipun pemerintah telah mengambillangkah-langkah untuk meningkatkan keamanan siber, seperti pembentukan Badan Siber dan Sandi Negara (BSSN) dan peluncuran berbagai inisiatif keamanan, tantangan tetap ada. Infrastruktur teknologi yang belummerata, kurangnya kesadaran dan literasi digital di kalangan masyarakat, serta keterbatasan sumber dayauntuk mengatasi ancaman siber menjadi faktor-faktoryang membuat Indonesia rentan terhadap serangan siber. Insiden penyerangan terhadap Pusat Data Nasional Sementara (PDNS) pada 20 juni 2024 lalu yang berdampak pada terganggunya sejumlah layanan publik, termasuk dugaan kegagalan dalam pelindungan data pribadi. Insiden yang berasal dari serangan Ransomware Brain Cipher, yang merupakan pengembangan dariLockBit 4.0 ini, telah mengakibatkan terkuncinya data yang disimpan di PDN sementara. Dibeberapa kasus, bilatidak ditangani dengan baik dan tepat, seranganRansomware seperti ini dapat berakibat lebih jauh pada serangan availability of data, yang berarti hilangnya data (data loss) yang dikelola dalam sistem atau pusat data tersebut.
MASALAH/ISU YANG AKAN DIBAHAS
Menteri Komunikasi dan Informatika RepublikIndonesia (Menkominfo RI) Budi Arie Setiadimenyampaikan bahwa yang diserang adalah PDNS 2 di Surabaya. Kementerian Komunikasi dan InformatikaRepublik Indonesia (Kemenkominfo RI) masih berfokuspada pemulihan akibat serangan dengan bantuan Badan Siber dan Sandi Negara (BSSN). Hacker melakukanpenyerangan dan meminta tebusan sebesar 8 juta dollar AS atau sekitar Rp131,6 milyar. Namun pemerintahtidak bersedia memenuhinya (“Keamanan Siber; Pemerintah Menolak Permintaan Peretas”, 2024).
Hacker yang menyerang PDNS di Surabaya merupakan grup peretas yang menamakan diri sebagaiLockbit. Terakhir, grup ini mengeluarkan versi terbarudari virusnya, yaitu Lockbit 3.0, yang disebut pula sebagai penyebab gangguan di Bank Syariah Indonesia (“Keamanan Siber; Pemerintah Menolak PermintaanPeretas”, 2024). Ketua Indonesia Cyber Security Forum Ardi Sutedja mengatakan bahwa ini merupakan“bencana” siber berskala nasional (“Serangan Siber; Sepekan Insiden PDN Belum Bisa Dipulihkan”, 2024). Peristiwa penyerangan siber atas PDNS ini menunjukkanbahwa ternyata pengamanan atas data nasional pada PDNS belum bisa diandalkan. Oleh sebab itu, perludikaji apa saja faktor penyebab lemahnya pengamananPDNS terhadap serangan siber.
Dari insiden tersebut, terdapat beberapa aspek yang penting diperhatikan, khususnya terkait dengankelanjutan proses transformasi digital layananpemerintahan, sebagai implementasi dari SistemPemerintahan Berbasis Elektronik (SPBE); tantangandan problem keamanan siber; serta permasalahan terkaitdengan pelindungan data pribadi. Dalam konteksimplementasi SPBE, pengembangan PDN merupakanbagian dari upaya mendorong efisiensi layananpemerintahan, melalui proses digitalisasi, sebagaimanadimandatkan oleh Perpres No. 95/2018 tentang SPBE. Selain juga sarana untuk mengintegrasikan data-data pemerintah dari berbagai kementerian/lembaga, untuklebih mengefektifkan pengambilan keputusan dan kebijakan, seperti diatur dalam Perpres No. 39/2019 tentang Satu Data Indonesia.
Sebagai infrastruktur penting dalam menopangSPBE, semestinya pemanfaatan PDN juga sepenuhnyamengacu pada seluruh standar keamanan untukmemastikan keandalan sistemnya, yang telah dirumuskandalam Peraturan BSSN No. 4/2021. Artinya, proses asesmen keamanan dari PDN tersebut, seharusnya sudahdilakukan sebelumnya, yang ditindaklanjuti denganpenerapan seluruh standar keamanan, untuk memastikankeandalan sistem penyimpanan datanya. Selain itu, pemantauan dan audit keamanan semestinya juga dilakukan secara berkala, untuk mengantisipasi setiapancaman dan risiko keamanan. Namun diluar semua itu, timbul pertanyaan lain, sudahkah hal tersebut diatasdipenuhi.
Mengingat vitalnya fungsi infrastruktur pusat data untuk mendukung proses transformasi digital layananpemerintahan, maka semestinya insiden keamanan yang terjadi pada PDN sementara, dapat diselesaikan secaratuntas, dengan proses yang transparan dan akuntabel. Akuntabilitas penyelesaian insiden ini, akan sangatmenentukan kelanjutan proses transformasi digital layanan pemerintahan, terutama berkaitan dengankepercayaan publik, terkait dengan pemrosesan data pribadi warga negara, yang akan menjadi basis dalampemberian layanan publik. Penuntasan insiden ini juga akan menjadi faktor penting yang mempengaruhioperasionalisasi infrastruktur PDN, yang saat ini sedangdibangun oleh pemerintah.
