Windows Defender Dinonaktifkan Saat PDN Diserang Ransomware, Pakar Keamanan Siber: OS Berhasil Disusupi

Ilustrasi ransomware LockBit 3.0 Brain Chiper yang serang server PDNS.

KOMPAS.com - Pakar keamanan siber dari Vaksin.com Alfons Tanujaya mengatakan, ada penyusupan pada operating system (OS) Windows saat serangan ransomware terhadap Pusat Data Nasional (PDN) sementara terjadi.

Sebab, Windows Defender yang merupakan aplikasi antivirus bawaan yang tersedia di OS Windows dapat dinonaktifkan oleh pihak yang melancarkan serangan ransomware.

Hal tersebut dikatakan Alfons merespons penjelasan Juru Bicara Badan Siber dan Sandi Negara (BSSN) Ariandi Putra yang menyebutkan, ada upaya penonaktifan Windows Defender pada Minggu (17/6/2024) pukul 23.15 WIB.

Serangan ransomware baru menyebabkan gangguan PDN pada Kamis (20/6/2024) sehingga layanan keimigrasian terdampak.

“Dan, biasanya setelah itu akan digunakan sebagai jembatan untuk menyerang sistem lain yang terhubung ke komputer tersebut,” ujar Alfons kepada Kompas.com, Kamis (27/6/2024).

Windows tidak aman?

Alfons menjelaskan, meski Windows Defender pada perangkat PDN dapat dinonaktifkan oleh pembuat ransomware, masyarakat diminta agar tidak menilai aman atau tidaknya sistem hanya dari jenis OS yang digunakan.

Menurut Alfons, aman atau tidaknya suatu pusat data bergantung pada keterampilan administrator.

Selain itu, pusat data juga akan terlindungi apabila ada kedisiplinan dalam menjalankan praktik pengamanan sistem.

Alfons menjelaskan, saat ini pemerintah hanya memiliki satu PDN. PDN sementara bakal dinonaktifkan jika PDN yang utama selesai dibangun.

Namun, serangan ransomware terhadap PDN sementara tidak bisa disepelekan karena setiap pengelola pusat data dan sistem cloud bisa menjadi sasaran serangan siber kapan pun.

Karena alasan itulah pengelola pusat data dan sistem cloud diminta untuk mempersiapkan diri sebaik-baiknya.

Hal tersebut dapat dilakukan dengan menerapkan disaster recovery dan business continuity yang baik.

“Menyerang ke data lain itu jelas,” tandas Alfons.

Data PDN masih ada di server

Di sisi lain, Alfons juga merespons pernyataan Direktur Network and IT Solution Telkom Herlan Wijanarko yang mengatakan, data milik kementerian, lembaga, dan pemerintah tidak dapat dikembalikan imbas serangan ransomware.

Menurut Alfons, data PDN sebenarnya tidak hilang dan masih ada di dalam server.

Namun, data tersebut dikunci dengan gembok enkripsi dan kuncinya hanya dimiliki oleh pihak yang melancarkan serangan ransomware.

Terkait serangan ransomware yang menyasar PDN, Alfons meminta Kementerian Komunikasi dan Informatika (Kominfo) agar bertindak sebagai pengawas, bukan operator dalam pengelolaan pusat data.

Ia menyarankan pemerintah supaya menyerahkan pengelolaan PDN kepada pihak yang memiliki kompetensi, seperti Biznet, CBN, atau perusahaan lain di dalam asosiasi pengelola cloud.

“Jadi, kalau ada apa-apa pengelola cloud ini bisa dimintai pertanggungjawaban, baik finansial atau hukum,” saran Alfons.

“Kalau sudah ada konsekuensi seperti itu, tentunya pengelola cloud PDN tidak akan ceroboh seperti hari ini,” tambahnya.

Modus ransomware

Alfons menambahkan, ransomware jenis apapun akan memiliki nama yang baru.

Setiap kali ransomware melakukan serangan, malware ini akan melakukan aksi bersih-bersih untuk menghilangkan jejaknya sehingga bisa digunakan lagi.

Kalaupun identitas pembuat ransomware dapat diidentifikasi, mereka dengan mudah bisa melakukan perubahan minor, baik dengan teknik kompilasi yang berbeda atau mengubah sedikit script.

“Itu sudah jadi ransomware baru. Jadi, tidak ada yang luar biasa dengan ransomware baru apapun namanya,” imbuh Alfons.

“Yang luar biasa parah itu adalah kalau data center sekelas PDN yang mengelola ribuan virtual machine bisa sampai kena ransomware dan lebih menyedihkan lagi kalau data berhasil diambil,” tambahnya.