Pusat Data Nasional lumpuh lebih dari sepekan, apakah kesalahan tata kelola PDNS atau kelalaian manusia?

Pusat Data Nasional lumpuh lebih dari sepekan, apakah kesalahan tata kelola PDNS atau kelalaian manusia?

Pakar keamanan siber dan praktisi teknologi informasi menyoroti berbagai kejanggalan terkait serangan ransomware terhadap Pusat Data Nasional Sementara (PDNS) di Surabaya, Jawa Timur, yang mengganggu layanan ratusan instansi pemerintah.

Rapat kerja Komisi I DPR dengan pemerintah pekan lalu mengekspos apa yang disebut pakar sebagai "ketidaksiapan pemerintah" dalam mengelola data berjumlah besar.

Saat itu pemerintah mengakui ada kesalahan tata kelola PDNS, terutama terkait kebijakan backup data, meski ada kesan berbagai pihak saling melempar kesalahan.

Pakar dan praktisi IT juga menyoroti penggunaan fitur keamanan Windows Defender, yang disebut tak memadai untuk menjaga data-data penting negara, serta kemungkinan adanya kelalaian manusia yang menyebabkan terjadinya serangan ransomware.

Pemerintah menargetkan operasi PDNS Surabaya pulih sepenuhnya pada Agustus mendatang dan meminta pihak ketiga melakukan audit menyeluruh soal keamanan PDNS.

Pakar bilang mesti ada sanksi bagi pejabat yang teledor dan menyebabkan bocornya data masyarakat di masa depan.

Ilustrasi serangan ransomware.

Bagaimana serangan bermula dan apa dampaknya?

Menurut kronologi versi pemerintah, mulanya ada upaya untuk menonaktifkan fitur keamanan Windows Defender di PDNS Surabaya sejak 17 Juni, pukul 23.15 WIB.

Aktivitas membahayakan lalu berlangsung sejak 20 Juni, pukul 00.54 WIB, termasuk instalasi file berbahaya, penghapusan file sistem penting, dan penonaktifan layanan yang sedang berjalan. File yang terkait dengan storage atau penyimpanan mulai dimatikan dan tertutup tiba-tiba.

Semenit berselang, Windows Defender disebut mengalami "crash" dan tidak bisa beroperasi.

Pada 20 Juni, Badan Siber dan Sandi Negara (BSSN) mendapat laporan dari tim PT Sigma Cipta Caraka (Telkomsigma) selaku vendor PDNS Surabaya bahwa seluruh layanan di fasilitas itu tidak bisa diakses.

Imbasnya, sejumlah layanan publik termasuk yang terkait imigrasi dan pendaftaran pelajar sekolah baru jadi terganggu.

Setelah melakukan forensik digital selama beberapa hari, tim BSSN pada 23 Juni menemukan bahwa Brain Cipher – salah satu varian ransomware LockBit 3.0 – adalah penyebab insiden tersebut.

Ilustrasi seorang peretas.

Secara umum, ransomware adalah jenis malware atau program berbahaya yang bila terinstal dapat mengunci file atau gawai seperti komputer dan ponsel pintar. Bila ingin mendapat sandi untuk membuka kuncinya, korban biasanya diminta untuk membayar sejumlah uang.

Sementara itu, secara khusus ransomware LockBit biasanya tak sekadar mengunci file yang ada, tapi juga mencurinya. Bila korban tak membayar, pelaku bisa mengancam untuk menyebarkan data yang telah diambil.

Pada 24 Juni, Menteri Komunikasi dan Informatika, Budi Arie Setiadi, mengonfirmasi bahwa pelaku serangan ransomware Brain Cipher ke PDNS Surabaya memang meminta uang tebusan US$8 juta atau sekitar Rp131,8 miliar untuk membuka gembok pada data-data di fasilitas itu.

Namun, hingga kini, belum ada indikasi bahwa data-data di PDNS Surabaya juga telah dicuri. Ia "hanya" dikunci sehingga tidak bisa diakses.

"Tentunya belum bisa kita pastikan 100% tidak bocor [datanya] karena proses forensiknya masih jalan, tapi sampai saat ini yang kita tahu data itu ada di dalam [PDNS Surabaya] dalam keadaan terenkripsi," kata Kepala BSSN, Hinsa Siburian, saat rapat kerja dengan Komisi I DPR pada 27 Juni.

"Kalau itu diambil [datanya], akan kelihatan traffic keluarnya juga besar. Itu kan datanya cukup banyak."

