Data Bukan New Oil, tapi Minyak Curah, dan Pemerintah Lempar Handuk
Lewat setahun setelah pesan Jokowi itu, Juni 2024, pusat data nasional jebol . Petaka siber ini bikin Komisi I DPR memanggil Kementerian Komunikasi dan Informatika (Kominfo ) serta Badan Siber dan Sandi Negara (BSSN ) pada 27 Juni. Rapat pun berlangsung panas.
Saling Lempar Tanggung Jawab setelah PDNS Keok
Kepala BSSN Letjen TNI (Purn) Hinsa Siburian dan Menkominfo Budi Arie Setiadi dicecar anggota Dewan. Hinsa menjelaskan wewenang BSSN dalam Pusat Data Nasional Sementara (PDNS) hanyalah menyusun standar dan memantau lalu lintas data pemerintah. Menurutnya, BSSN baru dilibatkan setelah PDNS dibentuk.
Hinsa mengatakan, BSSN tak dilibatkan dalam perancangan PDNS karena infrastrukturnya sudah tersedia, hasil sewa dari pihak swasta. Oleh sebab itu, ia mengisyaratkan lembaganya tak mau disalahkan atas serangan ransomware ke PDNS yang berujung pada terkuncinya seluruh data di PDNS sehingga tak dapat dibuka atau digunakan.
“Kami lihat secara umum dari hasil pengecekan kami, mohon maaf Pak Menteri, permasalahan utamanya adalah tata kelola dan tidak adanya backup,” kata Hinsa.
Hinsa pun ditanya anggota Dewan soal ketiadaan backup data pada PDNS. Ia lantas melemparkan pertanyaan itu ke Menkominfo.
“Mungkin nanti dari Kominfo yang bisa jelaskan,” ujar Hinsa.
Soal ketiadaan backup itu sehari kemudian, 28 Juni, juga disinggung oleh Dirjen Imigrasi Kementerian Hukum dan HAM Silmy Karim, sebab lumpuhnya PDNS membuat urusan keimigrasian terganggu, mulai autogate system di bandara yang tidak berfungsi sampai layanan paspor di kantor imigrasi yang terganggu.
Silmy pun tak dapat menyembunyikan kekesalannya. Terlebih, instansinya sebetulnya sempat meminta backup data ke Kominfo dua bulan sebelumnya, tapi tak direspons dan PDNS keburu kena serangan.
“Setelah beberapa lama, akhirnya kami tahu bahwa data yang disetor ke PDNS itu enggak ada backup-nya, mirror-nya. [Padahal] pusat data yang baik itu harus punya mirror. Jadi kalau sewaktu-waktu di-hit, di tempat lain masih ada backup,” kata Silmy, mengkritik layanan minus PDNS.
Ia lantas mencontohnya, “Misalnya, nih, Surabaya (lokasi PDNS 2 yang diserang ransomware) kena gempa, harus ambil mirror-nya di tempat lain, kan?”
Masih untung Ditjen Imigrasi menyimpan backup data mandiri di Pusat Data Keimigrasian (Pusdakim). Data itu pun dipulihkan. Namun, butuh lebih dari dua hari untuk membuka semua data backup tersebut sebelum akhirnya layanan imigrasi kembali normal.
“Untungnya punya [backup data di Pusdakim] itu. Kalau enggak, babak belur deh,” ucap Silmi, lagi-lagi menekankan pentingnya keamanan data.
Ribut-ribut soal tidak adanya backup data ini ditampik oleh Menkominfo Budi Arie. Ia menjelaskan, PDNS menyediakan layanan backup, namun penggunaannya tergantung kepada masing-masing instansi yang menaruh data di PDNS. Dengan kata lain, menurut Dirjen Aplikasi Informatika Kominfo Semuel A. Pangerapan, backup tidak bersifat otomatis, melainkan opsional by request.
“Kami terus mendorong para tenant atau pengguna untuk melakukan backup. Namun kebijakan itu kembali kepada tenant. Ini bukan menyalahkan tenant, tapi harus jadi evaluasi kita bersama,” kata Budi Arie.