Hal lain yang menjadi sorotan adalah semestinyapengelolaan PDN sementara ini, juga telah menerapkanstandar perlindungan keamanan yang maksimal, dalamkapasitasnya sebagai bagian dari infrastruktur informasivital, sebagaimana diatur Perpres No. 82/2022. Berpijakpada aturan tersebut, Badan Siber dan Sandi Negara (BSSN) sebagai instansi sektor yang bertanggung jawabterhadap keamanan siber nasional, semestinyamemegang peranan kunci dalam proses investigasi kasusini. Penuntasan terhadap kasus ini, dapat ditindaklanjutidengan proses penegakan hukum pidana, denganmengacu pada sejumlah ketentuan pidana dalam UU Informasi dan Transaksi Elektronik (ITE), termasukdengan penerapan asas extra-territorial jurisdiction dariUU ITE. Meskipun pemerintah telah menetapkan PerpresNo. 47/2023 tentang Strategi Nasional Keamanan Siberdan Manajemen Krisis, namun sejumlah persoalan yang mengemuka saat ini, termasuk pada level koordinasikelembagaan, menunjukkan adanya kebutuhan payungregulasi yang lebih kuat, terkait dengan keamanan siber. Insiden keamanan yang terjadi pada PDN sementara, juga memperlihatkan sejumlah kebutuhan kebijakanbaru, terkait dengan tata kelola keamanan siber, sepertipentingnya asuransi siber, yang dapat diatur melaluipembentukan UU Keamanan Siber.
APA YANG MENYEBABKAN TERJADINYA MASALAH/ISU TERSEBUT?
Persoalan yang menjadi sorotan adalah semestinyapengelolaan PDN sementara ini, juga telah menerapkanstandar perlindungan keamanan yang maksimal, dalamkapasitasnya sebagai bagian dari infrastruktur informasivital, sebagaimana diatur Perpres No. 82/2022.
BSSN, menurut Chairman Communication and Information System Security Research Center PratamaPersadha menilai bahwa proses desain PDNS dan PDN dilakukan secara tertutup oleh Kemenkominfo RI danjuga tidak dilibatkan pada saat desain dilakukan. PratamaPersadha juga menyatakan bahwa pemerintah harussegera melakukan kajian serta audit dari desain PDN, baik dari sisi infrastruktur maupun dari sisi keamanannya(“Keamanan Siber; Pemerintah Menolak PermintaanPeretas”, 2024). Kejadian ini akan lebih berbahaya jikaperetas sampai dapat mengakses server di PDN dan membocorkan data (“Keamanan Siber; Gangguan di Pusat Data Nasional Belum Dapat Diatasi”, 2024).
Berpijak pada aturan tersebut, Badan Siber dan Sandi Negara (BSSN) sebagai instansi sektor yang bertanggungjawab terhadap keamanan siber nasional, semestinyamemegang peranan kunci dalam proses investigasi kasusini. Penuntasan terhadap kasus ini, dapat ditindaklanjutidengan proses penegakan hukum pidana, denganmengacu pada sejumlah ketentuan pidana dalam UU Informasi dan Transaksi Elektronik (ITE), termasukdengan penerapan asas extra-territorial jurisdiction dariUU ITE. Meskipun pemerintah telah menetapkan PerpresNo. 47/2023 tentang Strategi Nasional Keamanan Siberdan Manajemen Krisis, namun sejumlah persoalan yang mengemuka saat ini, termasuk pada level koordinasikelembagaan, menunjukkan adanya kebutuhan payungregulasi yang lebih kuat, terkait dengan keamanan siber. Insiden keamanan yang terjadi pada PDN sementara, juga memperlihatkan sejumlah kebutuhan kebijakanbaru, terkait dengan tata kelola keamanan siber, sepertipentingnya asuransi siber, yang dapat diatur melaluipembentukan UU Keamanan Siber.
Sementara itu berkaca dari dugaan kegagalanperlindungan data pribadi dari insiden PDN sementara, penanganannya dapat mengacu pada UU No. 27/2022 tentang Pelindungan Data Pribadi. Dugaan kegagalanpelindungan data pribadi ini, berangkat darikemungkinan besarnya pemrosesan data-data pribadiwarga negara yang dikelola oleh berbagaikementerian/lembaga, dan melakukan penyimpanan data di PDN sementara. Oleh karenanya, merujuk pada ketentuan Pasal 46 UU PDP, Pengelola data harus segeramemberikan notifikasi kepada publik terkait dengankegagalan pelindungan data pribadi yang terjadi. Pemberitahuan tersebut setidaknya mencakup informasimengenai data pribadi yang terungkap; kapan dan bagaimana data pribadi terungkap; dan upayapenanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.