Per 26 Juni, pemerintah mencatat ada total 282 instansi pemerintah yang datanya tersimpan di PDNS Surabaya sehingga terdampak serangan ransomware. Ini mencakup data kementerian dan lembaga, serta pemerintah provinsi, kabupaten, dan kota.

Dari 282 instansi itu, ada 239 yang layanan publiknya terganggu dan tidak memiliki backup data. Layanan 43 instansi lainnya juga terkendala, tapi disebut bisa segera pulih karena memiliki backup.

Saling menyalahkan soal backup

Saat rapat kerja dengan Komisi I DPR pada 27 Juni lalu, pemerintah menjelaskan cara kerja dua PDNS milik Indonesia yang masing-masing terletak di Serpong, Banten, dan Surabaya, Jawa Timur.

PT Aplikanusa Lintasarta adalah vendor atau penyedia layanan untuk PDNS 1 di Serpong.

Sementara itu, PT Sigma Cipta Caraka (Telkomsigma) – anak usaha BUMN PT Telkom Indonesia – adalah vendor PDNS 2 di Surabaya dan sebuah cold site atau fasilitas backup data di Batam, Kepulauan Riau.

Berdasarkan materi presentasi Kementerian Komunikasi dan Informatika serta BSSN di DPR, dua PDNS tersebut seharusnya terhubung dan saling mereplikasi atau membuat salinan data, sekaligus menyimpan backup di cold site di Batam.

"Desain PDNS seperti yang di-release oleh Kominfo serta BSSN sebetulnya sudah ideal jika memang implementasi serta pengelolaannya sesuai dengan desain tersebut," kata Pratama Persadha, pakar keamanan siber dari Communication and Information System Security Research Center (CISSReC).

"Namun, kenyatannya proses replikasi tidak berjalan karena seharusnya begitu PDNS 2 mengalami gangguan, maka PDNS 1 akan mengambil alih, kemudian data di PDNS 2 akan dipulihkan dari cold site."

Silmy Karim, Direktur Jenderal Imigrasi Kementerian Hukum dan HAM, juga sempat mengatakan bahwa data kementeriannya di PDNS tidak direplikasi.

Menurut Silmy, pihaknya telah mengirim surat kepada Kementerian Kominfo sejak April untuk meminta datanya direplikasi, tapi tidak digubris.

Maka, Silmy meminta stafnya terus membarui backup data internal di Pusat Data Keimigrasian (Pusdakim) untuk berjaga-jaga.

"Memang tidak dijawab [suratnya]. Makanya kita siapkan di Pusdakim,” kata Silmy pada 28 Juni, seperti dilaporkan Kompas.com.

Lantaran punya backup data sendiri, layanan keimigrasian bisa relatif cepat pulih setelah sempat terkendala karena serangan ransomware terhadap PDNS Surabaya.

Ilustrasi rak server di pusat data.

Kepala BSSN, Hinsa Siburian, mengatakan hanya 2% data yang ada di PDNS Surabaya yang telah memiliki backup di cold site di Batam.

Karena itu, para pengguna layanan PDNS serta Kementerian Kominfo disebut tidak mematuhi Peraturan BSSN Nomor 4/2021.

Pasal 35 ayat 2e di peraturan itu menyebutkan bahwa salah satu syarat untuk memenuhi standar teknis keamanan pusat data nasional adalah dengan "melakukan backup informasi dan perangkat lunak yang berada di pusat data nasional secara berkala".

"Memang kami melihat secara umum, mohon maaf Pak Menteri [Budi Arie Setiadi], permasalahan utama adalah tata kelola – ini hasil pengecekan kita – dan tidak adanya backup," kata Hinsa.

Meutya Hafid, Ketua Komisi I DPR, menanggapi hal ini dengan keras.

"Kalau enggak ada backup sih itu bukan [soal] tata kelola," kata Meutya.

"Ini masalah kebodohan," tambahnya.

Di sisi lain, Menteri Budi dan Semuel Abrijani Pangerapan selaku direktur jenderal aplikasi informatika Kementerian Kominfo, berkeras mengatakan bahwa keputusan melakukan pencadangan data ada di tangan para instansi pengguna PDNS.

Kementerian Kominfo, kata Semuel, hanya bertindak sebagai prosesor, bukan pengendali data, sehingga tidak berhak melihat data yang ada.

"Jadi kami [hanya] kasih fasilitasnya, dan tiap kali mereka menggunakan fasilitas kami, ada kontraknya," kata Semuel.

