Gaduh PDNS 2 Diretas: Cermin Buruknya Pertahanan Siber RI

Di tengah kekhawatiran masyarakat, Ketua Umum relawan Projo itu mengajak semua pihak bersyukur, karena peristiwa ini terjadi bukan karena state actor atau suatu negara. Budi memastikan motif peretasan karena ekonomi.

Sebab, kata Budi Arie, hanya ada dua kemungkinan pelaku serangan siber PDNS 2, yakni state actor atau non state actor.

"Saya ingin tegaskan bahwa kesimpulan mereka ini non state actor dengan motif ekonomi. Itu udah alhamdulillah dulu. Karena kalau yang nyerang negara, berat," kata dia.

Kepala BSSN, Hinsa Siburian, mengakui hanya ada 2 persen data di PDNS 2 Surabaya yang merupakan cadangkan Kementerian Komunikasi dan Informatika (Kemkominfo). Itu sebabnya, proses pemulihan data usai serangan ransomware memakan waktu lebih dari satu minggu. 

Padahal, menurut Peraturan BSSN Nomor 4 Tahun 2021, Pasal 35 ayat 2E tertulis, seluruh data dari perangkat lunak yang ada di PDNS 2 harus dibuatkan back up secara berkala. 

"Kami melihat secara umum, mohon maaf, Pak Menteri, permasalahan utama adalah tata kelola dan tidak adanya back up (data)," ujar Hinsa.

Hinsa juga berdalih tidaknya cadangan data ini akar masalahnya ada di tata kelola. 

"Betul pak itu yang mau saya sampaikan tadi, kita ada kekurangan di tata kelola. Kita memang akui itu. Dan itu yang kita laporkan juga karena kami diminta apa saja yang masalah kok bisa terjadi,” kata dia.

Hinsa mengakui belum menemukan dalang pelaku peretasan terhadap server PDNS 2 Surabaya. BSSN baru menemukan indikasi-indikasi untuk memburu pelaku.

"Tentu untuk pelaku ini belum bisa, pak. Kita baru menemukan indikasi-indikasi, yang nanti dari indikasi ini akan kita olah untuk menemukan si pelaku," kata dia.

Hinsa menyebut BSSN telah menerima tawaran dari 19 negara untuk membantu memburu pelaku. Menurut dia, negara-negara itu merupakan negara yang bekerja sama dengan Indonesia terkait keamanan siber.

"Mereka menawarkan juga, dan tentunya karena ini masih dalam proses forensik ini, kita tunggu dulu, yang hasil dari tim kita ini, baru nanti bisa kita koordinasikan bagaimana bentuknya kerja sama," kata Hinsa.

Budi Arie mengakui sistem pertahanan siber di Indonesia masih tergolong rendah dibandingkan negara lain. Karena itu, dia menilai, keamanan siber dalam negeri perlu ditingkatkan lagi.

Dalam kesempatan rapat kerja bareng Komisi I DPR kemarin, Budi Arie menyajikan sebuah data yang memperlihatkan indeks pertahanan siber pada 2022-2023. Hasilnya, dari 20 negara yang masuk studi, Indonesia menempati ranking 20.

Berdasarkan data tersebut, Indonesia masuk dalam klasifikasi lima negara yang komitmen dalam menciptakan lingkungan pertahanan sibernya lambat dan tidak merata.

"Kita bisa lihat gambaran peringkat negara dalam indeks pertahanan siber di tahun 2022-2023. Ini hasil study dari MIT Technology Review Insight di 2022, di mana peringkat Indonesia di G20 ini nomor 20," kata Budi Arie.

"Kalau kita bisa lihat, Australia, Netherlands, Korsel, AS, Kanada, dan berikutnya (di atas), kita masuk dalam terbawah dengan Mexico, Brasil, India, Turki, dan Indonesia," lanjut dia.

Oleh karena itu, Budi Arie menilai, pertahanan siber harus menjadi perhatian serius bagi pemerintah Indonesia. Dia menegaskan, ke depan keamanan siber di Indonesia perlu ditingkatkan.

"Jadi harus juga jadi perhatian kita semua sebagai negara dan bangsa. Bahwa keamanan siber kita masih perlu peningkatan yang lebih," imbuhnya.

Sementara, Ketua Komisi I DPR RI, Meutya Hafide, mengkritik keras pemerintah yang tak punya cadangan data nasional. Menurut dia, tidak adanya cadangan data ini  bukan hanya persoalan tata kelola, tapi bentuk kebodohan dari pemerintah. 

Politikus Partai Golkar itu pun terheran, karena pemerintah memiliki data nasional tapi tidak melakukan pencadangan data.

“Maksudnya pak kalau gak ada back up itu bukan tata kelola, itu kan nggak hitung Batam Surabaya karena hanya 2 persen, ya berarti itu bukan tata kelola itu kebodohan saja sih pak,” kata dia, dalam rapat kerja bareng Kemkominfo dan BSSN, kemarin.

Pada kesempatan sama, anggota Komisi I DPR RI dari Fraksi PDIP, TB Hasanuddin, juga mengkritik keras kebocoran PDNS 2. Menurut dia, peristiwa ini merupakan sebuah kecelakaan dan kebodohan nasional.

Hasanuddin prihatin karena BSSN selama lima tahun terakhir ini terus melaporkan kepada Komisi I DPR soal keamanan data dalam negeri kerap mendapatkan serangan, tetapi tidak pernah terselesaikan dengan baik. Dia lantas menyebut pada 2023 ada 1.011.229 insiden serangan siber yang dialami Indonesia.

