Drama Pusat Data Nasional Belum Selesai: Lubang Keamanan Menganga

Andre I Katadata
Ilustrasi Peretasan Pusat Data Nasional Sementara (PDNS)
4/7/2024, 08.21 WIB

Drama penyanderaan Pusat Data Nasional Sementara (PDNS) boleh jadi memasuki babak akhir. Ini lantaran kelompok peretas di balik ransomeware Brain Cipher memberikan kode dekripsi untuk membuka akses PDNS 2 Surabaya pada Rabu malam, 3 Juli. Namun, drama pembenahan sistem keamanan di lumbung data nasional tersebut masih panjang.

Penyanderaan PDNS telah membongkar lubang-lubang dalam sistem keamanan siber negara. Kelompok peretas mengejek sistem terlalu lemah. “Serangan yang lalu itu sangat mudah, kami hanya membutuhkan sangat sedikit waktu untuk memindahkan data dan meng-enkripsi (mengunci) ribuan terabit informasi,” begitu bunyi pernyataan tertulis di situs resmi kelompok peretas. 

Selama kurang lebih dua pekan penyanderaan PDNS berlangsung, rapat-rapat digelar di Istana Negara hingga Gedung DPR membahas tragedi memalukan yang melumpuhkan layanan publik serta membahayakan keamanan negara dan warga tersebut. Sekarang, pemerintah tengah merancang langkah untuk menutup lubang-lubang pada sistem keamanan pusat data, termasuk lewat audit proyek PDNS.

Instansi-instansi yang bertanggung jawab atas penyelenggaraan pusat data dan keamanan siber nasional berada dalam posisi terpojok, dari mulai Kementerian Komunikasi dan Informatika, Badan Siber dan Sandi Negara (BSSN), hingga penyedia jasa pusat data PT Telkom Indonesia Tbk. Satu pejabat di Kementerian Komunikasi dan Informatika telah mundur dari jabatannya, yaitu Direktur Jenderal Aplikasi Informatika Semuel A. Pangerapan.

 

Fakta-Fakta Terungkap di Parlemen: Peretasan PDNS Kecelakaan atau Kebodohan?

“Ini sebetulnya kecelakaan atau kebodohan nasional?” Pertanyaan itu terlontar dari mulut anggota Komisi I DPR Tubagus Hassanudin dalam rapat dengan pemerintah, Kamis, 27 Juni lalu. Ia tak habis pikir dengan tragedi penyanderaan PDNS yang terjadi mulai 20 Juni dini hari. Padahal, Badan Siber dan Sandi Negara atau BSSN selalu melaporkan gempuran serangan siber setiap tahun seraya telah siap siaga. 

“Apakah kita hanya akan melaporkan insiden itu, atau melakukan upaya-upaya agar insiden itu tidak terjadi?” ujarnya. Tahun lalu, BSSN selaku penyusun kebijakan dan pemantau keamanan siber nasional, merilis laporan komprehensif bertajuk Lanskap Keamanan Siber Indonesia 2023. Dari hasil pantauan, terdapat 403 juta trafik tidak normal alias anomali yang mengindikasikan serangan siber, 4 juta serangan terorganisir yang didanai pemerintah asing, dan 1 juta aktivitas ransomeware alias program jahat yang mengunci data.

Menurut laporan itu, BSSN telah mengirimkan ribuan notifikasi indikasi insiden dan melakukan puluhan kegiatan asistensi kepada para korban. Bahkan, sudah disusun juga lesson learned alias panduan untuk mengantisipasi dan mencegah insiden siber untuk kasus terbanyak yaitu pengambilalihan situs, pembobolan data, dan ransomeware. Namun, setengah tahun berjalan dari sejak laporan dirilis, kelompok hacker berhasil menembus jantung pusat data nasional dengan ransomeware. 