Salah satu ketentuan di kontrak itu adalah para pengguna layanan PDNS wajib "melakukan backup data secara mandiri", tambahnya.

Masalahnya, kata Budi, tidak banyak pengguna layanan PDNS yang mencadangkan datanya.

Sejumlah instansi pemerintahan, kata Budi, kerap kesulitan mengalokasikan dana untuk pengadaan "infrastruktur backup" karena keterbatasan anggaran atau "kesulitan menjelaskan" kepada auditor soal pentingnya mencadangkan data.

Tidak jelas apakah dana untuk "infrastruktur backup" yang dimaksud Budi adalah untuk menyimpan data di PDNS atau di pusat data internal masing-masing instansi.

Sebagai catatan, sejak terbitnya Peraturan Presiden Nomor 39/2019 tentang satu data Indonesia, instansi pemerintah tidak boleh melakukan pembelian server secara mandiri dan wajib menyimpan datanya di pusat data nasional, kata Pratama dari CISSReC.

Sementara itu, saat dicecar para anggota Komisi I DPR soal kebijakan backup data, I Wayan Sukerta, Direktur Delivery dan Operasi Telkomsigma, mengatakan pihaknya hanya mengikuti kerangka acuan kerja sebagai vendor untuk PDNS Surabaya.

"Untuk sisi operasinya sendiri, pelaksanaannya itu kita juga mengikuti prosedur layanan yang ditetapkan oleh Kominfo," kata Wayan.

"Memang backup itu harus ada permintaan tiket yang disampaikan oleh tenant [pengguna layanan PDNS]."

Beberapa kejanggalan

Pratama Persadha, pakar keamanan siber dari CISSReC, mempertanyakan penggunaan Windows Defender, aplikasi antivirus bawaan sistem operasi Windows untuk PDNS.

Apalagi, Menteri Keuangan Sri Mulyani Indrawati sempat mengatakan bahwa Kementerian Komunikasi dan Informatika mendapat alokasi dana Rp700 miliar untuk pengembangan pusat data nasional pada 2024.

"Meskipun Windows Defender masih bisa dipergunakan untuk keperluan rumahan atau untuk industri kecil, tidak seharusnya sebuah data center dengan nilai anggaran sebesar Rp700 miliar masih menggunakan perangkat bawaan sistem operasi," kata Pratama.

Menurutnya, masih banyak pilihan perangkat keamanan siber lainnya yang bisa menjadi opsi. Cara-cara lain pun bisa digunakan untuk menambah lapisan keamanan, entah dengan pengaturan akses ataupun penggunaan metode autentikasi multifaktor.

Ilustrasi aplikasi antivirus melindungi laptop.

Ronal Gorba Timothy, kepala divisi IT di sebuah jaringan kedai kopi lokal, menyampaikan hal senada.

Untuk pengguna komputer individu saja, ia menilai Windows Defender tidak cukup, apalagi untuk sebuah pusat data yang dikelola pemerintah.

Terkait pilihan sistem operasi, Ronal pun merasa Linux lebih aman daripada Windows dan lebih umum digunakan untuk sebuah server data.

Ia bilang Windows memang sistem operasi paling populer di dunia. Namun, karena itu pula jenis serangan siber yang mengincar Windows lebih banyak dibanding yang lainnya. Maka, lapisan keamanan yang diperlukan juga berlipat.

"Kalau pengembangnya memang fokusnya pakai ekosistem Windows ya enggak apa-apa, tapi software-software yang digunakan untuk mendukung itu harus memadai juga," kata Ronal.

Sementara itu Ciptoning Hestomo, manajer IT di sebuah startup keuangan, tidak habis pikir melihat pemerintah tidak memiliki prosedur backup data yang memadai.

Ia bilang backup data adalah kebutuhan yang sangat mendasar, layaknya makan bagi manusia.

"Backup itu sebenarnya default, sudah harus ada, bukan sesuatu yang harus diwajibkan dengan peraturan," kata Ciptoning. "Apalagi yang dijaga kan data satu negara."

"Jadinya pemerintah seakan enggak mengerti apa yang mereka buat sendiri."

Ronal bilang, bahkan perusahaan swasta kecil sekalipun biasanya punya prosedur backup data rutin dengan frekuensi paling tidak sekali setiap hari.

"Jadi, kalau misalnya ada serangan ransomware, data yang hilang ya data hari terakhir saja. Paling buruknya begitu," ujar Ronal.

