Pembobolan Pusat Data Nasional: Pembelajaran Pemerintah dalam Penguatan Keamanan Perlindungan Data Nasional

Oleh: Grace Mayda & Rena Elvaretta 

Staf Bidang Jurnalistik LK2 FHUI 2024

 

Baru-baru ini, masyarakat Indonesia dihebohkan dengan kasus peretasan Pusat Data Nasional (PDN). Kementerian Komunikasi dan Informatika (Kemenkominfo) sebagai pengelola PDN menyatakan bahwa peretasan sudah terjadi sejak 20 Juni 2024. Peretasan PDN tentu saja merupakan masalah besar bagi keamanan data pemerintah negara, pasalnya PDN itu sendiri merupakan sekumpulan Pusat Data yang digunakan bersama oleh Instansi Pusat dan Pemerintah Daerah sehingga saling terhubung. Ketika terjadi peretasan, maka data masyarakat yang tersimpan di dalamnya akan berpotensi untuk mengalami kebocoran. Peretasan PDN terjadi akibat adanya serangan siber oleh Brain Cipher dengan menggunakan ransomware, yakni perangkat lunak yang bekerja dengan cepat seperti virus untuk dapat mengenkripsi sebuah data. Akibatnya, korban tidak dapat mengakses kembali data miliknya karena penyerang akan mengunci akses data tersebut. Data-data yang berada di dalam server PDN merupakan data penting negara, seperti Nomor Induk Kependudukan (NIK), Kartu Tanda Penduduk (KTP), nomor ponsel, hingga data-data diri yang bersifat rahasia lainnya. Serangan ransomware meningkatkan potensi kebocoran data PDN, gangguan sistem, hingga kerugian finansial bagi suatu negara. Lantas, bagaimana peretasan dapat terjadi terhadap server PDN yang dimiliki oleh pemerintah? 

 

Kegagalan Pemerintah dalam Mengamankan PDN

Badan Siber dan Sandi Negara (BSSN) menyatakan bahwa peretasan terjadi akibat kelalaian tata kelola sistem yang buruk oleh Kemenkominfo yang tidak membuat backup atau cadangan terhadap data-data yang tersimpan di dalam server PDN. Ribuan data masyarakat dipertaruhkan akibat ketidaksiapan pemerintah dalam mengatasi masalah peretasan yang telah berulang kali terjadi. Kebocoran data yang terjadi saat itu sudah menandakan adanya kekacauan dalam pengelolaan cyber security system yang dimiliki oleh Indonesia. Sebuah server yang penting seharusnya dilengkapi dengan kepemilikan sandi yang kuat untuk mengamankan data di dalamnya. Namun, pengelola PDN terlihat tidak profesional karena pembuatan serta penggunaan sandi secara sembarangan yakni berupa “Admin#1234”. Peretasan PDN tidak hanya merugikan negara, tetapi juga seluruh masyarakat di dalamnya. Pengurusan pelayanan paspor, proses Penerimaan Peserta Didik Baru (PPDB), hingga data-data pribadi milik masyarakat yang bisa saja terjual secara bebas. Data-data yang terjual bebas dapat membahayakan identitas masyarakat, karena berpotensi terjadi penyalahgunaan data. Seperti contohnya penyalahgunaan data pribadi untuk mengajukan pinjaman online, pembobolan rekening, hingga disalahgunakan untuk melanggengkan tindak kejahatan lainnya.  

Peretasan PDN dari Perspektif Hukum 

Peretasan terhadap server PDN tentu dapat dijerat menggunakan regulasi hukum. Berdasarkan Pasal 30 ayat (3) Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE), tindakan yang dilakukan sengaja maupun tidak sengaja dengan menerobos hingga menjebol sistem pengaman suatu sistem elektronik merupakan perbuatan yang dilarang. Melalui Pasal 46 ayat (3) dan Pasal 52 ayat (3) UU ITE mengatur terkait ancaman pidana penjara terhadap pelaku peretasan sistem pemerintah selama 8 tahun ditambah dua pertiga. Namun, regulasi hukum yang ada ini belum cukup kuat untuk mencegah adanya tindakan peretasan dan kebocoran data pribadi. Diperlukan regulasi yang tidak hanya mengatur mengenai tindakan yang dilarang, tetapi juga mengatur keamanan dan perlindungan terhadap data-data yang ada di dalamnya.