Menkominfo kini jadi menyadari bolong besar layanan backup yang bersifat opsional. Itu sebabnya ia berencana mewajibkan seluruh kementerian, lembaga, dan pemda untuk memiliki backup data. Meski, tentu saja, rencana ini tak dapat memulihkan data-data yang kadung terkunci ransomware di PDNS 2 yang berlokasi di Surabaya.
Selain PDNS 2 di Surabaya, ada pula PDNS 1 di Serpong, Tangerang Selatan, dan pusat data cadangan (cold site) di Batam, Kepulauan Riau. Seluruhnya merupakan milik Telkom, pemenang tender Penyediaan Layanan Komputasi Awan PDNS pada 2024. Dalam hal ini, Telkom berperan sebagai penyedia infrastruktur yang berada di bawah kendali Kominfo.
Bolak-balik Kena Retas: dari Penyadapan SBY sampai Pencurian Data oleh Bjorka
Bukan rahasia lagi bahwa keamanan data di Indonesia adalah minus. Peretasan terus muncul. Hampir tiap tahun pula situs-situs web pemerintah dibobol. Bisa dibilang: pemerintah Indonesia selalu kalah melawan peretas.
Mundur ke tahun 2013, kala itu heboh kasus penyadapan terhadap Presiden Susilo Bambang Yudhoyono. Penyadapan tersebut dibocorkan oleh Edward Snowden, eks karyawan CIA yang menjadi kontraktor untuk Badan Keamanan Nasional AS (NSA)—lembaga yang menghimpun informasi intelijen, menganalisis komunikasi negara lain, dan melindungi informasi milik AS sendiri.
Snowden mengungkap penyadapan SBY kepada media Australia, ABC, dan media Inggris, The Guardian. Berdasarkan laporan The Guardian pada 18 November 2013, SBY disadap oleh Defence Signals Directorate (DSD), salah satu cabang intelijen Australia yang bertugas di sektor perang siber dan pengintaian luar negeri.
DSD disebut memiliki call data record SBY selama 15 hari pada Agustus 2009, termasuk isi pesan singkat dan pembicaraan telepon SBY dengan lingkaran terdekatnya seperti Dino Patti Djalal yang kala itu menjadi jubirnya.
Begitu peristiwa ini muncul ke publik, SBY berang. Menkominfo kala itu, Tifatul Sembiring, segera memanggil operator telepon seluler untuk dimintai klarifikasi. Para operator adalah Excelcomindo, Telkomsel, Indosat dan Hutchison 3. Mereka adalah operator yang dicatat oleh DSD menyediakan sinyal 3G, dan bisa disadap.
Peristiwa itu membuat SBY menyerukan langkah keras terhadap Australia, seperti menghentikan pertukaran informasi intelijen militer, menghentikan latihan-latihan miiliter, mengkaji ulang kerjasama strategis, hingga meminta protokol kode etik hubungan kedua negara.
Disamping itu, SBY juga meminta penjelasan dari Australia tentang penyadapan ini. Masalah semakin runyam, perdana menteri Australia Tonny Abbot menolak meminta maaf dan justru balik menuding Indonesia juga menyadap Australia.
Setelah kasus penyadapan terhadap SBY, peretasan-peretasan yang berikutnya mengincar data publik. Pada 2021, aplikasi elektronik milik Kementerian Kesehatan Electronic High Alert Card (e-HAC) diretas. Imbasnya, sebanyak 1,3 juta data yang terdaftar di aplikasi ini bocor, termasuk NIK yang dimasukkan saat mendaftar di e-HAC.
Kemenkes menjelaskan bahwa kebocoran data terjadi di aplikasi e-HAC yang belum dimutakhirkan.
“Kebocoran data terjadi di aplikasi eHAC yang lama yang sudah tidak digunakan lagi sejak Juli 2021 tepatnya 2 Juli 2021, sesuai dengan Surat Edaran dari Kemenkes No. HK/02/01/Menkes/847/2021 tentang digitalisasi dokumen kesehatan bagi penggunaan transportasi udara yang terintegrasi dengan PeduliLindungi,” kata Kepala Pusat Data dan Informasi Kemenkes, Anas Ma'ruf.