Ilustrasi serangan ransomware.

Di luar itu semua, Ronal dan Ciptoning menyoroti serangan ransomware yang biasanya terjadi karena kelalaian pengguna komputer mengeklik tautan tidak jelas atau membuka aplikasi yang berisi program berbahaya.

Maka wajar, kata mereka, bila publik curiga ada keteledoran petugas PDNS yang membuat ransomware menyusup ke sistem di fasilitas itu, meski hal ini perlu dibuktikan lebih jauh.

Saat rapat kerja dengan Komisi I DPR pada 27 Juni, Meutya Hafid, Ketua Komisi I DPR, sempat menanyakan hal ini kepada Kepala BSSN Hinsa Siburian.

Hinsa hanya bilang itu bisa terjawab bila hasil audit forensik menyeluruh telah keluar.

Yang pasti, Pratama mengatakan kejadian ini menunjukkan "ketidaksiapan pemerintah", entah dalam mengelola data berjumlah besar ataupun menghadapi krisis siber.

"Respons pemerintah tidak dapat dikatakan baik-baik saja, karena gangguan yang sudah terjadi sejak tanggal 20 Juni baru diumumkan kepada masyarakat pada tanggal 24 Juni dan itupun baru sebatas indikasi awal," kata Pratama.

"Hal ini seolah-olah pemerintah ingin mencoba memperbaiki terlebih dahulu supaya tidak diketahui publik apa masalah yang sebenarnya."

Audit menyeluruh

Dalam paparannya di Komisi I DPR, Menteri Komunikasi dan Informatika Budi Arie Setiadi mengatakan pemerintah telah menyiapkan strategi pemulihan jangka pendek, menengah, dan panjang terkait lumpuhnya layanan berbagai instansi pemerintah.

Strategi jangka pendek dijadwalkan berlangsung sejak 20 Juni hingga 30 Juli.

Budi berencana segera menerbitkan Keputusan Menteri baru soal penyelenggaraan pusat data nasional, yang salah satunya mewajibkan seluruh instansi pemerintah untuk mencadangkan datanya secara rutin.

"Jadi sifatnya mandatori, bukan opsional seperti sebelumnya," kata Budi.

"Paling lambat, Senin, [1 Juli] Kepmen akan saya tanda tangani."

Proses forensik akan berlangsung hingga pekan pertama Juli. Pemulihan layanan prioritas dan layanan yang memiliki backup data ditargetkan rampung pada akhir Juli.

Pada strategi jangka menengah, Kementerian Kominfo memasang tenggat pada pekan kedua Agustus untuk pemulihan sepenuhnya layanan PDNS Surabaya, implementasi rekomendasi hasil forensik, perbaikan prosedur, dan evaluasi tata kelola PDNS.

Untuk strategi jangka panjang, pihak ketiga independen akan melakukan audit keamanan PDNS hingga pekan keempat September dan, rencananya, hasil audit akan dijalankan mulai pekan keempat November.

Ilustrasi rak server di pusat data.

Pada 28 Juni, saat rapat terbatas di Istana Negara, Jakarta, Presiden Joko Widodo juga memerintahkan Badan Pengawasan Keuangan dan Pembangunan (BPKP) untuk mengaudit tata kelola pusat data nasional.

"Disuruh audit tata kelola PDN. Tata kelolanya sama finansialnya,” kata Kepala BPKS Muhammad Yusuf seusai rapat terbatas itu.

Pratama Persadha, pakar keamanan siber dari CISSReC, mengingatkan pemerintah untuk menerapkan sistem keamanan berlapis bila tidak ingin kejadian yang sama terulang lagi ke depan.

Ini termasuk memastikan tidak ada kesalahan pemrograman API, mengenkripsi data di server, dan memilih sistem keamanan siber yang tepat.

Pengelola pusat data juga harus memiliki backup di brankas data luring, selalu melakukan update aplikasi, dan menerapkan strategi kelangsungan usaha pascakrisis.

Pemerintah pun diharapkan menguatkan peran dan fungsi Badan Siber dan Sandi Negara (BSSN), sekaligus menyiapkan sanksi kepada pengelola situs pemerintah atau situs akademis yang mengalami peretasan.

"Apalagi yang sampai mengakibatkan bocornya data pribadi masyarakat, [pengelola situs bisa mendapat] sanksi administratif seperti peringatan sampai kepada demosi jabatan karena dianggap lalai dalam mengelola situs tersebut," kata Pratama.