Faktor lain yang belum dibahas terkait lemahnyapengamanan PDNS terhadap serangan siber, yaitu faktordasar hukum. Ternyata, dalam Peraturan PresidenRepublik Indonesia Nomor 39 Tahun 2019 tentang Satu Data Indonesia (Perpres/39) belum ada muatankewajiban yang tegas tentang keharusanmengembangkan teknologi pengamanan siber bagiPDNS. Hal-hal yang diatur antara lain hanya terkaitdefinisi data dan penggunaannya.
AGENDA KEBIJAKAN APA YANG HARUS DILAKUKAN
Berbicara terkait steakholder maupun penanggungjawab pihak-pihak yang terlibat dalam pengelolaan data pribadi yang disimpan di PDN sementara, baikpengendali, pengendali gabungan, prosesor, maupunpihak ketiga, semestinya juga bertanggung jawab sesuaidengan kapasitasnya masing-masing, sesuai dengankewajiban kepatuhan yang diatur dalam UU PDP. Selainitu, dari insiden ini juga memunculkan adanya dugaantindak pidana mengumpulkan data pribadi yang bukanmiliknya, untuk tujuan menguntungkan diri sendiri atauorang lain, yang dapat merugikan hak-hak subjek data (Pasal 65 (1) UU PDP). Oleh karenanya, Pengelola data perlu mewaspadai bahwa penegakan hukum pidanapelindungan data pribadi, juga dapat menjadi alternatifmekanisme yang ditempuh untuk menyelesaikan kasusini.
Menindak lanjuti kasus insiden siber pada PDNS tersebut diatas, masing masing steakholder harusmemiliki peranan yang aktif sesuai tugas pokok dan fungsinya dalam mengelola data khususnya data besarskala PDNS. Terlebih ketika ada pernyataaan Chairman Communication and Information System Security Research Center Pratama Persadha menilai bahwa proses desain PDNS dan PDN dilakukan secara tertutup oleh Kemenkominfo RI. Kemenkominfo RI sebagai pengeloladata wajib memastikan keamanan data yang dikelolasebagaimana amanat UndangUndang Nomor 27 Tahun2022 tentang Pelindungan Data Pribadi (UU PDP). Meutya Hafid, yang saat itu ketua komisi I DPR RI juga menyayangkan bahwa pemerintah tidak kunjungmembuat peraturan turunan dari UU PDP, terutamaterkait pembentukan otoritas pengawas pengelola data pribadi (“Keamanan Siber; Pemerintah MenolakPermintaan Peretas”, 2024).
Anggota Komisi I DPR RI Fraksi Partai DemokrasiIndonesia Perjuangan (PDIP) Tubagus Hasanuddinmenyatakan bahwa insiden ini membuktikan bahwakemampuan negara untuk memproteksi data strategismasih lemah. Ke depan, diharapkan pemerintah dapatmenyiapkan infrastruktur pengamanan yang canggih dan segera melatih sumber daya manusia (SDM) di setiaplembaga negara agar memiliki kemampuan profesionalmenangani security PDN. Tubagus Hasanuddin juga mengakui bahwa penyiapan hal-hal tersebut adalah tidakmudah karena keterbatasan keuangan negara (“Perlindungan Data Strategis Lemah”, 2024).
Pengamat teknologi dan ahli forensik siber Ruby Alamsyah menyatakan bahwa pembangunan sistemPDNS belum dilengkapi dengan prosedur antisipasiterhadap gangguan atau serangan siber. Seharusnya, sistem PDNS ketika mulai dibangun harus segera diiringidengan prosedur yang disebut Business Continuity Plan(BCP) atau Disaster Recovery Plan (DRP). PDNS belummemiliki sistem cadangan, padahal seharusnya sudahharus ada dukungan Data Recovery Center (DRC)(“Keamanan Siber; Gangguan di Pusat Data Nasional Belum Dapat Diatasi”, 2024).
Praktisi teknologi informasi Alfons Tanujayamenekankan Mendesain jaringan dan kedisiplinanmenjaga celah keamanan baru dengan melakukan patch teratur dan otomatis adalah hal-hal yang seharusnyadilakukan (“Gangguan Pusat Data Nasional; Jika TerjadiKebocoran Data, Pemerintah Harus Beri Tahu”, 2024).
Presiden maupun DPR RI perlu segera mengajukanRUU tentang Satu Data Indonesia. Hingga Juli 2024, Naskah Akademik dan draf RUU tentang Satu Data Indonesia masih berada pada tahap uji konsep. Hal yang perlu diperhatikan adalah bahwa sebaiknya dalam RUU tidak hanya memuat aturan-aturan mengenai definisi dan pengelolaan data saja, tetapi juga harus memuatkewajiban bagi setiap lembaga negara untuk menyiapkansistem pengamanan siber bagi PDNS dan menyediakanSDM yang profesional untuk menanganinya. Sejalandengan itu, Pemerintah menjamin adanya mekanismepemulihan yang efektif bagi publik, terkait denganinsiden keamanan siber yang terjadi, termasuk yang berkaitan dengan kegagalan pelindungan data pribadi, serta kegagalan dalam pemberian layanan publik.
*
Riko Aji Prabowo
Mahasiswa Magister Administrasi Publik
Universitas Mulawaman
Samarinda