Dalam rapat yang menghadirkan pejabat Kementerian Komunikasi dan Informatika serta BSSN tersebut terkuak beberapa informasi penting. Informasi tersebut antara lain penyimpanan data di pusat data nasional bersifat wajib bagi kementerian, lembaga, dan pemerintah daerah. Namun, BSSN ternyata tidak sepenuhnya terlibat dalam perancangan hingga penyelenggaraan pusat data nasional. Selain itu, fasilitas pencadangan data alias backup di pusat data nasional bersifat opsional atau tergantung inisiatif pengguna. Alhasil, ruang backup kosong karena hanya diisi data dari 2 persen pengguna. “Saya sudah lihat (masalah backup opsional) ini enggak benar, harus mandatory,” ujar Menteri Komunikasi dan Informatika Budi Arie.

Menurut Pakar Digital Forensik Ruby Alamsyah, backup adalah satu dari setidaknya dua masalah fatal yang menyebabkan tragedi PDNS. Yang fatal lainnya adalah sistem pemantauan yang tidak mumpuni. Dia menganalogikan sistem pemantauan atau Security Operation Center pusat data layaknya sistem di mini market yang mengandalkan pengecekan CCTV sehabis kejadian pencurian. Padahal, sekelas pusat data nasional harusnya memiliki sistem pemantauan real time alias terus-menerus untuk mendeteksi ancaman sesegera mungkin.

Lebih jauh, ia menjelaskan ada cara untuk mengamankan berbagai data instansi meski ditempatkan dalam satu pusat data. Artinya, pengelola pusat data bisa mencegah penguncian total PDNS oleh ransomeware. “Kalau yang terkena ransomeware Ditjen Imigrasi saja, oke-lah itu masih honest mistake, kalau yang terkena satu ekosistem, satu gelondongan, ini menurut saya dari sisi IT (teknologi informasi), ada perencanaan yang tidak tepat,” kata dia kepada Katadata, Kamis, 28 Juni.  

Ruby yang kerap menjadi saksi ahli forensik digital dalam berbagai kasus di meja hijau menyambut baik pernyataan Kapolri Jenderal Polisi Listyo Sigit Prabowo soal arah penyelidikan pidana dalam tragedi PDNS. “Saya percaya ini bukan hanya menyasar peretas, tapi hingga ke pengadaan. Ini penting untuk memberikan efek jera yang proper (sesuai),” ujarnya. 

Sektor Pemerintahan Rentan Serangan Siber (Ajeng I Katadata)
  

 

Rencana-Rencana Jokowi

Sehari setelah Menteri Komunikasi dan Informatika Budi Arie dan Kepala BSSN Hinsa Siburian dicecar Komisi I DPR, Presiden Joko Widodo menggelar rapat kabinet terbatas membahas peretasan dan penyanderaan pusat data tersebut. Dari Kepala Badan Pengawasan Keuangan dan Pembangunan (BPKP) Muhammad Yusuf Ateh, terungkap, Jokowi meminta audit. "Disuruh audit tata kelola dan finansial PDN," ujarnya di kompleks Istana Kepresidenan, Jumat, 28 Juni.

Selama ini, BPKP belum pernah mengaudit proyek yang dimulai sekitar lima tahun lalu tersebut. “Karena kasus ini (jadi diminta audit),” ujarnya. Ia berjanji mengaudit sesegera mungkin. Dari segi finansial, beberapa konsultan siber menjelaskan kepada Katadata, tidak ada biaya standar untuk penyelenggaraan pusat data. Sebab, biaya tergantung banyak hal, antara lain spesifikasi layanan. Yang menjadi pertanyaan misalnya apakah ada layanan yang seharusnya ada tapi tidak ada, atau harganya tidak sesuai. 