"Ini sebetulnya kecelakaan atau kebodohan nasional, karena prihatin kita sudah hampir lima tahun bekerja sama mitra, terutama dengan BSSN, dan BSSN selalu melaporkan ada serangan tetapi tidak ada tindakan-tindakan yang lebih komprehensif," kata dia.

"Apakah kita hanya akan melaporkan insiden itu, atau melakukan upaya-upaya supaya insiden itu tidak terjadi?" lanjut politikus senior itu.

Budi Arie enggan menanggapi desakan publik, yang memintanya mundur dari jabatan, buntut kasus peretasan PDNS 2. Dia menilai masyarakat memiliki hak  menyampaikan pendapatnya.

"Ah no comment kalau itu, itu hak masyarakat itu," ujarnya.

Alih-alih mengamini desakan itu, Budi lantas berjanji dalam waktu dekat akan mengumumkan kepada publik, siapa dalang pelaku peretasan server PDNS 2. Dia memastikan motif pelaku karena ekonomi dan dalang pelakunya bukan negara.

"Dalam waktu yang tidak terlalu lama kita jelaskan kepada publik siapa pelakunya, apa motifnya, tapi yang pasti ini bukan state actor, bukan dari negara, tapi perorangan dengan motif ekonomi," kata Budi Arie.

Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, mengatakan meski yang terkena serangan siber adalah PDNS 2, bukan berarti bisa dianggap enteng dampaknya. Sebab, publik dan instansi pemerintah yang mempercayakan server-nya pada cloud PDNS menjadi korban.

Sebagai contoh, antrean pengguna pesawat udara terlihat mengular hingga ke pintu keberangkatan pada pekan lalu saat hendak boarding. 

"Itu harus disamakan. Tidak bisa dianggap PDN Sementara boleh kena retas, dan pengamanannya longgar. Pernyataan itu agak lucu," ujar Alfons ketika dihubungi IDN Times melalui telepon, Selasa, 26 Juni 2024. 

Pernyataan tersebut menepis kalimat dari Menkominf Budi Arie Setiadi, bahwa yang terkena serangan siber dalam bentuk ransomware adalah PDNS2 di Surabaya.

Menurut Alfons, PDN sementara atau permanen akan tetap rentan terkena serangan siber, bila tak dijaga sumber daya manusia (SDM) yang kompeten dan SOP pengamanan. 

"Artinya, admin disiplin dalam mengikuti business continuity dan business recovery. Dalam kasus ini, sudah jelas bahwa disaster recovery dan business continuity-nya (milik PDN) parah," katanya.

Diketahui, PDN sementara lantaran PDN permanen belum selesai dibangun. PDN permanen akan berlokasi di tiga tempat yaitu Cikarang, Batam dan Ibu Kota Negara (IKN) Nusantara.

Mengutip situs resmi Kemkominfo, PDN merupakan amanah dari Peraturan Presiden Nomor 95 Tahun 2018 mengenai Sistem Pemerintahan Berbasis Elektronik (SPBE). Kemkominfo menargetkan PDN di Cikarang akan rampung dibangun pada Oktober 2024. 

Salah satu layanan yang ada di PDNS yakni penyediaan layanan Government Cloud Computing. Ekosistemnya akan disediakan Kemkominfo. Berdasarkan Perpres Nomor 95 Tahun 2018 itu pula instansi pemerintah meletakan datanya di PDN.

Berdasarkan data dari Kemkominfo per 2021, ada 56 kementerian atau lembaga yang meletakan datanya di PDNS 2. Termasuk di dalamnya Imigrasi (Kemenkum HAM) hingga Kementerian Pendidikan dan Kebudayaan. Ibarat sebuah pusat perbelanjaan, maka kementerian atau lembaga yang menggunakan PDN adalah penyewa jasanya. 

Maka, menurut Alfons bila PDN tidak bisa memberikan layanan maksimal, maka kementerian atau lembaga tersebut berhak memprotes.

"Seharusnya pihak imigrasi berhak untuk mendapatkan ganti rugi. Kenapa? Kalau kita pakai cloud. Saya pakai AWS. Kalau down, maka harus diganti (nominal tertentu) sebagai bagian dari tanggung jawab," ujar Alfons. 

Tetapi yang terjadi, lembaga atau kementerian yang terdampak dari serangan siber ke PDNS malah diminta maklum. "Bila sudah begini, kapan mau majunya PDN?" imbuhnya. 

Menurut Alfons, bila cara mengelola PDN seperti itu, maka tidak akan berdampak positif bagi perkembangan teknologi informasi di Tanah Air. 

Alfons juga sepakat agar pemerintah tak perlu membayarkan tuntutan pelaku yang melakukan ransomware ke PDNS. Sebab, negara terkesan menjadi tunduk terhadap pelaku tindak kejahatan. 

"Selain itu, bila tuntutan tebusan senilai 8 juta dolar Amerika Serikat (Rp131 miliar) dibayarkan maka seolah membiarkan praktik ransomware terjadi. Hal itu menimbulkan persepsi terhadap pelaku lain untuk melakukan serangan siber karena pasti akan dibayar," ujar dia. 

Alfons meyakini tiap instansi atau kementerian memiliki data di database masing-masing. Data yang ada di server PDN, diyakini merupakan data server baru. 

"Itu kan sebenarnya proses data yang ada di kementerian atau instansi lama lalu diproses atau dikirim ke sana. Harusnya data itu ada di masing-masing kementerian atau instansi. Kedua, kalau masing-masing instansi menjalankan SOP, maka mereka sudah sepatutnya punya back up data," sambungnya.