BandungBergerak.id - Pusat Data Nasional Sementara (PDNS) bobol karena serangan Ransomware Brain Cipher. PDNS yang berisi data-data pribadi masyarakat Indonesia dinyatakan mulai diserang sejak Kamis, 20 Juni 2024. Kritik dan caci-maki masyarakat pun menggelegar di media sosial. Masyarakat yang marah sadar bahwa data yang diserang adalah data pribadi yang mestinya dilindungi dengan kemananan tingkat tinggi.

Ransomware merupakan perangkat lunak yang secara aktif memblokir akses dan isi data. Pemilik data tidak bisa mengakses data miliknya sendiri. Penyebar ransomware (pelaku) meminta sejumlah uang agar akses dan isi data diperbaiki kembali melalui kunci pembuka data. Ransomware adalah jenis malware yang masuk melalui jaringan internet dan mengunci berkas-berkas penting menggunakan enkripsi yang dipegang oleh pelaku.

Sebelum ada pernyataan resmi bahwa PDN diserang pada Kamis itu, lembaga yang konsens di bidang keamanan data digital SAFEnet telah mengeluarkan siaran pers 23 Juni 2024 yang menyatakan, Pusat Data Nasional sedang mengalami gangguan berhari-hari, sejak Kamis - Minggu (20-23/6/2024) masih belum kembali normal. Layanan Direktorat Jenderal Imigrasi merupakan salah satu layanan publik yang terdampak besar. Akibatnya, terjadi antrean berjam-jam dan penggunaan sistem manual dalam pelayanan paspor dan visa. Gangguan ini juga berimplikasi risiko kebocoran data yang sangat masif.

Saat terjadi gangguan tersebut, SAFEnet menyebut belum ada penjelasan dari pemerintah mengenai penyebab dan bentuk “gangguan” tersebut kepada publik, meskipun sudah muncul informasi di kalangan praktisi keamanan siber bahwa gangguan tersebut akibat adanya serangan ransomware. Alih-alih menjelaskan penyebab dan pertanggungjawaban terhadap situasi tersebut, pemerintah melalui siaran pers No.409/HM/KOMINFO/06/2024 menyatakan pemulihan terhadap gangguan, serta Siaran Pers Tanpa Nomor (diakses 23 Juni, pukul 14.49 WIB) tentang Perkembangan Penanganan Gangguan Layanan Pusat Data Nasional yang menyatakan adanya pelibatan Badan Siber dan Sandi Negara (BSSN), Kepolisian RI (Polri), Kementerian/Lembaga terkait, PT Telkom Indonesia dan mitra penyelenggara lain dalam proses pemulihan.

Saat itu, lanjut SAFEnet, dugaan penyebab gangguan semakin mengarah pada kejahatan siber seperti “ransomware” atau peretasan. Namun, SAFEnet menyatakan Menteri Kominfo berkilah bahwa gangguan terjadi di PDN hanya  “sementara”, menyiratkan menganggap remeh kerentanan jutaan data dan informasi di dalamnya.

“Padahal, PDN menyimpan data yang bersifat pribadi dan rahasia serta kebocoran berarti juga ancaman terhadap keseluruhan keamanan nasional Indonesia. Tidak ada pembedaan apakah data tersebut ada pada PDN sementara maupun permanen. Justru, dengan demikian timbul pertanyaan. Jika “sementara”, apakah prosedural penjagaan, keamanan, dan pengawasannya juga tidak seketat PDN yang sebagai critical infrastructure, standard pembangunannya diklaim pemerintah ada pada level tertinggi yaitu global tier-4 (Siaran Pers No. 502/HM/KOMINFO/11/2022),” ungkap SAFEnet, diakses Sabtu, 29 Juni 2024.

SAFEnet mencatat, proyek PDN sejak awal menuai kontroversi. Selain maraknya kebocoran data pribadi masif yang berpusat pada institusi pemerintahan, pembangunan pusat data dengan mengintegrasikan penyimpanan justru menimbulkan risiko kebocoran data lebih besar. Kritik terhadap tidak transparannya perencanaan dan kelemahan penanganan ancaman siber dari DPR dan pelaku industri sempat mencuat. Misalnya pelibatan dana asing dan proses dari awal hingga akhir PDN yang dikelola sendiri oleh pemerintah, bukan kepada pelaku usaha industri komputasi awan dan/atau data center nasional.