Berdasarkan data pada situs Layanan Pengadaan Secara Elektronik (LPSE) Kementerian Komunikasi dan Informatika, ada 16 tender terkait perencanaan, konsultasi, hingga penyediaan pusat data nasional, dengan nilai total kontrak lebih dari Rp 1 triliun. Kontrak terbesar yaitu penyediaan layanan komputasi awan PDNS. Pengadaan proyek ini untuk tahun 2021 dan 2022 dipegang PT Aplikanusa Lintasarta, dengan nilai kontrak total Rp 296,78 miliar. Kemudian, PT Telkom Indonesia menangani untuk pengadaan tahun 2023 dan 2024 dengan nilai kontrak total Rp 610,23 miliar. 

Sedangkan menurut Menteri Keuangan Sri Mulyani Indrawati, Kementerian Komunikasi dan Informatika sudah membelanjakan Rp 700 miliar pada periode Januari hingga Mei untuk kebutuhan yang terkait pusat data. 

Selain audit oleh BPKP, rencana lainnya adalah peningkatan status fasilitas pusat data cadangan di Batam dari situs dingin atau cold site menjadi situs panas atau hot site. Rencana ini dibahas dalam rapat tingkat menteri yang dipimpin Menteri Koordinator Bidang Politik, Hukum, dan HAM Hadi Tjahjanto, beberapa hari setelah rapat di Istana. “Situs dingin di Batam akan mem-back up dengan meningkatkan kemampuannya menjadi hot site, khusus untuk pelayanan-pelayanan yang bersifat strategis,” ujarnya, Senin, 1 Juli.  

Rencana ini sebagai upaya untuk mencegah lumpuhnya layanan publik bila terjadi lagi serangan siber atau bencana di pusat data utama. Sebagai gambaran, pusat data cadangan cold site biasanya hanya berupa ruang fisik tanpa perangkat keras (hardware), perangkat lunak (software), dan data. Maka itu, pemulihan di cold site bisa memakan waktu beberapa hari hingga minggu karena perlu pemasangan berbagai perangkat hingga transfer data. 

Ini berbanding terbalik dengan pusat data cadangan hot site yang berupa ruangan yang siap beroperasi karena perangkat sudah terpasang dan data sudah tersedia melalui pembaharuan berkala. Perbedaan ini membuat investasi yang dibutuhkan untuk membangun dan memelihara hot site lebih mahal dari cold site. Jika mengacu pada dokumen tender penyediaan layanan komputasi awan PDNS, selama ini pemerintah hanya menyiapkan cold site. 

Presiden Jokowi telah memberikan pernyataan publik terkait problem PDNS. Ia mengatakan sudah melakukan evaluasi menyeluruh. Ia menyisipkan pembelaan bahwa serangan siber tidak hanya menyerang Indonesia. "Yang paling penting semuanya harus dicarikan solusinya agar tidak terjadi lagi, di-backup semua data nasional kita sehingga kalau ada kejadian kita tidak terkaget-kaget," ujarnya di sela-sela peresmian ekosistem baterai dan kendaraan listrik di Karawang, Rabu, 3 Juli.

Namun, apakah langkah ini cukup? Mengacu pada pandangan beberapa pakar siber dan intelijen, perlu ada pembenahan besar. Banyaknya peristiwa kebobolan fatal pada sistem yang mengelola data penduduk dan negara dianggap sebagai bukti lemahnya kemampuan sumber daya manusia yang mengurusi hal tersebut. Kebijakan pemerintah menempatkan data kementerian, lembaga, dan pemerintah daerah di pusat data nasional pun banyak diragukan karena mengandung risiko besar. 

Pakar intelijen yang pernah menjabat Kepala Badan Intelijen Strategis (BAIS) TNI periode 2012-2013 Soleman Ponto menyatakan kontra terhadap kebijakan tersebut. Dalam beberapa kesempatan wawancara oleh media, ia mengatakan penyatuan tersebut telah meningkatkan risiko terhadap data-data penting pemerintahan. “Jangan satukan telur di satu keranjang. Kita satukan semua dalam PDN, begitu PDN bobol, bobol semua,” ujarnya. 