Untuk menjawab perlunya pengaturan tentang perlindungan data pribadi, pemerintah mengeluarkan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) yang memberikan perlindungan terhadap data-data dalam server PDN. Pasal 1 ayat (2) UU PDP menyatakan bahwa perlindungan data pribadi adalah sebuah upaya untuk melindungi data hingga menjamin pemrosesan data pribadi seseorang dengan aman. Proses perlindungan data pribadi tersebut akan dilakukan oleh pengendali data pribadi yang dalam Pasal 1 ayat (4) UU PDP disebutkan salah satunya adalah pemerintah. Dengan begitu, server PDN yang berisikan data-data pribadi milik masyarakat sudah seharusnya dijaga dan dilindungi sebaik mungkin oleh pemerintah. 

Melihat maraknya kasus peretasan hingga kebocoran data, pemerintah mencoba untuk memperbaiki keadaan dengan mengeluarkan Peraturan Presiden Nomor 47 Tahun 2023 tentang Strategi Keamanan Siber Nasional dan Manajemen Krisis Siber (Perpres 47/2023). Pasal 1 angka 1 Perpres 47/2023 menyatakan bahwa keamanan siber adalah upaya adaptif dan inovatif untuk melindungi aset informasi di dalamnya dari ancaman dan serangan siber. Strategi keamanan siber yang dilakukan pemerintah meliputi perbaikan tata kelola sistem, meningkatkan kesiapsiagaan dan ketahanan sistem, hingga menguatkan perlindungan terhadap infrastruktur yang memuat informasi vital. Pasal 17 ayat (1) Perpres 47/2023 menyebutkan bahwa manajemen persiapan krisis siber akan dilakukan sebelum krisis siber, saat terjadi krisis siber, serta setelah krisis siber terjadi. Hal tersebut dilakukan untuk meningkatkan kesiapsiagaan pemerintah dalam menjaga keamanan server-server penting seperti PDN. Walaupun begitu, Perpres 47/2023 belum berjalan secara efektif dalam menangani kasus peretasan PDN karena manajemen siber masih dilakukan serampangan. Pemerintah harus mengevaluasi ulang terhadap keamanan sistem elektronik, data pribadi masyarakat, hingga ancaman siber.  

Apa yang akan Terjadi Jika Pemerintah Tidak Bertindak Tegas atas Permasalahan Pembobolan PDN?

Insiden pembobolan PDN telah memberikan beberapa indikasi atas ketidaksiapan pemerintah saat ini. Dari segi regulasi, memang belum ada undang-undang khusus yang mengatur mengenai keamanan siber, akan tetapi sebenarnya telah ada regulasi lain seperti UU ITE, UU PDP, dan Perpres 47/2023 sehingga tidak akan terjadi kekosongan hukum. Hal yang perlu digaris bawahi atas insiden pembobolan PDN adalah implementasi atau bagaimana pelaksanaan peraturan tersebut yang belum dapat maksimal. Jika tidak ada tindakan lebih lanjut dari pemerintah di kemudian hari dalam meningkatkan keefektifan pelaksanaan keamanan siber, hal ini berpotensi menimbulkan beberapa dampak. 

Dampak pertama adalah kepercayaan masyarakat akan menurun terhadap pemerintah dan mempertanyakan kinerja dari pemerintah dalam penanganannya. Terlebih jika terdapat data yang hilang karena tidak adanya backup, hal ini berpotensi menjadi permasalahan jangka panjang di kemudian hari. Hilangnya kepercayaan masyarakat akan berujung mempengaruhi aktivitas   sosial dan ekonomi masyarakat secara nasional menjadi lebih lambat, tidak efektif, atau bahkan kacau karena efek dari penyerangan yang memberikan indikasi negara tidak aman. 

Dampak kedua yang dapat terjadi adalah pemerintah akan menjadi sasaran empuk bagi para peretas di kemudian hari. Ketidaksiapan dari sisi PDN maupun pemerintah akan memberikan indikasi kepada peretas bahwa akan sangat mudah untuk menembus sistem keamanan mereka. Perlu diperhatikan juga, terdapat prediksi bahwa di masa depan bahwa level keamanan siber dan perlindungan data pribadi yang digunakan harus jauh lebih tinggi dibandingkan sekarang untuk mencegah improvisasi serangan siber kemudian hari. 

Selanjutnya, dampak ketiga adalah negara lain yang mengetahui kasus pembobolan di Indonesia akan kehilangan kepercayaan untuk bekerjasama dengan Indonesia karena menganggap Indonesia “tidaklah aman.” Mereka akan berpikir bahwa data penting nasional saja dapat terkena pembobolan, lalu bagaimana dengan data mereka yang diberikan kepada pemerintah Indonesia. Selain itu, negara-negara tersebut akan berpikir kembali atau mengurungkan niat untuk berinvestasi dan mendirikan perusahaan di Indonesia. Investasi yang akan masuk ke Indonesia menjadi berkurang dan ekonomi Indonesia akan terancam kesulitan.