Kasus-kasus dugaan kebocoran data yang melibatkan institusi pemerintahan seperti registrasi prabayar nomor layanan telekomunikasi seluler, hingga kebocoran 34 juta data paspor Indonesia yang diperjualbelikan di situs daring, menjadi bagian pertanyaan besar mengenai kemampuan tatakelola PDN dalam menjaga keamanan data-data yang disimpan secara sepihak oleh pemerintah pusat.

Meskipun demikian, rencana pembangunan PDN berjalan terus berbekal amanat Peraturan Presiden (Perpres) Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik, terutama pasal 27 dan pasal 30 yang menekankan pembuatan Pusat Data Nasional. Selain itu, Peraturan Presiden (Perpres) Nomor 132 Tahun 2022 tentang Arsitektur Sistem Pemerintahan Berbasis Elektronik Nasional juga memberikan arahan mengenai pembangunan PDN “sementara”.

“Namun, lumpuhnya PDN saat ini membuktikan tidak adanya komitmen dan konsistensi pemerintah dalam menjalankan proses pembangunan infrastruktur vital yang selama ini diklaim aman dan terpercaya serta menerapkan standard tinggi. Dari sisi perencanaan dan pembangunan infrastruktur kritis vital, PDN terjadi Single Point of Failure (SPOF) sehingga sampai hari ini, tidak ada yang bisa dilakukan oleh instansi-instansi yang menyimpan data di PDN, misalnya Imigrasi dan layanan bandara; kecuali menunggu,” papar SAFEnet.

SAFEnet menegaskan, gangguan berhari-hari terhadap PDN menambah runtuhnya kepercayaan publik. Menurut catatan Southeast Asia Freedom of Expression Network (SAFEnet), sepanjang tahun lalu telah terjadi setidaknya 32 insiden kebocoran data di lembaga pemerintah, termasuk BPJS Kesehatan, Polri, Komisi Pemilihan Umum, dan Kementerian Pertahanan. Serangan terhadap PDN dan kemungkinan terjadinya kebocoran data pribadi warga saat ini hanya puncak gunung es dari lemahnya sistem keamanan siber Indonesia.

Oleh karena itu, SAFEnet menuntut pemerintah:

1. Memberikan pernyataan secara terbuka dan jelas mengenai insiden keamanan siber yang saat ini sedang terjadi pada PDN, menyatakan pertanggungjawaban, dan meminta maaf atas keteledoran yang berdampak parah yaitu lumpuhnya layanan publik dan risiko kebocoran data pribadi masif pada infrastruktur kritis vital.
2. Menjamin perlindungan data pribadi pengguna yang terdapat pada PDN serta melakukan langkah-langkah prosedural dan pertanggungjawaban sesuai prinsip Pelindungan Data Pribadi (PDP).
3. Mengkaji ulang proses tender dan pembangunan PDN baik PDN sementara ataupun PDN permanen yang masih akan dibangun, dengan menerapkan ketat skenario penanggulangan insiden dan kontinuitas bisnis yang transparan dan akuntabel.
4. Berbagi informasi dan meminta masukan kepada pemangku kepentingan lain terkait “data nasional” seperti komunitas teknis, akademisi, dan organisasi masyarakat sipil,
5. Memberikan kesempatan kepada industri cloud/data center nasional untuk berpartisipasi dalam urusan pengembangan infrastruktur dan bisnis di luar tatakelola governansi di mana Kominfo sebagai regulator, serta
6. Menjamin tidak terjadinya kejadian serupa dan siap bertanggungjawab atas semua insiden yang terjadi baik saat ini maupun yang akan datang.

Baca Juga: Koalisi Masyarakat Sipil Kembali Desak KPU untuk Membuka Data Pribadi Caleg yang Dirahasiakan
Pengesahan RUU Perlindungan Data Pribadi semakin Mendesak di Tengah Anojloknya Keamanan Siber di Indonesia
Kamera Pengenal Wajah Dibanggakan Pemkot Bandung dan PT KAI, Dikhawatirkan Akademisi kerena Mengancam Keselamatan Data Pribadi

Kepercayaan Masyarakat Menyimpan Data Pribadi di PDN Menurunkan

Serangan terhadap server Pusat Data Nasional disayangkan peneliti di bidang software Fakultas Teknik UGM Ridi Ferdiana. Sebab, PDN mempunyai sekumpulan aset yang sangat penting bagi rakyat Indonesia dengan berbagai macam data yang dibutuhkan oleh instansi dan masyarakat.