Sejauh ini, belum ada tanda-tanda pemerintah bakal memikirkan ulang kebijakan PDN. Menurut Menteri Perencanaan Pembangunan Nasional Suharso Manoarfa, pembangunan PDN permanen di Cikarang yang merupakan PDN permanen pertama Indonesia diharapkan selesai pada Oktober -- bulan penutup sepuluh tahun masa jabatan Presiden Jokowi. 

 
Rencana Besar Pusat Data Nasional (Ajeng I Katadata)

  

 

Ganti Menteri Komunikasi dan Informatika Jadi Opsi?

Drama penyanderaan PDNS membuat Presiden Jokowi hujan kritik dari publik karena menempatkan ketua umum kelompok loyalisnya “Projo” Budi Arie sebagai Menteri Komunikasi dan Informatika. Sejumlah pakar keamanan siber menekankan pentingnya menghadirkan sosok-sosok di pemerintahan yang tidak gagap teknologi informasi dan paham keamanan siber, apalagi pada instansi pemegang kunci keamanan data nasional.  

Setelah memplot sosok profesional di industri telekomunikasi Rudiantara pada periode pertama pemerintahan, Jokowi memilih memberikan posisi tersebut kepada sosok non-profesional atau politisi di periode kedua. Pada 2023, Budi Arie naik menggantikan Politikus Partai Nasdem Johnny Plate yang mundur dari jabatannya setelah terjerat kasus korupsi pengadaan stasiun pemancar dan penerima sinyal komunikasi selular BTS.

Sejumlah pihak mendesak Budi Arie agar mundur secara sukarela saja. Desakan salah satunya datang dari organisasi masyarakat sipil yang fokus memperjuangkan hak-hak digital Southeast Asia Freedom of Expression Network (Safenet). Safenet membuat petisi publik mengenai hal tersebut di situs change.org dan sudah ditandatangani lebih dari 23 ribu orang per Kamis pagi, 4 Juli. 

Budi Arie sempat menjawab pertanyaan soal desakan mundur tersebut saat dikerubungi wartawan usai dicecar dalam rapat di Komisi I DPR pada Kamis, 27 Juni lalu. "No comment, itu haknya masyarakat untuk bersuara,” ujarnya dengan suara pelan. 

Presiden Jokowi tak merespons secara gamblang ketika ditanya wartawan soal desakan tersebut. “Sudah evaluasi semua,” ujarnya, Rabu, 3 Juli. Ia justru memberikan pernyataan bernuansa pembelaan yaitu Indonesia bukan satu-satunya negara yang mengalami serangan siber. Maka itu, yang terpenting adalah mencari solusi atas berbagai masalah keamanan siber yang terjadi. 

Beberapa pakar keamanan siber dan anggota DPR menilai drama peretasan PDNS juga membuktikan bahwa kementerian dan lembaga yang mengelola data pribadi tidak bisa sekaligus menjadi pengawas. Anggota Komisi I DPR Sukamta menyarankan agar Kementerian Komunikasi dan Informatika tidak lagi berkeras meminta terlibat dalam Komisi Perlindungan Data Pribadi yang akan dibentuk Presiden.

Komisi Perlindungan Data Pribadi bakal memegang peran sentral dalam mengawasi pengelolaan data pribadi dan akan mengaktifkan sanksi jika ada pelanggaran oleh pribadi maupun instansi. “Kominfo tidak bisa menegur dirinya sendiri. Badan pengelola data jangan minta jadi pengawas, sekarang terbukti tidak berhasil dengan baik,” ujarnya.  

Melihat banyaknya catatan perbaikan dari berbagai pihak, sedangkan pengambilan keputusan oleh pemerintah berdimensi politik, pembenahan sistem keamanan siber negara tampaknya akan melalui drama panjang. 

Kebocoran Data (Ajeng I Katadata)