Tragedi Pusat Data Nasional Sementara

Rapat Kerja (Raker) Komisi I Dewan Perwakilan Rakyat atau DPR RI dengan mitra kerjanya yakni Kementerian Komunikasi dan Informatika (Kominfo) dan Badan Siber dan Sandi Negara (BSSN) pada Kamis (27/6), menyajikan fakta-fakta yang menyedihkan bagi dunia teknologi informasi (TI) tanah air yang tengah giat bertransformasi digital sejak 10 tahun terakhir.

Raker yang membahas nasib tragis dari Pusat Data Nasional Sementara (PDNS) 2 di Surabaya karena tak berdaya menghadapi serangan siber itu menjadi ajang terkonfirmasinya ketidakberdayaan pemerintah dalam hal ini Kominfo dan BSSN mengelola pertahanan dan keamanan siber sesuai standar internasional.

Kominfo menyebut ada 210 instansi pemerintah di pusat maupun daerah terdampak serangan ransomware Lockbit 3.0 yang menargetkan PDNS 2 tersebut.

LockBit adalah sebuah perusahaan yang memiliki model bisnis Ransomware as a Service (RaaS) yang berasal dari Rusia. LockBit memiliki afiliasi di seluruh dunia.

Ransomware adalah varian malware berbahaya yang digunakan oleh peretas untuk mengunci akses ke data korban dan meminta uang tebusan untuk pemulihannya. Ransomware biasanya mengeksploitasi kemajuan teknologi seraya mencari celah kerentanan manusia dalam berkegiatan siber.

Dari perspektif keamanan siber, salah satu cara ransomware menyusup adalah melalui pencurian data pribadi via email (phishing email) yang tidak terlihat mencurigakan. Setelah berhasil melakukan phishing, peretas mendapat akses ke jaringan internal dan mengenkripsi data penting, kemudian menguncinya dan mendesak korban untuk membayar uang tebusan.

Besarnya ancaman ransomware dapat dilihat dari tingginya uang tebusan yang diminta dan dampak yang ditimbulkannya, dimana berisiko menghentikan layanan data dan memungkinkan kebocoran informasi yang lebih sensitif pada serangan lebih lanjut.

Selain itu, dalam konteks krisis yang dialami PDNS 2, dampak besar serangan ransomware mencakup risiko kerugian finansial yang signifikan bagi negara, baik dalam opsi pembayaran uang tebusan atau pemulihan data dan perbaikan sistem.

Kebodohan
Fakta paling menyedihkan terungkap dari Raker adalah ternyata pelaksanaan PDNS tidak didukung perencanaan dan eksekusi yang matang sehingga rapuh menghadapi serangan ransomware.

Masalah yang paling disorot adalah Kominfo tidak mewajibkan melakukan back up atau pencadangan data yang akhirnya membuat insiden peretasan berdampak parah bagi tenant dan layanan publik.

Wajar saja langkah ini dipertanyakan mengingat lewat adanya Sistem Pemerintahan Berbasis Elektronik (SPBE) seluruh Kementerian/Lembaga tidak lagi memiliki tempat penyimpanan data mandiri alias diintegrasikan ke Pusat Data Nasional.

Kominfo pun berkilah masalah tidak ada kewajiban back up bagi tenant karena pengadaan barang/jasa yang tidak mengijinkan ada replikasi mata anggaran.

Tentu ini menjadi pertanyaan, jika memang sudah tahu politik anggaran seperti itu, Kominfo tentunya harus maju ke bendahara negara untuk menjelaskan duduk perkara agar para tenant dari Kementrian/Lembaga bisa mengadakan mata anggaran mengingat Kominfo pelaksana dari SPBE.

Padahal, untuk mengelola data sudah menjadi pakem hal-hal berikut diperhatikan yakni Pertama, semua data penting harus dicadangkan secara teratur, lalu disimpan di lokasi terpisah untuk meminimalkan kehilangan data. Cadangan data tersebut harus dienkripsi dan diuji secara rutin untuk memastikan pemulihannya berfungsi segera setelah dibutuhkan.

Kedua, penting untuk memperkenalkan redundansi sebagai upaya mengurangi risiko kegagalan sistem secara keseluruhan. Redundansi dapat mencakup perangkat keras ganda, penyimpanan awan (cloud), atau server cadangan yang siap beroperasi jika sistem utama gagal.

Ketiga, membangun Pusat Pemulihan Data, atau data recovery center, yang dapat segera beroperasi jika sistem utama mengalami gangguan. Fasilitas ini harus memiliki infrastruktur yang setara atau lebih baik dari sistem utama demi memastikan kelancaran operasionalnya.

Sementara rumusan untuk menghadapi serangan ransomware solusinya hanya dua Pertama, decryption key. Kedua, backup data.

Alhasil, tidak bisa disalahkan jika Ketua Komisi I DPR RI Meutya Hafid saking kesalnya menanggapi kilahan Menkominfo Budi Arie Setiadi dengan mengeluarkan celetukan "Kebodohan" yang viral di media sosial.

Audit
Presiden Joko Widodo pun akhirnya turun tangan memitigasi tragedi memalukan ini dengan meminta Kepala Badan Pengawasan Pembangunan dan Keuangan (BPKP) Yusuf Ateh untuk mengaudit tata kelola Pusat Data Nasional usai mengalami peretasan.

BPKP akan mendalami tata kelola dan finansial PDN. Audit diperlukan untuk mengetahui potensi kesalahan tata kelola dan dampak dari kebocoran data PDN. Ternyata sejauh ini PDN memang belum pernah diaudit.

Langkah mitigasi tentu perlu diapresiasi, namun tragedi ini jelas sudah merusak kepercayaan masyarakat terhadap kemampuan pemerintah dalam melindungi keamanan data warganya.

Lebih buruk lagi, data yang dicuri dapat digunakan untuk serangan lebih lanjut, baik secara langsung oleh peretas atau dijual kepada pihak ketiga.

Menerapkan seluruh langkah keamanan siber yang komprehensif memang tidaklah mudah, karena juga diperlukan investasi besar dalam infrastruktur, teknologi, dan sumber daya manusia. Pendekatan proaktif, adaptif, dan kolaboratif sangatlah penting dilakukan sejak dini.

@IndoTelko