 

Langkah yang Dapat Dilakukan Pemerintah atas Insiden ini 

Untuk mengatasi insiden ini, diperlukan adanya evaluasi dan berkaca dengan keberhasilan negara lain. Belanda menjadi salah satu negara yang memiliki predikat bagus dalam keamanan sibernya dan sudah mempunyai regulasi khusus mengenai keamanan siber, salah satunya adalah the Network and Information Systems Security Act (NISSA). Bahkan, Belanda juga mempunyai manajemen keamanan siber, yaitu National Manual on Decision-making in Crisis Situation dan dielaborasikan secara spesifik melalui the National Digital Crisis Plan. Secara garis besar the National Digital Crisis Plan mengatur langkah-langkah persiapan, pencegahan, bahkan penanganan pasca terjadi serangan siber. Hal yang membedakan dengan Indonesia, the National Digital Crisis ditargetkan untuk menjadi pedoman bagi para karyawan, manager, direktur, organisasi swasta maupun publik, sehingga dapat disiapkan dalam persiapan rencana yang sejalan dengan peraturan tersebut. Indonesia masih berfokus hanya pada strategi dan manajemen krisis siber skala nasional, menjadikannya suatu pertanyaan apakah relevan jika diterapkan di perusahaan atau organisasi swasta lain. Selain dari kedua regulasi tersebut, Belanda saat ini banyak mengacu pada penggunaan regulasi European Union (EU) seperti The Digital Operational Resilience Act (DORA), The NIS2 Directive, Data Act, Cyber Resilience Act, dan beberapa regulasi lainnya. 

Perlu diperhatikan bahwa sebenarnya pada Oktober 2023 lalu, dilakukan penandatanganan kerjasama antara Belanda dengan Indonesia mengenai strategi ketahanan siber yang komprehensif. Melalui kerjasama ini, seharusnya pemerintah meningkatkan lebih lanjut atas rekanan dalam meningkatkan keamanan siber di Indonesia, seperti pertukaran ilmu, teknologi, dan keahlian. 

Terdapat beberapa tindakan lain yang dapat ditingkatkan atau diperbaiki oleh pemerintah. Pertama adalah mengenai segi regulasi yang berlaku. Saat ini ketentuan yang ada masih belum berupa undang-undang khusus mengenai keamanan siber. Undang-undang diperlukan untuk menjadi standar dalam penanganan secara sigap jika terjadi insiden serupa. Pasca insiden PDN, Badan Siber Sandi Negara (BSSN) menyoroti bahwa salah satu rentannya Indonesia terhadap ancaman siber karena ketiadaan Undang-Undang Keamanan Siber. Saat ini pemerintah perlu segera mengesahkan RUU Keamanan Siber untuk dapat menjadi standar yang secara komprehensif dan spesifik mengatur tata kelola keamanan siber di Indonesia, serta meningkatkan kepercayaan masyarakat. 

Selanjutnya mengenai segi sistem keamanan. Seharusnya terdapat standar sistem keamanan untuk institusi pemerintah, seperti PDN, yang telah teruji. Sistem keamanan tersebut juga harus di-upgrade dan ditingkatkan secara berkala untuk menghindari ketertinggalan sistem.  Diperlukan juga untuk melakukan cyber security testing, terdiri dari cybersecurity audit, penetration test, vulnerability scan, security scan, risk assessment,  dan posture assessment yang secara keseluruhan merupakan rangkaian tes uji coba untuk melihat tingkat keamanan dari sistem yang digunakan. 

Langkah lainnya adalah dengan meningkatkan kemampuan sumber daya manusia yang ada. Pemerintah perlu melakukan pelatihan dan pendidikan secara berkala kepada ahli teknisi  agar lebih siap dalam menghadapi serangan siber yang dilakukan para peretas. Para ahli teknisi yang ada juga perlu melakukan uji coba atau praktik secara berkala dan pemahaman pola pikir para peretas agar siap beberapa langkah ke depan sebelum insiden terulang. 

Melalui tata kelola dan persiapan matang, Indonesia diharapkan dapat mengikuti perkembangan zaman yang begitu pesat dalam bidang teknologi dengan lebih baik. Pemerintah Indonesia haruslah siap untuk menghadapi insiden serupa di kemudian hari melalui evaluasi yang lebih baik.