“Bagi masyarakat tentu akan menurunkan tingkat kepercayaan terutama pada saat meletakkan data pribadi ke PDN,” papar Ridi Ferdiana.

Data seperti nomor telepon, KTP, Kartu Keluarga, dan sejenisnya adalah data pribadi yang tak bisa diberikan kepada sembarang orang. Data pribadi bersifat sensitif terlebih di era digital ini.

“(Data pribadi) apabila disebarkan ke pihak yang tidak bertanggung jawab akan berpotensi menimbulkan kerugian finansial, bahkan mengancam keamanan dan keselamatan pemiliknya,” kata Sinta Dewi Rosadi dan Garry Gumelar Pratama dari Fakultas Hukum Universitas Padjadjaran (Unpad), dalam jurnal ilmiah berjudul Perlindungan Privasi dan Data Pribadi dalam Era Ekonomi Digital di Indonesia.

Masyarakat sudah merasakan langsung kebocoran data pribadi mereka, dibuktikan dengan maraknya penipuan menggunakan situs ecommerce (perdagangan elekrtorik). Tidak sedikit masyarakat Indonesia yang mengeluhkan aktivitas telemarketing yang masuk ke dalam kategori direct marketing, yaitu menawarkan secara langsung produk-produk keuangan seperti asuransi dan pinjaman tanpa agunan.

Praktik telemarketing tidak lepas dari adanya perpindahan data pribadi nasabah atau masyarakat tanpa sepengetahuan atau persetujuan masyarakat sebagai pemilik data. Tak hanya kasus direct marketing, Sinta dan Garry mencatat kontroversi juga terjadi dalam praktik permintaan data kartu keluarga dalam pendaftaran kartu prabayar. Masalah serius muncul ketika praktik semacam ini dihadapkan dengan isu privasi dan perlindungan data pribadi konsumen.

“Operator telepon seluler dalam hal ini menjadi pengumpul, pengolah sekaligus pemroses data pribadi yang secara masif diserahkan beramai-ramai oleh masyarakat karena didorong oleh kebijakan pemerintah,” tulis kedua peneliti.

Di tengah kerentantan data pribadi masyarakat, perlindungan privasi dan data pribadi di Indonesia belum maksimal. Instrumen hukum yang ada masih bersifat sektoral. Indonesia telah memiliki aturan perlindungan privasi dan data pribadi yang tersebar di berbagai peraturan perundang-undangan, namun belum ada konvergensi Perlindungan Data Pribadi.

“Sampai saat ini masih terjadi ketidakpastian perlindungan privasi dan data pribadi, karena Indonesia belum memiliki instrumen hukum yang responsif terhadap adanya kebutuhan masyarakat untuk memperoleh perlindungan yang lebih kuat,” tulis Sinta dan Garry.

Apa Kata Kominfo?

Kementerian Komunikasi dan Informatika menjadi sorotan dalam kasus serangan Pusat Data Nasional Sementara. Menteri Kominfo Nezar Patria menyatakan, insiden serangan siber menjadi pelajaran berharga untuk memperkuat keamanan siber dalam proses transformasi digital.

Namun, Wamenkominfo berdalih transformasi digital tidak hanya menjadi tanggung jawab Kementerian Kominfo tetapi harus dilakukan oleh seluruh elemen bangsa. Ia juga mengklaim dalam desain transformasi digital di Indonesia, Kementerian Kominfo juga telah memperhatikan aspek keamanan siber.

Nezar juga menyatakan atas nama Kementerian Kominfo memohon maaf kepada masyarakat yang mengalami kendala akibat terganggunya layanan publik. "Ini serangan sudah terjadi, berarti menunjukkan adanya kelemahan. Kominfo sebagai lembaga yang menaungi persoalan ini sudah menyatakan permohonan maaf terutama kepada publik yang layanannya terganggu," kata Nezar.

*Kawan-kawan yang baik bisa membaca berita-berita lainnya terkait Data Pribadi dalam tautan berikut ini