Pada kasus ini, Bareskrim Polri turun tangan untuk mengusut, pada 2 September 2021. Tapi pada 7 September, polisi menghentikan penyidikan ini.
“Hasil penyelidikan yang dilakukan oleh Cyber Polri terhadap Kemenkes dan mitra Kemenkes, bahwa tidak ditemukan upaya pengambilan data pada server e-HAC,” kata Kadiv Humas Polri Irjen Argo Yuwono kala itu.
Setahun kemudian, pada September 2022, Indonesia geger dengan peretas yang mengatasnamakan diri Bjorka. Bjorka dituding jadi dalang utama, pada kasus kebcoran 1,3 milar data SIM Card dan kebocoran data pelanggan PLN pada 2022.
Peretas itu menggunakan platform telegram untuk menyebarkan data yang berhasil ia retas. Di platform itu, Bjorka menyebarkan sebuah file surat yang ditujukan kepada Presiden Joko Widodo dan dokumen Badan Intelijen Negara (BIN).
Respons pemerintah kala itu cepat. Mereka segera membentuk satgas perlindungan pribadi, akibat aksi Bjorka ini. Pasalnya, beberapa NIK yang dibocorkan Bjorka adalah data milik para pejabat seperti Erick Thohir, Mahfud MD, hingga Puan Maharani.
Wakil Ketua DPR Muhaimin Iskandar juga sempat mendapat ratusan pesan via WhatsApp karena nomornya dibocorkan oleh Bjorka.
“Ini mengerikan, karena WA saya mulai jam 9.00 itu, WA saya itu ratusan WA masuk. Berbagai macam. Itu karena bocor. Di situ bahayanya. Karena itu saya mengundurkan diri dari WA hari ini. Karena WA saya bocor dengan macam-macam isinya,” kata Cak Imin, Selasa 13 September.
Tak hanya itu, Bjorka berhasil mengambil data dari aplikasi PeduliLindungi dan MyPertamina. Data-data yang berisi NIK, alamat, hingga nomor ponsel itu dijual Bjorka ke dark web seharga USD 100 ribu.
SDM Mumpuni di Bidang IT Jadi Urgensi
Dengan rentetan petaka siber itu, jelas bahwa keamanan siber adalah mutlak. Pun, setelah BSSN terbentuk pada 2017, situs-situs pemerintah masih dijebol pemerintah.
Bagi Ardi Sutedja, Ketua Indonesia Cyber Security Forum (ICSF), masalah ini bisa berulang karena belum ada SDM yang memadai di bidang IT.
“Secara global, ada 4 juta lebih posisi engineer dasar di bidang siber. Yang harus diisi. Karena, kalau tidak diisi, kita ga bisa ngikutin konstelasi yang cepat. Tapi pendidikan kita belum mengarah ke sana,” kata Ardi.
Bagi Ardi, perkembangan dunia digital begitu cepat. Bahkan, ransom ware yang digunakan pada setahun belakangan kini bisa lebih cepat, merusak dan invasif.
“Bahkan kalau melihat bencana nasional [PDNS] kemarin, praktis hampir semua perangkat teknologi yang terpasang tak mampu menanggulanginya,” kata Ardi.
Di sisi lain, pendidikan teknologi informasi di Indonesia masih dirasa kurang. Universitas memang melahirkan lulusan yang mumpuni, tapi kebanyakan dari mereka tidak punya jam terbang yang cukup, atau mereka tidak cukup punya passion di bidang tersebut.
“Dia harus senang bidang ini dan punya minat kuat jadi punya komitmen. Tapi kalau sekedar sekolah, jadi sarjana s1-s2, tapi ga punya passion, itu hanya sesaat,” kata Ardi.
Ia juga menyinggung bagaimana harus terbentuk suatu budaya keamanan digital yang kuat. Artinya, keamanan ini harus terus diulang, sehingga jadi kebiasaan.
Itu harus ada, diresapi, dipahami, disimulasikan, dipraktekan secara berkala, biar mereka yang terlibat membiasakan diri seabgai budaya. Kalau tidak dilakukan, yang terjadi, mereka akan beku tidak tahu mau berbuat apa. Itu yang saya yakini terjadi di PDN. Ada buku panduannya, tapi tidak dijadikan budaya,” kata Ardi.
Soal SDM, praktisi siber Ainun Najib juga mengutarakan hal yang sama. Gelar yang tinggi bukan jaminan para ahli IT bisa mumpuni di bidangnya.
“Memiliki sertifikasi adalah nilai tambah, bukan berarti dia kompeten atau ahli,” ucapnya.
Bagi Ainun, mereka-mereka ini harus punya skill kuat terkait beberapa live coding, live interview, live hacking dan harus dibebaskan dari beban birokrasi.
“Hacker yang jago itu kebanyakan tidak memiliki sertifikasi apapun, lihatlah dari rekam jejak,” ucap Ainun.
Ia juga minta sistem seleksi yang ketat untuk orang-orang yang akan mengawangi bidang IT terutama di situs-situs pemerintahan.
“Beri kesempatan anak-anak semua jurusan studi untuk menjadi programmer/Software Dev beginner level. Hanya mensyaratkan dua hal yakni mampu lulus tes seleksi dan mau bersungguh-sungguh (tidak boleh ada manipulasi),” kata Ainun.
Butuh Infrastruktur Yang Kuat
Selain SDM, Ainun juga mempersoalkan infrastruktur yang kuat terutama dalam pengelolaan IT. Jangan sampai infrastruktur yang digunakan di bawah standar.
“Pastikan infrastruktur yang digunakan adalah infrastruktur yang benar-benar benar bisa digunakan dalam segala kondisi dan situasi apapun. Jangan asal bangun infrastruktur yang ringkih lemah dan sangat mudah diserang. Sudah bukan rahasia lagi ketika membangun infrastruktur banyak yang ternyata di bawah standar,” kata Ainun.
Pasalnya, situs-situs pemerintah ini akan selalu jadi incaran para peretas. Karena data yang terdapat di dalamnya mengandung nilai yang tinggi.
“Gak ada duitnya buat mereka. Sehingga ini adalah serangan yg targeted. Jadi mereka sebenarnya sudah ngincer 'Oh ini di Indonesia ini sudah mulai ada kebijakan untuk menyatukan semua server yang ada,” kata Kepala Lembaga Riset Keamanan Siber CISSREC Pratama Persadha.
Berkaca pada kasus peretasan PDN, data yang dijadikan satu ini akan jadi incaran yang menggiurkan bagi para peretas. Karena, mereka tak perlu lagi menyeleksi mangsa.
“Kalau sekarang kena satu, jadi kena semuanya. Mungkin mereka ngerti itu setelah melakukan scanning,” kata Pratama.
Sementara Nenden Sekar Arum, Direktur Eksekutif South East Asian Freedom of Expression Network (SAFENET), menyebut, banyak ahli dan praktisi yang mengkritisi pembentukan PDN termasuk dari arsitektur data dan infrastruktur perlindungan datanya. Tapi mereka tak didengar.
“Banyak dari pihak-pihak praktisi keamanan data, atau teman-teman yang fokus pada isu perlindungan data warga melihat bahwa tidak ada pelibatan yang cukup atau pun bermakna dari pihak-pihak lain, masyarakat sipil, pihak-pihak industri untuk memastikan bahwa PDN ini memang dirancang sesuai dengan kebutuhannya, dengan keamanan yang sangat kuat seperti itu,” kata Nenden.
Dengan bocornya PDN, ia pun mempertanyakan lagi keseriusan pemerintah dalam melakukan perlindungan data warga. “Serius atau tidak sih pemerintah menjaga data warga?”
Bocornya data penduduk RI akibat dicuri peretas dan dijual di dark web, berimbas ke tersebarnya data-data pribadi itu. Pada akhirnya, potensi penyalahgunaan data pribadi semakin tinggi, dan rakyat lagi-lagi jadi korban.
Data di republik ini bukan lagi new oil, tapi sudah jadi minyak curah yang tumpah ke mana-mana. Tak ada keamanan, apalagi perlindungan data bagi warga.
